下载客户端

人工智能机器学习行业，该如何避免个人信息合规风险

吴明、沈君洁

2020-05-20 19:41

人工智能产业是新基建的重要领域之一。人工智能的三大要素是算法、算力和数据。数据可谓新基建的基础。没有数据，再多的算力和再好的算法，也不能让人工智能实现落地。

海量数据的采集与标注，是训练人工智能的必要工具。在目前人工智能发展阶段，算力和算法发展水平趋同，而质与量兼得的AI数据却十分缺乏。由此，专注于高质量海量数据采集与标注的企业，便成为新基建破局的重要一环。笔者在为全球顶尖的数据采集与标注企业提供合规服务的同时，将部分心得写成文，以期抛砖引玉。

2020年是我国工信部发布的《促进新一代人工智能产业发展三年行动计划（2018－2020年）》的最后一年。近年来，我国在智能网联汽车、智能服务机器人、智能无人机、医疗影像辅助诊断系统、视频图像身份识别系统、智能语音交互系统、智能翻译系统、智能家居产品领域持续发力突破。这些智能产品的研发，无不涉及到人工智能（AI）的深度学习，而这种学习离不开数据训练，包括海量个人信息的采集。此外，近年来，随着互联网技术与智能移动端的不断发展，数字新媒体（TMT）领域也出现了许多新兴业态，比如：短视频+直播等，而这些业态所产生的UGC也涉及海量的个人信息。

技术在日新月异地发展，而相对应的法律法规散乱滞后。好消息是，2019年12月20日,全国人大常委会法工委表示2020年会制定个人信息保护法、数据安全法等。2020年1月1日起实施的《网络音视频信息服务管理规定》，首次将利用“深度学习（deep learning）”“虚拟现实（virtual reality, VR）”等新技术制作、发布、传播新闻信息的行为纳入规范。2020年3月6日，国家市场监督管理总局、国家标准化管理委员会联合发布《GB/T35273-2020信息安全技术个人信息安全规范》国家标准（2020年10月1日实施，下称《2020版规范》），替代此之前GB/T35273-2017版。由此，已经可以预见2020年对于个人信息保护、数据安全的合规调整与进阶将是重要的一年。

在此背景下，我们在本文探讨我国目前相关法律规定与监管趋势，并对AI和TMT领域的企业如何避免个人信息相关合规风险提出一些建议。

一、我国目前个人信息保护方面的主要规定与监管趋势

我国目前个人信息保护方面的法律法规，散见于各法律法规、规章及标准，已经明确对个人信息的保护提供了原则性、纲领性的规定。目前的主要规定及所涉的重点内容以表格形式简述如下：

虽然在具体的、具有强制性的规范方面我国尚处于持续完善的过程中，但自2017年起，尤其是2019年以来，我国已经出台许多个人信息保护方面的征求意见稿和《信息安全技术个人信息安全规范》等系列国家标准。2019年，中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部和国家市场监督管理总局还曾联合发文，之后将对强制授权、过度索权、超范围收集个人信息等违法违规使用个人信息的问题进行了专项治理。从上述各项规定的实施时间、征求意见时间和频率等来看，均反映出了我国对于个人信息保护的日趋重视和监管力度的逐步加强。

二、AI和TMT企业如何避免个人信息合规风险

由于《网络安全法》适用对象的扩大，AI和TMT领域的企业由于其行业服务的性质使然，都不可避免地涉及个人信息的收集与使用。比如，AI领域的数据服务类企业，有可能通过网络进行海量数据采集，并对所采集的数据进行标注，而后向其客户提供经过标注的海量数据，而这些数据很可能就包括了个人的性别、出生日期、身份证件号码、人脸图像、语音等个人信息。TMT领域诸如提供短视频、直播服务的平台企业，由于存在海量UGC，更是不可避免需要关注如何在收集与使用数据中保护用户个人信息。

个人信息的泄露，可能给个人带来重大的困扰，甚至人身、财产上的重大损失。如果企业无法做好个人信息保护，根据情节的严重程度，将会面临行政处罚、民事和刑事责任。

从目前的趋势来看，2020年后，我国对于个人信息保护的相关配套规定、实施细则等，将会逐步加快出台。对于跟个人信息密切相关的AI和TMT企业，结合笔者的实践经验，我们建议企业应当尽早完善个人信息保护的内部政策并采取落实相对应的措施，主要涉及以下几个方面：