AI风险及数据合规问题
一、数据来源合规问题
1、请说明发行人采集数据时是否获得了相关信息主体及用户的合法授权,获取用户数据的手段及方式是否合法合规;
2、请说明发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范国及使用用途;
3、请说明发行人获取用户数据信息的来源、获取途径及授权方式,收集用户信息获得用户同意的具体制度及相关安排收集用户信息时是否明确告知收集信息的范围及使用用途,对数据的使用是否超过必要的限度;
4、获取授权的过程是否对客户的用户有明示,客户的用户对于上述行为被视为授权许可在法律上是否完备,相关协议约定内容存在明显不利于个人用户的格式条款,是否符合相关法律法规的规定要求;
5、请说明要求发行人说明是否对数据来源进行分类,数据采集和应用过程中是否获得用户许可,是否存在侵犯用户权益(隐私权、肖像权等)的情形;
6、请说明数据的形成过程,使用权限及其合法合规性;针对不同的数据来源,核查发行人收集收据、采购数据时,是否均取得了信息主体明确的授权或许可文件。
二、数据使用合规问题
三、数据安全合规问题
四、科技伦理合规问题
以下几种合规措施,可以为不同企业提供科学规避风险指导
1.数据分类分级/重要数据识别
企业可盘点业务、系统涉及处理的数据、识别重要数据/协助填报目录、数据分类分级标签;
2.整体数据安全体系建设
可以从以下三方面建设:首先是,管理组织体系建设;其次是,管理制度体系建设;最后是,全流程网络和数据安全管理措施建设;
3.数据安全风险评估/合规审计/PIA
包括数据安全风险评估、个人信息保护合规审计、个人信息保护影响评估;
4.算法合规/大模型备案
算法安全评估和算法备案、大模型算法备案;
5.数据出境合规
包括数据出境安全评估、个人信息标准合同备案、个人信息保护认证;
6.数据本地化
系统和数据的本地化、基础网络与设施的本地化、本地IT能力和团队的建立、国产化产品的选择和部署。
