下载凯发娱乐网的版权所有:中国法制发展战略研究院
地址:武汉市东湖高新技术开发区南湖大道特一号
传真:027-87108590邮箱:fazhihubei@qq.com
浏览总量:531473
智能互联的隐私风险: 法律挑战与欧盟规制*
发布时间:2020年12月30日
发布者:魏怡然
点击次数:7763次
国
外
社
会
科
学
二
○
二
○
年
第
二
期
智能互联的隐私风险: 法律挑战与欧盟规制*
魏 怡 然
提 要 | 智能互联能够实现高效开放的数据收集和分析,具有巨大的商业潜力和社会价值,同时也
存在亟待解决的法律风险。智能互联系统中,实时监控技术对隐私构成潜在威胁,识别和
分析功能可能导致歧视,复杂的技术结构存在数据安全隐患,知情同意条款难以实现其本
来作用。随着 5g 的到来,上述法律风险会更加突出。欧盟《通用数据保护条例》为智能互
联中的数据保护带来了积极的改变,通过提高技术的安全性和赋予数据权利来保护隐私,
通过最小化数据分析和加强信息披露来避免歧视,通过加强监管和问责、开发安全技术来
治理固有安全漏洞,通过明确隐私责任来建立用户与厂商的互信。但是,《通用数据保护
条例》未能充分考虑智能互联中法律关系的复杂性和多样性,对数据分析的限制与智能互
联的技术特点和运行模式相背离,适用中可能导致权利义务关系失衡,难以实现保护数据
和促进行业发展的效果。
关键词 | 智能互联 物联网 人工智能 隐私 通用数据保护条例 欧盟
中图分类号 | d95
作者信息 | 魏 怡 然,1981 年 生,博 士,中南财经政法大学法治发展与司法改革研究中心讲
师,
430073。
*
智能互联是指人工智能技术与物联网
基础设施的结合,能够实现更高效的物联网
操作,改善人机交互并增强数据管理与分析,
为人类与物理世界之间提供更开放的交流互
动模式。随着 5g 的到来,智能互联会更加
活跃,释放更高的商业价值。但是,智能互联
存在法律风险。如何在获得和使用用户数据
时确保隐私和安全是最突出的法律挑战,在
很大程度上制约着该技术的发展前景。本文
分析智能互联对隐私保护带来的法律风险,
并对欧盟《通用数据保护条例》
( general data
proaction regulation,gdpr,简称《条例》
) 能
否有效应对这种风险进行分析。考虑到《通
用数据保护条例》的深远影响和域外效力,
探讨欧盟对智能互联隐私风险的规制,对完
善中国相关立法有着积极意义。
一、智能互联的运行模式和应用
智能互联一般指的是人工智能与物联网
的技术融合,也有人将其理解为人工智能技
术加强的物联网,或称之为“智能物联网”。
这两项技术并不是新概念,但它们的不断进
步和融合近年来对产业和社会的发展产生了
显著影响。对物联网,各界还没有一致认同
的定义。高德纳公司认为,物联网是包含嵌
入式技术的物理对象网络,用于与内部状态
或外部环境进行通信和感知或交互。物联网
的主要功能是连接机器和产品并获取这些
“物”生成的数据。值得注意的是,物联网服
106
* 本文受中南财经政法大学中央高校基本科研
业务费专项资金( 2722020jcg084) 资助。网
络
治
理
务的真正智能是由它能够执行的处理或操作
水平决定的。① 通过物联网技术,我们可以
倾听机器,与机器对话。但要理解机器并使
其智能化,则需要人工智能。人工智能提供
的是从物联网收集的大量数据中学习和推断
的能力。② 它的融入,意味着在物联网运行
的基础上对这些数据进行监测、控制、分析和
自动决策,③使产品成为智能互联产品,大大
改善物联网的服务水平和商业模式。
智能互联的运行包括三个关键步骤。首
先,物联网产品通过嵌入式传感器检测并捕
获来自周围环境的数据,例如收集周边环境
的信息、用户的相关生理数据和机器运行的
数据。其次,物联网产品收集的这些数据通
过互联网连接的网络传输,并且通常使用基
于云的应用程序进行存储。最后,人工智能
嵌入到上述基础设施组件中,与物联网的网
络相连,能通过分析传感器捕获的这些数据
来做出决策信息,从而使产品提供有针对性
的服务。
人工智能和物联网是两种在功能上具有
互补作用的技术。人工智能会解放物联网的
潜力,物联网则能作为人工智能发展的催化
剂。两者的融合具有转换性和互利性,能加
速创新,显著提高生产力。因此,虽然智能互
联仍然是一个相对较新的概念,但已经广泛
应用于医疗保健、物流、智慧城市和零售行
业,相关产品和经济收益呈现爆炸式增长。
各界普遍认为,智能互联的发展和使用会带
来产品数量的大幅度增加以及生活和工作方
式的改变,还会推动重大的经济转型。④ 许
多大型科技企业已经开始加大对物联网和人
工智能融合的投资,⑤或是利用物联网探索
人工智能的力量,提供新产品,提高运营效
率。⑥ 高德纳的研究报告认为,
2020 年将有
260 亿物品接入互联网,到 2022 年将产生
140 亿美元的经济影响,⑦其中,超过 80% 的
企业物联网项目将包含人工智能组件。⑧ 国
际数据公司则认为,
2019 年人工智能就能支
持所有有效的物联网工作,如果没有人工智
能,数据只能发挥有限的价值。⑨ 值得注意
的是,
5g 会对智能互联的发展起到巨大的推
动作用。智能互联产品需要持续收集和传输
数据,人工智能做出的决策需要快速反馈到
物联网产品中,使预测分析具有可操作性。
出现延迟时,数据就失去了它的价值。因此,
5g 技术的出现,意味着超低能耗、超低延迟、
网络切片、边缘计算的实现,定位精确度会缩
小到 1 米范围内,能为智能互联创造更好的
生态系统,促进产品功能的发展,使远程自动
手术和远程控制生产线机器人成为可能。从
另一个角度来看,智能互联的成功显然依赖
于收集、处理和分析大量数据,通过大量个人
数据的无缝连接,可以轻松地跟踪、识别和对
107
①
②
③
④
⑤
⑥
⑦
⑧
⑨
ashish ghosh, debasrita chakraborty &
anwesha law,“ artificial intelligence in internet of
things”,caai translations on lntelligence technology,
vol. 3,iss. 4,2018,p. 211.
soumendra mohanty & sachin vyas,how to
compete in the age of artificial intelligence,berkeley:
apress,2018,p. 156.
phil brunkard,“the future of lot is ai”,
https: / /www. techuk. org /insights/opinions/item/13827 -
the - future - of - iot - is - ai. [2019 -08 -25]
mauricio paez & mike la marca, “the
internet
of
things:
emerging
legal
issues
for
businesses”,northern kentucky law review,vol. 43,
2016,p. 29.
phil brunkard,“the future of iot is ai”,
https: / /www. techuk. org /insights/opinions/item/13827 -
the - future - of - iot - is - ai. [2019 -08 -25]
deloitte,“bringing the power of ai to the
internet
of
things ”, https: / /www. wired. com/
brandlab /2018 /05 /bringing - power - ai - internet -
things/. [2019 - 08 - 25]
david schatsky & vikram mahidhar,“the
internet of things”,http: / /dupress. com/articles/the -
internet - of - things/.[2019 - 08 - 25]
deloitte,“bringing the power of ai to the
internet
of
things ”, https: / /www. wired. com/
brandlab /2018 /05 /bringing - power - ai - internet -
things/. [2019 - 08 - 25]
ibid.国
外
社
会
科
学
二
○
二
○
年
第
二
期
个人做出推断,①甚至能够构建用户的生活
和身份,对用户的隐私和数据安全构成潜在
威胁。5g 应用的普及,会让这种风险更加
突出。
二、智能互联的隐私风险
实时数据收集、网络安全漏洞和自动化
决策可能会损害用户的隐私、物理安全和财
产价值。有学者认为,物联网技术至少存在
4 种风险: 歧视、隐私、同意和安全。② 随着
人工智能的融入,分析和决策功能会大幅度
提高,技术范式会发生更复杂的转变,风险的
规模和性质也会变化加剧,急需相关法律进
行有效规制。
1. 实时监控对隐私的潜在威胁
智能互联能够对人类活动实时监控。这
一威胁主要涉及的产品功能包括摄像、指纹
识别和语音识别。恶意攻击者有可能利用这
些产品收集的数据,将身份识别连接到具体
个人。例如,用户的位置可能被产品或智能
手机记录下来,还能通过分析从原始数据中
创建新的信息,收集和关联个人资料。关键
问题是,用户对产品的数据收集、关联和实时
跟踪活动可能毫无察觉。面对智能互联监视
功能造成的问题,许多厂商采取的应对方式
是向用户保证他们的数据会匿名化处理。但
是从功能上来说,个人数据的匿名化难以实
现。因为物联网技术能够实现不同数据集之
间的联系,将单个产品收集的数据按照一定
条件连接起来,使分析揭示与最初收集数据
完全不同的信息成为可能。即使是已经匿名
化处理的个人数据,当与其他方面的个人数
据结合使用时,也能够重新识别。例如,不同
智能互联产品可以通过共同的 ip 地址连接
在一起而归因于同一个人。通过这种方式,
这类产品能够在日常生活中持续跟踪用户。
因此,智能互联技术构成对个人隐私的潜在
威胁。
2. 自动识别与推断可能导致歧视
智能互联产品中的传感器收集用户生活
的各种数据。这些数据将通过人工智能组件
加以分析和处理,以便提取有用的信息,实现
自动决策,不断完善设定的功能。但反过来,
这种数据分析是通过机器学习的算法执行
的,而算法可能导致对用户的歧视。③ 在大
量数据被收集和分析的基础上,很容易用算
法对用户的某些隐私进行推断。在这种情况
下,恶意行为者可以利用敏感的个人数据将
用户归类,从而导致对个人的不公平待遇甚
至是歧视。如果用户正在求职,用人单位想
要获取和分析有关人员的数据来找到最符合
他们要求的员工,与求职毫无关联的个人数
据可能会对用户产生重要的负面影响。例
如,智能互联产品收集的用户的运动量、睡眠
情况、心律和其他相关健康信息可以被用人
单位用来推断用户身体是否足够健康、生活
是否有条理,从而作为是否录用的重要标准。
而且,在这个过程中,由于算法的不透明,用
户或监管机构对决策过程没有多少了解,也
很难影响或改变决策,这就导致了新形式的
歧视。
3. 技术与设计存在安全隐患
智能互联产品广泛分布,在不同的程序
和产品之间进行相互操作。相互依赖和普遍
连接让产品功能更加强大,但也扩大了安全
风险,能让攻击在极短的时间内广泛传播。
随着产品数量和种类的增加以及互联网速度
的不断提高,安全风险还会扩大。总的来说,
智能互联的安全缺陷包括以下几种。
108
①
②
③
bart w. schermer,“the limits of privacy in
automated profiling and data mining”,computer law
& security review,vol. 27,2011,p. 45.
s. r. peppet,“regulating the internet of
things: first steps toward managing discrimination,
privacy,security and consent”,texas law review,
vol. 93,no. 85,2014 - 2015,p. 137.
jenna burrell,“how the machine‘thinks’
:
understanding
opacity
in
machine
learning
algorithms”,big data & society,vol. 3,iss. 1,2016,
p. 4.网
络
治
理
第一,安全设计的局限性。智能互联产
品通常都嵌入低功耗和低功率处理器,产品
cpu、内存性能有限,高速处理信息的能力
并不强大,产品很难同时确保安全功能和能
耗的最小化。而且,大多数新的智能互联产
品依赖于射频识别技术在产品之间交换数
据。但是该技术在安全方面先天不足,加密
性较差,易受黑客攻击、干扰和欺 骗。① 这
种先天不足使智能互联产品的安全性较为
脆弱。
第二,旧产品的安全隐患。智能互联中
物联网的功能就是通过标签将传统产品连接
到互联网中。但这些较早出现,安全设计不
充分的“物”可能成为针对智能互联系统破
坏性攻击的切入点。以工业物联网为例,许
多旧产品,例如供应链管理中涉及的工业控
制程序已经运行了数十年,最初设计时并未
考虑到日后会连接到互联网中,从而不具备
安全功能。因此,这些系统不但脆弱易受攻
击,而且一旦出现安全问题很难修补或
升级。②
第三,系统结构复杂。智能互联系统是
垂直模式发展,设计各异。分散在各个行业
中的产品,都是通过不同类型的识别技术来
实现人与物和物与物之间的通信,各种产品
依赖于不同类型的计算机硬件和通信协议,
确保整个系统的安全协调非常困难。然而,
如果没有充分的协调,某一类产品的弱点可
能成为许多其他类型产品的问题。在这种情
况下,随着连接产品的激增,不同复杂程度的
通信节点相互连接在一起,加剧了维护系统
稳定和安全的挑战。③
由于上述原因,智能互联有潜在安全缺
陷,数据泄露风险较大。由于智能互联系统
广泛分布在各个行业,实时跟踪分析大量精
确数据,一旦出现安全问题,例如工业互联网
遭受攻击,影响会非常严重。因此,需要在设
计阶段就完善产品的安全功能,还要明确在
出现安全风险的情况下,该由哪些利益相关
方承担法律后果。
4. 知情同意原则面临困境
用户如果知晓、理解智能互联系统产
生的海量数据和相关后果,也有助于解决
当前的法律困境。但是,智能互联产品的
特点 给 传 统 的 隐 私 披 露 制 度 带 来 了 难
题。
第一,隐私条款难以查找或理解。知情同
意原则在智能互联领域面临重大挑战,数据收
集无处不在,但是许多情形下数据主体无法阅
读和了解产品的隐私政策。在一个产品日益小
型化的时代,个人数据的聚合、分析和存储超出
了用户的可见范围。④ 另外,与产品的小型化
趋势相对的,是产品内部的复杂程度以及它们
收集的数据量之大,厂商提供通俗易懂的产品
说明和隐私条款也面临困难。即使厂商提供
了具体协议和隐私条款,这些附带的法律条文
一般都十分冗长,措辞晦涩,对大多数用户来
说不易理解。
第二,用户实际上没有选择的权利。目
前的智能互联服务条款通常由厂商制定,很
少或没有定制空间。服务和隐私条款通常由
厂商撰写和编译,数据主体必须同意才能够
获得服务,用户没有办法表达他们对个人数
据的使用目的、处理位置、共享政策或保留政
策的偏好。因此,通常情况下用户会选择同
109
①
②
③
④
sara sun beatle & peter berris,“hacking
the internet of things: vulnerabilities,dangers,and
legal responses”,duke law & technology review,
vol. 16,no. 1,2017,p. 162.
mauricio paez & mike la marca, “the
internet
of
things:
emerging
legal
issues
for
businesses”,2016,p. 46.
sridipta misra,muthucumaru maheswaran &
salman hashmi,security challenges and approaches in
internet of things,cham: springer,2016,p. 22.
adam d. thierer,“the internet of things
and wearable technology: addressing privacy and
security concerns without derailing
innovation ”,
richmond journal of law & technology,vol. 21,iss.
2,2015,p. 62.国
外
社
会
科
学
二
○
二
○
年
第
二
期
意接受服务。① 这就使得知情同意条款失去
了原本的意义。
综上所述,智能互联产品对用户的隐私
存在威胁,用户在收集、保留和交换数据方面
的控制和选择十分有限,②保护隐私的传统
模式不太适应物联网带来的新挑战。
三、《通用数据保护条例》
对智能互联的规制
欧盟很早就认识到物联网和人工智能的
潜力,也认为智能互联存在个人隐私风险。③
智能互联产品收集、处理和共享大量的个人
数据,许多数据处理活动都属于 2018 年 5 月
25 日正式生效的欧盟《通用数据保护条例》
的调整范围。《条例》意图在整个欧盟范围
内建立统一的数据保护标准,以便在数据的
自由流动和数据主体的基本利益之间取得平
衡。这种向着共同监管的治理体系的转变,
意味着数据控制者要承担更多的责任。④
1. 增强隐私保护
《通用数据保护条例》采取了通过保护
数据的方法来增强隐私保护。《条例》首先
澄清了一些重要概念,使智能互联系统中的
利益相关方的地位、法律关系和义务更加明
确。根据《条例》第 4 条第 1 款,“个人数据”
是指与可以直接或间接识别的自然人,即数
据主体有关的任何信息,包括但不限于姓名、
身份证号码、位置数据、在线身份识别等标识
符,或参考与该自然人的身体、生理、遗传、心
理、经济、文化或社会身份有关的信息。⑤ 在
澄清概念的基础上,《条例》为保护个人数据
做出了具体的规定,从设计开始提供保护。
第 25 条将匿名化作为实施数据保护原则的
方法,保护数据主体的权利。《条例》所认为
的“匿名化”是指不使用额外信息便不能将个
人资料归于某一特定资料主题,该处理方式需
将额外信息分开存储,并施加技术和组织措
施,以确保个人资料不属于已识别或可识别的
自然人。⑥ 匿名化的要求,意味着智能互联产
品供应商的数据处理义务更加严格具体,特别
是通过技术手段来保护隐私,确保数据的匿名
化,在运行过程中实现对个人隐私的保护。
除了访问个人数据和获取数据存储的信
息之外,《条例》还赋予个人删除权,即要求
删除本人相关数据的权利。值得注意的是,
该权利适用的范围相当广泛。在智能互联系
统下,删除权意味着用户不仅可以请求产品
制造商删除其数据,还可以请求传感器制造
商、软件和应用程序开发商、基础设施提供商
和数据分析公司删除其数据。删除权是相当
强大的,因为它只给数据控制者使用个人数
据的有限许可,而且用户有权随时收回同意,
这种规定将覆盖个人和利益相关者之间的任
何合同安排,使用户在保护隐私和数据安全
方面有更多的自主权。
强调个人隐私权利的另一项规定是第
20 条中新引入的数据可移动权。数据主体
有权以结构化、通用和机器可读的格式接收
其提供给控制者的与其有关的个人数据。⑦
110
①
②
③
④
⑤
⑥
⑦
raúl pardo & daniel le métayer,“analysis
of privacy policies to enhance informed consent”,in
simon n. foley ( ed. ) ,data and applications security
and privacy xxxiii, vol. 11559, springer, 2019,
p. 177.
anthony moreno & petter lovaas,“internet
of
things:
data
privacy
and
cyber-security
implications”,13th annual symposium on information
assurance,june 5 - 6,2018,p. 2.
european commission,“iot privacy,data
protection,information security”,http: / /ec. europa. eu/
information _ society /newsroom/cf/dae /document.
cfm?
doc_id = 1753. [2019 - 08 - 25]
nora ni loideain,“a port in the data-
sharing storm: the gdpr and the internet of things”,
king’s college london law school research paper,
october 10,2018,p. 21.
国家金融 ic 卡安全检测中心信息安全实
验室、北京交通大学金融信息安全研究所、上海交通
大学网络空间安全学院译制工作组,《一般数据保
护法》全文译文,第 2 页。
同上。
同上,第 16 页。网
络
治
理
该条规定使用户得以在不同物联网服务间自
由移动,①例如尝试不同的智能健康解决方
案,还能保留其数据。可移动权是一项对用
户和智能互联技术都有益的规定。对用户来
说,通过可移动权能获得更大的自由度和对
隐私数据的自主权; 对智能互联行业来说,可
移动权比较符合传感器融合的设想和发展目
标。因为从技术上来说,能够自由移动的数
据应该具有相同的格式。因此,从某种意义
上说,该规定也能为在技术和结构层面统一
的智能互联技术的全面法律规制带来积极
影响。
2. 避免算法歧视
《条例》认识到算法可能导致歧视,②在
避免歧视方面主要采取的办法是赋予数据主
体更多的自主权和控制权,对大数据分析进
行限制。在这方面比较突出的是第 21 条和
第 22 条对拒绝权、自主决定权、自动化个人
决策,包括分析的规定。第 21 条赋予数据主
体在任何时候以与其具体情况有关的理由反
对处理与其有关的个人数据( 包括分析) 的
权利。③ 按照反对权的规定,如果是以直接
营销的目的处理个人数据,那么数据主体有
权随时反对这种对他( 她) 个人数据的处理。
数据控制者不得再处理数据主体的个人资
料,除非数据控制者能够证明自己有充分合
法的理由进行处理。但是,在智能互联系统
下这些规定的适用存在一定问题,因为智能
互联产品的技术特点就是实时收集数据。而
且,《条例》对数据控制者对于数据主体的异
议如何处理也没有具体说明。具体规定的缺
失,可能会导致智能互联产品的用户依然要
从接受或保留中二选一。《条例》第 22 条对
包括分析在内的自动化个人决策做出了规
定,表示如果这种自动化决策对数据主体产
生法律影响或是类似的显著影响,那么数据
主体有权不受自动处理的决定的约束。数据
主体将拥有法律补救措施。但是,第 22 条还
对不受约束的情况规定了不适用的情形,明
确加以限制。因此,在实践中该条款的适用
可能非常有限。
《条例》创造了一些增强数据主体权利
的新规定,提高了义务标准,赋予了数据主体
管理和控制自己数据的有力工具,可以限制
个人身份披露。第 3 章规定了数据主体控制
数据的权利,包括透明度的规定、沟通和行使
数据主体权利的方式等。其中,第 15、
16 和
17 条赋予数据主体访问、纠正和删除个人数
据的权利的规定值得注意。访问权是指数据
主体有权从数据控制者处获得关于是否正在
处理与其有关的个人数据的确认,并且在这
种情况下访问一系列个人数据和信息。纠正
权是指数据主体有权随时从数据控制者处获
取和纠正与其有关的不准确的个人数据并加
以完善的权利。第 17 条第 1 款则规定了删
除个人数据的情形: 数据的收集和使用不再
是最初收集的目的,或是数据主体表示反对
处理数据。这些权利不但意在保护用户的个
人隐私,还有利于《条例》第 5 条透明度指导
原则的实施。因此,对于智能互联的利益相
关者来说,《条例》的规定明显增加了数据控
制者的义务。
3. 治理安全漏洞
《条例》是基于风险,强调问责制的隐私
保护立法,要求采取更加积极主动的措施来
111
①
②
③
janis wong & tristan henderson,“ how
portable is portable? exercising the gdpr’s right to
data portability ”, proceedings of the 2018 acm
international joint conference and 2018 international
symposium on pervasive and ubiquitous computing and
wearable computers,acm,2018,p. 912.
charlotte a.
tschider, “regulating the
internet of things: discrimination, privacy, and
cybersecurity in the artificial intelligence age ”,
denver law review,vol. 96,2018,p. 100.
国家金融 ic 卡安全检测中心信息安全实
验室、北京交通大学金融信息安全研究所、上海交通
大学网络空间安全学院译制工作组,《一般数据保
护法》全文译文,第 17 页。国
外
社
会
科
学
二
○
二
○
年
第
二
期
证明 合 规。① 避免数据泄漏或丢失是《条
例》的主要目的。为确保数据的安全,《条
例》对于数据控制者规定了非常严格的义务
和高额赔偿责任。《条例》在定义部分,通过
第 4 条第 12 款专门规定,“个人数据泄露”
是指个人数据在传输、存储或以其他方式处
理时的安全问题导致个人数据被意外或非法
损毁、丢失、变更,以及未经授权的披露或访
问。② 在个人数据泄露的情况下,数据控制
者应毫不延误地,且在可行的情况下,应至少
在获知之时起 72 小时以内,依据第 55 条通
知监督机构,除非个人数据的泄露不会产生
危及自然人权利和自由的风险。如果通知迟
于 72 小时,须附述迟延原因。③ 这就对数据
控制者施加了非常严格的义务。按照《条
例》第 83 条的规定,违规的数据控制者将被
处以最高达 1000 万欧元的行政罚款,或对企
业处以上一财政年度全球年营业额总额 2%
以下的行政罚款,且以较高的数额为准。④
为了确保具体责任的落实,《条例》还强化
了监督机构的职能,规定法律制度没有规定
行政罚款的,可使罚款由主管监督当局提
出。以前,监督机构没有这种执法权力,只
有咨询职能。
《条例》强调技术和设计层面的安全,注
重数据主体对数据控制和管理的权利,将对
数据的保护覆盖到了设计、产生和处理数据
的每个阶段。第 35 条对隐私影响评估做出
了相当具体的规定,要求数据控制者应进行
隐私影响评估,即从设计阶段将保护数据的
技术内置到系统中,以帮助评估收集、使用和
传播个人身份信息的影响和风险,采取适当
措施保护数据主体的权利。对物联网行业来
说,产品供应商需要遵守更具体的安全要求。
隐私影响评估这种方式也能帮助企业组织识
别风险,确保遵守法律、政策或合同。考虑到
智能互联系统固有的安全弱点,《条例》对数
据安全的强调,尤其是责任的规定,在产品类
型众多而且安全设计存在先天不足的情况
下,会对智能互联行业造成相当大的合规
压力。
4. 明确知情同意标准
《条例》注意到了隐私条款存在的各种
缺陷,致力于改善这些问题,真正贯彻知情
同意原则。第 7 条规定了用户同意的条件,
第 13、
14 条规定了数据控制者获取数据需
要提供的具体信息。第 7 条规定同意请求
需要以“明确可与其他事项区分的方式,以
易于理解和易于获取的形式提出,使用明确
的和简单的语言”,避免用户难以理解隐私
条款的内容。除了要求阐明数据收集和处
理可能出现的风险,《条例》还对数据的收
集明确做出了限制,避免数据控制者过度收
集数据。第 7 条第 4 款规定,当评估同意是
否是自由做出时,应尽最大可能考虑到: 合
同的履行,包括服务的提供,是否是基于对
履行合同不必要的个人数据的同意。⑤ 第
13、
14 条中也有目的相似的措辞,尽量减少
过多的数据收集的义务,为用户的同意提供
更好的基础。
《条例》在知情同意方面不是要求数据
控制者公开全部算法或是对算法做复杂解
释,而是需要提供有关算法逻辑的有意义的
信息。⑥ 《条例》第 12 条第7 款规定,根据第
13 条和第 14 条的要求,控制者应当采用标
112
①
②
③
④
⑤
⑥
raphal gellert,“ understanding the notion
of risk in the general data protection regulation”,
computer law & security review,vol. 34,iss. 2,april
2018,p. 279.
国家金融 ic 卡安全检测中心信息安全实
验室、北京交通大学金融信息安全研究所、上海交通
大学网络空间安全学院译制工作组,《一般数据保
护法》全文译文,第 3 页。
同上,第 25 页。
同上,第 61 页。
同上,第 7 页。
sandra wachter,brent mittelstadt & chris
russell,“counterfactual explanations without opening
the black box: automated decisions and the gdpr”,
harvard journal of law & technology,vol. 31,no. 2,
2018,p. 868.网
络
治
理
准化的图标,以简洁明了、清晰可视、晓畅易
读的方式向数据主体提供信息。这些图标以
电子方式呈现,这样就可以以机读的方式进
行信息的读取工作。① 《条例》对隐私条款
做出这样的具体要求,其目的是为了避免许
多智能互联产品中曾出现的隐私声明篇幅冗
长又难以理解的情况,让用户清楚明白地认
识到使用产品会出现数据收集,在明确知晓
可能后果的情况下表达自由意志,实现真正
意义上的知情同意。
值得注意的是,规定数据控制者设计和
默认的数据保护责任的第 25 条也有助于解
决隐私侵入性分析的不确定性。第 25 条规
定,数据控制者处理个人信息时需要考虑到
“处理的性质、范围、内容和处理的目的以及
自然人的权利和自由由于可能性和严重性不
断变化所带来的风险”。② 采取的技术和具
体措施也要受第 5 条与个人数据处理相关的
原则的支配,例如数据最小化、存储和目的限
制等。这就大大加重了数据控制者的责任,
同时大幅度缩小了数据控制者对数据的使用
权利。这种规定意味着,《条例》的规制思路
主要体现为强化和限制: 强化数据主体对数
据的控制权,强化数据控制者的保护义务,实
现真实的知情同意; 限制数据的流动,只允许
按照最初收集的目的来处理,避免隐私以用
户不知道的方式被处理和使用。
四、《通用数据保护条例》
应对智能互联风险的局限性
《条例》的目标是为欧盟数据保护法的
解释带来更多的确定性。然而,虽然包含许
多与传感器、识别技术和人工智能风险相关
的条款,但《条例》并未充分考虑这些技术的
使用效果以及技术融合中的复杂关系和动
态,许多需要进一步解释的定义和措辞并未
明确,在具体适用中可能导致混乱和不确定
性。值得注意的是,《条例》的核心规制手段
是确保数据收集和分析的最小化,从而防止
可能发生的歧视和其他问题。③ 但是,《条
例》对数据保护中利益相关方关系理解得过
于简单,可能难以实现智能互联系统中各主
体之间的平衡,恐怕会对相关产业的发展和
产品使用带来不必要的限制。更关键的问题
是,对数据控制者的限制可能并不意味着用
户的数据和隐私能得到有效保护。
1. 规制手段与技术发展模式相悖
智能互联技术的核心运行原理与《条
例》的立法原则正好相反。《条例》对于数据
的整体要求是最小化和限制使用目的,但物
联网产品和服务最突出的特点就是数据最大
化,实时收集、传输、分析大量数据,甚至过度
收集数据以备未来可用。④ 这种特点与《条
例》第 5 条第 1 款 b 项的目的限制原则、第 7
条对知情同意的规定和第 25 条设计隐私方
面的规定有直接冲突。
从技术角度看,智能互联中的物联网并
不是独立的静态通信实体系统,而是一个复
杂的动态环境。在这个环境中,所有的网络
实体都不能完全控制整个系统的交互协作和
通信。⑤ 智能互联的创造性和发展性正是在
113
①
②
③
④
⑤
国家金融 ic 卡安全检测中心信息安全实
验室、北京交通大学金融信息安全研究所、上海交通
大学网络空间安全学院译制工作组,《一般数据保
护法》全文译文,第 11 页。
同上,第 21 页。
lachlan urquhart, tom lodge & andy
crabtree,“demonstrably doing accountability in the
internet of things”,international journal of law and
information technology,vol. 27,2019,p. 27.
sandra wachter, “the gdpr and the
internet
of
things:
a
three-step
transparency
model”,law,innovation and technology,vol. 10,
iss. 2,2018,p. 266.
ugo pagallo, massimo durante & shara
monteleone,“what is new with the internet of things
in privacy and data protection? four legal challenges
on sharing and control in iot”,in ronald leenes,
rosamunde van brakel,serge gutwirth & paul de
hert,data protection and privacy: ( in) visibilities and
infrastructures,springer,2017,p. 64.国
外
社
会
科
学
二
○
二
○
年
第
二
期
于传感器融合技术能够将各种数据集,包括
以前未连接的数据集相连,随着连接的数据
组和“物”不断增多,再加上人工智能不断发
展系统中用于识别、分析、提供个性化服务的
复杂能力,使得智能互联系统挖掘数据主体
信息的能力和使用信息的目的,很可能是最
初收集数据时不可预见和难以回答的。因
此,目的限制原则要求数据控制者将收集到
的数据仅用于具体明确的目的,知情同意条
款要求对数据使用目的做出充分的说明,这
都是数据控制者实践中可能难以办到和难以
预料的。而且,数据最小化的规制方式很可
能给智能互联技术和产业的发展带来阻碍。
例如,《条例》对删除权的规定可能阻碍物联
网产品和应用的准确性,限制智能互联的创
新能力和发展前景。因为智能互联产品的自
我完善和学习建立在大量数据之上,物联网
基础设施收集的数据相比其他个人数据的优
势就在于其容量、速度、多样性和每个数据主
体的准确性。删除这些数据,一方面会降低
产品“经验”的完整性、准确性和价值,另一
方面也会降低产品的学习能力和功能,限制
技术的准确性和发展潜力,对产业发展具有
负面影响。此外,旨在发现、处理潜在风险的
数据保护影响评估原则,在面对由物联网产
品和服务生成和处理的个人数据的不确定性
时,可能也会限制实施该条款规定时可预见
的风险范围,从而影响第 35 条的实施效果。
2. 利益相关方关系不平衡
《条例》的严格法律要求难以确保用户
的隐私权益与数据控制者的利益之间的平
衡。① 这主要是因为有些重要概念未被澄
清,重要条款缺乏解释。
数据控制者可能因为《条例》模糊的措
辞而面临履行困难。《条例》似乎认为数据
控制者在法律关系中始终是更为强大的一
方,任何时候都能够为收集和处理个人数据
负责并做出决策,②因此智能互联系统中的
数据控制者必须根据不够明确的数据保护标
准让用户了解并控制其数据,但实际上达到
这个标准非常困难。例如,第 34 条在数据泄
露的情况下通知数据主体的要求适用于可能
对自然人的权利和自由带来“高风险”的违
规行为。但是,《条例》对何为“高风险”未做
解释,这意味着不清楚哪些风险或是数据被
认为是最重要的。还有,《条例》的规定导
致必须由数据控制者提供的保护范围受到
限制,这会最大限度地减少它们对隐私侵入
识别和推理分析能够提供的保护。例如,第
22 条涉及自动决策和分析,将“自动化个人
决策制定”定义为“自动化决策对数据主体
产生法律影响或是类似的显著影响”。但是
这个概念并未对“自动化决策”和“类似的
显著影响”做出解释,可能会导致适用中的
漏洞。
这种不平衡也体现在数据控制者和数据
处理者之间的关系上。《条例》的取向是让
数据控制者承担主要责任。③ 但是,智能互
联系统的结构和创建的数据处理模式十分复
杂,数据连接存在不确定性,各个利益相关者
之间的关系并不像《条例》理解的那么简单
明确。现实中,多个参与者经常分担个人数
据处理责任,并且在不同情况下服务提供商
的实际作用也可能有所不同,④但《条例》没
有充分考虑这种复杂局面,这可能会导致适
114
①
②
③
④
sandra wachter, “the gdpr and the
internet
of
things:
a
three-step
transparency
model”,2018,p. 266.
jenna lindqvist, “ new challenges to
personal data processing agreements: is the gdpr fit
to deal with contract,accountability and liability in a
world of the internet of things?”international journal
of law and information technology,vol. 26,iss. 1,
2018,p. 55.
p. t. j. wolters,“ the security of personal
data under the gdpr: a harmonized duty or a shared
responsibility?” international data privacy law,
vol. 7,iss. 3,august 2017,p. 167.
art 29 working party,“opinion 8 /2014 on
the on recent developments on the internet of things”,
wp223,2014,p. 11.网
络
治
理
用中的混乱和责任的失衡。
值得注意的是,数据控制者承担过多义
务和履行困难,并不意味着数据主体的权利
能得到充分的保障。恰恰相反,数据主体可
能在主动采取措施保护自己的数据时面临许
多实际困难。例如,按照《条例》的规定,用
户识别个人数据会面临很大的难度,工作量
也很大。如果要保护自己的隐私,避免歧视,
实践中需要对大量的数据一条条地进行梳
理,才有可能找到那些不准确、不完整或是有
误导效果的信息。这对数据主体的能力和精
力都是很大的挑战。出现这种现象,意味着
以保护用户权利为目的制定的法律,实际上
会面临权利保护的障碍。
3. 规制方式不适应技术挑战
通过前文的分析可以发现,《条例》的违
规责任特别严格,但是智能互联中的数据控
制者面临许多合规障碍。欧盟相关案例和第
29 条工作组都强调知情同意的重要性,认为
知情同意是数据主体成功实现其他数据权利
的基础。但是智能互联的物联网基础设施中
的许多传感器非常小,要确保能够充分告知
不是一件容易的事。值得注意的是,智能互
联技术在不同领域的应用还引发了对知情同
意原则意义的争论。例如,物联网收集的数
据在医疗研究方面发挥着越来越重要的作
用。这些应用和产品收集个人健康数据,通
过设计和研究将这些数据与定性数据相结
合,再加之以大数据和厚数据,能创建个人和
社会行为的丰富画面。① 但是,由于医疗卫
生领域的高度专业性,虽然有知情同意条款,
但数据主体实际上依然并不真正了解研究
人员使用资料的情况,无法为自身做出明智
的决策。最后的结果是他们除了相信研究
人员会妥善使用个人数据之外别无选择。
在这种情况下,知情同意原则并未对数据主
体的权利保护起到有效作用。虽然《条例》
生效时间并不长,但因为规定的模糊、解释
的含糊和严格的问责规定,已经使一些大学
对研究人员使用物联网的数据采取非常谨
慎的态度。②
4. 归因逻辑过于简单
当前应用最广泛的智能互联产品是各种
家用机器人,例如自动清洁机器人 roombas,
或者是在互联网环境下工作的人工助理。这
类家用机器人以算法为基础,通过与周围环
境的互动获得信息来完成“工作”。但这种
互动和学习,也可能让家用机器人出现更为
复杂、难以预料的认识和行为,③这类问题已
经在亚马逊的 alexa 上出现。④ 技术的融合
与发展产生了更多风险,对法律规制提出了
更高的要求。
《条例》对数据保护的逻辑是通过赋予
数据主体更高的数据权利,让数据主体面对
数据收集和处理具有更高的控制能力和自主
决定权,从而实现对个人数据的有效保护。
从另一个角度来说,这种保护模式的效果不
仅是确保数据主体有选择的权利,还意味着
做出选择之后要承担责任。也就是说,在智
能互联环境下,数据主体对智能互联产品收
集、处理数据表示接受,成为用户之后,就需
要承担侵入性处理数据的后果。
在智能互联系统下,《条例》的归因方
式过于简单,不利于理清侵害隐私的真实原
因。家用机器人和其他人工代理与环境的
互动、学习和行为的形成是一个非常复杂的
过程,应该结合更广泛的因素来分析和理
115
①
②
③
④
jacky bourgeois, gerd kortuem & fahim
kawsar,“trusted and gdpr-compliant research with
the internet of things ”, proceedings of the 8th
international conference on the internet of things,
2018,p. 1.
ibid. ,p. 6.
ugo pagallo, massimo durante & shara
monteleone,“what is new with the internet of things
in privacy and data protection? four legal challenges
on sharing and control in iot”,2017,p. 73.
tiffany lo,“my amazon alexa went rogue
and ordered me to stab myself in the heart”,https: / /
www. mirror. co. uk /news/uk - news/my - amazon -
echo - went - rogue - 21127994. [2019 - 12 - 25]国
外
社
会
科
学
二
○
二
○
年
第
二
期
解,不能简单地将机器人对信息和数据收集
与处理的方式归因于用户的使用和命令。
一方面,机器人服务的内容、目标和工作方
式取决于设计者、应用程序开发人员和生产
商,而不是用户。① 另一方面,智能互联技术
意味着人工智能和机器学习通过系统内无限
制的自动连接获取和处理信息,在设计的基
础上通过交流和互动获取信息和自动决策。
影响家用机器人行为的不仅是使用者的命令
和方法,还包括复杂的多种因素。因此,归责
时应该考虑与产品行为有关联的各种因素并
权衡其作用和影响。
五、结 语
智能互联技术具有突出的经济价值和发
展潜力,但法律风险为其发展前景带来了不
确定性。识别技术导致不受用户控制的监
测,个性化预测和推断可能导致对用户的歧
视,系统安全缺陷存在泄露数据的隐患,复杂
的智能互联环境使知情同意原则失去了原有
的作用。总的来说,保护隐私的传统模式难
以适应智能互联环境,法律风险已经成为智
能互联技术发展的障碍。
对数据保护立法来说,在保护隐私的同
时不阻碍技术进步和产业发展是棘手的任
务。《通用数据保护条例》通过增强数据保
护,避免不必要的歧视、治理安全漏洞和明确
隐私标准,对智能互联的法律风险做出了积
极回应。但是,《条例》所采取的核心手段是
最小化数据的收集和分析,这种规制模式与
智慧互联的技术发展模式相悖,具体规定难
以实现智能互联系统中利益相关方权利义务
关系的平衡,传统的知情同意原则不适应智
能互联技术的挑战,其数据保护逻辑也不利
于理清隐私侵害的真实原因。而且,《条例》
对数据分析的限制与智能互联的设计宗旨和
运行特点相背离,可能难以实现保护数据和
促进行业发展的效果。
( 责任编辑: 刘 仑)
116
① ugo pagallo,massimo durante & shara monteleone,“what is new with the internet of things in privacy
and data protection? four legal challenges on sharing and control in iot”,2017,p. 73.