落实算法安全主体责任基本情况

** *********有限公司落实算法安全主体责任基本情况

一、算法安全专职机构

根据算法安全管理办法的要求，算法推荐服务提供者应组建负责算法安全工作的专职机构，以确保算法安全工作的有效实施。该专职机构应设立以下职能部门，并明确各部门的职责分工：

算法安全管理部门：负责整体算法安全工作的统筹管理和协调，制定和完善相关的安全规范和政策，确保算法系统的安全性和稳定性。该部门主要职责包括算法安全风险评估、安全漏洞管理、安全事件响应和应急处置等。

算法安全研发部门：负责对算法推荐系统进行安全设计和开发，确保算法模型的准确性和安全性。该部门主要职责包括算法模型的研发和测试、算法模型数据的采集和处理、算法模型的优化和更新等。

算法安全监测部门：负责对算法推荐系统的运行情况进行监测和评估，及时发现并解决安全问题。该部门主要职责包括算法模型的运行状态监测、异常行为检测与处理、用户信任度评估和维护等。

算法安全专职机构的负责人应具备以下基本信息和主要工作职责：

姓名：***

职务：算法安全专职机构负责人

主要工作职责：

组织和协调算法安全工作的实施，确保算法推荐系统的安全性和稳定性；

负责与相关部门进行沟通和协调，共同完善算法安全管理体系；

监督和评估算法安全措施的执行效果，及时修正和改进；

提报算法安全工作的情况和问题，向上级主管部门汇报并承担相应的责任。

算法安全工作人员的任职要求和配备规模应根据实际情况确定，一般应具备以下要求：

具备扎实的计算机科学基础知识和数学基础；

具有良好的分析和解决问题的能力；

熟悉算法模型的设计和开发，熟悉常见的算法安全隐患和防护措施；

具备一定的编程和数据库操作能力；

具备团队合作和沟通协调能力。

算法安全技术保障措施方面，企业可根据实际情况采取以下措施：

引入安全技术体系，包括网络安全技术、数据加密技术等，确保算法数据和模型的安全性；

建立完善的访问控制机制，对算法系统进行权限管理和访问审计；

定期进行安全漏洞扫描和风险评估，及时修复和防范安全漏洞；

加强算法系统的日志记录和分析，发现异常行为并做出相应处理；

建立应急响应机制，及时处置和恢复因安全事件引起的问题。

二、算法安全管理制度建设

为了落实算法安全主体责任，算法推荐服务提供者应建立完备的算法安全管理制度，并通过相关制度约束自身行为，规范算法研发和管理工作流程。以下是一些常见的算法安全管理制度，供参考：

算法安全自评估制度：建立算法安全自评估机制，定期对算法推荐系统进行自我评估，发现和修复潜在安全风险。该制度应包括自评估的指标体系、评估流程和评估结果的反馈及整改措施。

算法安全监测制度：建立算法安全监测机制，对算法推荐系统进行实时监测和评估，发现和应对安全威胁。该制度应包括监测指标和方法、监测频率和流程、异常报警和响应机制等。

算法违法违规处置制度：建立算法违法违规处置机制，明确算法推荐服务提供者的违法违规行为判定标准和相应的处置措施。该制度应包括检查和审查的程序和依据、违法处理的流程和方式等。

算法安全事件应急处置制度：建立算法安全事件应急处置机制，明确应急响应的流程和责任人员的职责。该制度应包括安全事件的分级和紧急程度、事件报告和通知的程序、应急预案和响应措施等。

科技伦理审查制度：建立科技伦理审查机制，对潜在涉及个人隐私、社会伦理等敏感领域的算法进行审查和监管。该制度应包括伦理审查的范围和流程、审查评估的标准和指南等。

（一）算法安全自评估制度建设

确定自评估指标体系：根据算法推荐服务提供者的实际情况，确定涵盖安全性、准确性、公平性、透明度等方面的自评估指标体系，以全面评估算法的安全性。

设计自评估流程：明确自评估的步骤、内容和时间节点，包括数据采集、分析评估、问题发现和整改等环节，以确保全面有效地开展自评估工作。

鉴定专业人员参与：设立专业的自评估团队或委派专业人员负责算法安全自评估工作，包括数据科学家、安全专家、法律顾问等，保证自评估的专业性和客观性。

制度合理性论证：

合规性验证：对比国家相关法律法规、政策文件和标准，验证自评估制度是否满足相应要求，如《互联网信息服务算法推荐管理规定》等。

有效性评估：基于历史案例和实际经验，评估自评估制度在提高算法推荐服务安全性方面的有效性，通过对比分析来论证该制度对于提升算法推荐服务安全性的可行性。

制度完备性论证：

指标科学性：自评估指标体系应包括全面、科学和有针对性的指标，能够切实反映算法推荐服务的安全性，准确识别潜在的安全风险。

流程完备性：自评估流程应紧密联系实际工作，包含充分的数据采集、综合评估、问题发现、整改闭环等环节，确保自评估全过程的连贯性和完整性。

制度落地性保障措施：

培训教育：提供必要的培训和教育，使各部门和人员了解自评估制度的内容、流程和要求，增强制度的落地性。

内控体系建设：建立内部监督机制，监督自评估的执行情况，并及时发现和纠正问题，以确保制度的有效执行。

审查与考核：定期对自评估制度进行审查和考核，监督制度的落地情况，并对不合格或需要改进的地方进行整改。

（二）算法安全监测制度建设

信息安全监测：

监测制度建设：建立信息安全监测制度，包括明确的责任分工、监测频率、监测内容等。制定相应的监测标准和指标，对算法推荐服务中的信息内容安全、信息源安全等方面进行监测。

技术保障措施：采用先进的技术手段，如自动化抓取和文本分析技术，对用户发起的请求进行实时监测和分析，识别可能存在的有害信息，并及时进行处理和过滤。

数据安全监测：

监测制度建设：制定数据安全监测制度，确保在算法推荐服务开发过程中和上线后对数据安全进行全面监测。明确数据访问权限、数据存储和传输安全等方面的监测要求和流程。

技术保障措施：采用加密传输、数据备份和访问权限控制等技术手段，保护用户数据的安全。建立数据监测和风险评估机制，及时发现和排查可能存在的数据安全问题。

用户个人信息安全监测：

监测制度建设：建立用户个人信息安全监测制度，对算法推荐服务开发和上线后的用户个人信息安全进行监测。包括用户数据收集、存储、处理和共享等环节的监测要求和流程。

技术保障措施：采用用户数据加密、访问控制和权限管理等技术手段，确保用户个人信息的安全性和机密性。建立用户个人信息访问日志和操作审计等机制，对可能存在的个人信息安全风险进行监测和防范。

算法安全监测：

监测制度建设：建立算法安全监测制度，从算法漏洞、算法恶意利用等方面进行监测和评估。明确安全事件的报告和响应机制，包括发现漏洞或被恶意利用时的处理流程。

技术保障措施：通过安全审计、代码审查和漏洞扫描等技术手段，及时发现和修复算法中的潜在安全问题。定期组织安全演练和渗透测试，检验算法安全性，并针对测试结果进行改进和优化。

三、算法安全事件应急处理制度建设

在发生算法安全事件时，为了及时有效地应对和处置，需要建立相应的应急处理制度，具体包括以下内容：

操作步骤：制定详细的算法安全事件应急处理操作手册，明确应急响应流程和具体步骤，包括事件的报告、分析、隔离、修复、恢复等环节。

责任人：明确应急响应的责任人，并确定各责任人的职责和权限。例如，指定安全团队成员负责事件的调查分析和风险评估，指定技术人员负责隔离和修复漏洞，指定公关或法务专员负责与相关方进行沟通和协调。

协调调度机制：建立应急响应的协调调度机制，确保信息的及时传递和沟通协调。设置应急响应指挥中心，集中处理和指挥安全事件的处理工作。在调度过程中，需要与相关部门、合作伙伴以及相关政府机构进行紧密配合，形成合力应对安全事件。

四、算法违法违规处置制度建设

为了防止算法违法违规行为对社会造成不良影响，需要建立算法违法违规处置制度，确保依法处置，并采取适当的惩罚措施。具体包括以下内容：

情形界定：明确算法违法违规的情形，如数据使用违规、信息安全违规、用户权益保护违规、算法设计违规等行为，根据相关法律法规和政策文件进行界定，确保处置的合理性和公正性。

实施处罚的条文规则：制定算法违法违规行为相关的条文规则，明确具体违规行为的处罚措施，包括罚款金额、责任追究方式、行政处罚或刑事责任等。同时，也要考虑合适的纠正措施和整改要求，确保问题得到解决和避免再次发生。

执法和监管：加强算法领域的执法和监管力度，建立相关的执法机构和监管部门，对违法违规行为进行及时调查和处理。与相关部门加强合作，共同维护互联网信息服务的合法和有序发展。

（五）其他制度

暂无　　

三、附件

第一章 总则

第一条为了加强互联网信息服务深度合成管理，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规，制定本规定。

第二条在中华人民共和国境内应用深度合成技术提供互联网信息服务（以下简称深度合成服务），适用本规定。法律、行政法规另有规定的，依照其规定。

第三条国家网信部门负责统筹协调全国深度合成服务的治理和相关监督管理工作。国务院电信主管部门、公安部门依据各自职责负责深度合成服务的监督管理工作。

地方网信部门负责统筹协调本行政区域内的深度合成服务的治理和相关监督管理工作。地方电信主管部门、公安部门依据各自职责负责本行政区域内的深度合成服务的监督管理工作。

第四条提供深度合成服务，应当遵守法律法规，尊重社会公德和伦理道德，坚持正确政治方向、舆论导向、价值取向，促进深度合成服务向上向善。

第五条鼓励相关行业组织加强行业自律，建立健全行业标准、行业准则和自律管理制度，督促指导深度合成服务提供者和技术支持者制定完善业务规范、依法开展业务和接受社会监督。

第二章 一般规定

第六条任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息，不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。

深度合成服务提供者和使用者不得利用深度合成服务制作、复制、发布、传播虚假新闻信息。转载基于深度合成服务制作发布的新闻信息的，应当依法转载互联网新闻信息稿源单位发布的新闻信息。

第七条深度合成服务提供者应当落实信息安全主体责任，建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度，具有安全可控的技术保障措施。

第八条深度合成服务提供者应当制定和公开管理规则、平台公约，完善服务协议，依法依约履行管理责任，以显著方式提示深度合成服务技术支持者和使用者承担信息安全义务。

第九条深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式，依法对深度合成服务使用者进行真实身份信息认证，不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务。

第十条深度合成服务提供者应当加强深度合成内容管理，采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。

深度合成服务提供者应当建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序，记录并留存相关网络日志。

深度合成服务提供者发现违法和不良信息的，应当依法采取处置措施，保存有关记录，及时向网信部门和有关主管部门报告；对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。

第十一条深度合成服务提供者应当建立健全辟谣机制，发现利用深度合成服务制作、复制、发布、传播虚假信息的，应当及时采取辟谣措施，保存有关记录，并向网信部门和有关主管部门报告。

第十二条深度合成服务提供者应当设置便捷的用户申诉和公众投诉、举报入口，公布处理流程和反馈时限，及时受理、处理和反馈处理结果。

第十三条互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任，核验深度合成类应用程序的安全评估、备案等情况；对违反国家有关规定的，应当及时采取不予上架、警示、暂停服务或者下架等处置措施。

第三章 数据和技术管理规范

第十四条深度合成服务提供者和技术支持者应当加强训练数据管理，采取必要措施保障训练数据安全；训练数据包含个人信息的，应当遵守个人信息保护的有关规定。

深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的，应当提示深度合成服务使用者依法告知被编辑的个人，并取得其单独同意。

第十五条深度合成服务提供者和技术支持者应当加强技术管理，定期审核、评估、验证生成合成类算法机制机理。

深度合成服务提供者和技术支持者提供具有以下功能的模型、模板等工具的，应当依法自行或者委托专业机构开展安全评估：

（一）生成或者编辑人脸、人声等生物识别信息的；

（二）生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的。

第十六条深度合成服务提供者对使用其服务生成或者编辑的信息内容，应当采取技术措施添加不影响用户使用的标识，并依照法律、行政法规和国家有关规定保存日志信息。

第十七条深度合成服务提供者提供以下深度合成服务，可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成情况：

（一）智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务；

（二）合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务；

（三）人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务；

（四）沉浸式拟真场景等生成或者编辑服务；

（五）其他具有生成或者显著改变信息内容功能的服务。

深度合成服务提供者提供前款规定之外的深度合成服务的，应当提供显著标识功能，并提示深度合成服务使用者可以进行显著标识。

第十八条任何组织和个人不得采用技术手段删除、篡改、隐匿本规定第十六条和第十七条规定的深度合成标识。

第四章 监督检查与法律责任

第十九条具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。

深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。

完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

第二十条深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的，应当按照国家有关规定开展安全评估。

第二十一条网信部门和电信主管部门、公安部门依据职责对深度合成服务开展监督检查。深度合成服务提供者和技术支持者应当依法予以配合，并提供必要的技术、数据等支持和协助。

网信部门和有关主管部门发现深度合成服务存在较大信息安全风险的，可以按照职责依法要求深度合成服务提供者和技术支持者采取暂停信息更新、用户账号注册或者其他相关服务等措施。深度合成服务提供者和技术支持者应当按照要求采取措施，进行整改，消除隐患。

第二十二条深度合成服务提供者和技术支持者违反本规定的，依照有关法律、行政法规的规定处罚；造成严重后果的，依法从重处罚。

构成违反治安管理行为的，由公安机关依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第五章 附则

第二十三条本规定中下列用语的含义：

深度合成技术，是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术，包括但不限于：

（一）篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术；

（二）文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术；

（三）音乐生成、场景声编辑等生成或者编辑非语音内容的技术；

（四）人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术；

（五）图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术；

（六）三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术。

深度合成服务提供者，是指提供深度合成服务的组织、个人。

深度合成服务技术支持者，是指为深度合成服务提供技术支持的组织、个人。

深度合成服务使用者，是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。

训练数据，是指被用于训练机器学习模型的标注或者基准数据集。

沉浸式拟真场景，是指应用深度合成技术生成或者编辑的、可供参与者体验或者互动的、具有高度真实感的虚拟场景。

第二十四条深度合成服务详细+V ckgg168 三十/份提供者和技术支持者从事网络出版服务、网络文化活动和网络视听节目服务的，应当同时符合新闻出版、文化和旅游、广播电视主管部门的规定。