4月16日，荷兰数据保护局（AP）对部分荷兰企业的算法使用情况进行了调查研究，有1612家企业参与调查。研究发现，44%的参与企业在运营中使用了算法，但算法治理成熟度低，多数企业认为算法对业务运营并不重要，且规模较小的企业在算法治理方面存在更多问题等。基于此，研究提出多项建议，包括提高算法风险意识、关注中小企业、收集最佳实践等。

算法使用情况

研究发现，44%的参与企业会使用算法，使用比例与企业规模呈正相关。各行业均有涉及，每个行业至少有1/4的企业正在使用处理个人信息的算法，信息通信、文化娱乐、公共服务与医疗行业相对较多，农业、渔业等较少。不过，多数企业不重视算法，仅6%的企业认为算法对企业运作“非常重要”，27%使用算法的企业将其视为“极其不重要”。此外，企业使用算法主要应用于行政和营销领域，其中自动处理发票最为常见，其次是个性化推荐和自动存储个人数据。在算法类型上，近50%的企业使用基于规则的算法，但43%的企业无法明确所用的算法类型，体现出企业对算法的认知不足。

算法治理成熟度

研究从算法的合理应用、法规知识水平、新算法实施流程、风险意识以及风险应对措施等方面，对企业的算法治理成熟度进行评估，将成熟度等级分为“有限的”“临时的”“已确定的”“监测的”“优化的”五个等级。研究结果显示，超70%企业的算法治理成熟度处于“有限”或“临时”状态，反映出多数企业在这方面缺乏完善的结构和清晰的意识，多是临时应对。同时，虽然规模较大的企业成熟度相对较高，但即便是2000人以上的大型企业，也仅有50%达到“明确规定”及以上水平，说明大型企业在算法治理上同样有提升空间。

风险管理情况

风险分析、算法监督和风险缓解措施在约半数企业中尚未成为标准实践。57%的企业在使用算法前会进行风险评估，但仅有8%的企业还会在使用过程中进行持续监测。43%的企业会使用风险分析工具识别风险，其中数据保护影响评估（DPIA）使用最多（29%），但仍有近34%的企业表示不识别风险或不使用风险分析工具，还有约1/4的企业不清楚是否使用了相关工具。规模较小的企业以及农业、渔业等行业的企业，很少或几乎不采取风险缓解措施。在内部监督上，53%的使用算法的企业设有内部监督人员，但小型企业往往缺乏此类人员。

最具影响力算法的相关情况

这部分研究聚焦于荷兰企业中对个体影响最大的算法，主要从算法的用途、开发与使用情况、风险以及在个体决策中的应用这几个方面展开分析。多数企业表示其最具影响力的算法主要用于行政目的，如发票的自动化处理；11%的企业会在其最具影响力的算法中处理特殊类别个人数据，且在医疗应用场景中使用更为频繁，如健康数据是最常被处理的特殊个人数据。在算法开发上，65%的企业在其最具影响力的算法上依赖第三方，部分企业甚至不清楚所用算法的类型，不过大型信息通信和金融服务企业有自行开发的趋势。在风险方面，不到一半的企业会主动评估算法风险，小型企业在风险识别上存在较大缺失。在用于个体决策方面，75%的企业表示不会用算法进行个体决策，但大型金融企业相对常用；多数企业使用算法时会有人参与决策，但仍有7%的企业完全进行自动化决策。

建 议

增强算法风险意识：AP应当依据AI法案，加大宣传引导力度，提高各类企业对算法所蕴含的机遇与风险的认知水平，积极推动可靠算法在企业中的应用。

助力中小企业合规应用：中小企业在算法治理体系方面较为薄弱，AP需要联合其他监管机构以及各利益相关方，为中小企业提供切实有效的帮助，使其能够在合法合规的前提下，妥善地运用算法开展业务。

收集最佳实践案例：建议将重点放在算法风险识别和监测领域，积极与文化娱乐、信息通信等行业内的先进大型企业展开交流与合作，广泛收集“最佳实践”经验。

利用监管沙盒：根据欧盟AI法案，为企业使用“监管沙盒”进行AI试验创造有利条件。AP深度参与其中，不仅有助于总结和制定“最佳实践”范例，还能够为实施更具针对性的监管措施提供有力支持。

推动内部监督设立：考虑到近半数企业尚未设立内部算法监督岗位，AP应积极推动各类企业尽快设立相关职位，例如算法专员、AI专员或道德专员等。对于小型企业而言，可以由管理层承担起相应的监督职责。同时，AP应为这些企业提供有关风险识别和监测的“最佳实践”指导方案。

强化医疗领域监管：在医疗领域，74%使用算法的企业会涉及处理特殊类别个人数据，这种情况存在较大风险。因此，AP必须加强对该领域企业的监督管理，并为其提供更多的支持与指导，以确保个人数据的安全和合理使用。

加强金融行业关注：在金融服务行业中，部分企业频繁使用算法进行个体决策，AP需要加大对该行业相关企业的监管力度，密切关注算法在金融决策中的应用，防范潜在风险。

重视第三方关系管理：AP应当着力提升企业对第三方关系风险的重视程度，企业开发诸如供应商评估、合规清单等实用工具，同时加强对《通用数据保护条例》遵守情况的监督检查。

调查特定算法使用：目前，有7%的企业使用算法进行无人工干预的个体决策，这种做法极有可能违反相关法规。AP应对此类企业展开深入的后续调查，并根据调查结果，在必要时果断采取相应的行动。

定期评估研究动态：建议定期重复开展此项研究，或者实施简化版本的研究项目，持续监测荷兰企业在算法使用和管理方面的发展动态。

来源｜荷兰数据保护局官网

编译 | 张羽翔

审核 | 唐巧盈

声明：本文来自上海市人工智能与社会发展研究会，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。