본문
基于AI系统的自动化决策对信息主体权利和义务产生的影响将会日益增加。因此,《个人信息保护法》第37条之2关于自动化决策条款的适用与解释变得尤其重要。个人信息保护委员会为了制度的稳定落实以及便于理解,发布了《自动化决策信息主体的权利指南》(以下称“本指南”)。本指南的重要意义在于,(一)对自动化决策提供具体制度指引,帮助企业顺利引入制度;(二)对自动化决策的范围、信息主体的权利行使方法、个人信息处理者的措施等提供实务标准,消除法律的不确定性;(三)提供具体执行方案,帮助确保AI系统透明性和保护信息主体权利两个目标之间的均衡发展。
1.概要
2.指南的主要内容
3.启示
1. 概要
“自动化决策”是指利用人工智能技术等完全自动化系统进行个人信息的处理,从而影响信息主体的权利或义务的决策。针对《个人信息保护法》第37条之2关于“自动化决策”信息主体的权利规定,个人信息保护委员会于2024年9月26日发布了《自动化决策信息主体的权利指南》,本指南结合实务界对2024年5月24日公开征求意见草案提出的现场意见及2024年9月26日实施的公告内容进行了进一步完善,并为制度的稳定落实以及便于理解而制定。
此外,个人信息保护委员会通过2024年3月6日的报道材料,向企业提供了基于自动化决策自主诊断表的判断标准,而本指南除此前判断标准外,还包括多数案例,有望在实务当中能够直接作为主要标准使用。
2. 指南的主要内容
本指南提供了关于自动化决策的多数案例以及保障信息主体权利的具体指南,本指南的主要内容如下。
- 自动化决策的定义和范围
本指南进一步细化了个人信息保护委员会于2024年3月6日制定的自动化决策自主诊断表,明确了“自动化决策”的定义。自动化决策是指基于人工智能技术等完全自动化的系统进行个人信息的处理,影响信息主体的权利或义务的决策。本指南以举例的方式提供自动化决策的具体成立要件,即通过没有人工介入而完全自动化的系统进行实质性的个人信息分析等处理过程,所得最终决策能够影响信息主体的权利或义务,且该最终决策与个人信息的处理结果之间要有实质性的关联性。例如,本指南在成立要件上将完全自动化的AI招聘系统和非完全自动化AI招聘系统进行区分,在AI探知领域,也将单纯执行辅助业务的AI探知系统和自动化决策的AI探知系统进行区分。
- 信息主体的权利保障内容
根据《个人信息保护法》第37条之2,本指南细化了自动化决策信息主体的两个核心权利。首先,若自动化决策对信息主体的权利或义务产生重大影响的,信息主体有权拒绝适用该决策。此时,“重大影响”的标准应结合与生命/身体安全的相关性、权利是否被剥夺、义务负担程度、限制权利或义务的持续时间、恢复可能性等进行综合判断。本指南围绕欺诈行为检测系统(Fraud Detection System,FDS)案例,对是否属于行使拒绝权,提供了判断、措施、拒绝措施时所需考虑的各项要素。其次,针对自动化决策的标准和处理过程,信息主体有权要求就决策的结果、使用的主要个人信息类型、处理过程等进行说明。本指南以AI招聘领域为例,以举例形式具体列出企业另行提供说明的情形。
- 个人信息处理者的义务事项
本指南提供个人信息处理者应遵守的具体义务,首先,提议通过网站等将自动化决策的标准和程序进行事前告知,尤其是不仅要特定所公开的内容,且建议告知时采用规范用语和视觉化方式,以便信息主体更好地了解内容。其次,若信息主体要求提供说明时,应对决策结果、使用的主要个人信息的类型、处理过程等事项进行精简说明。此外,还提出了在信息主体要求查阅、更正、删除、拒绝、说明时,个人信息处理者应采取的具体措施和流程。
- 保障自动化决策透明性的方案
本指南还提出了保障自动化决策透明性的方案,尤其是鼓励利用可解释性人工智能(XAI)技术,并针对向信息主体提供说明的具体方式和内容提出指引。例如,本指南将单纯的系统性自动化决策和基于黑匣子模型等的自动化决策情形进行区分,若属于黑匣子模型,如深度学习模型等,将利用事后解释模型等方式提供相关信息。
3.启示
本指南明确提供了自动化决策制度在实务上的适用标准,有望减少在AI招聘、AI FDS 等实务当 中产生的混乱。尤其是,未来AI技术正式引入之后,本指南将在自动化决策过程中起到保护信息主体权利的指引作用,且详细阐述了个人信息保护委员会的立场,因此,运营或计划引入AI招聘、AI FDS等系 统的企业有必要特别关注本指南的内容,以免将来遭遇规制问题。
和友律师事务所信息保护中心以长期积累的经验,为企业顾客提供最佳解决方案,且提供信息保护相关法律的解释、应对方案、信息保护技术咨询(黑客入侵诊断、防护漏洞)等综合性(All-in-One)服务。
