个人信息保护的标准之治

“标准（Standard）”是“通过标准化活动，按照规定的程序经协商一致制定，为各种活动或其结果提供规则、指南或特性，供共同使用和重复使用的文件”[20]。“标准是指对需要协调统一的重复性事物和概念所做的统一规定。以科学、技术和实践经验的综合成果为基础，经过有关方面协商一致，由主管机构批准，以特定的形式发布，作为共同遵守的准则和依据。”[21]可见，标准是能够规范标准化活动以及在标准化活动中普遍适用的规范性文件。标准的规范性应以科学技术领域的技术要求为起点，获得行业最大共识为路径，最终形成以促进最佳社会效益以及保障技术安全的目标，是最直接与科学技术相关联的治理工具。标准可以成为规制人工智能技术领域的“法律”，成为该领域的行业自律的新工具。

标准的制定一方面可确保人工智能技术更好地实现互操作性的关键目标；另一方面，将对人工智能技术的可靠性和安全性进行规范，从而提高技术的可信度，促进企业扩大市场份额。[22]人工智能技术组织制定的团体标准应当制定自愿共识性标准（Voluntary Consensus Standards）。自愿共识性标准是国际通行的标准形式，由标准组织、各大技术组织制定，具有较高的质量、技术性与先进性，也是目前主要发达国家采用的标准形式，这是由于自愿共识性标准的制定程序坚守了公开性、透明性以及利益平衡性原则。公开性代表了标准的制定过程可以被任何人知晓，而非暗箱操作，保障了标准具有广泛的代表性。透明性保障了标准制定的过程可以被任何人所监督，从而保证了标准制定的公开性。利益平衡性指标准制定过程通过共识保障了标准制定符合各方主体的利益，即标准不会侵害任何利益相关方的权益。因此，人工智能技术组织制定作为自律规范的标准，应当采用自愿共识性程序，坚持公开性、透明性以及利益平衡性原则，在个人信息保护标准制定中既要考虑人工智能企业的利益，也要考虑个人信息使用主体的利益，更要兼顾个人信息权利人的利益。自愿共识性标准来自于行业第一线，能够反映人工智能技术领域的真实情况，促进了标准的执行与贯彻。

标准的规范构成要素本身不具有法律意义而仅具有科学和技术层面的意义，因此标准并不具有法律的规范性或类似的规范性，标准的规范性仍只存在于科学和技术层面上，也就是说标准属于单纯的技术规范。[23]自愿共识性标准的非强制性对强制效力提出需求，而法律调整技术领域的局限性提出了应深入调整科学技术领域的诉求，标准与法律融合从而就成为了解决人工智能技术应用的关键。本质上说，自愿共识性标准与法律的融合就是公私合作模式。标准的制定通常是由具有专业技术的非政府团体为了达到一定的规范性目的而制定的技术规范，其制定的标准一般被称为私人标准（非政府标准），通常在文献中被认为是私人治理（Private Governance）的一部分，区别于公权力治理（Public Governance），学者论及两者关系时，认为私人治理是对公共治理的补充。[24]标准与法律具有融合基础，其融合的基础是二者具有的共性，即规范性和对秩序的追求。[25]规范人工智能技术的相关法律采用团体标准作为我国标准与法律融合的模式具有政策上的合理性。2015年《国务院关于印发深化标准化工作改革方案的通知》中指出，团体标准是国际上通行的，虽然团体标准可以快速反映需求供给标准，但也应当注意到标准实施效果，应形成多部门协同推进，深化标准化工作改革。[26]该文件同时指出，标准化对于推进国家治理体系和治理能力现代化具有“基础性、战略性的作用”。[27]因此，法律可以授权人工智能技术标准制定组织制定人工智能技术标准，只要通过自愿共识性程序制定的具有科学性、先进性以及合理性的团体标准，即获得法律的强制约束力。反过来说，法律也可以借助技术标准深入调整人工智能技术领域。如此，人工智能技术领域的治理应采用技术标准，使之成为治理高度专业化的人工智能技术领域的利器。

[1]江志雄，中国政法大学比较法学研究院2019级博士研究生（100088）。

[2]郑志峰：《人工智能时代的隐私保护》，载《法律科学》2019年第2期，第52页。

[3]参见刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期，第80～91页。

[4]杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，载《比较法研究》2015年第6期，第22～33页。

[5]吴汉东：《人工智能时代的制度安排与法律规制》，载《法律科学》2017年第5期，第129页。

[6]《网络安全法》第76条第5款规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

[7]沈德咏主编：《〈中华人民共和国民法总则〉条文理解与适用（下）》，人民法院出版社2017年版，第866页。

[8]高富平：《个人信息保护：从个人控制到社会控制》，载《法学研究》2018年第3期，第91页。

[9]王泽鉴：《人格权法：法释义学、比较法、案例研究》，北京大学出版社2013年版，第209页。

[10]参见高富平：《论个人信息保护的目的——以个人信息保护法益区分为核心》，载《法商研究》2019年第1期，第93～104页。

[11]参见谢远扬：《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》，载《清华法学》2015年第3期，第94～110页。

[12]付新华：《我国个人信息法律保护的应然路径》，载《人民论坛·学术前沿》2019年第10期，第67页。

[13]王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期，第66页。(www.xing528.com)

[14]刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期，第82页。

[15]欧盟《基本权利宪章》第8条第1款规定：“人人均有权享有个人信息之保护。”

[16]金晶：《欧盟〈一般数据保护条例〉：演进、要点与疑义》，载《欧洲研究》2018年第4期，第2页。

[17]丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期，第206页。

[18]Christodoulos Stefanadis，Self-Regulation，Innovation and the Financial Industry，23 Journal of Regulatory Economics 5，25，2003.

[19]中国信息通信研究院于2019年6月发布《关于〈人工智能行业自律公约（征求意见稿）〉公开征求意见的通知》，载搜狐网，www.sohu.com/a/318180567_120025397，最后访问时间：2019年11月10日。

[20]《标准化工作指南第1部分：标准化和相关活动的通用术语》（GB/T20000.1-2014）。

[21]丛树岩、龚雪：《互换性与技术测量》，机械工业出版社2016年版，第2页。

[22]杜传忠、胡俊、陈维宣：《我国新一代人工智能产业发展模式与对策》，载《经济纵横》2018年第4期，第43页。

[23]柳经纬：《标准的规范性与规范效力——基于标准著作权保护问题的视角》，载《法学》2014年第8期，第101页。

[24]Emily S.Bremer，Private Complements to Public Governance，81 Missouri Law Review，1115，1126，2016.

[25]柳经纬：《标准与法律的融合》，载《政法论坛》2016年第6期，第18页。

[26]《国务院关于印发深化标准化工作改革方案的通知》（国发 〔2015〕13号）。

[27]《国务院关于印发深化标准化工作改革方案的通知》（国发 〔2015〕13号）。