□ 文 林梓瀚 郭 豐

一、基于人工智能發(fā)展的數(shù)據(jù)安全困境

數(shù)據(jù)按照傳統(tǒng)定義是事實或觀察的結(jié)果，是對客觀事物的邏輯歸納，是用于表示客觀事物的未經(jīng)加工的原始素材。與傳統(tǒng)定義不同，《數(shù)據(jù)安全法（草案）》的規(guī)定更加簡單明了，數(shù)據(jù)特指以電子或非電子形式對信息的記錄。因此本文按照《數(shù)據(jù)安全法（草案）》定義，本文所指數(shù)據(jù)是在人工智能發(fā)展過程中所需的以電子或非電子形式對信息的記錄，包括個人信息、商業(yè)信息、國防信息等。

數(shù)據(jù)、算法、算力三要素是人工智能發(fā)展的驅(qū)動力，其中數(shù)據(jù)是人工智能發(fā)展的核心。人工智能的創(chuàng)新發(fā)展主要靠深度學(xué)習(xí)實現(xiàn)，通過大量采集數(shù)據(jù)供深度學(xué)習(xí)進行模擬訓(xùn)練，從而促進人工智能知識與經(jīng)驗的積累，實現(xiàn)智能化。

在人工智能發(fā)展中，數(shù)據(jù)的生命周期尤其是數(shù)據(jù)安全保護重點關(guān)注的問題，按照《數(shù)據(jù)安全法（草案）》規(guī)定，數(shù)據(jù)的活動是指數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。在數(shù)據(jù)的生命周期中，每一個環(huán)節(jié)出現(xiàn)隱患都可能會危害數(shù)據(jù)的安全，如在數(shù)據(jù)收集時非法竊取與過度收集，數(shù)據(jù)在存儲加工時被病毒攻擊，數(shù)據(jù)使用時的關(guān)聯(lián)分析與還原攻擊。因此，在人工智能發(fā)展中數(shù)據(jù)生命周期的每一個環(huán)節(jié)都可能造成國家秘密、商業(yè)秘密、個人信息的泄露，從而危害個人隱私、社會安全與國家安全。

人工智能技術(shù)的發(fā)展給人類社會帶來巨大的技術(shù)進步，人工智能技術(shù)被廣泛運用到生活中的各個場景。由于疫情爆發(fā)，人工智能技術(shù)更是被大規(guī)模運用于防控疫情之中，如人臉識別技術(shù)、測溫技術(shù)等。隨著人工智能在生活各個場景的使用，數(shù)據(jù)安全問題凸顯，我國加快立法，在法律層面在人工智能發(fā)展中對數(shù)據(jù)的安全進行保護。

二、我國現(xiàn)階段的數(shù)據(jù)安全立法現(xiàn)狀

2020年4月9日，《中共中央、國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》（簡稱《意見》）正式發(fā)布，《意見》明確提出數(shù)據(jù)作為五大生產(chǎn)要素之一，在人工智能時代，數(shù)據(jù)就是“石油”，數(shù)據(jù)賦能驅(qū)動技術(shù)與經(jīng)濟的發(fā)展，而數(shù)據(jù)的安全是核心。

此前，2019年發(fā)布的《新一代人工智能治理原則——發(fā)展負責(zé)任的人工智能》（簡稱《原則》）提出八項原則，其中第四項原則是尊重隱私，人工智能發(fā)展應(yīng)尊重和保護個人隱私，充分保障個人的知情權(quán)和選擇權(quán)。在個人信息的收集、存儲、處理、使用等各環(huán)節(jié)應(yīng)設(shè)置邊界，建立規(guī)范。但是《原則》只是人工智能治理的框架和行動指南，缺乏一定的強制力。為了促進數(shù)據(jù)賦能，在人工智能發(fā)展的過程中保障數(shù)據(jù)安全，保證數(shù)據(jù)對數(shù)字經(jīng)濟發(fā)展的驅(qū)動作用，我國制定了相應(yīng)的法律體系，《民法典》第1032條至1038條明確個人隱私權(quán)，對個人信息保護進行定義，為納入今年立法議程的《個人信息保護法》留下空間并確立方向。更具體可操作的數(shù)據(jù)安全立法體現(xiàn)在《電子商務(wù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法（草案）》以及即將發(fā)布的《個人信息保護法（草案）》中，這些法案在制度設(shè)計、保障措施、執(zhí)法力度方面全面保障數(shù)據(jù)的安全與發(fā)展。

（一）《網(wǎng)絡(luò)安全法》與《電子商務(wù)法》明確個人信息主體權(quán)利

《網(wǎng)絡(luò)安全法》于2017年6月1日起正式施行，共7章79條?！毒W(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)安全支持與促進、網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全、監(jiān)測預(yù)警與應(yīng)急處置、法律責(zé)任分別作出相應(yīng)的規(guī)定，明確網(wǎng)絡(luò)運營者的義務(wù)與網(wǎng)絡(luò)用戶的各項權(quán)利。其中第四章網(wǎng)絡(luò)信息安全明確了網(wǎng)絡(luò)經(jīng)營者，包括網(wǎng)絡(luò)所有者、網(wǎng)絡(luò)管理者和網(wǎng)絡(luò)服務(wù)提供者對收集的用戶信息嚴格保密，并建立健全用戶信息保護制度?！毒W(wǎng)絡(luò)安全法》對個人信息的保護涵蓋了人工智能運用個人信息數(shù)據(jù)的整個生命周期，包括個人信息的收集、存儲、傳輸、使用、交易。

對于個人信息的收集，《網(wǎng)絡(luò)安全法》規(guī)定被收集者同意是前提，網(wǎng)絡(luò)經(jīng)營者必須應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，明確了個人信息權(quán)利主體的知情權(quán)、許可權(quán)。同時，在收集的過程中確定了被收集者的“刪除權(quán)”，亦既在若網(wǎng)絡(luò)運營者違反法律法規(guī)或者約定非法收集、過度收集的情況下，被收集者可以要求其刪除個人數(shù)據(jù)。

對于個人信息的存儲與傳輸，《網(wǎng)絡(luò)安全法》規(guī)定不得非法對個人信息進行傳輸，未經(jīng)被收集者同意，不得向他人提供個人信息。但是，有例外情況，在個人信息經(jīng)過脫敏處理的情況下，已經(jīng)無法識別特定個人且不能復(fù)原的除外。在存儲的過程中法案進一步強調(diào)必須采取必要措施，確保其收集的個人信息安全。對于個人信息的使用與交易，《網(wǎng)絡(luò)安全法》明確規(guī)定，不得非法出售或者非法向他人提供個人信息。《網(wǎng)絡(luò)安全法》第64條同時對違反個人信息保護條款的網(wǎng)絡(luò)經(jīng)營者作出了處罰措施，相應(yīng)設(shè)定了民事責(zé)任、行政責(zé)任與刑事責(zé)任。

在當(dāng)前的電子商務(wù)發(fā)展中，電子商務(wù)經(jīng)營者利用人工智能技術(shù)對收集到的個人信息數(shù)據(jù)進行“用戶畫像”，定點推送，對個人隱私造成了一定程度上的侵害。因此，2019年1月1日正式實施的《電子商務(wù)法》在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上對個人信息保護做了進一步的強化與細化。《電子商務(wù)法》共7章89條，主要對電子商務(wù)經(jīng)營者、電子商務(wù)合同的訂立與履行、電子商務(wù)爭議解決、電子商務(wù)促進和法律責(zé)任做出了相關(guān)的規(guī)定?？v觀整個《電子商務(wù)法》，其對電子商務(wù)經(jīng)營者在特定經(jīng)營過程中涉及個人信息保護做出了一系列嚴格的規(guī)定，明確在不同場景中保護個人信息，賦予個人信息權(quán)利主體刪除權(quán)，并對違反個人信息保護所應(yīng)承擔(dān)的法律責(zé)任也作出了清晰的規(guī)定。在《電子商務(wù)法》的第23條中明確提出保護個人信息，其規(guī)定規(guī)定電子商務(wù)經(jīng)營者收集、使用其用戶的個人信息，應(yīng)當(dāng)遵守法律、行政法規(guī)有關(guān)個人信息保護的規(guī)定。

《電子商務(wù)法》同時明確個人信息權(quán)利主體的權(quán)利實現(xiàn)形式，賦予個人信息權(quán)利主體“刪除權(quán)”。第24條要求電子商務(wù)經(jīng)營者明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序，不得對用戶信息查詢、更正、刪除以及用戶注銷設(shè)置不合理條件，進一步加強了對個人信息權(quán)利主體權(quán)利的明示與個人信息的保護，這在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上進一步強化了個人對信息的控制權(quán)。值得注意的是《電子商務(wù)法》在用戶實現(xiàn)刪除權(quán)方面未設(shè)置前提，這是在《網(wǎng)絡(luò)安全法》基礎(chǔ)上針對特定領(lǐng)域用戶權(quán)存儲于中華人民共和國境內(nèi)的數(shù)據(jù)時，有關(guān)組織、個人應(yīng)向有關(guān)主管機關(guān)報告，獲得批準(zhǔn)后方可提供。利加強了保護。

《電子商務(wù)法》對電子商務(wù)經(jīng)營者違反個人信息保護及侵犯個人信息權(quán)利主體的權(quán)利做出了相應(yīng)的處罰措施，進一步規(guī)范了電子商務(wù)經(jīng)營者的經(jīng)營活動，保障個人信息安全?！峨娮由虅?wù)法》規(guī)定違反條款的，由市場監(jiān)督管理部門責(zé)令限期改正，并對經(jīng)營者與經(jīng)營平臺處相應(yīng)的罰款。

（二）《數(shù)據(jù)安全法（草案）》定義數(shù)據(jù)內(nèi)涵與安全保障

2020年6月28日，第十三屆全國人大常委會第二十次會議初次審議《中華人民共和國數(shù)據(jù)安全法（草案）》（下稱《草案》）。隨后7月3日，該《草案》在中國人大網(wǎng)公布，面向社會各界征詢意見?！恫莅浮饭?1條，分七章，分別為總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放、法律責(zé)任和附則。《草案》在《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《民法典》的基礎(chǔ)上擴大了數(shù)據(jù)的范圍，豐富了數(shù)據(jù)的內(nèi)涵，把數(shù)據(jù)的定義從個人信息延展到記錄的信息，從單純保護個人權(quán)益擴展到維護社會、國家的安全。

《草案》的核心就是數(shù)據(jù)安全，縱觀整個《草案》最重要的就是如何保障數(shù)據(jù)的安全?！恫莅浮返谌聰?shù)據(jù)安全制度為如何保障數(shù)據(jù)的安全，如何操作做了具體的規(guī)定，尤其體現(xiàn)在數(shù)據(jù)分級保護、安全機制設(shè)立（如預(yù)警、應(yīng)急、審查等安全機制的設(shè)立）等國家監(jiān)管手段?！恫莅浮返谒恼聰?shù)據(jù)安全保護義務(wù)明確了各數(shù)據(jù)活動主體在進行數(shù)據(jù)活動時的具體界限與義務(wù)，強化了數(shù)據(jù)活動主體的自我管理與數(shù)據(jù)保護意識。

此外，隨著中美沖突的加劇，美國與其盟友加大在科技領(lǐng)域?qū)χ袊膰?。?shù)據(jù)作為人工智能發(fā)展的核心，在新的國際關(guān)系背景下對我國數(shù)據(jù)在境外的安全保護以及數(shù)據(jù)跨境流動規(guī)則的明確尤為重要。《草案》規(guī)定在中華人民共和國境內(nèi)開展數(shù)據(jù)活動，適用本法，這是典型的屬地管轄權(quán)，但是除屬地管轄外，《草案》延展管轄范圍，也適用于我國境外的組織、個人?！斗ò浮返?條規(guī)定中華人民共和國境外的組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，亦將依法追究法律責(zé)任。《草案》對數(shù)據(jù)跨境流動也有相應(yīng)的規(guī)定，《草案》第33條規(guī)定，境外執(zhí)法機構(gòu)要求調(diào)取

三、我國立法的影響與存在的問題分析

（一）影響

（1）明確數(shù)據(jù)安全內(nèi)涵與措施手段，保障了我國數(shù)據(jù)安全。《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)經(jīng)營者對收集的用戶信息嚴格保密，并建立健全用戶信息保護制度?！峨娮由虅?wù)法》對電子商務(wù)經(jīng)營者在特定經(jīng)營過程中涉及個人信息保護做出了一系列嚴格的規(guī)定，明確在不同場景中保護個人信息，并對違反個人信息保護所應(yīng)承擔(dān)的法律責(zé)任也作出了清晰的規(guī)定?！睹穹ǖ洹返?032條至1038條明確個人隱私權(quán)，對個人信息進行定義，確定了一系列保護個人信息的規(guī)則?！稊?shù)據(jù)安全法（草案）》豐富了數(shù)據(jù)的內(nèi)涵，把數(shù)據(jù)的定義從個人信息延展到記錄的信息，從單純保護個人權(quán)益擴展到維護社會、國家的安全?，F(xiàn)有的立法體系通過明確對數(shù)據(jù)的保護，并進行制度設(shè)計，在制度層面進行預(yù)先與事后保護。同時，確定保護原則，設(shè)立相應(yīng)的民事、行政、刑事責(zé)任，全方位保障我國數(shù)據(jù)安全。

（2）“賦權(quán)”數(shù)據(jù)主體，為未來立法確定方向?！毒W(wǎng)絡(luò)安全法》以收集者同意為前提，明確了個人信息權(quán)利主體的知情權(quán)、許可權(quán)并在收集的過程中強調(diào)了被收集者的“刪除權(quán)”?！峨娮由虅?wù)法》進一步強化數(shù)據(jù)主體的權(quán)利，賦予主體查詢權(quán)、更正權(quán)、刪除權(quán)、注銷權(quán)，并且這些權(quán)利的實現(xiàn)無設(shè)置前提。《民法典》中對個人信息進行了定義，同時強調(diào)個人隱私權(quán)利，確定了未來個人信息保護立法的相關(guān)原則?，F(xiàn)有的立法體系為數(shù)據(jù)主體進行“賦權(quán)”，為下一步確立“個人信息權(quán)”定下了基礎(chǔ)，也為即將發(fā)布的《個人信息保護法（草案）》提供了權(quán)利“素材”與參考。

（3）維護我國數(shù)據(jù)主權(quán)。2018年美國實施《澄清域外合法使用數(shù)據(jù)法案》（Clarifying Lawful Overseas Use of Data Act，CLOUD Act），其規(guī)定“無論通信、記錄或者其他信息是否存儲在美國境內(nèi)，服務(wù)提供者均應(yīng)當(dāng)按照本章所規(guī)定的義務(wù)要求保存、備份、披露通信內(nèi)容、記錄或其他信息，只要上述通信內(nèi)容記錄或其他信息為該服務(wù)提供者所擁有、監(jiān)護或控制?！盋LOUD法案明確采用“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，由于全球互聯(lián)網(wǎng)巨頭大部分在美國，美國擁有巨大的優(yōu)勢，因此CLOUD法案實際上實現(xiàn)了美國的長臂管轄權(quán)。2018年歐盟實施的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）也在一定程度上實現(xiàn)了歐盟的長期管轄，GDPR的適用范圍不止適用于歐盟內(nèi)，也適用于歐盟外的主體，其規(guī)定對歐盟內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)處理，即使控制者和處理者沒有設(shè)立在歐盟內(nèi)在滿足條件的情況下也適用此法。《數(shù)據(jù)安全法（草案）》突破屬地管轄，適用于我國境外主體是對歐美長臂管轄強有力的回應(yīng)，維護了我國數(shù)據(jù)主權(quán)。同時，《數(shù)據(jù)安全法（草案）》第33條有關(guān)數(shù)據(jù)跨境流動規(guī)則對歐美主導(dǎo)的《布達佩斯網(wǎng)絡(luò)犯罪公約》第32條b款進行了回應(yīng)，強調(diào)“批準(zhǔn)后方可提供”，設(shè)置了前提，進一步維護我國的數(shù)據(jù)安全與主權(quán)。

（二）立法存在的問題與不足

（1）宜粗不宜細的立法思想原則依然是主導(dǎo)?，F(xiàn)有的數(shù)據(jù)安全立法依然秉持宜粗不宜細的立法原則進行立法，相關(guān)條款的規(guī)定比較模糊與抽象，依賴下位法的制定與司法解釋進一步細化，靈活性比較大但是缺乏操作性與實效性，這加劇了我國的立法成本。我國現(xiàn)有數(shù)據(jù)安全立法與GDPR相關(guān)規(guī)定的對比，缺乏對特定場景的規(guī)定以及數(shù)據(jù)類別的區(qū)分，如缺乏在數(shù)據(jù)傳輸過程中對于發(fā)送者、接收者條件的具體規(guī)定等。

（2）數(shù)據(jù)權(quán)屬問題尚未觸及?，F(xiàn)有的立法沒有明確規(guī)定數(shù)據(jù)資產(chǎn)所有權(quán)的歸屬，數(shù)據(jù)主體與數(shù)據(jù)處理者或數(shù)據(jù)控制者對此認識存在爭議。個人數(shù)據(jù)權(quán)包括財產(chǎn)權(quán)與人身權(quán)，數(shù)據(jù)所有權(quán)的歸屬決定著數(shù)據(jù)價值利益的分配以及讀數(shù)據(jù)質(zhì)量、安全責(zé)任的劃分?，F(xiàn)有的數(shù)據(jù)安全立法主要關(guān)注個人數(shù)據(jù)權(quán)利的人身權(quán)，明確保護個人信息安全與個人隱私，對于個人數(shù)據(jù)財產(chǎn)權(quán)尚未涉及。對于數(shù)據(jù)權(quán)屬問題當(dāng)前存在著爭議，數(shù)據(jù)權(quán)益問題日益復(fù)雜化。有的觀點認為，個人對數(shù)據(jù)財產(chǎn)權(quán)擁有絕對權(quán)，但是也存在相反意見，有的觀點認為在人工智能或大數(shù)據(jù)時代，單個個人數(shù)據(jù)的價值有待商榷，數(shù)據(jù)控制者或者說平臺利用收集的大量數(shù)據(jù)進而才利用數(shù)據(jù)創(chuàng)造出價值，因此所有權(quán)數(shù)據(jù)數(shù)據(jù)控制者。

四、結(jié)語

隨著人工智能的發(fā)展，人工智能在賦能數(shù)字經(jīng)濟發(fā)展的地位越來越重要，數(shù)據(jù)作為人工智能發(fā)展核心，如何保障數(shù)據(jù)安全也引起各國的重視。各國紛紛立法保護本國的數(shù)據(jù)，如美國的《加州消費者隱私法》（CCPA）、印度的《個人數(shù)據(jù)保護法案》（PDPB）、巴西的《通用數(shù)據(jù)保護法》（LGPD）等。我國的《民法典》《電子商務(wù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法（草案）》以及即將發(fā)布的《個人信息保護法（草案）》構(gòu)建了我國數(shù)據(jù)安全保護的整體法律體系，維護了數(shù)據(jù)安全，保障了數(shù)據(jù)要素賦能我國經(jīng)濟發(fā)展的重要作用。但是，目前我國數(shù)據(jù)安全立法宜粗不宜細的特點，數(shù)據(jù)安全立法仍然缺乏一定的操作性與實效性，有待后續(xù)下位法制定、司法解釋以及后續(xù)實際運用來進行補充，未來將進一步細化與可操作化。同時，對于在人工智能時代，個人數(shù)據(jù)的財產(chǎn)權(quán)如何確定也將繼續(xù)討論。

隨著互聯(lián)網(wǎng)與通信技術(shù)的發(fā)展，5G時代已經(jīng)到來，人類進入萬物互聯(lián)的時代。萬物互聯(lián)加速了數(shù)據(jù)的流動，因此做好數(shù)據(jù)本地化，確定數(shù)據(jù)跨境流動規(guī)則是我國數(shù)據(jù)安全立法接下來的立法方向，也是未來世界各國立法的發(fā)展方向。當(dāng)前數(shù)據(jù)跨境流動規(guī)則主要是在世界貿(mào)易組織（WTO）的服務(wù)貿(mào)易總協(xié)定（GATS）有關(guān)條款的基礎(chǔ)上制定的，GATS第14條一般例外規(guī)定了限制數(shù)據(jù)跨境流動的必要措施。無論是歐盟之間的隱私盾協(xié)議，或者美日、歐日之間基于亞太經(jīng)濟合作組織（APEC）的跨境隱私規(guī)則（Cross Border Privacy Rules System，CBPR）都沒有突破GATS相關(guān)條款。隨著歐盟與美國隱私盾協(xié)議的失效，如何確定數(shù)據(jù)跨境流動相關(guān)規(guī)則引起全球關(guān)注。我國《數(shù)據(jù)安全法（草案）》涉及了跨境數(shù)據(jù)流動的相關(guān)規(guī)定，如何在進行數(shù)據(jù)本地化的同時做好輸出時合規(guī)，輸入時安全，是我國下一步確定數(shù)據(jù)跨境流動規(guī)則重點的考慮?！?/p>