安德烈亚斯·埃伯特等|超市里的机器人:考虑零售业使用机器人时的责任和数据保护问题
机器人技术使数字系统能够在物理世界中直接发挥作用。然而,在零售业等复杂环境中使用服务机器人,机器人的物理尺寸可能会带来风险。目前《德国产品责任法》只能应对部分潜在的损害;因此,欧盟正在热烈讨论《产品责任指令》和《使用人工智能的非合同民事责任指令》现代化的提案。与此同时,数据保护也面临着重大挑战。例如,零售业的机器人凭借其先进的传感器技术处理大量个人数据,包括客户数据。那么,必须定期对零售业中使用的机器人进行《欧盟通用数据保护条例》的合规审查。因此,需要探讨在零售业中使用机器人的法律责任和数据保护法问题。
尽管机器人在工业领域已经变得不可或缺,但服务型机器人的发展仍然处于初级阶段。即使吸尘器、拖地和割草机器人已经进入许多私人家庭,但在与客户接触的领域使用服务机器人却仍是少数。然而,随着硬件和调控系统的自由度不断提高,使得在日益复杂的环境中使用机器人成为可能。尤其是在护理领域,自动化机器人已被纳入考虑范围。此外,机器人还可以在其他不同领域开展工作,如零售业。
尽管技术发展日新月异,但社会对机器人技术的不认可往往阻碍其进一步普及。机器人在日常生活中的普及带来了“新的人机交互强度”。调查结果显示,受访者对机器人辅助支付流程、提供产品和安全信息以及补充货架的构想感到满意;但是,受访者对机器人在商店中服务或遵循安全规定持怀疑态度。
如果使用机器人从事商店服务活动,会给各种法益带来相当大的风险,故而需要一个明确的监管框架。首先,这是由机器人的物理特性造成的。机器人能自主移动并影响周围环境,以至于它会损坏或摧毁物体、伤害人,甚至在极端情况下致人死亡。现有的责任法在应对新技术带来的挑战方面存在局限性。由于责任法的认定标准年代久远,即使是简单软件的责任认定也很困难。例如,对于因“黑箱处理”(black-boxing)或软、硬件交互作用产生的复杂关系所引起责任难以厘清因果关系。
此外,机器人需要处理大量数据才能正常运行。在与客户接触时,这会引起客户对信息自决权和数据保护法的极大关注,因为所处理的数据通常会涉及个人隐私,因此应受到《欧盟通用数据保护条例》(GDPR)的约束。这就需要明确具体涉及哪些被处理的数据,以及机器人处理数据的法律依据。再者,在个案中如何执行GDPR的其他要求(如数据保护原则和告知义务)以及责任主体的识别,也非常值得商榷。“机器人”这一术语在技术上具有模糊性。机器人可以有不同的形态。本文将首先介绍Pepper,款已在零售业中使用的机器人。另一款主要用于研发目的的机器人TIAGo,由于其抓取臂功能,本文将对其进行更详细的研究。
Pepper是一个身高约1.20米的人型机器人,已在德国多家商店使用。例如,Pepper在一家超市中为客户指引通往所需货架的道路,并指出商品;在新冠疫情肆虐的2020年,Pepper在北莱茵威斯特法伦州提醒客户注意社会距离规则。在设计拥有一双大眼睛和童声的Pepper时,制造商有意让它看起来不分性别。此外,为了避免发生“Uncanny Valley”效应,Pepper也不能过于逼真。而且,为了避免所谓的“不可思议谷”效应,Pepper不能太像人类。
pepper利用一系列传感器感知环境:它有一个由加速度器和陀螺仪组成的惯性测量单元(“inertial measurement unit”,IMu)、多个摄像头、深度传感器和头部区域的麦克风、触觉传感器、激光测量系统(也称为激光雷达)和传感器系统。另外还有各种网络连接选项,如无线局域网和以太网。
互动装置有多种输出设备。根据型号的不同,互动装置有触摸屏、语音输出、头部和手部的触摸感应身体部位以及可改变颜色和光强度的发光二极管(LED)。
与Pepper不同的是,TIAGo不供零售商店免费使用。它还是一个专门为研发目的而设计的机器人标准平台。因此,TIAGo也可用于检验可能在将来意义重大的功能。
在这方面,机器人的模块化设计很有帮助:其软件和硬件都可以由不同的模块组合而成,因此可以根据不同的用途进行定制。
所以,TIAGo的应用领域具有多样性。其可使用的传感器技术与Pepper大致相同。不过,TIAGo的模块化机械臂尤为重要。TIAGo的机械臂末端可配备五指的机械手,也可配备两指的平行机械手。机械手使TIAGo能够与物体进行物理交互,例如移动或操纵物体。
机器人在零售场所的应用可以实现多种目标。一方面,这关系到店主的经济利益,例如某些活动的自动化、效率的提高和对客户更大的吸引力。另一方面,客户也能从更佳的实用性和指导中获益。
由于机器人使用传感器持久地记录周围环境,以保持自身的行动能力,因此至少可以监测和提供相关环境的信息。如果商店的某个地方有滑倒的危险,机器人可以提醒靠近的客户。如果客户绊倒或物品损坏,机器人可以通知员工并分享自己的位置。
机器人还可以提供商品指引服务。在为客户提供商品指引时,机器人可以在本地数据库中查询产品的供应情况和位置。然后,结合机器人在商店中的实时位置,通过音频信号将这些信息传达给客户。音频信号可借助机器人的姿势显示,例如指向或转向一个方向。如果机器人有屏幕,也可以进行可视化显示。机器人还能提供更详细的建议、各种产品的内容和信息,并将客户的具体愿望纳入考虑。Pepper只有一个简单的手臂,无法安全抓取,而TIAGo可以配备更复杂的抓手。通过适当的编程,TIAGo可以将货物分拣到货架上或递给客户,因此这些耗时的工作可以交由机器人完成。
这些要求清楚地表明,使用机器人存在给客户造成伤害的风险,因此需要明确和具有可预见性的责任规则。除了纯粹的经济损害赔偿外,责任规则还制定了经济行为激励机制——即从一开始便避免损害。法律上有保障且可感知的风险公平分配还能促进信任,提高新技术的可接受性。因此,良好的责任规则最终可以促进创新。
责任的核心出发点最初是最佳风险承担人的问题。在此指向最佳损害防范主体。客户作为潜在受害者应被排除:客户仅在特殊情况下对机器人的行动产生影响,因此难以通过自己的谨慎行为避免损害。事实上,客户通常难以评估与机器人互动所带来的风险。
较之客户,购买或租用机器人的超市经营者更适合作为责任承担者。超市经营者至少可以在机器人运行期间对其进行监控,并定期对其进行检测。
机器人制造商更接近问题源。机器人制造商最有条件通过履行注意义务,设计出尽可能安全的机器人。在这方面,制造商是“最廉价的成本规避者”。与此同时,制造商通常也最有能力准确评估与使用机器人相关的损害风险。
当然,制造商也在努力限制其责任风险,因为对其而言,损害的可预见性也并非完全确定的。尤其是当机器人具有学习和类比能力时,即人工智能(AI)。顾名思义,这意味着即使制造商的输入完全相同,人工智能也会根据具体情况产生不同的输出结果。
本文示例中所提的机器人均具有硬件和软件高度复杂的特征,特别是作为重要组成部分的(“嵌入式”)软件,而且复杂程度越来越高。如果仅是简单的自动化,个别行为的归责是可能的。然而,随着自动化程度的提高,归责也越来越难。将机器人认定为纯粹的工具似乎不再合适。
特别是,不断发展的软件增加了机器人行为的不可预测性和理解难度,这就更难证明因果关系,而因果关系是责任法的核心。软件无法被有意识地“训练”;只有输入的数据和结果具有可访问性。机器人的具体决策路径也只有部分可被追踪。因此,无法确定造成损害的最终输出是由制造商或其他主体违反注意义务造成的,还是基于机器人的自主决定。因此,人们会担心710公海赌船局面失控。
具体来说,制造软、硬件组合机器人的制造商和机器人所使用软件的供应商均可被视为风险承担者。而在软件发生后续更新的情况下,仅将机器人制造商视为风险承担者便不再合适。
零售业中潜在的损害主要在于机器人和抓取臂的物理移动方面。如果机器人作为一个静止的障碍物,只是在员工选定的位置上,其责任与其他不独立移动的物体相同。但是,如果机器人不时地改变位置,甚至在店内不停地移动,便可能与客户发生事故。例如,机器人可能会选定一个构成障碍的位置,并在不显眼的地方引发碰撞。如果机器人自主地作出了一个(错误的)导致损害的决定,不同于由人摆放的机器人,无疑这种损害并非可归责的。机器人的抓取臂在向客户递送货物或将货物摆放到货架上时也可能造成损害,特别是人身损害或财产损害。
机器人自主作出错误决定的风险多被称为“自主风险”,较少被称为“智能风险”。更确切地说,参与日常生活的自主、高度发达的机器人风险可称为“机器人风险”。机器人风险源于机器人的可移动性和学习能力间的相互作用。识别机器人风险须注意与以下情况相区分:由于对机器人的编程、训练、监控或使用不当,责任人违反了注意义务,从而导致损害发生。
根据责任法,机器人风险的责任归属在很大程度上是一个悬而未决的问题,因为根据目前的法律状况,机器人本身既不具有法人地位,也没有责任财产。因此,人们担心,机器人自主作出的难以理解的错误决定的风险最终由受害人承担。
为应对这一风险,欧洲议会于2020年10月20日提出了关于《人工智能系统运营责任条例》的详细建议。该建议拟由人工智能系统运营商承担统一的非合同责任。欧盟委员会采纳了议会的建议,并于2022年9月28日发布了相应的指令提案。
至于《人工智能系统运营责任条例》是否、何时以及以何种形式生效和实施,目前还完全不清楚。因此,首先应关注德国的现行法律。
根据德国现行法,首先必须区分合同责任和非合同的过错责任。严格责任仅限于少数的例外情况。其中一种情况是产品责任,乍看似乎很合适。然而,《产品责任指令》可追溯到1986年,复杂技术乃至人工智能的使用对它来说均系完全陌生的。因此,在数字化变革的背景下,当前的产品责任还无法为公司提供法律确定性,也无法确保消费者得到充分保护,因此欧盟委员会于2022年9月28日提出了更新和调整《产品责任指令》的提案。
《德国产品责任法》(ProdHaftG)第1条可能会对服务机器人的使用产生深远的影响,因为它规定了产品制造商的无过错责任。不过,《德国产品责任法》能否适用仍是一个问题。
根据《德国产品责任法》第2条,产品是指任何可移动的物品,即使它是另一物品的组成部分,包括电等无形产品。然而,以税务软件为例,目前将其认定为产品仍然存在问题:软件既不能明确地被认定为现行指令意义上的产品,也不能明确地将之认定为服务。由于技术的发展,区分数据载体可否呈现具体软件也无济于事。实际上,早就有人建议,应将“直接具有机器控制性质”的软件作为例外。然而,目前的法律并没有考虑此种区分方法。
即使将服务机器人纳入“产品”范畴,认定产品存在“缺陷”也值得怀疑。根据《德国产品责任法》第3条的规定,如果产品不符合合理的安全预期,则认定产品存在缺陷。然而,在创新的背景下,制造商很难根据现有的安全标准进行判断。新产品的开发成本高昂,而且收益具有不确定性。如果制造商不能确定新技术含有何种风险,创新便会被抑制。因此,《德国产品责任法》第1条第2款规定了免责条款。如果“在制造商将产品投放市场时,根据当时的科学技术水平,缺陷无法被识别”,则制造商根据该款第5项不承担责任。
在此背景下,即使由机器人制造商负担举证责任,机器人行动的不可预测性也仍对制造商有利。详言之,若机器人制造商在制造中使用人工智能,如自主学习,那么该技术固然具有不可预测性。这意味着产品投放市场时通常不存在缺陷,也意味着不会因新标准或新发现而认定既有产品存在缺陷。因此,机器人通过人工智能进行自主行动并不构成设计缺陷——至少从整体而言,如果机器人的使用降低了损害风险,也是如此。此外,机器人是否存在缺陷必须以自主行动机器人的技术标准为依据。因此,在认定是否存在设计缺陷时,必须同时考虑上述注意水平。总之,《德国产品责任法》规定的产品责任不适用于认定自主机器人造成的损害责任。
对机器人而言,这引发了如何处理机器人更新和新功能安装的问题。一般来说,复杂软件的缺陷在投放市场时是否可识别的问题变得更加复杂。此外,定期更新对与责任相关的投放市场有何影响也值得商榷。更新可以理解为修理,特别是在小改动的情况下,机器人的责任并不会改变。机器人也可能因为更新而发生根本性的改变,这意味着要求原制造商承担责任可能不再合适。
生产商的侵权责任以违反注意义务为前提。与合同责任一样,《德国民法典》第823条第1款和第2款中的侵权责任法一般条款也要求存在过错(故意或过失)。因此,有必要评估被告是否违反了交易中必要的注意义务(《德国民法典》第276条第2款)。生产者责任中的生产商也是最终制造商的供应商。然而,由于违反注意义务仍是核心出发点,机器人部件的供应商和生产商只能在各自责任范围内承担责任。
违反注意义务的原因可能是机器人不符合技术标准,编程、培训或检验不当。在生产者责任的情形中,注意义务总是与客体相关;主要分为以下几种类型的缺陷。典型缺陷由判例法发展而来,与《德国产品责任法》第3条中的术语一致。
上述两类责任中常见的缺陷类型由来已久,因此并不针对机器人和软件,尤其是人工智能。因此,很难将技术问题归类为典型的缺陷。但前述不透明风险是一个特殊问题。
如果机器人的制造计划不能达到要求的安全水平,则视为违反了设计义务。生产商必须采取一切必要、合理的措施来避免或消除危险。设计缺陷经常会影响到整个系列产品。显著的缺陷包括软件无法运行,死机以及程序冻结。可被利用进行网络攻击的安全漏洞可认定为设计缺陷,使用有缺陷的数据进行“训练”也可认定为设计错误。同时,实现绝对安全的目标是不现实的;超过一定的复杂程度,软件编程错误便无法避免。
如果机器人的质量与制造商计划的不同,即在制造过程中与目标质量发生偏差,则存在制造缺陷。这种并不源于机器人设计。例如,常见的软件传输错误可能被忽视,导致机器人不完整或存在缺陷。此外,软件与相应组件的适配也可能出现问题,最终导致整个机器人产品出现缺陷。引入恶意软件也可认定为制造缺陷。
如果用户未被告知或未被充分告知使用方式及相关风险,便属于指示错误。说明义务的范围取决于发生损害的可能性和潜在损害的数额。
特别是对于自动驾驶车辆,有观点认为应通过改进性的措施来履行指示义务。这种措施对机器人也有意义。毕竟,不可能为复杂甚至自主的机器提供包罗万象的说明。相反,过于详细的说明会带来信息疲劳(“信息超载”)的风险。因此,安全的设计须优先。相应的,应在机器人上设置清晰可见的警告或紧急停止开关。根据实际情况,也可以安装较弱的电动机或节流阀,以降低致损的风险。
此外,当机器人用于零售或其他领域时,现场通常缺少受过技术培训的人员监控机器人。这就意味着,特别是有关技术方面的说明往往对运营商帮助不大。而且,机器人的进一步普及意味着越来越多没有相关经验的人开始接触机器人,因此有必要在设计中转化或废除指示义务。
产品监督义务分为监测和回应义务。同样,风险意义上的义务强度取决于预期损害的数额、类型及其发生概率。回应义务的标的可以是软件更新。尽管软件更新一般不会出现任何问题,而且与硬件的召回或更改相比,更新的成本也相对较低;但对于机器人制造商来说,软件的更新可能还是比较困难的,因为它需要定期购买软件。尽管如此,在合理范围内进行更新也是产品监督义务的一部分。对一般软件而言,产品监督义务同样至关重要。复杂软件存在错误或缺陷几乎已在意料之中。如果将其集成到机器人中,则会对生命和健康造成相当大的威胁。由于此类软件也会进入市场,因此有必要进行更广泛的监督,以应对这种风险。如前所述,软件更新相对容易。鉴于软件经常独立于特定产品而进一步开发,并经常用于大型设备,因此,更广泛的产品监督义务所产生的额外费用似乎也是适当的。
一般来说,软件开发会产生一个问题,即应在多大程度上对代码进行可追溯性设计。虽然就因果关系的证明而言,最大程度的可追溯性是可取的,但相关的成本可能过高,从而抑制创新。因此,不透明性的风险仍由负证明违反注意义务导致损害或侵犯合法权益之举证责任的一方承担。即使在受害人和被告之间存在合同的情况下,受害人也必须至少证明违约行为与损害之间的因果关系。虽然这并不包括确切的技术原因,但包括安全缺陷或功能缺陷。如果缺陷从外观上无法辨认也无法重现,则无法举证证明因果关系。详言之,“机器人”作为复杂产品具有的不透明性已经使违反义务的证明变得十分困难;在此基础上,无论具体情形如何,均无法证明违反注意义务与损害之间具有因果关系。
如果因使用机器人而产生自主风险,受害人通常需要自行承担损失。如果主张机器人制造商或使用机器人的超市经营者违反了注意义务,由于系统的不透明性和复杂性,主张损害赔偿实际上会失败。因此,根据德国现行法律,使用机器人的风险完全由受害人承担,而受害人往往是消费者。
显然,这种风险分配方式不利于增进信任。因此,应由更合适的主体承担此种风险。此外,移转(自主)机器人造成的风险具有必要性,因为这样才能产生经济激励,促使人们履行注意义务。在欧洲层面直接协调责任法下的风险分配,可削弱内部市场责任法规的分散性,强化欧盟的市场地位。
一个统一的责任框架——即便允许各成员国保留具体的责任标准——将有助于减少入市障碍,增强对机器人和人工智能等技术的信心,并为制造商提供更大的法律确定性。
根据欧洲议会2020年10月20日的一项条例提案,欧盟委员会于2022年9月28日提出了关于《使用人工智能的非合同民事责任指令》(Richtlinie zur auβervertraglichen zivilrechtlichen Haftung beim Einsatz von KI)提案,目的是使用人工智能造成损害的受害者更容易在整个欧洲提出赔偿请求。与此同时,欧盟委员会还公布了一项关于更新过时的《产品责任指令》的提案。出于现代化的原因,旧的《产品责任指令》将被实际废除,并由一项新指令取而代之。
由这两项指令组成的一揽子措施旨在为机器人、无人机或智能家居系统造成的损害索赔提供便利。欧盟委员会的提案与议会最初的提案一样,规定了欧洲运营商的责任,从而使运营商作为风险载体承担责任。
《使用人工智能的非合同民事责任指令》提案应与欧盟委员会于2021年4月21日提出的《欧盟人工智能条例》(Europäische KI-Verordnung,或称《人工智能法案》)的提案结合起来看。《人工智能法案》的目的是建立一个标准化的法律框架,促进人工智能的发展,同时确保对欧盟公共利益的高水平保护。其调整范围涵盖所有人工智能系统的市场投放、调试和使用。欧盟委员会和欧洲议会目前正在讨论关于《使用人工智能的非合同民事责任指令》提案。三方研讨会议预计将于2023年4月开始。
为与《人工智能法案》保持一致,《使用人工智能的非合同民事责任指令》提案中提及相关的定义,同时保留了高风险人工智能系统和非高风险人工智能系统之间的区别。除《人工智能法案》外,现在提出的责任条款旨在确保在使用人工智能造成损害的情况下有效落实损害赔偿。为此,《使用人工智能的非合同民事责任指令》提案中包括针对人工智能系统提供者、开发者或使用者的非合同过错民事损害赔偿责任。它涵盖了因使用人工智能而造成的所有类型的损害。因此,《使用人工智能的非合同民事责任指令》提案还包括不属于(新)《产品责任指令》范围的索赔——如侵犯隐私或安全问题造成的损害。
《使用人工智能的非合同民事责任指令》也适用于所有受害人,包括个人、公司和组织。该指令并不影响各国关于过失定义、举证标准、因果关系、共同过失和时效期限的规定。如果某个成员国的本国责任法规定对受害人更有利,那么赔偿请求权人可以援引更有利的规定;《使用人工智能的非合同民事责任指令》的目的至少包含规范适用上的协调。
实际上,《使用人工智能的非合同民事责任指令》提案在第4条中引入了因果关系推定,以解决机器人自主性和不透明性的风险,旨在保障损害赔偿请求权,如果受害人能够证明与损害有关的义务因过失被违反,且根据理性判断,损害与人工智能的使用之间的因果关系具有可能性,法院便可推定义务之违反造成损害。当然该推定可以被证据推翻。
《使用人工智能的非合同民事责任指令》提案第3条中的第2项便利措施也涉及不透明的风险,并为使用高风险人工智能情境中获取证据提供了便利,受害人应有权向法院申请披露可能造成损害的高风险人工智能系统的信息(证据披露)。这将严重违反欧盟民事诉讼法的基本原则,因为欧盟民事诉讼法以受害人出示证据为原则。主张损害赔偿必须有事实和证据支持,以证明审理中的损害赔偿请求具有合理性。此外,受害人必须先尝试从机器人提供者或使用者处获得相关信息,未果时借助申请披露的信息应能使受害人找到导致损害的原因。同时,披露信息应采取适当的保护措施,以保护商业秘密等敏感信息。
与欧洲议会最初的提案一样,欧盟委员会关于《使用人工智能的非合同民事责任指令》的提案也对高风险人工智能系统和其他人工智能系统进行了区分。不同的是,欧盟委员会的提案并未包含对高风险的独立定义,而是在第2条第2款中提及了《人工智能法案》草案的条款。欧洲议会提议对那些极有可能对人身和财产造成意外伤害并超出正常预期的系统增设一项特殊义务,而欧盟委员会的提案则借鉴了《人工智能法案》中针对具体部门的方法,将生物识别记录、关键基础设施、教育和职业培训、就业、执法、移民和司法行政等作为人工智能应用的特别高风险领域。
与之前一样,欧盟委员会于新《产品责任指令》的提案中指出,在缺陷产品造成人身伤害、财产损失或数据丢失的情况下,可向制造商提出无过错民事损害赔偿。如今,软件和人工智能系统被明确列入其中。这使产品定义适应了数字时代。该提案还考虑到产品随后被修改或更新的商业模式,如果更新后的产品造成损害,进行更新的公司应承担责任,除非该公司能证明缺陷是由产品中原有的、未经修改的部分造成的。
总的来说,新的指令提案中对损害的定义比现行《产品责任指令》更广泛,对身体伤害的赔偿也包括医学上公认的对精神健康的损害。就产品的物质损失而言,对私人使用的产品的限制将不再适用。此外,非专用于专业目的的数据丢失或损坏所造成的损害也有权获得赔偿。之前适用的门槛和上限也有待讨论。特别是,即使在产品投放市场后,责任也应继续存在,并涵盖软件更新、不遵守网络安全风险和机器学习。
根据现行的《产品责任指令》,原告必须证明产品存在缺陷、所遭受的损害以及缺陷与损害之间的因果关系。然而,在某些情况下,例如制造商未提供必要信息或产品不符合欧洲或国内法的安全要求,则可推定产品存在缺陷。如果确定产品存在缺陷,且造成的损害通常与相关缺陷有关,则可推定产品缺陷与损害之间存在因果关系。为了减少消费者与制造商之间的信息不对称,新的《产品责任指令》草案还规定,如果原告证明损害索赔的合理性,制造商有义务披露现有的相关证据(证据披露)。因此,这两项指令的草案都利用了举证负担工具(证据披露权、推定),以确保不同赔偿途径下的救济效果一致。
机器人技术蕴含着特定的风险。高度发达机器人的特殊自主风险源于其移动性、物理交互性和学习能力。这种风险被称为机器人风险。机器人的日益普及,包括在零售业的广泛使用,增加了相关损害发生的可能性。
如上所述,机器人和不透明的风险目前主要由受害人承担。这种风险分配既不恰当,也不能增强人们对技术的信任。有必要将风险转移至制造商或开发者。欧盟立法者也认识到了这一点,并采取了正确的措施,即制定了由修订后的《产品责任指令》和《使用人工智能的非合同民事责任指令》组成的一揽子措施。
机器人的运作依赖于大量数据的收集。收集到的大部分数据可能是个人数据,因此属于欧盟数据保护系列法律法规的调整范围,其核心规范是GDPR。
根据GDPR第83条第5款,公司可能面临高达全球年营业额4%或2000万欧元的罚款,因此必须立刻确保处理行为合规。
如果机器人在其活动过程中处理个人数据,则根据GDPR第2条第1款,GDPR的适用范围将被扩大,因此必须满足GDPR规定的所有要求。GDPR第4条第1款将个人数据定义为与已识别或可识别的个人相关的信息。因此,机器人是否处理个人数据取决于具体的数据类型和处理活动。
机器人通过各种传感器感知周围环境,例如,可以通过分析视频录像来实现。视频的普通观看者确实无法通过视频中人物的外貌立即确定其身份。然而,如果数据控制者能够在特定情况下将数据或决定分配给特定的、个性化的个人,例如通过识别符,就足以进行识别。即使消除了可识别性,一般也可推定录像可以识别一个人。
如果视频记录了一个人,一般可以通过各种特征和情形将其个性化并识别出来,如人脸甚至步态。如果机器人使用面部识别技术来识别个人或评估其面部表情,则其通常就是以个人数据为前提。由于人脸识别和其他生物特征识别工具的普及和使用,人们有时会认为,对人的录像总是构成个人数据。
其他传感器也会产生个人数据的问题。例如,语音记录也可被视为个人数据。比如,激光雷达就属于这种情况。激光雷达可使机器人对周围环境形成基本精确的三维图像。利用高分辨率激光雷达的图像识别人至少在技术上是可行的。使用雷达或声纳等类似技术的传感器亦如此。不过,在可预期的时间内,服务机器人是否会使用功能强大的传感器还是个问题。
即使传感器数据本身不是个人数据,但通过与其他数据的连接,也可以成为个人数据。例如,机器人对其位置以及与货架、墙壁或店内其他物体的距离进行测量时,必须确定这些位置和距离,以避免发生碰撞,或为客户指明通往店内产品或位置的道路。如果机器人将这些数据匹配至其他个人数据,那么个人信息就会扩展到整个数据库。在此背景下,机器人的所有传感器数据都可以认定为个人数据。
将个人数据认定为生物识别数据可能存在问题,因为根据GDPR第9条第1款,如果处理这些数据是为了唯一识别个人身份,则应受到更高级别的保护。生物识别数据是指与身体、生理或行为数据有关的信息,这些数据可以唯一地识别一个人,例如人脸信息(GDPR第4条第14款)。这也适用于声音和步态,因此对一个人的每一次记录都可能形成生物识别数据。是故,人们应避免利用上述生物识别数据以识别个人身份。不过,使用这些数据来识别语言或情绪并无大碍。
对传感器记录的数据进行匿名处理可以防止形成个人数据。这种方法可以将人脸像素化或在视频记录中添加噪音,从而只能确定人的存在。只有在某些情况下,如机器人持续记录周围环境时,使用这种程序才具有可行性。一旦机器人检测到客户试图与之互动,如捕捉到人影和声音时,就可以消除匿名,以便与人互动。
如果涉及GDPR的适用范围,数据保护责任人必须保证满足其要求。在与客户的外部关系中,这个问题尤为重要。在此,可以从多个角度考虑:机器人制造商、商店经营者、员工个人、电子人格或机器人本身。具体而言,GDPR第4条第7款规定的责任取决于谁决定数据处理的目的和方式。就零售商而言,一般推定经营者负责其活动领域或责任范围内的数据处理,因此也是GDPR意义上的责任人。然而,由于零售商的具体法律形式不同,责任一般必须根据具体情况确定。在外部服务提供商提供并维护机器人的情况下,如果服务提供商对处理的目的和类型没有影响,则仍须推定商店经营者负全部责任。
最后,可以假设多个责任人共同决定处理目的和方式。在这种情况下,GDPR规定,责任人必须在协议中确定由哪方履行哪些义务(GDPR第26条第1款第2句)。
根据GDPR第6条第1款第1句的要求,对个人数据的任何处理均需符合法律依据。此处所虑的适用范围,包括根据GDPR第6条第1款第a项规定的同意、为履行合同或先合同措施(根据第b项的规定)以及保护正当利益(根据第f项的规定)而进行的数据处理。但在零售中为机器人进行处理活动选择法律依据可能比较困难。
根据GDPR第6条第1款第a项,目前商店的客户可以同意机器人进行数据处理。同意是最接近信息自决基本理念的法律依据;因此,它也能使侵扰性更强的数据处理合法化。但是,它的要求也很高。例如,数据主体必须自愿、知情并针对特定情况表示同意;声明必须被明确理解为同意(GDPR第4条第11款)。这要求数据主体主动表示同意。责任人还必须根据GDPR第7条第1款提供同意的证据。同意行为的全部内容均须记录在案,并保存以备查验。这将给零售行业的实际操作带来巨大困难。很难想象一家商店的客户会经常以书面形式同意机器人进行数据处理。
此外,根据GDPR,如果商店的客户没有能力给予同意,那么同意的溯源也会有问题。这既适用于未成年人,也适用于有认知障碍的人,一般须根据具体情况确定。一方面,实际生活中无法排除上述群体进入商店;另一方面,可以预见的是,他们往往会由有能力作出同意的客户陪同。最后,根据GDPR第7条第3款的规定,数据主体可以在任何时候撤销其同意;根据第GDPR第17条第1款第b项的规定,要求删除其数据。因此,“同意”具有很大的不确定性。
未经数据当事人同意处理个人数据,必须以法律规定为前提。根据GDPR第6条第1款第b项,目前包括以履行合同为目的的数据处理,或先合同措施。由于在任何情况下,进入商店时都不会经常假定存在合同,因此只有先合同措施存在解释空间。
对“先合同措施”这一术语的范围有非常不同的分类;一般来说,它应包括合同磋商和单方为合同采取的准备措施。I通说认为,先合同措施必须以缔约为目的。先合同措施不包括注意义务,2因此,持续监控机器人的环境不能被合法化。此外,先合同措施必须是应客户要求而采取,责任人不得主动采取行动。3如果客户独立地向机器人寻求建议,则至少可以推定客户提出了要求。如果机器人提供了建议或由于提供了建议而最终没有缔约,也应推定客户提出了要求。定制服务也已纳入GDPR第6条第1款第b项的范畴。
GDPR第6条第1款第f项中的授权允许在保障责任人或第三方正当利益的前提下进行数据处理。在随后的利益平衡中,数据主体的利益、基本权利和自由不得超过控制者的正当利益。
GDPR第47条第2句规定,如果数据主体是责任人的客户,则可能存在正当利益。例如,店铺经营者可能于提高客户咨询的效率、优化内部流程或在合法权益受到侵犯时7提出损害赔偿等方面存在正当利益。提供特殊功能或个性化建议原则上也应包括在内。责任人可以合理地期待机器人的实际存在能提供更好的客户体验或独特卖点。
就相关客户而言,处理其个人数据可能会侵犯《联邦宪法》第7条和第8条以及《欧洲人权公约》第8条赋予的基本权利。在具体个案中,根据机器人使用数据的方式,机器人也可能希望避免作出经济上不利的决定,或避免被人以其他方式操纵。
在利益权衡中,只要两种利益具有同等价值便足矣;责任人的正当利益不必占据优势。需要考虑的标准包括数据处理的目的和强度、数据主体的群体类型、所采取的保护措施以及所处理数据的敏感度。此外,根据GDpR第47条,数据主体的合理期望也必须考虑在内。
广泛应用的传感器技术必然伴随着影响深远的数据分析。尤其当不同数据的组合和进一步链接可能会增加数据处理的风险。I此外,通常情况下,所有进入销售场所的客户都无差别地受到数据处理,这意味着相当多的个人数据会被处理。因此必须区分数据主体的期望:如果客户向机器人寻求建议,那么该客户应预期其个人数据(如视频和音频记录)将被分析。如果是人形机器人,客户可能无法立即辨认出它是一台机器,那么情况可能会有所不同。此外,在许多商店中,由于销售区域通常处于视频监控之下,因此对保密性的期望较低。不过,客户不会合理地期待这些录像与其他数据进行广泛的链接和分析,乃至与第三方共享。尤其是“人物画像”往往会导致数据主体的利益占主导地位,因此责任人应予避免。
在此背景下,可以认为机器人提供的客户建议将涉及高度干预。一般而言,只有当责任人采取了额外的补充保护措施,降低了风险,加强了数据主体的地位,从而对利益平衡产生影响时,才可以推定控制者至少享有同等价值的正当利益。2如果数据的信息价值在技术上受到限制,例如通过噪音或匿名化,或者缩小数据的范围,侵扰的强度也会降低。在可能的情况下,不应将数据进行关联。4人们应确保机器人只在个案情形中处理个人数据,例如在试图接触时,并尽可能只记录环境中的抽象数据。5如果数据主体能独立避免机器人处理数据,例如通过销售室中的划界区域,也会产生积极影响。最后,在数据处理的范围和风险方面,对商店客户的全面透明度也可纳入评估。6然而,相应的投入仍应达到法定的最低标准。
最后,还应注意GDPR第6条第1款第f项明确规定了对儿童的评估,利益平衡中须对此加以考虑。如前所述,在同意一环中,儿童作出同意仍存在问题,因为所有年龄段的数据主体都会经常进入商店。作为利益平衡过程的一部分,其他也可能出现类似情况。
根据GDPR第21条第1款第1句,数据主体可随时反对根据GDPR第6条第1款第f项进行的处理。但是,数据主体必须说明与其特殊情况有关的理由。无论提出反对的具体要求内容如何,与撤销同意相比,反对必须满足更高的要求。
GDPR第6条第1款第b项和第f项都提到了必要性标准。结合具体情况,必要性标准指的是先合同措施或控制者的合法利益。根据具体情况,这指的是先合同措施或责任人的正当利益。必要性原则要求,除非没有其他更温和且同样有效的替代手段,否则不得采取行动。8在这种情况下,便出现了机器人处理的所有传感器数据对于提供客户建议是否确实必要的问题。9例如,广义上的产品建议也可以由没有综合传感器技术的信息终端提供。应注意的是,必要性仅指数据处理,而非目的本身。因此,如果收集数据是为了让机器人提供咨询,则必须根据这一目的来衡量必要性。这样的目的也应被认为足够准确。
因此,如果传感器数据被用于改进算法,或对生物特征、声音或情绪进行进一步分析,而不只是识别客户的关注点和存在,必要性条件的满足便会出现困难。然而,在此类情况下,由于不涉及利益平衡和先合同措施,也无法援用GDPR第6条第1款第b、f项。
在由机器人处理数据的情况下,还必须履行GDPR第13、14条规定的告知义务。于是会产生一些问题,特别是关于何时以及以何种形式在商店中进行告知的问题。
在所考虑的应用领域中,主要涉及直接从客户处收集个人数据。因此,根据GDPR第13条第1款的规定,告知义务产生于收集数据时。由于在与机器人接触之前进行收集(如通过录像)通常是不可避免的,因此应提前履行在时间和地点上的告知义务。例如,可以在客户进入商店之前或在商店入口处进行告知。如果机器人移动和收集数据的区域有空间限制,也可以在进入该区域之前告知客户。
在履行告知义务时必须考虑GDPR第12条第1款第1句的要求。在零售业中,要求信息易于获取尤其困难。这要求客户能够迅速且清楚地了解如何及在何处获取信息,同时确保获取信息的过程不会过于繁琐。
因此,责任人必须能够确保数据主体认识到数据处理,并能轻松获取数据处理告知内容。在小而不显眼的公告上标注隐私政策并不符合这些要求。相反,责任人应通过适当的颜色和尺寸设计等方式特别引起客户的注意。
特别是不常来的客户面临着信息超载的风险。因此,最好采用多层次的解决方案,将信息量划分开来。第一层是最重要信息的摘要,例如在标牌上简要介绍当前情况,第二层可以是另一个通知或小册子,提供更详细的说明。也可以使用二维码链接到网站上的隐私政策——至少作为补充。仅在商店网站上公布隐私政策是不够的。还可以根据GDPR第12条第7款的规定,用图标对信息进行补充,使其更易于理解。在这种情况下,还应考虑到不同的人群会进入销售场所。根据GDPR第12条第1款第1分段第2主句,这不仅适用于儿童,也适用于其他。
根据GDPR第12条第1款第2分段的规定,告知一般不拘于形式;只有应数据主体的要求,在证明身份后才可以口头形式进行告知(GDPR第12条第1款第3分段)。因此,通过机器人的语音输出自动提供信息是可能的,但由于信息时间的规律性,不应只为满足法律要求而使用。不过,机器人发出语音提示,说明当前正在处理哪些数据以及处理的目的,对于确保更高的透明度还是依然有帮助。
由于GDPR第12条第1款也提到了在保护数据主体权利时要求数据主体对采取行动进行通知(GDPR第15条及其后各条),因此所做的声明也同样适用。特别是,这些权利的纯粹语音提示,不满足GDPR第15条的要求。
在数据处理对自然人的权利和自由存在高度风险的情况下,数据主体必须根据GDPR第35条第1款第a项的规定,事先进行数据保护效果评估。鉴于机器人传感器数据的范围及其集合,已然可以普遍地推定存在高风险;根据文义,这也特别适用于新技术的使用,当然包括机器人。
根据GDPR第25条第1款,机器人的技术设计必须遵守GDPR的基本数据保护原则。特别是,必须考虑数据最小化(GDPR第5条第1款第c项)、存储限制(GDPR第5条第1款第e项)和目的限制(GDPR第5条第1款第b项)。责任人必须明确界定机器人处理任何数据的目的,并将处理的数据减少到这些目的所需的范围内。鉴于机器人处理的数据量巨大,平衡这些原则可能是一项艰巨的工作。如果目的定义过于宽泛,无法证明数据范围的合理性,可能就不再符合要求(“具体、明确和合法”)。如果记录的数据用于优化算法,也可能会改变数据处理目的,须根据GDPR第6条第4款进行评估。
此外,根据GDPR第32条第1款的规定,应采取技术和组织措施确保个人数据处理的安全性,具体落实完整性和保密性原则(GDPR第5条第1款第f项)。GDPR第32条第1款中列出的措施并非详尽无遗;在任何情况下,均应明确考虑技术发展水平。这些措施涉及机器人的硬件和软件。除加密数据外,还应确保机器人的接口和组件(包括硬盘、内存、黑盒等)受到保护,确保客户或第三方必须无法获取机器人的数据。无线网络连接亦如是,应建立访问控制系统,只允许经授权的员工访问所需的个人数据;而使用机器人培训员工是不可避免的。
未来,数据处理者可能需要根据GDPR第25条第3款、第32条第3款和第42条的规定,提供符合这些要求的认证。
在零售业中使用服务机器人对相关各方——制造商、店主和客户——都提出了相当大的挑战。除了技术、心理学和伦理学方面的研究成果,在机器人开发和使用的各个阶段亦应遵守法律要求。这同样适用于机器人的制造和设计。除了完整性、透明度和保密性等数据保护原则外,还应考虑安全设计等责任要件。为防止“信息过载”,应免除指示义务。但软件使用应保留详细清晰的文字记录,以便日后证明因果关系。
在使用服务机器人的情形中,产品责任和生产者责任只在有限的范围内采用明确和公平的责任分配。目前,很难将机器人缺陷归入既有的缺陷类型;由于机器人缺陷的高度复杂性,也很难证明缺陷存在。软件和人工智能极大地加剧了大量组件造成的普遍复杂性,但软件和人工智能技术不属于《德国产品责任法》的产品范畴。在违反注意义务的责任方面,机器人的复杂性实际上自动免除了操作者的责任。这不仅不利于客户,因为客户主张损害赔偿会更加困难,似乎也不符合相关各方的最佳利益。至少现行法依然存在不确定性。法院是否会根据有关各方的利益制定法律,这一点既无法确定,也难以想象。这些问题已在欧盟层面得到承认,并正在通过各种措施加以解决。由于这一问题的复杂性及其广泛分布于不同的法律领域,因此制定不同的法规是必要的,且这些法规应有机结合。
在零售业中使用机器人也会以传感器和有关数据的形式产生大量客户个人数据,这意味着服务机器人和店主必须完全遵守GDPR的要求。在开发层面,在设计和开发机器人的硬件和软件时便应考虑到GDPR的要求。在经营层面,处理客户数据的唯一法律依据是责任人的正当利益。然而,由于数据主体的权利和自由会受到相当大的干扰,责任人必须采取广泛的保护措施,将干扰的强度降到最低。由于零售业的便捷模式,数据主体的同意可能存在问题,只能在有限范围内使用。在经营层面,商店经营者应将数据处理情况以适当的方式告知客户,并且必须采取适当的预防措施,确保客户及时充分地被告知。此外,如有疑问,商店经营者还应制作数据保护效果评估。
雷娜特·肖伯 张韬略 译|使用人工智能构成义务侵害?论使用生成式人工智能的注意义务
原标题:《安德烈亚斯·埃伯特等|超市里的机器人:考虑零售业使用机器人时的责任和数据保护问题》
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。
