舍恩伯格教授“人工智能的数据隐私”

讲座顺利举办

2021年6月28日晚，受中国人民大学未来法治研究院邀请，英国牛津大学法学院、互联网研究教授维克托·迈尔-舍恩伯格与我院师生开展线上学术交流，进行了一场以“人工智能的数据隐私”（Data Privacy in an Age of AI）为主题的讲座。

此次讲座维克托·迈尔·舍恩伯格教授以一个形象的比喻开场，指出我们不应该迷失方向，只看到树木却看不到森林。同样的，我们应该以法律和法规为重点，而不仅单纯谈论数据隐私、个人智能等方面。出席此次讲座的有，中国人民大学法学院副教授张吉豫、中国人民大学副教授丁晓东以及中国政法大学副教授沈伟伟。

首先，丁晓东副教授在开场对维克托·迈尔·舍恩伯格教授表示欢迎，并对舍恩伯格教授进行了介绍。舍恩伯格教授，曾任哈佛大学肯尼迪学院信息监管科研项目负责人，同时在经济领域中也发挥了重大作用。迄今为止他已出版11本书，其中包括国际畅销书《大数据时代》和《删除：大数据的取舍之道》，并撰写了上百篇的论文。他还是一位公众演讲者，他的作品曾在《纽约时报》、《华尔街日报》和《金融时报》等上刊登。同时他还致力于解决信息经济问题，并就新经济和信息安全问题向政府和非政府组织提供建议。

舍恩伯格教授在本次讲座中，围绕数据的隐私作用展开。当谈及数据隐私，以及数据隐私的未来时，认为我们只看到了自动决策、人工智能、大型公司聚集数据、政府对数据的使用，以及对于 cookie 的偏见和歧视，这种情况是危险的，我们应当试图了解全貌，因此我们需要了解究竟何为数据隐私。数据隐私似乎已经成为一种新的信仰，特别是在欧洲地区，当与数据隐私专家交谈时，会认为只有数据隐私的存在。不幸的是，这不是一个完全准确和全面的世界观。事实上，数据是非常积极、有用的东西，可以通过数据反映现实，拥有的数据越丰富，就越能反映现实的全貌。无论是个人、组织和公司，还是社会，基于经验证据和更好的数据可以做出更好的决策，这实际上是有利的，因此我们对于数据隐私应当谨慎对待。假如我们将数据隐私视为最重要的权利，当我们想要获取数据的价值却由于数据贫乏，导致获取的数量有限，这会导致决策错误，这是由于总体上没有可获取的数据，或可获取的数据仅是很小一部分，当我们做出决策时，我们容易被情感、偏见、歧视等驱动，导致做出一个错误的选择。

舍恩伯格教授提出，当我们开始考虑数据隐私时，我们不能忘记，数据隐私在某些领域很重要，但这并不是理解我们当前数据时代的基本原则。如果只看数据隐私、只应用数据隐私而忽略其他东西，这会使得我们的思想贫瘠，将在我们实际生活的世界中增加无知，这已经偏离了轨道。那么，什么是数据隐私？教授提出，欧盟的 GDPR 是管理欧洲数据隐私的基本法，有人认为，数据隐私的核心是信息自决，是个人所拥有的权利，以便决定对个人数据进行处置。所以他们认为 GDPR 是关于个人的权利，是个人拥有数据的权利，通过控制个人数据，只允许其他人使用得到批准后的个人数据，且只用于得到批准的目的。GDPR 目前有朝着这个方向发展的趋势。如知情同意原则，即在个人同意其他人使用个人数据之前，需要知道个人数据用途，或者访问数据的权利、纠正错误数据的权利、删除不再相关的数据权利等。教授认为这种观点是错误的。回溯到大约 50 年前，即 20 世纪 70 年代数据隐私监管的早期时间。当时的数据隐私专家经过深思熟虑，提出两个原则：第一，使用数据创造价值，并承担应有的责任和义务。利用数据创造出的可能是社会价值，可能是经济价值，而使用数据的个人或组织需要承担责任，需要对数据的使用和产生的潜在危害负责，正如汽车制造商需要为其因生产汽车过程中存在缺陷导致的爆炸负责。第二，不要过于集中信息，打破信息集中的局面。拥有数据的比没有数据的人更有力量，把数据集中在少数人身上是危险的。因此，需要制定法律与法规。随着时间的推移，我们不幸地遗忘了这两个法则。GDPR 的基本原则是个人需要自己决定是否提供个人信息，以及他们希望将个人信息提供给谁。所以，所有的责任和义务都落在了消费者个人的肩上，因为他们必须给予同意，但对于使用数据的公司而言，他们没有责任。生活中比如汽车、药品、疫苗，或者其他复杂的系统，总是把责任分配给盈利的人，但是数据的责任主要是个人的责任。在欧洲，数据隐私的现实是，其存在一个非常强大的法律 GDPR，但是该法律只是形式上的强大，实际上对于个人数据的使用几乎没有控制权，所以理论上的法律是强大的，实践中的法律是薄弱的，这正是 GDPR 忽视两个原则的直接结果，也导致我们迷失了方向，因为它没有给公民灌输信任，人们不相信其个人资料被合法使用。在欧洲，像 Google、Facebook 和 Amazon 这样的美国大公司竟然可以重复利用他们收集的数据，并将其用于多种不同的目的，而无需征得个人同意。而在欧洲的中小型公司则在收集运营所需数据方面存很多障碍。所以 GDPR 从本质上帮助了美国的大型公司，却伤害了欧洲本土的公司，对于欧洲人民而言，并不能带来自决和数字主权的感觉。因此我们需要更多的数据隐私监管，让那些负责的人承担责任。如果不解决数据信息集中问题，不仅对市场竞争有害，而且对我们社会的未来创新有害，这对社会结构、社会凝聚力等都是极其危险的。因此我们需要恢复数据隐私，让其成为一种工具，一种社会赋权的机制，一种权利的平衡。如果我们不回归到早期数据隐私法的基本原则上来，从而确保数据隐私有助于整个社会，那么，我们将无法在数据时代取得成功。

点评与问答环节

随后，讲座进入了点评与问答环节。中国人民大学法学院副教授丁晓东首先对舍恩伯格教授的讲座表示了感谢。丁晓东老师表示他从舍恩伯格教授的作品和一系列关于信息自决的讲座中收获颇丰。目前，中国《个人信息保护法》呼之欲出。在这次讲座中将会碰撞出很多问题。丁晓东老师表示本次讲座邀请了两位年轻的教授：中国人民大学副教授张吉豫和中国政法大学副教授沈伟伟，并对他们作了介绍。

中国人民大学副教授张吉豫首先感谢了舍恩伯格教授精彩的发言。张吉豫老师提出了一个问题：舍恩伯格教授提出的旧时代隐私法制定所遵循的两项原则会不会有内在冲突呢？并举例：今年春天在人民大学曾举行过另外一个讲座中，有人提议，为每个人提供一个安全的可在手机终端安装的软件或硬件，这种软件或硬件可以为个人提供隐私检查服务。这个提议可以解决一个问题，那就是，由于每个平台拥有数据是不完整性，通过赋予个人从每个平台收集汇总并移植信息的权利，能够使个人对自己的信息享有更多的控制权限。当然，这项提议也会加大个人本身的责任。就科技公司而言，它们显然并不想让用户意识到用户自身根本没有无法对自己的个人信息进行控制，而是科技公司控制了一切。

接下来，中国政法大学副教授沈伟伟进行了发言。沈伟伟老师首先对能够参加本次讲座表达了感谢，表示从讲座中学习到了很多。随着科技的不断发展，美国、欧盟和中国都正在面临如何解决层出不穷的新型科技带来的法律问题。在法律制定方面，美国有《加利福尼亚州消费者隐私保护法案》（CCPA）、欧盟有《一般数据保护条例》（GDPR），我们的《个人信息保护法》也呼之欲出。在这些国家制定的法律实施后，市场中必然会有胜利者，也会有失败者。沈伟伟老师向听听舍恩伯格教授对于欧盟制定的 GDPR 使得大公司和小公司之间更加不平等这一判断的进一步解释。伟伟教授表示：舍恩伯格教授的观点带给自己更加宏大的视角，数据隐私不仅仅是法律问题，而且关乎社会问题、数据贫瘠、信息权力的集中等等。沈伟伟老师最近阅读了《大数据时代资本主义的重塑》（Reinventing Capitalism in the Age of Big Data）一书，并向舍恩伯格提问：在新的法律环境中，哪些群体会蓬勃发展，哪些群体会因此深陷泥潭？这在目前我们的社会仍然是不明朗的。

在点评与提问后，舍恩伯格对部分问题进行了解答。首先，对于张吉豫副教授的观点，他认为的确存在一些科技产品也许是隐私友好的，但是科技是一直变化的，人们会一直更想要简单、直接的科技。不断扩展科技的复杂度对普通人来说是一种负担。舍恩伯格教授表示自己其实并不愿意听到通过设计的方式规划隐私。这种方式只会增加普通人使用科技的负担。应当在法律被制定之初，融入灵活性和调整性，这样就能够更好地面对不断发展的科技。舍恩伯格教授认为我们需要把重点放在监管上。

对于沈伟伟老师的问题。市场中谁将会胜利，谁将会失败，谁将艰难行进？我们可以看到已有的数据垄断者似乎会取得胜利。不论是中国还是美国的科技巨头都正在不断追求垄断租金（monopoly rents），他们贪婪地攫取本不属于他们应得的利润。我们可以看到，美国、中国和欧盟的政府和决策制定者都在觉醒，渐渐认识到科技巨头的许多做法是令人胆寒的。数据垄断比 18 世纪末掀起美国第一波反垄断浪潮的钢铁垄断、火车垄断更加糟糕。如今，我们面临的信息权力集中（information power concentration）不仅仅出现在一个产业部门，比如钢铁产业、火车产业，它会影响很多消费者，因此我们必须谨慎。我们必须警惕科技巨头所获取的超额利益是他们绝不应得的事实。科技巨头决不能对他人有致命的损害。这绝不是个人的利益，而是整个社会的利益。无论是环境挑战还是社会挑战，我们都需要创新。如果我们没有能力创新，而可以创新的公司却懒得创新，那么我们将面临大问题。我们已经看到硅谷的创新步伐正在放缓，因此我们需要关注一个事实，即社会需要受益。这不仅关乎个人，这关乎的是整个社会，因为我们作为社会的一个整体，作为人类这一物种，我们需要生存。如果我们只是最大化个体利益动机，那么这个目标永远不能实现。

关于欧盟制定的 GDPR 使得大公司和小公司之间更加不平等的问题。就这个问题我写了一篇叫做 Regime change 的文章。如果消费者和公民被告知有一部数据隐私法律可以保护他们，谷歌、亚马逊等等公司并不将数据隐私法律放在眼里，他们拥有海量数据，并且已经将这些数据在未经个人同意的情况下使用了一遍又一遍，那些被侵害过的个人将不会再信任任何公司，这样数据流通性就会下降。而数据流通性下降对个人、社会、决策而言都不是好事情。对于被遗忘权，被遗忘权的确对信息权利有一定的反作用力（反击）。在欧盟的 GDPR 法律框架之下，每个个人都享有被遗忘权、知情同意的权利等等。个人权利的实现需要切身的实践，但是很少有人会向法院提起诉讼状告谷歌等科技巨头，和谷歌有专业的律师团队不同，个人往往是身单力薄的。此外，“集体行动问题”（the collective action problem）表明，如果国家赋予公民一项权利，那么部分公民会等待其他公民努力将他们拥有的权利诉诸实践，每个人都希望他人为自己争取利益，最终的结果将是没有人争取利益。我们应该将公民个人的权利汇集到一起，而不是分散。

关于训练数据（training data）的问题，教授回应，数据有很多种，至少有一半以上的数据不是个人数据，而是机械数据，机械数据完全可以用于训练和使用。但当我们需要对个人数据进行训练和使用时，我们需要对数据进行去个体化（depersonalization）处理，这种处理是一种重要的机理、策略和工具。

关于 GDPR 的罚款制度。舍恩伯格教授认为 GDPR 的罚款制度赋予其一定的强制力，能够威慑科技巨头，给他们警告，并且不需要个人诉诸法院就可实现，这是一种非常好的制度。

隐私法真的能保护个人隐私和数据隐私吗？舍恩伯格教授认为隐私法能够保护个人隐私和数据隐私，正确的监管框架能做到很多，并且我们需要积极实施。我们不应该停止这种尝试。

关于小的互联网起步公司滥用个人数据的问题。小的互联网起步公司因为没有什么可以失去的，他们往往会滥用个人隐私，我们的监管机构的确需要对这类公司进行监管。

固然舍恩伯格教授认为欧盟的 GDPR 法律框架偏离了早期隐私法律提出的两项原则，但是他并未全盘否定 GDPR 的价值。GDPR 如果实施得好，是可以促进数据使用的。GDPR 如果实施得不好，则会阻碍或者限制个人、社会对数据的利用的。会有很多因素影响 GDPR 的正确实施。

Cookies 是过时的并且有一天会消失或者被替代。

问题：很多科技公司改变了他们对面部识别技术的态度。面部识别技术可以是有益的，也可能是危险的。在像谷歌这样的大公司内部，有些人是赞同这项技术的，有些人是不赞同的，因此，在谷歌高层内部是有决策张力的，很难预测谷歌会如何作出最终决策。

总结

最后，在进行了一个多小时的主讲与讨论后，中国人民大学副教授丁晓东对此次会议进行总结，并在会议中再次表达对舍恩伯格教授的感谢，此次讲座圆满结束。