新基建主题系列——机器学习行业如何避免个人信息合规风险？

Original 吴明沈君洁中伦视界 2022-07-31

收录于合集 #新基建主题系列 25个

人工智能产业是新基建的重要领域之一。人工智能的三大要素是算法、算力和数据。数据可谓新基建的基础。没有数据，再多的算力和再好的算法，也不能让人工智能实现落地。海量数据的采集与标注，是训练人工智能的必要工具。在目前人工智能发展阶段，算力和算法发展水平趋同，而质与量兼得的AI数据却十分缺乏。由此，专注于高质量海量数据采集与标注的企业，便成为新基建破局的重要一环。笔者在为全球顶尖的数据采集与标注企业提供合规服务的同时，将部分心得写成文，抛砖引玉。

2020年是我国工信部发布的《促进新一代人工智能产业发展a三年行动计划（2018－2020年）》的最后一年。近年来，我国在智能网联汽车、智能服务机器人、智能无人机、医疗影像辅助诊断系统、视频图像身份识别系统、智能语音交互系统、智能翻译系统、智能家居产品领域持续发力突破。这些智能产品的研发，无不涉及到人工智能（AI）的深度学习，而这种学习离不开数据训练，包括海量个人信息的采集。此外，近年来，随着互联网技术与智能移动端的不断发展，数字新媒体（TMT）领域也出现了许多新兴业态，比如：短视频+直播等，而这些业态所产生的UGC也涉及海量的个人信息。

技术在日新月异地发展，而相对应的法律法规散乱滞后。好消息是，2019年12月20日,全国人大常委会法工委表示2020年会制定个人信息保护法、数据安全法等。2020年1月1日起实施的《网络音视频信息服务管理规定》首次将利用“深度学习（deep learning）”、“虚拟现实（virtual reality, VR）”等新技术制作、发布、传播新闻信息的行为纳入规范。2020年3月6日，国家市场监督管理总局、国家标准化管理委员会联合发布《GB/T35273-2020信息安全技术个人信息安全规范》国家标准（2020年10月1日实施，下称《2020版规范》），替代此之前GB/T35273-2017版。由此，已经可以预见2020年对于个人信息保护、数据安全的合规调整与进阶将是重要的一年。

在此背景下，笔者在本文探讨我国目前相关法律规定与监管趋势，并对AI和TMT领域的企业如何避免个人信息相关合规风险提出一些建议。

一、我国目前个人信息保护方面的主要规定与监管趋势

我国目前个人信息保护方面的法律法规，散见于各法律法规、规章及标准，已经明确对个人信息的保护提供了原则性、纲领性的规定。目前的主要规定及所涉的重点内容以表格形式简述如下：

法律法规	相关内容	备注
《刑法》及其修正案（九）（2015年11月1日实施）	将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。
《民法总则》（2017年10月1日实施）	从民事基本法层面明确规定了“自然人的个人信息受法律保护”的法律原则[1]。
《网络安全法》（2017年6月1日实施）	在2013年《电信和互联网用户个人信息保护规定》的基础上进一步扩展并明确了个人信息的定义，并列举了常见的个人信息类型[2]；明确了网络运营者，是指网络的所有者、管理者和网络服务提供者，从而扩展了法律适用的对象范围；延续了《消费者权益保护法》对于消费者个人信息收集、使用的要求，进一步明确了收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。
《App违法违规收集使用个人信息行为认定方法》（2017年6月1日实施）	对“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”、 “未经同意向他人提供个人信息”和“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的具体认定情形进行了列举。	虽然这个认定方法是针对App，但是，笔者认为实际上对于其他网络平台、其他任何涉及收集使用个人信息的企业都具有较大的参考意义。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年6月1日）	进一步扩展了“个人信息”的范围，较《网络安全法》的定义，增加了“反映特定自然人活动情况的各种信息”，比如“行踪轨迹”[3]；明确了违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
《儿童个人信息网络保护规定》（2019年10月1日实施）	明确将“不满十四周岁的未成年人”定义为儿童；明确要求特殊的保护要求，比如：设置专门的儿童个人信息保护规则和用户协议，指定专人负责儿童个人信息保护，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意等；明确了“应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围”；明确了“向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估。”
以下为相关征求意见稿和国家标准
2017年8月《信息安全技术数据出境安全评估指南》	虽然左边所列征求意见稿和国家标准不具有强制力，但是对于涉及收集、使用个人信息的企业而言，无疑是避免合规风险的重要参考依据；而且，如果发生争议进入司法程序，有理由相信国家标准会成为司法机构在个人信息方面的定案参考依据，因此，对于收集、使用个人信息的企业需要引起足够的重视。
《GB/T 35273-2017信息安全技术个人信息安全规范》（已被《2020版规范》替代）
2017年8月《信息安全技术个人信息去标识化指南》（征求意见稿）
2018年6月《信息安全技术个人信息安全影响评估指南》（征求意见稿）
2019年4月《互联网个人信息安全保护指南》
2019年5月《数据安全管理办法（征求意见稿）》
2019年6月《信息安全技术个人信息安全工程指南》（征求意见稿）
2019年6月《个人信息出境安全评估办法》（征求意见稿）
2019年6月《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》
2019年10月《信息安全技术移动互联网应用程序（App）收集个人信息基本规范》（草案）
2020年3月的《信息安全技术个人信息安全规范》（GB/T35273-2020，2020年10月1日实施）

虽然在具体的、具有强制性的规范方面我国尚处于持续完善的过程中，但自2017年起，尤其是2019年以来，我国已经出台许多个人信息保护方面的征求意见稿和《信息安全技术个人信息安全规范》等系列国家标准。2019年，中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部和国家市场监督管理总局还曾联合发文，之后将对强制授权、过度索权、超范围收集个人信息等违法违规使用个人信息的问题进行了专项治理。从上述各项规定的实施时间、征求意见时间和频率等来看，均反映出了我国对于个人信息保护的日趋重视和监管力度的逐步加强。

二、AI和TMT企业如何避免个人信息合规风险

由于《网络安全法》适用对象的扩大，AI和TMT领域的企业由于其行业服务的性质使然，都不可避免地涉及个人信息的收集与使用。比如，AI领域的数据服务类企业，有可能通过网络进行海量数据采集，并对所采集的数据进行标注，而后向其客户提供经过标注的海量数据，而这些数据很可能就包括了个人的性别、出生日期、身份证件号码、人脸图像、语音等个人信息。TMT领域诸如提供短视频、直播服务的平台企业，由于存在海量UGC，更是不可避免需要关注如何在收集与使用数据中保护用户个人信息。

个人信息的泄露可能给个人带来重大的困扰甚至人身、财产上的重大损失，如果企业无法做好个人信息保护，根据情节的严重程度，将会面临行政处罚、民事和刑事责任。

从目前的趋势来看，2020年后，我国对于个人信息保护的相关配套规定、实施细则等将会逐步加快出台。对于与个人信息密切相关的AI和TMT企业，结合笔者的实践经验，我们建议企业应当尽早完善个人信息保护的内部政策并采取落实相对应的措施，主要涉及以下几个方面：

	政策与措施	具体建议与内容
1	优化企业所公示的隐私政策	如何收集和使用个人信息：根据实际情况，需要向个人告知企业是以怎样的方式、在哪些环节（过程）中进行收集个人信息、以及会如何使用、为了何种目的进行使用；如何使用 Cookie 和同类技术：告知企业使用Cookie的目的、企业如何管理Cookie以及个人如何删除及删除后的结果；如何共享、转让、公开披露个人信息：告知会以“授权同意原则”、“合法正当且最小必要原则”进行；告知目的、涉及的个人信息类型、接收个人信息的第三方类型，以及所承担的相应法律责任；如何存储和保护个人信息：告知中华人民共和国境内收集的个人信息存储在中华人民共和国境内；未成年人（包括儿童）的特别条款：告知需要得到法定监护人明确的、知情授权，否则不会收集、使用、共享或披露未成年人的个人信息；隐私政策的修订：告知可能进行修订及修订后的公布方式；如何联系企业：告知个人如何与企业联系以便对个人信息保护相关的政策及时沟通、咨询或投诉.
2	获得个人的明确的、知情同意的授权	明确提示个人阅看隐私政策：不论是线上或线下获得授权前，均应当明确提示，以便个人了解隐私政策；明确告知个人信息的使用目的：以“合法正当且最小必要原则”以及“与服务有关的原则”为限，不得超出范围；明确告知将收集、使用哪些个人信息：可以在隐私政策中告知，如果不是线上方式，或相较隐私政策有其他内容，应当在授权协议、用户协议等中进一步明确；明确告知个人信息可能个人信息数据向第三方的共享、披露、转移和转授权及其对象：可以在隐私政策中告知，但相较隐私政策有其他内容，应当在授权协议、用户协议等中进一步明确，尤其涉及企业及其关联方、合作伙伴、客户等第三方的，需要明示得到授权；共享、转让经去标识化处理的个人信息，且确保数据接收方无法重新识别或者关联个人信息主体的除外；明确告知个人信息可能跨境传输、跨境转移（如适用）：对于我国的外商投资企业而言，尤其需要重视在隐私政策或授权协议、用户协议中明确可能发生的跨境传输、跨境转移的问题；如后续个人信息出境向的评估备案规定出台，则需要进一步调整以合规；明确告知个人有不同意授权的自由：在授权协议、用户协议中建议明确告知个人有权选择不授权，同时告知不授权可能导致的结果；明确告知未成年人的个人信息授权需要得到法定监护人的授权；明确告知个人可对自身的个人信息进行查询、删除、更正、随时撤回授权的权利。
3	完善个人信息数据管理	完善技术措施：采用信息分类存储、使用必要的加密技术、个人信息脱敏处理等；完善管理制度：明确责任部门与人员、数据安全管理制度、数据安全访问流程等；建立报告制度：制定应急预案，及时上报系统漏洞、个人信息泄露等安全事件。
4	个人信息的脱敏处理（尤其对于涉及个人信息提供业务的企业）	去标识化处理：根据《2020规范》的定义，系指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。收集个人信息后，宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人；匿名化处理：根据《2020规范》的定义，系指“通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。”个人信息经匿名化处理后所得的信息不属于个人信息。《网络安全法》也明确了“经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”因此，匿名化后的信息的使用、提供等不需要再得到授权。
5	个人生物识别信息（个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等）的特殊合规	个人生物识别信息应与个人身份信息分开存储；原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于：1) 仅存储个人生物识别信息的摘要信息；2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像；原则上不应共享、转让。因业务需要，确需共享、转让的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意；不应公开披露个人生物识别信息。
6	个人敏感信息的特殊合规	一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、 14 岁以下（含）儿童的个人信息等；传输和存储个人敏感信息时，应采用加密等安全措施；收集、使用个人信息的业务功能，以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的，需明确标识或突出显示；共享、转让个人敏感信息前，除向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意外，还应告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；公开披露个人敏感信息前，除了向个人信息主体告知公开披露个人信息的目的、类型外，还应向个人信息主体告知涉及的个人敏感信息的内容，并事先征得个人信息主体明示同意。

AI技术和TMT新产业模式日新月异，这些技术研发与模式探索本身为社会生产和我们的生活带来了诸多显而易见的便利，但也伴随着个人信息泄露、买卖、伪造等情况的发生。这些情况都有待进一步的规范，不论是从技术上，还是法律上。因此，我们都期待我国的《个人信息保护法》，包括与AI和TMT领域的企业关系密切的关于数据安全、个人信息出境等的配套法律法规也能能够尽早出台，能将目前散落在各类法律、法规、部门规章中的涉及不同适用对象的相关规定体系化。

[注]

[1]《民法总则》第一百十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

[2]《网络安全法》第七十六条第（五）项：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

[3]《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条：刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

新基建主题系列阅读

点击下列文章标题可查看原文

1. 《新基建主题系列——关注特高压及新能源项目的用地法律风险》

2. 《新基建主题系列——IDC行业有关运营和架构的法律考量》

3. 《“新基建”风口下投资新能源汽车充电桩项目的法律问题》

4. 《新基建主题系列——智能家居出海的八个数据保护关键词》

5. 《“新基建”投资背景下PPP-ICT项目交易结构设计要点》

6. 《新基建主题系列——数字金融的应用、监管及合规思考》

7. 《新基建主题系列——人工智能之间达成“垄断协议”？算法合谋的反垄断法律风险分析》

8. 《新基建主题系列——人工智能技术开发中的知识产权法律风险》

9. 《新基建主题系列——大数据从何而来，涉足大数据业务需留意的网络爬虫技术合规风险》

10. 《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》