企业科技伦理审查与合规观察
发布时间:2023.04.14
来源:
浏览量:3665
科技伦理审查是为了避免科学技术的工具理性与价值向善的人类伦理道德之间的背离冲突,以及可能触发潜在的无法预估的严重后果而诞生的制度。[1]该制度具备内部风险合规管理的自治和公权力规制相结合的特征,在功能上确保了科学研究严守科技伦理道德底线。随着计算机科学领域的技术不断进步,人工智能、算法、自动化决策等技术所面临的伦理风险也逐步提高,近年我国在该领域陆续出台了一系列的规范,在信息服务、算法推荐、数据安全等方面的管理进行规范,《关于加强科技伦理治理的意见》也明确提出人工智能领域作为科技伦理敏感领域应当着重予以关注。科技部近日发布《科技伦理审查办法(试行)》(征求意见稿)向社会公开征求意见,对应当建立科技伦理审查制度的科技活动范围、应当建立的审查制度、敏感领域科技活动专家复核等进行了明确,特别是只要涉及到个人信息处理的科技活动均被纳入到科技伦理审查的范畴,这代表着科技伦理责任主体将进一步扩张,规范体系将进一步完善。本文对计算机科学领域的科技伦理相关规范、违反科技伦理的案例以及拟上市企业涉及科技伦理的相关问询案例进行梳理,并从识别科技伦理敏感领域、组织架构等方面提出合规建议。目前,针对计算机科学领域已经形成了法律、法规、部门规章等具体法律规范,各类意见、规划等行政指引以及伦理准则、国家推荐标准及行业标准等自律规范三位一体的多层次科技伦理规范体系:从法律规范层面来看,当前与计算机科学领域科技伦理相关的法律主要包括《科技进步法》《个人信息保护法》《数据安全法》《国家科技计划实施中科研不端行为处理办法(试行)》等。此外,部门规章层级对科技活动、互联网信息服务、人工智能等领域予以规范,如《科学技术活动违规行为处理暂行规定》《科研失信行为调查处理规则》《互联网弹窗信息推送服务管理规定》《互联网信息服务深度合成管理规定》《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理办法(征求意见稿)》等。从行政监管和行政指导层面来看,当前在计算机科学领域着重通过规划、指南等行政指引的方式对科技伦理进行规范指引,如《关于加强科技伦理治理的意见》《新一代人工智能发展规划》《新一代人工智能伦理规范》《网络安全标准实践指南》等。计算机科学领域以及相关行业通过制定自律规范对科技伦理予以行业层面的自律规范和指引,如央行制定的金融行业标准《金融领域科技伦理指引》(JR/T 0258—2022)、行业协会、企业发起的《新一代人工智能行业自律公约》等。从逐渐完善的企业科技伦理“三位一体”的规范体系来看,计算机科学领域对科技伦理的具体要求愈来愈明确的特征。如国家网信办4月11日发布《生成式人工智能服务管理办法(征求意见稿)》明确了符合社会主义核心价值观、禁止歧视、知情同意等具体伦理要求。同时,在算法推荐、信息推送、信息深度合成等细分领域,对相关科技活动提出了更具体的伦理要求。截至目前,涉及科技伦理的相关案例主要与生命科学、医学有关。从科技部共公布8件涉及科技伦理的行政处罚决定,处罚对象均为违反人类遗传资源管理规定的国际医学合作行为,包括未经许可将部分人类遗传资源信息从网上传递出境、将剩余样本用于开展超出审批范围的科研活动、提交虚假材料等,处罚结果为警告、暂停合作、销毁材料等。[2]此外,从2021年6月至今由科技部公布的教育、医疗机构医学科研诚信案件调查处理结果,有3个案件明确违反科技伦理,但未明确违反科技伦理的具体情形。[3]违反科技伦理的行为除可能承担单位内部责任、行政责任以外,根据具体情节还可能构成刑事犯罪并遭受刑事处罚。如在贺某某非法行医案中,法院认定贺某某逾越科研和医学伦理道德底线,贸然将基因编辑技术应用于人类辅助生殖医疗,认定构成非法行医罪。[4]根据《需要开展专家复核的科技活动清单》,其中明确算法模型、应用程序及系统的研发,人机融合系统研发,自动化决策系统研发等计算机科学领域的科技活动,其中可能涉及的个人信息、数据等敏感领域,如不进行相应的科技伦理审查与规制,同样也可能面临网络安全、数据安全、个人信息保护等领域的行政处罚,甚至还可能构成公民个人信息、计算机信息系统等类型的犯罪。从近年拟上市企业涉及科技伦理的相关审查案例来看,相当数量的人工智能应用行业的拟上市企业,在问询过程都会遇到AI伦理方面的问题(见表1),可以看出监管部门重点关注AI领域的企业科技伦理治理问题。监管问询的核心问题在于:AI技术是否可控,AI技术是否符合伦理规范的措施与规划,以及企业在技术开发和业务开展过程是否面临伦理风险。拟上市企业主要围绕科技伦理治理的组织架构、内部控制、技术手段、人员管控、伦理审查等方面,对企业内部科技伦理合规性进行说明,进一步表明科技伦理是开展科学研究、技术开发等科技活动需要遵循的价值理念和行为规范,是促进科技事业健康发展的重要保障。部分企业回复中也明确,目前科技伦理体系建设在部分领域中存在法律规范、行业规范等缺失的问题。
三、合规建议
参考《科技伦理审查办法(试行)》(公开征求意见稿)的内容,该文件对应当进行科技伦理审查的科技活动进行了明确,并对具体科技伦理审查进行规定,作为最新的合规义务来源,结合前述案例对各类企业,尤其是拟上市企业提出以下合规建议:
《关于加强科技伦理治理的意见》规定,从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会。《科技伦理审查办法(试行)》第三条对应当进行科技伦理审查的范围即科技敏感领域进行了明确,并通过清单式管理明确应当进行伦理审查专家复核。因此,在构建企业科技伦理治理体系之前,就应当进行科技敏感领域的识别工作,即是否必要建立科技伦理(审查)委员会、是否属于应当复核的科技活动等。如合合信息在回复问询时即对自身的业务领域进行了识别,包括虽涉及生命科学、医学、人工智能领域,但并不涉及敏感领域,因此无需设立科技伦理(审查)委员会,但随着合规义务来源的增加,上述企业应当进行再识别中如涉及人类生物样本、个人信息的,即应当进行科技伦理审查。在应当建立科技伦理(审查)委员会的情形下,除在组织架构中增设该委员会之外,还应当结合企业具体情况,厘清决策部门、管理部门、业务部门同科技伦理(审查)委员会之间的关系和职责分工,明确科技伦理在企业的常态化工作机制。如旷视科技在架构设计上,董事会下设人工智能道德委员会,负责伦理道德在研发学术、产品工程、客户渠道以及内部运营四个方向的适用。人工智能道德委员会下设AI治理研究院进行项目研究和学术交流。除应当根据《科技伦理审查办法(试行)》的要求,明确科技伦理(审查)委员会的制度建设外,还应当结合具体的业务类型从风险评估、信息管理、伦理审查等方面建立企业内部制度,进一步加强技术可控性和伦理规范性。如格灵深瞳就根据相应ISO标准,建立了包括《人工智能伦理审查管理制度》《信息安全问责管理制度》《网络与信息安全应急管理制度》《信息分类及账号安全管理程序》等在内的内部制度。在科技活动过程中,应当秉持伦理先行的基本治理要求。应当根据科技活动的不同类型和不同阶段,建立不同的伦理审查要求。如在算法、应用程序、自动化决策等人工智能产品的开发中,应当在项目立项、项目设计、项目技术开发、项目交付等不同阶段均实现伦理先行和伦理审查全覆盖,加强企业自身科技伦理建设,推动企业自主、自觉、自发完善企业科技伦理治理。所谓的人员管控,除了同员工签署保密协议、设置权限、明确追责、制定预案等以外,还应当推动形成企业科技伦理合规文化,引导科技人员自觉遵守科技伦理要求。因《科技伦理审查办法(试行)》在科技伦理(审查)委员会设置时应当包括非本单位的委员,在业务活动中也涉及相关交易对手,因此亦应当设立针对非本单位人员的管控措施。早在1985年,学者就指出计算机技术具有“逻辑延展性”,因为逻辑可以用于任何地方,所以计算机技术也可以作为一项通用技术。正是因为这一原因,出现了关于计算机技术应当如何应用的政策真空。而计算机伦理的中心任务便是决定在这些情况下我们应当做什么,即制定指导我们行为的政策。[5]计算机技术的发展到当今人工智能阶段,仍然适用该结论,同样的该结论也适用于所有的科技活动。现今,科技伦理合规已经成为企业合规的一大重要组成部分,不履行相应义务除可能引发民事侵权等民事责任外,还可能产生前文提及的内部责任、行政责任乃至刑事责任。在刑事领域,科技伦理合规建设亦系合规考察的一部分,企业可以根据需要聘请外部专家通过企业法律顾问、加入科技伦理(审查)委员会等形式,协助推进科技伦理合规建设。
[1] 陈书全、王开元:《国家治理视域下科技伦理审查的制度路径》,载《科技进步与对策》2022年第18期。
[2] 见科技部官网,https://www.most.gov.cn/xxgk/xinxifenlei/fdzdgknr/xzcf/,2023年4月9日访问。
[3] 分别见科技部官网2021年11月19日、2022年1月25日、2022年3月17日调查处理结果通报,https://www.most.gov.cn/zxgz/kycxjs/,2023年4月9日访问。
[4] 《“基因编辑婴儿”案一审宣判 贺建奎等三被告人被追究刑事责任》,载环球网2019年12月30日,https://health.huanqiu.com/article/3wPdBvsR3A1。
[5] Moor J, What is Computer Ethics?, Metaphilosophy,266-275(1985).