新冠肺炎疫情嚴重危害了人民群眾的生命健康,擾亂了正常的經濟生活秩序。國家應對疫情防控等公共衛生安全領域的能力面臨嚴峻考驗,而人工智能在此次新冠肺炎疫情監測、病毒溯源、防控救治、資源調配等方面發揮了重要的支撐作用。比如,高密度人流體溫檢測,基于大數據分析技術的疫情預警,遠程醫療問診,基于數據分析的醫學研究、疫苗等藥物的研發等。不過,人工智能技術在突發公共衛生安全事件的應用中,同樣內嵌著數據利用與數據安全保護的矛盾問題。為更好利用人工智能技術助推科學防控、聯防聯控,發揮其在國家公共衛生應急管理中的作用,同時也保障數據流通安全,需要將疫情防控中人工智能的應用納入法治軌道,以實現“個人數據安全有保障、數據共享有規則、數據流通有秩序”的良好法治環境。
第一,個人數據收集、存儲、分析和利用應合規。
數據是人工智能技術發展的基礎,人工智能在疫情防控中作用的發揮有賴于對每一社會個體收集的個人基本信息(姓名、性別、年齡、聯系方式、住址、通訊信息等)、行為特征信息(與湖北/武漢接觸史、交通工具等信息)和診療情況信息(是否具有發熱、咳嗽、乏力、胸悶等信息,過往新冠肺炎病史、就診過程等信息)的合理利用。這些個人數據在利用人工智能技術實施疫情態勢研判、傳播路徑分析、精準防控、有效治療及后續治理、提高接診問診效率、病毒突變預測等方面發揮基礎性作用。如果對這些數據進行整體分析、利用,用于態勢研判,則不易造成侵權風險;但如果針對某一個體病例結合分析,從而鎖定到患者本人,在缺乏明確利用規則的前提下,則容易引發隱私侵權風險。因此,需要對疫情防控中個人數據的收集、存儲、分析、利用等各個環節進行法律風險的把控,以保障個人數據、個人隱私的安全。
目前,我國關于個人信息、隱私保護的法律零散地體現在網絡安全法、民法總則、侵權責任法、消費者權益保護法、《電信和互聯網用戶個人信息保護規定》《兒童個人信息網絡保護規定》《互聯網個人信息安全保護指南》《信息安全技術 個人信息安全規范》等法律法規中。整體而言,關于個人數據保護的規范,從前期的零散法律規定逐漸發展到現階段專門制定個人信息保護的規范。但是,既有規范明顯不足以應對突發疫情中個人數據利用存在的風險。對疫情防控中個人數據利用范圍、利用標準等問題需要法律予以細化。
具體而言,疫情防控中以及未來人工智能技術的開發和使用,應做到以下幾點:一是遵循合法、正當、必要原則收集和使用個人信息。在收集個人信息時,應依法、公開收集,明示收集使用的目的、方式和范圍。在收集過程中,應嚴格依照收集規則進行,不得收集與疫情防控人工智能研發無關的信息。在使用個人信息時,應審慎評估該使用行為是否會對個人信息、個人隱私等既有法保護的權利造成不利影響。二是建立健全信息安全防控系統,人工智能研發者、使用者應制定完善的數據合規管理制度,建立完善的個人數據合規處理、個人數據訪問權限、個人數據安全應急、個人數據主體權利請求等制度,切實保障個人信息、個人隱私安全。三是密切關注國家立法及監管態勢,適時調整企業內部管理規范。人工智能研發者、使用者應密切關注國家法律法規、行業協會發布的行業規范及國際上關于個人信息保護的最新前沿動態,及時制定和調整企業內部關于個人信息保護的管理規范,定期開展內部合規自查,確保對個人信息收集、存儲、分析和利用的安全。
第二,疫情數據共享需有則。
我國疫情防控之所以取得相對較好的效果,人工智能技術在疫情防控中發揮較大的作用,這種作用發揮的基礎有賴于數據共享。與疫情相關的數據主要掌握在政府部門手中,只有政府部門將掌握的疫情數據進行共享,結合其他數據控制主體之間的數據共享,才能更大程度發揮數據在人工智能疫情防控中的作用。但就我國目前法律規范現狀而言,缺乏明確的數據共享規則,更缺乏突發公共衛生安全事件等特定領域中的數據共享規范。以至于政府部門掌握的疫情數據沒有得到充分的效用發揮,人工智能企業收集數據因規范不明而亂象叢生。
對此,需要法律明確疫情數據共享的規則。一方面,政府數據共享的范圍、方式、標準應當予以明確。目前政府大多是以“文字+數字”“圖片格式的表格”等形式發布疫情數據,其中,“文字+數字”是對原始數據進行加工和歸總的結果,并不是一手的、具備細顆粒度的數據,不便于開發和利用;而以“圖片格式的表格”發布的數據,大多呈現為碎片化、不連續的狀態,需要將圖片的數據轉化為機器可讀取和處理的數據,才可對之進行分析。而完整的、一手的、即時的、可獲取的、可機讀的、非歧視性的、非專屬性的數據是人工智能開發當中最有用的數據。因此,為便于疫情防控人工智能技術的開發,應當從法律上明確和細化政府數據共享的范圍、方式和標準。另一方面,法律應規范企業之間收集和共享疫情數據的行為。目前關于疫情數據,哪些數據可以收集,應當如何收集,對于搜集數據的利用標準和限度缺乏明確的法律規定。導致實踐中掌握數據的機構和企業出于法律風險的擔憂,而不敢提供數據。并且數據采集技術的應用層出不窮,對個人隱私、個人信息存在著不同程度的侵權風險。因此,需要法律明確疫情數據可采集的范圍、分析、利用的標準,明確數據收集者采集疫情信息技術的備案制度,以規范數據有序共享,保障個人數據流通安全。
第三,跨境疫情數據流動要規范。
當前,新冠病毒在全球肆虐,人類社會進入全球防控疫情狀態。“病毒沒有國界,疫情不分種族”,只有加強國際間關于疫苗研發、防控措施的溝通和合作,才有助于解決全球性危機。現代人工智能技術是人類同疾病較量的有力武器,國際間的疫情防控合作離不開現代人工智能、大數據等新技術在流行病學研究、病毒溯源調查、疫苗研發、檢測技術、流行病學研究等方面的應用合作。
目前,我國關于數據跨境流通缺乏明確的法律規定,國家互聯網信息辦公室發布的《個人信息出境安全評估辦法(征求意見稿)》《個人信息和重要數據出境安全評估辦法(征求意見稿)》《數據安全管理辦法(征求意見稿)》仍在征求意見階段。盡管如此,這些征求意見稿并不是針對疫情防控跨境數據流通問題進行的專門規范。對于疫情防控中的數據跨境流通需要專門的規則予以細化規定,其規則的設置應注重對國家信息安全、個人數據安全、企業數據安全的保障,從可流通的數據范圍、可應用的場景、數據保護認證能力、數據流通備案審查、數據流通風險評估等方面建立數據跨境流通安全管理法律機制。
綜上,新冠肺炎疫情對我國社會治理能力帶來嚴峻挑戰,而人工智能在疫情防控中的作用較為明顯,但也伴隨著技術應用中的數據安全風險。疫情防控中人工智能技術應用法律風險防范的核心在于對數據流通進行有序規范。只有保障數據流通安全,才能更好發揮人工智能技術作用,進而提升社會治理的效果。
(作者系西南政法大學高等研究院院長、人工智能法律研究院院長)