“用户-平台”关系中告知同意规则修正的路径选择

“用户-平台”关系是不平等的信息关系,在用户与平台间存在难以弥补的信息不对称,致使告知同意难以发挥应有的规则实效。弱势者赋权、强势者限权和强势者问责是个人信息保护的三条进路,在告知同意规则内分别映射出合同改良方案、数据信托方案和规制问责方案。合同改良方案立足于用户的个人信息自决,依托关系型契约理论提出隐私协议标准化与增进有效同意的技术性修正;数据信托方案将用户与平台间的关系定位为信托关系,通过对平台施加信义义务实现重配二者责任的结构性改良;规制问责方案在提倡合作规制的同时将重点置于对平台的元规制及可责性原则,限缩同意为信息处理之允许、强调告知作为平台自我规制的自律标准,以个人信息保护影响评估展开“对自我规制的再规制”。三种方案之中的公私法色彩各有不同,未来可以合同改良方案开展内部技术修正,以规制问责方案强化外部实施效果,弱化告知同意在个人信息处理合法性基础中的核心地位,从而落实“用户-平台”关系中信息采集的合法性原则。

情感计算的信息隐私法律风险及其应对

情感计算是指以人类情感为机器学习对象,具有情感识别和情感分析功能的智能科技。情感计算不以信息主体的身份识别为前提,旨在通过对输入端生物反馈信息或状态的分析处理而输出情感信息。为应对情感信息不当获取与利用所带来的情感操纵风险,需以信息隐私理论为框架展开风险应对之探讨。然而,现行信息隐私规范却存在风险应对不足的问题。情感信息因其具体类型的多样性而难以划入敏感个人信息的保护范围;生物反馈信息因其情感识别而非身份识别的目的难以作为生物识别信息而被保护;作为信息处理之合法性基础的告知同意也因情感信息的特殊性存在被架空的风险。鉴于欧盟《人工智能法案(草案)》中规制情感识别的经验,我国可尝试在算法治理中构建“生物数据”的概念并以之为媒介展开技术风险的分级分领域规制,从而构建可信赖情感智能的数字环境。

论生物识别信息界定中的识别标准及我国的建构

识别标准是生物识别信息概念的核心要素,也是厘清其与一般个人信息、敏感个人信息关系的重要依据。当下,生物隐私立法呈现出界定生物识别信息的两种路径:一种是基于特定信息处理活动产生的生物识别信息,另一种则是根据数据来源产生的生物特征信息。从欧盟立法经验看,前者以“已识别”为标准,存在过于依赖信息处理者主观目的与保护范围较为狭窄的不足;后者以“可识别与已识别”为标准,虽扩宽了保护范围,但易与医疗健康信息和生物技术概念相混淆,且存在沦为“笼筐式”概念的风险。鉴于此,我国应以“直接识别+已识别”构建生物识别信息的识别标准,并在规制法中构建“生物特征数据”概念,以弥补保护法中较高识别标准所带来的局限性。

人脸照片应归属于生物识别信息吗?

在数字人脸时代,以人脸照片为代表的面部图像的信息属性亟待厘定,其争议焦点在于人脸照片与生物识别信息的关系。生物识别信息的概念由范围、技术与功能三要素构成。在人脸识别等第一代生物识别技术背景下,生物识别信息的范围要素是指“与自然人的身体、生理或行为特征有关”,技术要素为“经由识别或验证技术处理”,功能要素是“能够实现对自然人的已识别”。以情感计算和生物特征分类技术为代表的第二代生物识别技术的发展将扩展生物识别信息的内涵,即范围要素扩展至生物信号、技术要素加入了探测与分类技术、功能要素则新纳入可识别标准。对作为一般个人信息的人脸照片,技术要素是判断其能否归入生物识别信息的标准。在当下,已进入或即将进入识别、验证技术展开生物比对活动的人脸照片,应归属于生物识别信息;在将来,已进入或即将进入探测、分类技术的人脸照片,也应归属于广义的生物识别信息。