國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 基于個(gè)人信息的自動(dòng)化決策安全要求》（征求意見稿）編制說明

一、工作簡(jiǎn)況1.1任務(wù)來源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2023年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全技術(shù)基于個(gè)人信息的自動(dòng)化決策安全要求》由北京理工大學(xué)負(fù)責(zé)承辦，計(jì)劃號(hào)：20230253-T-469。該標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。1.2制定背景2021年8月，我國(guó)《個(gè)人信息保護(hù)法》正式頒布，并于2021年11月正式實(shí)施。其中，第二十四條有關(guān)“自動(dòng)化決策”條款備受關(guān)注。2022年3月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《關(guān)于發(fā)布2022年度網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)需求的通知》，將本標(biāo)準(zhǔn)納入2022年網(wǎng)絡(luò)安全國(guó)家安全標(biāo)準(zhǔn)需求項(xiàng)目。2022年10月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《關(guān)于2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》，明確本標(biāo)準(zhǔn)由北京理工作為項(xiàng)目牽頭單位負(fù)責(zé)標(biāo)準(zhǔn)編制工作。1.3起草過程1、2022年2月，北京理工大學(xué)牽頭組建標(biāo)準(zhǔn)前期研究工作小組，小組對(duì)基于個(gè)人信息的自動(dòng)化決策要求有關(guān)的國(guó)內(nèi)外法律法規(guī)、標(biāo)準(zhǔn)等進(jìn)行詳細(xì)調(diào)研，形成相應(yīng)標(biāo)準(zhǔn)草案，并準(zhǔn)備申報(bào)材料。2、2022年4月，北京理工大學(xué)編制組在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)進(jìn)行標(biāo)準(zhǔn)申報(bào)匯報(bào)。3、2022年10月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《關(guān)于2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》，同意本標(biāo)準(zhǔn)由北京理工大學(xué)作為項(xiàng)目牽頭單位負(fù)責(zé)標(biāo)準(zhǔn)編制工作。4、2022年11月-12月，北京理工大學(xué)對(duì)外公開征集標(biāo)準(zhǔn)參編單位，正式成立標(biāo)準(zhǔn)編制組，召開第一次工作組組內(nèi)會(huì)議，并就標(biāo)準(zhǔn)草案內(nèi)容向標(biāo)準(zhǔn)編制組內(nèi)部征求意見，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行更新完善。5、2022年12月，標(biāo)準(zhǔn)編制組在2022年標(biāo)準(zhǔn)周大數(shù)據(jù)工作組上進(jìn)行匯報(bào)，通過組內(nèi)成員單位投票。標(biāo)準(zhǔn)編制組根據(jù)意見進(jìn)行認(rèn)真修改后形成征求意見稿。6、2023年4月，召開編制組會(huì)議，就標(biāo)準(zhǔn)內(nèi)容和文本進(jìn)行研討、完善。8、2023年6月，標(biāo)準(zhǔn)編制組在2023年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)標(biāo)準(zhǔn)周大數(shù)據(jù)工作組進(jìn)行匯報(bào)。根據(jù)意見進(jìn)行認(rèn)真修改。9、2023年7月，參加征求意見稿專家審查會(huì)，經(jīng)評(píng)審專家投票一致通過，同意該標(biāo)準(zhǔn)面向社會(huì)發(fā)起公開征求意見。二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)2.1標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)的編制遵循以下原則：(1)先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)前《個(gè)人信息保護(hù)法》等最新法律要求以及個(gè)人信息保護(hù)的先進(jìn)技術(shù)水平；(2)開放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開放性；(3)適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國(guó)國(guó)情；(4)簡(jiǎn)明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；(6)一致性：術(shù)語與國(guó)內(nèi)外標(biāo)準(zhǔn)所用術(shù)語最大程度保持一致。本標(biāo)準(zhǔn)通過“數(shù)據(jù)安全”和“服務(wù)安全”兩個(gè)維度，對(duì)個(gè)人信息處理者自動(dòng)化決策活動(dòng)開展過程中涉及的數(shù)據(jù)處理環(huán)節(jié)安全保護(hù)要求作出明確規(guī)范，同時(shí)對(duì)自動(dòng)化決策在實(shí)踐應(yīng)用層面如何充分保障用戶權(quán)利、避免侵害用戶權(quán)利作出指導(dǎo)，以實(shí)現(xiàn)明確個(gè)人信息處理者在進(jìn)行自動(dòng)化決策及相關(guān)應(yīng)用的典型場(chǎng)景中數(shù)據(jù)安全和個(gè)人信息保護(hù)義務(wù)要求的整體目的。2.2主要內(nèi)容及其確定依據(jù)本項(xiàng)目旨在于支撐《個(gè)人信息保護(hù)法》第二十四條對(duì)利用個(gè)人信息進(jìn)行自動(dòng)化決策的要求的落地實(shí)施，試圖明確個(gè)人信息處理者在進(jìn)行自動(dòng)化決策及相關(guān)應(yīng)用的典型場(chǎng)景中數(shù)據(jù)安全和個(gè)人信息保護(hù)義務(wù)要求，并解決自動(dòng)化決策開展過程中存在的不透明性、決策責(zé)任人缺失導(dǎo)致結(jié)果準(zhǔn)確性不足、對(duì)個(gè)人權(quán)益造成顯著影響等問題。三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益、生態(tài)效益3.1試驗(yàn)驗(yàn)證的分析、綜述報(bào)告標(biāo)準(zhǔn)在編制過程中，參與標(biāo)準(zhǔn)編制的各單位積極使用標(biāo)準(zhǔn)進(jìn)行了試驗(yàn)應(yīng)用，標(biāo)準(zhǔn)適用的對(duì)象為受《個(gè)人信息保護(hù)法》管轄的個(gè)人信息處理者。具體來說，個(gè)人信息處理者“通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策”時(shí)，應(yīng)遵守本標(biāo)準(zhǔn)中提出的安全要求。在試驗(yàn)驗(yàn)證本標(biāo)準(zhǔn)時(shí)，個(gè)人信息處理者將本標(biāo)準(zhǔn)的要求分項(xiàng)落實(shí)到合規(guī)、法務(wù)、業(yè)務(wù)等部門之中，并最終由法務(wù)部門來評(píng)估對(duì)個(gè)人合法權(quán)益造成損害風(fēng)險(xiǎn)的大小。根據(jù)風(fēng)險(xiǎn)大小，法務(wù)部門聯(lián)合技術(shù)部門做出了關(guān)于特定產(chǎn)品、服務(wù)、功能等上線與否或做出何種修改的決定。在試驗(yàn)應(yīng)用過程中對(duì)自動(dòng)化決策安全要求的落地實(shí)踐方式進(jìn)行探索，最后將實(shí)施經(jīng)驗(yàn)轉(zhuǎn)化為標(biāo)準(zhǔn)的具體內(nèi)容，以增加標(biāo)準(zhǔn)的實(shí)用性。3.2技術(shù)經(jīng)濟(jì)論證雖然落實(shí)本標(biāo)準(zhǔn)提出的安全要求，在短期內(nèi)給個(gè)人信息處理者增加了經(jīng)濟(jì)成本，包括但不限于：新增合規(guī)人員的成本、調(diào)整算法模型和計(jì)算機(jī)程序開發(fā)過程的成本、安全風(fēng)險(xiǎn)自評(píng)估的成本等，但這些安全要求能夠有效地增加具有自動(dòng)化決策功能的新產(chǎn)品、新應(yīng)用、新業(yè)務(wù)在個(gè)人信息主體、服務(wù)群體整體以及公眾輿論方面的接受度乃至認(rèn)可度，降低個(gè)人信息處理者處理糾紛、爭(zhēng)議等方面的成本?？偟膩碚f，該技術(shù)標(biāo)準(zhǔn)給企業(yè)帶來正面的經(jīng)濟(jì)效應(yīng)。3.3預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益該標(biāo)準(zhǔn)的社會(huì)效益在于保護(hù)具有自動(dòng)化決策功能的新產(chǎn)品、新應(yīng)用、新業(yè)務(wù)所服務(wù)的個(gè)人、群體的合法權(quán)益，確保各個(gè)個(gè)人信息處理者拉齊合規(guī)基線，并在此基礎(chǔ)上促進(jìn)商業(yè)方面的良性競(jìng)爭(zhēng)。該標(biāo)準(zhǔn)不涉及生態(tài)效益。與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況目前基于個(gè)人信息的自動(dòng)化決策安全要求不存在對(duì)應(yīng)的國(guó)際標(biāo)準(zhǔn)，也未見其他國(guó)家制定了對(duì)應(yīng)的技術(shù)標(biāo)準(zhǔn)。以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國(guó)際國(guó)外標(biāo)準(zhǔn)，并說明未采用國(guó)際標(biāo)準(zhǔn)的原因當(dāng)前，國(guó)際標(biāo)準(zhǔn)并沒有對(duì)基于個(gè)人信息的自動(dòng)化決策安全要求開展標(biāo)準(zhǔn)化工作，其他國(guó)家也沒有制定對(duì)應(yīng)的技術(shù)標(biāo)準(zhǔn)，因此本標(biāo)準(zhǔn)制定工作中沒有采用國(guó)際標(biāo)準(zhǔn)或國(guó)外標(biāo)準(zhǔn)。與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)不存在沖突與矛盾。本標(biāo)準(zhǔn)為《個(gè)人信息保護(hù)法》等法律法規(guī)的落地實(shí)施提供支撐，建議與國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）等配套使用。重大分歧意見的處理經(jīng)過和依據(jù)無。涉及專利的有關(guān)說明無。實(shí)施國(guó)家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過渡期和實(shí)施日期的建議等措施建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。同時(shí)建議個(gè)人信息處理者建立專門的合規(guī)工作組，根據(jù)本標(biāo)準(zhǔn)的要求制定相應(yīng)的內(nèi)部規(guī)范作為合規(guī)基線。在上線具有自動(dòng)化決策的新功能或新應(yīng)用前，基于合規(guī)基線開展內(nèi)部的安全風(fēng)險(xiǎn)自評(píng)估。在具有自動(dòng)化決策功能的新產(chǎn)品、新應(yīng)用、新業(yè)務(wù)上線后，每一年開展一次安全風(fēng)險(xiǎn)自評(píng)估。建議本標(biāo)準(zhǔn)在正式發(fā)布后的六個(gè)月后開始實(shí)施。其他應(yīng)當(dāng)說明的事項(xiàng)無。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)基于個(gè)人信息的