深度分析 | 关于个保法语境下算法自动化决策的合规治理（中）——国内外合规要求简介

基于已经厘清的自动化决策、算法以及用户画像的含义与边界，通过分析国内外对此的合规要求，帮助理解我国的合规内涵思想，帮助企业明确其应尽的义务与合规措施，指导我们做好算法自动化决策的合规治理工作。

国外对算法和自动化决策有合规要求的主要是美国以及欧盟。

美国计算机协会（ACM）在2017年公布过算法治理七项原则，包括知情原则、访问和救济原则、可问责原则、解释原则、数据来源处理原则、可审计原则和检验和测试原则。旨在通过明确这些原则，要求算法所有者、设计者、操控者及其他利益相关者，披露并约束算法设计、执行、使用过程中可能存在的偏见和可能造成的潜在危害。

GDPR第29条数据保护工作小组（“WP29”）于2017年10月通过并于2018年2月修订了《关于自动化个人决策目的和识别分析目的准则》，明确了自动化决策的一些基本制度。主要包括数据主体的同意制度，即同意是自由作出、是充分告知下作出、是明确不含糊的；对特殊个人数据适用自动化决策时的限制，如自动化个人决策禁止处理敏感信息、限制处理16岁以下未成年人数据；赋予用户个人权利，如知情权、访问权、在产生法律效果和重大影响的情形下反对自动化决策的权利等。

GDPR下主要通过数据保护影响评估（DPIA）对自动化决策进行监管。GDPR第35条规定使用新技术的数据处理行为，若涉及对该行为的性质、范围、语境、目的进行考虑，并可能对个人的权利和自由造成高风险时，数据控制者应该事先对可预期的数据处理操作进行影响评估，以保护个人数据。GDPR特别明确了数据处理者进行自动化个人决策且该决策将会对个人产生法律效果或者重大影响的情形为高风险情形。需要对该情形下可预期的处理操作和处理目的进行系统性描述，对符合数据处理目的的处理行为的必要性和比例原则进行评估，对数据主体享有的权利和自由进行评估，并对可预期的风险所采取的措施进行评估。

（一）用户画像

首先，企业需要遵循个人信息保护告知-同意机制，保障用户拒绝权。《App违法违规收集使用个人信息自评估指南》规定，如果App运营者将个人信息用于用户画像、个性化展示等，隐私政策中应说明其应用场景和可能对用户产生的影响。《互联网个人信息安全保护指南》要求完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利；如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用，或跨网络运营者使用，应经用户明确授权方可使用其数据。

其次，企业应审慎使用用户画像，注意诸多限制用户画像使用的情形。《生物特征识别信息保护基本要求》规定不应基于生物特征识别信息自身生成用户画像和统计分析。《个人信息安全规范》明确用户画像的使用必须合法，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。

（二）自动化决策

根本原则上，企业应严格确保自动化决策的透明度和结果公平、公正。《个人信息保护法》《在线旅游经营服务管理暂行规定》《数据安全管理办法（征求意见稿）》均对“大数据杀熟”行为进行了严格禁止。《浙江省电子商务条例》中更是明确规定，对交易条件相同的消费者实行不合理差别待遇的，市场监督管理部门可以依照个保法进行处罚。

保障个人权利方面，法规明确企业要切实保障用户的个人权利，包括知情权、选择权，建立健全人工干预和用户自主选择机制。

合规手段方面，企业要对自动化决策开展个人信息保护影响评估（PIA）。《个人信息保护法》中明确个人信息处理者利用个人信息进行自动化决策应当事前进行个人信息保护影响评估，并对处理情况进行记录。PIA的实施周期与流程方法在《个人信息安全规范》和《个人信息安全影响评估指南》中有具体的规定。

此外，按照《互联网信息服务管理办法（修订草案征求意见稿）》精神，自动化决策所生成的内容还应进行内容审查，判断是否会对舆论引导、网站秩序、社会安全等造成影响；自动化决策的场景梳理需要全面，对个人、社会造成不良影响的判断需要客观、公正。

（三）算法推荐管理

第一，企业需要落实算法安全治理的主体责任。《关于加强互联网信息服务算法综合治理的指导意见》明确企业应建立算法安全责任制度和科技伦理审查制度，健全算法安全管理组织机构，加强风险防控和隐患排查治理，提升应对算法安全突发事件的能力和水平。企业应强化责任意识，对算法应用产生的结果负主体责任。

第二，企业要切实保障用户权益，包括算法知情权、算法选择权、未成年人、老年人、劳动者及消费者的权益。《互联网信息服务算法推荐管理规定》从第18条至第21条，对算法在未成年人防沉迷、适老服务、劳动工作调度、消费者公平交易等方面的要求进行了细致表述。

第三，企业要加强算法推荐内容管理，坚持主流价值导向，传播正能量。《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定》《网络信息内容生态治理规定》均对树立算法正确导向，促进算法生态规范发展进行了规定。

第四，企业要建立健全算法及其模型的审核、评估验证机制，避免“算法黑箱”“算法霸权”“信息茧房”。《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定》中明确要求防范算法滥用带来意识形态、经济发展和社会管理等方面的风险隐患，算法推荐服务提供者应定期审核、评估、验证算法机制机理、模型、数据和应用结果等。避免利用特定算法深度分析过滤、提炼整合等行为干扰正常生产经营，构成不正当竞争(杭州市中级人民法院（2018）浙01民终7312号)。

此外，企业还应避免算法单独作出对个人权益有重大影响的决定，在对个人权益有重大影响的决定的场景下，如信贷、健康咨询、劳动、教育等场景下，对自动化决策的结果应视情引入人工审核。2021年，杭州互联网法院《平台算法自动化决策的司法审查标准——许某某与杭州某软件服务公司网络服务合同纠纷案》入选最高人民法院2021年“新时代推动法治进程四十大案件”之一。该判例对平台自治程序的正当性给予了肯定，认为企业利用算法进行大数据分析和平台自治是遏制扰乱网络交易秩序行为的有效手段。同时要求平台行使算法权利应当公开透明。企业应事先披露治理机制、管理规则以及算法相关技术原理，保障用户的知情同意，赋予用户有权对算法自动化决策提出质疑和申诉，进一步知晓算法逻辑构造，本案中引入第三方机构进行算法验证成为另一个判决要点。

（本文作者：卫士通信息产业股份有限公司 张戈、望娅露）