算法之治：我的信息成了你的生意

2022-12-23

当下，我们已悄然迈入“万物互联、事事算法”的人工智能时代，算法正日益广泛的被应用于互联网信息推荐、电子商务、智能驾驶等社会多个领域，在我们生活中无处不在。

与此同时，算法的不合理利用问题也愈演愈烈，在算法技术的加持下，逐渐使网络用户变成“网络透明人”与“被操纵的傀儡”，日益威胁着个人权利、公共利益乃至国家利益，算法治理已经成为国内外政府关注的重要问题。如美国政府对于TikTok数据安全问题表示持续担忧，2022年11月15日，美国联邦调查局局长Christopher Wray表示，中国政府可能会利用TikTok来控制用户信息的收集或控制推荐算法^[1]。在多方压力下，TikTok宣布将美国用户的数据迁移到甲骨文公司拥有的美国服务器上，并且甲骨文正在TikTok算法和内容审核模型进行审查和验证，以确保它们不被中国操纵；在我国，为对各互联网平台使用的算法进行事前监督，2022年3月1日互联网信息服务算法备案系统正式上线，截止2022年12月，已有100个算法于该系统中进行备案。

在此背景下，本文从个人信息保护的视角，以算法备案为起点分析我国算法的算法治理之路。

一、域外算法备案发展现状

算法备案作为一种能够增强算法透明度的有效监管手段，除了我国，欧盟、美国亦在探索算法备案的实践之路。

可见，目前欧盟对于算法备案，主要针对事前高风险AI系统的登记备案，同时要求在线平台向用户公示其推荐系统如何影响信息的显示方式；而美国的“储存库”方案则是侧重于事中监察，通过不断更新储存库以对算法进行动态监管。

二、我国算法备案现状、问题及建议

为加强算法综合治理，我国网信办等九部门于2021年9月17日发布《关于加强互联网信息服务算法综合治理的指导意见》，要求构建算法安全监管体系；于2022年3月1号生效的《互联网信息服务算法推荐管理规定》对于算法备案进行细化规定，进一步构建互联网平台问责体系；将于2023年1月10日实施的《互联网信息服务深度合成管理规定》再次强调了深度合成服务提供者算法备案要求。

截止2022年10月，网信办合计公布100个备案算法，迈出了我国算法治理蓝图落地的重要一步。

（一）我国算法备案相关法律要求

在分析我国算法备案现状之前，需要厘清相关法律要求，具体如下表所示。

(二）我国算法备案问题及建议

我国的算法备案制度将算法治理领域全球公认的监管原则之一—算法透明落到了实处，推动了算法治理工作的常态化和规范化，有利于营造清朗网络空间。然而，如今的算法备案实践仍有部分尚可探讨进步之处：

1.针对应备案内容部分

(1) 未能实质解决违规收集、共享个人信息问题

实质上，算法就是对数据进行挖掘、运算和得出结论的一系列操作程序。数据是培育优质算法的重要基础，也是算法价值形成的根源。在算法技术加持下，数据资源得到了空前范围的汇聚、挖掘和变现。根据我国《个人信息保护法》的规定，处理个人信息需具备知情同意、最小必要的合法性基础，不得强制、过度收集个人信息。然而，出于算法技术的海量数据需求，采取的绑定收集、秘密收集、利用文字和 UI 界面设计等使得用户作出同意的“黑模式”（Dark Pattern）^[8]方式诱导用户提供个人信息成为部分互联网平台汇聚个人信息资源、强化算法优势而采取的秘而不宣的手段，具有为攫取商业利益而侵犯个人信息权利的风险。

然而，在“应备案内容”部分，我国并未要求算法服务提供者公示其实质使用的数据类型，未能实质解决违规收集、共享个人信息问题。

建议：此前，美国联邦贸易委员会（Federal Trade Commission，FTC）公布了一项处罚决定：要求Everalbum公司删除其从用户处收集的照片，并删除利用这些违法收集的数据训练出的所有算法。起因在于Everalbum在启动“朋友”功能时默认为所有移动应用程序用户启用面部识别。

结合上述美国案例以及我国《个人信息保护法》《消费者权益保护法》等相关法律法规，建议网信办等相关部门进一步细化算法公示维度，要求算法服务提供者公示收集并用于训练算法或提供服务的数据类型，亦或要求其对于个人信息收集、处理做出相关承诺，作为事后问责依据；同时，对于违规收集用户个人信息用于训练算法的算法服务提供者，除了一般性的警告、通报批评，责令限期改正、罚款等处罚外，还可以考虑对其处以删除用违规数据训练的算法的处罚。

(2) 未能实质解决用户标签管理不当的问题

根据相关规定^[9]，算法推荐服务提供者不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息，而算法公式的内容中未体现对这部分内容采取的措施。此外，也未要求披露算法运行中用户选择权及控制权的行使状况。

建议：可探讨算法服务提供者解释用户标签管理方式的可行性，要求其建立用户标签管理机制、不良信息识别机制，并可要求算法服务提供者主动提出应对算法公平、信息茧房问题的方案，如抖音在算法公示中，就主动提出对于“信息茧房”问题建立的“兴趣探索”机制。

2.针对备案信息公示部分：算法公示情况有待改进

算法备案与算法公示的目的是不同的，算法备案的目的是实现对监管部门的算法透明，便于算法监管的实现，对于算法信息披露程度要求较高；而算法公示的目的是实现对于用户及公众的算法透明，满足其知情权，保障合理利益及公众监督。目前，绝大部分算法服务提供者未于备案系统之外公示其算法。

建议：按照《互联网信息服务算法推荐管理规定》的要求，要求算法服务提供者在对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

三、结语：积极探索算法治理路径

毋庸置疑，算法在丰富个人生活的同时也带来了潜在的个人信息滥用的风险，我国算法备案制度在强化算法透明度、保护个人信息权益方面迈出了重要一步，但也有完善的空间，仍需进一步推进完善算法治理手段。

算法治理的对象是使用算法提供服务的行为。在算法备案方面，相关主管部门首先可以从算法的数据源头入手，避免其过度收集、共享个人信息的行为，并进一步探讨算法服务提供者建立用户标签管理机制、不良信息识别机制的可行性；同时，加强备案信息公示程序的监督工作，进一步完善算法备案制度，切实保障算法透明、算法监督与用户权益。除了算法备案制度外，亦应落实算法影响评估制度与审计机制，互联网平台在利用算法开展业务之前，应当对应用算法可能造成的风险进行影响评估，并由独立第三方对算法进行审计，以保障算法合法合规应用。

文中备注：

[1]https://executivegov.com/2022/11/christopher-wray-fbi-has-national-security-concerns-over-tiktok/

[2] High-risk AI systems will be subject to strict obligations before they can be put on the market, including:Adequate risk assessment and mitigation systems；High quality of the datasets feeding the system to minimise risks and discriminatory outcomes;Logging of activity to ensure traceability of results;Detailed documentation providing all information necessary on the system and its purpose for authorities to assess its compliance;Clear and adequate information to the user;Appropriate human oversight measures to minimise risk; andHigh level of robustness, security and accuracy. https://www.scl.org/news/12247-european-commission-proposes-a-risk-based-approach-to-regulate-use-of-ai,

[3]Article 51 Registration Before placing on the market or putting into service a high-risk AI system referred to in Article 6(2), the provider or, where applicable, the authorised representative shall register that system in the EU database referred to in Article 60.

[4]Article 60 EU database for stand-alone high-risk AI systems 1. The Commission shall, in collaboration with the Member States, set up and maintain a EU database containing information referred to in paragraph 2 concerning high-risk AI systems referred to in Article 6(2) which are registered in accordance with Article 51

[5]https://mp.weixin.qq.com/s/3IBqiXU063_Iafj7L9mrYA

[6]https://www.wyden.senate.gov/imo/media/doc/Algorithmic%20Accountability%20Act%20of%202022%20Bill%20Text.pdf

[7]《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，部门规章， 2018.11.30 实施；具有舆论属性或社会动员能力的互联网信息服务包括下列情形：（一）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能；（二）开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

[8]根据欧盟数据保护委员会（EDPB）于 2022 年 3 月发布的《Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them》，黑模式是指一种产品设计模式，其目的是通过软件界面（interface）及用户体验（user experiences）致使用户对其个人数据作出无意识、非自愿且可能有害的决定。

[9]第十条 算法推荐服务提供者应当加强用户模型和用户标签管理，完善记入用户模型的兴趣点规则和用户标签管理规则，不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。