上編 人工智能與合規建設

第一章 人工智能領域合規建設與出口管制

第一節 人工智能企業的數據合規挑戰

人工智能（Artificial Intelligence，AI）是一門讓機器實現人類智能的計算機科學，通過計算機來模擬人的某些思維過程和智能行為（如學習、推理、思考、規劃等），主要包括計算機實現智能的原理、制造類似于人腦智能的計算機，從而實現計算機更高層次的應用。

人工智能通過學習、推理、思考、規劃等行為，衍生出機器視覺、指紋識別、人臉識別、視網膜識別、虹膜識別、掌紋識別、專家系統、自動規劃、智能搜索、定理證明、博弈、自動程序設計、智能控制、機器人學、語言和圖像理解、遺傳編程等功能，輻射的領域幾乎影響到生活的方方面面。

反過來說，人工智能發展最關鍵的環節之一就是數據的“喂養”，要實現上述功能，必須在該領域內收集足夠的數據信息資料，再進行不斷的學習和實踐優化功能。因此，人工智能企業會從大量的個人（C端）用戶、合作方收集信息和數據，并且進行數據分類、融合和商業化運用。在此期間，會遇到以下比較集中的類型化合規風險。

一、人工智能技術與數據保護的沖突

人工智能企業獲取的數據屬于企業的生產資料，主要分為個人信息和運營數據、消費者行為數據等類型，其獲取數據信息的主要渠道分為自行采集［通過產品設備、網站、應用程序（App）注冊和使用等］、數據交易和共享以及公開網絡數據抓取三種。這三種數據抓取的渠道又分別面臨不同類型的數據合規風險。

第一，從產品設備和網站、App處收集的以顧客的個人信息和使用數據為主，主要是為了優化產品的使用體驗，進行技術更新等，此類數據將會被再次投入產品的研發過程，再在之后的服務中反饋給客戶，價值較高，屬于企業核心的數據資產。對于相關個人信息和數據的權屬，通常企業會通過隱私協議等方式向客戶索取數據使用的授權，此時涉及在后續產品迭代過程中，對個人數據的使用是否與隱私協議中約定相一致，是否嚴格在最小必要范圍內處理個人數據等問題。

第二，從第三方合作伙伴處共享的數據，一般此類數據已經經過清洗、整合，形成了數據資產，雙方會進行數據交易并簽署正式的協議，共同或委托對數據進行處理。由于此類數據并非從數據主體處直接收集，或者是其他公司的數據資產，故合作伙伴的數據合規工作調研就成為工作重點。數據來源清潔、合作方合規工作到位、雙方協議中的權利責任分配等，是這部分數據的合規工作的重點。

第三，通過技術抓取的數據，數量龐大且來源廣泛，除了授權問題之外，還應更進一步關注數據本身以及抓取行為的風險，避免發生不正當競爭的風險。

二、數據融合帶來的挑戰與應對

如前所述，企業從多方收集了足夠量的數據之后，即會對相關數據進行處理、融合。數據融合可能發生在集團企業內部子公司之間，也可能發生在與第三方合作方之間。

相對而言，企業的內部數據融合風險較小且可控，但是需要重點注意的是，實務中，常有企業產生誤區，認為集團企業項下的不同主體數據可以任意使用，不需要再次獲取授權。而集團企業內部即使是為了企業管理、優化效率等目的，且相關數據并非商用，不同子公司之間也需要簽署相關的授權協議和數據傳輸協議，甚至在個人信息保護法強制規定的場景下，還需要使用個人信息安全影響評估等合規工具。

而就外部數據融合而言，將面臨更多的合規風險。尤其是數據獲取和管理的文本處理和內控制度管控問題，其核心是確保數據處理的合規性和安全性。目前，監管部門處理違法行為的原則是推定過錯責任，因此企業作為數據的處理方和責任方，必須保證數據處理鏈路的合規性以及完整性。需要注意的是，此處的合規性和完整性必須做到留痕，有相應的文本文件（包括但不限于合同、制度、評估和審計報告等），必要時應該使用數據分類分級、隱私影響評價（Privacy Impact Assessment，PIA）、數據審計等工具，以保證證明材料的有效性。

同時，從數據融合的下游合作方角度來看，數據下游應用的鏈條越多、應用越深，風險就越多。應該基于合作方的數據處理角色（如共同處理、委托處理、轉讓、共享等），判斷下游合作方處理的權限，對于合作方有合規要求約定的，還應進行有效監督。

三、個人信息保護合規工具運用

上文提及，必要時數據處理方應該使用數據分類分級、PIA、數據審計等工具，保證證明材料的有效性，其中PIA和數據審計是目前較為通行的做法。尤其對于個人數據存量較多，形成企業核心數據資產的人工智能企業而言，新產品上線、更新迭代、發生個人信息委托處理和提供等情況的，僅僅簽署協議約定雙方權責效用較弱，需要企業進行實際的評估和評估后的監督。尤其是委托處理，必須開展PIA并配合后續的復核驗證，保證受托方在權限內進行數據處理，并且有足夠的數據安全保護能力達到合同約定的相關標準。根據《信息安全技術 個人信息安全影響評估指南》（GB/T 39335—2020）規定，企業在新產品或服務設計階段、上線階段、重要法律法規發生變更、業務模式變更、發生重大個人信息保護事件后都需要開展PIA評估，同時重點產品還應該進行年度評估。因此，PIA并非一勞永逸，而是需要定期反復開展。如前所述，如果業務合作方發生數據安全事件，PIA評估報告將會成為企業重要的合規證明工具。

另外，也可以定期開展數據安全審計工作，目前已經有較多的企業在落地數據合規制度，委托外部律所進行合同修訂、制度起草等工作。但是企業應當關注的是，數據合規工作的重點其實是發生在收到律師起草的成套文本之后，如何落地才是合規工作的關隘所在。對于文本和合同的使用效果、制度的實施情況、網絡安全保護的有效性等問題，都需要在內容落地一段時間后再返回檢查，以保證數據合規工作落實到位。

總體而言，相較于傳統行業，人工智能企業的數據更新速度更快、類目更多，隨著技術的快速發展，還會有各類數據處理的新場景出現。因此尤其需要重視數據合規工作的時效性，確保與企業的主營業務發展有效銜接，方能保證數據安全保護制度并非一紙空文，而是協同助力企業的合規發展。