國家標準《信息安全技術 基于個人信息的自動化決策安全要求》（征求意見稿）編制說明

一、工作簡況1.1任務來源根據(jù)國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全技術基于個人信息的自動化決策安全要求》由北京理工大學負責承辦，計劃號：20230253-T-469。該標準由全國信息安全標準化技術委員會歸口管理。1.2制定背景2021年8月，我國《個人信息保護法》正式頒布，并于2021年11月正式實施。其中，第二十四條有關“自動化決策”條款備受關注。2022年3月，全國信息安全標準化技術委員會發(fā)布《關于發(fā)布2022年度網(wǎng)絡安全國家標準需求的通知》，將本標準納入2022年網(wǎng)絡安全國家安全標準需求項目。2022年10月，全國信息安全標準化技術委員會發(fā)布《關于2022年網(wǎng)絡安全國家標準項目立項的通知》，明確本標準由北京理工作為項目牽頭單位負責標準編制工作。1.3起草過程1、2022年2月，北京理工大學牽頭組建標準前期研究工作小組，小組對基于個人信息的自動化決策要求有關的國內(nèi)外法律法規(guī)、標準等進行詳細調(diào)研，形成相應標準草案，并準備申報材料。2、2022年4月，北京理工大學編制組在全國信息安全標準化技術委員會進行標準申報匯報。3、2022年10月，全國信息安全標準化技術委員會發(fā)布《關于2022年網(wǎng)絡安全國家標準項目立項的通知》，同意本標準由北京理工大學作為項目牽頭單位負責標準編制工作。4、2022年11月-12月，北京理工大學對外公開征集標準參編單位，正式成立標準編制組，召開第一次工作組組內(nèi)會議，并就標準草案內(nèi)容向標準編制組內(nèi)部征求意見，對標準內(nèi)容進行更新完善。5、2022年12月，標準編制組在2022年標準周大數(shù)據(jù)工作組上進行匯報，通過組內(nèi)成員單位投票。標準編制組根據(jù)意見進行認真修改后形成征求意見稿。6、2023年4月，召開編制組會議，就標準內(nèi)容和文本進行研討、完善。8、2023年6月，標準編制組在2023年全國信息安全標準化技術委員會標準周大數(shù)據(jù)工作組進行匯報。根據(jù)意見進行認真修改。9、2023年7月，參加征求意見稿專家審查會，經(jīng)評審專家投票一致通過，同意該標準面向社會發(fā)起公開征求意見。二、標準編制原則、主要內(nèi)容及其確定依據(jù)2.1標準編制原則本標準的編制遵循以下原則：(1)先進性：標準反映當前《個人信息保護法》等最新法律要求以及個人信息保護的先進技術水平；(2)開放性：標準的編制、評審與使用具有開放性；(3)適應性：標準結合我國國情；(4)簡明性：標準易于理解、實現(xiàn)和應用；(5)中立性：公正、中立，不與任何利益攸關方發(fā)生關聯(lián)；(6)一致性：術語與國內(nèi)外標準所用術語最大程度保持一致。本標準通過“數(shù)據(jù)安全”和“服務安全”兩個維度，對個人信息處理者自動化決策活動開展過程中涉及的數(shù)據(jù)處理環(huán)節(jié)安全保護要求作出明確規(guī)范，同時對自動化決策在實踐應用層面如何充分保障用戶權利、避免侵害用戶權利作出指導，以實現(xiàn)明確個人信息處理者在進行自動化決策及相關應用的典型場景中數(shù)據(jù)安全和個人信息保護義務要求的整體目的。2.2主要內(nèi)容及其確定依據(jù)本項目旨在于支撐《個人信息保護法》第二十四條對利用個人信息進行自動化決策的要求的落地實施，試圖明確個人信息處理者在進行自動化決策及相關應用的典型場景中數(shù)據(jù)安全和個人信息保護義務要求，并解決自動化決策開展過程中存在的不透明性、決策責任人缺失導致結果準確性不足、對個人權益造成顯著影響等問題。三、試驗驗證的分析、綜述報告，技術經(jīng)濟論證，預期的經(jīng)濟效益、社會效益、生態(tài)效益3.1試驗驗證的分析、綜述報告標準在編制過程中，參與標準編制的各單位積極使用標準進行了試驗應用，標準適用的對象為受《個人信息保護法》管轄的個人信息處理者。具體來說，個人信息處理者“通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策”時，應遵守本標準中提出的安全要求。在試驗驗證本標準時，個人信息處理者將本標準的要求分項落實到合規(guī)、法務、業(yè)務等部門之中，并最終由法務部門來評估對個人合法權益造成損害風險的大小。根據(jù)風險大小，法務部門聯(lián)合技術部門做出了關于特定產(chǎn)品、服務、功能等上線與否或做出何種修改的決定。在試驗應用過程中對自動化決策安全要求的落地實踐方式進行探索，最后將實施經(jīng)驗轉化為標準的具體內(nèi)容，以增加標準的實用性。3.2技術經(jīng)濟論證雖然落實本標準提出的安全要求，在短期內(nèi)給個人信息處理者增加了經(jīng)濟成本，包括但不限于：新增合規(guī)人員的成本、調(diào)整算法模型和計算機程序開發(fā)過程的成本、安全風險自評估的成本等，但這些安全要求能夠有效地增加具有自動化決策功能的新產(chǎn)品、新應用、新業(yè)務在個人信息主體、服務群體整體以及公眾輿論方面的接受度乃至認可度，降低個人信息處理者處理糾紛、爭議等方面的成本。總的來說，該技術標準給企業(yè)帶來正面的經(jīng)濟效應。3.3預期的經(jīng)濟效益、社會效益和生態(tài)效益該標準的社會效益在于保護具有自動化決策功能的新產(chǎn)品、新應用、新業(yè)務所服務的個人、群體的合法權益，確保各個個人信息處理者拉齊合規(guī)基線，并在此基礎上促進商業(yè)方面的良性競爭。該標準不涉及生態(tài)效益。與國際、國外同類標準技術內(nèi)容的對比情況，或者與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況目前基于個人信息的自動化決策安全要求不存在對應的國際標準，也未見其他國家制定了對應的技術標準。以國際標準為基礎的起草情況，以及是否合規(guī)引用或者采用國際國外標準，并說明未采用國際標準的原因當前，國際標準并沒有對基于個人信息的自動化決策安全要求開展標準化工作，其他國家也沒有制定對應的技術標準，因此本標準制定工作中沒有采用國際標準或國外標準。與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調(diào)性本標準與現(xiàn)行法律、法規(guī)以及國家標準不存在沖突與矛盾。本標準為《個人信息保護法》等法律法規(guī)的落地實施提供支撐，建議與國家標準《信息安全技術個人信息安全規(guī)范》（GB/T35273-2020）等配套使用。重大分歧意見的處理經(jīng)過和依據(jù)無。涉及專利的有關說明無。實施國家標準的要求，以及組織措施、技術措施、過渡期和實施日期的建議等措施建議建議本標準作為推薦性國家標準發(fā)布實施。同時建議個人信息處理者建立專門的合規(guī)工作組，根據(jù)本標準的要求制定相應的內(nèi)部規(guī)范作為合規(guī)基線。在上線具有自動化決策的新功能或新應用前，基于合規(guī)基線開展內(nèi)部的安全風險自評估。在具有自動化決策功能的新產(chǎn)品、新應用、新業(yè)務上線后，每一年開展一次安全風險自評估。建議本標準在正式發(fā)布后的六個月后開始實施。其他應當說明的事項無。國家標準《信息安全技術基于個人信息的