适用场景
面向所有在业务中运用自动化决策技术(包括AI算法、用户画像、个性化推荐等)处理个人信息的中国出海企业,尤其是在美国(特别是加州)市场开展业务的企业。
核心要点
1. 监管核心:强化用户知情权与控制权
中美监管均将自动化决策视为高风险活动,核心要求是保障用户的知情权与控制权。企业必须在使用技术前清晰告知用户,并提供便捷的退出或拒绝机制,确保用户能理解并控制其个人信息如何被自动化处理。
2. 美国(加州)ADMT法案:操作指南式合规
美国加州ADMT法案要求企业在使用自动化决策技术前提供“事先告知”,内容需具体明确。同时,必须建立便捷的“访问请求”和“选择退出”机制,赋予用户监督和拒绝的权利。法案对通知时机、方式、响应时限均有详细规定。
3. 中国《自动化决策标准》:侧重安全与场景化义务
中国标准更侧重于自动化决策技术的安全性,并对特定高风险场景(如对个人权益有重大影响)设定了更严格的合规义务。它强调决策的公平、透明,并原则性禁止针对儿童的个性化营销。
4. 关键场景:未成年人保护与劳动用工
两国监管均特别关注未成年人保护和劳动场景。美国法案对未成年人年龄分段管理,允许在监护人同意下进行个性化营销;中国标准则更为严格,原则上禁止对儿童进行自动化决策处理。在招聘、员工评估等劳动场景,均需保障用户的拒绝权和知情权。
5. 技术范围广泛,涵盖半自动与全自动
监管所规制的“自动化决策技术”范围广泛,不仅包括完全无需人工干预的全自动系统,也涵盖使用机器学习、统计学、AI等技术辅助或执行决策的半自动流程,用户画像行为也被明确纳入监管。
实务建议
- 建立“事先告知”流程:在应用自动化决策技术处理用户个人信息前,通过APP弹窗、网站横幅、邮件等主要交互渠道,向用户提供清晰、具体、非笼统的事先告知。
- 设置便捷的“一键式”退出通道:为用户提供显著、易于操作的选择退出自动化决策的专门渠道(如显著按钮、简化表单),并与一般的Cookie通知等区分开。
- 完善用户访问请求响应机制:建立线上流程,响应用户查询其个人信息如何被自动化决策处理的请求,并提供关于技术逻辑、参数及影响的可理解解释。
- 进行内部影响评估:在使用自动化决策技术前,评估其对用户权益(特别是未成年人、劳动者)的潜在影响,确保目的合法正当,并准备公示评估结果。
- 严格区分场景并设置例外:识别如欺诈检测、安全应急等可不提供退出选项的例外场景,并在隐私政策中明确说明。
- 针对中美市场制定差异化策略:在中国市场,严格遵守对儿童保护的严格规定;在美国(加州)市场,则需精细落实告知、访问、退出等操作性要求。
风险提示
- 误区:认为只有全自动AI才需合规。实际上,使用算法辅助人工决策、用户画像等半自动技术同样被监管覆盖。
- 误区:用笼统的隐私政策代替具体的事先告知。ADMT合规要求告知必须具体到技术使用的目的和方式。
- 注意事项:选择退出机制必须“便捷高效”,设置复杂流程或强制身份验证(商业广告场景下)可能构成违规。
- 注意事项:收到用户选择退出请求后,企业需在规定时限内(如加州要求15个工作日内)停止处理,并在一段时间内不得再次请求同意。
- 注意事项:在劳动用工场景使用自动化决策(如简历筛选、绩效评估)风险极高,必须保障候选人或员工的知情权与拒绝权,避免算法歧视。