一、前言

人工智能技术与基因工程技术、纳米技术并称为21世纪的三大尖端技术，中美为首的世界主要经济体在国家、科研机构、企业等各个层面都投入了大量的资源，人工智能技术已经成为当下各国重点争夺的科技制高点。2022年5月5日，武汉市人民政府发布的《武汉市数字经济发展规划（2022-2026年）》，对人工智能技术的发展也做出了明确的发展规划，“智能网联汽车”、“智能交通”、“智慧城市”等人工智能技术的具体应用场景是规划中的重点内容。

人工智能技术的核心主要包括数据和算法，这意味人工智能技术水平的提高是通过数据和技术“双驱动”，高质量数据越多越智能。例如2017年谷歌公司研发的“阿尔法狗”以3:0的比分击败围棋世界冠军柯洁后，研发人员表示“阿尔法狗”学习了3000万种职业棋手的下法，并在此基础上做出最优的选择。可见，除了谷歌公司的技术水平高超之外，提供了充足的高质量数据是“阿尔法狗”成功的关键。

值得注意的是，随着人工智能技术的不断发展，特别是当人工智能技术进入金融、购物、医疗、导航等日常生活领域之后，其对于数据需求的覆盖广度、深度不断增加，特别是对以个人信息为代表的私密性数据，甚至是关系到国家安全的敏感数据的需求越来越大，由此可能引发的法律和数据合规风险也随之凸显。近年来，《网络安全法》、《数据安全法》、《个人信息保护法》、《网络安全标准实践指南—人工智能伦理安全风险防范指引》、《新一代人工智能伦理规范》等法律和规范相继落地，对人工智能技术发展过程中可能面临的合规问题提出了指引，本文试图以上述法律和规范为基础，简要分析人工智能技术可能引发的合规风险并提供相应的对策。

二、人工智能技术面临的数据合规风险

人工智能技术发展可能面临的合规风险主要有隐私风险和数据保护风险两方面，具体体现在：

1、隐私风险：如前所述，人工智能技术的发展越来越需要数据喂养，这其中很可能包含大量个人信息，使得人工智能技术可能随时入侵私密空间，获取大量隐私信息。例如智能手表、自动驾驶，都需要收集和记录个人的行为、轨迹、偏好、生理信息等，人工智能将可能成为长期监控的工具。此外，电商等行业普遍大面积收集用户个人信息，并应用人工智能技术对用户画像，成为实施名为个性化推荐，实为歧视性定价和大数据杀熟的帮凶。

2、数据保护风险：人工智能在发展的过程中，需要大量的数据样本进行算法练习，如果数据被污染、泄露或者滥用，小则影响输出结果，严重则可能危害人身、财产、社会经济甚至国家安全。值得注意的是，近年出现的“数据投毒”，通过对自动驾驶、智能工厂等对数据实时性要求极高的人工智能应用场景中，添加异常数据或篡改数据，对人工智能核心模块进行定向干扰，将对人身和财产安全产生极大的威胁。此外，由于数据的重要性，各企业展开数据争夺，将有可能产生极大的数据“信息壁垒”，导致缺乏数据的企业铤而走险、违规购买或者收集数据，这也是不可忽视的风险。

三、人工智能技术数据合规建议

数据对人工智能技术的发展至关重要，结合法律法规及实践经验，笔者试图对人工智能技术发展过程中的数据合规问题从数据收集、数据储存、数据使用、数据共享等几个方面提出简要的对策建议，供读者参考。

1、数据收集：首先应遵循用户授权范围收集数据，向信息被收集者充分披露信息收集的内容、范围、用途等信息，征得同意后再收集，并在授权范围内使用。第二，收集生物识别信息时应当于前端收集并使用，后端存储尽量仅保留数据概要或对数据匿名化处理。第三，收集数据时应当遵循最小必要原则，仅在人工智能技术应用所必须的数据范围内进行收集，避免过度甚至是无止境进行数据收集。最后，注重收集数据的质量，避免数据多样性和均衡性不足、质量低，还要注重避免出现数据投毒和被攻击的安全性问题出现。

2、数据储存：人工智能收集数据的储存地点一般分为本地现场存储（前端）、后端数据储存（数据仓库等）、云端数据库等储存系统。在数据储存的过程中，应当注意的合规问题包括：储存期限应当遵循最低储存期原则，合理制定储存期，避免永久储存；应当结合数据的风险级别，对数据进行分级存储；在存储的措施方面应当采取良好的技术保障措施，包括加密存储、物理分隔、访问权限管控等；对敏感信息应当采取匿名化或者去标识化的脱敏措施。

3、数据使用：在数据使用的过程中，重点需要关注和采取措施的包括：内部对于数据的访问和使用需要建立完善的制度，并通过技术手段对访问和使用的情况进行记录，对于调岗离职员工及时调整权限；强化数据使用规范，对数据展示和使用的目的、范围进行必要的限制；关注自动化决策结果导向和对用户的影响，合理设置模型筛选和背后结果的自动运用，避免侵害用户或者他人合法权益。

4、数据共享：在数据传输方面，重点关注分布在云端、本地服务器上同步、异步数据发生高密度数据交换时的安全保障措施，确保数据传输安全，降低泄露风险。在数据共享方面，特别需要关注全部或者部分委托第三方进行数据处理时的安全和合规问题。在数据跨境方面，需要重点注意敏感数据跨境传输的合规问题，例如信息披露的尺度、是否需要额外提示、是否需要申报或者备案，是否需要进行出境合规评估等问题。

四、结语

在当前数字经济高速发展的背景之下，几乎所有的经济活动都与数据相关。由于人工智能技术高度依赖数据的供养，数据合规已经成为人工智能技术之上的达摩克利斯之剑。由于篇幅有限，笔者仅对人工智能技术面临的合规风险及相应对策做了初步的分析，也希望能够抛砖引玉，在引起人工智能技术企业对数据合规工作充分重视的同时，也带动更多的法律同仁对人工智能技术相关法律问题进行探讨和研究，为武汉市乃至中国的数字经济、人工智能技术的发展提供更完善、专业的数据合规服务。

作者介绍

李嵩，北京市京师（武汉）律师事务所企业合规中心秘书长、TMT法律事务部主任，具备工学、管理学、法学复合教育背景，具有律师和专利代理师执业资格。

业务领域：企业合规；知识产权；与互联网与信息技术相关的法律顾问与争议解决。