荷蘭數據保護局發布有關企業算法使用情況的報告
責編:gltian |2025-04-21 11:11:294月16日,荷蘭數據保護局(AP)對部分荷蘭企業的算法使用情況進行了調查研究,有1612家企業參與調查。研究發現,44%的參與企業在運營中使用了算法,但算法治理成熟度低,多數企業認為算法對業務運營并不重要,且規模較小的企業在算法治理方面存在更多問題等。基于此,研究提出多項建議,包括提高算法風險意識、關注中小企業、收集最佳實踐等。
算法使用情況
研究發現,44%的參與企業會使用算法,使用比例與企業規模呈正相關。各行業均有涉及,每個行業至少有1/4的企業正在使用處理個人信息的算法,信息通信、文化娛樂、公共服務與醫療行業相對較多,農業、漁業等較少。不過,多數企業不重視算法,僅6%的企業認為算法對企業運作“非常重要”,27%使用算法的企業將其視為“極其不重要”。此外,企業使用算法主要應用于行政和營銷領域,其中自動處理發票最為常見,其次是個性化推薦和自動存儲個人數據。在算法類型上,近50%的企業使用基于規則的算法,但43%的企業無法明確所用的算法類型,體現出企業對算法的認知不足。
算法治理成熟度
研究從算法的合理應用、法規知識水平、新算法實施流程、風險意識以及風險應對措施等方面,對企業的算法治理成熟度進行評估,將成熟度等級分為“有限的”“臨時的”“已確定的”“監測的”“優化的”五個等級。研究結果顯示,超70%企業的算法治理成熟度處于“有限”或“臨時”狀態,反映出多數企業在這方面缺乏完善的結構和清晰的意識,多是臨時應對。同時,雖然規模較大的企業成熟度相對較高,但即便是2000人以上的大型企業,也僅有50%達到“明確規定”及以上水平,說明大型企業在算法治理上同樣有提升空間。
風險管理情況
風險分析、算法監督和風險緩解措施在約半數企業中尚未成為標準實踐。57%的企業在使用算法前會進行風險評估,但僅有8%的企業還會在使用過程中進行持續監測。43%的企業會使用風險分析工具識別風險,其中數據保護影響評估(DPIA)使用最多(29%),但仍有近34%的企業表示不識別風險或不使用風險分析工具,還有約1/4的企業不清楚是否使用了相關工具。規模較小的企業以及農業、漁業等行業的企業,很少或幾乎不采取風險緩解措施。在內部監督上,53%的使用算法的企業設有內部監督人員,但小型企業往往缺乏此類人員。
最具影響力算法的相關情況
這部分研究聚焦于荷蘭企業中對個體影響最大的算法,主要從算法的用途、開發與使用情況、風險以及在個體決策中的應用這幾個方面展開分析。多數企業表示其最具影響力的算法主要用于行政目的,如發票的自動化處理;11%的企業會在其最具影響力的算法中處理特殊類別個人數據,且在醫療應用場景中使用更為頻繁,如健康數據是最常被處理的特殊個人數據。在算法開發上,65%的企業在其最具影響力的算法上依賴第三方,部分企業甚至不清楚所用算法的類型,不過大型信息通信和金融服務企業有自行開發的趨勢。在風險方面,不到一半的企業會主動評估算法風險,小型企業在風險識別上存在較大缺失。在用于個體決策方面,75%的企業表示不會用算法進行個體決策,但大型金融企業相對常用;多數企業使用算法時會有人參與決策,但仍有7%的企業完全進行自動化決策。
建 議
增強算法風險意識:AP應當依據AI法案,加大宣傳引導力度,提高各類企業對算法所蘊含的機遇與風險的認知水平,積極推動可靠算法在企業中的應用。
助力中小企業合規應用:中小企業在算法治理體系方面較為薄弱,AP需要聯合其他監管機構以及各利益相關方,為中小企業提供切實有效的幫助,使其能夠在合法合規的前提下,妥善地運用算法開展業務。
收集最佳實踐案例:建議將重點放在算法風險識別和監測領域,積極與文化娛樂、信息通信等行業內的先進大型企業展開交流與合作,廣泛收集“最佳實踐”經驗。
利用監管沙盒:根據歐盟AI法案,為企業使用“監管沙盒”進行AI試驗創造有利條件。AP深度參與其中,不僅有助于總結和制定“最佳實踐”范例,還能夠為實施更具針對性的監管措施提供有力支持。
推動內部監督設立:考慮到近半數企業尚未設立內部算法監督崗位,AP應積極推動各類企業盡快設立相關職位,例如算法專員、AI專員或道德專員等。對于小型企業而言,可以由管理層承擔起相應的監督職責。同時,AP應為這些企業提供有關風險識別和監測的“最佳實踐”指導方案。
強化醫療領域監管:在醫療領域,74%使用算法的企業會涉及處理特殊類別個人數據,這種情況存在較大風險。因此,AP必須加強對該領域企業的監督管理,并為其提供更多的支持與指導,以確保個人數據的安全和合理使用。
加強金融行業關注:在金融服務行業中,部分企業頻繁使用算法進行個體決策,AP需要加大對該行業相關企業的監管力度,密切關注算法在金融決策中的應用,防范潛在風險。
重視第三方關系管理:AP應當著力提升企業對第三方關系風險的重視程度,企業開發諸如供應商評估、合規清單等實用工具,同時加強對《通用數據保護條例》遵守情況的監督檢查。
調查特定算法使用:目前,有7%的企業使用算法進行無人工干預的個體決策,這種做法極有可能違反相關法規。AP應對此類企業展開深入的后續調查,并根據調查結果,在必要時果斷采取相應的行動。
定期評估研究動態:建議定期重復開展此項研究,或者實施簡化版本的研究項目,持續監測荷蘭企業在算法使用和管理方面的發展動態。
來源|荷蘭數據保護局官網
編譯 | 張羽翔
審核 | 唐巧盈