保障數據信息安全，企業角色不可缺位

郭艷 袁媛

到2021年底，我國已經形成了《網絡安全法》《數據安全法》《個人信息保護法》為主體的“三駕馬車”立法架構，網絡空間治理法律體系初具雛形，《互聯網信息服務算法推薦管理規定》《網絡安全審查辦法》陸續公布，配套法律法規正逐步建立。“企業”一詞作為主角頻繁出現。事實上，數據信息安全保障領域中的各項推進工作都無不指向一個焦點——企業角色不可缺位。

個人信息處理者：保障個人信息安全，盡好守門人義務

2021年11月1日，《個人信息保護法》正式實施，公民個人信息安全正式受法律保障。對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可提到，《個人信息保護法》在回應公民重要關切、實現個人知情權、決定權、限制處理權等個人信息權利可感可知的同時，也明確了企業作為個人信息處理者的合規義務。

不久前舉行的2022數據治理熱點問題研討會上，許可強調，收集個人信息的企業應當制定明確的個人信息保護政策，真實、完整地向用戶告知企業的基本情況、個人信息收集、使用目的、范圍及場景、個人信息處理方式及規則、對外共享披露情形、個人信息主體權利保障機制、投訴處理渠道等。值得注意的是，收集個人敏感信息的企業，應當取得用戶的單獨同意，而不能采取過去的打包式同意。

針對公開信息的處理，企業也不能輕視。《個人信息保護法》第27條規定，個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。

許可同時提到，企業在利用個人信息進行自動化決策時，應當保證決策的透明度和結果公平、公正，不得對個人在交易條件上實行如地域、性別、會員、服務頻次、支付能力等不合理的差別待遇。如大數據“殺熟”的問題，在購物平臺上交易價格的一致定價和不一致的優惠券是否構成服務頻次的差別待遇問題是值得討論的。此外，企業通過自動化決策方式向個人進行信息推送、商業營銷時，應當同時提供不針對其個人特征的選項或者便捷的拒絕方式；通過自動化決策方式作出對個人權益有重大影響的決定時，個人有權要求個人信息處理者予以說明，并有權拒絕企業僅僅通過自動化決策的方式作出決定。

算法推薦服務者：防范算法社會風險，承擔主體責任

算法和算法推薦曾一度是平臺企業的“賣點”所在，應用生成合成類、個性化推送類、排序精選類、檢索過濾類、調度決策類等算法技術向用戶提供信息內容。然而企業對算法技術的泛濫運用卻帶來了許多問題和風險：新聞領域的信息繭房、回音壁；內容生成領域的投喂式、成癮式設計；用戶沉迷、過度消費……1月4日，國家網信辦等四部門發布了《互聯網信息服務算法推薦管理規定》（以下簡稱《規定》），對上述風險問題一一回應，規定了企業平臺作為算法推薦服務者的責任義務。

清華大學公共管理學院教授、人工智能國際治理研究院副院長梁正表示，針對低俗風險內容審查，企業應當主動承擔主體責任，建立內部專業團隊。落實算法安全主體責任，建立健全算法機制機理審核、科技倫理審查、用戶注冊、信息發布審核、反電信網絡詐騙、安全評估檢測等管理制度和技術措施，制定并公開算法推薦服務相關規則。總的來說需要做到算法審核、倫理審查、安全檢測。

梁正談到，對于用戶沉迷、過度消費等負面影響，作為算法推薦服務者，企業也應當基于法律和倫理的標準開展定期審核、評估，對算法的模型、數據和結果進行驗證，不得設置誘導用戶沉迷、過度消費等違反法律法規、倫理道德的算法模型。換言之，企業要做到堅持社會主義價值觀導向，促進算法應用向上向善，積極傳播正能量。

梁正同時認為，在內容生成領域，企業應當加強算法推薦服務版面頁面生態管理，建立人工干預和用戶自主選擇機制，在首頁首屏、熱搜、精選、榜單類、彈窗等重點環節積極呈現符合主流價值導向的信息。也就是避免將內容生態完全交由算法處理，而應增強人工干預，將選擇權交給用戶。這對于減輕信息繭房、回音壁的負面影響有著重要的積極作用。

另外，《規定》還突出體現了人本主義，對用戶權益保護進行專章規定，要求企業告知用戶算法的基本原理、目的意圖和主要運行機制，以此提高算法的透明度。同時重視對弱勢群體的權益保護，強調企業應該向未成年人、老年人和配送服務勞動者履行特殊的算法義務。

關鍵信息基礎設施、網絡平臺運營者：維護國家網絡安全，采取適當合規措施

網絡安全與國家安全休戚相關，經濟社會的穩定運行和廣大人民群眾的利益保障都離不開網絡安全。當今國際形勢風云變幻，世界進入百年未有之大變局，我國網絡空間面臨的風險挑戰劇增。

2020年4月，國家互聯網信息辦公室正式印發《網絡安全審查辦法》（以下簡稱《辦法》），僅一年半后便發布修訂稿，正是為了應對一年以來的形勢變化，進一步增強對網絡空間重大風險挑戰的防范能力。北京市中倫律師事務所合伙人陳際紅指出，作為涉及金融、交通等關鍵信息基礎設施的運營者，如網站經營管理者，或者通過移動APP提供服務的運營者以及因業務特征掌握大量個人信息或者數據的科技、醫療健康領域經營者等企業所運營的基礎設施一旦遭到攻擊，將嚴重危害國家安全、個人信息安全，因此相關企業應根據《辦法》采取適當合規措施，履行相應義務。

對于采購網絡產品和服務的關鍵信息基礎設施運營者，《辦法》規定相關企業應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查；為了預防風險，當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。

陳際紅點明，這些要求為關鍵信息基礎設施運營者建立了采購及使用網絡產品和服務引入安全風險的預判及審查機制，有利于相關企業進一步強化網絡安全和數據安全意識，引導其將風險保障工作關口前移，防范網絡產品及服務供應鏈中引入安全漏洞、惡意后門，從源頭消解安全風險，為關鍵信息基礎設施防范供應鏈安全和數據安全風險提供保障。

此外，《辦法》中對網絡平臺運營者的數據處理活動作出了明確規定，要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。陳際紅表示，如果借助互聯網平臺掌握了大量我國基礎資源數據、公民個人數據及行為數據的企業平臺在開展國外上市融資過程中，針對國外金融監管要求，將大量可能帶來國家安全風險的數據提供出國，將會成為國家的重大隱患、企業的巨大風險。同時，對于這類赴國外上市企業網絡安全審查申報的時間節點，網信辦有關負責人明確要求企業需在向國外證券監管機構提出上市申請之前提出申報。00DF6191-6E82-4751-BB7C-5D75539E6FF9