积跬步,至千里——算法治理之互联网信息服务算法推荐管理
前言
继《数据安全法》及《个人信息保护法》等法律法规从一般规则层面概括性地对数据新技术的开发应用、自动化决策等的公平公正性进行总体性规范[1]后,国家网信办于2021年8月27日发布了针对互联网信息服务算法推荐的专门管理规范——《互联网信息服务算法推荐管理规定(征求意见稿)》(以下简称“《规定》”)。相比于此前法律法规层面对于算法监管的总体、概括性要求,《规定》以互联网信息服务为基础,从算法的公平公正及信息内容角度对算法推荐服务提出了各项具体细化的要求,反映了有关部门对于数字产业监管愈发深入,已从对于算法问题所凸显的法律价值层面的监管渗透到对于算法应用过程的技术性监管。
同时,《规定》还尝试在监管策略上对算法推荐服务建立起一套流程监管体系,在进行实体规范的同时,以程序化的方式保障算法推荐服务应用的向善性。相比于国外在算法治理统一规则方面的尝试(例如欧盟在今年四月颁布的《人工智能法案》,具体可见我们此前发布的文章《算法治理系列之——智能时代的算法治理》),《规定》充分考虑了国内当下对于算法监管治理的理论与实践现状,采取了“专题性”的规则设定思路,在监管要求上将更具针对性和灵活性。
一、《规定》的适用范围及规制对象
根据《规定》第二条,《规定》主要适用于在中华人民共和国境内应用算法推荐技术提供互联网信息服务。
首先,对于“算法推荐技术”的范围,《规定》从算法适用的功能场景及所应用的技术类型出发,明确了其包含应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术:
生成合成类算法:我们理解,该类算法基于深度学习技术拟合一种概率分布,从而合成或生成文本、语音、图像等文件,如利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息。该类算法技术同样可能适用于AI换脸APP涉及的“深度伪造”与“深度合成”等场景。
个性化推送类算法:我们理解,该类算法通过人工智能分析和过滤机制对海量数据进行深度分析,可以实现信息内容与用户的精准匹配,例如线上购物软件通常可应用该算法,基于用户喜好为其推荐可能喜欢、感兴趣的商品。
排序精选类算法:该类算法可以将一串资料依照特定方式排序,例如搜索引擎对搜索结果进行排序展示。
检索过滤类算法:该类算法可以基于用户需求或法律要求,从可行的决策(推荐)方案中过滤出合适的推荐结果,例如可用于自动识别敏感字词。
调度决策类算法:该类算法可以在资源有限但有多个进程同时发出请求的情况下,决定合适资源使用者,如作业调度算法、进程调度算法等。典型场景如网约车平台调度算法向乘客附近的网约车司机派单,并为司机与乘客提供信息撮合服务。
其次,《规定》对于算法推荐技术的类型在定义中采用了非穷尽列举的方式。从内容上看,《规定》实质规制的算法类型并不局限于上述算法类别。例如,《规定》第十八条强调,算法推荐服务提供者向消费者销售商品或者提供服务的,不得利用算法在交易价格等交易条件上实行不合理的差别待遇等违法行为。该规定剑指当下平台经济中的“大数据杀熟”热门问题,虽然《规定》指出价格歧视行为是算法基于消费者的偏好、交易习惯等因素进行的决策,但“大数据杀熟”除推荐算法外,不排除还会应用到定价类算法,因此《规定》实际适用范围可能会被扩大。
此外,《规定》将算法推荐技术的监管场景限定于“互联网信息服务”范畴,而根据《互联网信息服务管理办法》:互联网信息服务是指通过互联网向上网用户提供信息的服务活动,包括经营性互联网信息服务与非经营性互联网信息服务。可见,互联网信息服务仍可能涵盖较大范围的线上服务场景,无论是网站还是App、是提供电子商务服务还是社交娱乐服务,只要涉及以互联网为媒介向用户提供信息,则会落入互联网信息服务的范围内。
二、算法推荐服务的监管原则与规则
《规定》在第四条与第六条中提出算法监管的主要原则——公正公平、公开透明、科学合理、诚实信用以及内容向善原则,并以此为基础在后续条文中进一步明确具体的监管规则。纵观《规定》全文,其对于算法监管细则可主要分为两类,一类是对算法推荐服务提供者提出的新增要求,另一类是在既有法律法规规章基础之上对涉及算法场景的细化要求,因此前者对应的罚则为《规定》所直接规定的法律责任,而后者的法律责任则是需要按照既有的法律、行政法规和部门规章的规定进行处理。本章节将对上述算法监管原则及相应的细化规则进行梳理和总结,以为公司提供指引和参考。
1. 公正公平、科学合理、诚实信用
上述原则要求算法推荐服务提供者在为用户提供服务时一方面应当保证对不同用户所提供的服务的平等性和合理性,避免歧视对待;另一方面也应确保服务本身符合商业道德要求,防止造假、欺诈、利用信息不对称实施欺骗等现象。
根据《规定》,算法推荐服务提供者应当从以下方面落实上述原则:
(点击查看大图)
2. 公开透明
算法的透明度原则是国际社会在进行算法监管时所普遍要求的原则之一。算法的公开透明、可解释性一方面可以保障作为用户或者消费者的算法使用者的知情权,另一方面有助于算法服务提供者自证算法合规,例如算法服务提供者为证明其算法并未设置诱导用户沉迷或者高额消费等违背公序良俗的模型,或者并未根据消费者的偏好、交易习惯等特征在交易价格上实行不合理的差别待遇,其需要对其的算法逻辑、基本原理和机制进行解释。除此之外,算法的公开透明原则也有助于对算法进行监测和审核,以确保其运行状态和输出结果在预期范围内且相对可控。
《规定》中为落实算法的公开透明原则提出细化要求,企业可从以下方面加强算法的公开透明程度:
(点击查看大图)
3. 内容向善
根据《规定》第六条,算法推荐服务提供者应当坚持主流价值导向,优化算法推荐服务机制,积极传播正能量,促进算法应用向上向善,同时不得利用算法推荐服务传播法律、行政法规禁止的信息。《规定》对此从多方面进行了细化规定,企业可以参考以下要求完善算法内容合规体系:
(点击查看大图)
三、《规定》提出的具体监管手段
在《算法治理系列之——智能时代的算法治理》一文中我们提到,国际社会的算法规制的方式较为多样化,大致可以分为事前、事中与事后三个阶段的监管模式。其中,事前的监管方式主要包括禁止算法使用、备案、影响评估、对AI算法(系统)设计提出要求等;事中的监管机制主要包括要求算法供应商主动持续上报和赋予主管机构对AI算法系统检查和监视权力两种模式;事后的监管机制主要指赋予用户私人诉权或赋予国家权力机关代为行使诉权的救济模式。本次《规定》从监管方式上看似与上述监管思路有所交叉,具体而言包括分级分类、备案、安全评估、配合检查等。
1. 分级分类
根据《规定》第十九条,网信部门将对算法建立分类分级管理制度。企业可以根据下列因素对既有算法进行梳理并进行初步分类分级,以识别出敏感程度较高的算法,并加强对其的审核、监测以满足上述算法推荐服务监管规则的要求:
(1)舆论属性
(2)算法的社会动员能力
(3)内容类别
(4)用户规模
(5)算法推荐技术处理的数据敏感程度
(6) 对用户行为的干预程度
2. 备案
在上述分级分类制度的基础之上,根据《规定》第二十条和第二十二条,对于满足特定条件的算法推荐服务提供者,还须履行一定的备案手续,保障执法部门对于企业算法推荐技术应用的干预监管:
(点击查看大图)
3. 安全评估
在上述分级分类制度的基础之上,根据《规定》第二十三条,具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。算法推荐服务提供者应当完善算法推荐服务管理机制,对算法推荐服务日志等信息进行留存,留存期限不少于六个月,并在相关执法部门依法查询时予以提供。若相关算法推荐服务提供者未按上述要求完成安全评估或日志留存等义务,则按照有关法律、行政法规和部门规章的规定予以处理。
4. 配合检查
根据《规定》第二十四条第二款,算法推荐服务提供者应当配合有关主管部门依法实施的安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。对于违反者按照有关法律、行政法规和部门规章的规定予以处理。这意味着主管机构在进行安全评估和检查工作时,算法推荐服务提供者可能需要向其提供数据、算法模型等,以供其查验。
四、结语
《规定》是我国首次专门针对算法推荐建立监管规则,对于算法推荐服务的深层技术性要求反映了执法部门对于网络信息安全治理已经逐渐从统一规则的普适性监管到特定领域和场景的纵深性监管,这也进一步提示企业,未来企业内部的业务合规工作将不再仅聚焦于整体层面的合规内控框架,对于诸如算法应用等具体场景下的技术合规工作也将愈发必要。
如前所述,在《规定》发布之前,已有多部部门法律法规或规范草案对算法及自动化决策等类似技术在不同场景下的应用提出了规范要求,例如《个人信息保护法》第二十四条要求个人信息处理者利用个人信息进行自动化决策时应当保证决策的透明度和结果的公平公正,不得实行不合理的差别待遇;《数据安全管理办法(征求意见稿)》也曾就基于信息收集采取的服务质量与价格歧视行为、采取自动化手段访问收集网站数据、利用用户数据和算法进行的定向推送,以及利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等行为进行规制。在电子商务领域,《电子商务法》第十八条也规定了类似的“大数据杀熟”条款,而《网络交易监督管理办法》涉及的多个条款,包括搜索降权、下架商品、限制经营、屏蔽店铺等干涉平台经营者自主经营的行为等,以及向消费者发送商业信息等行为,都可能使用算法完成。此外,《国务院反垄断委员会关于平台经济领域的反垄断指南》对平台领域内可能涉及的算法共谋,以及利用算法进行的拒绝交易、限定交易、差别待遇等行为进行规制。在具体的罚则方面,《价格违法行为行政处罚规定(征求意见稿)》还专门规定了“新业态中的价格违法行为”,对就基于算法实施价格歧视的行政处罚进行规定。司法实践中,近期浙江省绍兴市柯桥区人民法院还就某用户与在线旅行平台的“大数据杀熟”纠纷中明确平台作为中介对标的实际价值有如实报告义务,如未践行承诺则可能存在虚假宣传、价格欺诈和欺骗行为。[2]该案例被视为“大数据杀熟”领域法院判决消费者方胜利的第一案。
这些以往的立法规则、司法实践进一步说明,算法的治理与监管具有较高的多维度价值取向性,一项算法技术的应用将不仅涉及某一部门法领域的监管规则,甚至且往往牵扯多部门、多领域监管规则的“竞合”。在这一背景下,企业更应审慎对待自身算法技术的内部监管与合规,现阶段在进行算法技术开发与应用的内部审查时,在关注《规定》的监管走向和趋势的同时,更应综合考虑其他部门领域的法律法规和监管要求,保障内部审查内容与审查流程的全面性和完整性。
总之,《规定》是我国对算法监管迈出的重要一步,首次系统地从实体与流程监管方面对互联网信息服务场景下的算法伦理与合规提出要求。我们可以期待,未来算法的纵深式监管将愈发趋向于专业化和技术化,在回应监管需求的同时为技术可行性留下操作空间。
脚注:
[1] 例如,《数据安全法》第二十八条规定,开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
[2] https://new.qq.com/omn/20210716/20210716A0ESYA00.html ,最后访问:2021年8月29日。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
陈胜男
主办律师
合规业务部
屈尘
律师助理
合规业务部
感谢实习生张子谦对本文做出的贡献。
责任编辑:魏雪婷
编辑:贾肖男
网络安全、数据合规与治理团队专题人工智能:
算法治理系列之——智能时代的算法治理 2021-06
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
我们应该羡慕欧盟国家对个人数据的绝对保护吗?2021-08
数中有术、术中有数——数据权益理论与司法实践探析(下篇)2021-08
数中有术、术中有数——数据权益理论与司法实践探析(上篇)2021-07
利刃出鞘:《数据安全法》下中国数据保护路径解读 2021-06
个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5
数字征信时代的重要信号——征信业务新规草案解读 2021-1
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
Personal Information Protection Law (Draft): A New Data Regime 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
Innovations & New Developments of Cybersecurity Review Measures 2020-05
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
我知道你 在看 哦