在《个人信息安全规范》指引下初探AI企业数据合规的Good Practice
The following article is from 网安寻路人 Author 孟洁
随着2016年互联网普及率的又一步提升,以及2017年人工智能和物联网掀起了一轮新的高潮并在持续发酵中,中国的互联网正呈现出蓬勃发展的势头。自从2014年国家吹响“互联网+”的战略号角,三年后的今天已经势不可挡地涌现出“AI+”的新型探索,越来越多的中国企业开始着眼于人工智能行业的战略布局。随之而来的便是从2016年起,大量的互联网相关立法不断出台,为的是一手促进网络发展,一手狠抓网络安全。最为典型的是2016年11月《中华人民共和国网络安全法》(“网安法”)正式通过并于2017年6月开始实施。在这部总纲性的法律框架下,为了推进互联网法治使法律具有可实操性,一系列与之相关的指南、规范与管理办法也应运而生。
2017年年末的寒冬(2017.12.29),国家发布了《个人信息安全规范》(“规范”)。仅管它是国家标准化管理委员会发布的一部推荐性、指引性的国家标准,即给个人信息合法保护与企业数据合规同时带来了一缕春风。规范对网安法中被重点关注的“网络信息安全—对个人信息保护”模块,进行了从个人信息被收集--使用--分享到注销的个人信息处理全生命周期的具体解读,为企业带来了从抽象性法律可顺畅落地的重要参考价值;除此以外,规范还对企业合规事务所涉及的内部组织结构、分工职责、人员培训、评估审计等做了梳理与建议;又给企业的具体合规实践提供了实用性模板和针对性样本,对相似概念的辨析也使合规实务者对规范的理解更具准确性;最精妙之处还在于,规范更是从与接轨国际法律的视角,一改传统法规强行政性色彩的风格,在对个人信息主体提供了强有力保护的同时,也考虑到个人信息控制者在特殊情况下的正当利益豁免权,不失为原则性与灵活性的周全平衡。
规范已经详尽到足以指引企业做数据合规实践的程度,企业应当庆幸自己的合规路径是明确且清晰且有量可度的。如果企业偏离规范所指引的标准,可能需要付出更多的合规成本来证明其所操作的做法是合规的。既然规范已经成为普遍适用的标准,而且监管机构也将以此作为执法参考,社会各界亦视其为评价之尺,那何不干脆以规范为蓝本,构建适合各产业发展的数据合规架构呢?这样,可在企业降低合规风险的同时,也降低合规成本。当然,尽管如此,不可能所有企业都直接照抄,一定需要结合本产业本企业的数据存储、流动与披露的实际情况,量体裁衣,设计出适本企业业务模式、产品功能的隐私政策与合规制度,才可有的放矢,最好尺度地保护个人信息主体的权益。从这个意义上来说,规范所起到的作用便是国家法律与企业制度之间的纽带与桥梁。
对于AI企业来说,产品和技术是其骨骼,数据便是企业得以持续和发展的血液。因此,数据与合规便成为息息相关的研究命题,两者只能成为正相关的关系,不得此消彼长互为阻拦。故,笔者以规范为参照,以人工智能行业为背景,初探建设企业数据合规good practice(良好实践)的一些拙见,以待与同行共同探讨,以资共进。
一、对《隐私政策》的进一步完善
隐私政策,顾名思义是是企业与用户之间关于如何处理和保护用户个人信息基本权利义务的文件,用以告知用户个人信息如何被收集、使用、转让或与第三方共享的情况。它不是仅对企业的束缚,也是企业提示用户自主、自愿、合理提供和处分个人信息,并区分与用户责任的依据。[2]
数据合规建设,在我看来,第一步必定是要先做出符合规范要求的隐私政策。因为用户进入你企业的网站或者注册你的设备/APP,他是需要有知情权的--了解自己的信息将会被会企业如何使用,企业是如何来进一步流转自己的信息的。否则,企业没有承诺,很容易唯利是图,个人信息被泄露、流入黑产的可能亦非常之大,从而导致用户频频受到骚扰和诈骗的案例屡见不鲜。因此,企业有了一纸承诺,他就必须自律,否则,政府部门与社会监督力量同时在看,企业承诺之后,做到还是没做到,一目了然。违反承诺就意味着欺诈,那后果就是一系列的处罚,比如企业负责人被约谈,停业整顿,处以罚款等。
如何设计隐私条款,笔者看来,其实是企业需要照着规范这幅”样画“开始“个性化”临摹。只要不超出规范的条条框框,里面画几朵花几棵草,把花花草草画在什么位置上更美观,是否在画上再提几句诗让人赏心悦目,这完全是看企业合规工作者做画的工艺与灵感。笔者自己Privacy By Design的经验为:在每个有显示屏可阅读的具有独立功能的AI消费电子产品上,放置一个适用该产品的隐私政策,使得用户足够阅读到从该产品被收集的个人信息使用规则;如果某类AI消费电子设备上(如智能音箱、智能耳机等)没有可视屏幕进行阅读但仍然将成为用户数据进口的,就统一在与手机相联的个人虚拟助手(APP)上放置隐私条款,而这个版本的隐私条款所展示的功能和数据来源覆盖了家居、车载、可穿戴等全场景的可联动设备,是与单一产品隐私政策相比最为完备和齐全的。官网上的隐私条款也采取全集概念,目的是让用户全面预知他在体验高科技AI产品同时可能会被收集到的个人信息,以及AI企业对此而采取的各类保护措施和态度。
上述虽然提到了大而全的隐私条款,然而其并非传统意义上的一揽子协议,而是根据产品功能的不同,数据收集阶段的不同,使用目的和场景的不同,层递似地安排不同维度的用户告知进行提示,好比油画中的“渲染”,使得用户可获得的“知情同意权利”像油画色彩一样立体、饱满。举例来说:
第一遍“告知”:当用户在线成为“注册用户”时,企业需要向其展示“隐私条款”,并提供“同意”按键,此时企业完成“explicitnotice“的义务。当然,企业不可能变成保姆,而用户假设是心智健全的理性成年人应当有能力阅读、理解并作出适当选择(如果用户是儿童的情况下则由其监护人代为作出选择)。这种模式,实际上已经从传统“opt- out”模式所适用的”implied notice“(默示告知)变成了主动提示用户阅读并赋予用户选择权的”opt-in“模式了。
第二遍”告知“:如果企业收集的用户个人信息中涉及敏感信息(见规范附录B),便需要以增强性方式予以再次提示。虽然企业不是“保姆”,但还是需要尽到“善良管理人”(good administrator)的义务,避免用户以隐私政策冗长没有重点作为不便阅读的借口。如果企业给出一个简明扼要的通知,突出展示用户最为关心的信息,例如,将会收集哪些信息,这些信息将会提供给谁等,然后通过URL链接完整的隐私政策全文供用户阅读,这不但体现了企业对用户利益更加周全的考虑,同时也是对自己合规举证的最好展现形式。
规范对敏感信息的增强式告知作出核心功能和附加功能的区别。对于核心业务类型,企业应明确告知用户其拒绝提供或拒绝同意将带来的影响,即如果不同意,可能没有办法体验产品的全部及完整功能;对于产品及服务的附加功能部分,除在收集用户个人敏感信息前逐一说明个人敏感信息为完成何种附加功能所必需,并且应当允许个人信息主体逐项选择或者逐项填入被采集的个人敏感信息。当个人信息主体拒绝提供时,企业不得以此为理由停止提供核心业务功能,并应保障相应的服务质量。此外,尽管规范在附件C中已经提供了功能界面的参考模板,但涉及核心功能、附加功能的具体描述和通知语言的完整表达,还是需要进一步设计与雕琢的(具体可视设备显示屏幕的大小而定)。比如用户需要开通智能手表的某项附加功能时,可展示为:
第三遍至N遍“告知”:在企业将对用户个人信息与第三方进行共享,或因特殊情况需转让、公开批露用户个人信息的,要么需要将拟共享、转让、批露的信息做匿名化处理,要么需要再次予以明示告知并获得同意(弹窗式或者通过逐一通知的形式)。此类告知需要涉及业务的具体目的、所涉及的个人信息类型、接收个人信息第三方名称、类型和数据安全能力,以及所承担的相应安全措施。例如:
当然,好的隐私条款的设计还不光光是告知用户个人信息被如何收集、使用和流转,同时还需要展现企业如何做到数据入库后的安全能力和保护措施,以及个人信息主体随时可以监管到自己的个人信息,包括有权访问自己的个人信息,更正错误的信息,和删除企业违法违约收集的信息,甚至还有权改变曾经授权同意的范围和注销自己的账户。企业对上述用户权利应当做出积极响应,并由隐私政策做出承诺,切实做到商业利益与社会责任相平衡—想做以数据为支撑的产业经营,就首先需要建立用户自愿与同意的前提,以大胸怀和大格局来对待这份事业,先尽到自己最大诚意,做到有温度感,才会让用户感到企业的责任感,安心、放心地将数据交到企业手上,以此进行互为反哺地利益共赢。
相关内部制度的建立和完善
如上所述,隐私条款的订立实质是建立了一套“外部契约”,而推动该外部契约进行内化落地的,实际上需要一套内部执行制度,也可称为“内部契约”的制定。这里分为二个层面进行讨论:
首先,需要设立专职的个人信息保护负责人和个人信息保护工作机构。
1) 按照规范的要求,企业应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
2) 在以企业业务涉及个人信息处理,且从业人员规模大于200人;或者处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息的企业,应任命个人信息保护负责人和个人信息保护工作机构来负责个人信息安全工作。
一般情况下,企业负责人对数据合规越重视,工作机构就越好展开后续工作。但企业负责人对个人信息安全内容的熟识程度,也取决于企业合规工作者平时对政策动态、行业资讯的及时了解并主动分享和与企业负责人进行沟通交流。合规,从一定程度上,的确需要人员、金钱的成本付出,但是相比于不合规而付出的剧痛代价,理性的企业负责人一定懂得取舍。因此,企业负责人对规范的重视,对个人信息安全保护工作的理解和支持,是内部契约制定的关键且首要一环。
其次,形成个人信息保护工作的责任制度。
在企业负责人的保驾护航之下,信息保护负责人和个人信息保护工作机构的任命就迎刃而解了。通常来说,在AI企业中,法律合规部门、数据运营部门、各产品线、运维和IT部门与个人信息安全保护工作最密切相关,因此,可以由这些部门抽取核心人员(经签署保密协议后)共同组建企业个人信息保护工作机构,由他们各司其职,分别负责规范要求的各项具体内容,比如:
1) 由法律合规部负责制定、签发、实施、定期更新隐私政策和相关规程;组织员工开展个人信息安全培训;制定应急预案和组织应急演练;对滥用个人信息的投诉、举报进行调查,严厉查处不合规现象和违纪员工,如非授权访问、篡改或删除以及个人信息,违规使用、滥用等情况;维护企业隐私热线,对个人信息主体发布到隐私热线中的疑问进行解答;对机构内部各部门的执行情况进行安全审计,包括对隐私政策的落实情况、对安全事件的处置、应急响应和安全能力等审计;
2) 由数据运营部门组织开展个人信息安全影响评估,包括个人信息收集和使用的评估,并形成评估报告(每年至少一次);建立、维护和更新个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;对用户发布的信息进行管理,对特殊信息进行报告;
3) 由产品经理对用户隐私政策结合到产品中进行发布;对弹窗式等通知进行产品设计;对个人信息主体要求访问、更正、删除、撤销同意等请求进行产品可实现性支持;预设个人信息泄露时的通知机制;在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
4) 由运维部门对个人信息存储及每次流转进行安全影响评估,也需要形成相应的评估报告。制定数据本地化存储的管理制度,梳理与第三方云服务企业的安全保障责任制度,对日志留存、数据分类、备份和加密进行管理;
5) IT部门负责对企业整体网络环境进行事先评估,制订相关信息安全、网络安全、以及信息、网络的应急管理的制度,负责网络的运行管理:安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向个人信息保护工作机构报告安全事件,对有安全隐患、缺陷和漏洞的网络进行及时修补,制定补救机制。
相关对外法律文件的完善
对外法律文件主要包括合作伙伴的商务合同和供应商的采购协议。一般情况下,数据仅会在本企业中进行保存与处理。但在极个别AI商业化合作中,数据的共享将成为双方能否实现商业化目标的核心因素,因此分享方要对共享数据进行匿名化处理,否则需要事先获得用户的明确授权或同意。同时,所有的数据共享、转让均需出于合法、正当、必要、特定、明确的目的,并且只能提供某类服务所必要的个人信息(即符合最小够用原则),而合作伙伴则无权将共享的个人信息用于任何其他用途。基于上述合规需求,无论本企业是作为信息接收方还是提供方,都需要与合作方签署保密协议并做好此类外部协议的合规性审查,以协议约束的形式规制相对方的行为。
倘若本企业是个人信息提供方。为了提供网上销售服务,必须与物流服务提供商共享用户个人信息才能安排送货,或者安排合作伙伴(代表我们发出电邮或推送通知的通讯服务供应商,以及以位置数据为我们和用户提供协助的地图服务供应商)提供相关服务时,可以在协议中要求供应商承诺:
(1)在接收和使用共享的用户个人信息时,需要严格遵守网安法和规范的相关规定,且亦同意严格遵守我方《隐私政策》中的所有承诺;
(2)采取技术措施和其他必要措施,防止用户个人信息的泄露、毁损和丢失,并需要承担由此对用户造成的所有损失;
(3)如合作方有需要再次与其他第三人共享、转让与公开披露所接收的信息的,需要以增强性告知的形式经过用户知情同意,并且需要提前通知我方予以知悉。要求合作方未经用户明示同意,不得将任何用户个人信息披露给任何其他第三方。因合作方故意或过失披露用户个人信息而给用户带来的损失,将由合作方承担全部责任。如果我方对用户进行先行赔偿的,有权利向合作方予以追偿所有损失赔偿以及因此而涉及的任何诉讼/仲裁费用和合理的律师费用;
(4)宜对从我方收集到的用户个人敏感信息进行去标识化处理;
(5)我企业需要对所共享的信息随时进行审查和监督的权利,包括定期对合作方的信息接受能力以及数据安全能力进行评估审计。如果经过评估,合作方在接受和使用环节上不具备相关安全能力的,我方有权对该共享予以撤销并要求合作方对所接收的数据进行删除和不留备份地返还。
倘若本企业是个人信息的接收方。由第三方企业提供语料和数据,AI企业进行技术支持的场景下,如果是在客户的服务器进行技术结合的,因不属于真正共享,故不作讨论,但如果是进行数据非提供方服务器处理的,本企业需要知悉合作方所得数据的来源、类型和是否公布合规的隐私政策,以及数据获得是否得到过用户的授权同意。这些证据往往是需要合作方先行提供再考虑是否合作,包括隐私政策文本、授权同意样本、数据分类或者去标识化的记录,以及在双方协议中保证提供方将承担违反法律、规范、隐私政策而提供数据的经济和行政责任。
在涉及合并、收购或破产清算时,如涉及到个人信息转让,企业需要求新的持有用户个人信息的公司、组织继续受本企业《隐私政策》的约束,否则将要求该公司、组织重新向用户征求授权同意。
结语
综上所述,笔者从人工智能企业对“大数据”需求急迫的行业背景作为切入点,通过对规范的深入阅读与理解,从三个契约的角度(如下图所示)提出构建AI企业数据合规的良好实践(good practice)体系。力求企业做到合规地收集、使用和流转数据,并通过提高数据获取量和AI算法的结合,使用户在使用过人工智能产品后享受到越来越便捷和智能的生活体验,增加工作效率,节约生活成本。尽管笔者的认识还是略显粗浅,但深知肩上责任之重,愿意与专家、同行深入探讨,以致去莠存良,在规范的框架下真正为企业的数据合规工作构建出一套良好的实践标准。
[1] 作者:孟洁,出门问问信息技术有限公司法律合规部,总法律顾问。
[2]《什么是隐私政策? 贩卖50条个人信息即入罪》,引自中国投资咨询网,http://www.ocn.com.cn/keji/201706/conir01173948.shtml