延伸阅读:
基于我国对算法自动化决策的一系列要求,当前已经有了相关的监管机制以及要求,接下来我们详细说明一下这些已有的机制,以及应当重点关注的内容。
(一)算法备案制
互联网信息服务企业应该按要求开展互联网信息服务算法备案工作,在互联网信息服务算法备案系统上,及时对算法的安全管理机构(管理机构、制度建设)、算法属性信息(含应用领域、算法安全自评估报告、算法数据、算法模型)、算法详细信息(算法策略、算法风险、防范机制)、产品及功能信息等内容进行登记备案。
(二)算法安全评估
国家网信办《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》中明确要求,使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的,应当按规定自行开展安全评估。新技术新应用主要包括深度合成、人脸识别、推荐算法、人工智能系统和区块链技术。《网络数据安全管理条例(征求意见稿)》中规定,互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。从《互联网新技术新应用安全自评估报告》中可以看出,相关新技术新应用安全评估实质上涵盖了对各类算法的风险评估。
(三)对自动化决策进行个人保护影响评估(PIA)
《个人信息保护法》第55条明确,个人信息处理者利用个人信息进行自动化决策应当事前进行个人信息保护影响评估,并对处理情况进行记录。通过个保法的引用,对自动化决策进行PIA成为了法律强制的合规措施。《个人信息安全影响评估指南》进一步将自动化决策细化为对个人信息主体进行评价和评分、使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定、对不同的处理活动的数据集进行匹配和合并并应用于业务、处理个人信息可能导致个人信息主体无法行使权利等情形。企业应按照标准对自动化决策处理活动的个人信息全生命周期安全管理、网络情况和安全措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势进行评估,分析安全事件发生的可能性与个人权益受到的影响。
从监管趋势看,国家标准《信息安全技术 基于个人信息的自动化决策安全要求》已经立项,将会进一步聚焦自动化决策活动的安全风险,对自动化决策算法、用户画像处理活动提出更为具体的安全要求。我们研究认为,企业应该将落实PIA作为完成法律对自动化决策规定的强制性义务、完备合规项目审查材料、减轻甚至免除自身责任和名誉损失的有效措施。前期我们开展个人信息保护影响评估的过程中,关注到自动化决策PIA实践的诸多难点,包括评估内容繁杂,鉴于监管规定多、评估内容细,若将所有评估内容统一为一份问卷进行,则问卷非常冗长,在实际填写与评估中,常常非常吃力;如果按照《个人信息安全影响评估指南》附件的表格进行填写,则对划分处理活动的颗粒度与方法提出了苛刻的要求,而且会面对一个处理活动涉及多个评估项目的情况(如一个处理活动可能同时涉及自动化决策、敏感个人信息等多种法定义务情形),表格填写过程中存在冗余、重复和理解逻辑上的混乱,很多企业没有将PIA过程自动化或标准化,通过线下表格在多个部门间流转填写的方式,加剧了评估过程的复杂度。沟通协调成本高,启动评估后对于企业实际数据处理与流转现状的确认,需要结合多个部门或业务线协作完成,实践中PIA评估通常由企业法务部发起,由其他多个部门共同填写完成;因问卷题目主要源于监管条文,鉴于领域差异产生的理解差异,填写人员经常难以准确理解问卷题目的实际意思,需要反复与法务人员沟通、确认,从而影响评估效率与质量。最终导致PIA难以有效识别风险,鉴于难以保证每个填写人员对业务实际情况、问卷题目的理解都准确、全面,或者无法排除理解正确但填写错误的情形,因此,若仅以问卷填写人回答的内容,直接判定风险,评估结果与实际情况将可能存在较大偏差。由于企业优先产品和业务的导向,可能存在“找理由”“找借口”通过评估甚至带病上线等情况,削弱PIA面对监管的抗辩效力。
考虑到PIA的专业性和复杂性,企业可以引入外部第三方机构协助进行评估。在此种情况下,由于报告内容依赖于第三方专业意见,企业可以在评估报告增加第三方评估机构(如安全机构或律所)意见的部分,作为企业作出评估分析的依据,以彰显评估结果的客观性、专业性。
(本文作者:卫士通信息产业股份有限公司 张戈、望娅露)
往期回顾
|
CCIA数据安全工作委员会单位介绍
|
| 卫士通信息产业股份有限公司,1998年成立,是国内知名的密码和网络安全产品提供商、高安全信息系统集成商,也是中国电子科技集团有限公司旗下网络安全板块的核心资本平台和重要产业平台。公司聚焦网络空间安全主业,践行“护航数字中国、守卫智慧社会”的企业使命,致力于成为以密码为核心的数据智能安全服务商。 |
原文始发于微信公众号(CCIA数据安全工作委员会):深度分析 | 关于个保法语境下算法自动化决策的合规治理(下)——我国的合规管理机制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论