Pixabay
【編者按】如何既合理地令數(shù)據(jù)發(fā)揮最大的價值與潛力�,又保護個人信息在大數(shù)據(jù)時代不被濫用?這是目前健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)落地中急需解決的問題。
毫無疑問���,作為技術(shù)概念的“大數(shù)據(jù)”擁有光明的前途��,它是人工智能的基石���,是未來世界的“石油”。但作為生意的“大數(shù)據(jù)”��,正走到一個關(guān)鍵的轉(zhuǎn)折點�。
“大數(shù)據(jù)之父”、牛津大學(xué)教授舍恩伯格指出�����,當(dāng)前大數(shù)據(jù)的價值不再單純源于它的基本用途,而更多在于它的二次利用�。這既顛覆了當(dāng)下隱私保護法以個人為中心的思想,同時說明在大數(shù)據(jù)時代���,如果政府或企業(yè)還嚴(yán)格按照“目的限定”或“數(shù)據(jù)最小化”原則來獲取個人同意或處理數(shù)據(jù)����,將“限制了大數(shù)據(jù)潛在價值的挖掘”�。
不可否認(rèn),流動中數(shù)據(jù)產(chǎn)生了前所未有的價值和方便�,但“就像一條高速公路打開所有入口,速度快了�,發(fā)生危險的概率和影響也可能更大”,數(shù)據(jù)的安全問題同樣經(jīng)歷著嚴(yán)峻的風(fēng)險和挑戰(zhàn)��。Verizon
發(fā)布的 2018 數(shù)據(jù)泄漏報告(DBIR)顯示���, 2017 年全球發(fā)生的 53000 余件網(wǎng)絡(luò)安全事件中���,有 2216
起確認(rèn)為數(shù)據(jù)泄漏,其中醫(yī)療行業(yè)高居榜首��。
1����、硬幣的正反面:數(shù)據(jù)在加速��,也在暴露
數(shù)字經(jīng)濟時代�,海量的數(shù)據(jù)不僅能優(yōu)化以深度學(xué)習(xí)為代表的AI算法設(shè)計�,更能顯著提升數(shù)據(jù)收集管理能力和數(shù)據(jù)挖掘利用水平����。
2018年投入使用的“京津冀肺癌AI輔助診療平臺”,就是結(jié)合醫(yī)療大數(shù)據(jù)病歷庫通過AI比照進行分析�,出具患者影像診斷信息,輔助醫(yī)生進行臨床診斷���。截至目前���,該平臺在天津市胸科醫(yī)院累計使用超過20000例次,其中等同病理判斷水平的數(shù)據(jù)達數(shù)千例�����,使得該平臺AI模型不斷優(yōu)化��。AI肺結(jié)節(jié)檢出率從82%提升到99%����,良惡性預(yù)測準(zhǔn)確率從51%提升到90%��,均高于臨床PET-CT對結(jié)節(jié)良惡性的預(yù)測��。
當(dāng)然不僅僅是醫(yī)療領(lǐng)域��,當(dāng)前大數(shù)據(jù)分析和AI技術(shù)的運用已經(jīng)像水電煤一樣開始滲透至經(jīng)濟社會發(fā)展的各個方面����。但技術(shù)運用的不確定性也會產(chǎn)生連帶的隱患����。
2018
年,F(xiàn)acebook劍橋分析事件爆出���,一度成為互聯(lián)網(wǎng)行業(yè)的焦點�����,幾百億美元市值瞬間蒸發(fā)����。在全球越來越重視隱私的趨勢下,數(shù)據(jù)安全被提到了新的高度�。
中國信息通信研究院近日發(fā)布的《人工智能數(shù)據(jù)安全白皮書》顯示,AI應(yīng)用可導(dǎo)致個人數(shù)據(jù)過度采集���,加劇隱私泄露風(fēng)險�。隨著各類智能設(shè)備(如智能手環(huán)���、智能音箱)和智能系統(tǒng)(如生物特征識別系統(tǒng)���、智能醫(yī)療系統(tǒng))的應(yīng)用普及�,人工智能設(shè)備和系統(tǒng)對個人信息采集更加直接與全面。
中國信通院華東分院首席規(guī)劃師賀仁龍表示��,AI技術(shù)在企業(yè)的應(yīng)用中���,涉及設(shè)備安全�、數(shù)據(jù)安全����、控制安全、網(wǎng)絡(luò)安全��、應(yīng)用安全五大方面���,其中��,核心是數(shù)據(jù)安全���。而這一方面�����,醫(yī)療領(lǐng)域?qū)儆诟呶P袠I(yè)��,例如醫(yī)療設(shè)備因沒有經(jīng)過多番測試導(dǎo)致病人資料泄露���。對此電子科技大學(xué)周濤教授持同樣看法,“我們可以嘗試把病人的數(shù)據(jù)進行預(yù)脫敏�,畢竟名字、電話這種數(shù)據(jù)和病例沒有直接關(guān)系����,所以對患者個人信息進行脫敏,也能減少隱私泄露問題����。”
猶如硬幣的正反面,大數(shù)據(jù)和AI的發(fā)展給時代“提了速”��,但也可能給我們“泄了密”�����。
2�����、我們能拒絕數(shù)據(jù)被采集利用嗎?
對于個體而言���,保護數(shù)據(jù)安全最直接的辦法就是不允許任何平臺收集使用“我”的數(shù)據(jù)�,但這明顯與大數(shù)據(jù)時代的發(fā)展理念相悖�。
大數(shù)據(jù)和AI是國家和社會未來發(fā)展的戰(zhàn)略方向���,如果為了保護數(shù)據(jù)安全就“粗暴”地限制大數(shù)據(jù)和AI的發(fā)展����,反而會給國家和社會發(fā)展帶來更大的問題����。因此,數(shù)據(jù)需要開放,需要在標(biāo)準(zhǔn)規(guī)范的前提下挖掘最大的價值��,搶占技術(shù)和產(chǎn)業(yè)制高點��。
同時當(dāng)人們離開互聯(lián)網(wǎng)��,離開手機上的各種APP���,會發(fā)現(xiàn)生活可能變得“寸步難行”���,除打電話外沒辦法與朋友聯(lián)系,不能網(wǎng)購�、叫外賣、網(wǎng)約車�、網(wǎng)絡(luò)掛號……所以當(dāng)人們不得不將自己的數(shù)據(jù)留痕于各種網(wǎng)絡(luò)或系統(tǒng)中時,需要和呼吁的是更嚴(yán)密的網(wǎng)絡(luò)監(jiān)控�。
如何既合理地令數(shù)據(jù)發(fā)揮最大的價值與潛力,又保護個人信息在大數(shù)據(jù)時代不被濫用?對此舍恩伯格提出
“從個人許可到讓數(shù)據(jù)使用者承擔(dān)責(zé)任”這一觀點��。對于這一轉(zhuǎn)變����,從信息控制者責(zé)任的角度來看,需要強化其風(fēng)險防范規(guī)則�����,確立基于風(fēng)險防范的個人信息使用規(guī)則。
在最高人民法院司法案例研究院4月的一篇文章中���,也透露出這樣的思路�����。文章指出���,解決用戶個人數(shù)據(jù)保護的關(guān)鍵在于“區(qū)分包含用戶個人信息的原始數(shù)據(jù)與處理加工形成數(shù)據(jù)產(chǎn)品后的衍生數(shù)據(jù),并分別判斷歸屬”���。文章認(rèn)為��,原始數(shù)據(jù)歸屬于用戶�,而衍生數(shù)據(jù)則歸屬于運營公司����。這樣不僅能合理平衡雙方利益���,更能“鼓勵網(wǎng)絡(luò)企業(yè)不斷進行技術(shù)創(chuàng)新和產(chǎn)能創(chuàng)造����,促進社會總體財富增加的需要?��!?/p>
中國人民大學(xué)丁曉東教授表示���,公平信息實踐“已經(jīng)成為全球隱私保護的重要準(zhǔn)則”。他嘗試提出了一個更為符合大數(shù)據(jù)時代特征的公平信息實踐版本:
個體合理預(yù)期:個人信息的收集�����、處理與流轉(zhuǎn)應(yīng)當(dāng)符合個體的合理預(yù)期��,尤其是在不涉及公共利益的情形下�����,當(dāng)個人信息的收集�、處理與流轉(zhuǎn)超出一個社會中正常理性個體的合理預(yù)期時,個人信息的收集者或處理者必須對個體進行顯著告知�����,確保個體理解伴隨此類收集與處理的風(fēng)險�,并且在此類情形中獲得個體的明確授權(quán)�����。
訪問權(quán)�����、糾正權(quán)與刪除權(quán):對于未進入公共領(lǐng)域的信息和不涉及公共利益的個人信息����,公民個體對其信息具有訪問權(quán)��、糾正權(quán)與刪除權(quán)�。對于進入公共領(lǐng)域的信息和涉及公共利益的個人信息,公民個體的訪問權(quán)����、糾正權(quán)與刪除權(quán)將受到相關(guān)限制。
合理使用與流通:個人信息的收集不應(yīng)當(dāng)妨礙社會信息的合理使用與合理流通��,當(dāng)個人信息的收集與使用超出個體合理預(yù)期但符合社會公共利益時��,應(yīng)當(dāng)優(yōu)先考慮社會公共利益�����,在考慮社會公共利益的前提下限定個人信息的收集與使用����。
消費者利益與公共利益優(yōu)先:個人信息的收集與利用應(yīng)當(dāng)以促進社會的整體利益為基礎(chǔ)。商業(yè)領(lǐng)域的個人信息應(yīng)當(dāng)以促進服務(wù)的提升和更好滿足消費者為目的��,避免利用個人信息來無限度榨取消費者剩余;政府對于個人信息的利用應(yīng)當(dāng)以促進服務(wù)公民與提升公共政策制定為目的�����。
風(fēng)險預(yù)防:個人信息的收集者與處理者應(yīng)當(dāng)采取恰當(dāng)?shù)拇胧﹣矸婪栋殡S個人信息收集��、儲存��、處理與流轉(zhuǎn)的風(fēng)險����。此類措施應(yīng)當(dāng)包括但不限于風(fēng)險評估、風(fēng)險預(yù)警���、分類保護�����、泄露告知等措施����。
3、數(shù)據(jù)安全法規(guī)�,離我們還有多遠(yuǎn)?
近期,因用戶數(shù)據(jù)泄露�,英國航空公司和萬豪國際集團分別被英國信息專員辦公室(ICO)處以1.8億英鎊和近1億英鎊的罰單,著實讓世界驚嘆歐盟GDPR
——“史上最嚴(yán)數(shù)據(jù)保護法”的威力��。
在GDPR實施的一年時間里���,不僅結(jié)束了互聯(lián)網(wǎng)企業(yè)利用個人數(shù)據(jù)牟利的“裸奔”時代��,同時對于消費者的隱私觀念���、科技企業(yè)的文化、各國數(shù)據(jù)保護的立法以及數(shù)據(jù)安全未來發(fā)展的思考���,都起到了潛移默化的影響���。
但數(shù)據(jù)保護法規(guī)的落地,并非一片坦途���。
在相關(guān)法律還不十分完善的情況下�,甚至有可能被反過來用于侵犯隱私。例如����,牛津大學(xué)的一位博士生引用GDPR中“數(shù)據(jù)主體有權(quán)從控制者處要求獲取其個人數(shù)據(jù)”的條款����,假冒他人名義向150個公司發(fā)送郵件,要求獲得個人隱私數(shù)據(jù)�,最后得到了包括社會保險號(SSN)在內(nèi)的高度敏感信息?���?磥恚瑪?shù)據(jù)保護法規(guī)要在一個“防君子不防小人”的環(huán)境中實行���,還有很長的路要走���。
另一主要質(zhì)疑是“阻礙創(chuàng)新”。
近期《財經(jīng)》專題文章提出���,企業(yè)數(shù)字化應(yīng)用需要獲得一線工人的數(shù)據(jù)�����,可是GDPR要求每一次數(shù)據(jù)采集都須經(jīng)過本人同意���,這在歐洲幾乎是不可能完成的任務(wù)��。缺失了第一手的數(shù)據(jù)���,智能制造舉步維艱。
此外����,嚴(yán)苛的懲罰也可能使一些小企業(yè)難于成長甚至瀕臨倒閉,而大企業(yè)也會出于謹(jǐn)慎或降低風(fēng)險而收縮業(yè)務(wù)進而阻礙企業(yè)創(chuàng)新���。如果沒有相匹配的創(chuàng)新服務(wù)形式���,發(fā)現(xiàn)問題一罰了之,可能一些本可以繼續(xù)為社會提供價值的企業(yè)會由于ICO的一劑重罰直接進入“ICU(重癥監(jiān)護室)”�����。
在我國����,近年頒布的若干項國標(biāo)和法律也對個人數(shù)據(jù)保護作出了定義����,并且隨著實踐推進而不斷完善�����,但目前尚未形成體系完善的人工智能數(shù)據(jù)安全法律法規(guī)��。
上海市科學(xué)學(xué)研究所科技發(fā)展研究中心王迎春主任表示���,中國應(yīng)堅持技術(shù)、產(chǎn)業(yè)和規(guī)則齊步走����,建立更加具有彈性空間的動態(tài)治理機制,積極在促進創(chuàng)新和社會有序演進方面實現(xiàn)動態(tài)平衡���,既要呵護促進創(chuàng)新又要防范系統(tǒng)性風(fēng)險���,為人工智能健康發(fā)展提供保障。要努力形成一套務(wù)實管用����、行之有效的方法�,對創(chuàng)新高度包容����,同時對可能出現(xiàn)的風(fēng)險高度警惕,針對出現(xiàn)的問題加強多部門的協(xié)同治理��。
數(shù)據(jù)安全法規(guī)�,目前還是一個成長中的孩子。希望現(xiàn)實中的不完善可以倒逼法規(guī)的持續(xù)改進��,讓其找到嚴(yán)謹(jǐn)和靈活的平衡點���,為大家創(chuàng)造一個可信賴的數(shù)字世界�。
