人工知能開発における個人情報保護

インターネット空間は、人間が肉体から切り離された「デジタルサバイバル」を実現し、「デジタルパーソナリティ」、つまり個人情報の収集と処理を通じてサイバースペースにおける個人のイメージが描き出される、リアルな仮想存在です。サイバースペースにおける私たち一人ひとりのイメージや活動データは、データワールドの一部を構成しています。 21世紀はインターネット社会の時代であり、ビッグデータの時代であり、人工知能の時代です。「データは人類文明の礎です。ビッグデータは機械知能の生成と発展に決定的な役割を果たします。」人工知能の発展はインターネットに依存しており、その大部分が個々の国民から得られるビッグデータのサポートから切り離すことはできません。

[[227324]]

2011年、フェイスブックは、イリノイ州生体認証情報プライバシー法（BIPA）で義務付けられている顔認識情報の収集時期と方法をユーザーに通知しなかったとして、顔認識とタグ付け機能に関して訴訟を起こされた。その後、フェイスブックは、顔の特徴を収集する前にユーザーに明確に注意喚起し、同意を得ていなかったとして、アイルランドとドイツの関連部門から調査を受けた。 Facebookは、ユーザーが一般的に顔認識を拒否しないためこの機能はデフォルトでオンになっており、ユーザーにはいつでもこの機能をキャンセルする権利があると主張したが、ハンブルクのデータ保護および情報セキュリティ局は、Facebookの顔認識技術は欧州およびドイツのデータ保護法に違反しており、Facebookは関連データを削除すべきだと主張した。結局、Facebook はヨーロッパでの顔認識機能を停止し、ヨーロッパのユーザー向けに構築した顔データベースを削除せざるを得なくなった。個人の写真には個人の顔の特徴が写っている。インターネット企業は顔認証のために個人の顔情報を収集している。この技術を応用すれば、企業の従業員の勤怠管理が容易になり、捜査部門も容疑者を見つけやすくなる。しかし、ここには大きな法的問題があります。人工知能技術企業は人々の顔認識情報を収集できるのでしょうか？どのように収集すべきでしょうか？そして、収集後はどのような形で処理し、使用すべきでしょうか？人工知能技術の応用と継続的な発展に直面して、個人データをどのように保護し、個人情報を違法な侵害からどのように保護するかは、緊急に取り組む必要がある問題です。

I. 個人情報の定義

ビッグデータ時代の到来により、インターネットには膨大な量の情報が溢れています。情報の創造者であり、また利用者でもあるのが個人です。私たちはインターネットを通じて必要な情報を閲覧、検索し、またさまざまなソーシャル ネットワーキング サイトを通じて情報を公開しています。さまざまなプラットフォームが技術的な手段を通じてあらゆる種類の情報を収集、保存しています。人工知能は、膨大なデータを分析、活用した結果です。かつてない技術の発展に直面して、個人情報とプライバシーを保護するという人々の意識は絶えず高まっています。個人情報やプライバシーを侵害することなく人工知能技術の発展を促進し、個人情報の保護を強化するためには、個人情報を法的に定義する必要があります。

私の国には特別な個人情報保護法はありませんが、近年、国はネットワーク情報の保護を継続的に強化するとともに、個人情報の保護にも継続的に注意を払っています。 2012年の「全国人民代表大会常務委員会によるネットワーク情報保護強化に関する決定」、2016年に制定された「サイバーセキュリティ法」、2017年に公布された「民事法通則」、そして「公民の個人情報を侵害する刑事事件の処理における法律適用の若干の問題に関する最高人民法院と最高人民検察院の解釈」など、いずれも個人情報の意味について同様の定義を行っており、個人情報とは、電子的またはその他の方法で記録された、単独または他の情報と組み合わせて自然人の個人識別情報を特定できるさまざまな情報を指し、自然人の氏名、生年月日、識別番号、個人の生体認証情報、住所、電話番号などが含まれますが、これらに限定されません。膨大な情報の中で個人情報となり得る中核的な要素は、個人の識別可能性、つまり、単独または他の情報と組み合わせて特定の個人を識別する能力です。

また、プライバシーは、人工知能の開発、データの収集、利用の過程で頻繁に遭遇する「言葉」でもあります。実は、個人情報とプライバシーは密接に関係しています。一方、多くの個人情報（個人の銀行口座や身分証明書番号など）は、ある程度プライベートなものであり、個人が開示したくないプライベートな情報です。一方、結果的に個人情報の侵害は個人のプライバシーの侵害につながる場合が多いです。また、侵害の手法から判断すると、個人情報の侵害も個人情報を開示する形をとることが多く、プライバシー権の侵害と非常によく似ています。しかし、両者の間には、性質、対象範囲、内容、侵害方法、保護方法の面で依然として大きな違いがあります。 （詳細な比較については下の表をご覧ください）

個人情報とプライバシーの比較

全体として、個人情報の概念はプライバシーの範囲をはるかに超えています。

2. 人工知能の発展は個人情報の侵害を伴ってはならない

人工知能技術の開発は、個人情報の収集、分類、抽出、分析、使用、および他者による使用許可など、膨大な量の情報とデータに依存しています。人工知能の開発は、個人情報の侵害を伴うべきではありません。人工知能技術の開発者は、ユーザーのプライバシーを保護する意欲と責任を持っています。人工知能企業は、人工知能技術の開発のために他人の個人情報を取得する必要がある場合、法律に従って取得し、情報の安全を確保しなければなりません。他人の個人情報を不法に収集、使用、処理、送信したり、他人の個人情報を不法に購入、販売、提供、開示したりしてはなりません。

1. 明示的な同意の取得：ネットワークサービスがユーザー情報を収集する機能を有する場合、プロバイダーはユーザーに明確に通知し、同意を得る必要があります。ユーザーの個人情報に関係する場合、プロバイダーは個人情報保護に関する関連法律および行政規制を遵守する必要があります。個人情報を盗んだり、その他の違法な手段で入手したり、個人情報を違法に販売したり、他人に提供したりすることは禁止されています。

2. 情報保護と機密保持：収集したユーザー情報は厳重に機密に保持され、健全なユーザー情報保護システムが確立されるものとします。収集した個人情報のセキュリティを確保し、情報の漏えい、滅失またはき損の防止を図るために、技術的対策その他必要な措置を講じます。個人情報が漏洩、毀損、紛失した場合、または漏洩、毀損、紛失する恐れがある場合には、直ちに是正措置を講じ、速やかにユーザーに通知し、規定に従って関係の所管当局に報告するものとします。

3. 合法性、正当性、必要性：個人情報の収集と利用は、合法性、正当性、必要性の原則を遵守し、収集と利用のルールを公表​​し、情報の収集と利用の目的、方法、範囲を明確にし、情報を収集される本人の同意を得る必要があります。

4. 「4つのしてはいけないこと」：提供しているサービスに関係のない個人情報を収集しない、法律、行政法規、当事者間の合意の規定に違反して個人情報を収集・使用しない、収集した個人情報を開示、改ざん、破棄しない、個人情報を収集した人の同意なしに個人情報を他人に提供しない。ただし、特定の個人を識別できず、復元もできないよう加工されたデータについてはこの限りではありません。

5. 削除と訂正：個人情報の収集と使用が法律、行政法規または両者間の合意の規定に違反していることが判明した場合、個人情報は削除されます。収集および保存された個人情報に誤りがあることが判明した場合、訂正されます。

（具体的な要件については以下の表をご覧ください）

人工知能技術の発展には、膨大な量のデータが支えとなる。個人情報には重要な個人のプライバシーが含まれる。人工知能技術の発展の一般的な傾向に直面して、個人情報を保護するには、各当事者の行動の境界を合理的に区分する必要がある。個人は自己防衛意識を高めるべきであり、技術開発者は個人の希望を尊重し、法律で認められた方法で情報を入手し、使用すべきである。人工知能の発展は、個人情報を侵害する代償を伴うものではない。