技術(shù)
導(dǎo)讀:在我國(guó),近年頒布的若干項(xiàng)國(guó)標(biāo)和法律也對(duì)個(gè)人數(shù)據(jù)保護(hù)作出了定義,并且隨著實(shí)踐推進(jìn)而不斷完善,但目前尚未形成體系完善的人工智能數(shù)據(jù)安全法律法規(guī)。
Pixabay
【編者按】如何既合理地令數(shù)據(jù)發(fā)揮最大的價(jià)值與潛力,又保護(hù)個(gè)人信息在大數(shù)據(jù)時(shí)代不被濫用?這是目前健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)落地中急需解決的問(wèn)題。
毫無(wú)疑問(wèn),作為技術(shù)概念的“大數(shù)據(jù)”擁有光明的前途,它是人工智能的基石,是未來(lái)世界的“石油”。但作為生意的“大數(shù)據(jù)”,正走到一個(gè)關(guān)鍵的轉(zhuǎn)折點(diǎn)。
“大數(shù)據(jù)之父”、牛津大學(xué)教授舍恩伯格指出,當(dāng)前大數(shù)據(jù)的價(jià)值不再單純?cè)从谒幕居猛?,而更多在于它的二次利用。這既顛覆了當(dāng)下隱私保護(hù)法以個(gè)人為中心的思想,同時(shí)說(shuō)明在大數(shù)據(jù)時(shí)代,如果政府或企業(yè)還嚴(yán)格按照“目的限定”或“數(shù)據(jù)最小化”原則來(lái)獲取個(gè)人同意或處理數(shù)據(jù),將“限制了大數(shù)據(jù)潛在價(jià)值的挖掘”。
不可否認(rèn),流動(dòng)中數(shù)據(jù)產(chǎn)生了前所未有的價(jià)值和方便,但“就像一條高速公路打開(kāi)所有入口,速度快了,發(fā)生危險(xiǎn)的概率和影響也可能更大”,數(shù)據(jù)的安全問(wèn)題同樣經(jīng)歷著嚴(yán)峻的風(fēng)險(xiǎn)和挑戰(zhàn)。Verizon 發(fā)布的 2018 數(shù)據(jù)泄漏報(bào)告(DBIR)顯示, 2017 年全球發(fā)生的 53000 余件網(wǎng)絡(luò)安全事件中,有 2216 起確認(rèn)為數(shù)據(jù)泄漏,其中醫(yī)療行業(yè)高居榜首。
1、硬幣的正反面:數(shù)據(jù)在加速,也在暴露
數(shù)字經(jīng)濟(jì)時(shí)代,海量的數(shù)據(jù)不僅能優(yōu)化以深度學(xué)習(xí)為代表的AI算法設(shè)計(jì),更能顯著提升數(shù)據(jù)收集管理能力和數(shù)據(jù)挖掘利用水平。
2018年投入使用的“京津冀肺癌AI輔助診療平臺(tái)”,就是結(jié)合醫(yī)療大數(shù)據(jù)病歷庫(kù)通過(guò)AI比照進(jìn)行分析,出具患者影像診斷信息,輔助醫(yī)生進(jìn)行臨床診斷。截至目前,該平臺(tái)在天津市胸科醫(yī)院累計(jì)使用超過(guò)20000例次,其中等同病理判斷水平的數(shù)據(jù)達(dá)數(shù)千例,使得該平臺(tái)AI模型不斷優(yōu)化。AI肺結(jié)節(jié)檢出率從82%提升到99%,良惡性預(yù)測(cè)準(zhǔn)確率從51%提升到90%,均高于臨床PET-CT對(duì)結(jié)節(jié)良惡性的預(yù)測(cè)。
當(dāng)然不僅僅是醫(yī)療領(lǐng)域,當(dāng)前大數(shù)據(jù)分析和AI技術(shù)的運(yùn)用已經(jīng)像水電煤一樣開(kāi)始滲透至經(jīng)濟(jì)社會(huì)發(fā)展的各個(gè)方面。但技術(shù)運(yùn)用的不確定性也會(huì)產(chǎn)生連帶的隱患。
2018 年,F(xiàn)acebook劍橋分析事件爆出,一度成為互聯(lián)網(wǎng)行業(yè)的焦點(diǎn),幾百億美元市值瞬間蒸發(fā)。在全球越來(lái)越重視隱私的趨勢(shì)下,數(shù)據(jù)安全被提到了新的高度。
中國(guó)信息通信研究院近日發(fā)布的《人工智能數(shù)據(jù)安全白皮書(shū)》顯示,AI應(yīng)用可導(dǎo)致個(gè)人數(shù)據(jù)過(guò)度采集,加劇隱私泄露風(fēng)險(xiǎn)。隨著各類智能設(shè)備(如智能手環(huán)、智能音箱)和智能系統(tǒng)(如生物特征識(shí)別系統(tǒng)、智能醫(yī)療系統(tǒng))的應(yīng)用普及,人工智能設(shè)備和系統(tǒng)對(duì)個(gè)人信息采集更加直接與全面。
中國(guó)信通院華東分院首席規(guī)劃師賀仁龍表示,AI技術(shù)在企業(yè)的應(yīng)用中,涉及設(shè)備安全、數(shù)據(jù)安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全五大方面,其中,核心是數(shù)據(jù)安全。而這一方面,醫(yī)療領(lǐng)域?qū)儆诟呶P袠I(yè),例如醫(yī)療設(shè)備因沒(méi)有經(jīng)過(guò)多番測(cè)試導(dǎo)致病人資料泄露。對(duì)此電子科技大學(xué)周濤教授持同樣看法,“我們可以嘗試把病人的數(shù)據(jù)進(jìn)行預(yù)脫敏,畢竟名字、電話這種數(shù)據(jù)和病例沒(méi)有直接關(guān)系,所以對(duì)患者個(gè)人信息進(jìn)行脫敏,也能減少隱私泄露問(wèn)題。”
猶如硬幣的正反面,大數(shù)據(jù)和AI的發(fā)展給時(shí)代“提了速”,但也可能給我們“泄了密”。
2、我們能拒絕數(shù)據(jù)被采集利用嗎?
對(duì)于個(gè)體而言,保護(hù)數(shù)據(jù)安全最直接的辦法就是不允許任何平臺(tái)收集使用“我”的數(shù)據(jù),但這明顯與大數(shù)據(jù)時(shí)代的發(fā)展理念相悖。
大數(shù)據(jù)和AI是國(guó)家和社會(huì)未來(lái)發(fā)展的戰(zhàn)略方向,如果為了保護(hù)數(shù)據(jù)安全就“粗暴”地限制大數(shù)據(jù)和AI的發(fā)展,反而會(huì)給國(guó)家和社會(huì)發(fā)展帶來(lái)更大的問(wèn)題。因此,數(shù)據(jù)需要開(kāi)放,需要在標(biāo)準(zhǔn)規(guī)范的前提下挖掘最大的價(jià)值,搶占技術(shù)和產(chǎn)業(yè)制高點(diǎn)。
同時(shí)當(dāng)人們離開(kāi)互聯(lián)網(wǎng),離開(kāi)手機(jī)上的各種APP,會(huì)發(fā)現(xiàn)生活可能變得“寸步難行”,除打電話外沒(méi)辦法與朋友聯(lián)系,不能網(wǎng)購(gòu)、叫外賣(mài)、網(wǎng)約車、網(wǎng)絡(luò)掛號(hào)……所以當(dāng)人們不得不將自己的數(shù)據(jù)留痕于各種網(wǎng)絡(luò)或系統(tǒng)中時(shí),需要和呼吁的是更嚴(yán)密的網(wǎng)絡(luò)監(jiān)控。
如何既合理地令數(shù)據(jù)發(fā)揮最大的價(jià)值與潛力,又保護(hù)個(gè)人信息在大數(shù)據(jù)時(shí)代不被濫用?對(duì)此舍恩伯格提出 “從個(gè)人許可到讓數(shù)據(jù)使用者承擔(dān)責(zé)任”這一觀點(diǎn)。對(duì)于這一轉(zhuǎn)變,從信息控制者責(zé)任的角度來(lái)看,需要強(qiáng)化其風(fēng)險(xiǎn)防范規(guī)則,確立基于風(fēng)險(xiǎn)防范的個(gè)人信息使用規(guī)則。
在最高人民法院司法案例研究院4月的一篇文章中,也透露出這樣的思路。文章指出,解決用戶個(gè)人數(shù)據(jù)保護(hù)的關(guān)鍵在于“區(qū)分包含用戶個(gè)人信息的原始數(shù)據(jù)與處理加工形成數(shù)據(jù)產(chǎn)品后的衍生數(shù)據(jù),并分別判斷歸屬”。文章認(rèn)為,原始數(shù)據(jù)歸屬于用戶,而衍生數(shù)據(jù)則歸屬于運(yùn)營(yíng)公司。這樣不僅能合理平衡雙方利益,更能“鼓勵(lì)網(wǎng)絡(luò)企業(yè)不斷進(jìn)行技術(shù)創(chuàng)新和產(chǎn)能創(chuàng)造,促進(jìn)社會(huì)總體財(cái)富增加的需要?!?/p>
中國(guó)人民大學(xué)丁曉東教授表示,公平信息實(shí)踐“已經(jīng)成為全球隱私保護(hù)的重要準(zhǔn)則”。他嘗試提出了一個(gè)更為符合大數(shù)據(jù)時(shí)代特征的公平信息實(shí)踐版本:
個(gè)體合理預(yù)期:個(gè)人信息的收集、處理與流轉(zhuǎn)應(yīng)當(dāng)符合個(gè)體的合理預(yù)期,尤其是在不涉及公共利益的情形下,當(dāng)個(gè)人信息的收集、處理與流轉(zhuǎn)超出一個(gè)社會(huì)中正常理性個(gè)體的合理預(yù)期時(shí),個(gè)人信息的收集者或處理者必須對(duì)個(gè)體進(jìn)行顯著告知,確保個(gè)體理解伴隨此類收集與處理的風(fēng)險(xiǎn),并且在此類情形中獲得個(gè)體的明確授權(quán)。
訪問(wèn)權(quán)、糾正權(quán)與刪除權(quán):對(duì)于未進(jìn)入公共領(lǐng)域的信息和不涉及公共利益的個(gè)人信息,公民個(gè)體對(duì)其信息具有訪問(wèn)權(quán)、糾正權(quán)與刪除權(quán)。對(duì)于進(jìn)入公共領(lǐng)域的信息和涉及公共利益的個(gè)人信息,公民個(gè)體的訪問(wèn)權(quán)、糾正權(quán)與刪除權(quán)將受到相關(guān)限制。
合理使用與流通:個(gè)人信息的收集不應(yīng)當(dāng)妨礙社會(huì)信息的合理使用與合理流通,當(dāng)個(gè)人信息的收集與使用超出個(gè)體合理預(yù)期但符合社會(huì)公共利益時(shí),應(yīng)當(dāng)優(yōu)先考慮社會(huì)公共利益,在考慮社會(huì)公共利益的前提下限定個(gè)人信息的收集與使用。
消費(fèi)者利益與公共利益優(yōu)先:個(gè)人信息的收集與利用應(yīng)當(dāng)以促進(jìn)社會(huì)的整體利益為基礎(chǔ)。商業(yè)領(lǐng)域的個(gè)人信息應(yīng)當(dāng)以促進(jìn)服務(wù)的提升和更好滿足消費(fèi)者為目的,避免利用個(gè)人信息來(lái)無(wú)限度榨取消費(fèi)者剩余;政府對(duì)于個(gè)人信息的利用應(yīng)當(dāng)以促進(jìn)服務(wù)公民與提升公共政策制定為目的。
風(fēng)險(xiǎn)預(yù)防:個(gè)人信息的收集者與處理者應(yīng)當(dāng)采取恰當(dāng)?shù)拇胧﹣?lái)防范伴隨個(gè)人信息收集、儲(chǔ)存、處理與流轉(zhuǎn)的風(fēng)險(xiǎn)。此類措施應(yīng)當(dāng)包括但不限于風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)預(yù)警、分類保護(hù)、泄露告知等措施。
3、數(shù)據(jù)安全法規(guī),離我們還有多遠(yuǎn)?
近期,因用戶數(shù)據(jù)泄露,英國(guó)航空公司和萬(wàn)豪國(guó)際集團(tuán)分別被英國(guó)信息專員辦公室(ICO)處以1.8億英鎊和近1億英鎊的罰單,著實(shí)讓世界驚嘆歐盟GDPR ——“史上最嚴(yán)數(shù)據(jù)保護(hù)法”的威力。
在GDPR實(shí)施的一年時(shí)間里,不僅結(jié)束了互聯(lián)網(wǎng)企業(yè)利用個(gè)人數(shù)據(jù)牟利的“裸奔”時(shí)代,同時(shí)對(duì)于消費(fèi)者的隱私觀念、科技企業(yè)的文化、各國(guó)數(shù)據(jù)保護(hù)的立法以及數(shù)據(jù)安全未來(lái)發(fā)展的思考,都起到了潛移默化的影響。
但數(shù)據(jù)保護(hù)法規(guī)的落地,并非一片坦途。
在相關(guān)法律還不十分完善的情況下,甚至有可能被反過(guò)來(lái)用于侵犯隱私。例如,牛津大學(xué)的一位博士生引用GDPR中“數(shù)據(jù)主體有權(quán)從控制者處要求獲取其個(gè)人數(shù)據(jù)”的條款,假冒他人名義向150個(gè)公司發(fā)送郵件,要求獲得個(gè)人隱私數(shù)據(jù),最后得到了包括社會(huì)保險(xiǎn)號(hào)(SSN)在內(nèi)的高度敏感信息??磥?lái),數(shù)據(jù)保護(hù)法規(guī)要在一個(gè)“防君子不防小人”的環(huán)境中實(shí)行,還有很長(zhǎng)的路要走。
另一主要質(zhì)疑是“阻礙創(chuàng)新”。 近期《財(cái)經(jīng)》專題文章提出,企業(yè)數(shù)字化應(yīng)用需要獲得一線工人的數(shù)據(jù),可是GDPR要求每一次數(shù)據(jù)采集都須經(jīng)過(guò)本人同意,這在歐洲幾乎是不可能完成的任務(wù)。缺失了第一手的數(shù)據(jù),智能制造舉步維艱。
此外,嚴(yán)苛的懲罰也可能使一些小企業(yè)難于成長(zhǎng)甚至瀕臨倒閉,而大企業(yè)也會(huì)出于謹(jǐn)慎或降低風(fēng)險(xiǎn)而收縮業(yè)務(wù)進(jìn)而阻礙企業(yè)創(chuàng)新。如果沒(méi)有相匹配的創(chuàng)新服務(wù)形式,發(fā)現(xiàn)問(wèn)題一罰了之,可能一些本可以繼續(xù)為社會(huì)提供價(jià)值的企業(yè)會(huì)由于ICO的一劑重罰直接進(jìn)入“ICU(重癥監(jiān)護(hù)室)”。
在我國(guó),近年頒布的若干項(xiàng)國(guó)標(biāo)和法律也對(duì)個(gè)人數(shù)據(jù)保護(hù)作出了定義,并且隨著實(shí)踐推進(jìn)而不斷完善,但目前尚未形成體系完善的人工智能數(shù)據(jù)安全法律法規(guī)。
上海市科學(xué)學(xué)研究所科技發(fā)展研究中心王迎春主任表示,中國(guó)應(yīng)堅(jiān)持技術(shù)、產(chǎn)業(yè)和規(guī)則齊步走,建立更加具有彈性空間的動(dòng)態(tài)治理機(jī)制,積極在促進(jìn)創(chuàng)新和社會(huì)有序演進(jìn)方面實(shí)現(xiàn)動(dòng)態(tài)平衡,既要呵護(hù)促進(jìn)創(chuàng)新又要防范系統(tǒng)性風(fēng)險(xiǎn),為人工智能健康發(fā)展提供保障。要努力形成一套務(wù)實(shí)管用、行之有效的方法,對(duì)創(chuàng)新高度包容,同時(shí)對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)高度警惕,針對(duì)出現(xiàn)的問(wèn)題加強(qiáng)多部門(mén)的協(xié)同治理。
數(shù)據(jù)安全法規(guī),目前還是一個(gè)成長(zhǎng)中的孩子。希望現(xiàn)實(shí)中的不完善可以倒逼法規(guī)的持續(xù)改進(jìn),讓其找到嚴(yán)謹(jǐn)和靈活的平衡點(diǎn),為大家創(chuàng)造一個(gè)可信賴的數(shù)字世界。