李曉明 蘇州大學王健法學院教授、博士生導師,刑事法研究中心主任。
內容摘要:技術規范是有關人類在利用各類技術時應當遵守的行為準則,由于技術的高度專業性,傳統刑法規范難以完全適用其中,因此必要時技術規范也可以進入刑法規制。普通法律規范規制“信息技術”可能產生的漏洞與風險,人工智能刑法規制中涉及的高度技術性及其專業性,人工智能時代面臨著未來刑法規范的必要轉型。未來人工智能刑法規制中“技術規范”的拓展至全方位動態技術監管體系,需要進一步固定與設計技術法律規范的概念標準,需要進一步完善和加強技術法律規范的具體制度,在搭建起數據安全動態監管框架的基礎之上,需要考慮進行框架內具體的技術規范制度設計與填充。為避免數據安全技術法律規范原則性的概括指導,應對人工智能技術特征、行為模式、侵害后果進行全面而具體把握,設計一整套全方位、綜合性的技術規范,以期實現數據安全風險的最小化。
關鍵詞:技術規范 人工智能 侵害風險 有效規制 數據收集 社會規范
在刑法規范中早就把技術規范擺在了重要的議事日程,技術規范“是指人在處理人與自然、人與社會、人與自己所創造的各種語言符號關系的程序、步驟、方法和技巧的一些原則、傳統,是一種知識性的、智能型的行為規范”。顯然,這里的技術規范不同于傳統意義上的技術規范,是一種具有現代知識和智能性的遵守自然與技術規律的規范,它或許涉及社會規范或個人利益的保護,但不直接涉及人與人之間的利害沖突與關系,而是價值中性、無道德評價和遵守技術規則或突破自然規律的規則。進一步講,它不僅適用于人與自然的關系,如尊重自然界的規律、科學規則與工藝技術流程,而且適用于人與社會,乃至人的思維、語言等領域,如心理學規律、社會組織運行機制、邏輯思維規則、語言等的約定和法則。尤其在計算機與網絡高度發達的人工智能時代,技術規范更應引起刑事立法的高度關注與重視。
一、技術規范及其立法規制功能在刑法規制中的應用
(一)技術規范概念之辨明
傳統觀點認為,所謂技術規范是指人們支配和使用自然力、勞動工具、勞動對象的行為規則。隨著各類高新技術的迅猛發展,現代意義上的技術規范并不僅僅局限于人與自然之間的關系法則,更多是指人在處理人與自然、人與社會、人與自己所創造的各種語言符號關系的程序、步驟、方法和技巧的一些原則、傳統,是一種知識型的、智能型的行為規范。也就是說,其不僅適用于傳統的人與自然的關系,在現代社會背景下,更多地還體現在人與管理技術和操作規程的法則,如交通安全法則、安全生產規章、技術操作規則等的規范。在人工智能時代,一般是指人類在利用數據智能技術時所應遵守的操作準則。
也有學者認為,“所謂技術規范是指由技術本身所構成的調整人與人之間權利與義務關系的規范”。然而,如此也就無法將技術規范與調整人與人之間關系之社會規范進行有效區分,因為其過分強調了規范調整的后果歸屬,將一切規范調整之目的都解釋為人與人之間利益變動的需要,是對規范解讀的過分延伸,并不十分合理,更不適合于當今大數據和人工智能時代所需要的技術規范要求。筆者認為,從區分技術規范與社會規范的前提出發,應當僅僅將技術規范限定在調整人類利用各類科學技術時應當遵守的技術行為準則上。
當然,筆者認為本文的技術規范,有別于傳統意義的技術規范。一方面,在人工智能和科技時代的背景下,更加強調規范本身的知識性與智能性;另一方面,在規制的價值屬性上,技術規范應當是完全中立的,不帶任何主觀評價色彩,所直接調整的僅僅是人與自然、社會,乃至人的語言、思維等領域的技術行為準則,而不涉及人與人之間的利益關系。
(二)技術規范與法律規范關系之辨明
如上所述,所謂“規范”一般可分為技術規范與社會規范兩類,前者調整的是人與自然或人與技術規律之間關系的規范,后者只調整人與人之間關系的規范。通說認為,法律規范應當歸屬于社會規范。也就是說,法律規范應當約束限制的僅僅是人與人之間的利益關系,傳統法律部門多具此類特征,甚至新興的“環境法”中,多數學者認為,本質上來說其仍然調整的是人與人之間的核心利益。例如,汪勁教授認為:“法學的主要取向仍然趨向于維護建立在傳統倫理道德基礎上的‘正義’,即對人與人之間的社會關系的調整……因此,現行環境法仍舊只是以人的利益為中心,間接反射至環境利益的。”但從條文本身來看,其規范構成本身具有極強的科技性,大多根據自然科學或技術規律來約束人類在利用、保護自然或遵守技術規則方面的行為方式,一味地引申或解讀社會規范,實則是人類中心主義的錯誤擴張。必須承認的是,包括國際公約等世界各國的法律法規中,的確存在大量有關人與自然及科學技術規則的法律規范,包括在森林保護、環境保護、自然資源保護方面人類應當遵守的行為規則等,尤其在大數據和人工智能時代更是如此。因此,對于“法律規范屬于社會規范”的傳統觀點,在科技時代的大變遷和迅猛發展過程中,尤其是在未來大數據和人工智能規則與規制中必需作出相應的調整,以充分考慮當今時代社會規則與技術規則的融合性。
一般認為,人工智能可具體劃分為弱人工智能、強人工智能以及超人工智能。而在弱人工智能時代,人工智能區別于一般網絡技術的重要特征之一就是“深度學習”功能,也即“對于某類任務T和性能度量P,在T上以P衡量的性能隨著經驗E而自我完善”。由于依托大數據及互聯網的功能構架,在完成基礎的算法編程與數據輸入后,其仍會根據其后續環境變化帶來的數據擴增進行更為深入地學習理解,也即所謂“數據喂養人工智能”。因此,多數人工智能產品最終的處理變化一般會脫離技術人員的最初設定,若固守只有人類才可以成為法律規制對象的傳統觀點,一旦人工智能產生對人類的人身或財產的侵害,便極有可能造成對程序員等技術人員的不當處罰,或者對人工智能機器的規制真空,顯失公允。然而,這些技術風險又不是完全不可控的,尤其作為編制程序及機器人的制造者,提高自己的技術防范意識才是所討論的刑法規制中技術規范的核心。
因此,在今后不能單純認為法律規范完全屬于社會規范的范疇,根據調整對象的不同,法律規范可能僅僅具有社會規范的特征,也可能兼具社會規范與技術規范的特征。換言之,技術規范本身與法律規范是可以相互兼容的,它們共同作為行為調整的基本準則。
(三)技術規范在刑法中的功能應用
由于部分規制內容的高度專業化及技術性的特征,傳統法律規范無法完全涵蓋和適用,故技術規范在我國未來的刑法規制中成為擴展性的趨勢。筆者認為,根據技術規范特征及解決問題類型的不同,其在刑法條文中的應用方式主要有兩種:
一是通過刑法空白罪狀的方式引證必要的技術規范。在刑法需要否定的技術行為類型詳細規定在技術規范中時,為避免法條篇幅過長,保證罪狀敘述的簡潔精煉,可以在罪狀描述中省略相關數據侵害行為類型,而指明參照某類技術規范。二是通過敘明罪狀的方式直接寫入刑法條文之中。無需對相關行為操作規范進行詳細描述時,可以直接在刑法條文中使用相關的技術概念。一方面,避免法條中法律概念、術語的使用模糊不清,導致行為人理解偏差;另一方面,精煉的技術用語更為精準直接,避免語言描述過于冗長。
尤其是在人工智能的背景下,技術規范不僅表現出不可替代性,而且愈加表現出不可缺少性。與傳統技術規范相比,現代意義上的技術規范不僅包括人與自然之間的法則,而且包括人與管理技術和操作規程方面的法則,如交通安全法則、生產安全規章、國家計量標準、人工智能技術的開發與操作規程、數學通訊符號的設置規則等。正如有學者指出的那樣,所謂技術規范是指由技術本身所構成的調整人與人之間權利與義務關系的規范。技術規則本身就是一種規范,尤其在現代計算機及其網絡世界里,這種技術規則與規范主要以計算機軟件及其合成的人工智能為主要表現形式。顯然,這是對傳統技術規范突破性的挑戰,尤其通過調整人與自然或技術之間的關系來調整人與人之間或整個社會之間的關系,不僅與純粹的社會規范不同,甚至與傳統的技術規范也形成了鮮明的對比。可以說,現代計算機及其網絡意義上的技術規范是以技術規則為基礎,直接調整人與自然或技術之間的權利義務關系,以及規范制定或操作人工智能技術等的行為之規范。相對來講,現代意義上的社會規范則直接調整的是人與人之間的關系,即社會沖突、社會利益紛爭中的純人與人之間的利害關系,顯然與現代技術規范的功能具有很大層面上的不同。
二、傳統規范可能出現的漏洞及人工智能刑法規制的必要轉型
“人類在進入到21世紀的三個關鍵時點,相繼進入了三個互相聯系又略有區別的新時代,即網絡社會時代、大數據時代、人工智能時代,三者共同構成了新的社會時代”。伴隨著數據處理技術的飛速提升和互聯網運用的全面普及,人類也逐步邁入人工智能時代。不論未來的“強人工智能”,甚至可能超越人類“奇點”的“超人工智能”,僅僅“弱人工智能”的現階段,已經對法律提出了諸多的挑戰與問題,因此面對人工智能,刑法規范必須轉型。
(一)普通法律規范規制“信息技術”可能產生的漏洞與風險
在以“信息技術”為基礎的網絡世界里,充分體現了多變性、多樣性、高速性、全球性等特征,很難全面有效地調整網絡社會中的社會關系。而人工智能時代的侵害方式、危害規模、傳播速度與范圍較之網絡社會更甚,因而更需要關注普通法律規范可能產生的漏洞。
普通法律規范具有一定的封閉性,很難應對發展迅速的人工智能犯罪問題。法律當然需要穩定性,立法的連續性與變化的速率不可太大,只有具有適度穩定性的法律才是健康的法律。法律的“朝令夕改”,一方面往往會導致民眾的無所適從,損害法律的權威性;另一方面也會導致司法者的同案不同判,可能導致諸多同案不同判的司法不公。然而,在人工智能的背景下,加之借助大數據庫和互聯網的加持,其發展之快早已超出想象。正如我們還在驚嘆于橫掃棋壇的前三代“AlphaGo”,谷歌在去年又已推出了升級版“AlphaGoZero”,擺脫了以往預先輸入人類知識的學習模式,“從零開始”學習圍棋,僅用3天就擊敗其前輩版本。
而對于此類犯罪,侵害的方式與速率更是千變萬化,因此帶來高風險。而封閉的傳統法律規范顯然難以跟上或適應千變萬化的技術違規與犯罪,容易給侵害行為留下漏洞。若仍舊依賴傳統法律,在相應犯罪大規模產生后就會出現法律滯后和自顧不暇。因此,應盡快進行技術規范方面的立法,包括對刑法規范的補充、修改和完善。當然,在現如今信息技術日新月異的當下,除法律的頻繁變動有損權威外,顯然也會成倍地加大立法與司法者的工作壓力。
縱觀現有的立法規定,“中國的法律資源仍然停留于過去的時代,而未能及時跟進當前的新時代”。中國的“信息技術”立法保護從計算機時代開始,著重以計算機信息系統作為犯罪對象的不法規制,走過了網絡時代,對利用計算機網絡實施傳統犯罪的行為給予了高度重視。但在目前人工智能時代,數據呈現高度集中與迅速流動的特點,與之對應的不法侵害也是變化萬千。在國家立法并未有進一步跟進的背景下,堅持普通法律規制所帶來的問題便開始逐現端倪:
1.技術規范的忽視容易導致法益保護范圍上的漏洞及片面性
普通法律規制模式下,在涉及某些專業技術概念、專業技術手段的犯罪行為時,往往只關注和強調專業問題中的某一特定具體事實方面,而忽視對整體事實行為技術特征的上升概括。例如,刑法第116條規定的“破壞交通工具罪”,其中對于交通工具的描述,僅限于各類交通工具種類的列舉,而不涉及“交通工具”這類技術概念體征的闡明理解。盡管關注和列舉具體客觀情況,可保障條文用語的平實簡單、通俗易懂,但一旦外部環境發生變化,都有可能導致對法益保護的不全面和疏漏。實踐中,一旦遇到條文具體描述之外的類型種類,往往訴諸于司法解釋或者法官的自由裁量。但在人工智能時代,技術手段具有極高的專業性要求,法官僅憑公正信念難以作出準確裁量;同時,即使是制定程序相對簡易快捷的司法解釋,也并不能時時關注犯罪動向、頻繁改動。
首先,對信息技術時代下新型法益的一般具體描述,可能導致概念適用時的不確定性。以“數據犯罪”為例,立法者早已注意到數據侵害問題的發展擴大趨勢并進行了相應的規制控制。我國刑法第285條第2款及第286條第2款集中對“數據”的非法獲取和破壞這兩種侵害行為類型進行了具體明確的規制。但問題在于,這些條文僅關注了犯罪行為類型的全面涵蓋,但忽略了“數據”概念范圍的明確界分。條文中所謂的“計算機信息系統中存儲、處理或者傳輸的數據”,過分關注數據的具體流動方式,并未抽象出數據的一般特征,具體判斷時無法明確。
一方面從借鑒國外相關概念的角度進行理解。2001年歐盟制定公布的《網絡犯罪公約》第1章第1條對網絡犯罪相關概念進行了明釋。公約使用了“計算機數據”這一明確技術概念,并明確其是“以任何事實、信息或概念的任何呈現,以一種適合于在計算機系統中處理的形式存在,包括一個適于引起計算機執行功能的程序”。因此,可以認為,公約所保護的數據范圍限定在計算機系統內部能夠實現計算機系統某項功能的數據類型。有學者認為,公約所指“計算機數據”概念即是我國刑法所承認的數據概念。但問題在于,該數據界定范圍過于狹窄,只認同“按照系統的組織目標進行規整和排列”的內部數據,而我國刑法條文中“計算機信息系統中存儲、處理、傳輸的數據”。從字面上看,并未有“實現計算機某項功能”之義。在“林某非法獲取計算機信息系統數據罪”一案中,被告人林某作為某科技公司職工,非法盜取其公司計算機系統中包括“無人機系統級通訊協議”等的核心技術資料,該核心技術數據并非具有支持計算機系統某項功能的作用,其價值僅僅體現在其承載內容信息的機密重要性,但根據最終判決,法院依舊將其作為計算機系統內數據予以法律保護。因此,我國刑法中數據保護范圍顯然不可與該公約簡單類比。
另一方面從相關司法解釋條文規定中進行考量。2011年,“兩高”聯合頒布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第1條對“非法獲取計算機信息系統數據罪”的“情節嚴重行為”進行了具體明確,即包括“獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的”等行為,但解釋中也只對“身份認證信息”這一類具體行為對象進行了明文規定。這是否意味著刑法規制的數據范圍僅限于與“身份認證信息”。答案顯然是否定的,計算機信息系統中傳輸儲存的信息數據遠不止“身份認證信息”這一種數據類型,包括位置信息、個人健康信息等諸多與我們日常緊密相連、利益相關的數據類型,很難僅僅依據司法解釋的列舉就簡單將其排除在保護范圍之外。
其次,對傳統犯罪行為內容的過分限定,可能導致其難以適應信息技術時代的犯罪形態變化,刑法對傳統法益的保護不免陷入被動。例如,有關“身份證件”的相關犯罪規定。2015年刑法修正案(九)對刑法第280條進行了補充修正,將“偽造、變造居民身份證罪”修訂為“偽造、變造、買賣身份證件罪”,并在其后增加280條之一,也即“使用虛假身份證件、盜用身份證件罪”。該修訂將護照、社會保障卡、駕照等可以用于證明公民身份的證件也一并容納,克服了原先刑法條文僅僅將犯罪對象限定于“居民身份證”這一種身份證件類型的范圍問題,一定程度上關注到了“居民身份證”的“證明公民身份”的一般特征功能,適應了時代發展下證件類型的不斷擴張與更新。但問題在于,如此修訂也僅僅囊括了“證件”類型下身份證明手段的犯罪侵害,而一旦跳脫開傳統法定證件形式,刑法條文也難免再一次保守落后,最典型就如“人臉識別”“虹膜識別”等生物識別技術。
網絡時代背景下,諸如“人臉識別”“虹膜識別”“指紋識別”等生物識別技術越來越多地受到重視與運用,其利用公民個人唯一的生物特征進行身份認定,因而較之傳統證件手段似乎更具有唯一性和不可復制性而難以侵害,但也并非是完美無缺。各支付平臺頻頻發生的“人臉識別”盜刷案件不得不引起高度重視。行為人通過盜取用戶社交網站照片,錄制和翻拍用戶人像視頻,甚至3D打印技術等都可以成功模擬出動態人像以此騙過不同系統的人臉識別關卡。由此可見,生物識別并非不可破解,甚至由于沒有諸如“掛失”等補救措施,危害可能較之以往更甚。盡管若造成一定財產損失,可按照相應“財產犯罪”來進行處理,但在僅僅作為身份認證的場合,顯然暴露出立法條文上的漏洞。礙于現行刑法條文中“身份證件”的表述方式,一方面“人臉”“虹膜”等個人生理特征無論如何也難以為“證件”的語義范圍所容納;另一方面“聲音識別”“步態識別”等關注個人行為特征的生物識別技術也一直是作為科學研究的重點關注對象。此類形態特征甚至完全摒除了客觀物質載體的形式外觀。因而,筆者認為,是否應當弱化身份證明手段的外在形式界定,重點關注其用于“公民身份識別”的一般性功能特征,將“身份證件”概括表述為“身份識別信息”這一普遍技術特征,以此適應未來可能的更多識別技術發展。
同樣問題也體現在線上支付方式的發展運用中,在智能手機與各類金融app普及的當下,中國早已經過信用卡時代,而率先引領了手機支付的革新。諸如“支付寶”“微信錢包”等線上支付app日益成為民眾日常消費購物的首選支付方式,這類支付平臺內往往儲存和掌握著大量金融賬戶相關的數據信息,一旦發生數據的竊取、泄露事件,損害的不僅僅是公民的隱私安全利益,更重要的是公民現實相關的財產利益。
而在傳統刑法條文中,僅僅第177條第1款對侵害支付類工具的犯罪進行了相應規制,即“妨害信用卡管理罪”和“竊取、收買、非法提供信用卡信息罪”,其將犯罪對象限定在具有客觀實物的“電子支付卡”類型中,范圍不免失之過窄。一方面難以通過刑法解釋方式突破刑法第177條第1款。不可否認的是,該解釋方式確實可以涵蓋一部分侵害行為,由于諸多的線上支付工具均具有與用戶銀行信用卡綁定,從而承擔用戶直接支取銀行卡內現金的中介作用,此時將app內相關資金信息解釋為“信用卡信息”也未為不可。但并非所有的線上支付工具都是通過與銀行信用卡相綁定而實現消費轉賬等功能。例如,“支付寶余額”“微信零錢”等功能程序,用戶的資金信息并不來源于實在的信用卡,而是僅僅在支付平臺內存儲使用。此時,用戶所有的資金信息數據并不與具有實體形式的支付卡相聯系,強行將其中賬戶信息數據解釋為信用卡信息,只能是有類推適用之嫌。另一方面也難以適用“非法獲取計算機信息系統數據罪”的條文規定進行處置。其從保護公民數據隱私安全的角度,所規定的最高刑為3年以下有期徒刑,情節嚴重者可達7年以下有期徒刑,但“信用卡類”犯罪中,情節嚴重行為最高可達10年以下有期徒刑,同時也輔之以確定金額范圍的財產刑。很明顯,若僅僅適用數據犯罪保護思路,很難體現其侵害數據的特殊財產性質,不免導致罪刑失衡。有學者主張“信用卡”限定類別太過狹隘,可參照日本刑法中“非法制作支付用卡電磁記錄等犯罪”“持有非法制作電磁記錄用卡罪”等條文規定,將諸如儲值卡、ETC卡等具有一般支付或提款功能的磁卡也包含在內。誠然“支付用卡”的用詞關注到了公交卡、購物卡等信用卡之外更多的支付類磁卡,一定程度上擴大了針對支付工具類的侵害犯罪的打擊范圍。但針對網絡時代下,線上支付手段的犯罪侵害行為仍束手無策。因而,筆者認為對于支付類信息數據可進一步抽象為“支付類電磁記錄”,弱化對支付手段客觀載體的強調限制,僅僅根據數據本身的財產價值性質進行保護,以全面覆蓋線上支付時代的信息數據安全。
概言之,由于普通法律條文僅僅注意到了“信用卡信息”“身份證件”這一單一事實種類予以簡單描述,而未注意到其背后“支付類信息”和“身份識別信息”的一般技術特征,難以應對復雜變化的現實情況。因而,“不能完全按照具體案件情況描述構成要件,而應進行必要的歸納、整理,把握事實的本質與重要特征”。在網絡時代高科技犯罪的背景下,更應注重概括行為的一般技術特征,使用精準詳細的技術規范,避免停留于對案件事實的表象關注。
2.技術規范的忽視容易導致刑事責任主體確定的混亂及不公正性
以“非法獲取計算機信息系統數據罪”為例,司法工作者并非沒有注意到技術變更帶來的犯罪差異,例如,移動設備的不斷普及導致數據范圍逐漸脫離計算機終端的范圍限制,因而為應對爆發式的移動終端數據侵害案件。2011年“兩高”公布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》,將“計算機信息系統”定義為“具備自動處理數據功能的系統,包括計算機、網絡設備、通信設備、自動化控制設備等”。將計算機僅僅作為系統設備的一種,擴大了系統設備的涵蓋范圍,智能手機、智能手表等新型電子設備也一并囊括在內。
但問題在于,司法者僅僅關注到了侵害數據范圍的時代更迭,但對侵害數據的類型手段卻鮮有問津。最初的計算機時代,數據的侵害僅僅是針對計算機系統本身而言,而進入網絡時代,信息網絡則兼具了侵害對象和侵害工具的功能,盡管這兩種技術類型中,犯罪方式和類型發生了變化,但卻都沒有完全跳脫犯罪行為人的直接控制。也就是說,數據侵害的過程和結果始終處于行為人的直接掌控之下的。但現行條款的應對能力也僅止于網絡時代犯罪,跨入人工智能時代,由于人工智能產品本身具有的“深度學習”的顯著特征,即使在最初合理正確的研發編程基礎之上,產品自身仍有可能在數據的不斷交換學習過程中,發生后續算法系統的進化改良。換言之,即使發生人工智能產品對數據進行侵害控制的結果,也并非是在行為人直接有效的操控下發生的,可能并非出于開發管理者的主觀故意、甚至有可能是完全的意外事件。因而,在人工智能時代尤其是強人工智能時代,經歷最初的程序設定之后,投入使用的人工智能產品所發生的數據侵害行為或者說犯罪行為應當如何歸責?學術界對此類問題早有爭論,甚至就“人工智能是否獨立承擔刑事責任”形成了兩種截然對立的觀點。人工智能時代,其智能產品始終處于一種動態的變化過程,產品最初設計缺陷所造成侵害與后續自我發展漏洞所造成侵害,盡管在結果樣態上可能并無二致,但不可一概而論。侵害原因發生的階段不同也必須要嚴格對應著不同階段研發管理人員不同的責任承擔要求,也即人工智能產品不同侵害原因類型對應的責任義務主體不能等同視之,但如此責任義務的區分在現行條文中并未有任何體現。
總而言之,不同時代革新帶來的技術特征發展,帶來的不僅僅是法益侵害類型的變化,還包括侵害手段工具、過程階段的變化發展。“刑事立法層面難以滲透技術差異理念,以致出現混淆人工智能犯罪、計算機系統犯罪和信息網絡犯罪的尷尬處境,歸根結底這是一種結果型立法的常態現狀”。僅僅關注相關犯罪的數據侵害結果,而否認不同數據侵害類型背后的技術手段差別,其結果只能是將各類技術犯罪表面的“網絡”特征無限擴大,片面地將所有的技術犯罪問題討論停留在網絡時代。信息技術雖然是作為各類智能產品發展的基礎,儼然已不能充分涵蓋新型技術產品的特征創新,一再忽視侵害行為所運用手段工具的技術特征、結果發生類型的技術原因,最終只會導致定罪歸責的混亂與不公。
(二)人工智能刑法規制中涉及的高度技術性及其專業性人工智能技術是高技術的核心,可稱之為高技術核。智能技術本身的高度專業性決定了其用語規范的專業性,一般抽象的術語描述難以準確概括人工智能數據犯罪的具體特征,既可能過于寬泛遺漏犯罪,也可能描述有誤錯誤打擊。因而,引入專業的數據安全技術規范是合理必要的。
1.人工智能時代也給犯罪賦予了技術性和時代性特征人工智能侵害數據犯罪,往往需要極強的專業知識背景。以人工智能所依托的數據庫為例,當前數據庫攻擊的最大來源是黑客攻擊,人工智能所匯聚的數據資源更加豐富,規模也更加龐大,極易對黑客產生誘惑成為攻擊對象。例如,2016年9月法國的OVH公司(提供網站托管服務)遭遇了前所未有的大型DDoS攻擊,攻擊者利用了物聯網:黑入多個CCTV攝像頭,形成僵尸網絡進行攻擊,服務器被攻擊的峰值甚至達到了每秒1Tb。而這樣的高強度數據攻擊類型僅僅只是冰山一角,據專業人士介紹,針對數據庫的攻擊手段,主要包括六種:強力(或非強力)破解弱口令或默認的用戶名及口令、特權提升、利用未用的和不需要的數據庫服務和功能中的漏洞、針對未打補丁的數據庫漏洞、SQL注入、竊取備份(未加密)的磁帶。可見,人工智能背景下數據犯罪更加專業化,普通法律概念根本難以涵蓋其特征要素。2.人工智能時代也框定出一些特定的違法犯罪行為人刑法作為規定犯罪和刑事責任及其辯護關系的法律規范的總和,具有引導規制人們日常行為的導向功能。刑法應當引導人們積極學法、懂法、守法,通過簡練易懂的語言文字使人們充分理解行為的應當與不應當,從而引導人們實施合法行為。但技術規范往往因其特定的知識領域背景,對于一般民眾而言晦澀難懂,難以理解遵守。如此看來,人工智能時代,若大量引入技術規范,則不能有效發揮刑法的規制功能,使刑法閑置無用?但事實并非如此。
人工智能背景下的數據侵害犯罪具有相當的科技專業性,因而,犯罪主體一般限于相關領域的專業技術人員,可以認為,此類數據侵害犯罪是一種特定的高智商犯罪。盡管一般的民眾由于缺乏必要的知識背景,可能難以對技術規范的內容理解,表面上看來因為對條文理解的不規范可能誘發民眾不經意間觸發“紅線”。但實際上,正因為其知識技能的缺乏,一般民眾很難參與此類數據侵害犯罪。也就是說,一般民眾本就不可能成為此類專業犯罪的行為主體,此時刑法面對的或者說試圖規制的僅僅是具有侵害數據的專業知識技能的特定人群而已。因此,人工智能或許框定出某些特定違法犯罪人,不必擔心存在刑法規制功能的失效。
(三)人工智能時代面臨著未來刑法規范的必要轉型
技術的合理有效發展,離不開法律的必要規制。而在人工智能技術的變革發展下,為進一步降低數據集中的風險挑戰,也為適應人工智能參與司法的模式轉變,刑法必須進行價值觀念及規范內容上的必要調整,甚至刑法規范的必要轉型。
1.法律價值觀念的重構法律價值指引著法律制度與規范的設計,在“公平正義”這一法律的普適價值之外,考慮到人工智能技術帶來的新的社會風險性以及技術本身對法律從業的挑戰,有必要重新考量法律的必要價值理念。首先,在人工智能時代,風險控制應當是法律應當追求的首要目標。不同于一般高科技技術的發展軌跡,人工智能技術在發展之初,已然引發民眾對于該技術風險問題的強烈擔憂。小到人工智能輔助工具對隱私數據的無所不入,大到最終的“類人機器人”時代的倫理道德約束問題,人們在初嘗人工智能技術帶來的便利果實,便已開始擔憂未來的“失控”可能。因而,未來法律規制首要考慮的應當是對可能風險的防范與控制問題。一方面,在弱人工智能時代,著重保障數據安全,避免數據的可能濫用或泄露;另一方面,在強人工智能甚至超人工智能時代,則應當認真考慮人類如何避免來自“智能體”的不必要侵害。其次,人工智能時代應當注重法律的效率價值。效率是人工智能參與法律工作的最大優勢,也是我們應當追求的價值理念。一方面,對數據犯罪而言,大量的數據泄露勢必造成極其惡劣的社會影響,互聯網時代的四通八達,晚一天實現對當事者的處置,就有可能導致信息的再次傳播與擴散,此時以高效快捷的法律程序處理案件是將損失降至最低、保護受害人的最佳途徑;另一方面,人工智能參與法律工作,其本身就具備極強的信息處理能力,承認并充分發揮該速度優勢也是應有之義。最后,與時俱進應是法律追求的重要目標。不同于傳統法律較為封閉的法律體系。人工智能技術發展的速度之快,也意味著犯罪手段方式的更新之快。若不及時更新相關規范內容,很容易被不法分子利用其中漏洞,在法網外肆意侵害。因此,傳統封閉的法律條文規范,難以應對復雜的人工智能具體案件,應當隨著技術的不斷更新發展而調整規范內容。
2.技術規范的必要運用
人工智能背景下,由于人工智能輔助司法帶來的識別學習困難等問題,法律條文需要更多專業客觀的文字表述。因此,強調使用更為嚴謹客觀的技術規范,在人工智能時代的題中應有之義。第一,技術規范用語明確不含歧義。正如前所述,由于法律規范中存在大量的規范構成要件要素,在不同的案件情況,甚至不同的社會經驗、知識背景下,不同的法官會作出不同解讀。這一點是難為人工智能所能理解的。而技術規范是一種知識型、智能型的行為規范,是直接指引相關技術人員進行實踐操作的行動手冊,為避免理解不同導致技術操作上的事故,其用詞遣句上更具科學嚴謹性。第二,技術規范的內容具有真實性。“目前中國法律領域的信息存在著突出的‘表象性’特征,即信息是公開的,但卻在某種程度上并不一定是真實的”。技術規范作為一種具體的操作規范,如果相關內容數據存在錯誤,將會直接導致操作結果的千差萬別,甚至造成極其嚴重的生產事故。因而,技術規范的數據信息使用絕對真實,也避免了人工智能進行裁判時結論的荒謬錯誤。第三,技術規范的內容具有客觀性。從本質上來說,法律在某種程度上是一種意識形態。法律規范是一種立法者價值判斷的選擇,是立法者認為實現公平正義最佳途徑,我們不能否認這樣的價值判斷符合社會絕大多數人的利益需求,但總會部分利益被排除在外,產生裁判偏差。而“技術和技術規范本質上是一種以確定性、精確性的科學知識為后盾的工具理性,是為了達成某項目的而使用的手段”。因而,技術規范并不需要感性的價值判斷,如此也避免了人工智能技術識別法律規范時的困難或偏差。
三、未來人工智能刑法規制中“技術規范”的拓展路徑
人工智能技術飛速發展,帶來的不僅僅是傳統犯罪對象上的擴大與更新,更是對數據本身的保護與流動觀念的巨大沖擊和挑戰。而現階段,人工智能的監管正處于一種事前監管于法無據,事后監管缺少標準的狀況,普通法律規范難以適應高速發展的人工智能技術,對于大規模的數據侵害犯罪更是束手無策,因而必然需要合理運用數據安全技術規范,以填補人工智能數據犯罪方面的監管空白。
(一)全方位動態技術監管體系需要進一步固定與設計
對人工智能安全進行專業性法律規制,必須首先搭建起全方位、全過程的行政監管框架體系。一方面借助網絡時代的大背景,數據一旦侵犯泄露,其傳播波及范圍較之以往更甚,確有必要嚴格控制;另一方面由于自身具有的深度學習功能,人工智能在運行后可能會對自身程序進行修改而產生異化。因而,對于人工智能技術規范的作用方式也應當是動態深入的。
首先,強調事前的預防規制。鑒于人工智能在侵害數據安全方面的重大風險性,技術規范的介入應當始于人工智能技術生產應用之前,嚴格控制研發后投入使用的人工智能產品類型,也即著重事前監管。一方面,應當明確人工智能技術開發階段的審批。設置研究與開發人工智能的具體邊界與限度范圍,包括故意或者過失導致失控開發者的刑事責任等。甚至包括在人工智能應用產品著手研發前進行必要的監管評估,明確其產品主要功能、應用領域。技術的進步應當是為社會的發展服務,需要防范制造者或相關程序的設計者以數據竊取犯罪為目的進行人工智能產品的開發設計。另一方面,即使已通過開發審批的項目與產品也應當對人工智能最終產品進行嚴格檢驗與檢測。一是考察其產品的算法設計是否存在黑客入侵的巨大漏洞,是否配備了必要的安全防范措施;二是考察其是否與審批通過的研發方案相符,以防止研發人員“打擦邊球”,通過監管漏洞為犯罪制造機會。同時,更要設置利用人工智能實施犯罪的嚴格刑法規范,包括設置“誤用”人工智能導致犯罪結果發生的刑法規范,等等。其次,完善過程的跟蹤監管。人工智能技術的應用過程,是一個動態的、不斷發展變化的過程。因此,即使通過應用前的嚴格審批排查,也并不能完全保證產品進入市場后不會產生數據侵害的風險問題。因而,一方面應當關注人工智能本身在大量數據收集學習后,如何避免產生算法、功能上的改變;另一方面應當關注網絡黑客等安全漏洞問題,以防發生黑客入侵篡改程序、數據竊取等違法行為。除此之外,要實行人工智能產品的預警報警系統,保證人工智能機器的安全運行,從根本上杜絕和防止其風險的發生。最后,加強事后的危害處置。有了物聯網、大數據和云計算作為支撐(或組成部分)的人工智能系統,可以通過它的感官(遍布各處的傳感器)獲得千里之外的數據。同理,數據泄露后傳播擴散速度之快也必然導致損失的幾何倍擴大。因此,數據侵害犯罪發生后的發現與處置速度就顯得尤為重要:其一,發現危險信息時的預警通知程序,在達到預先設定的數據危險標準界限時,第一時間通過相應程序設置,警醒告知負責管理人員,以作好風險控制或侵害處理準備工作;其二,侵害發生后的協調處理程序。根據事先確定的技術分工,在發生危害后可以迅速確定危害源頭,從而由不同的負責機構根據自己的職責要求進行相應處置善后。甚至有學者提出:“可以在人工智能可能或正在危害全人類生命安全或對國家、社會構成重大危害時,要設置必要的技術手段或‘一鍵設置’功能,經合法程序批準對人工智能進行“終極”處置,以保護人類社會的安全。”
(二)技術法律規范的概念標準需要進一步完善和加強
對于人工智能產品的評價監管涉及多種環節,包括數據的收集與使用、算法的編制、安全防范系統等。但目前為止,我國仍并未有統一明確的標準或規范可予依照。因此,為保證數據安全監管體制的順利運行,急需相關權威機構對相關技術規范概念予以明確。
第一,人工智能的定義標準。進行人工智能的監管,首先必須明確何謂“人工智能”,更具體來說,定義的難點在于何謂“智能”。當下研究領域定義人工智能所使用的最廣泛的方法,關注于機器是否可以實現目標,因而有學者認為,可以將“人工智能”定義為機器能夠完成人類需要智能才能夠完成的任務。第二,數據的定義標準。根據刑法第285條規定的“非法獲取計算機信息系統數據罪”,我國刑法所保護的數據往往與計算機信息系統所粘連,保護范圍限定在計算機信息系統內部。但在大數據時代,人工智能系統收集數據之多,包括各種如網頁瀏覽紀律、購物紀律等相對零碎且對信息系統技術性無重要意義的數據。因此,亟待厘清“數據”的法律概念。第三,數據的采集標準。人工智能發展離不開必要信息數據的采集,但任意地采集或對數據的過分挖掘,都容易造成數據的侵害泄露。因而,必須設定必要的技術規范,以明確數據的采集渠道、數據的采集種類、數據的采集程度等標準,以從源頭上保證數據安全使用。第四,數據的存儲標準。人工智能技術的發展有賴于龐大數據庫的支撐,因此,其所存儲利用的數據一旦遭受侵害,損失必然巨大。由此必須明確人工智能產品中數據的存儲要求,如設定必要的防火墻、病毒攔截措施、數據加密措施等。第五,算法的編制標準。人工智能產品運用方式、應用領域的不同是由其不同的算法程序所決定的。因此,一方面防止人工智能自身出現故障,進行不必要的數據侵害;另一方面防止黑客利用算法本身的漏洞入侵,侵害相關數據庫,有必要制定嚴格的算法標準,防止設計者所編制的算法存在危害數據安全的漏洞或錯誤等,這些都需要技術性法律規范予以規制。(三)技術法律規范的具體制度需要進一步搭建與完善
在搭建起數據安全動態監管框架的基礎之上,便開始需要考慮進行框架內具體的技術規范制度設計與填充。普通法律規制模式下,僅僅是相關技術概念標準的不斷引入,往往導致法律規制的抽象而籠統,脫離對人工智能數據犯罪的具體技術特征把握,宣言式地指導與命令,并不能完全覆蓋日益擴大的數據犯罪圈,難以對隱秘而專業的人工智能犯罪進行有效的具體規制。因而,為避免數據安全技術法律規范原則性的概括指導,應當對人工智能技術特征、行為模式、侵害后果進行全面而具體把握,設計一整套全方位、綜合性的技術規范具體制度,以期實現數據安全風險的最小化。由于歐美國家數據安全規范起步較早,保護范圍相對完善具體,因而筆者將在借鑒參照其相關立法基礎上進行具體技術制度構建。
1.建立安全等級的劃分制度
大數據時代,“數據”早已成為企業生產經營的重中之重,“不僅是信息通信領域這些天然以數據為基礎開展業務運營的企業,就連傳統企業在信息化、智能化的推動下也開始逐步收集積累數據”。而在人工智能時代,數據的收集與存儲進一步集中,相應技術產品對數據的依賴程度較之以往更甚。科技的進一步發展需要數據的不斷整合與利用。因而,禁止數據的使用與支持,將一切數據的處理使用均看作是數據侵害犯罪,完全是因噎廢食,不合理也更不現實。但這也并不意味著,信息數據保護可以此為借口徹底放棄,轉而向市場利益的妥協。
2018年5月25日正式生效的歐盟一般數據保護條例(以下簡稱條例)第9條,明確了對包含個人種族、政治信仰、個人健康或性生活等信息的敏感數據的保護處理,著重強調除非特殊情況,作為一般法則,禁止處理敏感數據。為體現對敏感信息內容重要價值的重視,給予了更為嚴格的保護措施。因而,以此種區分保護的做法為借鑒,我們可以建立相應的信息數據的等級分類制度,對于不同安全等級的數據給予不同程度的保護,以達到科學技術的充分發展與對數據安全合理保護之間的有效平衡。
首先,事關國家、社會、公民個人重大利益的數據應當列為優先等級予以最嚴格等級的保護,國家社會的重大信息數據一般涉及國家安全、國計民生,例如關鍵信息基礎設施中的基本信息數據,而公民個人的重大信息數據則一般是指個人敏感數據,條例中對于個人敏感數據進行了一定程度上的列舉,包括個人的種族、政治傾向、宗教信仰、健康狀況、性生活等。一般來講,公民違法犯罪的前科記錄等行為記錄也不失為敏感信息。由于關涉利益重大,一般而言應當絕對禁止此類信息數據的收集使用,除非基于公共安全等明文規定的重大事項條件,并經數據主體的特別授權才可例外適用。其次,涉及公民一般隱私利益的信息數據應當列為一般等級予以保護,包括公民的位置信息、身份識別信息等,只有在獲得數據主體對收集方式及實際用途的充分同意后,才可進行數據主體授權內容下的處理事項。最后,去身份識別化后的信息數據可以列為最低等級,適用較為寬松的收集使用規則。此類數據由于去除了一定的身份識別信息,不易精確定位到公民個人而對具體個人造成威脅與損害,因而通常并不作嚴格限制。最典型者如“假名數據”與“匿名數據”。“假名數據”在缺乏其他數據輔助分析使用的情況下,并不具備獨立分析確定公民信息的功能特征,因而在獨立儲存處理的情況下不應過多限制。而“匿名數據”由于去除了一切身份識別信息,其無法指向其具體個人、領域,不再對個人隱私或相關領域的安全造成威脅,可以不受隱私保護等文件的約束限制,由相應的數據控制者自由流通使用。
2.制定安全處理的審查規則
人工智能背景下,機器的自我學習與自我意識往往意味著“數據挖掘”的大規模展開,相應技術產品無時無刻不在對數據進行相應地收集與利用,數據處理運用過程復雜多變。因而,若只是原則性地要求相應數據控制主體履行安全保障義務、審慎排查義務等,也只是泛泛而談,對于具體技術工作者的設計操作以及相應技術產品的實際效果,并未有詳細標準規則予以監督參照。我國現行的網絡安全法也僅僅是對相關網絡運營者等負責人原則上規定了安全保障義務、風險排查義務等。該法第41條第1款規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”現行法規對于相應數據控制者、數據收集者的義務規定大多原則性、概括性,并未從具體行為操作上予以明確規范。原則性義務的泛泛而談,難以作為實踐操作的具體審查標準。因而,既需要嚴格規范人工智能技術各階段數據控制者的責任義務,就必須設定各項明確清晰的技術安全標準,劃定審查的內容程度,以免暗箱操作避重就輕,或是淪為一紙空談無人問津。
首先,針對數據的收集使用技術標準。這里筆者主要探討兩類重要問題:一是數據收集使用的首要前提——數據主體的知情同意原則;二是數據分析使用過程中的“用戶畫像”問題。
針對用戶的知情同意原則,需要明確的是,對于用戶的告知說明并非只是形式流程上的,一如我們日常使用各類APP前復雜冗長的隱私條款。對于用戶的同意征求也并非是不可選擇的,一如若不同意相關條款則不可使用該軟件的硬性操作。數據的收集者一方面應當給予數據主體充分的說明,包括數據的收集方式、數據的收集類型、范圍等必要事項。因此,明示說明方式應當作為首選。另一方面應當保障數據主體必要的拒絕反對權利,沒有拒絕的合理選項就不能稱之為真正的自由選擇。例如,對cookie收集的需要進行明確限制。歐盟2009年修改的電子隱私指令對cookie的收集同意程序作了嚴格而明確的限定,根據相關數據工作組對該指令的進一步闡釋:“默示或推斷的許可是不足以滿足cookie指令要求的。在獲得用戶同意前,服務提供商應當提供全面信息,以保障用戶的知情權。”盡管在數據高速流通與使用的當下,“數據收集大多通過機器完成,用戶處于被動狀態,也很難實現對用戶的一一告知”。但告知難度的加大并不能代表告知必要性的減弱,從程序上保障數據主體的充分知情與有效同意,是數據安全使用的第一步驟。
針對“用戶畫像”問題。人工智能技術顯著的數據挖掘能力,即使是從海量的碎片化數據中,也可以高效地進行加工整合,提煉出需要的信息數據。因而,相關數據一旦錄入保存,智能產品的運算分析技術之強大,數據主體的全部基本信息就等于完全曝光在數據控制者面前,毫無遮掩。過度無序地分析評估極有可能帶來個人隱私的無限探知、公共安全的不斷威脅。即便數據主體的已經事先同意許可了數據的使用收集,也并不意味著數據分析的得到絕對豁免。第一,數據的分析活動必要的技術限制,包括明確分析評估可使用的數據類型,例如只可使用匿名數據進行分析等。第二,數據自動分析程序的算法禁止,例如人工智能的深度學習過程,應當避免繞開用戶同意知情情況下的自主分析使用。第三,數據分析結果的用途限制,例如司法審判專家系統中,數據分析所得結果只可用于司法審判活動,不可私自泄露挪用。第四,絕對禁止的分析評估活動,可能對個人人身、財產等權益造成重大損害的數據分析活動應當絕對禁止。例如,條例中規定對個人敏感數據的評估分析是持禁止態度的。盡管條例規定了可使用分析的例外情形,但筆者以為,例外情形的存在很容易成為擅自處理使用的法定借口。如若對例外情形不能做到嚴格把控,還是不應輕易放開使用處理的口子。
最后,針對數據的保存工作。數據控制者應當提供合理有效的算法設計和模型搭建,以保障數據儲存環境的安全可靠。一方面,保存的安全性方面,涉及數據的匿名化措施。數據去身份識別化的義務要求,不能僅僅是原則上的概括指令,還應當進一步強調匿名化的具體技術標準,例如原始數據去除身份信息的具體數量、類型;原始數據的保存方式;去除的身份數據銷毀、刪除程序;匿名后重新識別的風險程度;匿名數據的使用方式,包括是否可以再次被識別、是否可與其他數據相關聯使用。另一方面,保存的期限問題,涉及數據的定期清除措施。數據的不必要累計,不僅有可能擴大數據泄露侵害的規模影響,也加劇了具體個人被識別定位的風險威脅。上述歐盟條例也早已提出了“刪除權”或“被遺忘權”,賦予數據主體要求數據控制者及時刪除有關其個人數據的權利。因而,以此為借鑒,一則應當要求數據控制者定期清理相關數據信息,并明確清理的時間程序,清理數據的類型標準,清理數據的銷毀、不可再生標準等;二則數據主體提出請求時,應當明確請求的具體理由條件、請求刪除的具體程序、刪除流程的具體時限、刪除完成的反饋告知等。
3.建立侵害后果的報告制度
數據的安全管理規范究其本質是為了保護數據主體的合法權益,因而本應當在數據侵害發生后,及時對數據主體進行告知說明。轟動全球的“雅虎數據泄露事件”中,雅虎公司在2013年遭受的黑客攻擊事件,卻選擇在3年后向公眾公開曝光,甚至在公開宣布的1年后,雅虎母公司美國電信巨頭威瑞森才首度承認,實際泄露用戶數量3倍之于通報數量。而同樣的,Facebook信息泄露事件中,其用戶的數據侵害行為早在2016年已然發生,但直至2018年3月由媒體披露后,Facebook才首度承認并展開調查告知程序。很顯然,盡管有諸多形式上的權利保障,數據主體與數據實際控制、使用者之間實際仍是不對等的,數據主體所掌握的事實情況往往局限于數據控制者的主觀篩選,也即一直是處于被動的信息接受地位。當然,要求數據主體時時主動聯系、關心自身數據使用情況,在如今的數據運用廣泛而密集的大數據背景下,是不現實也不合理的,但由此我們才更應該嚴格要求數據控制者的主動報告義務。
數據主體對于數據的掌控不只限于收集使用前的知情同意,更應體現在侵害發生后的數據控制者所作的結果處理報告上。簡言之,數據侵害事件發生后,除監管部門的應急處置、數據控制者的積極配合,還應當實現對數據受害人必要的告知說明,這既是對數據主體知情權的必要保障,也是侵害后及時止損的措施之一,便于數據主體采取補救措施,將對自身侵害降至最低。
美國立法首先提出了“數據泄露通知”的概念制度,具體是指一旦發生用戶數據的侵害泄露事件,數據控制者應當及時告知監管機構及數據主體,如此以保障用戶可在合理時間內得到數據泄露情況的官方報告。以此為借鑒,為充分實現數據主體的數據侵害知情權,應當明確:第一,明確侵害通知的義務主體。數據飛速流通交易的時代,用戶的相關數據并不僅僅只掌握在一家數據控制者手中,因而一旦發生數據侵害事件,所有相關的數據控制者,包括網絡服務提供商、數據中間商、各類app服務提供者等等均應啟動告知程序,避免相互推諉、扯皮;第二,侵害通知的程序,美國各州有立法規定了數據侵害評估程序,例如根據是否對用戶造成不良影響決定是否啟動告知程序,筆者認為,對于自身數據安全,事無大小,用戶都有權得知其具體利用情況,包括侵害情況。因而,應當考慮的是,明確告知的不同形式渠道,并保證優先使用最快捷渠道確保用戶明確知曉;規定合理的告知的時間限制,以確保用戶能第一時間得知侵害泄露問題;第三,侵害通知的具體內容。包括數據的泄露時間、數據泄露的內容、相關負責機構已經采取的應對措施、用戶可采取的補救措施等。
4.建立跨境轉移的許可制度
“隨著互聯網應用的迅速普及特別是信息通信技術在云計算模式上的整合,和世界經濟和全球貿易需要的人、物、貨幣和資本的全球流動一樣,數據也需要實現全球范圍內的流動”。跨國企業間數據的交流合作、云數據庫的移動儲存等甚至是普通個人日常的境外網絡訪問、境外網絡購物都有可能完成數據的跨境移轉。而由于數據自身所存在的個人隱私、公共安全等信息價值,數據的流動不只是技術上的傳輸問題,也不只是國家間合作互通的問題,更需要考慮的是法律規則上的限制批準問題。
在各國數據跨境轉移的規則中,歐盟堅持較為嚴格的數據轉移規則,在其1995年《關于個人數據處理保護與自由流動指令》中明確指出,歐盟公民的個人數據不得移轉至數據保護水平低于歐盟的國家或地區,除非符合包括數據主體明確同意等的三種例外情況,或者數據輸出方與數據輸入方訂立了符合歐盟要求的合同條款。盡管在一定程度上限制了市場的自由交易,但在全球數據侵害日益嚴峻的當下,尤其是面對人工智能技術強大的數據處理與挖掘能力,確實不得不要求市場交易進行必要妥協,而對數據的移轉增加必要的約束與限制,這既是對數據安全的著重強調,也更是對技術平穩發展的合理規劃。
我國對數據的跨境流通大體是嚴格限制的態度,現行的網絡安全法對“關鍵信息基礎設施的運營者”作了相關運營要求,規定“在我國境內運營中收集和產生的個人信息和重要數據應在境內存儲,如需向境外提供,則需依照需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。事實上,高新技術發展日益突飛猛進的當下,個人數據的流通與政府數據等關鍵數據相比更為頻繁,不得不引起高度重視。一方面,個人數據本身具有重大法益價值。其承載的公民個人隱私等切身利益事項本應受到立法的嚴格保護,并且大規模的公民隱私侵犯事件也同樣會對國家社會造成重大利益損害,因而不應當受到忽視和遺漏;另一方面,個人數據也不排除涉及公共安全的信息存在。人工智能技術擅長的“數據挖掘”手段,即使是海量的碎片化信息,也能夠在足夠短的時間內整合、加工,從而提煉出有效數據,因而看似不起眼的零碎數據也有潛在的公共安全威脅。總而言之,及時制定相應的數據流轉保護規則,為各數據控制者提供清晰明確的數據流通指導,嚴格要求數據控制者把控數據跨境交易、防止數據大規模泄露侵害,是十分必須而緊迫的。