AIGC等生成式人工智能的迅猛發展,給個人信息保護帶來哪些新的挑戰?如何實現個人信息數據保護的同時,保證數據流通和數字經濟發展?“亮劍浦江”行動對保護營商環境、促進法治建設,起到什么作用?未來,對“亮劍浦江”行動有哪些建議和期待……
為將網絡法治服務送入最基層,2025年上海市網信辦等多個部門走進普陀等區,開展“亮劍滬網·E心為民”網絡法治服務日活動。
2021年11月1日,《個人信息保護法》(以下簡稱“個保法”)實施,在屆滿四年之際,圍繞前述問題,澎湃新聞記者專訪了華東政法大學教授、博士生導師,華東政法大學互聯網法治研究院院長高富平。
他指出,面對新技術的挑戰,要區分AI模型訓練與部署階段的差異化合規思路,建議訓練階段弱化個人同意、部署應用階段嚴格合規并提供個人選退機制,同時通過政策明確AI訓練數據使用的合規邊界。
在監管執法層面,他表示,當前數據要素流通面臨多重困境,監管部門可以考慮將監管重心從當前偏重事前收集環節(合法性基礎+最小必要原則的監管),適度向事中處理合規與事后有效處置延伸,在保障安全的前提下,促進個人數據有序流通利用。
對于“亮劍浦江”專項行動,高富平提出“生態執法”概念,強調需推動全國監管部門建立聯動機制,實現執法尺度統一,體現法的一致性和公平性。
上海市網信辦聯手上海正向數字化技術研究院開發“滬網俠之守未先鋒”未成年人保護小游戲。
生成式人工智能迅猛發展,給個人信息保護帶來巨大挑戰
澎湃新聞:2021年11月1日,《個人信息保護法》正式實施,至今已經4年多了。在個人信息保護方面,您今年最關注什么問題?為什么?
高富平:我今年關注個人信息合法使用問題,尤其是個人信息處理者是否自主對外提供數據問題。因為數據要素市場建設意味著數據持有者可以自主根據市場需求配置或流通數據,而具有分析價值的數據要素中,大多數與個人相關,對外提供必須遵守“個保法”。
“個保法”23條明確,個人信息處理者(在要素市場稱為數據持有者)對外提供須取得個人的“單獨同意”。單獨同意背后的理由是確保個人誰在使用其數據并確保其個人行使權利(比如刪除權等)。但是,因為沒有交易基礎,在首次同意后再次獲得個人單獨同意,幾乎不可能。因而單獨同意實質上成為當前數據要素化利用,尤其是流通使用的阻礙。實踐中供需雙方通常以委托處理或共同處理來規避這一規定,或者在首次同意時以概括同意來替代單獨同意。這樣的做法存在法律上的不確定性,使數據流通的雙方均面臨較大的合規風險。因此,如何尋求個人信息合規的流通路徑,成為今年關注的重點。
澎湃新聞:AIGC等生成式人工智能的迅猛發展,新技術的出現,給個人信息保護帶來哪些新的挑戰?又該如何應對?
高富平:生成式人工智能發展和普及應用,給個人信息保護帶來了巨大挑戰。尤其在基礎模型向專業或領域模型發展的關鍵時刻,反映真實應用場景的數據集用于AI模型訓練,成為提升人工智能輸出質量的關鍵,這必然涉及個人的數據集。顯然,對外提供數據須單獨同意會使數據供不出,獲取數據集需要征得個人同意幾乎也不經濟。
由于生成式人工智能是當今國際競爭的關鍵領域,世界的主要經濟體均在尋求滿足AI訓練的個人數據。借鑒域外經驗,基于“個保法”現狀,我提出如下應對措施:其一,區分訓練和部署,在訓練階段,弱化個人同意,在部署和應用階段應當嚴格“個保法”合規,防范輸出結果對個人隱私侵害,對個人識別性的應用應當向個人提供選退機制。其二,通過適當層級的政策明確,個人信息用于AI模型訓練不需要征得個人同意,但在部署和應用階段貫徹“個保法”精神,實施適當合規措施,切實保護對隱私或維護個人對識別性使用的控制權利。
澎湃新聞:伴隨電商行業的發展,個人信息幾乎處于跨境流通狀態,該如何加強個人信息的跨境管理?
高富平:對于個人信息出境,2024年國家網信辦發布的《促進和規范數據跨境流動規定》已經做出較大的調整,豁免了許多場景下履行“三種”手續,降低了需要評估的門檻,明確評估、標準合同和認證適用情形。類似電商行業個人信息出境基本上屬于不需要評估,只需要通過標準合同或通過個人信息保護認證即可以開展。這為跨境貿易、跨境寄遞等提供便利。個人信息跨境流動對個人,對國家都會帶來一定的安全風險,但這種風險主要源于域外主體的使用,如何管控域外主體按照約定目的、遵守當地國或國際通行規則使用顯得非常重要。顯然,出境者在這方面具有一定事實訂立完備的合同,事中事后進行必要監督都是必要的。但是一旦出現安全事件,可能單獨商事主體很難應對。此時就需要國家出面協調處理,必要時采取外交手段。因此,出境個人信息管理關鍵在出境后的使用監督,而在這方面需要出境企業預防和監督外加主權國家協助才能解決。
法治環境是最大營商環境
澎湃新聞:在個人信息保護的監管執法層面,如何實現個人信息數據保護的同時,保證數據流通和數字經濟發展?
高富平:自“數據二十條”發布以來,國家和地方不斷推出數據要素化和市場化利用政策文件和地方法規,但是數據要素化利用面臨不能流通、不愿流通、不敢流通的困境,這根本上制約了我國數智化轉型和人工智能發展。實際上,“個保法”是以保護個人為中心的,而忽略了“促進個人信息合理利用”。因而在推進數據要素市場的背景下,如何平衡個人信息社會使用(尤其流通利用)和個人信息權益保護的確是面臨監督部門面前的一個棘手問題。
在我看來,隨著“個保法”各種實施辦法和配套措施陸續出臺和實施,如“個人信息保護認證”“個人信息保護合規審計”“個人信息保護影響評估”等措施逐步落地,監管部門可以考慮將監管重心從當前偏重事前收集環節(合法性基礎+最小必要原則的監管),適度向事中處理合規與事后有效處置延伸,在保障安全的前提下,促進個人數據有序流通利用。保護個人權益并不是讓個人信息處理者(數據持有者)事前進行流程式的同意合規,而是要建立正直負責人處理或流通的個人治理機制,最終實現保護個人信息權益的同時,實現個人數據的社會價值。
澎湃新聞:您認為,“亮劍浦江”行動對保護營商環境、促進法治建設,起到什么作用?
高富平:法治環境是最大營商環境,三年的執法行動并不以懲罰為目的,而是貫徹“執法即服務”的理念,將執法行動“晉升”為服務企業合規舉措。執法機構不僅有普法培訓和企業自查整改環節,而且形成“點對點”約談、“一條鏈”核查、“回頭看”檢查等多類別、多維度的執法模式,是一種“治病救人”執法。在整個執法過程中,執法部門制定了嚴格周密的執法流程和規范程序,確保執法各環節本身的合法。“亮劍浦江”執法行動不僅讓每個個人感受到法治的力量和法律的關懷,同時也使各類商家提升了守法意識,對“個保法”執行有了真實體驗感和執法溫度,通過對行政執法的信任,帶動了對法治的信任。
全國各地監管部門協同聯動,讓全國的執法尺度一致
澎湃新聞:從公民權利保障角度,您認為“亮劍浦江”行動能起到怎樣的社會引導作用?除了專項整治,還應通過哪些方式提升全社會的個人信息保護意識和法治觀念?
高富平:從第二年開始,執法機構將執法行動檢驗有效的合規與維權措施通過“工具包”“體檢包”“服務包”“護身包”的形式固定下來,含括了釋法、指導、評估、保護四個層次,既有對個人普法和維權指導,又有對企業詳盡的場景指引和具體合規指引,因此是一種雙向指引。
除了專項整治,還應當通過各類普法宣傳、司法案例、公益訴訟等方式監督對個保法的貫徹執行,提升全社會的個人信息保護意識和法治觀念;同時還要繼續發揮行業協會的行業影響力,推動各行業制定適合本行業,切實可行的個保法合規指引,同時監督執行。最為重要的是要使保護個人信息的目標與企業經營業務目標一致起來,將個人信息保護和合規轉化為自覺的行動。企業不是為了合規而合規,而是讓個人感受到企業對個人的尊重和友好,以吸引更多用戶,最終提升競爭力。
澎湃新聞:對接下來的“亮劍浦江”行動,您有哪些建議或期待?
高富平:在此前網信辦的執法中我發現,有些商家的點餐二維碼,其實是平臺的一個通道而已,這些商家本身就不知道二維碼存在違規收集個人信息的情況。那么,商家在上海,而這些大平臺在其他地區,我們該如何執法?在當前的互聯網環境下,企業和企業之間鏈接的地方非常多,大平臺鏈接了眾多小商家,這就出現了“生態執法”的問題。
如果說上海執法,別的地方不執法,就會導致不同屬地之間企業的不公平競爭。未來,該如何讓全國的執法尺度一致,或者說,如何體現法的一致性和公平性,希望全國各地的監管部門,建立聯動機制,打破傳統的單兵作戰,向系統合力轉變,一起協同努力。
京公網安備 11011402013531號