導(dǎo)讀:在我國,近年頒布的若干項國標(biāo)和法律也對個人數(shù)據(jù)保護(hù)作出了定義,并且隨著實踐推進(jìn)而不斷完善,但目前尚未形成體系完善的人工智能數(shù)據(jù)安全法律法規(guī)。
Pixabay
【編者按】如何既合理地令數(shù)據(jù)發(fā)揮最大的價值與潛力,又保護(hù)個人信息在大數(shù)據(jù)時代不被濫用?這是目前健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)落地中急需解決的問題。
毫無疑問,作為技術(shù)概念的“大數(shù)據(jù)”擁有光明的前途,它是人工智能的基石,是未來世界的“石油”。但作為生意的“大數(shù)據(jù)”,正走到一個關(guān)鍵的轉(zhuǎn)折點。
“大數(shù)據(jù)之父”、牛津大學(xué)教授舍恩伯格指出,當(dāng)前大數(shù)據(jù)的價值不再單純源于它的基本用途,而更多在于它的二次利用。這既顛覆了當(dāng)下隱私保護(hù)法以個人為中心的思想,同時說明在大數(shù)據(jù)時代,如果政府或企業(yè)還嚴(yán)格按照“目的限定”或“數(shù)據(jù)最小化”原則來獲取個人同意或處理數(shù)據(jù),將“限制了大數(shù)據(jù)潛在價值的挖掘”。
不可否認(rèn),流動中數(shù)據(jù)產(chǎn)生了前所未有的價值和方便,但“就像一條高速公路打開所有入口,速度快了,發(fā)生危險的概率和影響也可能更大”,數(shù)據(jù)的安全問題同樣經(jīng)歷著嚴(yán)峻的風(fēng)險和挑戰(zhàn)。Verizon 發(fā)布的 2018 數(shù)據(jù)泄漏報告(DBIR)顯示, 2017 年全球發(fā)生的 53000 余件網(wǎng)絡(luò)安全事件中,有 2216 起確認(rèn)為數(shù)據(jù)泄漏,其中醫(yī)療行業(yè)高居榜首。
1、硬幣的正反面:數(shù)據(jù)在加速,也在暴露
數(shù)字經(jīng)濟(jì)時代,海量的數(shù)據(jù)不僅能優(yōu)化以深度學(xué)習(xí)為代表的AI算法設(shè)計,更能顯著提升數(shù)據(jù)收集管理能力和數(shù)據(jù)挖掘利用水平。
2018年投入使用的“京津冀肺癌AI輔助診療平臺”,就是結(jié)合醫(yī)療大數(shù)據(jù)病歷庫通過AI比照進(jìn)行分析,出具患者影像診斷信息,輔助醫(yī)生進(jìn)行臨床診斷。截至目前,該平臺在天津市胸科醫(yī)院累計使用超過20000例次,其中等同病理判斷水平的數(shù)據(jù)達(dá)數(shù)千例,使得該平臺AI模型不斷優(yōu)化。AI肺結(jié)節(jié)檢出率從82%提升到99%,良惡性預(yù)測準(zhǔn)確率從51%提升到90%,均高于臨床PET-CT對結(jié)節(jié)良惡性的預(yù)測。
當(dāng)然不僅僅是醫(yī)療領(lǐng)域,當(dāng)前大數(shù)據(jù)分析和AI技術(shù)的運用已經(jīng)像水電煤一樣開始滲透至經(jīng)濟(jì)社會發(fā)展的各個方面。但技術(shù)運用的不確定性也會產(chǎn)生連帶的隱患。
2018 年,F(xiàn)acebook劍橋分析事件爆出,一度成為互聯(lián)網(wǎng)行業(yè)的焦點,幾百億美元市值瞬間蒸發(fā)。在全球越來越重視隱私的趨勢下,數(shù)據(jù)安全被提到了新的高度。
中國信息通信研究院近日發(fā)布的《人工智能數(shù)據(jù)安全白皮書》顯示,AI應(yīng)用可導(dǎo)致個人數(shù)據(jù)過度采集,加劇隱私泄露風(fēng)險。隨著各類智能設(shè)備(如智能手環(huán)、智能音箱)和智能系統(tǒng)(如生物特征識別系統(tǒng)、智能醫(yī)療系統(tǒng))的應(yīng)用普及,人工智能設(shè)備和系統(tǒng)對個人信息采集更加直接與全面。
中國信通院華東分院首席規(guī)劃師賀仁龍表示,AI技術(shù)在企業(yè)的應(yīng)用中,涉及設(shè)備安全、數(shù)據(jù)安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全五大方面,其中,核心是數(shù)據(jù)安全。而這一方面,醫(yī)療領(lǐng)域?qū)儆诟呶P袠I(yè),例如醫(yī)療設(shè)備因沒有經(jīng)過多番測試導(dǎo)致病人資料泄露。對此電子科技大學(xué)周濤教授持同樣看法,“我們可以嘗試把病人的數(shù)據(jù)進(jìn)行預(yù)脫敏,畢竟名字、電話這種數(shù)據(jù)和病例沒有直接關(guān)系,所以對患者個人信息進(jìn)行脫敏,也能減少隱私泄露問題?!?/p>
猶如硬幣的正反面,大數(shù)據(jù)和AI的發(fā)展給時代“提了速”,但也可能給我們“泄了密”。
2、我們能拒絕數(shù)據(jù)被采集利用嗎?
對于個體而言,保護(hù)數(shù)據(jù)安全最直接的辦法就是不允許任何平臺收集使用“我”的數(shù)據(jù),但這明顯與大數(shù)據(jù)時代的發(fā)展理念相悖。
大數(shù)據(jù)和AI是國家和社會未來發(fā)展的戰(zhàn)略方向,如果為了保護(hù)數(shù)據(jù)安全就“粗暴”地限制大數(shù)據(jù)和AI的發(fā)展,反而會給國家和社會發(fā)展帶來更大的問題。因此,數(shù)據(jù)需要開放,需要在標(biāo)準(zhǔn)規(guī)范的前提下挖掘最大的價值,搶占技術(shù)和產(chǎn)業(yè)制高點。
同時當(dāng)人們離開互聯(lián)網(wǎng),離開手機(jī)上的各種APP,會發(fā)現(xiàn)生活可能變得“寸步難行”,除打電話外沒辦法與朋友聯(lián)系,不能網(wǎng)購、叫外賣、網(wǎng)約車、網(wǎng)絡(luò)掛號……所以當(dāng)人們不得不將自己的數(shù)據(jù)留痕于各種網(wǎng)絡(luò)或系統(tǒng)中時,需要和呼吁的是更嚴(yán)密的網(wǎng)絡(luò)監(jiān)控。
如何既合理地令數(shù)據(jù)發(fā)揮最大的價值與潛力,又保護(hù)個人信息在大數(shù)據(jù)時代不被濫用?對此舍恩伯格提出 “從個人許可到讓數(shù)據(jù)使用者承擔(dān)責(zé)任”這一觀點。對于這一轉(zhuǎn)變,從信息控制者責(zé)任的角度來看,需要強(qiáng)化其風(fēng)險防范規(guī)則,確立基于風(fēng)險防范的個人信息使用規(guī)則。
在最高人民法院司法案例研究院4月的一篇文章中,也透露出這樣的思路。文章指出,解決用戶個人數(shù)據(jù)保護(hù)的關(guān)鍵在于“區(qū)分包含用戶個人信息的原始數(shù)據(jù)與處理加工形成數(shù)據(jù)產(chǎn)品后的衍生數(shù)據(jù),并分別判斷歸屬”。文章認(rèn)為,原始數(shù)據(jù)歸屬于用戶,而衍生數(shù)據(jù)則歸屬于運營公司。這樣不僅能合理平衡雙方利益,更能“鼓勵網(wǎng)絡(luò)企業(yè)不斷進(jìn)行技術(shù)創(chuàng)新和產(chǎn)能創(chuàng)造,促進(jìn)社會總體財富增加的需要?!?/p>
中國人民大學(xué)丁曉東教授表示,公平信息實踐“已經(jīng)成為全球隱私保護(hù)的重要準(zhǔn)則”。他嘗試提出了一個更為符合大數(shù)據(jù)時代特征的公平信息實踐版本:
個體合理預(yù)期:個人信息的收集、處理與流轉(zhuǎn)應(yīng)當(dāng)符合個體的合理預(yù)期,尤其是在不涉及公共利益的情形下,當(dāng)個人信息的收集、處理與流轉(zhuǎn)超出一個社會中正常理性個體的合理預(yù)期時,個人信息的收集者或處理者必須對個體進(jìn)行顯著告知,確保個體理解伴隨此類收集與處理的風(fēng)險,并且在此類情形中獲得個體的明確授權(quán)。
訪問權(quán)、糾正權(quán)與刪除權(quán):對于未進(jìn)入公共領(lǐng)域的信息和不涉及公共利益的個人信息,公民個體對其信息具有訪問權(quán)、糾正權(quán)與刪除權(quán)。對于進(jìn)入公共領(lǐng)域的信息和涉及公共利益的個人信息,公民個體的訪問權(quán)、糾正權(quán)與刪除權(quán)將受到相關(guān)限制。
合理使用與流通:個人信息的收集不應(yīng)當(dāng)妨礙社會信息的合理使用與合理流通,當(dāng)個人信息的收集與使用超出個體合理預(yù)期但符合社會公共利益時,應(yīng)當(dāng)優(yōu)先考慮社會公共利益,在考慮社會公共利益的前提下限定個人信息的收集與使用。
消費者利益與公共利益優(yōu)先:個人信息的收集與利用應(yīng)當(dāng)以促進(jìn)社會的整體利益為基礎(chǔ)。商業(yè)領(lǐng)域的個人信息應(yīng)當(dāng)以促進(jìn)服務(wù)的提升和更好滿足消費者為目的,避免利用個人信息來無限度榨取消費者剩余;政府對于個人信息的利用應(yīng)當(dāng)以促進(jìn)服務(wù)公民與提升公共政策制定為目的。
風(fēng)險預(yù)防:個人信息的收集者與處理者應(yīng)當(dāng)采取恰當(dāng)?shù)拇胧﹣矸婪栋殡S個人信息收集、儲存、處理與流轉(zhuǎn)的風(fēng)險。此類措施應(yīng)當(dāng)包括但不限于風(fēng)險評估、風(fēng)險預(yù)警、分類保護(hù)、泄露告知等措施。
3、數(shù)據(jù)安全法規(guī),離我們還有多遠(yuǎn)?
近期,因用戶數(shù)據(jù)泄露,英國航空公司和萬豪國際集團(tuán)分別被英國信息專員辦公室(ICO)處以1.8億英鎊和近1億英鎊的罰單,著實讓世界驚嘆歐盟GDPR ——“史上最嚴(yán)數(shù)據(jù)保護(hù)法”的威力。
在GDPR實施的一年時間里,不僅結(jié)束了互聯(lián)網(wǎng)企業(yè)利用個人數(shù)據(jù)牟利的“裸奔”時代,同時對于消費者的隱私觀念、科技企業(yè)的文化、各國數(shù)據(jù)保護(hù)的立法以及數(shù)據(jù)安全未來發(fā)展的思考,都起到了潛移默化的影響。
但數(shù)據(jù)保護(hù)法規(guī)的落地,并非一片坦途。
在相關(guān)法律還不十分完善的情況下,甚至有可能被反過來用于侵犯隱私。例如,牛津大學(xué)的一位博士生引用GDPR中“數(shù)據(jù)主體有權(quán)從控制者處要求獲取其個人數(shù)據(jù)”的條款,假冒他人名義向150個公司發(fā)送郵件,要求獲得個人隱私數(shù)據(jù),最后得到了包括社會保險號(SSN)在內(nèi)的高度敏感信息??磥?,數(shù)據(jù)保護(hù)法規(guī)要在一個“防君子不防小人”的環(huán)境中實行,還有很長的路要走。
另一主要質(zhì)疑是“阻礙創(chuàng)新”。 近期《財經(jīng)》專題文章提出,企業(yè)數(shù)字化應(yīng)用需要獲得一線工人的數(shù)據(jù),可是GDPR要求每一次數(shù)據(jù)采集都須經(jīng)過本人同意,這在歐洲幾乎是不可能完成的任務(wù)。缺失了第一手的數(shù)據(jù),智能制造舉步維艱。
此外,嚴(yán)苛的懲罰也可能使一些小企業(yè)難于成長甚至瀕臨倒閉,而大企業(yè)也會出于謹(jǐn)慎或降低風(fēng)險而收縮業(yè)務(wù)進(jìn)而阻礙企業(yè)創(chuàng)新。如果沒有相匹配的創(chuàng)新服務(wù)形式,發(fā)現(xiàn)問題一罰了之,可能一些本可以繼續(xù)為社會提供價值的企業(yè)會由于ICO的一劑重罰直接進(jìn)入“ICU(重癥監(jiān)護(hù)室)”。
在我國,近年頒布的若干項國標(biāo)和法律也對個人數(shù)據(jù)保護(hù)作出了定義,并且隨著實踐推進(jìn)而不斷完善,但目前尚未形成體系完善的人工智能數(shù)據(jù)安全法律法規(guī)。
上海市科學(xué)學(xué)研究所科技發(fā)展研究中心王迎春主任表示,中國應(yīng)堅持技術(shù)、產(chǎn)業(yè)和規(guī)則齊步走,建立更加具有彈性空間的動態(tài)治理機(jī)制,積極在促進(jìn)創(chuàng)新和社會有序演進(jìn)方面實現(xiàn)動態(tài)平衡,既要呵護(hù)促進(jìn)創(chuàng)新又要防范系統(tǒng)性風(fēng)險,為人工智能健康發(fā)展提供保障。要努力形成一套務(wù)實管用、行之有效的方法,對創(chuàng)新高度包容,同時對可能出現(xiàn)的風(fēng)險高度警惕,針對出現(xiàn)的問題加強(qiáng)多部門的協(xié)同治理。
數(shù)據(jù)安全法規(guī),目前還是一個成長中的孩子。希望現(xiàn)實中的不完善可以倒逼法規(guī)的持續(xù)改進(jìn),讓其找到嚴(yán)謹(jǐn)和靈活的平衡點,為大家創(chuàng)造一個可信賴的數(shù)字世界。