《个人信息保护法》来了,自动化决策怎么做
发布时间:2021-08-23
文 | 史宇航 汇业律师事务所 顾问
一、背景
随着《个人信息保护法》的正式通过,我国个人信息保护水平迈上了新的台阶。对企业合规与经营来说,《个人信息保护法》影响会是全方面的,企业由内至外有大量的规范、机制需要新建、更新。而相对于传统的数据合规项目,自动化决策会是一个崭新的合规课题。
当前,自动化决策是依托神经网络这样的算法,构建出一个“黑箱”,让外界难以知晓决策的依据,成为透明度最大的障碍。尽管人们不断尝试从技术的角度打开人工神经网络所构筑的“黑箱”,但各种努力仍然差强人意。根据我们的经验,对神经网络等人工智能参与的自动化决策进行解释说明、开展安全评估,是个人信息合规工作中最棘手的难题之一。
根据定义,自动化决策是指“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。自动化决策听上去是一个非常“高大上”的个人信息处理方式,但其实已经深入到我们生活的方方面面。我们每日浏览到的资讯、刷到的短视频、看到的广告、能够申请到的借款额度、健康建议等都离不开依托于我们个人信息的自动化决策,甚至工作绩效的考核也可以由算法依据劳动者的表现自动给出。
而此次《个人信息保护法》颁布的版本与前两次草案相比,不仅针对“大数据杀熟”进行了专门的规定,还新增“商业营销”作为自动化决策的具体场景:
二、合规要求
此前,在国家推荐性标准《个人信息安全规范》(GB/T 35273-2020)中就对自动化决策提供了合规指引,而在《个人信息保护法》中,更进一步:
概言之,在《个人信息保护法》的框架下,对自动化决策提出了更高的个人选择权与透明度。在选择权层面,需要产品的功能让用户能够方便地拒绝。《个人信息保护法》让个人可以拒绝那些仅依赖自动化决策作出的、对个人权益有重大影响的决定,避免自动化决策的滥用。
而透明度的要求不仅来自于法律层面,也来自于伦理层面。比如在《数据安全法》中,就要求开展数据处理活动以及研究开发数据新技术应当符合社会公德和伦理(第28条)。此外,在旷视的IPO文件中,上海证券交易所就专门针对科技伦理进行了问询,这也反映出各界对于通过算法进行自动化决策的高度关注。
“对个人权益有重大影响的决定”也是一个重点。参考GDPR,在欧盟WP29工作组指定的关于数据自动化处理的指引(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679)中,对仅依据自动化处理进行的决策进行了描述,认为如果一个人在作出最终决定时审查并考虑到其他因素,该决定就不是“完全”基于自动处理。在该指引中,将以下决定列为对个人权益重大影响的决定:
影响某人的财务状况的决定,例如他们的信贷资格;
影响某人获得健康服务的决定;
剥夺某人的就业机会或使其处于严重不利地位的决定;
影响某人接受教育的决定,例如大学录取。
此外,对自动化决策的结果进行人工审核也非常有必要,人工审核也是算法治理的典型路径。比如在近期五部门发布的《关于加强新时代文艺评论工作的指导意见》中,要求加强网络算法研究和引导,开展网络算法推荐综合治理,不给违法内容提供传播渠道。
三、更多的场景与维度
开展自动化决策的合规工作,绝不能仅仅停留在《个人信息保护法》,自动化决策往往会与其他法律关系互相交融。比如“大数据杀熟”往往会与《电子商务法》《反垄断法》《价格法》《消费者权益保护法》挂钩。在近期绍兴柯桥法院审理的某旅行平台“大数据杀熟”案中,法院认为:
对酒店实时房价有如实报告的义务,但其却未如实报告。该平台向原告承诺钻石贵宾享有优惠价,事实上却没有价格监管措施,向原告展现了一个溢价100%的失实价格,未践行承诺。该平台在处理原告投诉时告知原告无法退还全部差价的理由,经调查也与事实不符,存在欺骗,总计应支付赔偿金4777.48元,并且增加不同意其现有《服务协议》和《隐私政策》仍可继续使用的选项,或者为原告修订平台APP的《服务协议》和《隐私政策》,去除对用户非必要信息采集和使用的相关内容,修订版本需经法院审定同意。
除了“大数据杀熟”,另一个经常会涉及个人信息自动化处理的场景是企业内劳动者的管理。在劳动纠纷的场景下,双方的矛盾通常会比较尖锐,因此劳动纠纷场景下的自动化决策将面临更高的风险。比如近期俄罗斯一家游戏支付公司 Xsolla 利用 AI 算法解雇了 147 名员工,AI 算法认为被解雇的员工不敬业且效率低下。公司根据 30 多个指标,以百分制评估员工的工作效率。其中关键的评价指标包括:在内部 Wiki 中撰写和阅读文章、创建和关闭任务工单,以及活动的追踪数据和参与内部会议的情况等。而在我国,随着人力资源管理系统智能化的普及,企业应当尽量避免单独依据算法管理员工。
四、自动化决策怎么做?
对于企业来说,自动化决策解放了生产力,已经成为个人信息处理中不可或缺的一环,大量的决策依托于各类算法。
根据《个人信息保护法》,结合我们服务各类企业数字化、智能化转型的经验,自动化决策的合规要点包括但不限于:
1. 以个人信息保护影响评估为基础
根据《个人信息保护法》《个人信息安全影响评估指南》(GB/T 39335-2020)的要求与推荐开展评估工作,评估工作全程留痕,相关的工作日志与工作成果将成为发生争议或面临检查时的有力支撑材料。
2. 提升决策过程的透明度
结合《电子商务法》《反垄断法》《价格法》《消费者权益保护法》的要求,重视自动化决策系统正式上线前的测试环境,妥善保存测试数据、文档、整改方案,专门设置结果验证环节。
3. 使用合规的系统信息推送、商业营销
结合《广告法》《消费者权益保护法》等法律中关于商业推广的要求,在系统中赋予用户更多选择权,设置提供不针对其个人特征的选项,或提供便捷的拒绝方式。如果使用第三方系统,则需要在前期的供应商筛选以及合同中确保第三方的系统能够满足法律要求,给予用户选择权。
4. 避免算法单独作出对个人权益有重大影响的决定
在对个人权益有重大影响的决定的场景下,如信贷、健康咨询、劳动、教育等场景下,对自动化决策的结果引入人工审核。
5. 通过隐私政策建立完善的沟通机制
隐私政策是连接个人与信息处理者的“桥梁”,在隐私政策中应当包括:1)对利用个人信息进行的自动化决策的环节和必要性进行逐一说明;2)对拒绝自动化决策的方式进行说明;3)列明联系方式,方便个人要求解释自动化决策。
6. 面向诉讼开展自动化决策合规
《个人信息保护法》的颁布会极大地提升全民个人信息保护意识,并掀起维权热潮。因此,企业的个人信息合规措施应当能够在法庭上经得起对方律师与法官的“检验”,重点在于将合规措施与电子数据的取证工作有机结合在一起,设计合规措施时即从证据的真实性、合法性、关联性考虑具体措施的可行性,实现风险控制与合规成本的平衡。
7. 面向个人信息全生命周期开展自动化决策的合规工作
自动化决策虽然只是数据生命周期中的一个环节,但合规工作需要面向整个生命周期进行部署。个人信息收集的合法性直接决定了能够进行哪些应用;如果涉及第三方,则会涉及双方的合同权利、义务。各种场景,不一而足。