《個人信息保護法》來了,自動化決策怎么做

發布時間:2021-08-23

文 | 史宇航 匯業律師事務所 顧問

一、背景

隨著《個人信息保護法》的正式通過,我國個人信息保護水平邁上了新的臺階。對企業合規與經營來說,《個人信息保護法》影響會是全方面的,企業由內至外有大量的規范、機制需要新建、更新。而相對于傳統的數據合規項目,自動化決策會是一個嶄新的合規課題。

當前,自動化決策是依托神經網絡這樣的算法,構建出一個“黑箱”,讓外界難以知曉決策的依據,成為透明度最大的障礙。盡管人們不斷嘗試從技術的角度打開人工神經網絡所構筑的“黑箱”,但各種努力仍然差強人意。根據我們的經驗,對神經網絡等人工智能參與的自動化決策進行解釋說明、開展安全評估,是個人信息合規工作中最棘手的難題之一。

根據定義,自動化決策是指“通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動”。自動化決策聽上去是一個非?!案叽笊稀钡膫€人信息處理方式,但其實已經深入到我們生活的方方面面。我們每日瀏覽到的資訊、刷到的短視頻、看到的廣告、能夠申請到的借款額度、健康建議等都離不開依托于我們個人信息的自動化決策,甚至工作績效的考核也可以由算法依據勞動者的表現自動給出。

而此次《個人信息保護法》頒布的版本與前兩次草案相比,不僅針對“大數據殺熟”進行了專門的規定,還新增“商業營銷”作為自動化決策的具體場景:

《個人信息保護法》來了,自動化決策怎么做

二、合規要求

此前,在國家推薦性標準《個人信息安全規范》(GB/T 35273-2020)中就對自動化決策提供了合規指引,而在《個人信息保護法》中,更進一步:

《個人信息保護法》來了,自動化決策怎么做

概言之,在《個人信息保護法》的框架下,對自動化決策提出了更高的個人選擇權與透明度。在選擇權層面,需要產品的功能讓用戶能夠方便地拒絕?!秱€人信息保護法》讓個人可以拒絕那些僅依賴自動化決策作出的、對個人權益有重大影響的決定,避免自動化決策的濫用。

而透明度的要求不僅來自于法律層面,也來自于倫理層面。比如在《數據安全法》中,就要求開展數據處理活動以及研究開發數據新技術應當符合社會公德和倫理(第28條)。此外,在曠視的IPO文件中,上海證券交易所就專門針對科技倫理進行了問詢,這也反映出各界對于通過算法進行自動化決策的高度關注。

“對個人權益有重大影響的決定”也是一個重點。參考GDPR,在歐盟WP29工作組指定的關于數據自動化處理的指引(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679)中,對僅依據自動化處理進行的決策進行了描述,認為如果一個人在作出最終決定時審查并考慮到其他因素,該決定就不是“完全”基于自動處理。在該指引中,將以下決定列為對個人權益重大影響的決定:

  • 影響某人的財務狀況的決定,例如他們的信貸資格;

  • 影響某人獲得健康服務的決定;

  • 剝奪某人的就業機會或使其處于嚴重不利地位的決定;

  • 影響某人接受教育的決定,例如大學錄取。

此外,對自動化決策的結果進行人工審核也非常有必要,人工審核也是算法治理的典型路徑。比如在近期五部門發布的《關于加強新時代文藝評論工作的指導意見》中,要求加強網絡算法研究和引導,開展網絡算法推薦綜合治理,不給違法內容提供傳播渠道。

三、更多的場景與維度

開展自動化決策的合規工作,絕不能僅僅停留在《個人信息保護法》,自動化決策往往會與其他法律關系互相交融。比如“大數據殺熟”往往會與《電子商務法》《反壟斷法》《價格法》《消費者權益保護法》掛鉤。在近期紹興柯橋法院審理的某旅行平臺“大數據殺熟”案中,法院認為:

對酒店實時房價有如實報告的義務,但其卻未如實報告。該平臺向原告承諾鉆石貴賓享有優惠價,事實上卻沒有價格監管措施,向原告展現了一個溢價100%的失實價格,未踐行承諾。該平臺在處理原告投訴時告知原告無法退還全部差價的理由,經調查也與事實不符,存在欺騙,總計應支付賠償金4777.48元,并且增加不同意其現有《服務協議》和《隱私政策》仍可繼續使用的選項,或者為原告修訂平臺APP的《服務協議》和《隱私政策》,去除對用戶非必要信息采集和使用的相關內容,修訂版本需經法院審定同意。

除了“大數據殺熟”,另一個經常會涉及個人信息自動化處理的場景是企業內勞動者的管理。在勞動糾紛的場景下,雙方的矛盾通常會比較尖銳,因此勞動糾紛場景下的自動化決策將面臨更高的風險。比如近期俄羅斯一家游戲支付公司 Xsolla 利用 AI 算法解雇了 147 名員工,AI 算法認為被解雇的員工不敬業且效率低下。公司根據 30 多個指標,以百分制評估員工的工作效率。其中關鍵的評價指標包括:在內部 Wiki 中撰寫和閱讀文章、創建和關閉任務工單,以及活動的追蹤數據和參與內部會議的情況等。而在我國,隨著人力資源管理系統智能化的普及,企業應當盡量避免單獨依據算法管理員工。

四、自動化決策怎么做?

對于企業來說,自動化決策解放了生產力,已經成為個人信息處理中不可或缺的一環,大量的決策依托于各類算法。

根據《個人信息保護法》,結合我們服務各類企業數字化、智能化轉型的經驗,自動化決策的合規要點包括但不限于:

1. 以個人信息保護影響評估為基礎

根據《個人信息保護法》《個人信息安全影響評估指南》(GB/T 39335-2020)的要求與推薦開展評估工作,評估工作全程留痕,相關的工作日志與工作成果將成為發生爭議或面臨檢查時的有力支撐材料。

2. 提升決策過程的透明度

結合《電子商務法》《反壟斷法》《價格法》《消費者權益保護法》的要求,重視自動化決策系統正式上線前的測試環境,妥善保存測試數據、文檔、整改方案,專門設置結果驗證環節。

3. 使用合規的系統信息推送、商業營銷

結合《廣告法》《消費者權益保護法》等法律中關于商業推廣的要求,在系統中賦予用戶更多選擇權,設置提供不針對其個人特征的選項,或提供便捷的拒絕方式。如果使用第三方系統,則需要在前期的供應商篩選以及合同中確保第三方的系統能夠滿足法律要求,給予用戶選擇權。

4. 避免算法單獨作出對個人權益有重大影響的決定

在對個人權益有重大影響的決定的場景下,如信貸、健康咨詢、勞動、教育等場景下,對自動化決策的結果引入人工審核。

5. 通過隱私政策建立完善的溝通機制

隱私政策是連接個人與信息處理者的“橋梁”,在隱私政策中應當包括:1)對利用個人信息進行的自動化決策的環節和必要性進行逐一說明;2)對拒絕自動化決策的方式進行說明;3)列明聯系方式,方便個人要求解釋自動化決策。

6. 面向訴訟開展自動化決策合規

《個人信息保護法》的頒布會極大地提升全民個人信息保護意識,并掀起維權熱潮。因此,企業的個人信息合規措施應當能夠在法庭上經得起對方律師與法官的“檢驗”,重點在于將合規措施與電子數據的取證工作有機結合在一起,設計合規措施時即從證據的真實性、合法性、關聯性考慮具體措施的可行性,實現風險控制與合規成本的平衡。

7. 面向個人信息全生命周期開展自動化決策的合規工作

自動化決策雖然只是數據生命周期中的一個環節,但合規工作需要面向整個生命周期進行部署。個人信息收集的合法性直接決定了能夠進行哪些應用;如果涉及第三方,則會涉及雙方的合同權利、義務。各種場景,不一而足。

返回列表