研究成果
原创 | 关于新加坡《关于在人工智能推荐和决策系统中使用个人数据的业务指南》的研究
发布时间:2024-04-09 17:01:24      来源:国家工业信息安全发展研究中心

       当前,国内外人工智能产业高速发展,海量数据支撑人工智能技术、产品广泛服务各行业领域,同时,个人隐私数据泄露、数据滥用、数据投毒等数据安全风险也逐步浮现。面对这一挑战,美国、欧盟等加紧制定人工智能有关规则。2023年7月,新加坡发布《关于在人工智能推荐和决策系统中使用个人数据的咨询指南》(以下简称“《指南》”),明确企业在使用个人数据开发和训练人工智能系统时,需落实《个人数据保护法案》关于同意、通知等个人权益保障职责,并为企业在人工智能系统中使用个人数据提供基准指导和最佳实践。



一、

《指南》出台背景

       2012年10月,新加坡颁布了《个人数据保护法案》,该法规范了企业对个人数据的收集、使用和披露行为。如,规定企业仅在得到个人明确同意的前提下,方可对个人数据进行收集、使用或披露活动;要求企业在收集个人数据之前或收集过程中,向个人清晰地说明其收集、使用和披露个人数据的具体目的。《个人数据保护法案》有关规定涉及收集、处理个人数据以开发、测试和监控人工智能系统,也就是在人工智能系统设计、部署中收集和使用个人数据等行为,应当充分落实个人数据保护要求。


      《指南》针对《个人数据保护法案》管辖的人工智能开发、测试、部署等应用场景,深入探讨了个人数据的收集、使用问题,明确了当企业在利用个人数据训练人工智能模型和系统时,应如何遵循并适用《个人数据保护法案》相关规定,保障个人数据安全。



二、

《指南》重点内容

      《指南》涵盖了人工智能场景中的个人数据同意义务、通知义务、业务改进例外、研究例外等方面内容,主要分为五部分。第一部分介绍了《个人数据保护法案》的背景和目的,以及《指南》的目标;第二部分明确了《个人数据保护法案》的适用范围,以及《指南》的法律效力和范围;第三部分提出了商业改进例外和研究例外的适用条件;第四部分描述了《个人数据保护法案》在人工智能系统中对于个人数据收集和使用的适用情况,说明了机构组织在部署人工智能系统时需履行的同意和通知义务;第五部分提出了人工智能系统服务提供商支持相关组织实施人工智能系统的最佳实践。


一是法律效力和范围。《指南》与新加坡个人数据保护委员会发布的《<个人数据保护法案>关键概念咨询指南》、《特定主题咨询指南》等文件,共同构成了针对《个人数据保护法案》的实用性咨询指导材料。《指南》不具备法律约束力,并不会对新加坡个人数据保护委员会的管理和执行工作产生任何限制,只是作为参考和辅助工具,帮助各方更好地理解和遵守数据保护相关法规。


二是业务改进例外和研究例外情形。《指南》详细解释说明了《个人数据保护法案》中的“业务改进例外”和“研究例外”情形及其适用条件,前者是指企业内部开发人工智能用于提升企业生产效率或提供服务的情形,后者是指企业开发人工智能用于商业研究(需以推进科学和工程为目的)的情形,企业在上述两种情形下,收集个人数据无需履行同意和告知义务。


三是同意和通知义务。《指南》明确了在人工智能开发、测试和监测场景中,企业需在履行同意义务后才能使用个人数据进行人工智能系统的培训和测试等活动。同时,企业必须通过制定适当的规则和程序来确定其收集、使用或披露个人数据的目的,按照此目的确定企业收集、使用个人数据的范围,并确保企业收集的个人数据与实际处理目的相一致。


四是最小数据规模原则。《指南》建议企业实施数据最小化原则,仅使用必要的个人数据来训练和改进人工智能或机器学习模型,降低人工智能系统的安全风险。同时《指南》鼓励企业对个人数据进行匿名化或去身份化处理,并将其作为基本的数据保护手段。


五是企业责任义务。企业应及时关注其使用个人数据开发人工智能系统时需遵守的相关政策变化,确保严格遵循最新政策要求。《指南》建议企业制定有明确相关实践和保障措施的书面规定,以确保数据使用的合规性和透明度。



三、

企业合规建议及对我启示

      《指南》为新加坡企业在人工智能领域收集、使用个人数据提供了指导,强调了数据隐私保护和合规的重要性。对于我国企业出海而言,必须综合考虑数据隐私保护、技术方案选择、法规遵从与业务模式适应等多方面内容,遵守目标国家法规政策,确保数据安全和合规。


一是确保个人数据处理的合法性基础。企业需取得个人的明确同意,或确保处理行为符合“改进业务例外”和“研究例外”等特定情形,以保障数据处理的合规性,在有效保护个人合法权益的同时,避免因个人数据处理合规性事项受到高额处罚。


 二是坚持个人数据处理的最小化原则。企业应当将数据最小化原则作为实践准则,仅使用训练和提升人工智能系统属性所需要的个人数据。确保最小必要原则落实到人工智能的方方面面,降低人工智能系统中潜在的安全风险。


 三是进行个人数据集的匿名化处理。在数据处理过程中,企业应充分考虑《指南》提出的评估匿名化处理有效性因素,对数据集进行一定的匿名化处理,避免数据泄露和滥用风险,最大限度降低使用个人数据对个人权益的影响。


       当前,我国高度重视人工智能安全,出台《生成式人工智能服务管理暂行办法》等政策文件,引导人工智能技术有序发展。后续,建议进一步强化人工智能领域网络和数据安全治理手段,加强多元主体协作,明晰人工智能企业数据保护责任义务,压实企业个人信息保护责任,促进人工智能产业高质量发展。


(国家工业信息安全发展研究中心  李文婷  杨晓伟  段金典)

业务咨询:段老师  010-88683671关注我们欢迎关注工业信息安全产业发展联盟官方微信公众平台,扫描左侧二维码获取更多工业信息安全权威信息和研究成果

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.