落实国家算法治理的决策部署
魏永征 周丽娜
当下算法治理研究成为一个热点话题,有国家网络法制建设背景,去年九月国家网信办、中宣部等九部委下发《关于加强互联网信息服务算法综合治理的指导意见》,要求三年左右建立健全完善的算法综合治理格局;年终国家网信办等四部门又发布部门规章《互联网信息服务算法推荐管理规定》,就同广大用户关系最为密切的算法推荐服务建立了规管制度,网络界和学界反映强烈,认为是国家开展算法综合治理的良好开局。
算法入法并不自如今始。可以查到最早提到“算法”的法律是2004年《电子签名法》。下位法那就更早,如1999年《商用密码管理条例》。不过这些文件只是将算法列为一种应用,谈不上规制或治理。
而算法应用可以说是时刻与上网相伴随的,常见如搜索引擎。用户与平台之间就有可能发生利益冲突。一个著名案例就是2015年南京发生的所謂cookie引發隐私权纠纷第一案:用户朱烨从百度进行搜索后就会被推送相关广告,为此起诉,一审胜诉,二审法院认为平台在留存用户搜索信息时已经与个人分离,就是已经匿名化,并无公开用户信息行为,改判驳回起诉。
这个终审判决,不要说用如今的法律,就是用当时的法律来衡量也是错的。这不是公开用户信息问题,而是最普通最常见的算法推荐。2012年全国人大常委会关于加强网络信息保护的决定就规定,任何组织和个人未经当事人同意或者请求,不得向其发送商业性电子信息。更不用说稍后修改的《消费者权益保护法》《广告法》了。我当时就刊登文章提出质疑,后来此案写入教材第5版一直保留现在的第7版。
我举此例是说明,虽然我国标明算法治理为主题的法律文件还不多,但是随着网络法制的发展,网络法治的推进,相关规则实际上已经初具形态。算法是互联网运作的基础,是信息传播、电子商务、社交互动、金融流通、个人信息处理和保护乃至娱乐游戏等等网络运营的起点,从这个意义上说,深化网络法治,一定离不开算法治理。反过来,算法治理不上正轨,也不能说有了完善的网络法治。
近年来,除刚才提及的法律外,还有如:作为网络法领域的基础性法律2016年《网络安全法》在总体上规定网络运营者与用户之间的权利义务关系,包括运营者对收集的用户信息的各项义务以及用户对其个人信息的知情权、删除权和更正权。2018年《电子商务法》 就电子商务经营者与消费者关系作了系统规定,包括按照消费者兴趣爱好习惯等特征提供商品或服务的搜索结果的,应同时提供其他选项等。2021年《数据安全法》就数据的处理作出了系统规定,而数据是算法运行的基础原料。同年出台的《个人信息保护法》则构建了以“告知-同意”为核心的个人信息处理规则,就个人作為数据主体对自身信息的知情权和决定权作出规定。同时规定了信息处理者在利用个人信息进行“自动化决策”应该承担的义务。上周刚刚颁布的新修《反垄断法》,增列了具有市场支配地位的经营者禁止利用数据和算法等滥用其地位的规定。
以上法律,可以说是建立了算法治理的顶层设计。国家三年建立算法综合治理格局的目标,正是以这些上位法为依据。除了“算法推荐管理规定”,近年来主管部门还发布若干部门规章和规范性文件,如《网络信息内容生态治理规定》(2019)、新修《互联网用户公众账号信息服务管理规定》(2021)、《关于进一步压实网站平台信息内容管理主体责任的意见》(2021)以及若干其他部门下发的文件,此外还有若干正在起草中的法规、规章征求意见稿,也都包含了算法治理的内容。
回顾历程,我们提供几条体会,请各位指正。
一,正确价值观驾驭算法。自动化运行造成算法似乎纯属机器行为的假象,有人宣扬算法与价值观无关。不错,算法本身不会说谎,但是,算法按照一定模型运行,背后体现的是人的思想。算法可以造福,也可能作恶。而其原因不在算法,而在获取、喂养数据和设计算法模型的人。眼下算法风险已经广泛渗透各个领域,涉及国家安全、市场竞争、人格利益、生命健康等诸多内容。所以以正确价值观驾驭算法,这是我们完善算法治理的出发点。
二,透明、公开,是算法治理的一个关键问题。按照传统网络三层次的划分,算法模型及运行不在人们可以直接感知的内容层,而在其下的逻辑层或称代码层。“算法推荐管理规定”确立了具有舆论属性或者社会动员能力的算法推荐服务者的备案制度,被认为是打破算法黑箱将治理深入到逻辑层的创举。而法律也规定了用户对自身信息处理的知情权,处理者对自动化决策的透明度;“算法推荐管理规定”则要求服务者以显著方式告知用户服务情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。所谓显著方式、适当方式,是不是必须以用户理解为原则?我们以什么手段、什么途径推动服务者落实?
三,实施,是完善算法治理的目标。法律的生命力和权威在于实施。算法以数据为原料,而大量数据产生于个人。随着科技发展,各种个人数据,包括《个人信息保护法》明文规定的个人生物特征、医疗健康、个人行踪等敏感信息,越来越成为处理者获取的热点。比如健康码,两年来在防疫工作中确实起到了积极作用,而其流程以人脸扫描为起点直至所到之处扫码留下数据,其每一步都涉及敏感信息,而至今我们尚未知晓普遍实施这一整套算法流程的法律依据、数据收集和判定的具体原则、运行责任主体、风险防范和保护救济措施等。已有法律有关规定在诸如此类场合下如何具体实施,尚需作出很大努力。
四,综合治理。目前算法治理重点在加强行政规制,这是必要的。但国家要求的“综合治理”是全方位的,其主体包括政府、企业、行业、用户。算法直接关涉亿万用户的切身财产、人格利益;何况行政部门也同样可以成为算法运行者。目前用户如何启动维权程序就是一个尚待解决的课题。在民事方面,有用户起诉企业“大数据杀熟”获得“退一赔三”的案例,但数量也不多。而对于如何要求政府部门算法运行履行告知、说明义务,如何保证透明度,对用户造成损害如何救济,可否走政府信息公开和行政诉讼程序,至今并无具体规定,也无先例,需要进一步研究。
Leave a Reply