人工智能和数据安全治理：认证与法规

要最大程度地降低风险，您与您的训练数据合作伙伴需要了解的法规

众所周知，成功的人工智能 (AI) 计划需要投入时间、金钱和精力。但是，许多模型在走出试验阶段的道路上会遇到一大障碍：数据。谈及高质量的训练数据，人们想到的往往是非常准确的数据标注。但是，数据的另一重要方面是确保正确收集、使用和管理数据的数据治理策略。对于人工智能项目的部署而言，数据管理的合规性和数据的准确、高效同样重要。数据管理团队必须既要具备安全和隐私问题方面的知识，也要充分了解当地的法律法规。

工信部印发《电信和互联网行业数据安全标准体系建设指南》

近日，为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求，指导电信和互联网行业数据安全标准化工作，工业和信息化部组织制定了《电信和互联网行业数据安全标准体系建设指南》。

《指南》结合新一代信息通信技术发展情况，将包含人工智能在内的多个新兴产业作为重点领域进行布局。《指南》指出：“人工智能安全覆盖个人信息安全、算法安全、数据安全、网络安全等。人工智能领域的数据安全标准主要包括人工智能平台数据安全、人工智能终端个人信息保护等。” 在组织实施方面，《指南》鼓励企事业单位加强国际交流合作，积极参与数据安全国际标准化活动，推动相关国际标准的制定。 无论您是自己管理 AI 模型的数据采集和数据标注，还是寻找像澳鹏这样的数据合作伙伴为您管理，理解信任和透明度这两个数据处理的关键要素都尤为重要。这是个充满挑战的过程，所需的专家既要有安全和隐私问题方面的知识，也要了解当地法规。 正确的数据管理合作伙伴（无论是内部的还是外部的）要拥有适当的基础架构和协议，既能够保护敏感数据，又能够遵守最高级别的数据安全要求。有几项严格的数据安全认证和资格认证，能够很好地表明您是否具有适当的工具来保护您的数据。如果您正在寻找数据合作伙伴，要确保他们符合以下安全资质要求：

通用数据保护条例 (GDPR)

它是什么？ 通用数据保护条例 (GDPR) 是欧盟的一项法规，要求企业遵守收集和处理欧盟成员国公民个人数据的准则。GDPR 影响广泛，不过欧盟以外的许多国家/地区也制定了类似的政策和保护措施来保护其公民的个人数据。不遵守这些规定的企业将面临经济处罚，并可能承担法律后果。澳鹏(Appen)的安全策略和流程已经全面通过GDPR的合规性评估。澳鹏(Appen)在全球的100多万名众包人员也必须遵守。

它为什么重要？ GDPR 适用于为欧盟客户提供服务的所有企业，无论企业的总部位于何处。任何想要向全球扩展的组织都需要遵循这些准则。 如果您要为欧盟客户提供服务，请寻找完全符合 GDPR 要求的数据合作伙伴。这就是说，他们要具备关于数据保护、网络安全和其他风险管理程序的安全策略。此外，如果您选择的合作伙伴使用众包人员，则您的合作伙伴应保证这些标注者的个人数据也符合 GDPR 要求。 阅读 GDPR 全文。

SOC 2 Type II 认证

它是什么？ SOC 2 Type II认证被视为数据安全的黄金标准，该标准同时也适用于美国注册会计师协会 (AICPA) 。SOC 2 Type II 认证体现了澳鹏(Appen)对于企业级数据安全性、隐私、可用性和高质量的承诺。 它为什么重要？ SOC 2 Type II 评估是企业可以获得的最全面认证，通过该评估的要求也非常严格。选择已获得 SOC 2 Type II 认证的合作伙伴意味着您的数据会按照最高安全和合规标准予以保存。 阅读更多有关 SOC 2 的内容。

ISO27001

它是什么？ ISO 27001:2013 即信息安全管理系统 (ISMS) 的要求规范。这些要求涵盖 ISMS 的创建和维护。ISMS 是组织的风险管理流程的策略和程序框架，它应涵盖在评估和缓解安全风险方面所涉及的所有控制措施。澳鹏(Appen)已在全球获得ISO 27001安全认证，包括澳鹏(Appen)在中国上海的商务和研发总部、以及无锡和大连的数据服务交付中心。

它为什么重要？ 选择使用 ISO 27001 要求的组织利用最佳安全实践来管理个人数据和其他资产。数据合作伙伴如果在其 ISMS 系统方面遵循这些规范，则可确保全面的安全和隐私协议。 阅读更多关于 ISO27001 的内容。

HIPAA

它是什么？ 美国 1996 年《健康保险携带和责任法案》 (HIPAA) 提供了保护个人健康信息的联邦标准，确保个人信息得到安全保管并仅在特定情况下披露。 它为什么重要？ HIPAA 保护个人的隐私权。它避免可能导致歧视性做法的信息传播，并防止患者身份信息遭到盗用。HIPAA提供了保护个人健康信息的标准，确保个人信息得到安全保管并仅在特定情况下披露。 如果您参与医疗保健行业，或者将要处理某种形式的受保护健康信息 (PHI)，则需要一位符合 HIPAA 要求的数据合作伙伴。澳鹏(Appen)安全的数据访问可满足处理PHI的所有安全要求；NDA自定义渠道使用符合HIPAA要求的标注者；拥有由澳鹏(Appen)托管的私有云部署；采用基于安全声明标注语言的单点登录。 阅读更多关于 HIPAA 的内容。

我们能为您做些什么

在澳鹏，您的模型所使用的数据需要给以最大限度的关注和保护。我们致力于确保为客户提供最高的安全标准，而且为能够符合下列多项标准并获得认证感到自豪：

• GDPR：我们的安全策略和流程已经通过了全面的 GDPR 合规性评估。我们还坚持让我们的一百多万名众包标注者遵守 GDPR 准则（若适用）。
• SOC 2 Type II：我们的 SOC 2 Type II 认证证明了我们对企业级安全性、隐私、可用性和性能的承诺。我们每年进行一次 SOC 2 检查，以表明我们持续不断地致力于保护您的数据。
• ISO 27001:2013：我们提供一系列安全服务产品，包括在全球获得 ISO 27001:2013 认证的安全设施，以及“安全工作空间”远程服务。
• HIPAA：我们很自豪能够提供下列符合 HIPAA 要求的解决方案：
• 安全的数据访问可确保满足客户处理 PHI 的所有数据安全要求
• NDA 自定义渠道，使用符合 HIPAA 要求的标注者
• 由澳鹏托管和管理的私有云部署
• 基于安全声明标注语言 (SAML) 的单点登录 (SSO)，使客户可通过自己选择的身份提供商 (IdP) 访问澳鹏数据标注平台

进一步了解我们如何在数据标注和收集安全流程方面为您提供帮助，同时让您自信地部署世界级的 AI。