企业上市数据合规系列:科技伦理合规要点及对策
2022.09.11 杨锦文 高健
人工智能技术的广泛应用对于提升各行业生产效率、优化社会管理等方面发挥重要作用,也带来算法歧视、个人隐私泄露等法律、伦理道德方面的问题,包括欧盟、美国、我国在内的各法域对于“科技向善”、“可信人工智能”等伦理治理的合规要求不断提高。在企业上市实务中,2021年以来多家科技公司在申请上市时均受到来自证券交易所、监管部门关于科技伦理合规的问询。
本文将梳理人工智能领域的科技伦理相关法规及治理框架,总结企业上市科技伦理治理合规要点,以期为相关科技公司的合规建设提供参考。
一、科技伦理治理规范概览
1、科技伦理治理法规体系
与各国规制趋势类似,我国在科技伦理治理方面,存在软法及硬法兼顾的立法、执法体系[1]。软法是指关于科技伦理的规划、规范等,对科技伦理合规做出原则上的界定及指引,硬法则通过《数据安全法》、《个人信息保护法》等实体法的具体规定,对科技伦理合规措施做出具体要求(现有人工智能伦理治理法规体系见下表)。
序号 | 开放类别 | 说 明 |
全国人民代表大会常务委员会 | 《数据安全法》 | 2021.09.01 |
全国人民代表大会常务委员会 | 《个人信息保护发法》 | 2021.11.01 |
国务院 | 《新一代人工智能发展规划》 | 2017.07,08 |
中共中央办公厅、国务院办公厅 | 《关于加强科技伦理治理的意见》 | 2022.03,20 |
国家新一代人工智能治理专业委员会 | 《新一代人工智能治理原则——发展负责任的人工智能》 | 2019.06,17 |
国家新一代人工智能治理专业委员会 | 《新一代人工智能伦理规范》 | 2021.09,25 |
国家人工智能标准化总体组织 | 《人工智能伦理风险分析报告》 | 2019.04 |
国家市场监督管理总局、国家标准化管理委员会 | 《信息安全技——个人信息安全规范》 | 202010,01 |
全国信息安全标准化技术委员会秘书处 | 《网络安全标准实践指南——人工智能伦理安全风险防范指引》 | 2021.01,05 |
中国电子工业信息化技术委员会 | 《信息技术 人工智能 风险评估 模型》团体标准争取意见稿 | 2021.07,23 |
2、科技伦理治理框架及伦理规范
根据中共中央办公厅、国务院办公厅2022年3月20日发布的《关于加强科技伦理治理的意见》(以下简称“《科技伦理治理意见》”),从科技企业视角出发,科技伦理治理框架主要涵盖治理要求、治理原则、主体责任、监管查处、教育宣传等方面。
此外,根据2021年09月26日国家新一代人工智能治理专业委员会发布的《新一代人工智能伦理规范》(以下简称“《伦理规范》”),企业应主动将伦理道德融入人工智能全生命周期,在人工智能的管理、研发、供应、使用等阶段均应履行规范要求。
二、科技伦理合规建议
基于上述科技伦理治理相关法律法规、规范性文件,结合2021年申请在上海证券交易所科创板上市的多家科技企业对交易所问询函的回复、法律意见书,根据我们的经验,科技企业应当充分认识到依法遵守相关法规、伦理规范的重要性,建立健全企业内、外部伦理合规架构,导入伦理审查机制,积极加强对员工人工智能伦理方面的培训和管理,在开放协作、绿色环保等方面积极落实人工智能伦理准则的要求。具体而言,可以从组织架构、内部制度、技术手段、人员管控、伦理审查方面开展合规建设。
1、组织架构
根据《数据安全法》[2]及《科技伦理治理意见》,企业应履行科技伦理管理主体责任,建立常态化工作机制,加强科技伦理日常管理。建议人工智能相关企业以数据安全和伦理规范为导向,设立完备的组织架构,将数据信息管理措施及伦理规范具体落实。
① 企业通常可以设置信息安全管理委员会、科技伦理治理委员会,作为直接隶属于董事会的决策机构,负责在人工智能的研发及应用过程中制定相关伦理道德治理的规章与管理机制,统筹、部署和决策企业的信息安全和数据合规等工作。
② 企业也可以单独设立人工智能伦理审核委员会,负责企业人工智能技术的伦理规范审查。
③ 个别头部互联网科技企业(比如阿里集团)为加强外部监督,已聘请科技、法律、公共管理等领域的外部专家组成顾问委员会,为规则制定及伦理审查提供咨询建议和协同治理。
2、内部制度
根据《数据安全法》[3]及《伦理规范》,企业开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,将人工智能伦理道德融入管理全过程,保障数据安全。为适应人工智能技术可控及伦理规范方面的新发展,企业应积极适应人工智能技术可控及伦理规范方面的要求,进一步完善公司内部制度体系,制定完备具体的数据治理与合规制度、流程规范。
① 依据前述伦理规范、风险防范指引,参考ISO20000信息技术服务管理体系、ISO27001信息安全管理体系、ISO27701隐私管理体系等国际标准,建立健全《数据分级管理制度》、《信息安全问责管理制度》、《人工智能伦理审查管理制度》《网络与信息安全应急管理制度》等一系列数据安全、伦理审查内部制度规则。
② 进一步加强技术可控性和伦理规范性,完善应急处理机制,制定伦理安全风险、人工智能信息安全风险等事件的应急预案并定期演练,建立事故信息回溯机制,确保出现伦理风险时及时响应并最大限度降低风险。
3、技术手段
企业应积极采用技术手段解决技术发展中面临的伦理问题,对数据获取、传输、训练、使用、存储、备份及处置等数据生命周期的各个环节均提供相应的安全技术保障措施。根据《伦理规范》第三章,企业可以从以下技术手段进行合规建设。
① 提升数据质量。在数据收集、存储、使用、加工、传输、提供、公开等环节,严格遵守数据相关法律、标准与规范,提升数据的完整性、及时性、一致性、规范性和准确性等。
② 增强安全透明。在算法设计、实现、应用等环节,提升透明性、可解释性、可理解性、可靠性、可控性,增强人工智能系统的韧性、自适应性和抗干扰能力,逐步实现可验证、可审核、可监督、可追溯、可预测、可信赖。
③ 避免偏见歧视。在数据采集和算法开发中,加强伦理审查,充分考虑差异化诉求,避免可能存在的数据与算法偏见,努力实现人工智能系统的普惠性、公平性和非歧视性。
4、人员管控
根据《数据安全法》及《科技伦理治理意见》的相关规定,企业应组织开展数据安全、科技伦理等方面的培训,将科技伦理培训纳入科技人员入职培训、承担科研任务等活动,引导科技人员自觉遵守科技伦理要求,开展负责任的研究与创新。
① 为提高人员管控效率,企业可以制定数据安全管理和伦理审查规范相关的管理手册、管理规范及惩处措施,不断改进员工账户管理体系及员工权限设置,以推动企业数据安全和科技伦理的制度性改进,培育向善的企业文化。
② 企业可以通过签署保密协议、定期组织教育培训、严格管理账户权限、设置责任追究制度等方式,体系化、制度化地提升全体员工的数据安全防范和伦理规范意识,从而维护人工智能企业业务的伦理水平。
5、伦理审查
根据《科技伦理治理意见》,从事生命科学、医学、人工智能等科技活动的企业,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会。企业在开展科技活动的过程中应进行科技伦理风险评估或审查。实践中,科技伦理(审查)委员会要坚持科学、独立、公正、透明原则,开展对科技活动的科技伦理审查、监督与指导,切实把好科技伦理关。
① 结合前述“1、组织架构”,企业可设立相关伦理审查委员会等专门机构,在产品的立项、产品设计、技术开发、测试验收以及应用等全流程中,负责进行法律、伦理方面的审查和监督。
② 审查内容包括但不限于是否有利于推动经济、社会、生态的可持续性发展,是否充分尊重个人权利、保护个人隐私、关注弱势群体,是否满足数据安全、技术安全可控等,并应对审查中发现的问题及时进行整改、完善。
结 语
随着算法等人工智能技术广泛渗透到社会经济发展的各领域,科技伦理合规已成为上市监管部门重点关注、且影响到能否成功上市的因素之一。拟上市应当未雨绸缪,按照上市时间表的要求,提前搭建完善内部架构、内部制度,在项目立项、研发、测试等各阶段切实导入伦理治理机制,为后期上市辅导直至上市做好准备,根据需要也可以聘请外部专家协助推进科技伦理合规建设。
1. 参考《人工智能白皮书(2022年)》。
2.《数据安全法》第二十七条第二款,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
3.《数据安全法》第二十七条第一款,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
