专业研究
企业数据合规体检要点之十:网络信息内容治理等要求
发布时间:
2024-09-05
作者:
陈嘉伟 张功俐
来源:
至融至泽
企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引,本专题总结了企业开展数据合规体检工作的十大要点,希望帮助企业内部人员了解数据合规工作所包含的具体内容,通俗而言,即数据合规工作到底需要做什么以及需要做到什么程度。
本篇系本专题第十篇,前九篇中我们分别分析了企业在开展数据合规工作时需关注的外部监管手续、组织架构、管理制度、安全管理措施、技术措施、线上产品合规、数据全生命周期治理、员工个人信息管理以及合作方管理对应的相关要求。在完成前九项工作的基础上,企业的数据合规治理已处于相对完善的状态。接下来根据企业所处行业以及业务类型等,企业还需关注如网络信息内容治理等其他数据合规相关要求,故本专题第十篇将对数据合规工作中其他常见重点合规项进行分析。其中部分涉及监管手续的合规要求我们已在“外部监管手续”篇中予以分析,本篇中不再赘述。
一、网络信息内容治理
网络信息内容治理是当前监管部门重点关注的领域之一,国家网信办在2019年12月15日发布《网络信息内容生态治理规定》,规定了网络信息内容服务平台的一系列信息内容管理义务。根据该规定,网络信息内容服务平台,是指提供网络信息内容传播服务的网络信息服务提供者,除典型的论坛社区、微博客等网络信息内容服务平台外,当前实操中,涉及提供用户信息发布功能的平台均可能落入“网络信息内容服务平台”的范畴内。网络信息内容服务平台的主要合规要求包括:
1、机制:建立并实施对平台信息内容的审核和管理机制,包括事前审核、事中巡检、事后处置等流程,以防范和抵制传播违法和不良信息,对于平台上的违法和不良信息,做到及时发现并依法处置。
2、人员:设立网络信息内容生态治理负责人,配备与业务范围和服务规模相适应的专业人员,以履行网络信息内容管理具体职责,如内容审核等。
3、制度:建立并执行网络信息内容管理制度。
4、协议文件:在平台上制定并公开管理规则和平台公约,完善用户协议,明确用户相关权利义务。
5、用户权利:设置便捷的投诉举报入口,公布投诉举报方式,及时受理处置公众关于网络信息内容的投诉举报并反馈处理结果。
6、年度报告:每年编制网络信息内容生态治理工作年度报告,年度报告应当包括网络信息内容生态治理工作情况、网络信息内容生态治理负责人履职情况、社会评价情况等内容。
二、互联网用户账号信息管理
国家网信办于2022年6月27日发布《互联网用户账号信息管理规定》,适用于互联网用户在中华人民共和国境内的互联网信息服务提供者注册、使用互联网用户账号信息及其管理工作。互联网用户账号信息,是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息。实操中,平台提供用户账号注册和使用功能,均需要履行该等用户账号信息管理义务,主要包括:
1、机制:对用户注册、使用的账号信息进行审核管理,避免出现违法或不良信息。发现用户注册、使用账号信息违反相关规定的,依法予以处置。
2、人员:配备与服务规模相适应的专业人员,以履行用户账号信息管理职责。
3、制度:建立并执行用户账号信息管理相关制度。
4、协议文件:制定和公开用户账号管理规则、平台公约,与用户签订服务协议,明确账号信息注册、使用和管理相关权利义务。
5、用户权利:设置投诉举报入口,公布投诉举报方式,健全受理、甄别、处置、反馈等机制,明确处理流程和反馈时限,及时处理用户和公众关于账号信息使用、管理的投诉举报。
6、IP地址展示:在用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息,以便公众进行监督。
三、互联网弹窗信息推送服务管理
国家网信办、工信部和市场监督管理总局在2022年9月9日发布了《互联网弹窗信息推送服务管理规定》。根据该规定,互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务。实操中容易产生的误区在于将弹窗信息推送服务限缩理解为仅包括营销信息推送弹窗,但根据前述定义,服务信息、业务信息推送弹窗等均可能落入弹窗信息推送服务范畴内,从而弹窗信息推送服务提供者需遵守该规定项下的合规要求,主要包括:
1、机制:建立弹窗信息筛选审核、编辑、推送等工作流程,加强弹窗信息内容审核,避免推送违法或不良信息。
2、人员:配备与服务规模相适应的审核力量,落实弹窗信息内容管理职责。
3、制度:建立弹窗推送服务管理相关制度,包括弹窗信息推送内容管理规范等。
4、协议文件:以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等。
5、用户权利:设置便捷投诉举报入口,及时处理关于弹窗信息推送服务的公众投诉举报。充分考虑用户体验,科学规划推送频次,不得对普通用户和会员用户进行不合理地差别推送,不得以任何形式干扰或者影响用户关闭弹窗。
6、弹窗标识:弹窗信息应当显著标明弹窗信息推送服务提供者身份;弹窗推送广告信息的,显著标明“广告”和关闭标志,确保弹窗广告一键关闭。
四、互联网信息服务算法推荐管理
国家网信办、工信部、公安部、市场监督管理总局在2021年12月31日发布《互联网信息服务算法推荐管理规定》,对在中华人民共和国境内应用算法推荐技术提供互联网信息服务的行为进行规制。应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。相关算法推荐服务提供者需遵守的主要合规要求包括:
1、机制:建立健全算法机制机理审核、安全评估监测等管理机制,定期审核、评估、验证算法机制机理、模型、数据和应用结果等;建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序;加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则等。
2、人员:配备与算法推荐服务规模相适应的专业人员,以落实算法安全管理主体责任。
3、制度:建立并遵照执行算法安全管理相关制度。
4、用户权利:以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等;向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项;向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能;设置便捷有效的用户申诉和公众投诉、举报入口,明确处理流程和反馈时限,及时受理、处理用户关于算法推荐服务的投诉举报并反馈处理结果。
5、备案信息公示:完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。
五、生成式人工智能服务管理
国家网信办等部门于2023年7月10日发布了《生成式人工智能服务管理暂行办法》,利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务均受该办法规制。此后在2024年2月29日,全国网安标委发布了《生成式人工智能服务安全基本要求》,规定了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施等,也可为生成式人工智能服务提供者履行具体合规要求提供参考。生成式人工智能服务提供者的需履行的主要合规要求包括:
1、协议文件:与注册其服务的生成式人工智能服务使用者签订服务协议,明确双方权利义务。
2、生成内容标识:按照相关规定对图片、视频等生成内容进行标识。
3、信息内容管理:履行网络信息内容安全管理义务,对输入和输出内容依法进行管理,发现违法内容的,及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约进行处置,保存有关记录,并向有关主管部门报告。
4、个人信息保护:履行个人信息保护义务,对使用者的输入信息和使用记录等进行保护,为使用者提供关闭其输入信息用于训练的方式。
5、用户权利:明确并公开服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术;建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。
6、数据标注:进行数据标注的,制定清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训。
六、科技伦理审查管理
科学技术部等部门于2023年9月7日发布了《科技伦理审查办法(试行)》,根据该办法规定,特定科技活动应当进行科技伦理审查,如涉及以人为研究参与者的科技活动,包括以人为测试、调查、观察等研究活动的对象,以及利用人类生物样本、个人信息数据等的科技活动;涉及实验动物的科技活动;不直接涉及人或实验动物,但可能在生命健康、生态环境、公共秩序、可持续发展等方面带来伦理风险挑战的科技活动。开展该等特定科技活动的单位需履行的主要合规义务包括:
1、机构人员:设立科技伦理(审查)委员会,配备必要的工作人员、提供办公场所和经费等条件,履行科技伦理审查职责。
2、科技伦理审查机制:开展科技伦理风险评估,对落入办法规定范围科技活动的,依照规定程序开展科技伦理审查;开展纳入规定清单管理范围内的科技活动,通过科技伦理(审查)委员会的初步审查后,报请所在地方或相关行业主管部门组织开展专家复核。
3、制度:制定并执行科技伦理审查管理相关制度。
4、登记和报告:通过国家科技伦理管理信息登记平台履行相应的登记、报告义务,包括登记科技伦理(审查)委员会的设立情况;登记科技活动的伦理审查与复核情况;提交科技伦理(审查)委员会工作报告、科技活动实施情况报告等。
相关推荐
