让技术成为法律调控范围内的利器,让法律成为技术可行基础上的善法
互联网技术的进步,为美好生活创造了巨大空间。然而,AI换脸风波、人脸数据公开售卖、大数据公司滥用用户隐私等个人信息保护难题,也成为互联网时代民事权利保护的一大痛点。为了更好趋利避害,就要更好保护个人信息安全。
应当明确,技术创新和法律供给对于个人信息保护而言,犹如鸟之双翼、车之双轮,缺一不可。现在有两种倾向值得警惕。一种观点认为只要加大技术创新的力度,问题就可解决;另一种观点认为产生上述问题是因为法律没有跟进,只要加快法律供给的步伐,难题就可破解。事实上,无论是“过度迷信技术”,还是“简单认为法律滞后”,都是把法律与技术割裂开来。不管是法律还是技术,如果只有单方面发力,即使能取得一定效果,也难以起到根本作用。
一方面,欠缺法律保障的技术创新是盲目的。比如说,在人工智能应用中,可以在后台算法中嵌入收集敏感个人信息的禁令。但算法决策中相关指标的选择和赋值,都是人为设定的,算法的设计者不可避免地将基于自己立场的主观价值注入算法中,从而使“敏感个人信息”的范围发生偏离,进而影响“禁止收集敏感个人信息”指令的实际执行,直接危及个人信息的保护。
再比如说,被人们津津乐道的区块链技术,可以通过加密算法实现隐私保护,且有难篡改的特点。然而,就技术特点来看,区块链上的所有信息都是公开透明可查询的,只是这些信息所对应的用户个人身份通过加密算法被隐去。一旦匿名身份信息被破解(尽管难度异常大)或被泄露,则越是去中心化程度高、区块链技术运用彻底的公有链,个人信息泄露的范围就可能越广。而区块链难以篡改的优点,也有另一面:一旦上链的信息本身错误,则几乎无法更正,这同样影响到以信息更正为重要内容的个人信息保护体系。这都说明,依靠法律提供责任规则,才能为网络平台和用户划定行为边界,为可能的损害预先确定追责机制,确保技术创新不致偏离价值,防止技术运用的弊端。
另一方面,欠缺技术支撑的法律供给是空洞的。我国涉及个人信息保护的立法和司法解释已经初具规模,比如网络安全法、关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定等。而民法典人格权编草案中,也有一章的内容专门规定隐私权和个人信息保护。可以说,在个人信息保护方面,我们的法律供给并非不足。
我们接下来需要做的是通过技术支撑,把法律条文转变为实际监管行动。比如欧盟《通用数据保护条例》规定所谓的“数据可携权”,如果在技术上不能很好地消除数据格式壁垒,形成终端电子设备均可读的通用格式,则“数据可携权”作为一项个人信息权益内容也难以落实。可见,技术创新每天都在进步,法律供给也应该主动运用新技术,成为管用的、能运转起来的制度安排。
总之,我们既要善于利用技术创新的红利,让技术成为法律调控范围内的利器;也要充分发挥法律制度的价值,让法律成为技术可行基础上的善法。唯有如此,个人信息的保护水平才能更上层楼。
(作者为北京市第一中级人民法院法官)
《 人民日报 》( 2019年10月14日 05 版)