2020年2月14日中央召开全面深化改革委员会第十二次会议,强调要通过更好地发挥人工智能等数字技术,以支撑疫情监测分析、病毒溯源、防控救治等方面的工作,这一举措无疑是人工智能助力疫情防控的“官方认证”。但人工智能的自身特征决定着其一旦涉及数据泄露,危害远远大于普通的信息安全事件。当下,我国针对个人隐私保护存在着制度设计上的缺陷,普通规则在人工智能医疗信息保护方面更是难以适用。因此,笔者认为应当摒弃机械地适用法律规定,结合当下人工智能医疗的需求灵活界定隐私,再展开个人隐私保护法律路径的具体设计,最终达到平衡公共利益与个人权利的目的。
一、人工智能助力疫情防控,福利与风险并存
在此次疫情防控过程中,人工智能所带来的福利绝非一方所享有。对于患者来说,利用传感器对人体进行数字化,可以大大提升诊断的准确率、及时得到更好地治疗方案;对于医务人员来说,利用人工智能诊断疾病不仅可以缓解医务人员不足的窘境,更能最大程度地预防和降低医患之间交叉感染的风险;对科研人员来说,人工智能所提供的大量数据有助于疫苗的研发,甚至后续医疗防控方案的制定。
但是,医疗人工智能的精准高效正是基于对患者个人医疗信息的深度挖掘与分析,一旦涉及数据安全问题,结合大数据容量大、种类多、速度快等的特征,尤其是医疗信息一般所具有的敏感性,其危害程度远远大于普通的信息安全事件。
因此,如何在利用数据助力疫情防控的同时保护患者的隐私不被侵犯,缓解协调隐私保护和信息福利之间的张力,是人工智能助力医疗领域过程中需要思考的重要问题。
二、面对人工智能医疗,信息保护体系尚存不足
(一)缺乏较为完善的配套法律体系
我国刑法对公民个人信息的保护主要置于“侵犯公民人身权利、民主权利罪”之下,其中侵犯公民个人信息罪更是被视作当前保护个人信息的刑法路径中的“佼佼者”。《刑法》第253条之一规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
值得注意的是,行为“违反国家规定”是该罪成立的前提。尽管《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将刑法第253条之一的“国家有关规定”明确为违反法律、行政法规、部门规章有关公民个人信息保护的规定,包括《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》在内,但对于个人信息保护的法律规范多为一些原则性的宣示、排除性的规定;与此同时,虽然专门用以保护个人信息的《中华人民共和国个人信息保护法(草案)》已经纳入十三届全国人大常委会的立法规划,但目前尚未出台。换言之,当下尚不具有统一完备的法律制裁体系与刑事制裁相衔接。
众所周知,刑法机能的发挥不仅需要相关罪名的完备,还依赖于相关前置法律、配套法律的协调性,而当下我国尚不具备一个完善的个人信息保护法律体系,该罪名也难以更好地发挥其规制作用。
(二)疫情防控背景下传统规则缺乏操作性
基于相关司法解释与传统刑法理论,个人信息去识别化与信息主体同意是个人信息合法使用的两大法宝,然而,这两大法宝在疫情防控中均有所失灵。
第一,个人信息去识别化规则可能降低数据价值。个人信息的去识别化是指数据保有者将能够确认特定个人身份的数据信息予以删改,降低可能对信息主体的隐私造成损害的风险。2017年5月8日最高人民法院、最高人民检察院公布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其中明确指出“经过处理无法识别特定个人且不能复原的”的信息不属于侵犯个人信息罪的构成要件。但这一规则在疫情医疗中难以实施,无论是疾病治疗或是防控监测,都需要对人员与信息的精准对应,去识别化过程中的信息删改极有可能导致数据价值的大大降低。
第二,同意原则在紧急且信息量大的情况下难以实施。从古罗马法学家乌尔比安所说“符合被害人意志的,不构成不法”到如今在刑法理论中广为流传的“得承诺的行为不违法”,被害人的承诺一直被视作正当事由之一,即信息主体的同意原则上可以阻却个人信息收集、利用、提供甚至出售的违法性。但是在全国规模的疫情防控的特殊时期,无论是《传染病防治法》《突发公共卫生事件应急条例》等法律规定,还是基于疫情防控期间取得每一位患者同意不具有实际操作可能性,均表明“特殊时期特殊办法”。因此,同意原则在疫情防控背景下的信息保护方面同样面临着实践中的障碍。
三、人工智能进入公益领域,应构建合理信息保护体系
(一)对隐私进行主客观相结合的动态定位
在传统隐私权的框架下,但凡是个人不想对外透露的信息都会被纳入隐私范围进行绝对保护,但大数据使用个人信息的目的和用途往往涉及技术创新或突发事件等公共事务,绝对保护的做法将导致公共治理的无力。因此,在倡导以法律尤其是刑法介入个人隐私保护之前,必须先厘清个人隐私的时代内涵。
在特殊情况下,应当结合主观、客观标准对“隐私”进行全新的定位。隐私规制不仅是以保护权利或制止侵权为目的,而还需加入社会整体利益的考量,以利益关系平衡为目标。以本次疫情期间疫苗的研制为例,疫苗的研制需要大量患者的生理信息作为基础,其研究周期长、全局性强,如果仅仅是医疗领域的使用一般不会直接影响到公众个人的切身利益,且疫苗研制关系到此次疫情中全体公民的生命健康,具有重大的公益属性。换言之,对公民医疗信息的使用与个人隐私的保护并不存在难以调和的冲突。需要强调的是,这并不等同于医学大数据在任何情况下都能被用于医学研究,医疗研发的社会效益一定高于患者个人信息保护的利益,而仅仅将这种个人信息对公共利益的让步限定在如此次疫情般的重大事件。
总的来说,对隐私的判断必须动态灵活,而不能对传统法律予以机械适用,既不能无限制地侵犯个人隐私权,又要促进信息必要的流通分配,从而通过信息资源的有效利用助力社会治理。
(二)完善个人信息保护的法律体系
刑法的机能决定了只有严重危及隐私安全的行为才具有刑罚处罚的可能性。因此,应注重刑法与行政法、民法的衔接,从而保证个人隐私保护体系的民事责任、行政责任、刑事责任相统一。
即使是在信息即黄金的当下,侵犯公民个人信息行为也不可动辄使用刑法。在行为方式层面,由民法为人工智能收集、利用个人信息的行为提供正当性的依据,依靠行政法与刑法的禁止性规定划定行为底线;在责任追究层面,对于情节较轻、行为危害不大的行为予以民事赔偿、行政处罚,对民事、行政均已无法规制的行为再施以刑罚,即建立“民事赔偿——行政处罚——刑事处罚”的阶梯式责任机制。构建民事、行政、刑事相协调的规制体系,更好地平衡个人隐私的保护与人工智能产业的发展。
结语
科技是一把双刃剑。人工智能在公共医疗领域具有重大的应用前景,但也不能忽视其给社会带来的风险。对此,我们应当秉承包容、审慎的态度,以体系性的法律去应对挑战,实现公共利益与个人权利的双赢。
作者|黄玲