以下是商汤招股说明书：隐私保护与AI治理

我们会受到有关隐私及数据保护的复杂及不断发展的法律法规及政府政策的约束。实际或被指控无法遵守隐私及数据保护相关的法律法规及政府政策可能会损害我们的声誉，阻止当前及潜在客户使用我们的产品及服务，并可能使我们遭受重大的法律、财务及运营不利后果。

近年来，隐私及数据保护已成为世界各国政府当局日益关注的监管重点。中国政府于过往数年内颁布了一系列关于个人数据保护的法律法规及政府政策。于开展业务时，我们可能需要处理客户及彼等最终用户的若干数据。于业务所在的多个地区及司法管辖区，我们亦受到有关数据隐私及保护的法律法规及政府政策的约束。此类数据隐私监管要求不断演变，且会受到不同解释或重大变化的影响，从而导致我们于该方面的责任范围变得不确定。例如，于2021年6月10日，全国人民代表大会常务委员会（「全国人大常委会」）颁布《数据安全法》，将于2021年9月生效。《数据安全法》对可能影响国家安全的数据活动规定了安全审查程序。于2021年8月20日，全国人大常委会发布《个人信息保护法》，将自2021年11月1日起施行，重申了个人信息处理者可以处理个人信息的情形及对此类情况的要求。《个人信息保护法》明确了适用范围、个人信息和敏感个人信息的定义、个人信息处理的法律依据以及通知和同意的基本要求。于2021年7月10日，国家互联网信息办公室出版《网络安全审查办法（修订草案征求意见稿）》，进一步重述及扩大网络安全审查的适用范围。根据修订草案，拟购买互联网产品及服务的关键信息基础设施运营者，以及从事影响或可能影响国家安全的数据处理活动的数据处理者（统称「运营者」）必须接受网络安全审查。该有效条款及预期通过或生效日期可能会发生重大不确定性的变化。此外，修订草案及现行监管制度下运营者的确切范围尚不清楚。在现阶段，我们无法预测修订草案的影响（倘有），我们将密切关注及评估规则制订过程中的发展。因此，仍不确定修订草案是否适用于本公司的业务、本次[编纂]或未来的监管变动是否会对类似本公司之公司施加额外的限制。倘所颁布的草案办法要求类似本公司之公司取得网络安全审查许可及完成其他特定行动，我们可能会面临能否及时获得或根本不能获得此类许可的不确定性。倘无法及时遵守或根本不能遵守网络安全及数据隐私要求，我们可能会受到政府执法行动及调查、罚款、处罚、暂停不合规运营等监管措施。请参阅「监管概览—有关网络安全及数据保护的法规」。因此，本公司或被要求升级产品及服务以遵守此类法律法规。

我们采取各种措施，包括董事会及管理人员的监督以及内部管理制度，以确保遵守隐私和数据保护法规。据中国法律顾问确认，于业务纪录期内及直至最后实际可行日期，本公司并无因不遵守或违反有关隐私及个人数据保护的适用中国法律法规而面临已解决、待决或受威胁将予作出的重大索赔、调查或法律程序。请参阅「业务—数据隐私及个人信息保护」。然而，总体而言，中国及其他国家有关隐私及数据保护的法律法规复杂且不断发展，其阐释及适用具有不确定性。因此，我们无法保证，根据适用的法律法规，隐私和数据保护措施已经并将始终被视为足够。此外，隐私及数据保护措施的完整性亦会受到系统故障、中断、不足、安全漏洞或网络攻击的影响。倘我们无法遵守当时适用的法律法规，或解决数据隐私及保护问题，此类实际或被指控的不足可能会损害我们的声誉，阻止现有及有意客户使用我们的产品及服务，并可能使我们承担重大的法律、财务及运营后果。

数据隐私及个人信息保护

我们高度重视数据安全及保护。我们已采取标准保护措施，包括保密分类、访问控制、数据加密及脱敏，以防止未经授权访问、泄露、不当使用或修改、损害或丢失数据及个人数据。

数据安全及个人资料保护管理委员会监督数据安全及个人资料保护工作。我们已建立全面的个人资料管理系统，并制订一系列技术标准及规范，以确保数据及个人资料于整个生命周期内的安全。

下文载列我们数据及个人资料保护措施的主要原则：

• 数据的授权存取及使用

客户委托我们就若干业务合作处理其数据。我们要求客户确认，彼等乃从合法来源获得该等数据并已取得该等数据的使用权，且彼等终端用户已同意协议中指定的使用目的。我们仅使用数据作客户明确授权的用途，例如身份核实、记录保存及统计数据，且不得将数据用于未经事先批准及同意的用途。我们持续监控与第三方的数据处理合作，并定期审查该等合作的内容、合作协议的范围及该等协议的执行情况，以确保遵守相关法律法规。

• 独立数据库及安全服务器系统

我们拥有自己独立的数据库，并且不会与其他第三方共享客户或终端用户的个人资料。我们的服务器系统已受增强的安全级别保护。我们定期对服务器运营进行用户账户审核及监控。一旦发现若干服务器系统出现安全问题，我们将立即升级有关系统，以确保服务器系统及应用的安全。我们已加强系统中敏感个人资料的加密力度，以确保数据保密性。我们拥有全面的个人资料安全及管理系统，涵盖我们数据、源代码、个人资料、第三方人员、网络安全事件及基础设施的安全管理。

• 全面的数据及个人资料安全及管理政策

我们已实施全面的雇员保密政策、数据使用审批程序及数据追踪机制，以确保我们数据库的安全性。我们已根据相关规则及法规制订相应的工作流程。作为数据处理者，我们已实施多项数据保护及网络安全措施，以确保我们妥善处理敏感数据，包括我们用于所有数据培训活动的数据脱敏技术.。通过对技术进步的持续投资，我们提高整体安全能力。同时，我们获得信息安全管理体系认证(ISO/IEC 27001：2013)、个人身份信息保护管理体系认证(ISO/IEC 29151：2017)及隐私信息管理系统体系认证(ISO/IEC27701：2019)等多项认证，重点产品已通过信息安全等级保护评测。此外，在产品设计方面我们高度重视数据安全，且产品在推出或交付给客户前必须通过数据隐私评估及安全测试。

• 定期审核及应急计划

我们每年对数据安全合规状况进行专项审核。我们已制订网络安全应急计划，并每年进行培训及安全演习，为任何紧急网络安全事件作好准备。倘安全措施受到影响，我们将根据相关法律法规向主管部门报告，并及时通知受影响的用户。

负责任及可持续的人工智能

我们坚持秉承负责任人工智能的原则，致力于应对全球社会、经济及技术可持续发展所面临的挑战。

坚守负责任人工智能的原则

我们于2020年6月发布关于人工智能可持续发展伦理准则的《AI可持续发展白皮书》，奠定我们关于人工智能伦理论述的基础，该白皮书已获纳入联合国经济和社会事务部发布的《人工智能战略资源指南》。于2021年，我们进一步提炼了负责任人工智能这一核心伦理原则（「人工智能伦理原则」）为以下几点：

• 可持续发展原则：我们致力于推动人工智能伦理的治理，以确保人工智能能够促进全社会的经济、文化及环境的可持续发展。在可持续发展原则下，我们提倡开放及包容的合作，促进人工智能在环境保护及和平发展方面发挥重要作用，倡导人工智能伦理方面的社会认识，并积极探索创新及可持续的人工智能治理模式的应用。

• 以人为本的原则：我们认为，人工智能技术带来的裨益最终应当与每一个人分享，而非仅仅与少数人分享。我们致力于追求不同文化之间的道德共识，并在此价值体系上建设包容性数字伦理。我们尊重及包容不同国家及地区的多样性，并努力减少因文化、种族、司法管辖区或其他差异而产生的偏见。在以人为本的原则下，我们着重强调人权、隐私保护及无偏见地应用技术。

• 技术可控原则：我们认为人工智能技术应该处于人类的监督及控制范围下。我们重视提升大众对人工智能技术的裨益及潜在风险的认知。在采用任何人工智能技术前，必须密切审查合法性、可验证性、可认证性、可信度、负责任及可靠性等关键指标。在技术可控原则下，我们遵守相关司法管辖区的适用法律及法规，并坚持通过以可审核、公开及透明的方式应用我们的人工智能技术，从而建立信任。

在该三项原则的指引下，我们运用领先的人工智能技术，以应对COVID-19疫情及气候变化等全球挑战，并长期促进创新、合作、环保及开放性。

人工智能伦理举措

通过遵循该三项人工智能伦理原则，我们在以下方面就人工智能伦理展开积极工作。

组织架构及管治

我们的人工智能伦理委员会领导负责任及可持续的人工智能举措。人工智能伦理委员会由六名成员组成，包括两名外部顾问（其等为人工智能伦理领域的学术专家）及四名高级管理层成员。我们的人工智能伦理委员会负责确定及实施人工智能伦理相关原则、战略及政策。其调动内部资源并与外部主要利害关系者沟通，以审查我们在人工智能伦理方面的实操并提供建议，以确保相关运作的专业性、中立性及客观性得到遵守。

内部举措

为遵循该三项人工智能伦理原则，我们已在营运的各个方面实施多项举措，包括风险控制、研究及培训。

人工智能伦理风险控制计划

我们已建立人工智能伦理审查程序，以审查及监测我们产品及服务的潜在伦理风险，涵盖从项目审批、产品及服务的发布、到持续运营监控，及其后的产品及解决方案迭代的整个生命周期。我们的伦理审查程序根据符合我们上述三项人工智能伦理原则的标准评估项目及服务。在评估过程中，我们可选择驳回新产品方案、中断进行中的产品开发项目，或停止不符合我们原则及标准的现有产品。我们亦非常重视数据隐私保护，并会对我们所有的项目及解决方案的数据隐私相关事项进行全面审查。有关我们对数据隐私保护措施的审查流程的详情，请参阅「—数据稳私及个人信息保护」。我们亦聘请外部顾问为我们的审查程序及风险管理模型提供建议，以确保我们的产品及服务符合伦理规范。

全球人工智能伦理研究成果

我们在人工智能伦理的研究涉及诸多课题，包括但不限于人工智能伦理及法律、人工智能治理及可持续人工智能。我们认为，该等研究工作巩固了我们人工智能伦理原则的基础，并将我们的产业实践与人工智能伦理原则结合起来。截至2021年6月30日，我们的研究已被纳入多项国际及国内报告，包括联合国儿童基金会发布的《儿童人工智能政策指南(Policy Guidance in AI for Children)》。

此外，我们自2019年起建立全球人工智能伦理案例数据库，以跟上全球人工智能行业不断变化的发展及伦理挑战。数据库已收集数以百计关于人工智能在现实生活中应用的正面及负面案例，涵盖城市治理、人工智能教育、人工智能医疗及自动驾驶。在为全球不同地区制订人工智能伦理治理政策的白皮书时，我们利用人工智能伦理案例数据库作为关键参考点。

培训及促进人工智能伦理

我们定期为员工组织人工智能伦理培训。我们自行设计并持续更新我们的伦理训练课程及材料。我们认为定期培训可提高雇员在日常工作中的伦理意识，该等培训对确保本集团对人工智能伦理的遵守至关重要。

合作

我们与第三方机构及智库的合作使我们能够实时了解人工智能伦理领域的最新发展，并在实施人工智能伦理实践时保持中立及客观。该等合作亦巩固了我们作为人工智能生态体系中的行业领导者的地位，并进一步提升我们在倡导负责任及可持续人工智能方面的影响力。

外部研究及合作

为推进我们在人工智能治理领域以人为本的原则，我们承担清华大学人工智能国际治理研究院的副理事长单位角色，该研究院是中国人工智能治理领域的领先学术机构，由国内外知名学者代表。我们与该等学者合作，推动诸如敏捷治理等创新及可持续的治理模式的研究。

我们在人工智能法律及合规领域倡导技术可控原则，并与上海交通大学共同成立计算法学与人工智能伦理研究中心，在数据安全、隐私保护、无偏算法等领域进行研究。我们亦与其他机构合作，对人工智能算法的可解释性进行研究。

为进一步推动我们可持续发展原则在全球发展，我们与联合国及其他国际组织进行深入合作。在联合国于2021年6月发布的《人工智能战略资源指南》(Resource Guide onArtificial Intelligence (AI) Strategies)中，《AI可持续发展白皮书》(Codeof Ethics for Sustainable AI Development)被选定为私营部门的主要参考出版物之一。

制订人工智能伦理标准的举措

我们担任人工智能可信赖国家标准工作组的副主席。我们参与起草由人工智能可信赖 国家标准工作组发起的13项国家或组织人工智能伦理标准。该等标准包括人工智能—风险评估模型、人工智能—伦理风险评估指南等。我们亦担任上海市人工智能标准化技术委员会副会长单位，使我们能够密切参与制订多个领域的行业标准，如负责任的人工智能、人工智能伦理及数据安全。