上編 人工智能與合規(guī)建設(shè)

第一章 人工智能領(lǐng)域合規(guī)建設(shè)與出口管制

第一節(jié) 人工智能企業(yè)的數(shù)據(jù)合規(guī)挑戰(zhàn)

人工智能（Artificial Intelligence，AI）是一門讓機(jī)器實現(xiàn)人類智能的計算機(jī)科學(xué)，通過計算機(jī)來模擬人的某些思維過程和智能行為（如學(xué)習(xí)、推理、思考、規(guī)劃等），主要包括計算機(jī)實現(xiàn)智能的原理、制造類似于人腦智能的計算機(jī)，從而實現(xiàn)計算機(jī)更高層次的應(yīng)用。

人工智能通過學(xué)習(xí)、推理、思考、規(guī)劃等行為，衍生出機(jī)器視覺、指紋識別、人臉識別、視網(wǎng)膜識別、虹膜識別、掌紋識別、專家系統(tǒng)、自動規(guī)劃、智能搜索、定理證明、博弈、自動程序設(shè)計、智能控制、機(jī)器人學(xué)、語言和圖像理解、遺傳編程等功能，輻射的領(lǐng)域幾乎影響到生活的方方面面。

反過來說，人工智能發(fā)展最關(guān)鍵的環(huán)節(jié)之一就是數(shù)據(jù)的“喂養(yǎng)”，要實現(xiàn)上述功能，必須在該領(lǐng)域內(nèi)收集足夠的數(shù)據(jù)信息資料，再進(jìn)行不斷的學(xué)習(xí)和實踐優(yōu)化功能。因此，人工智能企業(yè)會從大量的個人（C端）用戶、合作方收集信息和數(shù)據(jù)，并且進(jìn)行數(shù)據(jù)分類、融合和商業(yè)化運(yùn)用。在此期間，會遇到以下比較集中的類型化合規(guī)風(fēng)險。

一、人工智能技術(shù)與數(shù)據(jù)保護(hù)的沖突

人工智能企業(yè)獲取的數(shù)據(jù)屬于企業(yè)的生產(chǎn)資料，主要分為個人信息和運(yùn)營數(shù)據(jù)、消費(fèi)者行為數(shù)據(jù)等類型，其獲取數(shù)據(jù)信息的主要渠道分為自行采集［通過產(chǎn)品設(shè)備、網(wǎng)站、應(yīng)用程序（App）注冊和使用等］、數(shù)據(jù)交易和共享以及公開網(wǎng)絡(luò)數(shù)據(jù)抓取三種。這三種數(shù)據(jù)抓取的渠道又分別面臨不同類型的數(shù)據(jù)合規(guī)風(fēng)險。

第一，從產(chǎn)品設(shè)備和網(wǎng)站、App處收集的以顧客的個人信息和使用數(shù)據(jù)為主，主要是為了優(yōu)化產(chǎn)品的使用體驗，進(jìn)行技術(shù)更新等，此類數(shù)據(jù)將會被再次投入產(chǎn)品的研發(fā)過程，再在之后的服務(wù)中反饋給客戶，價值較高，屬于企業(yè)核心的數(shù)據(jù)資產(chǎn)。對于相關(guān)個人信息和數(shù)據(jù)的權(quán)屬，通常企業(yè)會通過隱私協(xié)議等方式向客戶索取數(shù)據(jù)使用的授權(quán)，此時涉及在后續(xù)產(chǎn)品迭代過程中，對個人數(shù)據(jù)的使用是否與隱私協(xié)議中約定相一致，是否嚴(yán)格在最小必要范圍內(nèi)處理個人數(shù)據(jù)等問題。

第二，從第三方合作伙伴處共享的數(shù)據(jù)，一般此類數(shù)據(jù)已經(jīng)經(jīng)過清洗、整合，形成了數(shù)據(jù)資產(chǎn)，雙方會進(jìn)行數(shù)據(jù)交易并簽署正式的協(xié)議，共同或委托對數(shù)據(jù)進(jìn)行處理。由于此類數(shù)據(jù)并非從數(shù)據(jù)主體處直接收集，或者是其他公司的數(shù)據(jù)資產(chǎn)，故合作伙伴的數(shù)據(jù)合規(guī)工作調(diào)研就成為工作重點(diǎn)。數(shù)據(jù)來源清潔、合作方合規(guī)工作到位、雙方協(xié)議中的權(quán)利責(zé)任分配等，是這部分?jǐn)?shù)據(jù)的合規(guī)工作的重點(diǎn)。

第三，通過技術(shù)抓取的數(shù)據(jù)，數(shù)量龐大且來源廣泛，除了授權(quán)問題之外，還應(yīng)更進(jìn)一步關(guān)注數(shù)據(jù)本身以及抓取行為的風(fēng)險，避免發(fā)生不正當(dāng)競爭的風(fēng)險。

二、數(shù)據(jù)融合帶來的挑戰(zhàn)與應(yīng)對

如前所述，企業(yè)從多方收集了足夠量的數(shù)據(jù)之后，即會對相關(guān)數(shù)據(jù)進(jìn)行處理、融合。數(shù)據(jù)融合可能發(fā)生在集團(tuán)企業(yè)內(nèi)部子公司之間，也可能發(fā)生在與第三方合作方之間。

相對而言，企業(yè)的內(nèi)部數(shù)據(jù)融合風(fēng)險較小且可控，但是需要重點(diǎn)注意的是，實務(wù)中，常有企業(yè)產(chǎn)生誤區(qū)，認(rèn)為集團(tuán)企業(yè)項下的不同主體數(shù)據(jù)可以任意使用，不需要再次獲取授權(quán)。而集團(tuán)企業(yè)內(nèi)部即使是為了企業(yè)管理、優(yōu)化效率等目的，且相關(guān)數(shù)據(jù)并非商用，不同子公司之間也需要簽署相關(guān)的授權(quán)協(xié)議和數(shù)據(jù)傳輸協(xié)議，甚至在個人信息保護(hù)法強(qiáng)制規(guī)定的場景下，還需要使用個人信息安全影響評估等合規(guī)工具。

而就外部數(shù)據(jù)融合而言，將面臨更多的合規(guī)風(fēng)險。尤其是數(shù)據(jù)獲取和管理的文本處理和內(nèi)控制度管控問題，其核心是確保數(shù)據(jù)處理的合規(guī)性和安全性。目前，監(jiān)管部門處理違法行為的原則是推定過錯責(zé)任，因此企業(yè)作為數(shù)據(jù)的處理方和責(zé)任方，必須保證數(shù)據(jù)處理鏈路的合規(guī)性以及完整性。需要注意的是，此處的合規(guī)性和完整性必須做到留痕，有相應(yīng)的文本文件（包括但不限于合同、制度、評估和審計報告等），必要時應(yīng)該使用數(shù)據(jù)分類分級、隱私影響評價（Privacy Impact Assessment，PIA）、數(shù)據(jù)審計等工具，以保證證明材料的有效性。

同時，從數(shù)據(jù)融合的下游合作方角度來看，數(shù)據(jù)下游應(yīng)用的鏈條越多、應(yīng)用越深，風(fēng)險就越多。應(yīng)該基于合作方的數(shù)據(jù)處理角色（如共同處理、委托處理、轉(zhuǎn)讓、共享等），判斷下游合作方處理的權(quán)限，對于合作方有合規(guī)要求約定的，還應(yīng)進(jìn)行有效監(jiān)督。

三、個人信息保護(hù)合規(guī)工具運(yùn)用

上文提及，必要時數(shù)據(jù)處理方應(yīng)該使用數(shù)據(jù)分類分級、PIA、數(shù)據(jù)審計等工具，保證證明材料的有效性，其中PIA和數(shù)據(jù)審計是目前較為通行的做法。尤其對于個人數(shù)據(jù)存量較多，形成企業(yè)核心數(shù)據(jù)資產(chǎn)的人工智能企業(yè)而言，新產(chǎn)品上線、更新迭代、發(fā)生個人信息委托處理和提供等情況的，僅僅簽署協(xié)議約定雙方權(quán)責(zé)效用較弱，需要企業(yè)進(jìn)行實際的評估和評估后的監(jiān)督。尤其是委托處理，必須開展PIA并配合后續(xù)的復(fù)核驗證，保證受托方在權(quán)限內(nèi)進(jìn)行數(shù)據(jù)處理，并且有足夠的數(shù)據(jù)安全保護(hù)能力達(dá)到合同約定的相關(guān)標(biāo)準(zhǔn)。根據(jù)《信息安全技術(shù) 個人信息安全影響評估指南》（GB/T 39335—2020）規(guī)定，企業(yè)在新產(chǎn)品或服務(wù)設(shè)計階段、上線階段、重要法律法規(guī)發(fā)生變更、業(yè)務(wù)模式變更、發(fā)生重大個人信息保護(hù)事件后都需要開展PIA評估，同時重點(diǎn)產(chǎn)品還應(yīng)該進(jìn)行年度評估。因此，PIA并非一勞永逸，而是需要定期反復(fù)開展。如前所述，如果業(yè)務(wù)合作方發(fā)生數(shù)據(jù)安全事件，PIA評估報告將會成為企業(yè)重要的合規(guī)證明工具。

另外，也可以定期開展數(shù)據(jù)安全審計工作，目前已經(jīng)有較多的企業(yè)在落地數(shù)據(jù)合規(guī)制度，委托外部律所進(jìn)行合同修訂、制度起草等工作。但是企業(yè)應(yīng)當(dāng)關(guān)注的是，數(shù)據(jù)合規(guī)工作的重點(diǎn)其實是發(fā)生在收到律師起草的成套文本之后，如何落地才是合規(guī)工作的關(guān)隘所在。對于文本和合同的使用效果、制度的實施情況、網(wǎng)絡(luò)安全保護(hù)的有效性等問題，都需要在內(nèi)容落地一段時間后再返回檢查，以保證數(shù)據(jù)合規(guī)工作落實到位。

總體而言，相較于傳統(tǒng)行業(yè)，人工智能企業(yè)的數(shù)據(jù)更新速度更快、類目更多，隨著技術(shù)的快速發(fā)展，還會有各類數(shù)據(jù)處理的新場景出現(xiàn)。因此尤其需要重視數(shù)據(jù)合規(guī)工作的時效性，確保與企業(yè)的主營業(yè)務(wù)發(fā)展有效銜接，方能保證數(shù)據(jù)安全保護(hù)制度并非一紙空文，而是協(xié)同助力企業(yè)的合規(guī)發(fā)展。