人工智能发展背景下个人信息风险规制与分级保护

李运华

北京市盈科（肇庆）律师事务所

一、个人信息保护路径

个人信息保护有两条路径：绝对权利和风险规制。在绝对权利路径下，个人信息被建构为民法上的人格权或财产权,其本身具有被保护的价值；而在风险规制路径下,个人信息保护被视为政府治理数据处理对公民人身、财产权益所造成风险的一种规制活动,个人信息本身并不是被保护的对象，并不是传统意义上的民事权利,而是一种公法上的新型权利。这从《个人信息保护法》专设公益诉讼条款，明确将个人信息保护纳入公益诉讼领域体现出来。个人信息在我国作为一项绝对权利加以保护，个人信息保护也被写进《民法典》人格权编。同时，《个人信息保护法》体现了风险规制的理念，风险一词在法律文本中出现了四次，尤其该法第56条规定的风险评估机制是重要的风险管理工具。

绝对权利保护方面，传统的民事赔偿责任制度在涉人工智能个人信息保护纠纷时面临诸多挑战，比如侵权责任的成立和赔偿数额的确定存在一定现实困境。因为《民法典》第1182条规定使用的是“财产损失”的表述，也就是说，适用民法典时仅赔偿侵害个人信息权益造成的财产损失，如果没有财产损失那么很难获得损害赔偿。即使胜诉，所获赔偿额也较低，超过一半的案件赔偿额不足1万元，这一现象反映出个人信息的财产价值在司法实践中尚未得到充分认可，导致涉人工智能个人信息保护诉讼的沉没成本高昂，胜诉后所得赔偿往往难以覆盖诉讼成本，胜诉利益显著不足。

二、人工智能发展背景下的个人信息风险规制

随着数字时代的来临和人工智技术的广泛引用和持续发展，所引发的数据安全风险日益加重,个人信息保护的绝对权利路径越来越难以应对数字技术的不断发展。风险规制理念在个人信息保护之中得到强化,比如民事赔偿方面，适用个人信息保护法时，只要侵害个人信造成损失的，无论是财产损失还是精神损失，都可以按照个人因此受到的损失或者个人信息处理者因此获得的利益确定赔偿金额，如果个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

从风险规制的角度而言，个人信息风险主要包括微观风险和宏观风险。微观风险可以进一步区分为技术层面的信息安全风险和法律层面的权利风险。这两种微观风险均可能导致大规模系统性的社会风险,即宏观风险。宏观风险主要由《中华人民共和国数据安全法》来防范,《个人信息保护法》则主要针对的是权利风险。

信息个人风险规制由标准制定、信息收集和行为矫正三个要素组成。标准制定体现在《个人信息保护法》第5条(合法、正当和诚信原则)、第6条(目的明确合理、数据最小化),第8条(准确),第13条(正当性基础,包括同意、法定义务、突发事件和公共利益）。信息收集体现在第57条(向监管机构报告对个人数据的泄露)、第65条(投诉和举报)、第56条(风险评估)行为矫正体现在第51条(个人信息处理者的义务)、第7章(法律责任）。

三、人工智能发展背景下个人信息分级保护

大数据时代，以各类APP为代表的工具型人工智能已逐渐成为人们生活不可或缺的一部分，但其收集用户个人信息引发的侵权问题频发，数据共享是人工智能技术的发展过程中的一个重要特征，个人信息的私密性和非公开性正面临前所未有的挑战，实务界在认定涉人工智能个人信息保护纠纷时也面临诸多挑战，如法律适用依据不统一、胜诉利益显著偏低、归责原则存在分歧等等。将个人信息场景化后有助于对个人信息进行分类、分级，并采取相应的保护措施。

第一级：大众化信息。在此级别的个人信息经过处理后无法识别定位到具体个体，即无需法律保护的个人信息，但仍存在被用于进行身份盗窃或其他非法活动的可能性，因此仍需对信息的收集和使用进行监管。

第二级：低敏感信息。此级别的个人信息包括人工智能用户的姓名、性别、联系方式等基本信息，但不包括财务状况、医疗记录等敏感层级更高的信息，仍属于个人信息的外延，其公开与否均不会对信息主体产生不良影响，仅需法律一般保护。

以一般过错责任作为归责原则来对信息处理者进行归责，信息处理者需要对自己的行为负责，

如果没有证据证明自己没有过错，就应当承担相应的责任。①

第三级：相对敏感信息。此级别为信息主体在社会生活中一般无需公开公告的个人信息，包括宗教信仰、婚姻状况、金融账户、行踪轨迹等，即便信息主体不主动公开也不影响其正常的社会价值创造。但是，由于此类信息与主体利益紧密相关，需要法律严格保护并限制其收集、使用和分享，以防止个人信息被滥用或泄露。

对于需要采取更加严格的保护措施的第三级相对敏感信息，信息处理者不能轻易地免责，适用过错推定原则。

第四级：绝对敏感信息。此级别的信息包括基因信息、医疗健康、生物识别等其他可能对个人产生重大影响的个人信息，由于此类信息一旦泄露或被非法使用，极易导致信息主体的人格尊严受到侵害或人身财产安全的直接严重损害，需要法律特别保护以确保其不会被滥用或泄露。

对于敏感程度高、需要采取特殊保护措施的第四级绝对敏感信息，适用无过错责任原则可以更好地保护信息主体的权益，无论信息处理者是否使用人工智能技术，只要其侵犯了信息主体的绝对敏感个人信息权，都应当承担相应的法律责任。

通过这种“应用场景分类、信息保护分级”的个人信息分级保护方式，可以更好地管理和监控个人信息安全，减少个人信息泄露、滥用等风险。同时，也可以节约司法资源，方便实践中审判法官精准定位个人信息侵权严重程度及归责原则，方便用户得以有可选择的救济方式。