隨著以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心的數(shù)據(jù)保護法律體系的完善，以及《生成式人工智能服務安全基本要求》《互聯(lián)網(wǎng)信息服務深度合成管理規(guī)定》等細分領域的規(guī)范性文件的密集出臺，我國人工智能企業(yè)在上市過程中有面臨更加嚴格、細化的合規(guī)審查的趨勢。此外，國家對科技型企業(yè)的科技倫理合規(guī)要求不斷提升。自2021年起，監(jiān)管部門開始對多家人工智能企業(yè)的科技倫理合規(guī)性進行審核問詢。

根據(jù)我們對2020年至2023年上市人工智能企業(yè)招股文件和問詢記錄的梳理，近年來，監(jiān)管部門對人工智能企業(yè)的問詢重點主要集中于數(shù)據(jù)來源、數(shù)據(jù)使用、數(shù)據(jù)安全和科技倫理合規(guī)四個方面。本文將結合案例總結并分析人工智能企業(yè)上市過程中面臨的問詢要點以及相應的答復方式，為企業(yè)提供上市前專項合規(guī)工作的方向，以及答復領域內征詢問題的思路。

為了支持和規(guī)范人工智能技術和產(chǎn)業(yè)發(fā)展，在一般數(shù)據(jù)安全法律框架的基礎上，我國也制定了一系列人工智能領域的法律法規(guī)和文件。預計相關的監(jiān)管要求都將會體現(xiàn)在人工智能企業(yè)在上市審核的披露要求中。

根據(jù)對公開資料的整理，人工智能企業(yè)上市過程中被審核機關問詢的數(shù)據(jù)合規(guī)問題主要集中于數(shù)據(jù)來源、數(shù)據(jù)使用、數(shù)據(jù)安全和科技倫理四個方面。本文整理了人工智能企業(yè)在上述四個方面被問詢概率較高的系列問題，并選擇了回復部分問題的典型案例，供擬上市人工智能企業(yè)參考。

（一）數(shù)據(jù)來源

1、數(shù)據(jù)來源合規(guī)方面問詢的主要問題

2、上市審核中數(shù)據(jù)來源有關問題問詢與回復的案例

要點：明確數(shù)據(jù)來源、審查數(shù)據(jù)清潔度、披露相關方權利和義務分配情況

（二）數(shù)據(jù)使用

1、數(shù)據(jù)使用合規(guī)方面問詢的主要問題

2、上市審核中數(shù)據(jù)使用有關問題問詢與回復的案例

要點：告知同意與實際處理的契合情況、最小化原則落實

（三）數(shù)據(jù)安全

1、數(shù)據(jù)安全合規(guī)方面問詢的主要問題

2、上市審核中數(shù)據(jù)安全有關問題問詢與回復的案例

要點：靜態(tài)網(wǎng)絡安全、動態(tài)傳輸安全、制度保護建設情況

（四）科技倫理

1、科技倫理方面問詢的主要問題

2、上市審核中科技倫理有關問題問詢與回復的案例

要點：倫理審查相關組織架構建設、審查方法、評估結論

（一）數(shù)據(jù)來源

企業(yè)獲取數(shù)據(jù)的途徑通常包括企業(yè)自行收集、從第三方采購以及通過數(shù)據(jù)爬蟲等方式從公開渠道獲取三種方式。企業(yè)應當識別數(shù)據(jù)的來源，根據(jù)數(shù)據(jù)的來源調整相應的授權條款和業(yè)務模式，以降低合規(guī)風險。

企業(yè)自行收集數(shù)據(jù)：第一，企業(yè)自行收集數(shù)據(jù)時，應當遵循最小必要原則。開展數(shù)據(jù)收集工作時不應僅關注數(shù)據(jù)的數(shù)量，而應當進行有針對性的篩選。第二，企業(yè)收集用戶數(shù)據(jù)時，應當在收集前明確告知收集信息的具體規(guī)則、收集范圍及使用用途，獲得相關信息主體的合法授權。因此，建議企業(yè)整改“默認勾選同意"和“注冊即授權"等非明示授權方式，完善用戶協(xié)議和隱私政策，公開收集和使用的規(guī)則。

從第三方采購數(shù)據(jù)：對于通過向供應商采購的方式獲得數(shù)據(jù)的企業(yè)，應當核實引入第三方數(shù)據(jù)源的必要性和可行性，并事先進行盡職調查，以核實供應商是否具有數(shù)據(jù)收集的合法資質。同時，應當制定《外部數(shù)據(jù)采購管理制度》，并嚴格按照該制度提請流程，避免數(shù)據(jù)收集行為被認定為非法獲取公民個人信息而帶來刑事責任風險。

從網(wǎng)絡公開平臺獲取數(shù)據(jù)：如果通過網(wǎng)絡爬蟲等手段收集公開平臺的數(shù)據(jù)，企業(yè)應當重視收集途徑的合法性，避免使用非法的爬蟲技術或撞庫技術從其他網(wǎng)絡運營者的平臺非法抓取數(shù)據(jù)。企業(yè)應當注意審查其是否獲得被爬取用戶同意以及平臺是否授權同意，是否符合用戶授權平臺、平臺授權收集方以及用戶授權收集方的三重授權原則。對于爬取得到的數(shù)據(jù)，應當建立內部審核機制，進行深度合規(guī)性評估。

（二）數(shù)據(jù)使用

采取數(shù)據(jù)訪問控制措施：在公司層面，應當設置個人信息處理權限管控制度，根據(jù)員工的工作范圍和完成崗位工作的必要設立最小授權訪問權限?？梢栽O立只允許為實現(xiàn)處理目的所必要的人員以及其他代為處理的人員訪問數(shù)據(jù)的制度，以減少數(shù)據(jù)使用過程中的數(shù)據(jù)泄露風險。

商業(yè)變現(xiàn)和共享合規(guī)：用戶數(shù)據(jù)商業(yè)化使用的合規(guī)是科創(chuàng)板人工智能企業(yè)上市過程中發(fā)審委的關注重點。在數(shù)據(jù)的商業(yè)化使用和共享中，應當嚴格控制數(shù)據(jù)的對外輸出。具體而言，在對外共享和披露個人信息時，應獲得個人信息主體的充分知情同意，并通過數(shù)據(jù)安全防控技術避免數(shù)據(jù)在共享過程中被篡改。同時，在具體的商業(yè)變現(xiàn)場景中，企業(yè)還應當關注不同行業(yè)、不同場景的合規(guī)要求。

數(shù)據(jù)使用范圍的界限：數(shù)據(jù)使用的范圍應當以企業(yè)進行數(shù)據(jù)收集時約定的范圍為限。如果需要在約定的范圍之外使用用戶數(shù)據(jù)和信息，需要再次獲得用戶的明示同意和授權。此外，在存在數(shù)據(jù)融合時，融合后的使用目的不應超出原有授權范圍。如果超出，則應重新獲得用戶或數(shù)據(jù)上游合作企業(yè)的授權同意。

（三）數(shù)據(jù)安全

加強第三方數(shù)據(jù)合規(guī)性管理。除了自身的數(shù)據(jù)風險防控，企業(yè)應確保數(shù)據(jù)供應商等第三方也符合數(shù)據(jù)安全的要求。實踐中，企業(yè)可以通過盡職調查、同業(yè)咨詢等方式了解第三方數(shù)據(jù)安全的情況。同時，為保障自身權益，可以通過協(xié)議等方式與合作方就數(shù)據(jù)共享中的用戶同意、安全防護、使用范圍等方面達成共識，還可以要求第三方簽署聲明、承諾函等確保數(shù)據(jù)未侵犯他人合法權益，從而加強對第三方數(shù)據(jù)合規(guī)性的管理。

強化用戶信息保護技術措施并制定安全應急預案。企業(yè)應當建立用戶數(shù)據(jù)信息保護技術體系，防止外部黑客攻擊以及內部成員有意或無意導致的數(shù)據(jù)泄露。同時，為了及時應對和處置計算機病毒、系統(tǒng)漏洞、網(wǎng)絡侵入等引發(fā)的數(shù)據(jù)安全風險，企業(yè)應當制定網(wǎng)絡安全應急預案，以減少數(shù)據(jù)安全問題給企業(yè)和用戶帶來的損失。

分析數(shù)據(jù)安全方面的潛在法律風險并明確責任承擔。企業(yè)應當根據(jù)自身采取的數(shù)據(jù)安全保護措施與手段，并結合《數(shù)據(jù)安全管理辦法》《信息安全技術個人信息安全規(guī)范》等監(jiān)管文件分析各類業(yè)務是否存在侵犯商業(yè)秘密、個人隱私的情況，判斷業(yè)務內容是否存在法律風險或潛在法律風險。同時，企業(yè)也應當事先明確發(fā)生網(wǎng)絡數(shù)據(jù)安全事件時可能承擔的責任。企業(yè)可以從法律法規(guī)和監(jiān)管文件、與客戶及第三方關于網(wǎng)絡安全事件的協(xié)議等角度評估其可能承擔的責任，并明確約定責任承擔方式，以避免在發(fā)生數(shù)據(jù)安全糾紛時處于被動地位。

（四）科技倫理

科技倫理是科技活動必須遵守的價值準則和行為準則。在國家強化對科技倫理審查的制度背景下，科技倫理方面的合規(guī)問題應當成為擬上市和上市的人工智能企業(yè)的關注重點。

組織架構：企業(yè)應當設立完備的組織架構，以具體落實數(shù)據(jù)管理措施和科技倫理規(guī)范。根據(jù)《科技倫理審查辦法（試行）》第四條的規(guī)定，從事人工智能科技活動的單位，研究內容涉及科技倫理敏感領域的，應當設立科技倫理（審查）委員會。企業(yè)應當為科技倫理（審查）委員會履職配備必要的工作人員、提供辦公場所和經(jīng)費等條件。具體而言，企業(yè)可以將科技倫理（審查）委員會作為直接隸屬于董事會的決策機構，負責在人工智能的研發(fā)及應用過程中制定相關倫理道德治理的規(guī)章與管理機制，統(tǒng)籌部署和決策企業(yè)的信息安全和數(shù)據(jù)合規(guī)等工作，也可以單獨設立人工智能倫理審核委員會，負責企業(yè)人工智能技術的倫理規(guī)范審查。

內部制度：根據(jù)《新一代人工智能倫理規(guī)范》和《數(shù)據(jù)安全法》的規(guī)定，人工智能企業(yè)開展數(shù)據(jù)處理活動時應當建立健全全流程數(shù)據(jù)安全管理制度，遵守人工智能技術可控及倫理規(guī)范方面的要求，不斷完善企業(yè)內部的數(shù)據(jù)治理的流程規(guī)范和合規(guī)制度。具體而言，企業(yè)可以參考ISO27001信息安全管理體系、ISO27701隱私管理體系、ISO20000信息技術服務管理體系等國際標準，建立健全符合《人工智能倫理審查管理制度》《網(wǎng)絡與信息安全應急管理制度》《數(shù)據(jù)分級管理制度》等數(shù)據(jù)安全和倫理規(guī)范的內部制度規(guī)則。

人員管控：根據(jù)《數(shù)據(jù)安全法》《科技倫理審查辦法（試行）》以及《關于加強科技倫理治理的意見》的有關規(guī)定，企業(yè)應當組織開展科技倫理和數(shù)據(jù)安全等方面的培訓，將科技倫理培訓納入科技人員入職培訓、科研任務等活動?？萍紓惱恚▽彶椋┪瘑T會應當組織開展對委員的科技倫理審查業(yè)務培訓和科技人員的倫理知識培訓。此外，企業(yè)可以通過簽署保密協(xié)議、設置責任追究制度以及制定倫理審查規(guī)范管理手冊等方式強化對企業(yè)員工的管理，促進企業(yè)的科技倫理合規(guī)。

在人工智能產(chǎn)業(yè)迅猛發(fā)展以及我國數(shù)據(jù)保護和個人信息保護法律體系不斷完善的背景下，監(jiān)管部門對于人工智能企業(yè)上市的數(shù)據(jù)合規(guī)審查將會越來越嚴格。擬上市人工智能企業(yè)應當密切關注相關監(jiān)管要求、監(jiān)管趨勢以及上市審核的重點，盡早從數(shù)據(jù)來源、數(shù)據(jù)使用、數(shù)據(jù)安全和科技倫理等方面進行核查整改，不斷完善企業(yè)的數(shù)據(jù)治理工作，為企業(yè)的長久穩(wěn)定發(fā)展保駕護航。