格灵深瞳：数据安全的合规性如何论证？

【发行人概述】

北京格灵深瞳信息技术股份有限公司（以下简称“格灵深瞳”或“发行人”）于2021年11月9日通过科创板上市委审议。格灵深瞳是一家提供面向城市管理、智慧金融、商业零售、体育健康、轨交运维等领域的人工智能产品及解决方案的企业。

【反馈回复】

关于科技伦理和数据安全。招股说明书披露，公司主要从事计算机视觉技术和大数据分析技术的研发和应用。请发行人披露：（1）公司在保证人工智能技术可控、符合伦理规范的措施和规划；（2）公司训练数据的获取方式及其合规性，发行人是否存在超出相关授权许可主体许可使用范围、期限使用数据的情形；公司业务中“技术服务”的具体内容，提供技术服务过程中是否存在违规获取或处理相关数据，侵犯个人隐私或其他合法权益的情形；（3）结合上述情形及国家关于数据安全、个人隐私方面的立法规定，充分披露相关政策对发行人经营发展的影响、业务开展过程中可能存在的风险，并进行重大事项提示。请保荐机构、发行人律师对上述事项进行核查，并发表明确意见。

回复：

一、公司在保证人工智能技术可控、符合伦理规范的措施和规划；

发行人在人工智能技术可控、符合伦理规范方面，主要从组织架构、内部制度、技术手段、人员管控、伦理审查等方面采取了具体措施和规划，情况如下：

1、组织架构

2、内部制度

3、技术手段

4、人员管控

5、伦理审查

在技术研发到产品落地的产品生命周期中，公司均履行了相应的科技伦理审查程序，具体如下：

（1）项目立项阶段，充分论证应用场景对人和社会的影响，例如是否符合社会主义核心价值观、是否尊重个人隐私、是否有利社会发展、是否充分保证技术可控、数据安全等；

（2）产品设计阶段，贯彻以人为本，围绕人的安全、分工、互动等进行设计，充分考虑人工智能系统的不足与优势，发挥使用者的主观能力，坚持系统由人主导、靠人决策的原则；

（3）产品技术开发阶段，严格保护数据与隐私安全，关注算法训练过程中数据分布可能带来的歧视，杜绝由于算法安全原因可能带来的可靠性风险；

（4）产品方案交付阶段， 充分保护用户数字资产与个人隐私，坚持算法与数据的高透明与可解释性的原则，与用户进行积极的互动，推动在实际使用中的风险问题的快速解决与高速迭代。

发行人已取得符合“GB/T22080-2016/ISO/IEC27001:2013” 标准的《信息安全管理体系认证证书》、符合“ISO/IEC20000-1:2018” 标准的《信息技术服务管理体系认证证书》、符合“GB/T24001-2016/ISO14001:2015” 标准的《环境管理体系认证证书》，符合安全可控的数据信息管理原则。

6、保证人工智能技术可控、符合伦理规范的规划

综上，发行人从组织架构、内部制度、技术手段和人员管控等方面采取了有效措施并制定了相应规划，以保证人工智能技术可控、符合伦理规范。

二、公司训练数据的获取方式及其合规性，发行人是否存在超出相关授权许可主体许可使用范围、期限使用数据的情形；公司业务中“技术服务”的具体内容，提供技术服务过程中是否存在违规获取或处理相关数据，侵犯个人隐私或其他合法权益的情形

发行人训练数据主要来源于公开数据集、专业数据供应商或经员工授权同意的前提下向员工采集的数据，上述数据获取、使用及其合规性情况具体如下：

1、通过公开数据集获取数据

公开数据集是指互联网已公开发布的数据集，主要由第三方学术研究机构或企业自行制作并公开发布，旨在支持学术界及业界算法模型的开发和训练，如 MS COCO、IMAGENET 等互联网公开数据集。其中，MS COCO 系微软公司开发维护的图像数据库，IMAGENET 系斯坦福大学、普林斯顿大学等开发维护的图像数据库，根据其公开披露的信息，该等数据库的数据来源为网络公开信息，公众可通过互联网下载使用，且仅用于学术研究和研发等非商业用途。

发行人通过互联网公开渠道下载取得该等数据集，且仅用于内部研发和算法优化。公司的同行业可比公司例如旷视科技、云从科技等的训练数据均存在来源于公开数据集的情况，且公开数据集也曾用于世界计算机视觉领域竞赛以评判训练模型的先进性，公司使用公开数据集进行数据训练符合行业惯例。

2、通过数据供应商获取数据

发行人与数据供应商签订的采购合同均要求数据供应商承诺其提供的数据已取得用户完整、合法的授权，不存在违反法律法规、侵害用户或第三方合法权益的情形，如违反上述承诺，供应商应承担相应法律责任并赔偿因此给公司造成的全部损失；合同约定发行人获取数据授权主要用于内部研发、算法训练等，不得用于销售、传播、买卖等其他商业用途，不得使用或向任何第三方透露被采集人的隐私信息或侵犯其合法权益，未约定授权期限。 在数据使用环节，发行人按照与数据供应商签订的业务合同中约定的范围使用相关数据，不存在超出约定限制使用数据的情形。

3、经个人授权同意获取数据

公司从发行人部分员工处取得相关数据，取得了个人信息主体的明确授权，授权许可约定了授权信息的范围、信息使用用途、授权期限等内容。公司严格按照授权许可约定的范围使用数据，不存在超出约定限制使用数据的情形。

公司获取相关训练数据后均按照公司统一的网络与数据安全要求，从组织架构、内部制度、技术手段和人员管控等方面进行管理。 综上，发行人训练数据的获取符合相关法律法规的规定，不存在超出相关授权许可主体许可使用范围、期限使用数据的情形。

（三）公司业务中“技术服务”的具体内容，提供技术服务过程中是否存在违规获取或处理相关数据，侵犯个人隐私或其他合法权益的情形

公司的产品及解决方案交付完成后，部分客户自行使用产品进行数据的收集、存储和管理，数据存储于客户的内网中，发行人在内的其他主体无权亦无途径获取上述数据，客户亦不会向发行人提供数据。 部分客户通过 API 接口将数据传输至公有云，再使用公司的产品进行在线数据分析，对于该类业务，客户基于公有云上存储的数据自行使用公司的产品查阅数据分析结果，公司仅进行系统后台维护，并不直接接触该等数据，且公司在合同中与客户约定，数据所有权为客户，公司承担相应保密义务。

此外，发行人已逐步通过合同条款约定、声明告知等方式，要求客户确认数据来源合法且获得了数据主体的授权同意。 公司根据相关法律法规的规定及业务合同的约定，为客户提供产品、解决方案及公有云资源，客户自行使用公司产品进行数据的收集、 存储和管理，公司业务开展过程中不存在违反相关合同约定或相关法律法规的情况。

综上，发行人训练数据的获取方式具备合规性，不存在超出相关授权许可主体许可使用范围、期限使用数据的情形，发行人在各业务领域下提供产品及解决方案的过程中，不存在违规获取或处理相关数据，侵犯个人隐私或其他合法权益的情形。”

三、结合上述情形及国家关于数据安全、个人隐私方面的立法规定，充分披露相关政策对发行人经营发展的影响、业务开展过程中可能存在的风险，并进行重大事项提示

我国近年来关于数据安全、个人隐私方面已生效的主要法律法规及行业规范具体如下：

发行人已在招股说明书补充披露相关政策对发行人经营发展的影响、发行人业务开展过程中可能存在的风险，具体如下：

“在数据安全方面，《网络安全法》《民法典》《个人信息安全规范》《个人信息保护法》等已生效的法律法规及行业规范规定了个人信息收集使用的基本原则、个人信息控制者的合规义务以及个人信息主体的权利保护等内容。在科技伦理方面，《关于加强科技伦理治理的指导意见（征求意见稿）》对加强科技伦理治理、防范伦理风险提出了指导性意见，国内外关于人工智能伦理的探讨及研究不断推出，社会公众对于人工智能的伦理道德问题日趋重视。

报告期内，公司人工智能产品及解决方案的收入规模快速增长，下游市场客户的规模及需求不断增加，在上述政策背景下，保障数据安全合规及规范科技伦理审查对公司未来业务可持续发展愈发重要。如果发行人在数据获取或处理的过程中未遵照相关法律法规的规定或业务合同的约定，或者公司关于数据安全及伦理审核的相关内控制度未能有效运行，或者公司的客户在使用公司产品时侵害了个人信息主体的利益或触及人工智能科技伦理问题，则可能发生个人信息主体提出相关诉讼或仲裁，或发行人受到有关部门的行政处罚，或因伦理道德问题引发社会关注及舆情讨论，进而对发行人的业务开展、市场拓展、品牌形象等造成不利影响。”

【律证分析】

格灵深瞳的案例中，发行人主要从事计算机视觉技术和大数据分析技术的研发和应用，自然会涉及到数据搜集和使用问题，审核机构关注了科技伦理和数据安全问题，要求充分披露相关政策对发行人经营发展的影响，并对业务开展过程中可能存在的风险进行提示。

今年接连颁布的《数据安全法》和《个人信息保护法》，对于我国数据安全、大数据隐私方面的问题进行了立法完善。

发行人解释其在技术研发到产品落地的产品生命周期中，均履行了相应的科技伦理审查程序，从组织架构、内部制度、技术手段和人员管控等方面采取了有效措施并制定了相应规划，以保证人工智能技术可控、符合伦理规范。且发行人训练数据的获取方式具备合规性，不存在超出相关授权许可主体许可使用范围、期限使用数据的情形，发行人在各业务领域下提供产品及解决方案的过程中，不存在违规获取或处理相关数据，侵犯个人隐私或其他合法权益的情形。同时披露了如果发行人关于数据安全及伦理审核的相关内控制度未能有效运行，或者发行人的客户在使用发行人产品时侵害了个人信息主体的利益或触及人工智能科技伦理问题，则可能发生诉讼、仲裁、行政处罚风险，进而对发行人的业务开展、市场拓展、品牌形象等造成不利影响。

【参考法规文件】

《中华人民共和国网络安全法》（2017.06.01生效）

第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

《中华人民共和国数据安全法》（2021.09.01生效）

第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第三十三条 从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

《中华人民共和国个人信息保护法》（2021.11.01生效）

第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（2021.08.01生效）

第二条 信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：

（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；

（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；

（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；

（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；

（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；

（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；

（七）违背公序良俗处理人脸信息；

（八）违反合法、正当、必要原则处理人脸信息的其他情形。

来源：律证实录微信公众号