信息安全技术 基于个人信息的自动化决策安全要求.docx

ICS35.030CCS1.80三B中华人民共和家标准GBTXXXXX-XXXX信息安全技术基于个人信息的自动化决策安全要求Informationsecuritytechno1.ogySecurityrequirementsforAutomateddecisionmakingbasedonpersona1.information（征求意见稿）本稿完成时间：2Q23年8月13日）在提交反便意见时，请将您知道的相关专利连同支持性文件一并附上XXXX-XX-XX发布XXXX-XX-XX实施KJ家市场监督管理总局家标准化管理委员会1楚国本文件规定了个人信息处理者进行自动化决策处理活动时，在数掘处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求，本文件适用于开展自动化决策活动的个人信息处理者规范其个人信息处理和决策活动,也适用于监管部门、第三方评估机构对自动化决策处理活动进行监密、管理、评估时参考.2规楚性引用文件文件。GB<250692010GBT352732020GB.T41479-2022GB<4!3912022信息安全技术伯恩安全技术信息安全技术信息安全技术下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款-我中，注日期的引用文件.仅该11期时应的版本适用于本文件：不注H期的引用文件，其最新版本（包括所有的修改单）适用于本术谙个人信息安全现冠网络数据处理安全规范移动厅.联网应用（APP）收集个人信息域本规范3术语和定义GB.T352732020界定的以及卜列术语和定义适用于本文件.3. 1自动化决策automateddecision-making通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动.来源I中华人民共和国个人信息保妒法，第七十三条第（二）款注，自动化决箪可进一步分解为特征生成和决饿两个环节.3.2计JS机程序computerProgram符合特定编程语言规则的语法单元，由解决特定功能、任务或同题所需的声明和语句或指令组成.3.3法a1.gorithm用于解决问题的有限有序规则集。3.4特征生成通过计算机程序自动处理个人信息，经过个人特征提取、特征选择、特征计算、特征输出等步骤，牛.成开展针对个人决策所需的输入信息的过程。3.5决策decision-making以生成的个人特征信息为输入，作出针对个人将采取具体行动的决定.注：H体行动包括做不取于雇佣或班聘特定个人、授予特定个人贷款,针对个人开展特定的信息推送和商业者精、针射照务提供报价等傥城对个人人身财产状态，行为'意识等产生影峋的动作.3.6对个人权益有更大影响的决定decisionwithsignificantimpactonindividua1.'srightsandinterests对个人法定权益的实现造成法律影响以及对个人其他权益造成类似显著影响的决定.注1.也响可以是正向的也可以是负向的，注2,法律影响包括但不限h被改予享有成被副存室有种法律上的特定权i,细了女忧养或用产权益：被恭夺成架制行动自由：拒绝进入边境或特定区域：破行美执法机构强刖增加安全或Ii管指施等.注3：类似显著影响包括但不限于：对个人不合理的排斥或歧视行为、对个人可能产生长期或永久影响的决策行为、以及我也对个人的处境、行为或选拜产生普遍认知方面的曲大影响.3.7个人特征信息individua1.characteristics个人偏好以及个人职业、羟济、健康、教育、信用情况等可以对特定自然人形望加以描绘，弁分析、预测个人行为的信息类型.3.8不合理的差别待遇UnreaSOnabICdifferentia1.treatment通过收集、分析作为交易相时方的用户的交易信息、浏览内容及次数、交易时使用的终端设i品牌及价值等情况，对交易条件相同的交易相对方不合理地提供不同交易条件的行为.3.9个人信息保护影响评估persona1.informationprotectionirpactassessment针对个人信息处理活动，检舲其合法合规程度，判断其时个人信息主体合法权哉造成损击的各种风险.以及评估用于保护个人信息主体的各项措施有效性的过程.4缩略语下列缩略语适用于本文件。App：移动?联网放用程序(mobi1.einternetapp1.icaion>5概述5.1 自动化决策行为的环节自动化决策行为可以分为两个环节：特征生成和决策，如图1所示。特征生成是为实现特定业务日的，选定和收集特定的个人信息,并通过计算机程序自动分析、评伯、预测特定个人的行为习惯、兴趣爱好等个人特征,以及作为决策输入用于针对个人的具体决策之中。一般来说，特征生成的过程包括特征提取、特征选择、特征计算、特征输出等步骤,特征提取是指从原始的个人信息中提取出有价值信息的过程。特征选择是指从提取的特征中选择就特定业务目的来说最有用的特征的过程.它的目的是降低维度,减少计算fft,并避免过拟合.特征计尊是指基干选择的特征计算新的特征或修改现。特征的过程.特征检出是指将处理好的特征信恩作为怆入，以支持针对个人的决策作出，汨益于日前大数据和人工智能技术的发展，上述步骤主要由计算机程序自动开展，无篙人工参与.决策是在特征生成环节所提供的个人特征信息的参与下,对个人采取具体行动,决策活动可以由不同程度的人r参与，例如特征生成环节所提供的个人特征信息是人工决策的唯一依据，或者特征生成环节所提供的信息仅仅是人工决策所依赖的依据之一.袂策活动也可以无需人工参与，完全由计眸机程序作出具体决定.图1自动化决策流生5.2 自动化决策使用的计算机程序和算法我国现行法律法规时自动化决策的界定中强调“时个人的行为习惯、兴趣爱好或者经济、健康、信用状况等”的“分析、评估”应是通过计算机程序自动完成.意在突出个人信息处理者为了实现特定的目的而事先自行开发并部署（或使用第三方开发的）特定的计究机程序,例如为了完成精准广告投放，个人信息处理者有意识抱通过在网站或APP页面上“埋点”收集个人的点击或捌览等行为信息，并通过预设的特征模型计算出特定个人的特征信息.除了特征生成小计算扒程序完成之外.决策也可以田计算机程序辅助人工完成.或完全由计算机程序根据特征生成形成的个人特征信息而作出.计算机程序是具体的指令序列，而算法是对计算机上执行的指令序列背后的计算过程的具体描述，因此完成特征生成的或用于决策的律法，在很大程度上决定了自动化决策过程的透明性和自动化决策结果的公平公正性等.5.3 自动化决策活动处理信息的范困自动化决策活动所处理的个人信息包括：1）个人主动提供的个人信刖：2）个人信息处理者自动收集的个人信息：3个人信息处理者从第三方获得的个人信息；4以前述三类个人信息为处理对默,势由计算机程序分析形成的衍生信息（如与个人相关的标签、参数等.5.4 自动化决策活动的安全风哙自动化决策活动的安全风险包括但不限于：a）为开展特征生成，个人信息处理者违法违规或过度收集用户个人信息、未充分告知处理目的；b在特征生成过程中.个人信息处理者在不具备合法性基础前提卜（如超出用户明确授权范国）对个人信息过度分析或佗掘.设犯用户院私或造成用户焦虑恐慌：C）对计算机程序开展特征生成背后的算法逻辑或模里等，无法解释或解择不清：d）特征生成所褥出的个人特征与客观情况不符，或不准确；e）特征生成所得出的个人特征包含浮秽、色情、贴博、迷信、恐怖、暴力等内容，或表达对民族、种族、宗教、残疾、疾病等歧视的内容O未经台透的评估，完全根据特征生成所提供的信息而对个人开展决策；g）未根据自动化决策造成个人合法权益影响的程度，适当地设置人工介入、干预、修正决策结果的机制：h）未向个人披露开展自动化决?S的具体方式或范围，损害个人的知情权、选择权、拒绝权等.i）在开展自动化决策之前，未开展IJ，前评估而造成不公平或不公正的决策结果，或决鬣结果时个人权益影响过大且无法修正。5.5 自动化决策活动的总体安全策略针对5.5提出的白动化决策活动的安全风哙，开展自动化决策活动的个人信息处理者应根据图1所示的自动化决策流程中的各个环节，实施相应的安全控制指施.，注i根一图I所示的自动化决策波程中的各个环节,木标准8、9.】Mi提出了相应的安全要求.6基本安全原则个人信息处理者应基于以下原则开展自动化决策处理活动：a）合法正当原则一一应符合相关法律法规规定，不应以欺诈、诱照、误导的方式进行处理：注：开收自动化决策处理活动的介法性基时Q拈充分含知.取Iy同意或为订立/艘行个人加为，1M人的合同所必需或展行法定职费或法定义务所必需笠：b）公开透明原则一陶以明确.易怖和合理的方式向用户公开自动化决策处理活动的方式、范围、逻辑、目的、规则等：0公平公正原则应遵循维护社会公平、道使伦理的精神进行处理活动，自动化决策的结果应公平、公正，不应造成不合理的差别待遇；d）主体参与原则一应向用户提供关于自动化决策的选择、解择'拒绝、投诉等方法.0确保数据质量腺则自动化决策应当保证所处理的个人信息的质Ik避免因个人信息不准确、不完整时个人权益造成不利影响。7基本安全要求个人信息处理者应湎足以下基本要求；a自动化决策相关的数据处理活动应符合GBrT414792022要求：b）自动化决策相关的个人信息处理活动应符合GBJT352732020要求.如系通过APP开展自动化决策处理行为，还应符合GB，T413912022要求：8自动化决策算法的安全要求8.1 一般性要求自动化决策算法，包括特征生成中所使用的算法，以及决饿中所使用的算法,均应符合本章的要求,如果使用的是机器学习算法，还应满足信息安全技术机涔学习算法安全评估规范的要求。8.2 算法影响评估个人信息处理者或算法开发方在自动化决第算法开发照应：a）明确自动化决策算法所用于的目的或场景,包括但不限于：D使用自算法的产品或眼芬所M的行业或敕域,以及其所满足的具体用户需求2）使用徵法的产品或限务与对象人群的互动方式：3）算法所适用的对象人群的基本情况和一般期待.b）明确百动化决策算法就所用于的目的或场景来说所支持的具体任务.例如计算价格.信息内容推荐等：C）开展自动化决策算法影响评估.评估内容包括但不限于：1） 期的自动化决策算法的行为表现及相应的效率或收益的提升：2）明确非预期或倍误的自动化决策算法的行为表现及相应的成本：3）根据预期的自动化决策算法的使用情况、过去在类似情况下对自动化决策算法的使用、事件报告或其他数据，了解门动化决策除法可能产生负面影响的风险，特别是对个人权靛的影响.d）在自动化决策算法可能对个人权益造成型大影响时,通过独立第三方或组建专家委员会开展自动化决策算法影响评估：e）根据自动化袂策算法影响评估的结果，明确与算法支持的具体任务相适配的算法安全目标，包括但不限干算法安全的技术特征要求、送辑特征要求、人工介入、训练和测试数据要求.8.3 算法安全的技术原剜个人信息处理者或算法开发方应根据兑法影响评估结果，曲保用于自动化决策算法具备符合其所支持的具体任务所需的：a）准确度,即算法能正确捕捉训练数据中存在的相关或因果关系：b）可靠性，即算法能在可接受的统计误差能围内持续产生相同的结果：c）棺健性，即算法对不可控因素