最近接到不少小伙伴咨询:抠门老板舍不得花钱找代办,自己硬刚算法备案,两个月被驳回了五次!不清楚这个《安全自评估报告》究竟要写什么内容?被驳回到心态崩溃?结合400多个成功案例的经验,今天为大家整理了一篇评估报告撰写攻略,希望对备案中的小伙伴有所帮助。
算法安全自评估报告总共分为六个部分的内容,需要进行详细叙述,不同产品不同算法类型,阐述的内容也不相同,我们写过的最长的报告是长达110多页,各章节需确保内容连贯、数据真实,且与算法备案系统填报信息、其他备案材料(如用户协议、隐私政策)完全一致。
一、算法情况撰写要求
(1)算法流程
以流程图的形式提供算法的描述,描述从原始数据输入开始到最终结果输出的整个算法服务链路,流程图中每个节点粒度不大于单个算法模型或干预策略。例如:"内容安全过滤"、"添加水印"
(2)算法数据
- 详细描述算法流程中各节点的输入数据、输出数据,以及整个算法流程的最终结果数据;
- 对于训练数据的描述应在此部分展开;
- 对于文本、语音类的生成合成应描述输入数据的语种和输出数据的语种;
- 对于跨模态的生成合成应描述输入数据的模态和输出数据的模态
(3)算法模型
- 算法模型在算法流程中指的是应用统计学习、深度学习等机器学习方法的节点,如n-gram、GAN等,基于规则的或人工定义的方法也应在此处进行描述。
- 对于训练数据的预处理和后处理方法应在本节进行详细描述。
(4) 干预策略
干预策略指算法流程描述中通过运营或数据挖掘等方法设置的机制性节点,如:对数据的预处理、对结果的后处理等
(5)结果标识
结果标识指对生成合成内容的标识方法,包含隐式标识和显式标识。
二、服务情况撰写要求
(1)服务简介
应具体描述服务功能介绍、上线时间、展现形态、服务在应用产品中入口位置、服务流量、用户情况等
(2)算法在服务中应用情况
应具体描述算法线上服务的数据来源、算法训练过程中的数据来源、数据的形态、算法的更新频率、算法中间结果与其他服务或应用的共享情况等
三、风险研判撰写要求
(1)算法滥用
描述深度合成服务提供者是否存在对算法的不当利用行为及该算法是否有不当利用的潜在风险,不当利用指危害国家安全、国家形象、国家利益和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人人格权、知识产权和其他合法权益、淫秽色情、虚假信息、影响网络舆论、规避监管等,并分析算法滥用在企业服务过程中可能造成的影响
(2)算法漏洞
描述算法本身机制机理是否健全以及不健全可能导致的潜在风险,并分析算法漏洞在企业服务过程中可能造成的影响
(3)算法恶意利用
描述算法是否有被第三方恶意利用的潜在风险,并分析恶意利用行为可能造成的影响
四、风险防控情况
(1)风险防范机制建设
- 算法机制机理审核
如果对当前算法有除以上附件内容之外的机制,请在此补充,不作强制填写要求。补充可考虑提供算法机制机理审核流程、执行机构、相关日志记录等,并提供截图证明等相关佐证材料
(2)用户权益保护
- 用户知情权
描述用户知情权的保障范围、保障手段及相关证明材料,证明公示内容与算法机制机理的一致性,能够保障用户知情权,同时说明使用用户数据和个人信息是否告知用户并依法取得同意,以及告知用户和取得用户同意的方式与相关内容
- 用户个人信息保护
描述用户个人信息保护是否符合相关法律法规要求,同时说明算法数据是否与第三方共享,共享的第三方以及共享方式和审批流程,并证明相关共享方式不会造成用户个人信息泄露;如涉及用户编辑他人个人信息,如何告知并取得被编辑的个人的单独同意。
- 其他权益保护
描述遵循其他相关法律法规的情况及相关证明材料,针对服务情况中的每类服务说明其可能涉及哪些法律法规,如个人信息保护法、未成年人保护法、老年人权益保障法、消费者权益保护法、劳动法、交通法等,并说明保障机制
(3)内容生态治理
- 防范和抵制违法违规不良信息
描述深度合成信息服务中如何实现不良信息的防范和抵制,从算法打压机制、防范和抵制策略、不良信息识别与发现等维度进行阐述,并提供截图证明等相关佐证材料
- 人工审核
需说明当前备案算法结果是否进行了人工审核,以及人工审核工作如何开展,如何和机器审核相结合
(4)模型安全保障
深度合成信息服务提供者为了保证生成合成算法服务的安全性,应当对算法模型建立保障措施,如对数据投毒、模型投毒的防范机制等
(5)数据安全防护
描述如何确保训练数据采集、使用、存储等合法、正当;若算法数据涉及与第三方共享,如何确保训练数据采集、使用、存储等合法、正当。