近年来,我国人工智能企业在上市过程中面临更加严格的审核要求。本文结合典型案例梳理并分析了监管部门在数据合规及科技伦理合规领域的主要问询问题及答复要点,并为拟上市人工智能企业提供了合规建议。

作者丨王红燕 孙梦玥 邱腾岳 薛宇君

随着以《网络安全法》《数据安全法》《个人信息保护法》为核心的数据保护法律体系的完善,以及《生成式人工智能服务安全基本要求》《互联网信息服务深度合成管理规定》等细分领域的规范性文件的密集出台,我国人工智能企业在上市过程中有面临更加严格、细化的合规审查的趋势。此外,国家对科技型企业的科技伦理合规要求不断提升。自2021年起,监管部门开始对多家人工智能企业的科技伦理合规性进行审核问询。

根据我们对2020年至2023年上市人工智能企业招股文件和问询记录的梳理,近年来,监管部门对人工智能企业的问询重点主要集中于数据来源、数据使用、数据安全和科技伦理合规四个方面。本文将结合案例总结并分析人工智能企业上市过程中面临的问询要点以及相应的答复方式,为企业提供上市前专项合规工作的方向,以及答复领域内征询问题的思路。

一、人工智能领域主要法规和文件

为了支持和规范人工智能技术和产业发展,在一般数据安全法律框架的基础上,我国也制定了一系列人工智能领域的法律法规和文件。预计相关的监管要求都将会体现在人工智能企业在上市审核的披露要求中。

点击可查看大图

二、人工智能企业上市问询及回复

根据对公开资料的整理,人工智能企业上市过程中被审核机关问询的数据合规问题主要集中于数据来源、数据使用、数据安全和科技伦理四个方面。本文整理了人工智能企业在上述四个方面被问询概率较高的系列问题,并选择了回复部分问题的典型案例,供拟上市人工智能企业参考。

(一)数据来源

1、数据来源合规方面问询的主要问题

点击可查看大图

2、上市审核中数据来源有关问题问询与回复的案例

要点:明确数据来源、审查数据清洁度、披露相关方权利和义务分配情况

点击可查看大图

(二)数据使用

1、数据使用合规方面问询的主要问题

点击可查看大图

2、上市审核中数据使用有关问题问询与回复的案例

要点:告知同意与实际处理的契合情况、最小化原则落实

点击可查看大图

(三)数据安全

1、数据安全合规方面问询的主要问题

点击可查看大图

2、上市审核中数据安全有关问题问询与回复的案例

要点:静态网络安全、动态传输安全、制度保护建设情况

点击可查看大图

(四)科技伦理

1、科技伦理方面问询的主要问题

点击可查看大图

2、上市审核中科技伦理有关问题问询与回复的案例

要点:伦理审查相关组织架构建设、审查方法、评估结论

点击可查看大图

三、人工智能企业上市的合规建议

(一)数据来源

企业获取数据的途径通常包括企业自行收集、从第三方采购以及通过数据爬虫等方式从公开渠道获取三种方式。企业应当识别数据的来源,根据数据的来源调整相应的授权条款和业务模式,以降低合规风险。

企业自行收集数据:第一,企业自行收集数据时,应当遵循最小必要原则。开展数据收集工作时不应仅关注数据的数量,而应当进行有针对性的筛选。第二,企业收集用户数据时,应当在收集前明确告知收集信息的具体规则、收集范围及使用用途,获得相关信息主体的合法授权。因此,建议企业整改“默认勾选同意”和“注册即授权”等非明示授权方式,完善用户协议和隐私政策,公开收集和使用的规则。

从第三方采购数据:对于通过向供应商采购的方式获得数据的企业,应当核实引入第三方数据源的必要性和可行性,并事先进行尽职调查,以核实供应商是否具有数据收集的合法资质。同时,应当制定《外部数据采购管理制度》,并严格按照该制度提请流程,避免数据收集行为被认定为非法获取公民个人信息而带来刑事责任风险。

从网络公开平台获取数据:如果通过网络爬虫等手段收集公开平台的数据,企业应当重视收集途径的合法性,避免使用非法的爬虫技术或撞库技术从其他网络运营者的平台非法抓取数据。企业应当注意审查其是否获得被爬取用户同意以及平台是否授权同意,是否符合用户授权平台、平台授权收集方以及用户授权收集方的三重授权原则。对于爬取得到的数据,应当建立内部审核机制,进行深度合规性评估。

(二)数据使用

采取数据访问控制措施:在公司层面,应当设置个人信息处理权限管控制度,根据员工的工作范围和完成岗位工作的必要设立最小授权访问权限。可以设立只允许为实现处理目的所必要的人员以及其他代为处理的人员访问数据的制度,以减少数据使用过程中的数据泄露风险。

商业变现和共享合规:用户数据商业化使用的合规是科创板人工智能企业上市过程中发审委的关注重点。在数据的商业化使用和共享中,应当严格控制数据的对外输出。具体而言,在对外共享和披露个人信息时,应获得个人信息主体的充分知情同意,并通过数据安全防控技术避免数据在共享过程中被篡改。同时,在具体的商业变现场景中,企业还应当关注不同行业、不同场景的合规要求。

数据使用范围的界限:数据使用的范围应当以企业进行数据收集时约定的范围为限。如果需要在约定的范围之外使用用户数据和信息,需要再次获得用户的明示同意和授权。此外,在存在数据融合时,融合后的使用目的不应超出原有授权范围。如果超出,则应重新获得用户或数据上游合作企业的授权同意。

(三)数据安全

加强第三方数据合规性管理。除了自身的数据风险防控,企业应确保数据供应商等第三方也符合数据安全的要求。实践中,企业可以通过尽职调查、同业咨询等方式了解第三方数据安全的情况。同时,为保障自身权益,可以通过协议等方式与合作方就数据共享中的用户同意、安全防护、使用范围等方面达成共识,还可以要求第三方签署声明、承诺函等确保数据未侵犯他人合法权益,从而加强对第三方数据合规性的管理。

强化用户信息保护技术措施并制定安全应急预案。企业应当建立用户数据信息保护技术体系,防止外部黑客攻击以及内部成员有意或无意导致的数据泄露。同时,为了及时应对和处置计算机病毒、系统漏洞、网络侵入等引发的数据安全风险,企业应当制定网络安全应急预案,以减少数据安全问题给企业和用户带来的损失。

分析数据安全方面的潜在法律风险并明确责任承担。企业应当根据自身采取的数据安全保护措施与手段,并结合《数据安全管理办法》《信息安全技术个人信息安全规范》等监管文件分析各类业务是否存在侵犯商业秘密、个人隐私的情况,判断业务内容是否存在法律风险或潜在法律风险。同时,企业也应当事先明确发生网络数据安全事件时可能承担的责任。企业可以从法律法规和监管文件、与客户及第三方关于网络安全事件的协议等角度评估其可能承担的责任,并明确约定责任承担方式,以避免在发生数据安全纠纷时处于被动地位。

(四)科技伦理

科技伦理是科技活动必须遵守的价值准则和行为准则。在国家强化对科技伦理审查的制度背景下,科技伦理方面的合规问题应当成为拟上市和上市的人工智能企业的关注重点。

组织架构:企业应当设立完备的组织架构,以具体落实数据管理措施和科技伦理规范。根据《科技伦理审查办法(试行)》第四条的规定,从事人工智能科技活动的单位,研究内容涉及科技伦理敏感领域的,应当设立科技伦理(审查)委员会。企业应当为科技伦理(审查)委员会履职配备必要的工作人员、提供办公场所和经费等条件。具体而言,企业可以将科技伦理(审查)委员会作为直接隶属于董事会的决策机构,负责在人工智能的研发及应用过程中制定相关伦理道德治理的规章与管理机制,统筹部署和决策企业的信息安全和数据合规等工作,也可以单独设立人工智能伦理审核委员会,负责企业人工智能技术的伦理规范审查。

内部制度:根据《新一代人工智能伦理规范》和《数据安全法》的规定,人工智能企业开展数据处理活动时应当建立健全全流程数据安全管理制度,遵守人工智能技术可控及伦理规范方面的要求,不断完善企业内部的数据治理的流程规范和合规制度。具体而言,企业可以参考ISO27001信息安全管理体系、ISO27701隐私管理体系、ISO20000信息技术服务管理体系等国际标准,建立健全符合《人工智能伦理审查管理制度》《网络与信息安全应急管理制度》《数据分级管理制度》等数据安全和伦理规范的内部制度规则。

人员管控:根据《数据安全法》《科技伦理审查办法(试行)》以及《关于加强科技伦理治理的意见》的有关规定,企业应当组织开展科技伦理和数据安全等方面的培训,将科技伦理培训纳入科技人员入职培训、科研任务等活动。科技伦理(审查)委员会应当组织开展对委员的科技伦理审查业务培训和科技人员的伦理知识培训。此外,企业可以通过签署保密协议、设置责任追究制度以及制定伦理审查规范管理手册等方式强化对企业员工的管理,促进企业的科技伦理合规。

结语

在人工智能产业迅猛发展以及我国数据保护和个人信息保护法律体系不断完善的背景下,监管部门对于人工智能企业上市的数据合规审查将会越来越严格。拟上市人工智能企业应当密切关注相关监管要求、监管趋势以及上市审核的重点,尽早从数据来源、数据使用、数据安全和科技伦理等方面进行核查整改,不断完善企业的数据治理工作,为企业的长久稳定发展保驾护航。

作者简介

王红燕  律师

杭州办公室  合伙人

业务领域:知识产权权利保护, 跨境投资并购, 合规和调查

特色行业类别:通讯与技术, 文化娱乐产业

孙梦玥  律师

杭州办公室  知识产权部

邱腾岳

杭州办公室  知识产权部

薛宇君

杭州办公室  知识产权部

特别声明

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。