保障数据信息安全,企业角色不可缺位
到2021年底,我国已经形成了《网络安全法》《数据安全法》《个人信息保护法》为主体的“三驾马车”立法架构,网络空间治理法律体系初具雏形,《互联网信息服务算法推荐管理规定》《网络安全审查办法》陆续公布,配套法律法规正逐步建立。“企业”一词作为主角频繁出现。事实上,数据信息安全保障领域中的各项推进工作都无不指向一个焦点——企业角色不可缺位。
个人信息处理者:保障个人信息安全,尽好守门人义务
2021年11月1日,《个人信息保护法》正式实施,公民个人信息安全正式受法律保障。对外经济贸易大学数字经济与法律创新研究中心执行主任许可提到,《个人信息保护法》在回应公民重要关切、实现个人知情权、决定权、限制处理权等个人信息权利可感可知的同时,也明确了企业作为个人信息处理者的合规义务。
不久前举行的2022数据治理热点问题研讨会上,许可强调,收集个人信息的企业应当制定明确的个人信息保护政策,真实、完整地向用户告知企业的基本情况、个人信息收集、使用目的、范围及场景、个人信息处理方式及规则、对外共享披露情形、个人信息主体权利保障机制、投诉处理渠道等。值得注意的是,收集个人敏感信息的企业,应当取得用户的单独同意,而不能采取过去的打包式同意。
针对公开信息的处理,企业也不能轻视。《个人信息保护法》第27条规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
许可同时提到,企业在利用个人信息进行自动化决策时,应当保证决策的透明度和结果公平、公正,不得对个人在交易条件上实行如地域、性别、会员、服务频次、支付能力等不合理的差别待遇。如大数据“杀熟”的问题,在购物平台上交易价格的一致定价和不一致的优惠券是否构成服务频次的差别待遇问题是值得讨论的。此外,企业通过自动化决策方式向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项或者便捷的拒绝方式;通过自动化决策方式作出对个人权益有重大影响的决定时,个人有权要求个人信息处理者予以说明,并有权拒绝企业仅仅通过自动化决策的方式作出决定。
算法推荐服务者:防范算法社会风险,承担主体责任
算法和算法推荐曾一度是平台企业的“卖点”所在,应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息内容。然而企业对算法技术的泛滥运用却带来了许多问题和风险:新闻领域的信息茧房、回音壁;内容生成领域的投喂式、成瘾式设计;用户沉迷、过度消费……1月4日,国家网信办等四部门发布了《互联网信息服务算法推荐管理规定》(以下简称《规定》),对上述风险问题一一回应,规定了企业平台作为算法推荐服务者的责任义务。
清华大学公共管理学院教授、人工智能国际治理研究院副院长梁正表示,针对低俗风险内容审查,企业应当主动承担主体责任,建立内部专业团队。落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、反电信网络诈骗、安全评估检测等管理制度和技术措施,制定并公开算法推荐服务相关规则。总的来说需要做到算法审核、伦理审查、安全检测。
梁正谈到,对于用户沉迷、过度消费等负面影响,作为算法推荐服务者,企业也应当基于法律和伦理的标准开展定期审核、评估,对算法的模型、数据和结果进行验证,不得设置诱导用户沉迷、过度消费等违反法律法规、伦理道德的算法模型。换言之,企业要做到坚持社会主义价值观导向,促进算法应用向上向善,积极传播正能量。
梁正同时认为,在内容生成领域,企业应当加强算法推荐服务版面页面生态管理,建立人工干预和用户自主选择机制,在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息。也就是避免将内容生态完全交由算法处理,而应增强人工干预,将选择权交给用户。这对于减轻信息茧房、回音壁的负面影响有着重要的积极作用。
另外,《规定》还突出体现了人本主义,对用户权益保护进行专章规定,要求企业告知用户算法的基本原理、目的意图和主要运行机制,以此提高算法的透明度。同时重视对弱势群体的权益保护,强调企业应该向未成年人、老年人和配送服务劳动者履行特殊的算法义务。
关键信息基础设施、网络平台运营者:维护国家网络安全,采取适当合规措施
网络安全与国家安全休戚相关,经济社会的稳定运行和广大人民群众的利益保障都离不开网络安全。当今国际形势风云变幻,世界进入百年未有之大变局,我国网络空间面临的风险挑战剧增。
2020年4月,国家互联网信息办公室正式印发《网络安全审查办法》(以下简称《办法》),仅一年半后便发布修订稿,正是为了应对一年以来的形势变化,进一步增强对网络空间重大风险挑战的防范能力。北京市中伦律师事务所合伙人陈际红指出,作为涉及金融、交通等关键信息基础设施的运营者,如网站经营管理者,或者通过移动APP提供服务的运营者以及因业务特征掌握大量个人信息或者数据的科技、医疗健康领域经营者等企业所运营的基础设施一旦遭到攻击,将严重危害国家安全、个人信息安全,因此相关企业应根据《办法》采取适当合规措施,履行相应义务。
对于采购网络产品和服务的关键信息基础设施运营者,《办法》规定相关企业应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查;为了预防风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
陈际红点明,这些要求为关键信息基础设施运营者建立了采购及使用网络产品和服务引入安全风险的预判及审查机制,有利于相关企业进一步强化网络安全和数据安全意识,引导其将风险保障工作关口前移,防范网络产品及服务供应链中引入安全漏洞、恶意后门,从源头消解安全风险,为关键信息基础设施防范供应链安全和数据安全风险提供保障。
此外,《办法》中对网络平台运营者的数据处理活动作出了明确规定,要求掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。陈际红表示,如果借助互联网平台掌握了大量我国基础资源数据、公民个人数据及行为数据的企业平台在开展国外上市融资过程中,针对国外金融监管要求,将大量可能带来国家安全风险的数据提供出国,将会成为国家的重大隐患、企业的巨大风险。同时,对于这类赴国外上市企业网络安全审查申报的时间节点,网信办有关负责人明确要求企业需在向国外证券监管机构提出上市申请之前提出申报。
信息来源:中国对外贸易杂志