導讀:在我國,近年頒布的若干項國標和法律也對個人數據保護作出了定義,并且隨著實踐推進而不斷完善,但目前尚未形成體系完善的人工智能數據安全法律法規。
Pixabay
【編者按】如何既合理地令數據發揮最大的價值與潛力,又保護個人信息在大數據時代不被濫用?這是目前健康醫療大數據產業落地中急需解決的問題。
毫無疑問,作為技術概念的“大數據”擁有光明的前途,它是人工智能的基石,是未來世界的“石油”。但作為生意的“大數據”,正走到一個關鍵的轉折點。
“大數據之父”、牛津大學教授舍恩伯格指出,當前大數據的價值不再單純源于它的基本用途,而更多在于它的二次利用。這既顛覆了當下隱私保護法以個人為中心的思想,同時說明在大數據時代,如果政府或企業還嚴格按照“目的限定”或“數據最小化”原則來獲取個人同意或處理數據,將“限制了大數據潛在價值的挖掘”。
不可否認,流動中數據產生了前所未有的價值和方便,但“就像一條高速公路打開所有入口,速度快了,發生危險的概率和影響也可能更大”,數據的安全問題同樣經歷著嚴峻的風險和挑戰。Verizon 發布的 2018 數據泄漏報告(DBIR)顯示, 2017 年全球發生的 53000 余件網絡安全事件中,有 2216 起確認為數據泄漏,其中醫療行業高居榜首。
1、硬幣的正反面:數據在加速,也在暴露
數字經濟時代,海量的數據不僅能優化以深度學習為代表的AI算法設計,更能顯著提升數據收集管理能力和數據挖掘利用水平。
2018年投入使用的“京津冀肺癌AI輔助診療平臺”,就是結合醫療大數據病歷庫通過AI比照進行分析,出具患者影像診斷信息,輔助醫生進行臨床診斷。截至目前,該平臺在天津市胸科醫院累計使用超過20000例次,其中等同病理判斷水平的數據達數千例,使得該平臺AI模型不斷優化。AI肺結節檢出率從82%提升到99%,良惡性預測準確率從51%提升到90%,均高于臨床PET-CT對結節良惡性的預測。
當然不僅僅是醫療領域,當前大數據分析和AI技術的運用已經像水電煤一樣開始滲透至經濟社會發展的各個方面。但技術運用的不確定性也會產生連帶的隱患。
2018 年,Facebook劍橋分析事件爆出,一度成為互聯網行業的焦點,幾百億美元市值瞬間蒸發。在全球越來越重視隱私的趨勢下,數據安全被提到了新的高度。
中國信息通信研究院近日發布的《人工智能數據安全白皮書》顯示,AI應用可導致個人數據過度采集,加劇隱私泄露風險。隨著各類智能設備(如智能手環、智能音箱)和智能系統(如生物特征識別系統、智能醫療系統)的應用普及,人工智能設備和系統對個人信息采集更加直接與全面。
中國信通院華東分院首席規劃師賀仁龍表示,AI技術在企業的應用中,涉及設備安全、數據安全、控制安全、網絡安全、應用安全五大方面,其中,核心是數據安全。而這一方面,醫療領域屬于高危行業,例如醫療設備因沒有經過多番測試導致病人資料泄露。對此電子科技大學周濤教授持同樣看法,“我們可以嘗試把病人的數據進行預脫敏,畢竟名字、電話這種數據和病例沒有直接關系,所以對患者個人信息進行脫敏,也能減少隱私泄露問題。”
猶如硬幣的正反面,大數據和AI的發展給時代“提了速”,但也可能給我們“泄了密”。
2、我們能拒絕數據被采集利用嗎?
對于個體而言,保護數據安全最直接的辦法就是不允許任何平臺收集使用“我”的數據,但這明顯與大數據時代的發展理念相悖。
大數據和AI是國家和社會未來發展的戰略方向,如果為了保護數據安全就“粗暴”地限制大數據和AI的發展,反而會給國家和社會發展帶來更大的問題。因此,數據需要開放,需要在標準規范的前提下挖掘最大的價值,搶占技術和產業制高點。
同時當人們離開互聯網,離開手機上的各種APP,會發現生活可能變得“寸步難行”,除打電話外沒辦法與朋友聯系,不能網購、叫外賣、網約車、網絡掛號……所以當人們不得不將自己的數據留痕于各種網絡或系統中時,需要和呼吁的是更嚴密的網絡監控。
如何既合理地令數據發揮最大的價值與潛力,又保護個人信息在大數據時代不被濫用?對此舍恩伯格提出 “從個人許可到讓數據使用者承擔責任”這一觀點。對于這一轉變,從信息控制者責任的角度來看,需要強化其風險防范規則,確立基于風險防范的個人信息使用規則。
在最高人民法院司法案例研究院4月的一篇文章中,也透露出這樣的思路。文章指出,解決用戶個人數據保護的關鍵在于“區分包含用戶個人信息的原始數據與處理加工形成數據產品后的衍生數據,并分別判斷歸屬”。文章認為,原始數據歸屬于用戶,而衍生數據則歸屬于運營公司。這樣不僅能合理平衡雙方利益,更能“鼓勵網絡企業不斷進行技術創新和產能創造,促進社會總體財富增加的需要。”
中國人民大學丁曉東教授表示,公平信息實踐“已經成為全球隱私保護的重要準則”。他嘗試提出了一個更為符合大數據時代特征的公平信息實踐版本:
個體合理預期:個人信息的收集、處理與流轉應當符合個體的合理預期,尤其是在不涉及公共利益的情形下,當個人信息的收集、處理與流轉超出一個社會中正常理性個體的合理預期時,個人信息的收集者或處理者必須對個體進行顯著告知,確保個體理解伴隨此類收集與處理的風險,并且在此類情形中獲得個體的明確授權。
訪問權、糾正權與刪除權:對于未進入公共領域的信息和不涉及公共利益的個人信息,公民個體對其信息具有訪問權、糾正權與刪除權。對于進入公共領域的信息和涉及公共利益的個人信息,公民個體的訪問權、糾正權與刪除權將受到相關限制。
合理使用與流通:個人信息的收集不應當妨礙社會信息的合理使用與合理流通,當個人信息的收集與使用超出個體合理預期但符合社會公共利益時,應當優先考慮社會公共利益,在考慮社會公共利益的前提下限定個人信息的收集與使用。
消費者利益與公共利益優先:個人信息的收集與利用應當以促進社會的整體利益為基礎。商業領域的個人信息應當以促進服務的提升和更好滿足消費者為目的,避免利用個人信息來無限度榨取消費者剩余;政府對于個人信息的利用應當以促進服務公民與提升公共政策制定為目的。
風險預防:個人信息的收集者與處理者應當采取恰當的措施來防范伴隨個人信息收集、儲存、處理與流轉的風險。此類措施應當包括但不限于風險評估、風險預警、分類保護、泄露告知等措施。
3、數據安全法規,離我們還有多遠?
近期,因用戶數據泄露,英國航空公司和萬豪國際集團分別被英國信息專員辦公室(ICO)處以1.8億英鎊和近1億英鎊的罰單,著實讓世界驚嘆歐盟GDPR ——“史上最嚴數據保護法”的威力。
在GDPR實施的一年時間里,不僅結束了互聯網企業利用個人數據牟利的“裸奔”時代,同時對于消費者的隱私觀念、科技企業的文化、各國數據保護的立法以及數據安全未來發展的思考,都起到了潛移默化的影響。
但數據保護法規的落地,并非一片坦途。
在相關法律還不十分完善的情況下,甚至有可能被反過來用于侵犯隱私。例如,牛津大學的一位博士生引用GDPR中“數據主體有權從控制者處要求獲取其個人數據”的條款,假冒他人名義向150個公司發送郵件,要求獲得個人隱私數據,最后得到了包括社會保險號(SSN)在內的高度敏感信息。看來,數據保護法規要在一個“防君子不防小人”的環境中實行,還有很長的路要走。
另一主要質疑是“阻礙創新”。 近期《財經》專題文章提出,企業數字化應用需要獲得一線工人的數據,可是GDPR要求每一次數據采集都須經過本人同意,這在歐洲幾乎是不可能完成的任務。缺失了第一手的數據,智能制造舉步維艱。
此外,嚴苛的懲罰也可能使一些小企業難于成長甚至瀕臨倒閉,而大企業也會出于謹慎或降低風險而收縮業務進而阻礙企業創新。如果沒有相匹配的創新服務形式,發現問題一罰了之,可能一些本可以繼續為社會提供價值的企業會由于ICO的一劑重罰直接進入“ICU(重癥監護室)”。
在我國,近年頒布的若干項國標和法律也對個人數據保護作出了定義,并且隨著實踐推進而不斷完善,但目前尚未形成體系完善的人工智能數據安全法律法規。
上海市科學學研究所科技發展研究中心王迎春主任表示,中國應堅持技術、產業和規則齊步走,建立更加具有彈性空間的動態治理機制,積極在促進創新和社會有序演進方面實現動態平衡,既要呵護促進創新又要防范系統性風險,為人工智能健康發展提供保障。要努力形成一套務實管用、行之有效的方法,對創新高度包容,同時對可能出現的風險高度警惕,針對出現的問題加強多部門的協同治理。
數據安全法規,目前還是一個成長中的孩子。希望現實中的不完善可以倒逼法規的持續改進,讓其找到嚴謹和靈活的平衡點,為大家創造一個可信賴的數字世界。
