【發行人概述】
北京格靈深瞳資訊科技股份有限公司(以下簡稱“格靈深瞳”或“發行人”)於2021年11月9日透過科創板上市委審議。格靈深瞳是一家提供面向城市管理、智慧金融、商業零售、體育健康、軌交運維等領域的人工智慧產品及解決方案的企業。
【反饋回覆】
關於科技倫理和資料安全。招股說明書披露,公司主要從事計算機視覺技術和大資料分析技術的研發和應用。請發行人披露:(1)公司在保證人工智慧技術可控、符合倫理規範的措施和規劃;(2)公司訓練資料的獲取方式及其合規性,發行人是否存在超出相關授權許可主體許可使用範圍、期限使用資料的情形;公司業務中“技術服務”的具體內容,提供技術服務過程中是否存在違規獲取或處理相關資料,侵犯個人隱私或其他合法權益的情形;(3)結合上述情形及國家關於資料安全、個人隱私方面的立法規定,充分披露相關政策對發行人經營發展的影響、業務開展過程中可能存在的風險,並進行重大事項提示。請保薦機構、發行人律師對上述事項進行核查,並發表明確意見。
回覆:
一、公司在保證人工智慧技術可控、符合倫理規範的措施和規劃;
發行人在人工智慧技術可控、符合倫理規範方面,主要從組織架構、內部制度、技術手段、人員管控、倫理審查等方面採取了具體措施和規劃,情況如下:
1、組織架構
2、內部制度
3、技術手段
4、人員管控
5、倫理審查
在技術研發到產品落地的產品生命週期中,公司均履行了相應的科技倫理審查程式,具體如下:
(1)專案立項階段,充分論證應用場景對人和社會的影響,例如是否符合社會主義核心價值觀、是否尊重個人隱私、是否有利社會發展、是否充分保證技術可控、資料安全等;
(2)產品設計階段,貫徹以人為本,圍繞人的安全、分工、互動等進行設計,充分考慮人工智慧系統的不足與優勢,發揮使用者的主觀能力,堅持系統由人主導、靠人決策的原則;
(3)產品技術開發階段,嚴格保護資料與隱私安全,關注演算法訓練過程中資料分佈可能帶來的歧視,杜絕由於演算法安全原因可能帶來的可靠性風險;
(4)產品方案交付階段, 充分保護使用者數字資產與個人隱私,堅持演算法與資料的高透明與可解釋性的原則,與使用者進行積極的互動,推動在實際使用中的風險問題的快速解決與高速迭代。
發行人已取得符合“GB/T22080-2016/ISO/IEC27001:2013” 標準的《資訊保安管理體系認證證書》、符合“ISO/IEC20000-1:2018” 標準的《資訊科技服務管理體系認證證書》、符合“GB/T24001-2016/ISO14001:2015” 標準的《環境管理體系認證證書》,符合安全可控的資料資訊管理原則。
6、保證人工智慧技術可控、符合倫理規範的規劃
綜上,發行人從組織架構、內部制度、技術手段和人員管控等方面採取了有效措施並制定了相應規劃,以保證人工智慧技術可控、符合倫理規範。
二、公司訓練資料的獲取方式及其合規性,發行人是否存在超出相關授權許可主體許可使用範圍、期限使用資料的情形;公司業務中“技術服務”的具體內容,提供技術服務過程中是否存在違規獲取或處理相關資料,侵犯個人隱私或其他合法權益的情形
發行人訓練資料主要來源於公開資料集、專業資料供應商或經員工授權同意的前提下向員工採集的資料,上述資料獲取、使用及其合規性情況具體如下:
1、透過公開資料集獲取資料
公開資料集是指網際網路已公開發布的資料集,主要由第三方學術研究機構或企業自行製作並公開發布,旨在支援學術界及業界演算法模型的開發和訓練,如 MS COCO、IMAGENET 等網際網路公開資料集。其中,MS COCO 系微軟公司開發維護的影象資料庫,IMAGENET 系斯坦福大學、普林斯頓大學等開發維護的影象資料庫,根據其公開披露的資訊,該等資料庫的資料來源為網路公開資訊,公眾可透過網際網路下載使用,且僅用於學術研究和研發等非商業用途。
發行人透過網際網路公開渠道下載取得該等資料集,且僅用於內部研發和演算法最佳化。公司的同行業可比公司例如曠視科技、雲從科技等的訓練資料均存在來源於公開資料集的情況,且公開資料集也曾用於世界計算機視覺領域競賽以評判訓練模型的先進性,公司使用公開資料集進行資料訓練符合行業慣例。
2、透過資料供應商獲取資料
發行人與資料供應商簽訂的採購合同均要求資料供應商承諾其提供的資料已取得使用者完整、合法的授權,不存在違反法律法規、侵害使用者或第三方合法權益的情形,如違反上述承諾,供應商應承擔相應法律責任並賠償因此給公司造成的全部損失;合同約定發行人獲取資料授權主要用於內部研發、演算法訓練等,不得用於銷售、傳播、買賣等其他商業用途,不得使用或向任何第三方透露被採集人的隱私資訊或侵犯其合法權益,未約定授權期限。 在資料使用環節,發行人按照與資料供應商簽訂的業務合同中約定的範圍使用相關資料,不存在超出約定限制使用資料的情形。
3、經個人授權同意獲取資料
公司從發行人部分員工處取得相關資料,取得了個人資訊主體的明確授權,授權許可約定了授權資訊的範圍、資訊使用用途、授權期限等內容。公司嚴格按照授權許可約定的範圍使用資料,不存在超出約定限制使用資料的情形。
公司獲取相關訓練資料後均按照公司統一的網路與資料安全要求,從組織架構、內部制度、技術手段和人員管控等方面進行管理。 綜上,發行人訓練資料的獲取符合相關法律法規的規定,不存在超出相關授權許可主體許可使用範圍、期限使用資料的情形。
(三)公司業務中“技術服務”的具體內容,提供技術服務過程中是否存在違規獲取或處理相關資料,侵犯個人隱私或其他合法權益的情形
公司的產品及解決方案交付完成後,部分客戶自行使用產品進行資料的收集、儲存和管理,資料儲存於客戶的內網中,發行人在內的其他主體無權亦無途徑獲取上述資料,客戶亦不會向發行人提供資料。 部分客戶透過 API 介面將資料傳輸至公有云,再使用公司的產品進行線上資料分析,對於該類業務,客戶基於公有云上儲存的資料自行使用公司的產品查閱資料分析結果,公司僅進行系統後臺維護,並不直接接觸該等資料,且公司在合同中與客戶約定,資料所有權為客戶,公司承擔相應保密義務。
此外,發行人已逐步透過合同條款約定、宣告告知等方式,要求客戶確認資料來源合法且獲得了資料主體的授權同意。 公司根據相關法律法規的規定及業務合同的約定,為客戶提供產品、解決方案及公有云資源,客戶自行使用公司產品進行資料的收集、 儲存和管理,公司業務開展過程中不存在違反相關合同約定或相關法律法規的情況。
綜上,發行人訓練資料的獲取方式具備合規性,不存在超出相關授權許可主體許可使用範圍、期限使用資料的情形,發行人在各業務領域下提供產品及解決方案的過程中,不存在違規獲取或處理相關資料,侵犯個人隱私或其他合法權益的情形。”
三、結合上述情形及國家關於資料安全、個人隱私方面的立法規定,充分披露相關政策對發行人經營發展的影響、業務開展過程中可能存在的風險,並進行重大事項提示
我國近年來關於資料安全、個人隱私方面已生效的主要法律法規及行業規範具體如下:
發行人已在招股說明書補充披露相關政策對發行人經營發展的影響、發行人業務開展過程中可能存在的風險,具體如下:
“在資料安全方面,《網路安全法》《民法典》《個人資訊保安規範》《個人資訊保護法》等已生效的法律法規及行業規範規定了個人資訊收集使用的基本原則、個人資訊控制者的合規義務以及個人資訊主體的權利保護等內容。在科技倫理方面,《關於加強科技倫理治理的指導意見(徵求意見稿)》對加強科技倫理治理、防範倫理風險提出了指導性意見,國內外關於人工智慧倫理的探討及研究不斷推出,社會公眾對於人工智慧的倫理道德問題日趨重視。
報告期內,公司人工智慧產品及解決方案的收入規模快速增長,下游市場客戶的規模及需求不斷增加,在上述政策背景下,保障資料安全合規及規範科技倫理審查對公司未來業務可持續發展愈發重要。如果發行人在資料獲取或處理的過程中未遵照相關法律法規的規定或業務合同的約定,或者公司關於資料安全及倫理稽核的相關內控制度未能有效執行,或者公司的客戶在使用公司產品時侵害了個人資訊主體的利益或觸及人工智慧科技倫理問題,則可能發生個人資訊主體提出相關訴訟或仲裁,或發行人受到有關部門的行政處罰,或因倫理道德問題引發社會關注及輿情討論,進而對發行人的業務開展、市場拓展、品牌形象等造成不利影響。”
【律證分析】
格靈深瞳的案例中,發行人主要從事計算機視覺技術和大資料分析技術的研發和應用,自然會涉及到資料蒐集和使用問題,稽核機構關注了科技倫理和資料安全問題,要求充分披露相關政策對發行人經營發展的影響,並對業務開展過程中可能存在的風險進行提示。
今年接連頒佈的《資料安全法》和《個人資訊保護法》,對於我國資料安全、大資料隱私方面的問題進行了立法完善。
發行人解釋其在技術研發到產品落地的產品生命週期中,均履行了相應的科技倫理審查程式,從組織架構、內部制度、技術手段和人員管控等方面採取了有效措施並制定了相應規劃,以保證人工智慧技術可控、符合倫理規範。且發行人訓練資料的獲取方式具備合規性,不存在超出相關授權許可主體許可使用範圍、期限使用資料的情形,發行人在各業務領域下提供產品及解決方案的過程中,不存在違規獲取或處理相關資料,侵犯個人隱私或其他合法權益的情形。同時披露了如果發行人關於資料安全及倫理稽核的相關內控制度未能有效執行,或者發行人的客戶在使用發行人產品時侵害了個人資訊主體的利益或觸及人工智慧科技倫理問題,則可能發生訴訟、仲裁、行政處罰風險,進而對發行人的業務開展、市場拓展、品牌形象等造成不利影響。
【參考法規檔案】
《中華人民共和國網路安全法》(2017.06.01生效)
第二十二條 網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設定惡意程式;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知使用者並向有關主管部門報告。
網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
網路產品、服務具有收集使用者資訊功能的,其提供者應當向用戶明示並取得同意;涉及使用者個人資訊的,還應當遵守本法和有關法律、行政法規關於個人資訊保護的規定。
第四十一條 網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與使用者的約定,處理其儲存的個人資訊。
《中華人民共和國資料安全法》(2021.09.01生效)
第二十七條 開展資料處理活動應當依照法律、法規的規定,建立健全全流程資料安全管理制度,組織開展資料安全教育培訓,採取相應的技術措施和其他必要措施,保障資料安全。利用網際網路等資訊網路開展資料處理活動,應當在網路安全等級保護制度的基礎上,履行上述資料安全保護義務。
重要資料的處理者應當明確資料安全負責人和管理機構,落實資料安全保護責任。
第三十三條 從事資料交易中介服務的機構提供服務,應當要求資料提供方說明資料來源,稽核交易雙方的身份,並留存稽核、交易記錄。
《中華人民共和國個人資訊保護法》(2021.11.01生效)
第十三條 符合下列情形之一的,個人資訊處理者方可處理個人資訊:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的範圍內處理個人資訊;
(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人資訊;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人資訊應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
第十四條 基於個人同意處理個人資訊的,該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人資訊應當取得個人單獨同意或者書面同意的,從其規定。
個人資訊的處理目的、處理方式和處理的個人資訊種類發生變更的,應當重新取得個人同意。
《最高人民法院關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》(2021.08.01生效)
第二條 資訊處理者處理人臉資訊有下列情形之一的,人民法院應當認定屬於侵害自然人人格權益的行為:
(一)在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析;
(二)未公開處理人臉資訊的規則或者未明示處理的目的、方式、範圍;
(三)基於個人同意處理人臉資訊的,未徵得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定徵得自然人或者其監護人的書面同意;
(四)違反資訊處理者明示或者雙方約定的處理人臉資訊的目的、方式、範圍等;
(五)未採取應有的技術措施或者其他必要措施確保其收集、儲存的人臉資訊保安,致使人臉資訊洩露、篡改、丟失;
(六)違反法律、行政法規的規定或者雙方的約定,向他人提供人臉資訊;
(七)違背公序良俗處理人臉資訊;
(八)違反合法、正當、必要原則處理人臉資訊的其他情形。
來源:律證實錄微信公眾號