在2024年世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會上，“安全”成為備受矚目的話題之一。面對更美好的“數(shù)字未來”的建設(shè)目標，安全發(fā)展是底線，創(chuàng)新發(fā)展是主線，普惠發(fā)展是基線?；ヂ?lián)網(wǎng)誕生之初，基本宗旨就是為了實現(xiàn)普惠共贏，為此，在其創(chuàng)新發(fā)展中更需要夯實安全底線。當前，互聯(lián)網(wǎng)社會發(fā)展步入數(shù)智化時代，以數(shù)據(jù)、算法與算力為核心驅(qū)動的人工智能技術(shù)及產(chǎn)業(yè)已經(jīng)成為“數(shù)字未來”發(fā)展的方向。

隨后，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布了開展“清朗·網(wǎng)絡(luò)平臺算法典型問題治理”專項行動，重點整治同質(zhì)化推送營造“信息繭房”、違規(guī)操縱干預(yù)榜單炒作熱點、盲目追求利益侵害新就業(yè)形態(tài)勞動者權(quán)益、利用算法實施大數(shù)據(jù)“殺熟”、算法向上向善服務(wù)缺失侵害用戶合法權(quán)益等重點問題，督促企業(yè)深入對照自查整改，進一步提升算法安全能力。其中，基于海量數(shù)據(jù)所訓練的人工智能算法及應(yīng)用場景成為關(guān)注的重點，其實質(zhì)是如何實現(xiàn)數(shù)據(jù)正當獲取、合法使用及用戶個人信息保護之間的平衡，是對人工智能算法創(chuàng)新應(yīng)用過程中經(jīng)濟價值與社會價值的動態(tài)統(tǒng)籌?；诖耍Y(jié)合此次專項行動部署，以及《個人信息保護法》實施三周年，有必要對《個人信息保護法》實施成效給予總結(jié)，并就下一步實施重難點予以展開。

《個人信息保護法》實施效果顯著

2021年11月1日《個人信息保護法》正式施行，回應(yīng)了社會公眾對于個人隱私保護的現(xiàn)實需求。在此之前，不少互聯(lián)網(wǎng)平臺支持和展開的各類消費場景，皆出現(xiàn)了通過收集個人數(shù)據(jù)并利用大數(shù)據(jù)分析等算法技術(shù)，實現(xiàn)對不同消費者進行差異化定價的現(xiàn)象，即“大數(shù)據(jù)殺熟”。諸如此類違規(guī)收集、利用個人信息事件的頻發(fā)，催生了公眾對于個人信息保護的強烈需求，推動了《個人信息保護法》的出臺。

在制度設(shè)計上，《個人信息保護法》以法律形式確認了對于個人信息保護與利用的基本理念，確立了“告知-知情-同意”的個人信息處理規(guī)則，明確了敏感個人信息的處理規(guī)則與個人信息跨境提供規(guī)則，設(shè)立了個人信息處理活動中的個人權(quán)利與個人信息處理者的義務(wù)，形成了民事責任、行政責任與刑事責任三重責任保護機制。

實施效果上，三年來《個人信息保護法》的施行不僅為用戶保護個人隱私提供了法律依據(jù)，也為個人信息處理活動設(shè)立了明確的法律規(guī)則。

首先，個人信息相關(guān)配套制度不斷完善，《APP違法違規(guī)收集使用個人信息行為認定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》細化了個人信息保護執(zhí)法依據(jù)，《個人信息出境標準合同辦法》《數(shù)據(jù)出境安全評估辦法》《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定》等為個人數(shù)據(jù)跨境提供指引，《生成式人工智能服務(wù)管理暫行辦法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》回應(yīng)了新情況下的個人信息保護。

其次，個人信息保護執(zhí)法不斷強化，例如，2022年，國家網(wǎng)信辦依法集中處理了135款違法違規(guī)處理公民個人信息的APP；2024年，工信部曝光17款A(yù)PP侵犯用戶隱私權(quán)；2020年起，公安部每年開展“凈網(wǎng)”專項行動，打擊侵犯公民個人信息違法犯罪活動等。

最后，企業(yè)與公眾的個人信息保護意識顯著提升，企業(yè)更加注重個人信息保護合規(guī)管理，公眾對于個人信息處理規(guī)則和個人權(quán)益的認知更加深刻。

個人信息保護面臨人工智能技術(shù)創(chuàng)新與應(yīng)用的挑戰(zhàn)

近年來，生成式人工智能的快速發(fā)展使得數(shù)據(jù)要素的重要性與價值被進一步發(fā)掘，個人信息承載了更多屬性，而人工智能擁有復(fù)雜的技術(shù)邏輯，其決策自主性的提升與決策過程的不透明導致原有的法律規(guī)制產(chǎn)生了困難，為個人信息保護帶來了挑戰(zhàn)。

從技術(shù)創(chuàng)新與應(yīng)用層面而言，人工智能的應(yīng)用對訓練數(shù)據(jù)的大量需求會推動個人信息的收集行為，容易產(chǎn)生非法收集和處理個人信息的情況。同時，人工智能通過機器學習與深度學習等技術(shù)對個人信息進行分析，以挖掘出信息主體的行為偏好與消費需求等進行“用戶畫像”，會增加個人信息的濫用。在生成式人工智能應(yīng)用的加持下，還會通過與用戶進行交互得到的數(shù)據(jù)對結(jié)果進行優(yōu)化，用戶在對話式的過程中容易無意識地提供個人敏感信息。相較于3年前，當下的人工智能應(yīng)用對于個人信息的分析和挖掘程度進一步增強，各類搭載人工智能的家具設(shè)備、可穿戴設(shè)備涉及的個人信息種類與數(shù)量大大增加，也使得個人信息的交互共享越發(fā)頻繁，增加了個人信息濫用與隱私泄露風險。

從法律層面而言，《個人信息保護法》確立了“告知同意”的個人信息處理基礎(chǔ)原則，但實際操作中，一方面，人工智能大規(guī)模的訓練數(shù)據(jù)難以實現(xiàn)真正溯源，數(shù)據(jù)處理者在客觀上難以實現(xiàn)對大規(guī)模數(shù)據(jù)涉及的每一信息主體完成“告知同意”程序，用戶對于個人信息是否被用于人工智能的數(shù)據(jù)訓練仍缺乏知情權(quán)，“知情同意”原則難以落到實處。另一方面，人工智能算法的難以解釋也增加了決策的不透明度，對于個人信息處理者有權(quán)未經(jīng)同意在“合理范圍”內(nèi)處理的已公開個人信息，無論是依據(jù)“目的限定原則”還是“場景理論”，生成式人工智能都難以對“合理范圍”進行解釋。

從公共層面而言，隨著政府間數(shù)據(jù)共享范圍的不斷擴大，涉及個人信息的公共數(shù)據(jù)可以迅速形成對個體行為軌跡、個性需求、認知水平、財務(wù)狀況等方面的詳細畫像，這類數(shù)據(jù)一旦泄露或被非法利用，將嚴重損害個人隱私與公共利益，甚至對國家安全造成影響。其次，例如人臉識別技術(shù)對于個人信息的收集，可能會侵犯個人隱私，但也可能有利于保護公共利益，此種情況下，個人信息保護與社會公共利益的張力進一步放大。同時，人工智能的應(yīng)用進一步挖掘了個人信息的價值，然而人工智能也使得個人信息更易受到侵害，隱私保護與市場競爭效率之間的關(guān)系如何協(xié)調(diào)也成為現(xiàn)實問題。

個人信息保護需更加精細精準

面對個人信息承載的個人隱私、公共利益與競爭價值多元屬性，需秉持統(tǒng)籌個人信息的合理流通與安全保護的總體理念，實施精細化保護。對于個人信息的處理、流通與利用，要以保護個人信息安全為紅線，但是不能以此為由弱化對公共安全與個人信息競爭價值的考量。對此，靜態(tài)的賦權(quán)保護模式已經(jīng)無法應(yīng)對個人信息在人工智能應(yīng)用場景下的流通需求和多樣風險，應(yīng)該采取更為精細的保護模式，實現(xiàn)技術(shù)與法律的融合，采取分場景的動態(tài)規(guī)制模式，加強《個人信息保護法》及相關(guān)配套規(guī)則與其他法律的銜接，構(gòu)建多部門、多主體協(xié)同共治的格局，在保障個人信息安全的同時，科學引導和規(guī)范個人信息處理者的行為，促進個人信息的合理流通。

首先，實現(xiàn)基于風險的分場景的動態(tài)規(guī)制。當前，個人信息的收集與處理的場景不斷擴展，既包括商業(yè)領(lǐng)域的個性化推薦、數(shù)據(jù)交易、企業(yè)決策、信用評估等，也包括公共領(lǐng)域的公共數(shù)據(jù)運營、安全監(jiān)控、健康服務(wù)、公共管理等。在不同應(yīng)用場景下，個人信息風險產(chǎn)生的方式、時間與影響皆具有差異性且無法預(yù)測，基于靜態(tài)賦權(quán)的規(guī)制方式無法應(yīng)對多樣的現(xiàn)實情況。因此，需要通過對個人信息保護規(guī)則進行重新解釋，基于不同場景對個人信息的處理目的、處理方式、種類以及對個人權(quán)益的影響和可能存在的安全風險進行評估，并據(jù)此采取相應(yīng)的措施。例如，允許對于“告知同意”規(guī)則中的告知事項進行風險解釋，告知用戶可能產(chǎn)生的風險類型，由用戶自行判斷是否接受服務(wù)。

其次，在個人信息保護中加入對市場競爭的考量。人工智能大模型對于訓練數(shù)據(jù)供給的進一步擴大，實質(zhì)上也說明了數(shù)據(jù)要素在市場競爭中的顯著價值，個人信息也成為了市場競爭中取得競爭優(yōu)勢的關(guān)鍵資源，是不可或缺的生產(chǎn)要素。與此同時，當市場競爭機制失靈，用戶形成對特定經(jīng)營者的依賴時，個人享有的知情與自主決定權(quán)更加容易受到侵害，作為生產(chǎn)要素的個人信息不流通也會損害其他經(jīng)營者的競爭利益。因此，應(yīng)將個人信息要素融入市場競爭制度當中，構(gòu)建體系化的個人信息保護制度，促進個人信息的合理有序流通。例如，新修訂的《反壟斷法》規(guī)定：“經(jīng)營者不得利用數(shù)據(jù)和算法、技術(shù)、資本優(yōu)勢以及平臺規(guī)則等從事本法禁止的壟斷行為”，意味著《反壟斷法》可以對經(jīng)營者濫用市場支配地位侵害個人信息的壟斷行為進行規(guī)制。個人信息保護法與競爭法在保護個人隱私和促進市場競爭上具有一致性，兩者并行不悖。

最后，形成多部門、多主體治理合力。面對個人信息承載的個人隱私、公共利益與競爭價值多元屬性，不同場景中個人與信息收集者、處理者之間的關(guān)系不同，個人信息流通規(guī)則也存在很大差異。因此，需要政府、行業(yè)協(xié)會、個人信息處理者與個人多元主體協(xié)同共治，在多元主體間尋求利益平衡。政府需加強不同部門間的執(zhí)法協(xié)作，避免對于個人信息保護職責的交叉混同，通過網(wǎng)信部門與司法機構(gòu)的協(xié)調(diào)與研討，減小個人信息保護法律適用的差異；行業(yè)協(xié)會可以依據(jù)協(xié)會特點，對協(xié)會內(nèi)個人信息處理者的行為進行合規(guī)指導與優(yōu)化；個人數(shù)據(jù)處理者應(yīng)加強合規(guī)管理，熟知個人信息處理規(guī)則并能夠依據(jù)所采用技術(shù)的特點進行風險評估與管理；個人則應(yīng)當提高對個人信息保護的重視程度，明確自身授權(quán)個人信息的使用目的與渠道，不隨意授權(quán)。

（陳兵系南開大學競爭法研究中心主任、法學院副院長，數(shù)字經(jīng)濟交叉科學中心研究員；董思琰系南開大學法學院博士生、競爭法研究中心研究助理）