数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「个性化推荐算法备案」
「算法备案的维度」
「科技伦理委员会建设情况」
「PP港澳附件」
「用户体验计划的合规性」
个性化推荐算法备案
-问:请教个问题,我看到有的app是提供了个性化推荐的功能和关闭按钮。但从其隐私政策提供的主体进行算法备案查询,没有查到备案结果。原因可能是因为虽然它提供了推荐类算法但不具有社会动员或舆论属性,所以不用备案只需要遵守自动化决策的要求么?
-答1:因为还没做,个推很早就上线的功能,总不能因为一个新的要求都下线吧,现在应该只有一些头部做了个推算法的备案。
-答2:算法备案应该还没有做到全覆盖吧。
-答3:生成式和算法备案,尺度本来就不一样。
-答4:没有关闭个推开关的话,直接完不成隐私保护合规要求。被监管通报都有可能。相比没备案被通报。下掉这个功能合规风险更大。
-答5:遵守自动化决策要求就行。
-追问:所以有可能因为不具备舆论和动员能力,不需要备案只需要遵守自动化决策的规定吧。因为我理解算法推荐规定21年就生效了,而这个app早就上线运营也不止10天了,还没拿到备案不合适。
-答6:那个不需要服务方去备,生成式需要。
-答7:具备舆论动员能力的服务方要备吧,推荐规定第24条。
-答8:你看下以前多少电商,生成出来后,这块要求改了。
-答9:之前我们内部也推荐过,但公示出来的都是互联网行业的,而用个推的APP几乎是所有行业,所以想要算法备案全覆盖还是不现实的。毕竟要求建立算法制度和专门岗位对于大多数企业不现实。
总结:法不责众。
算法备案的维度
-问:请教下各位大佬:算法备案是按照产品来的还是算法来的?例如,我有一个个性化推荐算法应用于A、B产品,备案是A和B分开备案的?;还是A、B统合起来,备案一个个性化推荐算法就可以了?
-答1:后者,可以看看公示表,蛮多是一个算法在多平台的。
-答2:除非包装成不同的故事,文生文,图生图。
-答3:那个性化广告算法和个性化推荐算法并没有严格区分或者说要求分别备案吧?因为我看豆瓣的广告和内容是分开备案的,感到好奇。
-答4:官方的推荐算法分类里面也没有也没有个性化广告这个类目啊。豆瓣分开备案是因为算法不一样呀。
-答5:广告是推荐的子项吧 广告是广告法定义的。
总结:还是基于算法维度来备案的,一种算法一个备案。
科技伦理委员会建设情况
-问:想追问下有大佬了解科技伦理审查最新进展的么,记得之前有群友问过,比如涉及对用户生物信息或健康数据采集分析业务的,有相关企业对标审查办法第二条的“利用人类生物样本、个人信息数据等科技活动”,已启动有关评估工作的么?好像上个月上海也才要求了自行登记。
-答1:我这边查过,目前只有湖南有公布过设立了科技伦理审查委员会的公司名单,看起来是有地方牵头去搞的。
-答2:看下来还是药企为主,那比如像穿戴设备或健康扫描仪器这种,采集用户生物信息再分析生成健康报告的,算不算利用人类生物样本、个人信息数据的活动呢。
-答3:我去年问过大概7/8家跨国药企,好像都没有成立。如果有哪家成立了的同求赐教。
-答4:百度:11月21日晚,百度发布2023年第三季度财报,宣布正式成立科技伦理委员会,由百度集团资深副总裁、CEO助理李震宇出任委员会主席。
-答5:蚂蚁集团成立科技伦理顾问委员会,持续推进科技伦理建设。
-答6:这个网站也可以查查:https://service.most.gov.cn。
-答7:升级!华大科技伦理委员会正式成立。
-答8:也有过一个梳理。
在管理部门层面,湖南、山东、甘肃、辽宁、浙江、海南等多地成立了科技伦理委员会。在创新主体层面,复旦大学、清华大学、中国科学技术大学等高校,中国科学院计算技术研究所等科研机构,华大、阿里巴巴等企业,纷纷成立科技伦理(审查)委员会。
公众号:科普海南夏婷:推动科技伦理治理新发展
-答9:目前监管内部对审查办法第二条里利用个人数据的认定也还没形成统一口径,后续科委会与联席的行业主管部门及专家来细化,另外涉及高风险活动的认定,除了企业自行评估,科委也会关注企业在网信工信等主管部门的备案情况。
总结:逐渐规范。
PP港澳附件
-问:想请教一下大家知道有没有什么隐私政策里有香港/澳门附件吗?我目前知道微信的隐私政策有比较多国家地区的附件哈。
-答1:看看这个招商局:https://www.cmhk.com/main/a/2023/d27/a45527_48580.shtml
-答2:多了。很多银行都有香港分行的,也有对应app。去他们app看。
总结:蛮多。
用户体验计划的合规性
-问:海外用体验计划,采集一些用于优化模型的数据,以及故障分析的数据,是否合规(单独有体验计划的这种场景)。
-答1:我记得在cippe里面有提到,secondary processing目的需要控制者评估是否与初始目的相符。如果是相符的,则再处理不需要其他合法性基础。书里面提供了正反两个例子:
1.数据控制者提供健身app相关的服务,其收集并分析个人信息用于为用户提供健身计划的目的。其后续用个信进行分析以提高app效率(识别技术性错误)的行为被认为与收集目的相关,且也在用户的合理预期之内。(但汽车行业中,GB/T41871原则上不允许为了提升用户体验、研发新产品等目的处理敏感个信);
2.配药提醒APP将收集的个人信息用于营销目的,则与配药提醒初衷不符,理应就这项目的选择合适的合法性基础。
-答2:挪威数据保护当局在Ruter项目里提供了比较标准的分析思路。关于数字广告/个性推荐的几个大案子或多或少包含一点相关的说理。29条工作组有关目的限制原则的观点确实依然相当有用。挪威DPA关于在Ruter参与AI监管沙盒的最终报告
总结:目的限制原则还是关键。
科技伦理委员会建设情况
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。