下载掌阅APP,畅读海量书库
立即打开
[德]尼古拉斯·马奇(Nikolaus Marsch) 撰
李 辉 译
人工智能在处理个人数据方面的应用对现行数据保护法提出了挑战,因为现行数据保护法的许多方面都与人工智能相冲突。是否必须从基本权利的角度来看,这一点值得商榷。如果《欧盟基本权利宪章》第8条中的基本数据保护权利承认了信息自决权,保证个人数据的使用权由个人决定,那么立法至少会对人工智能在公共机构的应用方面进行严格限制,因此,人工智能在公共机构的应用将很可能会被禁止。然而,将《欧盟基本权利宪章》第8条解释为立法者有义务规范国家对数据的处理,规范人工智能的使用,从而尽可能保护基本权利,似乎更有说服力。将数据保护的基本权利以这样的方式解释考虑到了技术创新,使立法机关在某些方面偏离了传统的数据保护法,而更加关注可能更有效的创新保护工具。同时,它也会保护个人的基本权利,因为它要求立法者将其条例建立在保护基本权利的基础上,同时必须考虑到个人数据的处理。
人工智能、大数据分析和机器学习给现行法律,特别是欧洲数据保护法带来了严峻的挑战。像所有其他技术创新一样,人工智能的迅速发展也引发了这样一个问题:现行的法律或规则是否能够适应人工智能的发展?如果现行法律没有提供足够的答案,就必须找到新的解决办法。本书的许多章节针对与人工智能相关的技术进步所带来的问题提供了一些答案。
1
然而,国家和欧洲立法者是否还有回旋余地来寻求新的答案是值得怀疑的。就个人数据处理而言,国家立法者主要受欧洲数据保护法,即《通用数据保护条例》的约束。这些普通法的概念,即灵活的限制,不是本章的主题。
下文的主要目的是讨论基本权利,特别是《欧盟基本权利宪章》第8条对国家和欧洲立法者的约束。该条首次在欧洲层面规定了明确的基本数据保护权利,这不仅对欧盟各机构,而且在很大程度上也对各国立法者具有约束力(参见《欧盟基本权利宪章》第51条第1款)。
2
本章的目的是在保证公民的基本权利受到保护的前提下,为人工智能打开一扇门。这是基于这样一种信念:像人工智能这样的技术创新,现有的法律无法对其形成有效的约束,要解决人工智能所带来的问题,需要对现有法律进行必要的创新。根据《欧盟基本权利宪章》第8条的传统解释,人工智能在很大程度上是被禁止使用的(至少在公共机构以及使用个人数据的情况下),这就有必要为人工智能的使用打开一扇门。接下来将首先解释为什么《欧盟基本权利宪章》第8条的传统解释基本上关闭了人工智能的大门(参见第二部分);然后解释如何通过重新解释基本权利来打开这扇门(参见第三部分),最后,应对立法者和学者的责任进行概述,以确定如何通过重新解释基本权利来定义这扇门的框架,即更严格地限制人工智能的使用(参见第四部分)。
3
先谈谈为什么必须打开一扇门。因为根据传统的数据保护法基本概念,人工智能在很大程度上是被禁止使用的(参见下文第1点)。至少在德国,这也是一个宪法问题,因为联邦宪法法院利用数据保护法确定了信息自决权的基本权利,从而将其基本概念宪法化(参见下文第2点)。因此,德国法的发展值得分析。同时,欧盟法院的判例也有类似的发展迹象(参见第三部分第2点)。
4
从一开始,数据保护法的目的就是构建和限制个人数据的处理,并使其对数据主体透明。为此,1977年《德国联邦数据保护法》第3节已经规定了禁止个人数据处理的条例,根据该条例,除非有法定依据或者征得了个人的同意,原则上禁止处理个人数据。1977年的标准已经明确规定,法律依据或同意的要求适用于处理的每个单独阶段。
这一概念旨在规范每一个数据处理过程,也适用于《通用数据保护条例》(第5条和第6条)。这一概念包括作为“基石”的目的限制原则,
根据这一原则,只有在特定、明确的目的下,才能对个人数据进行处理(《通用数据保护条例》第5条第1款b项)。
这一数据处理目的规范与许多其他条例和原则相关,例如,《通用数据保护条例》第13条和第14条提供信息的义务以及第5条第1款c项中的必要性原则。因此,现行数据保护法的传统目标是使数据处理合理化,即只允许在法定基础上、为特定目的、以透明方式处理个人数据。用马里昂·阿尔伯斯(Marion Albers)的话说:“整个方法的指导思想是,行动方针和决策过程几乎完全可以通过法律手段加以预见、规划和指导。”
显然,人工智能与数据保护法的这一目标相冲突。
5
当前常规的基于机器学习的人工智能的使用是基于用于训练和测试的巨大数据量。
这些数据是为其他目的而定期收集的,
因此,它们作为人工智能的训练和测试数据,其进一步使用必须是合理的。《通用数据保护条例》第6条第4款预见到,即使这些数据收集的原目的和新目的相一致,其仍有可能被进一步用于其他目的。然而,许多人认为,这是目的限制原则的一个例外,目的限制原则必须严格地加以解释,而这一条例由于措辞含糊,不具备明确的法律约束力以使其能证明在个案之外将数据用于人工智能的训练和测试是合理的。
更为根本的是,人工智能与现行数据保护法的基本概念产生了冲突,因为在许多情况下,特别是在无监督学习的情况下,即使是程序员,也无法理解人工智能获得其结果的过程,正是因为数据分析本身揭示了相关性,从而最终使得数据处理的目的具体化。
依法规范每一个数据处理过程的想法与这种黑箱截然相反。
数据保护法所反映的有关人工智能失控的关切,面临着人工智能的部分失控和完全不可控的挑战。
6
显然,当人们试图将《通用数据保护条例》第5条所列与数据保护有关的原则应用于人工智能时,人工智能挑战了现行数据保护法的基本概念。人工智能的发展几乎与所有的原则都产生了冲突,
或至少存在一定的紧张关系(这并不意味着在所有情况下都违反了所有原则)。上述论述说明了人工智能与透明度原则、
目的限制
和问责原则(《通用数据保护条例》第5条第1款)的紧张关系。同时,数据最小化(第5条第1款c项)和存储限制(第5条第1款e项)的原则也最终反对为了模式识别之目的尽可能多地收集数据的大数据思想。
在许多情况下,大数据用户只能通过以下事实来满足这些原则,即他/她作为数据处理者对处理的目的解释得非常广泛,从而使数据处理的目的变得含糊不清(例如“为了模式识别的目的”)。然而,这种广泛的目的限制很难实现其实际的保护目标(数据处理的限制和透明度),也很难保证第5条第1款b项意义上的“明确的”。
即使第5条第1款c项的准确性原则也不能与大数据的基本思想之一相协调,即大数据主要通过增大数据量来增加人工智能学习的意义,即使这些数据往往是混乱的甚至是不正确的。
7
因此,《通用数据保护条例》没有考虑到人工智能带来的问题也不奇怪,
因为这最终要求至少在人工智能领域偏离欧盟数据保护法的基本概念。在现有框架内寻求解决办法的尝试,例如数据的匿名化,只适用于个例,因为鉴于大数据分析的效率,取消匿名化的风险也增加了。
8
因此,现有应对人工智能使用的两种方法在很大程度上不符合欧盟现行的数据保护法:
鉴于使用人工智能的风险,人们可能认为这两种方法是正确的,并对采取立法行动的要求提出质疑。
或者,如果有人将人工智能解释为对数据保护观念的挑战,则由于数据保护观念主要起源于20世纪70年代,因此无法代表对技术进步的充分法律回应。
然而,如果有人主张改革数据保护法,通过规则的创新合理控制和限制人工智能的使用,那么会存在这样一个问题:数据保护法能够实现多大程度的改变。
换言之,根据基本权利,数据保护法的哪些部分是强制性的,不能接受立法者的修正。在这里,本章将首先研究历史悠久的德国信息自决权(参见下文第2点),然后再对《欧盟基本权利宪章》第8条中对数据保护的基本权利提出不同的概念,这一概念是开放创新的(参见第三部分)。
9
在其著名的人口普查判决中,德国联邦宪法法院从宪法规定的一般人格权中推导出信息自决权。信息自决的基本权利要求“个人有能力决定个人数据的披露和使用”。
法院论证从《德国基本法》
中衍生出来的基本权利的创新如下:
10
那些不能完全确定他们的哪些信息被暴露在社会中的人,以及那些没有办法评估潜在通信伙伴的知识的人,他们根据自己的决定制定计划或作出决定的自由可能会受到很大的限制。信息自决权会与社会秩序和法律制度相抵触,因为社会秩序和法律制度使公民再也无法确定谁在什么时候、什么情境下了解他们的情况。
因此,法院认为,公共机构对个人数据的任何处理都需要:
11
一种(宪法的)法定依据,其要求和限制范围对公民来说是明确和明显的,并符合一个法治国家对法律规则的明确性的要求。
因此,联邦宪法法院将历史上适用于每个数据处理阶段的数据保护法禁止原则的监管模式都纳入了宪法。
如上所述,这种监管模式现在已被写入基本权利,但至少很难与国家当局对人工智能的使用相协调,乍一看,有很多迹象表明它在很大程度上是违宪的。然而,在对信息自决权的理论基础进行更深入的考察时,这一结论受到质疑。
12
在过去的15年里,德国关于基本权利的文献已经确立,信息自决权不应被误解为一种财产权,它赋予每个人处理与他或她有关的个人数据的权利。
在关于全国人口普查的判决中,联邦宪法法院已经澄清,“个人不拥有对‘他的’数据进行绝对、不可模仿的控制权”。
而“包括个人信息在内的信息反映了社会现实,不能完全分配给数据主体”。
特别是加布里埃尔·布里茨(Gabriele Britz)和拉尔夫·波彻(Ralf Poscher)已经确定,信息自决权作为一项仅仅是工具性的基本权利,首要目的是保护其他基本权利,对这些权利的侵犯应事先通过数据处理条例加以预防。
马里昂·阿尔伯斯反对信息自决权的个人主义解释,
他更进一步强调,数据保护法保护了一整套利益,而这些利益不能被理解为一种受法律保护的统一产品。
13
在任何情况下,要理解信息自决权,必须区分法律结构和基本权利的理论观念。
因此,信息自决权的构建,即国家对个人处理个人数据权利的干涉,本身并不是目的,而只是保护其他基本权利的手段,
其理论观念在于信息自决权的这种工具效应。德国法理学花了很长时间来详细阐述这种根本区别,这也可能是由于联邦宪法法院将基本权利模糊描述为信息自决权导致的,而且迄今为止,该法院尚未就基本权利的理论原则发表明确声明。然而,在最近的判例中,联邦宪法法院也没有将信息自决权解释为严格个人主义,而是将其归因于强烈的超个人主义层面。
14
这一点在2008年联邦宪法法院关于自动识别车牌的第一项判决中尤为明显。
警方在德国的两个州设置了摄像头,用于记录过往机动车的车牌,记录的车牌随后自动与警方正在搜查的车辆的档案进行交叉核对。如果这种比较产生了“命中”,就会报告给警察。如果相关的车牌没有包含在搜索清单中,则在交叉检查后,车牌会被直接删除,根据所使用的系统,此过程一般不超过一秒钟。
15
联邦宪法法院最初在其裁决中确定,只有在存在“命中”
的情况下才侵犯基本权利。如果没有直接指明保管人或司机身份的车牌在交叉核对后立即被删除,而没有确定个人身份,那么法院认为,这些案件并不构成对信息自决权的侵犯。
这首先意味着大多数车牌将被记录下来,并对照搜索清单进行交叉检查,而这不构成对基本权利的侵犯。然而,在适当性方面,法院强调,车牌的记录涉及每个驶过控制点的人,他们可以感觉到他们受到监视,这可能会产生寒蝉效应。因此,在适当性检验中,法院还将未命中作为一种论据,认为这不是对基本权利的侵犯。这不是逻辑上的突破,而是法院承认信息自决权不能纯粹从个人主义的角度来解释,而是它包含了一个强烈的超个体维度,从而对国家处理信息提出了客观要求。
16
由于信息自决权,联邦宪法法院将历史悠久的法定数据保护法监管模式纳入宪法。因此,与数据保护法一样,马里昂·阿尔伯斯关于数据保护过程的发现也适用于信息自决权,“认为这些过程几乎可以通过法律手段完全预见、计划和指导的想法过于简单”。
联邦宪法法院采用的监管模式可以追溯到20世纪70年代,也可以追溯到大型计算机时代,这一模式在当时可能已经实现了其目的。然而,在智能手机、普适计算、物联网和人工智能日益普及的时代,它已经过时,不利于创新,而且难以实现对个人的充分保护。进一步发展和加强超个人主义因素是否可以弥补这一点仍存在疑问。如果人们认识到,信息自决权的法律结构必须与基本的理论概念区别开来,因此也必须与其保护目标区别开来,就会面临这样一个问题:作为一种法律结构的信息自决权是否需要更新。这一点的出发点必须是出于保护的目的(因此是理论概念),而不是历史上可能有的法律构架。使用过时的数据保护法结构和传统的监管模式来应对人工智能相关的进展,与将现代航空置于道路交通规则之下一样不能令人满意,即使这两种情况都涉及交通,其目的都是保护生命安全。
17
这给联邦宪法法院带来了问题。参照现行宪法的理念从宪法文本中推断出具有创新性的基本权利是一回事,然而,从根本上质疑自己在基本权利方面的创新并重新构建这些创新,则完全是另一回事。然而,一部宪法不仅必须在是否提供保护以抵御新威胁的问题上具有适应性,而且还必须在如何提供必要的保护方面具有适应性。即使宪法法院出于正当理由回避修改判例,联邦宪法法院也必须在今后几年回答以下问题:鉴于技术在进步,应该如何进一步发展信息自决权。欧盟法院在这方面取得了一定成果,这将在下一部分中阐述。
18
因此,虽然联邦宪法法院在35年前根据数据保护法的监管模式具体规定了基本权利,目前基本上禁止政府机构使用人工智能,但欧盟法院有机会将《欧盟基本权利宪章》第8条作为一项创新的基本权利。该法自2009年起生效,欧盟法院将其作为判例审查标准。事实证明,这比《德国基本法》中的信息自决权更灵活、更开放,因而它提供了更为及时的保护,以防止新技术对基本权利的威胁(参见下文第1点)。但是,从长远来看,欧盟法院可能会按照传统的数据保护法监管模式来解释《欧盟基本权利宪章》第8条,从而与《德国基本法》中过时的信息自决权相一致,因此,对《欧盟基本权利宪章》第8条作出更现代化解释的机会之窗可能很快就会关闭(参见下文第2点)。
19
然而,该如何解释对人工智能的使用起决定性作用的《欧盟基本权利宪章》第8条?与大多数德国作者的观点相反,
有很多人反对将其解释为欧洲的“信息自决权”。准确地说,上文已经概述的《欧盟基本权利宪章》第8条的立法措辞和历史、结构,以及对德国信息自决权纯粹个人主义理解的批评,均反对这种法律移植的假设。
20
让我们先讨论一下《欧盟基本权利宪章》第8条的措辞。它相对公开地指出,“每个人都有权获得有关他或她个人数据的保护”,虽然目前措辞不多,但从其起源的历史来看,它具有一定的意义。因为在《欧盟基本权利宪章》中——在草案委员会最初提出一项基本上与现行版本相一致的提案之后——同时讨论了德国公约成员尤尔根·迈耶(Jürgen Meyer)的提案。在德国欧洲公约主席罗曼·赫尔佐格(Roman Herzog)的支持下,他建议使用以下措辞:“每个人都有权自行决定是否披露其个人数据以及如何使用这些数据。”
然而,这种对德国信息自决权的字面采用并没有得到公约的批准,反而受到了严厉的批评,因为许多公约成员担心这会严重破坏政府行动,这是无法接受的。因此,《欧盟基本权利宪章》恢复了原来的措词,根据这一措词,个人有权保护与他或她有关的个人数据。因此,公约的措词和起源的历史并不表明《欧盟基本权利宪章》第8条确立了以德国模式为基础的信息自决权。
21
《欧盟基本权利宪章》第8条的内部结构,即第1款和第2款的细分,加强了这种意见。后者指出:
22
必须在特定的目的下而且在经过有关人士的同意或法律规定的其他合法情况的基础上公平地处理这些数据。
德国文献主要认为这是一个特殊的限制条款,
旨在具体说明《欧盟基本权利宪章》第52条第1款的一般限制条款,而不是取而代之。
然而,这种解释并不令人信服,因为一方面,第8条第2款重复了法律依据的要求,第52条第1款也体现了这一要求。另一方面,在获得同意的情况下,数据主体的基本权利也不会受到侵犯,因此也没有其他限制,这引起了人们对第8条2款是限制条款的理论的怀疑。但是,如果第8条第2款不包含限制条款,它实际上规定了什么?这个问题是难以在不纳入第1款的前提下孤立地回答的。
23
在这方面,冈萨雷斯·弗斯特(González Fuster)和古特维特(Gutwirth)第一个作出了解释。
在其文章中,他们区分了对《欧盟基本权利宪章》第8条中数据保护基本权利的两种不同理解:德国文献中几乎毫无例外地持有这种理解,根据这种理解,第1款据称信息自决权,第2款包含一个限制条款,他们将其描述为一个禁止性概念。根据这一概念,个人数据的处理从一开始就被禁止(第1款),除非根据第2款根据有关的法定依据或征得个人同意(作为例外),允许处理个人数据。作者将这种禁止性概念与允许性或监管性概念进行了对比。因此,数据处理一般不构成对基本权利的侵犯;原则上可以受理,但必须考虑到第2款的要求。根据这一理解,保障基本权利的实际核心在于第2款。
这样,第2款就获得了它在禁止性概念中不会具有的含义。然而,如果保障的基本权利的核心位于《欧盟基本权利宪章》第8条第2款,该条第1款的意义何在?
24
《欧盟基本权利宪章》第8条的前两款可以通过将第1款解释为立法者对个人数据处理的授权而结合起来,从而使公民的基本权利和利益得到充分保护。因此,保护数据的基本权利要求第1款的立法人员制定适应基本权利的规则,并载有第2款的具体规定,这些规定在立法中应予以充分考虑。但是,如果其他保护机制能确保对基本权利的充分保护,则允许在遵守适应性原则的同时偏离这些要求。
这种理解还有一个优点,即它可以适用于整个第2款,而不仅仅是其第一句。这是因为第2款第二句包含了数据保护法的两项核心权利,即查阅权和整改权,从那以后,这两项权利一直受到立法者特别是团体的限制,并且毫无疑问必须受到限制。
与《欧盟基本权利宪章》有关的解释也证实了这一理解,根据第52条第7款,法院在解释《欧盟基本权利宪章》时必须考虑到这一解释,并在解释中说明:
25
上述95/46/EC指令和45/2001条例载有行使保护个人数据权利的条件和限制。
与《德国基本法》的信息自决权不同,以这种方式解释的基本数据保护权更具创新性,因为它并不强制延续过时的数据保护概念,而是使立法者能够用与问题相适应的新监管概念来应对技术进步。同时,它要求立法者以这种方式采取行动,提供比以前的方法更有效的保护。这种规范性的开放也符合数据保护法旨在保护的大众的不同利益。因此,数据保护法规定,个人数据的处理是一个需要从基本权利的角度加以注意的问题。同时,它并不免除立法者的任何限制,但是,例如,它要求立法者将其监管考虑建立在一个概念的基础上(参见第四部分第1点)。
26
然而,尽管有第8条所规定的限制和立法者在其设计中所遵循的适应性原则,但以这种方式解释的数据保护的基本权利可能会导致这样一种预期,即它不能保证基本权利得到强有力的保护。然而,这种担心是没有理由的。除了《欧盟基本权利宪章》第8条的基本数据保护权利外,《欧盟基本权利宪章》第7条还包括保护私人生活的权利。根据《欧盟基本权利宪章》第52条第3款中的一致性条款,该权利必须根据《欧洲人权公约》第8条进行解释,因此也必须考虑《欧洲人权公约》的判例法。
《欧洲人权公约》第8条规定的尊重个人私生活的权利也规定了保护个人数据的权利,虽然这种权利是有限的。因此,公共机构处理数据,如果数据涉及个人的私人生活,
或者如果数据是由警方或情报部门“系统地收集”的,
则构成对《欧洲人权公约》第8条的侵犯。甚至在《欧盟基本权利宪章》具有约束力之前,欧洲人权法院的这一判例就已被欧盟法院广泛接受。
自该宪章具有约束力以来,欧盟法院根据《欧盟基本权利宪章》第7条和第8条创建了一个“基本权利组合”,与欧洲人权法院的数据保护判例法相呼应。自“辛克案”(Schecke)判决以来,当欧盟法院提及“《欧盟基本权利宪章》第7条和第8条所承认的在处理个人数据方面尊重私人生活的权利”时,
便使得《欧洲人权公约》和欧洲人权法院具有了一致性。对于具有特别高风险潜力的数据处理业务,欧洲人权法院将认为其违反《欧洲人权公约》第8条、《欧盟基本权利宪章》第8条连同第7条,冈萨雷斯和古特维特术语中的禁止权巩固了这一结论。
27
因此,对此处提出的数据保护基本权利的解释结合了两位作者所确定的概念,将《欧盟基本权利宪章》第8条第1款解释为立法者的一项义务,以符合基本权利的方式颁布和制定数据保护条例,同时考虑到第2款所载的原则。除了这种灵活和创新的保护外,《欧盟基本权利宪章》第7条和第8条的基本权利组合为与私人生活密切相关的数据处理操作或警察和特勤部门的系统数据处理提供了更为有力的保护,但缺乏灵活性。
28
然而,欧盟法院最近的判例引起了人们的关注,即欧盟法院打算从《欧盟基本权利宪章》中的德国模式推断出全面的信息自决权。最初,法院对《欧盟基本权利宪章》第8条第1款的确切内容以及第8条第2款与第52条第1款之间的关系一直犹豫不决。
例如,在“辛克案”的判决中,它最初适用了根据《欧盟基本权利宪章》第7条和第8条确立的综合基本权利,以便与欧洲人权法院的判例保持一致,而不评论它是否认为对个人数据的每次处理都构成对基本权利的侵犯。在“施瓦兹案”(Schwarz)的判决中,法院随后根据《欧盟基本权利宪章》第7条和第8条谨慎地指出:
29
根据对这些条款的联合解读,作为一般规则,第三方对个人数据的任何处理都可能对这些权利构成威胁。
只有在“爱尔兰数字权利”(Digital Rights Ireland)的判决中,欧盟法院才认为《数据留存指令》(Directive on the Retention of Data):
30
是对《欧盟基本权利宪章》第8条所保障的保护个人数据的基本权利的干涉,因为它提供了对个人数据的处理。
然而,在以下关于侵犯基本权利是否合理的审查中,《欧盟基本权利宪章》第7条是核心,而第8条在很大程度上是一项包含数据保护技术形式的基本权利。
在“谷歌—西班牙案”(Google-Spain)和“施雷姆斯案”(Schrems)的判决中,欧盟法院再次没有对《欧盟基本权利宪章》的第7条和第8条进行区分,而是将它们结合作为审查标准;
此外,《欧盟基本权利宪章》第7条在“施雷姆斯案”的决定中发挥主要作用。
欧盟法院在其对《欧盟—加拿大关于旅客姓名登记的协定》(EU-Canada PNR Agreement)的意见中,似乎希望将其判例法合并为信息自决权,并声明:
31
这些行动也构成对《欧盟基本权利宪章》第8条保障的保护个人数据的基本权利的干涉,因为这些行动涉及对个人数据的处理。
因此,机会之窗有可能慢慢关闭,但可以确信,在此期间,欧盟委员会不会放弃第8条所固有的创新潜力。
32
为了说服欧盟法院,对《欧盟基本权利宪章》第8条的另一种理解不仅是为了数据处理者的利益而创新,而且也能够为数据主体提供更具创新性的保护,因此,立法者和学术界应尽快制定提案,以示范这种保护的样态,进一步增强说服力。这是因为,本章将《欧盟基本权利宪章》第8条解释为一项监管义务,并非旨在提供较少的保护,而是为立法者提供不同形式的保护打开大门。这扇门的框架为:在第一步中,保护的类型和性质由立法者决定,但是,法院,特别是欧盟法院可以在第二步中审查其是否充分,并且必要时有宣布其不充分的权利。
33
因此,立法者的首要职责是规范和限制人工智能的使用。就个人数据的使用而言,《欧盟基本权利宪章》第8条第2款的结构原理提供了监管指南。这主要是为了监管数据处理的结构、限制和透明度,从而最终确保数据主体的安全。
然而,这并不意味着它们的应用是绝对的。相反,如果考虑到某种人工智能的使用似乎是必要和适当的,特别是因为其他安全机制已经确保了充分的保护,对它的监管可能会偏离公共利益。
34
《通用数据保护条例》已经包含了一系列这样的通用安全工具,这些工具可以根据特定的规则进行调整,以适应人工智能的使用。设计保护隐私等原则(《通用数据保护条例》第25条),以及数据保护影响评估(《通用数据保护条例》第35条)和数据保护官员的任命(《通用数据保护条例》第37—39条)等程序规则,以及数据处理公司制定经批准的行为准则(《通用数据保护条例》第40—41条)和建立数据保护认证机制以及数据保护印章和标记(《通用数据保护条例》第42—43条)等自律机制,可作为特定的人工智能法规的模型。此外,还有其他一些可以确保使用人工智能保护基本权利的工具,如建立内部或外部伦理委员会,
通过技术手段,
如监督算法
确保人工智能遵守规则,开发可解释人工智能,以及立法者颁布适当的赔偿责任规则。
这样的安全工具也可以根据公共和私人研究的例外情况模型(《通用数据保护条例》第6条第1款c项和第6条第4项,以及第5条第1款a项)使例外情况合理化。
35
监管工具的建议清单绝不是详尽无遗的,可以不断扩充。然而,对于立法者而言,重要的不是监督手段,而是它们能够符合充分保护基本权利的立法概念。这一概念也代表了司法控制的起点,正如欧盟法院在“辛克案”中的决定一样,司法控制与相应法律行为的原因有关(参见《欧盟运作条约》,Treaty on the Functioning of the European Union,TFEU,第296条第2款)。在这一决定中,欧盟法院首先开始审查欧盟关于公布农业补贴受惠者姓名的条例的适用性。
但是,在这项审查中,法院后来从实质性审查转到程序性审查,并宣布该条例实质上是无效的,理由是:
36
欧盟理事会和委员会似乎没有试图在欧洲联盟保证其行为的透明度和确保公共资金的最佳使用,与《欧盟基本权利宪章》第7条和第8条所载的基本权利之间保持平衡。
立法者有义务起草一个全面的概念,并将其(至少部分地)包括在法律行为的推理中,从而在程序上弥补《欧盟基本权利宪章》第8条所规定的相当薄弱的物质联系。
此外,根据沃尔夫冈·霍夫曼-里姆的主张,
立法概念可以更充分地考虑对人工智能的使用进行监管的结果和影响。
37
最后,这里介绍的方法具有以下优点:对人工智能使用的限制不必以一种抽象形式从《欧盟基本权利宪章》中衍生出来,因为这很可能导致解决方案不够充分。立法者的任务是制定适合特定主题领域的解决方案。这是因为,根据马里恩·阿尔伯斯(Marion Albers)的说法,数据保护法必须是一种“反身法”,通过实验立法等手段,确保法律的不断调整、进步,
法律学者能够而且必须支持这一进程。
38
法律学者先前已经愈发深入地讨论了人工智能这个话题。大多数的贡献最初都是以抽象的方式接近人工智能,试图以概括的方式对问题进行描述并概述法律解决方案。在对一个新专题进行科学深入研究的第一阶段,这是非常重要的,同时也是为了初步收集可能的观点和研究问题,今后将需要一种自下而上的方法,
这也是本卷中许多贡献的特点。第二阶段应在特定领域使用人工智能(可能)的基础上,对人工智能进行法律分析,深入研究哪些监管工具对一些特定领域,如医疗等的基本权利提供了充分的保护。
在人工智能应用的各个领域中获得的研究结果必须在第三阶段进行组织,并最终将其纳入一项科学合理的人工智能监管建议框架中。
39
1. Albers M(2005)Informationelle Selbstbestimmung. Nomos, Baden-Baden.
2. Albers M(2014)Realizing the complexity of data protection. In: Gutwirth S, Leenes R, De Hert P(eds)Reloading data protection: multidisciplinary insights and contemporary challenges. Springer, Dordrecht, Heidelberg, London, New York, pp.213—235.
3. Altman M, Wood A, O'Brien DR, Gasser U(2018)Practical approaches to big data privacy over time. Int Data Priv Law 8:29—51 Article 29 Data Protection Working Party(2013)Opinion 03/2013 on purpose limitation(2.4.2013).http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf. Accessed 18 Sept 2018.
4. Bernsdorff N(2014)Art. 8. In: Meyer J(ed)Charta der Grundrechte der uropäischen Union, 4th edn. Nomos, Baden-Baden.
5. Boehme-Neßler V(2017)Die Macht der Algorithmen und die Ohnmacht des Rechts. Neue Juristische Wochenschrift 70:3031—3037.
6. Britz G(2010)Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts. In: Hoffmann-Riem W(ed)Offene Rechtswissenschaft: Ausgewählte Schriften von Wolfgang Hoffmann-Riem mit begleitenden Analysen. Mohr Siebeck, Tübingen, pp.561—596.
7. Butterworth M(2018)The ICO and artificial intelligence: the role of fairness in the GDPR framework. Comput Law Secur Rev 34:257—268.
8. Cate FH, Cullen P, Mayer-Schönberger V(2014)Data protection principles for the 21st century: revising the 1980 OECD guidelines.https://www.oii.ox.ac.uk/archive/downloads/publications/Data_Protection_Principles_for_the_21st_Century.pdf.
9. Conrad CS(2017)Künstliche Intelligenz—Die Risiken für den Datenschutz. Datenschutz und Datensicherheit 41:740—744.
10. Conrad CS(2018)Kann die Künstliche Intelligenz den Menschen entschlüsseln?—Neue Forderungen zum Datenschutz. Datenschutz und Datensicherheit 42:541—546.
11. Cornils M(2014)Schrankendogmatik. In: Grabenwarter C(ed)Enzyklopädie Europarecht II: Europäischer Grundrechtsschutz. Nomos, Baden-Baden, § 5.
12. Cornils M(2015)Der grundrechtliche Rahmen für ein(trans-)nationales Datenschutzrecht im digitalen Zeitalter. In: Hain K-E, Peifer K-N(eds)Datenschutz im digitalen Zeitalter—global, europäisch, national: Vortragsveranstaltung des Instituts für Rundfunkrecht an der Universität zu Köln vom 16. Mai 2014. Beck, München, pp.11—50.
13. Council of Europe's Consultative Committee of Convention 108(2017)Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data. https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent? documentId¼09000016806ebe7aCraig PP, Hofmann H, Schneider J-P, Ziller J(eds)(2017)ReNEUAL model rules on EU administrative procedure. Oxford University Press, Oxford, New York, NY.
14. Eichenhofer J(2016)Privatheit im Internet als Vertrauensschutz: Eine Neukonstruktion der Europäischen Grundrechte auf Privatleben und Datenschutz. Der Staat 55:41—67.
15. Forgó N, Hänold S, Schütze B(2017)The principle of purpose limitation and big data. In: Corrales M, Fenwick M, Forgó N(eds)New technology, big data and the law, vol 17. Springer, Singapore, pp.17—42.
16. González Fuster G, Gutwirth S(2013)Opening up personal data protection: a conceptual controversy. Comput Law Secur Rev 29:531—539.
17. Grafenstein M(2018)The principle of purpose limitation in data protection laws: the risk-based approach, principles, and private standards as elements for regulating innovation. Nomos, Baden-Baden.
18. Hoeren T, Niehoff M(2018)KI und Datenschutz—Begründungserfordernisse automatisierter Entscheidungen. RW 9:47—66.
19. Hoffmann-Riem W(1998)Informationelle Selbstbestimmung in der Informationsgesellschaft: Auf dem Wege zu einem neuen Konzept des Datenschutzes. Archiv des öffentlichen Rechts 123:513—540.
20. Hoffmann-Riem W(2018)Rechtliche Rahmenbedingungen für und regulative Herausforderungen durch Big Data. In: Hoffmann-Riem W(ed)Big Data-Regulative Herausforderungen. Nomos, Baden-Baden, pp.9—78.
21. Hornung G(2015)Grundrechtsinnovationen. Mohr Siebeck, Tübingen.
22. Hornung G(2018)Erosion traditioneller Prinzipien des Datenschutzrechts durch Big Data. In: Hoffmann-Riem W(ed)Big Data-Regulative Herausforderungen. Nomos, Baden-Baden, pp.79—98.
23. Hornung G, Herfurth C(2018)Datenschutz bei Big Data: Rechtliche und politische Implikationen. In: König C, Schröder J, Wiegand E(eds)Big Data: Chancen, Risiken, Entwicklungstendenzen. Springer VS, Wiesbaden, pp.149—183.
24. Information Commissioner's Office(2017)Big data, artificial intelligence, machine learning and data protection.https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-mland-data-protection.pdf. Accessed 18 Sept 2018.
25. Kamarinou D, Millard C, Jatinder S(2017)Machine learning with personal data. In: Leenes R, van Brakel R, Gutwirth S, de Hert P(eds)Data protection and privacy: the age of intelligent machines. Bloomsbury Publishing PLC, Oxford, Portland, pp.89—114.
26. Kingreen T(2016)Art. 8 GRC. In: Calliess C, Ruffert M(eds)EUV/AEUV: Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta—Kommentar, 5th edn. München.
27. Kroll JA, Huey J, Barocas S, Felten EW, Reidenberg JR, Robinson DG, Yu H(2017)Accountable algorithms. Univ Pa Law Rev 165:633—705.
28. Marsch N(2018)Das europäische Datenschutzgrundrecht: Grundlagen-Dimensionen-Verflechtungen. Mohr Siebeck, Tübingen.
29. Martini M(2017)Algorithmen als Herausforderung für die Rechtsordnung. JuristenZeitung 72:1017—1025.
30. Mayer-Schönberger V, Cukier K(2013)Big data: a revolution that will transform how we live, work, and think. Houghton Mifflin Harcourt, Boston.
31. Naumann K(2008)Art. 52 Abs. 3 GrCh zwischen Kohärenz des europäischen Grundrechtsschutzes und Autonomie des Unionsrechts. Europarecht 43:424—435.
32. Oostveen M, Irion K(2018)The golden age of personal data: how to regulate an enabling fundamental right? In: Bakhoum M, Conde Gallego B, Mackenrodt M-O, Surblytė-Namavičienė G(eds)Personal data in competition, consumer protection and intellectual property law: towards a holistic approach? Springer, Berlin, pp.7—26.
33. Poscher R(2012)Die Zukunft der informationellen Selbstbestimmung als Recht auf Abwehr von Grundrechtsgefährdungen. In: Gander H-H, Perron W, Poscher R, Riescher G, Würtenberger T(eds)Resilienz in der offenen Gesellschaft. Nomos, Baden-Baden, pp.167—190.
34. Poscher R(2017)The right to data protection: a no-right thesis. In: Miller RA(ed)Privacy and power: a transatlantic dialogue in the shadow of the NSA-Affair. Cambridge University Press, Cambridge, pp.129—141.
35. Rademacher T(2017)Predictive Policing im deutschen Polizeirecht. Archiv des öffentlichen Rechts 142:366—416.
36. Rost M(2018)Künstliche Intelligenz. Datenschutz und Datensicherheit 42:558—565.
37. Siemen B(2006)Datenschutz als europäisches Grundrecht. Duncker & Humblot, Berlin Spiecker gen. Döhmann I(2017)Big und Smart Data: Zweckbindung zwecklos? Spektrum der Wissenschaften Spezial:56—62.
38. Trute H-H(2003)Verfassungsrechtliche Grundlagen. In: Roßnagel A(ed)Handbuch Datenschutzrecht: Die neuen Grundlagen für Wirtschaft und Verwaltung. Beck, München, Kap. 2.5.
39. Trute H-H(2018)Rechtliche Herausforderungen der Digitalisierung. In: Bär C, Grädler T, Mayr R(eds)Digitalisierung im Spannungsfeld von Politik, Wirtschaft, Wissenschaft und Recht: 2. Volume: Wissenschaft und Recht. Springer Gabler, Berlin, pp.313—330.
40. Trute H-H, Broemel R(2016)Alles nur Datenschutz? Zur rechtlichen Regulierung algorithmenbasierter Wissensgenerierung. Berliner Debatte Initial 27:50—65.
41. Wischmeyer T(2018)Regulierung intelligenter Systeme. Archiv des öffentlichen Rechts 143:1—66.