中国实践
东方法学特稿|万方:人形机器人数据处理目的原则的再审视
2024-05-29 18:25  点击:26320

作者:万方,北京外国语大学法学院教授、法学博士。

2021年年底,我国发布了“十四五”机器人产业发展规划,明确了机器人产业发展的重大意义和发展目标,为中国机器人产业的飞跃奠定了基础。人形机器人是集人工智能、高端制造、新材料等先进技术为一体的复杂系统,是人类生产生活方式的又一次深刻变革,将重塑产业发展格局。人形机器人行业的发展速度与规则制定休戚相关。然而,目前我国个人信息保护的目的原则已经难以适应人形机器人的产业发展需求,亟需作出相应的调整。本文拟从调整现有目的原则入手,探讨如何在人形机器人时代以规则促进产业发展与个人信息保护的价值平衡。

一、目的原则的产生及其内部构造

目的原则源自欧洲人权公约第8(1)条及第8(2)条禁止干涉隐私规则。出于保护隐私的需要,隐私权仅在有法律依据同时有明确目的时才可以被干预。随后签署的欧洲委员会第108号公约第5条确立了数据保护的基本原则,包括合法性、公平性、适当性以及目的限制原则。此时的目的限制同时对收集数据的范围作出了规定:“数据收集应当仅限于为达到预先设定目的所需的最小必要范围。”

经合组织于1980年发布的《保护隐私与个人数据跨境流动准则》指出,应当在数据被收集之前明确数据的使用目的,同时允许存在与初始目的相兼容的处理行为。值得注意的是,虽然文件将数据处理行为划分为收集和使用两个阶段,但是在任何一个阶段中均未强调数据的最小化使用要求,而是仅粗略规定收集个人数据应当有所限制。

欧盟通用数据保护条例(以下简称GDPR)将目的限制与数据最小化并列为数据处理的一般性原则。GDPR按照数据处理的环节对数据处理的要求作出区分。在个人信息的收集阶段,需要满足特定、明确、合法的收集目的。此处的例外情形包括,为公共利益而存档、科学或者历史研究、统计目的而进行的处理活动。在收集后的使用阶段适用数据最小化原则,即处理行为必须与目的充分相关,以个人数据处理目的的实现为限度进行处理。目的限定原则通常适用于整个数据处理周期,从数据收集到使用和披露以及最终的删除或匿名化。最小化原则要求在数据处理过程中,仅收集、使用和披露最少量的个人数据以达到特定目的,同时还需要采取措施确保数据的保密性和安全性。最小化原则包含三个要求:相关性、充分性及必要性,并通过对这三个要求的内部平衡来实现规制的目标。充分性本身要求更多的个人数据,而相关性是对量的限制,必要性则是从具体场景来限定所需处理的个人数据的数量及类型。

对于目的的第二重考察存在于数据处理的后续阶段。将收集的个人数据用于新的目的需要满足合法性基础。例如,重新获得数据主体的同意或满足法律规定的明确义务或功能,如并不满足则需要考察新目的是否满足“兼容性”(compatible use)标准。有学者将欧盟法上的目的限制思路归纳为“窄进宽出”:收束入口端并开放出口端以兼顾产业发展及个人信息保护的双重目标。出于各国实际情况的差异和产业发展的考量,欧洲各国对于兼容性的判断标准各有不同。比利时采用合理预期标准,德国和荷兰采用平衡性测试标准,英国和希腊采用透明性、合法性和公平性标准。实际上,目的限制与最小化原则是收集数据的阀门,决定了处理者能依法处理的个人信息总量;而“兼容性”标准则是关于已收集的数据能否不经主体同意而多次使用的问题。两者共同塑造了欧洲的个人数据基本处理规则。

我国立法从体例上将目的限制原则和最小化原则均归于个人信息保护法第6条的目的原则之中。目的原则要求处理者具有明确、合理的目的并且处理行为应当与处理目的直接相关,采取的处理手段是实现此等目的的多个手段中对个人权益侵害最小的手段,且其促进的个人利益或公共利益应当与被侵害的权益成比例。针对敏感个人信息,需具备特定的目的和充分的必要性,且在采取严格保护措施的前提之下方可处理。如处理者超出原有处理目的对个人信息作信息化后续处理,则后续处理行为应当被视为是与原有处理行为相独立的另一处理行为或者被视为处理目的的变更,需重新获得信息主体的同意。另外,我国也以安全标准的方式对特定场景之下的目的原则作出了具体规定,例如《信息安全技术个人信息安全规范》(以下简称《安全规范》)第5.2条从业务的关联性、采集的频率性和采集个人信息的数量三个方面勾勒出目的原则的具体内容。从逻辑上来看,目的限制与最小化两者的关系极为紧密。没有目的限制原则的前期限定则无最小化的衡量基础,而最小化原则本身的意义则是为了在数据处理的后续流程中实现目的限制原则。最小化原则是目的限制原则运行之下的必然逻辑结果,两者的风险控制目标相同,均是通过限制可合法处理的数据种类及数量来最大限度地降低风险。因此,无论是从立法传统还是从内在逻辑上讲,目的限制与最小化原则都无从切分,故本文将目的限制与最小化原则并称为目的原则,作为文章的论证对象。

二、人形机器人时代的目的原则及适用困境

物联网时代,AI交互系统实现了从云端虚拟助手、端侧虚拟助手到基于实体的人形机器人的演变。在前期阶段,云端虚拟助手主要依赖于云端的计算资源和数据存储,通过语音或文本的方式与用户交互;端侧虚拟助手利用用户端的传感器和交互设备,增加个性化和场景化的服务,实现了与用户智能产品之间的直连,提高了响应速度,减少了对云端数据过于依赖带来的数据风险。人形机器人则是AI交互的较高级形式,它不仅具有虚拟助手的功能,还模仿人类的外观,通过执行驱动器来实现各种姿势和动作,与用户进行更真实、更自然、更情感的交互。

人形机器人以人形机器人通用原型机和通用人工智能大模型等关键技术为基础,融合了视觉、听觉、触觉、体感等多模态感知系统,能精准反馈环境信息。人形机器人通过各种传感器,实时获取和处理外界的多模态信息,以便于实现人机交互、环境感知、任务执行等功能。在此过程中,人形机器人会通过摄像头进行视觉数据采集、通过麦克风进行声音数据采集、通过传感器进行触觉和环境数据采集等。人形机器人以图像、文本、语音收集包括力、热、电磁等多种形式融合的数据都可能被用于训练算法以继续提升大模型的性能。因此,人形机器人的前端数据采集功能非常重要,而智能算法能实现特定约束条件下的决策优化,通过实时监控上传场景变量信息,为服务行业的数字化系统化运营管理提供数据支持。未来机器人与人类的协同工作将进一步加强,机器人往往需要与人类进行双向通信,需具有安全意识和自我维护、自我监控能力,而实现以上的功能也与大量的数据采集密不可分。

(一)产业发展与目的原则的价值冲突

目的原则是对个人信息的重要保护,它以信息收集为规制源头,使得个人信息的收集更为透明、有序。一方面,目的原则为个人信息处理提前做好了审查,收集目的与处理行为的相关性以及处理手段最符合主体利益的技术标准都已经提前划定;另一方面,目的原则也与告知同意制度密切相关。处理者通过告知其处理个人信息的目的、类型及时限等信息,让主体对自己的个人信息处理情况有更为充分的知情。随着国家治理的深入,用户对于企业个人信息收集的标准会有更为明确和集中的认识,而各行业的隐私协议也将逐渐模板化、统一化。因此,个人信息主体对信息处理者的信赖更体现出其对国家治理能力的信任。人形机器人在运行过程中需要收集大量的个人信息,如用户的声音、面部特征、指纹等生物特征,及身份、偏好、习惯、情绪等。而目的原则恰是个人信息收集的法律依据和控制变量的闸口之一。

算法的不断更新提高了人形机器人的智能水平,使其能够更好地理解和适应人类的语言、意图、需求和反馈,从而增强人形机器人与人类的交互质量和效果。反之又促进了数据的不断积累,数据的积累为机器学习和算法训练提供了“粮食”,促进算法的更新迭代。数据处理者能够聚合来自不同数据集的信息,从而使得数据更为集中。谷歌分析服务将其与应用程序、操作系统和网站中集成的个人数据结合起来,用于数百种未指定的目的。处理者、算法、数据三者之间形成了稳定而长期的正反馈效应,在三重因素的叠加之下亦容易产生数据霸权。超级平台借助数据科技的发展和数据量的爆炸式积累和分析,优化、预测、固化平台的聚合力和用户黏性。平台的规模经济效应和范围经济效应更加明显,这在短期内阻止了潜在竞争者的进入,从而形成垄断并进一步加强了数据霸权。

目的原则对于防止因数据累积而产生的垄断现象也具有重要意义。大数据背景下的垄断行为无法从传统反垄断法推出,数据驱动下的规模经济和范围经济催生超级平台,而超级平台在多个市场的产出是富有效率的,这动摇了传统反垄断法的理论基础。判断数据处理者的行为是否对用户造成损害,不再单纯从产出和价格的视角来判断,还应充分考察用户的选择权以及其他法律权利是否受到损害、创新和市场竞争是否受到遏制。个人信息处理者严守目的原则,有助于限制数据的不断集中而导致的数据霸权,维护正常的市场秩序而最终使得消费者获益。

然而,数据的价值在于持续积累,这是由其本身的性质决定的。目的原则因与大数据时代的分析及利用目标存在价值冲突而广受诟病。尤其从实践意义而言,目的限制确实会同时限制技术甚至社会的发展。目的原则的本质在于减慢数据积累的进程,而这与大数据发展的内在要求是相悖的。因此,业界不乏对该原则的反对之声,曾有行业协会对此表达了不满情绪,比利时营销协会认为GDPR规定目的原则对于发展人工智能技术而言就是搬起石头砸自己的脚。数据需要在没有预先设定目的的情况下处理方能产生最大的效能,尤其在人工智能行业中,机器学习系统可以通过从数据中学习来执行复杂的任务,而不是遵循预先编程的规则。机器往往以检测集中数据的相关性的方式来进行学习,但是用于算法的数据的必要数量和相关性往往无法提前得知,因此预先设定目的,限制相关性的联想对于机器学习而言尤为有害。

采用复杂模型的高级系统通常需要更多的数据来训练和验证。而不同的细化目标所需要的数据类型及范围又完全不同。在医疗场景中,下肢外骨骼机器人一般适用于骨脊髓损伤、脑损伤等下肢运动障碍患者,它采用陀螺仪、加速度、肌电信号等方式来感知人体行为的意图,在这个过程中下肢外骨骼机器人需要进行实时判断行为达成的程度,因此需要大量的个人信息及相关数据采集。此时若一味强调数据的最小化,则会使得计算精度无法提高,无法更为精确地计算所有电机的运行策略。实际上,个性化分析和算法引入的通常目的是为了寻求技术或者服务的改善,并非旨在简单提供相应的服务。因此,从产业发展的角度来说,保留相应的发展性目的并赋予用户以选择权进行排除,是更为理性的规制思路。在很多个人信息处理者的声明中,个性化推荐本身已经成为一种独立目的。人形机器人的应用随着场景的不同而存在差异。医疗场景中人形机器人处理个人信息的目的较为单一,更易于精准描述。但在居家陪护场景之中,机器人往往承担较为复杂的工作,因此目的往往带有多重性特征,事先精确描述处理目的存在一定困难。

(二)目的原则规制人形机器人的现实困境

1.目的原则本身难以界定

不同场景对个人信息的类型及数量需求不同,会直接影响该场景下功能的实现。从类型上划分,处理个人信息的目的一般分为商业目的和其他目的。其他目的与信息处理者因处理相关主体的个人信息需承担的法律责任或协助实现特定公共职能有关,例如协助打击电信网络诈骗、代扣代缴个人所得税、行政执法或司法诉讼中认定相关主体等。商业目的又可以分为实现产品及服务的功能,以及进一步优化产品及服务的功能两种。在商业优化目的中哪些是改善用户体验所必需的个人信息,在不同的主观预设之中所关注的锚定点完全不同。例如,均是为实现“优化产品及服务”的目的,信息处理者至少可从用户搜索量及使用频率这两个角度来考量。若选取其一,则该类个人信息将被用来训练为用户提供服务的人工智能模型,能够直接影响结果,此时被选取的个人信息属于改善用户体验所必需。但是,判断为实现特定性能目的该保留多少个人信息则依赖更多因素,包括预测方法本身、底层算法、现有用户数据以及服务提供者可以处理的全部其他数据库。总而言之,最小化的结果很大程度上取决于底层算法。

但是,最小化在实践中存在难以界定的问题。目的原则的合法性实际包含两重要素:制度层面的目的合法与价值层面的目的正当。目的正当性指收集个人信息必须具有充足的价值基础,合理兼顾信息主体与信息处理者的利益。目的正当性的判断依附于个案,具体情境随着社会的发展以及立法领域的变迁而动态调整。部分地方立法在个人信息保护法的基础上对目的限定原则进行更深入的探索。如《深圳经济特区数据条例》规定个人数据存储期限应当为实现处理目的所必需的最短时间,以及建立最小授权的访问控制策略,使被授权访问个人数据的人员在职责内的数据处理权限处于最小范围。该条例虽然在个人信息保护法的基础上对目的原则有所细化,界定了存储时限、人员数量及权限等几个重要的指标,但是对于每个指标应该如何衡量还存在疑问。

目的原则的实现还存在一个技术问题。在考虑哪些个人信息在应用中应当被最小化时,其前提的假设条件是系统数据处于静止状态。然而,对于一个给定的个体,其最小化的个人信息可能构成其他个体的系统训练数据。换而言之,单个用户的个人信息最小化会影响系统对其他用户的性能,因此最小化的精确界定实际是难以实现的。例如,因最小化要求而停止收集个人信息,但是个人信息主体的兴趣爱好发生了明显变化,基于准确性要求可能需要收集更多的个人信息。又如,在救援机器人的应用领域,有别于条件单一的室内作业,由于室外自然环境复杂多变,作业目标随机分布,对象形态多样,地形波动起伏等非结构化特点,受自然因素干扰较为强烈,不同的变量在救援机器人作业的过程中会产生不同的影响。不同行业的信息依赖情况不同,在个性化分析和决策领域数据的需求量甚为巨大。同时,在工业场景中大量应用的机器学习也往往是基于对数据的二次利用。物联网和AI技术的发展更是离不开海量的数据处理活动。因此,对数据收集和处理进行统一化规制,对部分数据依赖型的业务发展而言可谓灭顶之灾。正当性本身的判断标准并非一成不变,其判断标准呈现出一定的流变性特征。清晰界定目的的困难叠加目的合理性评估的动态化,使得目的原则本身存在极大的不确定性。

2.二次使用规则的体系之争:直接关联与兼容性标准

对于个人信息的处理目的,《安全规范》给出了使用个人信息不得超出具有“直接或合理”关联的范围。《安全规范》将合理关联视为目前原则的例外情形,无须单独获得主体的同意。对于何为“合理关联”,《安全规范》仅给出了非穷尽式列举,“将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围”。同时,为了防止该口径被不当扩大,《安全规范》对对外提供学术研究及描述结果的情形作出了限定性要求,即“需对结果中的个人信息进行去标识化处理”。而随后出台的个人信息保护法将处理行为和处理目的的关系限定于“直接关联”。对此,有学者认为较之“直接关联性”,“兼容性”的涵摄范围更广,“直接关联性”要求后续的信息处理对初始目的严格遵循,可能在一定程度上阻碍大数据产业的发展以及创新型社会的构建。还有学者认为我国所强调的直接关联要求处理目的和处理行为二者紧紧相依,不得出现缝隙,从而实现个人信息的高度控制性使用。但我国的直接关联性标准,与域外所遵循的具有柔性缓冲空间的主流标准并不一致。

实际上“直接关联”与“兼容性”标准并不存在优劣问题,两者应对的是完全不同的问题。我国的个人信息保护制度设计更倾向于要求信息处理者把目的及用途一次说清。“直接关联”标准仅指目的与用途关联的检验,它决定了信息处理者能处理的个人信息类型及数量,而并不涉及嗣后用于其他目的的问题。对于已经收集的个人信息用于其他目的,应当适用个人信息保护法第22条的规定重新获取主体同意。由此可见,我国的立法中并未给个人信息二次使用留下空间。

3.司法实践有待进一步统一

法的基本原则乃是法的本质和特征的集中体现,反映了市民社会和市场经济的根本要求,表达了法的基本价值取向,是高度抽象的、最一般的行为规范和价值判断准则。个人信息保护法的基本原则是其他具体规范的正当性依据,也体现出其所欲实现的价值目标。但是,基本原则往往不直接涉及主体具体的权利和义务,需要借助特定的民事立法,尤其是特定的民事司法予以具体化。但是,目的原则在司法实践中还面临着诸多挑战。

欧盟法院2022年公布了Digi案作为判例,对于数据控制者或者处理者是否可以合法留存个人数据用于算法测试和纠偏给予了指引。作为匈牙利的头部互联网企业,Digi主要为客户提供传媒与互联网服务,其最初收集用户数据的目的在于履行服务合同,因此首次处理不存在合法性问题。但是,创建子数据库进行用户测试实际上超出了最初数据收集的目的。法院最终支持了Digi公司的主张,认为子数据库Digihu中的数据是Digi最初用于履行订阅服务合同从消费者处直接收集的,后续的测试与纠错与最初数据收集目的之间存在密切关联。存在错误本身有碍于服务合同的提供,也与数据最初收集目的不符,同时为测试和纠错而创建数据库本身并不违背客户的“合理期待”。该案对于GDPR中目的限制原则的适用持放宽的态度,兼容性评估中最为关键的评估要素仍然是处理行为与收集目的间的关联性以及变更后的目的是否符合信息主体的合理期待两项要素,其余要素并未被全面逐一适用。Digi案体现出数字产业从业者所面临的现实难题。一方面,数据处理有法定明确的事由和前提,解释日益趋严。另一方面,开展纠错和测试是数据管理流程必不可少的一环,也与用户本身的数据利益相符。这种冲突,正是技术发展对立法的挑战。

在我国,“直接关联”是判断个人信息使用目的合理性的重要标准。但是在既往的判决书中,法官对于“直接关联”的判断标准存在差异。例如,在一起案件中,法院认为基于对个人信息分析后的个性化课程精准推送行为不属于与提供课程服务有直接关联的目的,而属于一种增进用户体验的优化功能。但是在另一起案件中,法院认为在符合法律规定的前提下,信息处理者可以将其开发、运营的App所积累的用户关系信息在其关联产品中合理利用。信息处理者收集、使用用户的性别、地区和微信好友关系信息主要是用于增加其社交分享的产品属性,符合其产品定位,故不违反个人信息收集使用的必要性原则。大部分的实践场景中,很难找到完全不具有关联的行为与目的。而关联性本身应该是一个渐进性的判断,存在程度上的差异,仅需作出是与否的判断场景极少,正是此种性质使得“直接关联”在实践中认定困难。

另外我国目前的立法中尚缺乏对个人信息二次使用的明确规则,若期待能将信息用到新的场景,就必须再次获取主体的同意,这势必使得个人信息适用的场景相应减少,使得收集个人信息的成本不断提高,对人工智能技术及人形机器人行业的发展产生不可估量的损害。虽然无论从维护个人主体权益还是从维护市场秩序的角度而言,目的原则的存在都至关重要,但规制方式不宜为一刀切式的严格围绕单一设定的目的进行处理,也绝无可能依照业界的呼吁将目的原则弃之如敝屣。个人信息保护制度不仅是对自然人的个人信息权益的保护,也是对信息自由、言论自由和商业活动自由的保护。处理问题的关键是如何在保障个人信息安全的基础上,实现两种利益的动态平衡。在人形机器人的大规模适用场景之下实现这一目标存在重重的困难与考验。

三、场景下的标准化建设:抽象原则的具象解读

人工智能技术在各个领域的广泛运用给科技发展和人类生活带来巨大的机遇和挑战,也对法律规制提出新的要求和问题。人与技术的交互交融颠覆了以“人”为主体、为视角、为出发点的主客观二分世界认识图式。法律也从权利救济转向在先规制,以法律的算法化预嵌为手段打造法律自动化与逆行系统,来实现“数智化”社会对自由、尊严的切实保障。但是,与人工智能的大规模风险管理相比,数据收集的前端规制却存在价值相悖、无法落地的困境。有些研究者试图借助量化工具来解释目的原则,但也面临诸多问题。若要试图实现目的原则对人形机器人的具象化规制,或许可以通过区分场景化的标准来实现。

(一)无法被量化的目的原则

人形机器人虽为机械工程、计算机工程等多领域的综合性成果,但在人机交互方面,前端产品侧对用户的个人信息捕捉与常规的信息处理者进行个人信息处理无异。在收集用户的个人信息之前,也必须遵循平台隐私政策授权结构,得到用户的授权。由于用户常常忽视隐私政策和权限请求,导致信息处理者可能借此机会夸大对数据的实际需求,在运行时过度收集用户数据。此种情况加之目的原则本身存在执法困难的质疑,各路隐私检查工具纷纷登场。检测方式均致力于构建某种抽象语言模型,以量化的手段试图弥平目的原则的执法缺口,在理想中构建出一种以代码实现法律的规制效果的模型。从技术手段来说,主要分为目的约束和访问控制两种。

目的约束方式主要通过约束条件来详细量化对特定数字资源的操作权限,将不同的约束以布尔表达式的方式细化。如开放数字权限语言(open digital rights language,ODRL),在处理数据访问控制时,ODRL可用于描述用户在何种条件下被允许或执行特定操作,如查看、复制、编辑或分发数字内容,并且可以根据预先设定的目的来管理数据的使用权限。这使得ODRL成为一种灵活且强大的工具,适用于各种领域的数字权限管理场景,确保数据处理活动符合目的原则等法规要求。还有的研究将目的分为抽象和具体两种类型,只有当请求访问的目的与资源预设的目的相一致时才给予访问许可。

访问控制手段,即基于目的的访问(以下简称PBAC),是根据给定的欲使用用户个人信息的目的来作出访问决策。这些目的可以包括运行报告、执行审计、创建新应用等。PBAC最常见和相关的应用场景即为帮助处理者实现对不同数据隐私法律和规定的合规。通过PBAC,处理者可以展示对数据访问的颗粒度,更精确地描述数据如何被收集、存储、处理和分享,确保这些行为符合数据信息保护法规中的目的限制原则和其他相关要求。

上述量化尝试能在一定程度上实现信息处理行为与预设处理目的的符合性检测,但是依然面临以下问题:第一,ODRL通常是静态的,即在数字内容的发布或分发时就确定了其使用权限和限制,而不能根据不同的用户、环境、场景、需求等进行动态调整。人形机器人的运作是动态的,它需要根据用户的反馈对自身的数据系统需要捕捉的内容进行动态更新。很显然ODRL无法满足这一动态需求。第二,PBAC通常以抽象的目的为基础,允许用户为一系列可能的操作获取权限,但这可能导致难以精确匹配不断变化和具有层次结构的目的。例如,在弥漫性内因性脑桥神经胶质瘤(DIPG)研究场景下,不同的分析程序需要与特定的研究目标(对脑瘤的医疗信息共享联盟之权限限制)保持一致,而当前的PBAC可能无法有效地处理这种序列化、关联性强且有时限性的数据处理活动。现有的PBAC模型通常依赖于用户声明的目的,授予对单个动作的许可。然而,有些高阶目的如“科学研究”等动作可能包含多个连续的步骤,这在当前PBAC框架下往往难以精准映射到技术实现层面。

实际上,目的原则无法被量化的主要问题来自语言本身的模糊性以及信息场景的流变性。其一,对“目的”本身存在的不同解读。判断表意者的意图及语义对场景化依赖较高。而且更为抽象的目的实际上能映射到多层次的具体目的之中,使得探究文义层次变得更为困难。其二,目的的兼容性判断,更多需要依赖于上下文信息和人类的理性判断。其流变性特点更是决定了对目的兼容性需采取个案衡量的方式。适用个案利益衡量的方法,往往是由于各种原则之间的界限不是被一劳永逸地确定的,反而在一定程度上是“开放的”“动态的”,它们彼此之间容易发生冲突,就是因为其效力范围无法自始确定。一旦发生冲突,为重建和平状态,一种权利必须退居另一种权利之后,或者两者各自都必须作出一定程度的让步。当突破了某种速率的革新成批量地到来,科技的发展已经迫使流变性成为社会发展的重要特征,制度设计的支持性结构与适应性流变之协同,事关整体的制度运行。将那些用于支撑整个个人信息保护系统的重要价值观念以原则化的方式提出,适应性流变应当以标准的方式进行。在技术发展较快的领域,应当每年进行复审以确定标准是否需要启动修订程序。

(二)场景下的标准化建设

标准作为一种社会自治方式,其制定程序系经协商达成一致,制定主体与表现形式具有多元性,具有软法属性。在我国网络安全及数据治理领域,标准被视为将立法中权利义务具体化的重要工具得以广泛应用。尽管标准不属于正式的法源且不具有形式上的约束力,由于其鲜明的行为导向功能和信号功能,它不仅能经由法院和行政机关援引产生规范效果,还能成为行政机关判断事实认定构成要件的基准。事实上,行政机关也直接依据标准采取诸如警示约谈、行政检查等非正式监管措施。在私法领域,标准之所以重要是因为它对产品责任构成有重要影响。在法律特别规定下,标准足以构成认定行为违法的必要依据,符合标准可以构成其免责的抗辩事由。人形机器人的相关国家标准、行业标准在此不仅是保障行业良性发展的指南针,也是判断当事人是否履行法定义务的重要依据。

提高精准程度和安全性一直是人形机器人追求的重要目标。人形机器人需要通过全域感知导航规划和对于不同数据的变量智能控制等技术来实现其灵巧精准作业。更多类型的作业活动往往是以海量数据为基础,例如需要达成对趋势研判等目标的数据处理行为。在这类活动中,仅依靠提供和筛选数据无法满足应用要求。陪护型人形机器人开始以用户的语音来训练算法,用以积累数据预测用户的健康状况,还需要引入SLAM建图以及深度学习实现陪护机器人自主导航。因此,除被陪护照管人的个人信息之外,为了充分展开陪护机器人的功能,其还需要大量其他信息,甚至主体之外其他个体的部分个人信息才能顺利运行。例如,在简单的取药和送药流程中,陪护型机器人需准确识别环境及障碍物特征方可自动导航到设定目标并放置药盒。在配送完成之后往往还需将采集的信息反馈至云管理平台以便进一步分析学习及实现安全管理流程的目标。而此类行为在人形机器人的开发和应用中已经属于必要的功能延伸。更充实的数据信息量能更好地保障实现医疗及陪护场景下对生命、健康安全维护的首要目标。此时对于“直接关联”的理解宜更加宽泛,只要对于不同类型的个人信息处理仍然在同一场景之中(如将患者的个人信息用于医疗器械产品的精准推送则不属于同一场景)并对处理可能的后果以及正当权益均予以保障,则可不必过度纠结其他因素。但是对于医疗、就业、执法和公共管理等涉及公民人格尊严和基本权利的场景,应当对模型可信度和安全性提出更高要求,并配套相应的市场准入与技术审计制度。

机器人物流及作业场景则应当更严格控制考察收集个人信息的行为与目的之间的关联性。AGV物流机器人可自行进行物品装载,按照无线信号自行走动到目标位置开门及楼层转换,无需借助传统的轨道系统即可实现物流传输。物流机器人在执行任务的过程中可能需要收集位置信息、联系信息甚至支付信息等个人信息。另外,在机器人作业场景之中往往也会涉及雇佣关系,机器人在作业过程中如对其他员工存在监控行为则应当被严格禁止。学者尝试归纳了在存在雇佣关系的智能监控场景下,目的原则应当考量的因素:是否存在对个人信息权益损害更小的替代方式;监控的时间限制;监控的空间限制;信息类型限制;信息的数量限制以及对信息的保存期限限制。

数字标准化建设是为了实现安全可控以及高效便捷的目标。从技术上来说,标准应当尽量数字化,可考虑纳入计算、测量的方法,甚至包含公理及公式等科学解决方案。纯粹的语言性描述会使得类推的空间扩大,导致适用范围不明确。因此,标准的设定还应当避免采用过多直接设立权利义务的方式,此种方式形式上与立法趋同但依然存在可操作化程度低的问题,对具体问题的处理意义有限。另外,因技术性解决方案的缺失转而以文字为主的表达也会使得类推的空间扩大,使得适用范围不甚明确,从而导致无法实现安全保障的目标。参照《信息安全技术术语》等规范形成覆盖常用信息类型和处理目的的国家行业标准,以鼓励处理者尽量采取标准化的定义与描述。另外,还需优化现有标准化工作流程,提高对先进适用标准的研制与推广效率。建立健全产业链上下游、产业生态各环节标准化技术组织的协作机制,共同推进未来产业重点标准的研制与实施。

但是,由于场景的动态化和目标的差异化所限,我们难以在法律中直接设定在某种场景下的最小化数值。为此也有学者提出可以对限于实现处理目的的最小范围作限缩解释,将其适用范围限于利益减损型的个人信息处理行为。该限缩解释的理论基础是基于网络平台在有直接相关性的范围内处理个人信息时,应当尽可能增进信息主体的利益,尽可能避免给信息主体造成损害或者带来危险。然而现实的损害及危险一直是个人信息保护领域难以求证的难题。为此,学者提出将风险直接作为损害的主张:依据风险投保的成本来评估,并结合个案权衡,如在个人数据泄露中,考虑未来损害发生的可能性和后果、数据敏感度和数据暴露承担、预防措施的可能性等。诚然,司法活动并不是一个纯粹按照数字刻度来运行的体系,法律规制无法直接转换为代码,面对新兴产业确实需要标准先行。但标准无法从根本上替代司法决策,更无法真正解决目的原则的执法困难问题。借助场景化标准的外力,对我国个人信息保护目的原则进行重构,是我们亟须讨论的问题。

四、目的原则的体系建设

“目的”一词本身具有极大的不确定性,即使是被认定为法律解释方法的目的解释,也存在较大的争议。学者认为与其他解释方法相比,目的解释的方法赋予了法院较大的自由裁量权,因为法律条文背后的意图或者目的毕竟具有很大的弹性理解空间,法院可以在考虑政治、经济、社会、公共政策、公共利益等多种因素的基础上,确定法律条文的意图。我国个人信息保护法对目的进行了限定。首先,符合目的原则的“目的”需具有明确性及合法性。在实践中,“明确、合法”的目的需要满足具有辨识度的要求,过于模糊和宽泛的表达会架空目的限制原则,偏离其规制的目的及效果。谷歌因在其隐私政策中表明个人信息将被用于产品开发、市场创新及广告目的而受到处罚。信息保护工作组认为此种表述无法使得用户对其个人信息的处理情况充分知情,因此即使获得了用户同意也无法被认定为具有使用个人信息的合法性基础。维护个人信息主体的充分知情是隐私保护的重要手段。在个人信息保护规则尚不健全的时代,目的原则往往被泛化的表述所架空。“改善用户体验”“营销”等一般性目的充斥于信息处理者的隐私协议之中,而此类表述对于用户知情权的维护毫无助益。

有学者主张应当在我国个人信息保护法总则部分补充数据信息处理者“善意”原则,其中的要求之一是即便数据信息处理活动的流变给数据信息处理者带来了显著的信息优势,亦不得对数据信息主体的弱点或软肋进行不受控制的“战略性滥用”。站在这个角度来审视目的原则的意义,更多在于迫使信息处理者在处理之前及处理时对目的多加思考权衡,并自发对其行为作出内在约束。而对法律的解读还需从规定本身的意图和架构来入手。

(一)重塑“直接关联”的理解与应用

平台处理个人信息的根本目的在于利用个人信息推动形成更多的交易,即提供各种基本服务只是平台浅层的、次要的个人信息处理目的,构建用户圈层、形成内部生态、提供媒介服务,才是平台深层的、核心的业务逻辑和个人信息处理目的。从这个意义上来说,仅提供基本功能的最小范围指导意义有限,以此来规制信息处理者的行为最终会钳制相关业务的发展。我国的推荐性国家标准《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(以下简称《收集个信基本要求》)根据商业发展的实际需求,对目的作出基本业务功能和扩展业务功能的划分。基本业务功能是指移动互联网应用程序实现用户主要使用目的的业务功能,而扩展业务功能是指移动互联网应用程序所提供的基本功能之外的其他业务功能。随着企业的业务发展,扩展业务功能在日趋成熟之后有转为新型基本业务功能的可能。针对基本业务功能正常运行所必需的个人信息被称为必要个人信息。结合《安全规范》对“直接关联”的定义可以看出必要个人信息是实现基本业务功能正常运行的最小范围。

《收集个信基本要求》以附录的形式将个人信息的收集与实现业务功能划分为三个类型。第1类为必要个人信息。如上文所述,没有该等个人信息的参与,基本业务功能无法正常运行,这是用户同意收集个人信息的最小范围。第2类为非必要但有关联的个人信息。这种类型的个人信息与扩展业务功能相关。它与所提供服务直接相关,但属于可以选择收集的个人信息,可以由用户拒绝或撤回收集。第3类为无关个人信息,指与所提供服务目的无直接关联的个人信息。具体而言,没有该类个人信息的参与,对于任何业务功能的正常实现和服务质量均无影响。以上三类个人信息构建起了以企业业务功能来划分的个人信息使用规则。对于第1类必要个人信息,个人信息处理者可以收集,主体不可拒绝,否则基本功能将无法实现;对于非必要但有关联个人信息,个人信息处理者可以收集,同时信息主体也可以拒绝或者撤回其同意;对于第3类无关个人信息,信息处理者无权进行处理。看似清晰的三种信息类型划分,实际上在逻辑上存在与个人信息保护法的对接困难。个人信息保护法要求收集个人信息应当限于实现处理目的的最小范围,然而根据《收集个信基本要求》,仅有必要个人信息的收集属于取得用户同意后收集信息的最小范围,而非必要但有关联的个人信息类型却处于较为尴尬的境地。因此有学者建议从中观层面形成必要原则判定的方法论,不再采用基本业务功能以及扩展业务功能的划分,并通过司法解释以及执法案例,逐步丰富和具象化不同业务场景下必要原则的对应内涵。

在《收集个信基本要求》的说明中能看到企业对“非必要但有关联的个人信息”的使用期待较高,为满足合规要求,在该类信息的定义中使用了与立法保持一致的用语“直接相关”;同时,也能感受到该标准捍卫个人信息安全的决心,《收集个信基本要求》并不直接承认该类信息属于最小必要的范围,对于如何适用更是语焉不详。

由此可见,现实业务的扩张需求与严格的标准设定已经产生了实质性冲突。但是,可以看到设定时间在后的《收集个信基本要求》对于数据加强应用的趋势已经较为明显。一个可行的路径是将实现扩展业务功能而收集非必要但有关联的个人信息视为一种单独目的,为现实这种目的而收集的个人信息分类不再以最小范围逐一列举的方式做出,而是在各场景下按照标准的方式进行概括式界定。

首先,应当按照不同的应用场景对人形机器人进行标准设定。不同目的是否具有价值层面的正当性不应当是一个泛化的问题,而应当结合具体场景来判断。不同场景也存在特定的场景价值(例如健康在医疗场景中的价值,效率在贸易场景中的价值等),场景内的一致性作为隐私的指标或度量标准能更好应对隐私问题带来的挑战。

其次,标准应当尽量单向化,避免引入过多交互因素。行动的交互类型化需要被限定在狭隘而稳定的社会情景(场景)之中。否则,多个行动者的复杂构成性因素会使得行动者的拓扑结构趋向制度化。制度化本身的意义是预测双方的行为,但是标准化的目标实际是单向规制处理者的行为。因此,个人信息主体的行为及其与处理者的互动,不应当影响到其对个人信息的处理标准。制度化的规则不仅要求适用于具体事件,更要求适用于其空间和时间效力范围内的所有此类事件,并具有普遍性特征。与技术相比,法律规范更具普适性,不会拘泥于特定场景和技术类型。按照一般化的要求来处理信息,可能涉及不同参数的比重权衡问题,因此会产生不同的结果。例如,“改进”就是一个模糊的概念。若采取性能评估的AB测试来判断技术产品的更新,那么形成定量化的基础需要“选择哪些度量标准”“如何获得该值”“在哪个级别上汇总度量差异”。改进的目标是销量、用户满意度还是点击数,是完全不同的指向目标,也必然会导致不同的最小化适用要求。因此,在切分为具体的场景时,技术目标显得更有针对性,也更为可行。

最后,还应当引入全方位立体化的标准制定方案。对于不同场景下的人工智能机器人的规制,不仅仅需要立法和设定标准,还应当对人工智能驱动的法律工具及其供应商出台许可和认证要求进行规制,以确保供应商对其技术和性能的可靠性负责。鉴于人工智能机器人造成巨大伤害的可能性,俄罗斯《格里申法案》、欧盟《就机器人民事法律规则向欧盟委员会提出的立法建议的报告草案》和《机器人民事法律规则》等法律规定均提到了对智能机器人进行分类注册登记,坚持行业自治与国家监督相结合的管理模式提出设立强制保险与强制基金。

(二)摒弃水土不服的“兼容性”标准

时至今日,对GDPR的批评声音越来越多。批评者认为GDPR(尤其是数据跨境)呈现出一种形式主义转向(formalistic turn),使数据保护成为技术官僚掌控的复杂、不透明、耗时的程序。同时,实践也越来越关注到数据的公共价值。由于数据共享能实现更多的社会效应,更多的讨论也越来越向着放开目的限制的方向延伸。

作为个人信息二次使用的重要手段,“兼容性”一直被奉为黄金标准。但实际上,欧盟各国也在逐渐淡化对兼容性标准的适用。GDPR第6条第2、3款规定成员国可以依据各国的国内立法来对处理行为作出规制并对目的限制原则进行具体化。但是,各国的立法体系不同,以德国为代表的成文法国家更倾向于对基本权利作出明确而具体的规定,判例法国家则对于基本权利的定义不甚清晰,立法者突破权利限制而立法的空间更大。“兼容性”标准在欧盟各国的执行标准不一,力度不同,因此使得目的限制原则在一定程度上出现了某种“弹性”。英国对于收集目的的包容性更强,出于“监控目的”的要求可以允许多种信息收集和使用行为。然而,德国则对出于“监控目的”的信息收集作出了具体场景的区分,如“应对即时的威胁”“一般和特殊的预防”“刑事案件的侦查和起诉”等目的,且针对不同的目的有不同的管制态度。另外英国的治安目的定义非常模糊。相比德国的严谨立法,对目的限制原则之豁免具有更明确的确定性,英国将医学相关的研究纳入医学目的的清单之中,排除个人信息立法的适用。随着各国的实践“弹性”增大,GDPR之下的目的原则存在逐渐被架空的危险。

尽管学者们纷纷呼吁引入欧盟的“兼容性”标准,但是实际上这种路径并不适合我国。首先,“兼容性”标准的问题在于,过多需要参考的因素为司法实践增加了难度。GDPR并未对“兼容性”概念进行具体定义,只提出若干可能考量的因素,因此还需要进行个案判断。第29条工作组(现欧盟数据保护委员会)曾发布指南(WP203)对GDPR中的几项标准逐条进行解读,从以下维度给予更为详细的指引:前后不同目的相互的关联性(关联性越强越兼容);数据主体与控制者之间的关系(是否存在权力失衡,以及数据主体的合理期待);数据敏感程度(是否涉及敏感数据或者刑事犯罪数据);二次处理可能的后果以及是否存在适当的(权利)保障,包括但不限于加密和假名化等技术。如前文所述,对于每个因素的判断无法作出静态考量,需要结合各要素在不同场景下的影响进行综合判断。随着人形机器人技术的逐步发展,这些因素的判断会不断加重法官的负担。其次,动态化的“兼容性”标准也使得消费者无法拥有稳定的预期,使得隐私期待更加不可能。

实际上,应对个人信息的二次使用问题,我国已有行之有效的实践。在前述Digi案中所提到的“为测试和纠错而创设数据库”的个人信息处理行为在我国不存在障碍,这是因为我国的《安全规范》已经考虑到维护产品及服务安全稳定而处理个人信息的需求,将其视为无需征得授权同意的情形加以规定。个人信息的二次使用,其核心在于是否需要主体的重新授权。如要求所有偏离“直接相关”目的的二次处理行为都获得主体的同意,势必会提高信息使用的成本,另一方面类似于维护产品安全、审计等目的而进行的信息处理行为本就不应当再耗费司法资源进行“兼容性”判断,将各种特定场景之下合理的二次使用直接列为需获得个人主体同意的例外情形,不仅能更好地稳定主体的隐私期待,也有助于产业健康发展。法律之适用本身带有演进法律的任务和作用,这样的过程永生不息在各阶段之演进的结果,即为当代之现行法之影响其演进成果者,除过去之立法者所表示之规范意思外,尚有掌握审判的司法机关执行法律的行政机关以及参与法律生活的社会大众。从这个意义上来说,标准更适合以其柔性的姿态将大众共同的隐私期待不断凝结并使之逐步成文,用科学理性的眼光来审视处理行为和目的的关系,并将那些符合技术发展和社会规律的隐私期待的处理行为排除在应取得同意的情形之外。

(三)保持“科学研究目的”的开放性

习近平总书记强调:“整合科技创新资源,引领发展战略性新兴产业和未来产业,加快形成新质生产力。”人工智能技术是新质生产力的重要组成部分。新质生产力涉及的领域新颖,技术含量高,依靠创新驱动是其关键要素,代表了社会生产力演化中的一次巨大跃升。为维持创新性的内在驱动力降低处理个人信息的制度成本,“科学研究的目的”往往被归为目的原则的例外情况。但是,目前何为科学研究在GDPR中并没有详细定义。学术机构和外部公共资助机构的研发工作可被视为科学研究,但是私营公司的研发是否属于科学研究的范畴还存在讨论余地。

目前,许多公司从架构上将研发部门单列,但是其最终目的往往是将研究的最终成果投入到产品生产及服务之中。因此,GDPR实际上未对科学研究的主体进行限制,但是若因此判断私营部门合规性,则未来市场主体均会以单独设立研发部门的方式来规避二次使用的限制规则。另外一种路径是在政府支持下,主要由商业主体主导的科学研究项目。以英国为例,该国政府启动了以10亿英镑的一揽子人工智能发展计划支持学术界和商业界的人工智能发展,组建人工智能理事会来促进相关行业的协调和增长,并制定一个支持公共部门使用人工智能的计划。政府以帮助和协调行业资助的人工智能和机器学习项目在大学中设立的方式,开展对人工智能的支持,例如麦肯锡公司、量子黑、亚马逊和劳斯莱斯的R2数据实验室,正以支持人工智能学术项目的方式开展技术研究。阿联酋近日也成立了人工智能和先进技术委员会(AIATC),监督有关研究、基础设施和投资的人工智能政策和战略的实施和发展。以上类型的研究虽有可能直接为商业应用服务,却也符合GDPR中的科学研究定义而不受目的原则的制约。英国信息专员办公室(ICO)在其发布的数据保护指导中对“与研究有关的处理目的”进行了解释,其中专门强调对“目的”的解释应当尽量放宽。例如,很多不承担法定义务的组织(私营或第三部门组织)若出于“为实现公共利益而存档”的,也可认为具有合法处理的基础。另外,ICO专门强调出于科学研究目的处理个人数据应以广义的方式解释,包括技术开发和示范、基础研究、应用研究和私人资助的研究等。

此外,科学研究的目的还包括人工智能的开发。即使是出于后续投放市场的商业需求,前期的人工智能大模型开发仍然可视为科学研究,使得个人信息收集不受目的原则的影响。人工智能技术的发展对于数据依赖程度极高,大量的数据对于训练人工智能的精准运算具有重要意义。目前对于何种行为属于人工智能技术的研发行为尚无统一解释,但是在《欧洲议会和理事会关于制定人工智能统一规则和修订某些欧盟立法的条例》(以下简称《人工智能法案》)中对人工智能进行了最广泛的定义,包括使用以下一种或多种技术开发的软件、依赖一套人类定义的目标或能产生如内容、预测、推荐或决策等“影响它们互动环境的”输出的软件。这些技术包括机器学习方法(包括监督、无监督、强化和深度学习);基于逻辑和知识的方法(包括知识表示、归纳编程、知识库、演绎引擎、符号推理和专家系统);统计方法(包括贝叶斯估计,以及搜索和优化方法)等。另外,《人工智能法案》赋予委员会权力修订或扩大以上人工智能技术的范畴。为实现对人工智能技术全面规制的初衷,《人工智能法案》倾向于将人工智能定义不断扩展。然而,由于人工智能技术定义的泛化,又会使得更多私营部门的数据处理行为被划归为“发展人工智能技术的目的”,如此以往则很有可能使得目的限制原则全面落空。但是,即使是属于无需进行兼容性测试的例外情形,个人信息处理行为仍然需要建立在公平合法的基础之上并要有适当的保障措施。

除此之外,还有诸多前沿领域涉及各国共同合作开发的情景。例如,太空服务机器人在人机组队中引入了共享心智模型。共享心智模型是一种分布式结构模型,包括成功团队合作所需的知识和功能,如监控目标和任务状态、评估团队成绩、绩效推断信念和意图跟踪任务重点以及根据知识调整等。心智模型使得机器在人类动态反馈下具有理解人类心理状态和合作需求的能力,进而形成以人类为中心、人机兼容的协作过程。未来的太空任务会依赖有互补能力的人类和机器组成团队,甚至可能组成多国支持服务团队,维持科学研究概念的开放性对于后续数据的使用有重大意义。

目前我国的诸多规定都关注到了“开发研究”与“商业化应用”两分的重要性。例如,在国家网信办联合七部门共同发布的《生成式人工智能服务管理暂行办法》中突出强调包容审慎的政策导向,将规制对象限定于生成式人工智能服务,而非针对技术研发及企业内部适用这种非公众化应用场景,体现出监管部门“宽研发”“紧应用”,鼓励生成式人工智能创新有序发展的开放性思路。相对于商业应用,科学研究更难预先设定收集数据的目的。可以预见将“开发研究”与“商业化应用”作为区分是未来制度设计的关键,保持“科学研究目的”的开放性才能把握住未来人形机器人赛道竞争的机遇。

余论

富勒早已提出制度设计的核心命题,“社会设计中的一个普遍存在的问题便是如何把握支持性结构与适应性流变之间的平衡”。时至今日,这个命题似乎依然是我们思考制度设计无法绕过的原点。技术发展能快速降低违法成本,或提供新的违法行为的工具或渠道。就目前阶段的人工智能发展而言,不宜进行脉冲式立法,而应当尽可能将现行的法律规定适用到该类案件侵权案件之上,在最低程度上进行新的立法与修订,尽可能对现行立法进行程序性的技术改造加以适用。就模式而言,欧盟和德国以直接修改民事规则和交通法规的方式增加对无人驾驶的规范,是在事实不清、需要解决的问题不明朗的情况下所作出的仓促选择,既不鼓励创新也不利于保障公民权利。有学者提出应当由现有的政府部门确立相关的行业技术标准、安全标准和个人数据保护标准,参考美国对行业自身发展出来的标准和公共利益,个人权利保护原则进行综合考量,并在此基础之上不断强化立法,以实现个人信息保护与产业发展的双重目标。

当然,技术除了产生破坏性,也有自主向善的尝试。许多技术用来实现数据最小化,如异常值检测(用户识别和去除数据中的噪声和罕见异常)、特征选择(用于去除对学习任务没有实质贡献或产生损害的特征)、主动学习(用于增量选择需标记或添加到模型中的数据)。这些技术手段从实质上产生了减少数据使用量的效果。从长期来看,这些选择不仅仅是建立在真实的业务需求之上,也传达出企业对自身行为的规制,对维护互联网生态的责任担当。

将法律原则直接转换为代码,只能是法律人的一厢情愿。从技术的角度而言,互联网发展的速度已经超越了既往所有时代的生活节奏,以同样趋于静态化的模式进行管控,只能远远落后于生活模式的变化,成为技术的桎梏。原则依然有存在的意义,也在不断抵制被突破底线的诱惑。突破是目前技术发展的必然要求。这场科技与隐私的角逐,实际上是要我们重新反思个人权利的边界:我们应该坚持什么,以及目前还不能放弃的是什么。

(本文来源于《东方法学》2024年第3期)

专题统筹:秦前松