网络空间治理升级——从数据治理迈向算法治理

原创陈际红等中伦视界 2022-08-01

作者：

陈际红吴佳蔚

杨润陈煜烺

一.

从数据治理迈向算法治理

随着《中华人民共和国数据安全法》（以下简称“《数据安全法》”）和《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）的相续落地，加之此前业已生效的《中华人民共和国网络安全法》，中国网络空间管理和数据保护的“三根支柱”基本成型。在数据方面，这三部大法主要的监管重点是数据安全和主体权益保障，而最近的一系列有关算法治理的立法和监管行动，预示着中国对网络空间的治理已经逐步从数据治理迈向了算法治理。

9月29日，国家互联网信息办公室等九部委联合发布《关于加强互联网信息服务算法综合治理的指导意见》（以下简称“《指导意见》”）的通知，要求利用三年左右时间，逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。
9月25日，国家新一代人工智能治理专业委员会发布《新一代人工智能伦理规范》，该规范对人工智能开发、应用中“避免偏见歧视”进行了具体规定，在数据采集和算法开发中，要避免可能存在的数据与算法偏见，努力实现人工智能系统的普惠性、公平性和非歧视性。
8月27日，国家互联网信息办公室发布《互联网信息服务算法推荐管理规定（征求意见稿）》（以下简称“《算法推荐规定》”），就《算法推荐规定》公开征求意见。这是我国第一个专门规制算法应用的立法。
5月8日，国务院新闻办公室举行2021年网络“清朗”系列专项行动新闻发布会，专项行动的八个重点任务之一即为“清朗·算法滥用治理”专项行动。
2月7日，国务院反垄断委员会印发《国务院反垄断委员会关于平台经济领域的反垄断指南》（以下简称“《平台经济领域的反垄断指南》”），对于经营者通过数据、算法、平台规则等新型手段达成垄断协议、实施拒绝交易、限定交易或者实施大数据杀熟等行为，结合平台经济的特点，规定了认定方法和考虑因素。

“数据治理”以保障数据安全、保护个人、组织的合法权益为主要立法目标，对包括收集、存储、使用、加工、传输、提供、公开、删除等全生命周期的数据处理活动进行规范。如果说“数据治理”重点在于数据本身的处理活动，那么“算法治理”重点指向的则是数据应用的内在逻辑和产生的效果。在平台、数据、算法三维竞争结构中，数据是平台的资源要素，而算法是平台的行为要素[1]。平台通过算法应用数据来实施其行为，从而对个体权益、市场竞争秩序、社会秩序等产生持续的影响。

应该说，从“数据治理”到“算法治理”是网络空间领域治理的一个深化升级。

二.

算法及算法权力化的趋势

从技术角度讲，算法是一系列的计算机程序，而网络空间“算法治理”的着眼点在于规制算法的逻辑及其对社会秩序及其它利益相关方的影响效果。

自动化决策即是智能算法应用的一个典型场景。《个人信息保护法》第七十三条将自动化决策定义为，通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。在《算法推荐规定》中，应用算法推荐技术是指应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息内容[2]。据此，我们可以理解“算法治理”所要规制的算法有以下的特征：

算法通过一系列预设的计算机程序来实施，构成技术规则；
网络平台通过算法运用收集或占有的数据，从而形成输出效果；
算法规则事实上反映的是平台运营方的意图，但随着人工智能技术（比如深度学习）的发展，算法本身逐渐具有了一定的自主性。

因此，算法通过对数据的占有、处理与结果输出，演化为资源、商品、财产、中介甚至社会建构力量，从而构成了一种事实上的技术权力[3]。

三.

算法治理的重点领域及应用

目前算法治理中的重点主要考虑算法应用后对国家安全、社会秩序和个体及组织合法权益产生的影响效果。

《个人信息保护法》已经初步涉及算法的规制，主要规制的对象是自动化决策行为。自动化决策可能会对个体产生具有法律意义或类似的重大影响，由于算法本身的复杂性与不透明性，个体可能无法理解数据处理和决策的逻辑，进而可能会给个体带来重大风险。同时，《个人信息保护法》对自动化决策技术应用于个性化推送也给予了关注，警惕通过对个体精准画像实施个性化推送带来的“大数据杀熟”及“信息茧房”等负面的效果。

《算法推荐规定》主要关注算法推荐技术应用后带来的互联网内容安全等问题，规范的主要应用领域包括生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等信息服务，具体包括：

生成合成类：主要规范内容聚合、内容自动化生成及内容合成服务；
个性化推送类：主要规范基于用户画像而进行的内容、商品或服务的个性化推送服务；
排序精选类：主要规范内容服务提供者的版面页面管理，诸如首屏、热搜、精选、榜单、弹窗等；
检索过滤类：主要规范搜索引擎、内容检索、内容干预等服务或行为；
调度决策类：主要规范工作调度服务，诸如快递平台、出行平台等。

而在《平台经济领域的反垄断指南》中，对算法的主要规制是禁止平台通过算法来实施垄断行为，主要包括：

垄断协议：经营者通过数据、算法、平台规则，达成排除、限制竞争的横向垄断协议、纵向垄断协议、轴辐协议，或者存在其他协同行为。
大数据杀熟：平台经营者基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件。
拒绝交易：平台经营者在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，使交易相对人难以开展交易。

四.

算法治理的基本原则

首先，要保证算法应用的透明度。要保护个体的知情权、自决权和其他权利，首先需要保证算法应用具有相应的透明度。我国的《个人信息保护法》第二十四条要求个人信息处理者进行自动化决策时，应当保证决策的透明度。无独有偶，GDPR第5条关于处理个人数据的基本原则中亦有“合法、公正、透明”的要求，第13、14条则进一步要求在隐私声明中说明是否存在自动化决策行为（含画像）以及该行为的逻辑、对于数据主体可能产生的预期效果等。

在《算法推荐规定》中，对保证算法推荐应用的透明度也提出了明确要求。第十四条规定，算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图、运行机制等。《指导意见》第(十三)条则要求规范企业算法应用行为，保护网民合理权益，秉持公平、公正原则，促进算法公开透明。

其次，算法应用的可解释性。根据《个人信息保护法》第二十四条规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。《个人信息保护法》实质上赋予个体要求自动化决策实施者予以解释的权利。类似地，根据GDPR第22条，若无其他合法依据，数据主体有权反对完全依靠自动化决策（含画像）作出的、会对数据主体具有法律影响或类似重大影响的决定。同时，数据主体还享有表达其观点和对决定进行异议的基本权利。

《算法推荐规定》也对算法的可解释性提出了明确要求，第十五条规定，用户认为算法推荐服务提供者应用算法对其权益造成重大影响的，有权要求算法推荐服务提供者予以说明并采取相应改进或者补救措施。《指导意见》第十三条则督促企业及时、合理、有效地公开算法基本原理、优化目标、决策标准等信息，做好算法结果解释，畅通投诉通道，消除社会疑虑，推动算法健康发展。

第三，要保证算法实施结果的公平性。《个人信息保护法》响应社会对“大数据杀熟”规制的呼吁，第二十四条规定了自动化决策结果的公平和公正性要求，要求保证决策的透明度和结果的公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。《算法推荐规定》亦通过多处规定对于算法推荐服务提出了公平性要求，第十条要求服务提供者不得设置歧视性或者偏见性用户标签，第十三条要求服务提供者不得通过不正当手段实施自我优待、不正当竞争等行为，第十八条禁止服务提供者利用算法在交易价格等交易条件上对消费者实行不合理的差别待遇等违法行为。

第四，算法的可问责性。算法的可问责性是指算法应用者应采取措施确保算法符合预期，建立算法的评估、纠错和救济机制，对算法运行结果承担责任。对于自动化决策，《个人信息保护法》第五十五条要求个人信息处理者事前进行个人信息保护影响评估，并对处理情况进行记录。《算法推荐规定》第七条要求算法推荐服务提供者承担算法安全的主体责任，建立健全内部的审核、安全评估、安全事件处置等机制，第二十六条要求服务提供者接受社会监督，设置投诉举报入口、建立申诉渠道和制度。《算法推荐规定》第二十七条至第二十九条则根据违法行为的程度，规定了不同的罚则。此外，《指导意见》亦要求强化企业主体责任，对算法应用产生的结果负主体责任。

第五，保障主体合法权益。《个人信息保护法》第四章全面规定了个人信息处理活动中个人所享有的包括知情权、决定权、限制权、拒绝权等在内的十大法定权利，而这些权利大都适用于包括自动化决策在内的通过算法所实施的数据处理活动。据算法推荐服务的特点，《算法推荐规定》则设定了以下保障主体权益的措施:

用户可以关闭个性化推荐服务；
用户可以选择、修改和删除服务提供者的用户标签；
对于有重大影响的算法应用，用户可以要求服务提供者予以说明并采取相应改进或者补救措施；
对于工作调度服务，服务提供者应当履行劳动者权益保障义务；
对消费者不得实施不合理的差别待遇；
服务提供者应当履行未成年人的网络保护义务。

第六，保障内容安全。保障信息服务的内容安全是互联网信息服务从业者的红线，《算法推荐规定》提出了以下的内容安全要求：

算法推荐服务提供者应当优化算法推荐服务机制，积极传播正能量，不得利用算法推荐服务传播法律、行政法规禁止的信息；
算法推荐服务提供者应当建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序；
算法推荐服务提供者应当加强版面页面生态管理，建立完善人工干预和用户自主选择机制，在首页首屏、热搜等重点环节积极呈现符合主流价值导向的信息内容；
算法推荐服务提供者不得利用算法虚假注册账号等手段实施流量造假、流量劫持；不得利用算法屏蔽信息、过度推荐等手段干预信息呈现，实施自我优待、不正当竞争、影响网络舆论或者规避监管。

五.

算法治理的监管思路

在《指导意见》中，国家网信办等九部委设定了算法综合治理的主要目标，利用三年左右时间，逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。综合《指导意见》和《算法推荐规定》的主要内容，可以梳理出监管机构对算法治理工作的近期思路。

首先是算法的分类分级管理制度。类似于《数据安全法》所规定的数据分类分级管理制度，《算法推荐规定》第十九条规定了算法的分类分级管理制度。对算法推荐服务提供者实施分类分级管理，主要根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据敏感程度、对用户行为的干预程度等因素决定。进一步，对于分类分级为风险程度高的服务要实施更加严格的监管措施。

其次是算法备案管理制度。《指导意见》第（九）条要求有序推进算法备案工作，建立算法备案制度，梳理算法备案基本情况，健全算法分级分类体系，明确算法备案范围，有序开展备案工作。而《算法推荐规定》第二十条对具有舆论属性或者社会动员能力的算法推荐服务提供者[4]的备案提出了具体的要求。我们理解，算法备案管理制度应该并非普遍适用的制度，而是针对敏感度较高或风险度较大的服务进行特殊管理的制度安排。

第三是算法安全评估。《算法推荐规定》第二十三条要求，具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估工作，网信部门会同有关部门对算法推荐服务开展安全评估和监督检查工作。《指导意见》第（八）条亦要求监管部门积极开展算法安全评估，研判算法应用产生的意识形态、社会公平、道德伦理等安全风险，提出针对性应对措施。

第四是监管与执法。一方面，监管部门会建立起有效的监测算法安全风险的机制，对算法的数据使用、应用场景、影响效果等开展日常监测工作，预警算法应用可能产生的风险，发现算法应用安全问题。另一方面，按照《算法推荐规定》的规定，网信部门将负责算法推荐服务的监督管理和执法工作，严厉打击算法违法违规行为，维护互联网信息服务算法安全。

六.

企业算法治理的路径

考虑到算法治理所包含的复杂元素，企业的算法治理并非一件易事，首先需要形成一个“算法向善”的企业价值观，并伴以长效的企业治理机制。以欧盟委员会2019年发布的《人工智能伦理准则》为例，“可信任AI”应当满足的七项关键要求包括：（1）人的自主和监督；（2）可靠性和安全性；（3）隐私和数据治理；（4）透明度；（5）多样性、非歧视性和公平性；（6）社会和环境福祉；（7）可问责性。考虑到不同类型服务所引发风险的不同，这七项关键要求对于不同类型的服务也各有侧重，企业应当根据行业实践形成自己的实施标准和路径。

首先要明确，企业的算法治理和数据治理密不可分，或者说一个良好的数据治理体系是开展算法治理的基础。作为合规治理的起点，企业应根据《个人信息保护法》、《数据安全法》等法律的规定，构建起以组织为保障、以制度为贯穿、以安全为基石的个人信息保护及数据保护体系。

其次，企业要进行内部算法应用的梳理和盘点。根据《算法推荐规定》的规定，算法推荐服务提供者应当落实算法安全主体责任，建立健全管理制度，制定并公开算法推荐相关服务规则，配备与算法推荐服务规模相适应的专业人员和技术支撑，定期对于算法进行审核、评估、验证，建立用户申诉渠道和制度。为落实上述主体责任，配合监管部门进行检查、备案和安全评估，企业应当对于内部算法应用的机制机理、模型、数据和应用结果进行盘点和梳理，撰写说明文档，为内部评估和配合监管的评估打下基础。

第三，企业要落实个人信息保护影响评估（PIA）制度。根据《个人信息保护法》第五十五条规定，利用个人信息进行自动化决策的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估是针对个人信息处理活动，事先检验其合法合规程度的过程，评估内容主要包括：（1）个人信息的处理目的、处理方式等是否合法、正当、必要；（2）对个人权益的影响及安全风险；（3）所采取的安全保护措施是否合法、有效并与风险程度相适应等。

第四，企业在算法治理工作中应当引入先进的合规工具。比如，GDPR第25条所规定的通过设计和默认的数据保护（Data Protection by Design and by Default，以下称“DPbDD”），DPbDD对于个人信息保护合规意义重大，作为国际隐私管理最新成果的ISO 27701（ISO/IEC 27701，安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南）也将通过设计和默认的隐私保护作为控制者和处理者的义务之一。这项工具的理念是将合规设计嵌入到IT系统和业务实践的设计和架构中，不但可以实现数据保护，也能助企业达到算法的合规，从而实现事先的预防，而非事后的补救。

第五，审计制度要落到实处。作为法定义务，《个人信息保护法》第五十四条要求个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。而《算法推荐规定》第八条也要求算法推荐服务提供者定期审核、评估、验证算法机制机理、模型、数据和应用结果等。审计制度既包括制度审计也包括技术安全审计，通过审计过程发现算法应用或制度执行的缺陷，并解决问题，可以帮助企业形成一个正向激励的合规提升机制。

第六，密切关注人工智能立法、监管趋势。尽管目前监管的重点和落实的方向主要以涉及个人信息的算法规制为主，但是结合《算法推荐规定》以及《指导意见》的要求以及行业实践发展的趋势来看，算法治理的前景无疑超出个人信息保护范畴。由此，与算法治理相关的人工智能立法、监管趋势未来同样值得企业密切关注。

随着人工智能技术的发展，先进算法的应用对企业的发展至关重要，而深度学习等技术使得人工智能的可解释性变得愈发困难，对社会秩序和个体权益的影响也日益加深，企业唯有牢固树立算法合规的理念，才能行稳致远。

[注]

[1] 杨东臧俊恒：数字平台的反垄断规制，武汉大学学报（哲学社会科学版）2021年第2期。

[2]《算法推荐规定》第二条。

[3] 张凌寒：权力之治：人工智能时代的算法规制，上海人民出版社。

[4] 目前针对具有舆论属性或社会动员能力的互联网信息服务的法律法规，主要有《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，其第二条规定：

本规定所称具有舆论属性或社会动员能力的互联网信息服务，包括下列情形：

（一）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能；

（二）开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

The End

作者简介