W&W国际法律团队 | 算法备案实务干货(三):算法自评估报告
文/ 王捷 邱世贸
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
在本系列的算法备案实务干货(一):备案常见问题、算法备案实务干货(二):特殊八问Q&A中,我们了解了算法备案的一般性问题,包括备案主体、备案对象、备案流程、备案期限以及备案的特殊问题。
W&W国际法律团队已为多个企业提供关于算法合规的专业服务,积累了丰富的实务经验。在本篇推送中,我们简述了各企业在撰写算法自评估报告过程中遇到的问题,为需要进行算法备案的企业提供帮助和指导。
算法自评估报告的
组成部分
本文以生成合成类、服务提供者的算法自评估报告的模板为例,简述算法自评估报告的各个组成部分:
算法自评估报告
需填写的表格
算法自评估报告的表格中需填写以下内容:
若服务提供者所使用的为第三方技术支持者提供的算法,建议服务提供者与第三方在签订的商务合同中,约定第三方提供算法有关的信息以便服务提供者进行算法备案。
算法自评估报告的
正文内容
01
“算法情况”如何填写?
在算法情况部分,需要包括算法流程、算法数据、算法模型、干预策略、结果标识。
算法情况部分的内容均为事实描述,在撰写该部分的内容时,应当与算法相关技术人员紧密合作,确保各事实的描述与算法的情况一一对应。
如果某个算法可细分为多个模型,应当在算法流程部分以流程图的方式区分不同的模型,且在算法模型部分区分不同的模型撰写模型的情况(以人脸合成算法为例,可能细分为人脸检测模型、人脸替换模型等模型)。
02
“服务情况”如何填写?
对于生成合成类算法的服务提供者,需要说明备案的算法用于哪些服务。对于各服务的描述,分为服务简介和算法在服务中应用情况。
服务简介中,需具体描述各服务的介绍、上线时间、展现形态、服务在应用产品入口位置、服务流量、用户情况等。
算法在服务中应用情况,包括算法线上服务的数据来源、算法训练过程中的数据来源、数据的形态(图片、视频、文字、音频等)、算法的更新频率(在服务中注明算法版本号)、算法中间结果与其他服务或应用的共享情况等。
03
“风险研判”如何填写?
在风险研判部分,需围绕算法本身客观说明算法可能造成的风险,包括算法滥用、算法漏洞、算法恶意利用和其他的风险。
算法滥用方面的风险,是指算法是否有可能用于生成违法违规不良的内容,服务提供者或技术支持者应当结合算法本身的应用场景进行研判(如图片生成合成服务、视频生成合成服务,是否可能被用于生成合成淫秽色情、虚假信息等;文本生成合规服务,是否可能被用于杜撰谣言、编写网络舆论、生成诈骗短信等)。
算法漏洞方面的风险,主要围绕算法本身的机制机理是否健全以及不健全所导致的潜在风险进行研判。算法本身的机制机理的健全,可能进一步包括是否对输入内容进行预处理、是否可能输出个人隐私、是否可能被攻击导致输出原始训练数据等。
算法恶意利用方面的风险,可围绕算法是否有可能被恶意攻击(如使用输入内容投毒)、是否可能被高频调用等展开研判。
04
“风险防控情况”如何填写?
在风险防控(机制)情况,应当就前述风险研判部分阐述的风险,陈述为防止、控制这些风险而采取的机制。风险防控机制可再细分为:
应当注意,在撰写风险防控机制时,需要说明各项风险防控机制与前文分析的各项风险的对应关系,即为了哪项风险而采取了哪项风险防控机制、哪项风险防控机制对哪项风险有效。
(一)风险防范机制建设
根据备案系统中的模板,风险防范机制建设方面至少包括以下方面:
算法机制机理审核;
算法安全评估监测;
对生成合成的虚假信息的辟谣机制;
算法安全事件应急处置。
以上内容为制度层面的建设,若目前服务提供者或技术提供者未建设相关制度,需尽快建立以上制度,必要时可引入外部律师协助。W&W国际法律团队已为多个企业提供制度建设服务,如您有需要,请随时通过本文末尾的联系方式联系我们。
若已制定相关制度,需要留存制度实施的日志以确保事件可回溯、可供监管机构调查时证明自身制度的切实实施。
(二)用户权益保护
用户知情权
在“用户知情权”方面,需描述用户知情权的保障范围、保障手段及相关证明。
除了描述告知个人信息处理规则、如何取得处理的合法性基础、是否公示算法的基本原理、目的意图和主要运行机制之外,建议进一步描述是否向用户告知服务的使用限制、使用规范,是否告知服务由深度合成服务提供等。
用户个人信息保护
“用户个人信息保护”方面,除了前文所说的告知个人信息处理规则、取得合法性基础之外,若服务提供者的服务基于第三方提供的服务、需向第三方共享个人信息,需确保真实披露与第三方共享个人信息的目的、方式、范围等内容,并与第三方签订数据共享协议约定共享目的、范围以及双方的权利义务等。
除第三方共享之外,若涉及将用户的输入内容和相应的生成合成内容用于进一步算法训练,则应当取得用户的同意后进行;服务提供者也应当说明是否提供用户行使删除权的方式、数据存储期限等。
其他权益保护
若服务涉及单次收费、订阅收费等,可进一步描述如何确保消费者权益得到保护、未诱导消费者额外消费。
若涉及向未成年人提供服务,如具有基于生成合成算法的服务的早教机器,需进一步说明保障未成年人权益的措施。
(三)内容生态治理
根据生成合成类服务提供者的算法自评估报告的模板,内容生态治理方面的防控措施可分为“防范和抵制违法违规不良信息”和“人工审核”两种措施。
“防范和抵制违法违规不良信息”措施方面,可以描述是否在程序、算法方面设置了过滤、发现或抵制机制,包括在用户输入违法违规不良信息时进行暂停、停止算法进一步运行;也包括对算法生成合成的内容进行审核,防止算法生成合成违法违规的不良内容。
在“人工审核”措施方面,需具体展开是否进行了人工审核、人工审核的标准、如何将人工审核与机器审核相结合。(例如:仅有机器审核;机器审核发现存在问题/机器无法直接判断的再由人工审核;机器审核与人工审核双重审核)
(四)模型安全保障
模型安全保障,主要是指技术层面采取了什么措施以防范数据投毒(若涉及使用用户输入的内容进行进一步的模型训练,如是否建立了识别违法和不良信息的特征库、是否建立关键词或敏感词过滤机制)、模型投毒(如模型存在漏洞,用户输入特定内容将导致模型崩溃、生成非预期内容等)。
(五)数据安全防护
“数据安全防护”包括训练数据(包括预训练、优化训练使用的数据)的采集、使用、存储等;若涉及将训练数据或模型权重与第三方共享,还需要说明为合法合规共享而采取的安全防护措施(如是否记录与第三方共享的数据、是否建立审计措施等)。
训练数据的来源可能分为多类,如使用开源数据集、从个人处收集、外部采购数据、爬取外部数据、企业自建的数据集。在使用不同来源的训练数据时,需要符合不同程度的合规要求,包括开源合规、知识产权合规、个人信息处理合规、数据提供方尽职调查、爬虫合规等。
结语
总的来说,算法自评估报告以判断风险、为各风险建立什么防控机制为主线,其中涉及不少专业术语、概念,通常需要与技术人员进行紧密配合以撰写一份完整、详实的报告。企业在撰写算法自评估报告时亦应当以客观事实为依据、结合算法及服务的实际情况进行陈述,同时建立相关的内部控制制度或体系、确保内部控制制度或体系切实执行。
对于其他本文中未提及到的算法备案问题,如您有需要,我们非常乐意为您进行答疑解惑。W&W国际法律团队已服务多个算法服务企业,解决各企业在实务过程中遇到的疑难问题,助力企业实现算法服务合规。欢迎有困惑、有交流需求、有合规实务需求的企业与我们联系。
推荐阅读:
以实务为基,有的放矢|《制造业出海合规实务指南50问》重磅发布
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754