基于机器学习目的使用个人信息的合规要点

近年来，除专营人工智能技术开发的企业外，越来越多互联网企业亦开始使用其在业务经营中收集的数据用于机器学习，以达到提升产品性能、研发新产品等目的。例如，网约车企业原本基于保护乘客安全目的收集录音信息，若其同时将前述信息用于机器学习，将可能开发出语音识别产品。

鉴于上述数据往往包含大量用户个人信息，企业使用该等数据用于机器学习应遵守个人信息相关合规要求。本文旨在分析非专营人工智能技术开发的企业（“企业”）将用户个人信息用于机器学习时，需关注的主要合规要点：

取得用户有效同意

互联网产品的隐私政策一般仅规定了企业将其收集的个人信息用于实现特定业务功能。例如，求职招聘类APP的隐私政策一般规定，企业收集用户的教育信息（如学校、学历、专业）仅用于简历编辑投递。根据《网络安全法》规定，收集、使用个人信息时应明示收集、使用的目的、方式和范围，并经被收集者同意。因此，若企业拟将其收集之个人信息同时用于机器学习，应在隐私政策中新增该使用目的，并取得用户明示同意。

值得注意的是，《网络安全法》要求收集个人信息遵循最小必要原则。因企业将个人信息用于机器学习并非实现特定业务功能的需要，即便取得用户同意，企业仍无权仅为机器学习目的、超出业务功能实现所必需的范围收集个人信息。

拟于2020年10月1日实施的GB/T35273-2020《信息安全技术 个人信息安全规范》（“《2020版规范》”）对前述问题亦作出回应，该规范第5.3条新增要求不得仅以改善服务质量、提升使用体验、研发新产品等为由强制收集用户个人信息的规定。尽管《2020版规范》是推荐性国家标准，但是，一方面，该新增规定与《网络安全法》的要求一致；另一方面，实践中，该规范已被主管部门作为监管依据。因此，在用户同意的前提下，企业能用于机器学习之个人信息的范围应仅限于其基于实现业务功能所必需收集的个人信息。

委托第三方进行数据标注

数据经过标注方可用于机器学习。为提高效率，节省成本，企业一般委托数据服务公司完成数据标注。现行法律未对个人信息委托处理予以专门规定，但《2020版规范》对此提出了明确要求。基于该规范，企业委托第三方数据标注时应注意如下要点：第一，企业不应超出已征得用户授权同意的范围作出委托行为。第二，企业应通过合同等方式规定受托者的义务，主要包括：（1）在合同中规定委托处理的具体要求；（2）要求受托者转委托前应取得企业同意；（3）要求当受托者未按企业要求处理个人信息，或无法提供足够安全保护水平，或发生安全事件时，及时向企业反馈；（4）要求受托者在委托关系解除时不再存储个人信息。第三，企业应管理、监督受托者，包括开展个人信息安全影响评估，记录、存储委托处理个人信息的情况，对受托者进行审计等。

在委托处理场景中，受托者仅有权在授权范围内处理个人信息，受托个人信息的控制权仍属于企业，因此，企业无需就委托处理事宜取得用户的专门授权。但是，若企业向数据服务公司提供用户个人信息后，该第三方即能自主控制该等信息，则该行为属于个人信息的共享而非委托处理，企业应就此另行取得用户同意。

对个人生物识别信息的特殊限制

个人生物识别信息包括指纹、声纹、虹膜、面部识别特征等。个人生物识别信息具有唯一性，一旦泄露或滥用将极易危害人身和财产安全。《2020版规范》第6.3条首次提出原则上不应存储原始个人生物识别信息的要求，企业可采取替代措施，如存储个人生物识别信息的摘要，或在采集终端直接使用个人生物识别信息实现业务功能，或在完成相应业务功能后删除可提取个人生物识别信息的原始图像等。《2020版规范》实施后，即便企业系基于用户有效同意收集个人生物识别信息，上述替代措施将导致其无法直接使用，或无法在较长时间内使用个人生物识别信息的原始信息用于机器学习。

俞蓉是浩天信和律师事务所合伙人。她的联系方式是电话+86 10 6502 8935以及电邮yurong@hylandslaw.com

何为是浩天信和律师事务所律师。她的联系方式是电话+86 10 6502 8745以及电邮hewei2@hylandslaw.com