- 中国人工智能合规建设与知识产权法律实务
- 王红燕
- 2337字
- 2025-05-12 17:50:58
上编 人工智能与合规建设
第一章 人工智能领域合规建设与出口管制
第一节 人工智能企业的数据合规挑战
人工智能(Artificial Intelligence,AI)是一门让机器实现人类智能的计算机科学,通过计算机来模拟人的某些思维过程和智能行为(如学习、推理、思考、规划等),主要包括计算机实现智能的原理、制造类似于人脑智能的计算机,从而实现计算机更高层次的应用。
人工智能通过学习、推理、思考、规划等行为,衍生出机器视觉、指纹识别、人脸识别、视网膜识别、虹膜识别、掌纹识别、专家系统、自动规划、智能搜索、定理证明、博弈、自动程序设计、智能控制、机器人学、语言和图像理解、遗传编程等功能,辐射的领域几乎影响到生活的方方面面。
反过来说,人工智能发展最关键的环节之一就是数据的“喂养”,要实现上述功能,必须在该领域内收集足够的数据信息资料,再进行不断的学习和实践优化功能。因此,人工智能企业会从大量的个人(C端)用户、合作方收集信息和数据,并且进行数据分类、融合和商业化运用。在此期间,会遇到以下比较集中的类型化合规风险。
一、人工智能技术与数据保护的冲突
人工智能企业获取的数据属于企业的生产资料,主要分为个人信息和运营数据、消费者行为数据等类型,其获取数据信息的主要渠道分为自行采集[通过产品设备、网站、应用程序(App)注册和使用等]、数据交易和共享以及公开网络数据抓取三种。这三种数据抓取的渠道又分别面临不同类型的数据合规风险。
第一,从产品设备和网站、App处收集的以顾客的个人信息和使用数据为主,主要是为了优化产品的使用体验,进行技术更新等,此类数据将会被再次投入产品的研发过程,再在之后的服务中反馈给客户,价值较高,属于企业核心的数据资产。对于相关个人信息和数据的权属,通常企业会通过隐私协议等方式向客户索取数据使用的授权,此时涉及在后续产品迭代过程中,对个人数据的使用是否与隐私协议中约定相一致,是否严格在最小必要范围内处理个人数据等问题。
第二,从第三方合作伙伴处共享的数据,一般此类数据已经经过清洗、整合,形成了数据资产,双方会进行数据交易并签署正式的协议,共同或委托对数据进行处理。由于此类数据并非从数据主体处直接收集,或者是其他公司的数据资产,故合作伙伴的数据合规工作调研就成为工作重点。数据来源清洁、合作方合规工作到位、双方协议中的权利责任分配等,是这部分数据的合规工作的重点。
第三,通过技术抓取的数据,数量庞大且来源广泛,除了授权问题之外,还应更进一步关注数据本身以及抓取行为的风险,避免发生不正当竞争的风险。
二、数据融合带来的挑战与应对
如前所述,企业从多方收集了足够量的数据之后,即会对相关数据进行处理、融合。数据融合可能发生在集团企业内部子公司之间,也可能发生在与第三方合作方之间。
相对而言,企业的内部数据融合风险较小且可控,但是需要重点注意的是,实务中,常有企业产生误区,认为集团企业项下的不同主体数据可以任意使用,不需要再次获取授权。而集团企业内部即使是为了企业管理、优化效率等目的,且相关数据并非商用,不同子公司之间也需要签署相关的授权协议和数据传输协议,甚至在个人信息保护法强制规定的场景下,还需要使用个人信息安全影响评估等合规工具。
而就外部数据融合而言,将面临更多的合规风险。尤其是数据获取和管理的文本处理和内控制度管控问题,其核心是确保数据处理的合规性和安全性。目前,监管部门处理违法行为的原则是推定过错责任,因此企业作为数据的处理方和责任方,必须保证数据处理链路的合规性以及完整性。需要注意的是,此处的合规性和完整性必须做到留痕,有相应的文本文件(包括但不限于合同、制度、评估和审计报告等),必要时应该使用数据分类分级、隐私影响评价(Privacy Impact Assessment,PIA)、数据审计等工具,以保证证明材料的有效性。
同时,从数据融合的下游合作方角度来看,数据下游应用的链条越多、应用越深,风险就越多。应该基于合作方的数据处理角色(如共同处理、委托处理、转让、共享等),判断下游合作方处理的权限,对于合作方有合规要求约定的,还应进行有效监督。
三、个人信息保护合规工具运用
上文提及,必要时数据处理方应该使用数据分类分级、PIA、数据审计等工具,保证证明材料的有效性,其中PIA和数据审计是目前较为通行的做法。尤其对于个人数据存量较多,形成企业核心数据资产的人工智能企业而言,新产品上线、更新迭代、发生个人信息委托处理和提供等情况的,仅仅签署协议约定双方权责效用较弱,需要企业进行实际的评估和评估后的监督。尤其是委托处理,必须开展PIA并配合后续的复核验证,保证受托方在权限内进行数据处理,并且有足够的数据安全保护能力达到合同约定的相关标准。根据《信息安全技术 个人信息安全影响评估指南》(GB/T 39335—2020)规定,企业在新产品或服务设计阶段、上线阶段、重要法律法规发生变更、业务模式变更、发生重大个人信息保护事件后都需要开展PIA评估,同时重点产品还应该进行年度评估。因此,PIA并非一劳永逸,而是需要定期反复开展。如前所述,如果业务合作方发生数据安全事件,PIA评估报告将会成为企业重要的合规证明工具。
另外,也可以定期开展数据安全审计工作,目前已经有较多的企业在落地数据合规制度,委托外部律所进行合同修订、制度起草等工作。但是企业应当关注的是,数据合规工作的重点其实是发生在收到律师起草的成套文本之后,如何落地才是合规工作的关隘所在。对于文本和合同的使用效果、制度的实施情况、网络安全保护的有效性等问题,都需要在内容落地一段时间后再返回检查,以保证数据合规工作落实到位。
总体而言,相较于传统行业,人工智能企业的数据更新速度更快、类目更多,随着技术的快速发展,还会有各类数据处理的新场景出现。因此尤其需要重视数据合规工作的时效性,确保与企业的主营业务发展有效衔接,方能保证数据安全保护制度并非一纸空文,而是协同助力企业的合规发展。