我国个保法环境下的数据合规治理图

        基于我国对算法自动化决策的一系列要求，有相关的监管机制和要求。接下来，我们将详细说明这些现有的机制和应该关注的内容。

(一)算法备案制

        互联网信息服务企业应按要求进行互联网信息服务算法备案，在互联网信息服务算法备案系统、算法安全管理机构（管理机构、系统建设）、算法属性信息（包括应用领域、算法安全自评报告、算法数据、算法模型）、算法详细信息（算法策略、算法风险、预防机制）、产品和功能信息。

（2）算法安全评估

       国家网络信息办公室《舆论属性或社会动员能力互联网信息服务安全评价规定》明确要求，使用新技术和新应用，使信息服务功能属性、技术实现、基础资源配置发生重大变化，导致舆论属性或社会动员能力发生重大变化，应按规定进行安全评价。新技术和新应用主要包括深度合成、人脸识别、推荐算法、人工智能系统和区块链技术。《网络数据安全管理条例（草案）》规定，互联网平台运营商利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的，应当按照国家有关规定进行安全评价。从《互联网新技术、新应用安全自我评价报告》可以看出，相关新技术、新应用安全评价本质上涵盖了各种算法的风险评价。

（3）个人保护影响评价自动决策（PIA）

        《个人信息保护法》第五十五条规定，个人信息处理者利用个人信息进行自动决策，应当事先对个人信息保护的影响进行评估，并记录处理情况。通过引用个人保护法，自动决策PIA已成为法律强制的合规措施。《个人信息安全影响评价指南》进一步将自动决策细化为对个人信息主体的评价和评分，利用个人信息自动分析给出司法裁定或其他对个人有重大影响的决定，将不同处理活动的数据集匹配合并应用于业务，处理个人信息可能导致个人信息主体无法行使权利。企业应按照标准对个人信息全生命周期安全管理、网络情况和安全措施、个人信息处理流程、参与者和第三方、业务特点、规模和安全情况进行评价，分析安全事件的可能性和个人权益的影响。

      从监管趋势来看，国家标准《信息安全技术基于个人信息的自动决策安全要求》已经批准，将进一步关注自动决策活动的安全风险，对自动决策算法和用户肖像处理活动提出更具体的安全要求。我们的研究认为，企业应该实施PIA作为完成法律对自动化决策规定的强制性义务，完成合规项目审查材料，减轻甚至免除自身责任和声誉损失的有效措施。在个人信息保护影响评估的早期阶段，我们注重自动决策PIA实践中的许多困难，包括复杂的评估内容，鉴于许多监管规定和详细的评估内容，如果所有评估内容统一为问卷，问卷非常冗长，在实际填写和评估中往往非常困难；如果按照《个人信息安全影响评价指南》附件的表格填写，对分工活动的粒度和方法提出了严格要求，并将面临多个评价项目（如自动决策、敏感个人信息等法律义务），表格填写过程中存在冗余、重复和理解逻辑混乱，许多企业不会PIA过程自动化或标准化，通过线下表格在多个部门之间流通和填写，加剧了评价过程的复杂性。沟通协调成本高。启动评估后，需要结合多个部门或业务线完成企业实际数据处理和流通状况的确认。在实践中，PIA评价通常由企业法律部门发起，由其他部门填写；由于问卷主要来自监管规定，由于理解差异，填写人员往往难以准确理解问卷的实际意义，需要反复与法律人员沟通确认，影响评价效率和质量。最终导致PIA难以有效识别风险，鉴于难以保证每个填写人员对业务实际情况、问卷问题的理解准确、全面，或不能排除正确理解但填写错误，因此，如果只有问卷填写内容，直接确定风险，评估结果与实际情况可能存在较大偏差。由于企业产品和业务的优先导向，可能存在“找理由”“找借口”通过评估甚至在线疾病，削弱PIA面对监管的抗辩效果。

     考虑到PIA企业可引入外部第三方机构协助评估的专业性和复杂性。在这种情况下，由于报告内容依赖于第三方专业意见，企业可以在评估报告中增加第三方评估机构（如安全机构或律师事务所）的意见，作为企业评估分析的依据，以突出评估结果的客观性和专业性。

互联网信息服务企业应按要求进行互联网信息服务算法备案，在互联网信息服务算法备案系统基础上对算法安全进行管理、算法安全进行评估等。