个保法语境下算法自动化决策合规图

        围绕数据安全和个人信息保护，解读规则，推广标准，积累实践，研究热点，与公众沟通，以务实、科学、中立的态度，成为中国数据安全发展的观察者、记录者和倡导者。

        基于明确的自动化决策、算法和用户肖像的含义和边界，通过分析国内外的合规要求，帮助理解中国的合规内涵，帮助企业明确义务和合规措施，指导我们做好算法自动化决策的合规管理。

01 国外对算法自动化决策的合规治理

      美国和欧盟主要对外国算法和自动化决策有合规要求。

      美国计算机协会（ACM）2017年公布了算法治理的七项原则，包括知情、访问和救济、问责、解释、数据源处理、审计治理原则。目的是通过明确这些原则，要求算法所有者、设计师、操作员和其他利益相关者披露和约束算法设计、执行、使用过程中可能出现的偏见和潜在危害。

      GDPR第二十九条数据保护工作组(“WP29”2017年10月0月通过并于2018年2月修订了《自动化个人决策目的与识别分析目的准则》，明确了自动化决策的一些基本制度。主要包括数据主体的同意制度，即同意是自由的，在充分告知下，明确不含糊；对特殊个人数据适用自动化决策的限制，如禁止处理敏感信息、限制处理16岁以下未成年人数据等。；赋予用户个人权利，如知情权、访问权、反对自动化决策的权利等。

       GDPR主要通过数据保护影响评估（DPIA）监督自动化决策。GDPR第三十五条使用新技术的数据处理行为，考虑行为的性质、范围、上下文和目的，可能对个人权利和自由造成高风险的，数据控制人应当提前评估预期的数据处理操作，以保护个人数据。GDPR特别是，数据处理者自动化个人决策，对个人产生法律效力或重大影响的情况是高风险情况。系统描述可预测的处理操作和处理目的，评估符合数据处理目的的处理行为的必要性和比例原则，评估数据主体的权利和自由，评估可预测风险的措施。

02 我国对算法自动化决策的法律规定

(1)用户画像

        首先，企业需要遵循个人信息保护通知-同意机制，保护用户拒绝权。《App根据《非法收集和使用个人信息自我评价指南》，如果非法收集和使用个人信息，App运营商将个人信息用于用户肖像、个性化显示等，隐私政策应说明其应用场景和可能对用户的影响。《互联网个人信息安全保护指南》要求用户肖像技术完全依靠自动化处理应用于精准营销、搜索结果排序、个性化推送新闻、定向广告等增值应用，未经用户明确授权，但应确保用户有权反对或拒绝；如果应用于信用调查服务、行政司法决策等可能给用户带来法律后果的增值应用程序，或跨网络运营商，应在用户明确授权后使用其数据。

       其次，企业应谨慎使用用户肖像，注意许多限制用户肖像使用的情况。《生物特征识别信息保护基本要求》规定，用户肖像和统计分析不应根据生物特征识别信息本身生成。《个人信息安全规范》明确规定，使用用户肖像必须合法，消除明确的身份方向，避免对特定个人的准确定位。

(2)自动决策

       根本上，企业应严格保证自动化决策的透明度和结果的公平性和公正性。《个人信息保护法》、《网上旅游业务服务管理暂行规定》、《数据安全管理办法（草案）“大数据杀熟”严格禁止这种行为。《浙江省电子商务条例》明确规定，对交易条件相同的消费者实施不合理差别待遇的，市场监督管理部门可以依照个人保险法进行处罚。

        在保护个人权利方面，法律法规明确，企业应有效保护用户的个人权利，包括知情权和选择权，建立健全人工干预和用户自主选择机制。

       在合规手段方面，企业应对自动化决策进行个人信息保护影响评价（PIA）。《个人信息保护法》明确，个人信息处理者利用个人信息进行自动决策，应当事先评估个人信息保护的影响，并记录处理情况。PIA《个人信息安全规范》和《个人信息安全影响评价指南》对实施周期和流程方法有具体规定。

此外，根据《互联网信息服务管理办法》（修订草案草案）精神，自动决策产生的内容也应进行内容审查，判断是否会影响舆论指导、网站秩序、社会安全；自动决策场景需要全面、客观、公平。

(3)算法推荐管理

       首先，企业需要落实算法安全管理的主要责任。《关于加强互联网信息服务算法综合管理的指导意见》明确，企业应建立算法安全责任制和科技伦理审查制度，完善算法安全管理机构，加强风险防治和隐患调查管理，提高处理算法安全突发事件的能力和水平。企业应加强责任意识，对算法应用的结果负主要责任。

       其次，企业应有效保护用户权益，包括算法知情权、算法选择权、未成年人、老年人、劳动者和消费者权益。《互联网信息服务算法推荐管理条例》从第十八条至第二十一条详细说明了未成年人防沉迷、老年服务、劳动工作调度、消费者公平交易等方面的要求。

      第三，企业应加强算法推荐内容管理，坚持主流价值取向，传播正能量。《关于加强互联网信息服务算法综合治理的指导意见》、《互联网信息服务算法推荐管理条例》、《网络信息内容生态治理条例》都规定了建立正确的算法取向，促进算法生态标准化的发展。

       第四，企业要建立健全算法及其模型审核、评价验证机制，避免“算法黑箱”“算法霸权”“信息茧房”。《关于加强互联网信息服务算法综合治理的指导意见》和《互联网信息服务算法推荐管理条例》明确要求防止意识形态、经济发展和社会管理的风险，定期审查、评估、验证算法机制、模型、数据和应用结果。避免使用特定算法深入分析过滤、完善整合等行为干扰正常生产经营，构成不正当竞争（杭州中级人民法院（2018）。浙江省人民法院7312号。

        此外，企业还应避免算法单独决定对个人权益产生重大影响。在信贷、健康咨询、劳动、教育等对个人权益产生重大影响的情况下，应根据情况引入人工审计自动化决策的结果。2021年，杭州互联网法院《平台算法自动化决策司法审查标准——徐与杭州软件服务公司网络服务合同纠纷案》入选最高人民法院。“新时代推进法治进程四十大案件”其中之一。本案肯定了平台自治程序的合法性，认为企业利用算法进行大数据分析和平台自治是遏制扰乱网络交易秩序的有效手段。同时，平台行使算法权利应公开透明。企业应提前披露治理机制、管理规则和算法相关技术原理，确保用户的知情同意，赋予用户质疑和投诉算法自动化决策的权利，进一步了解算法的逻辑结构。在这种情况下，引入第三方机构进行算法验证已成为另一个判断点。

基于明确的自动化决策、算法和用户肖像的含义和边界，通过分析国内外的合规要求，帮助理解中国的合规内涵，帮助企业明确义务和合规措施，指导我们做好算法自动化决策的合规管理。