AI领域的热点数据合规问题与风险防范
近日,盈理律师事务所(下称“盈理”)资深顾问、数据合规研究院院长赵军先生受邀参加《追AI的人》系列直播,并分享《对人工智能产业发展四大要素的保护——数据与知识产权的挑战与实践》。
《追AI的人》系列直播是一档由阿里巴巴人工智能治理与可持续发展研究中心(AAIG)联合高校和产业界发起的AI治理交互栏目,重点关注并分享人工智能新技术、AI治理新观点、可持续发展新风向。
人工智能不仅带来了商业模式的变革和新的市场机会,同时也带来了新的法律风险。AI的技术创新成果是否可以通过现有的知识产权法律制度予以保护,高额的研发费用是否可以转化为市场的竞争优势,何种方式才能最大程度的维护AI企业利益,将是本课程首先要解答的问题,为什么商业秘密是一种有效的维权手段,如何运用好这一法律武器,又如何防范相应的法律风险?赵军先生在本次直播课程中都作出了深入浅出的分析与解答。
本文分为上、下两篇,此为下篇,主要整理分析了“AI领域的热点数据合规问题与风险防范”问题。
一、AI领域的热点数据合规问题与风险防范///
国家这两年对数据的保护日趋完善,形成了3+2的保护模式:(刑法+民法典)+(数据安全法+网络安全法+个人信息保护法)。从法律体系来讲,我们跟全球任何一个国家相比算是较为完善和严格的。关于数据保护的法律和相应的法律监管也非常健全。
(一)监管及司法方面的AI数据合规风险与防范实践
我们有很多行政机关:网信办、工信部、市场监管总局、公安部门等构成了数据保护的行政监管部门。另外还有一些非行政单位,比如说行业协会、媒体、上市的审核机构,还有法院,这些结构综合起来构成了对于数据合规的监督落实部门。换句话说,如果企业的数据保护或者个人信息保护不到位,可能会受到这些单位或部门的制约。
(二)个人信息保护和数据合规的“牙齿”
上图是去年的监管部门对于数据违规执法情况统计:例如违规的APP。如图可知,执法次数很多,工信部门1000多次,网信部门600多次。行政执法的力度强硬,由此可见,自从这几部法律陆续生效以来,各个部门都加大了对数据安全和个人信息的保护力度,因此人工智能领域确实需要非常重视数据合规。那么,一旦被行政处罚,会有哪些后果呢?
上图是行政处罚结果的统计,包括罚款、警告、责令改正以及没收违法所得。另外,如果违规行为被媒体报道,或者被竞争对手披露出来,对于企业的商业信誉损害是非常大的,可能造成没有人投资,消费者不敢用的后果。因此,数据不合规,不仅会受到行政处罚,还会导致商业信誉受到极大损害。
另外,这几年公安也一直在强力打击非法获取个人信息的犯罪行为。这些年非法使用公民个人信息所导致的电信诈骗造成了很不好的社会影响,所以公安的打击力度也非常大。
企业在上市的过程中,审核机构会要求披露涉及个人信息保护和数据合规方面的措施。如果不合格,可能会导致上市受阻。有关上市审核机构对于数据合规方面常见的问题,我们梳理了一下,主要涉及数据收集、数据处理、数据安全、业务运营、跨境合规、数据共享、第三方处理等。
推动数据合规和个人信息保护的机制——媒体监督。举一个最明显的例子:今年的315央视晚会上,专门设立了一个信息安全实验室,用于重点关注网络信息安全和个人信息保护。这次晚会上曝光了四个案例,说明媒体现在也非常重视数据合规的问题。
对于司法判决,虽然关于个人信息保护法是去年11月份10月1号才生效,但是司法已有了一些案例。司法判决并不是依据刚刚生效的个人信息保护法。之前的网络安全法以及刑法都有一些相关的规定,司法会依据这些法律来对于个人信息和数据安全进行一些保护。
(三)数据合规案例与实践
人工智能领域必然会涉及大量有关数据使用问题,特别是数据来源和数据处理等方方面面,都要非常谨慎和小心,否则可能有被行政处罚或者媒体曝光的风险。如何做到合规呢?
我们梳理了行政执法当中发现的主要11项违规问题,如上图所示。
企业数据合规的全生命周期中,每个流程应注意的内容,如上所示。
在数据来源方面,不管直接获取的,抑或是通过爬虫的方式获取的,还是从第三方买来的,都要满足至少4个方面的要求:
(1)获取数据的合法基础:用户同意,或者法定的事由;
(2)最小必要原则;
(3)收集方式要合规:
(4)抓取手段要合规。
在数据的使用过程中,需要遵循六个方面的原则:
(1)最小够用原则;
(2)目的限定原则;
(3)响应拒绝自动化决策的要求;
(4)存储期限的限制;
(5)全面记录处理的活动;
(6)影响评估的义务.
在数据的管理过程中,至少需要承担六个方面的义务:
(1)告知、通知、说明义务;
(2)安全保障义务;
(3)合规审计义务;
(4)看门者义务;
(5)事先与监管机构协商义务;
(6)响应主体权利行使。
在数据向第三方流转时,至少需要承担五个方面的义务:
(1)告知与单独同意;
(2)影响评估与动态监测;
(3)签署数据共享协议;
(4)记录保存义务;
(5)行权协助义务.
最后一个是关于数据出境,原则上,数据应该在本地使用、本地存储。如果确有必要出境,要满足五个方面的要求:
(1)事先进行安全审查;
(2)要判断境外的一方能不能做到跟国内一样的个人信息保护;
(3)要订立国家认可的标准合同;
(4)要保障境外的接收方合规;
(5)告知用户,境外接收方是谁,怎么联系,权利怎样行使。这些都是关于数据出境需要注意的内容。
关于数据来源的合规要求,有两类合法性基础:第一类是所谓的知情同意,要告诉用户为什么要收集数据、怎么收集数据、怎么保存、有没有转让给第三方、有没有出境等,这些都是要用户知情同意的内容,甚至有些情况下还要获得用户的单独同意,比如当企业向其他人提供这些个人信息的时候,或者打算把收集到的个人信息进行公开时,都要经过用户的单独同意。
第二类是所谓的法定事由,履行合同所必须的,或者要履行法定职责,或者处理突发公共卫生事件,比如当前疫情下要进行行踪轨迹核查,要使用一些个人信息,这是构成法定的合法使用数据的事由。因此要有一个明确的、合法的事由,企业才能够获取个人信息。在这些数据收集和使用过程中,企业还要满足十个原则,如上图所示。
(四)数据合规的案例
例子一:旷视科技,一家做人工智能商业化落地的企业,发审委询问其数据是怎么收集的、合法性合规性如何?回答如上图。
例子二:发审委询问海天瑞声未储存数据的原因及合理性,回答如上图。
例子三:发审委询问慧辰资讯其数据分析功能的实现路径,以及保障数据安全的具体措施,回答如上图。
例子四:发审委询问海天瑞声其境外销售行为是否符合国家数据安全和个人信息保护的法律法规,以及是否符合境外出口限制等相关法规,回答如上图。
二、出海时的AI数据合规风险与防范实践///
现在很多的企业走出去之后,会发现海外对于数据合规的要求可能会更高、更严格。当前,全球主要的发达经济体都已经要求进行数据合规,下图是联合国下属机构做的统计:表明绝大多数国家、地区已经有数据合规要求或者数据相关立法。
因此,中国的产品或服务进入到这些市场,都要数据合规,否则就有违法的风险。需要注意的是,绝大多数国家的数据合规要求借鉴了欧盟的《一般数据保护条例》,简称GDPR。
由于欧盟的GDPR比较完整、体系化的对个人信息进行保护,且保护力度较大,导致很多国家在起草个人信息保护法的时候或多或少都参考了GDPR的要求。我们做了一个比较分析,将各国个人信息保护相关法律的主要条款做横向比较:通过上图大家可以看到,打对勾的表明其有相似的地方。我们发现绝大部分国家的个人信息保护法都借鉴了欧盟的内容。其中,我们发现中国的立法更加全面,在某些方面比GDPR的要求还要严格。
(一)GDPR数据合规
GDPR对数据违规的行政处罚金额很高:2000万欧元或者企业上一年全球年度收入的4%,两者取其高。这就是为什么企业出海以后都非常重视数据合规的原因。
如右图显示:GDPR自从2018年7月生效以来,各国依据GDPR处罚的罚款金额逐年升高,总额已经累积到了16亿欧元,罚款次数高达1000多次。行政处罚的次数和金额都很高,所以需要大家引起足够的重视。
我们也做了有关处罚金额的统计,发现包括what's up、谷歌、Facebook等比较知名的公司都已经被欧盟处罚过,并且处罚金额最高达到了7.46亿欧元。这些都足以引起大家的重视。另外不要抱有侥幸心理,认为只有那些非常知名的公司才会被罚,小公司只要违规一样会被罚。
那么,GDPR主要处罚的依据是什么?我们做了以下统计:
(1)不符合一般法律处理的原则,例如数据处理中的公开透明、最小够用等基本原则,跟中国个保法的要求类似;
(2)数据处理的法律依据,例:是否经过用户同意;
(3)安全措施;
(4)数据主体的权利履行不足,比如没有充分保障用户的知情权、没有充分告知用户、怎样删除个人数据、没有保障用户的数据可协权等,都会构成GDPR的处罚依据。
上图显示的是GDPR对于数据控制者或处理者的责任要求,大家在实际工作中均应引起重视。
(二)企业数据合规整改
企业数据合规的六方面思路:
首先是要有国家安全的意识。因为当一个社会全面进入数字经济的时候,数字的安全、网络的安全、个人信息的保护就会上升到国家安全的高度。因此我们的相关立法,不管是网络安全法、个人信息保护法,还是数据安全法,立法的基本思路就是要确保国家安全。所以企业应当具有这样的底线思维。
其次,要做好数据的盘点。企业自己要清楚公司收集了哪些数据,收集数据的理由。接下来,就要做分级分类,比如哪些属于敏感信息,哪些只是普通信息,哪些属于个人信息。分级分类的目的是要对不同的数据采取不同的存储、传输、公开、安全、读取等不同措施。
在技术上要实现这些合规的要求,比如要有安全的措施:加密、脱敏化、匿名化等,技术上要做到保障。只有技术保障还不够,还要建立相应的数据合规组织机构,即专门的数据合规部门。特别是人工智能这类主要业务跟数据相关的企业,需要通过获取数据、处理数据来完成的业务,就应当有专门的组织机构。并且在很多情况下,要求数据合规第一责任人是董事长,企业才能够有效贯彻数据合规的各种要求。
此外,建立完善的数据合规体系,还需要培养全员的合规意识,否则任何一个环节出现了纰漏,都会造成数据泄露,整个企业将会出现不合规问题。
数据合规整改的路线图如上图所示:
(1)制定数据治理战略;
(2)数据资源盘点;
(3)进行分级分类;
(4)建设内部的数据管理组织机构;
(5)建设网络安全法数据安全法等体系;
(6)建立内部合规的操作流程;
(7)配套技术控制措施;
(8)构筑第三方管理机制;
(9)必要情况下还要配合政府的数据协同工作;
(10)实现企业对数据的统一管理.
最后,简单介绍企业数据管理体系构建。从大的方面来看,需要有组织机构、数据合规制度体系和数据管理运行机制三大方面。其中,组织机构方面要有负责人,要有相应组织管理部门,必要时还要有外部独立的监督机构。
数据合规体系主要包括:
(1)落实数据合规的五大原则:知情同意、合法、正当、诚信、最小必要原则、公开透明等;
(2)内部的合规制度和操作规程,例如对数据进行分析分类,人员权限也要进行分级管理等;
(3)建立安全事件应急预案。
数据运行的管理机制包括:分级管理机制、处理规则公开机制、保护影响评估机制。影响评估机制主要是评估为什么要收集数据,以及一旦数据泄露会对用户造成何种影响。另外,还要对数据处理的活动进行记录,在发生泄漏或者不合理使用情况时,能够事后追查到当时的处理者及其操作。
如果企业能够建设合适的数据合规管理体系,就能够有效避免数据泄露或者最大限度排除安全风险。
想了解更多直播回放内容,请点击链接: