算法治理新坐标 | 《算法新规》:八大亮点与合规建议
作者:王艺 赵艳明 余灏
本文共计11053字,阅读约需20分钟。
引言
2021年8月27日,国家网信办发布《互联网信息服务算法推荐管理规定(征求意见稿》(全文简称“《征求意见稿》”);2021年12月31日,国家网信办联合工信部、公安部、市场监督管理总局正式发布《互联网信息服务算法推荐管理规定》(全文简称“《算法新规》”或者“《规定》”),《规定》将于2022年3月1日起施行。
作为我国首部专门针对新技术应用进行立法规制的部门规章,《规定》针对当前突出的算法歧视、“大数据杀熟”、诱导沉迷等算法不合理应用导致的问题,从推荐算法设计到应用,对算法推荐服务提供者提出了全面的合规要求。北京植德(深圳)律师事务所数据合规组(以下简称“我们”)对《规定》重点内容和影响进行解读(不构成专项法律意见),供相关企业参考。
目 录
一
出台背景
二
八大主要亮点
亮点一:适用范围“张弛有度”,适用对象的边界相对清晰亮点二:基于算法的“复杂性”,算法之“网”正在逐步编织中,综合治理的顶层架构逐步显现亮点三:义务清单丰富饱满,“算法黑箱”有望得到更深入的治理亮点四:算法分类分级,特定类型的算法采取“备案制”亮点五:回应社会热点问题,以“特殊人群”为特定保护对象,加强算法的规制亮点六:算法策略披露机制,正在成为算法治理的重要手段之一亮点七:处罚力度有所上升,体现算法监管的“趋严态势”,算法推荐服务提供者应注意算法运作“留痕”亮点八:“算法吹哨人”条款进行重大修订,未来可被激活
三
合规建议:五步走
一、出台背景
二、八大主要亮点
亮点一:适用范围“张弛有度”,适用对象的边界相对清晰
条件之一:应用算法推荐技术的范围相对明确。并非所有算法都属于《规定》范围,《规定》明确了下述类型,如“生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类”,具体场景见表1;
条件之二:利用算法技术必需面向用户。这里的用户是否仅为C端个人用户,还是也包括B端企业用户,从这个概念字面上无法得到答案。但是从《规定》第三章用户权益保护章节来看,应主要是指C端的个人,而且结合立法背景,也是要规制一些算法对个人用户的侵害行为。例如2021年热门的某旅游服务平台“大数据杀熟”案。当然,也有人从上述算法类型也有适用于企业用户的场景,如调度决策类算法,从广义理解也是一种思路;
条件之三:向用户提供的是互联网信息服务。关于“互联网信息服务”的范围,可参考网信办2021年1月发布的《互联网信息服务管理办法(修订草案征求意见稿)》第五十二条的规定,即“互联网信息服务,是指为用户提供互联网信息发布和应用平台,包括但不限于互联网新闻信息服务、搜索引擎、即时通信、交互式信息服务、网络直播、网络支付、广告推广、网络存储、网络购物、网络预约、应用软件下载等互联网服务。”近期热门的算法推荐与版权保护的案例,其适用场景就和短视频有关;
问题一:在金融借贷场景下用于风控的算法,是否适用于本《规定》。有人对本《规定》的适用范围做了扩大解释,认为“金融借贷场景下用于风控的算法”适用于本《规定》。但是该算法因其目的和功能并非为用户提供信息服务,而是基于履行《个人贷款管理暂行办法》中对借款人贷前尽职调查的法定义务[i]所必需。因此是否将其纳入《规定》中的算法推荐技术,似乎仍要探讨。
问题二:间接提供算法技术的公司是否适用于《规定》。实务中,一类是直接提供互联网信息服务的企业;另一类是仅提供技术类支持与服务的科技企业,如算法技术开发公司、具备用户画像分析和决策功能的客户CRM(客户关系管理)、CEM(客户体验管理)SaaS服务商。对于上述采取不同商业模式的两类企业是否都属于《规定》中的“算法推荐服务提供者”,行业中存在着不同的观点: 一种观点认为仅提供技术类支持与服务的科技企业,并非直接利用算法向用户提供服务的主体,因此不属于《规定》中的“算法推荐服务提供者”,也不属于《规定》的适用对象; 另一种观点认为《规定》规制重点的是算法推荐技术本身,因此不论是直接提供信息服务的主体或是提供算法支持的科技公司均需遵守《规定》。 我们认为,《规定》应适用于直接向用户提供互联网信息服务的主体,而非提供算法技术支持与服务的主体。从文义解释的角度,《规定》规制的主体应同时满足“应用算法技术”+“向用户提供信息服务”两个条件,而算法技术支持公司无法控制输入算法的数据,数据从算法输出后也无法决定如何应用,是否向用户呈现信息或影响用户权益也是由直接提供信息服务的主体最终决定的。“仅提供技术类支持与服务的科技企业”定位类似于《个人信息保护法》中的受托处理者。另外,《规定》第三章对算法推荐服务提供者设立了用户权益保护的义务,而算法技术支持公司通常并不直接面对互联网信息服务平台的用户,因此难以响应用户的权益。综上所述,算法技术开发者不直接适用《规定》,似乎更为妥当。 但对于仅提供技术支持与服务的算法技术开发者,即使不受《规定》中关于算法推荐服务提供者的相关义务、责任规制,也需要注意,如开发的算法技术不合规,可能会与合作方产生民事纠纷;如算法技术被用于犯罪的,还可能触碰刑事“红线”,如帮助信息网络犯罪活动罪以及提供侵入、非法控制计算机信息系统程序、工具罪等。 问题三:电商平台内的商铺,利用电商平台的精准营销的算法模型,是否适用于《规定》。例如入驻大型电商平台的商家,如仅依靠电商平台提供的工具及功能,利用平台的推送渠道,间接向用户开展个性化营销、推荐的,商家也并非信息服务的直接提供者,因此不应适用《规定》。但是,如商家脱离平台,利用用户数据生成用户画像等直接向用户开展个性化营销的,则应适用《规定》。
| |
| |
| |
| |
|
亮点二:基于算法的“复杂性”,算法之“网”正在逐步编织中,综合治理的顶层架构逐步显现
亮点三:义务清单丰富饱满,“算法黑箱”有望得到更深入的治理
亮点四:算法分类分级,特定类型的算法采取“备案制”
亮点五:回应社会热点问题,以“特殊人群”为特定保护对象,加强算法的规制
亮点六:算法策略披露机制,正在成为算法治理的重要手段之一
所谓“显著方式”告知用户,该如何做到?是否比照《个人信息保护法》第十七条[iv]即可?
利用算法推荐技术之前,都要告知一次吗?《数据安全管理办法(征)》第二十四条规定,“网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。”这样的一个“合成”字样,算不算告知?
什么是“适当的方式”?
算法推荐服务提供者的所有算法推荐服务都需要公示吗?
《规定》相比《征求意见稿》,在运行机制前面加上了“主要”二字,为什么要添加主要?
亮点七:处罚力度有所上升,体现算法监管的“趋严态势”,算法推荐服务提供者应注意算法运作“留痕”
亮点八:“算法吹哨人”条款进行重大修订,未来可被激活
三、合规建议:五步走
第一步:法务部明确企业自身定位,与IT部门、产品研发部门共同梳理自身算法的类型,以判断是否适用《规定》;
第二步:如适用,则建议组建算法治理小组,或者在原有数据安全委员会组织架构下,专门就算法治理成立工作组;
第三步:工作组可结合《规定》制作合规自查清单,将对应问题划分给不同部门代表人员参与填写;
第四步:法务部和IT部门结合填写的情况,判断自身与当前《规定》的差距情况,考虑聘请外部律所,制作《差距分析报告》并结合业务实际制定《合规整改方案》;
[i]《贷款审查和风险评估》第十三条贷款人受理借款人贷款申请后,应履行尽职调查职责,对个人贷款申请内容和相关情况的真实性、准确性、完整性进行调查核实,形成调查评价意见。
[ii]《规定》“第十八条 算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。
算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络”
“第十九条 算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务。”
“第二十条 算法推荐服务提供者向劳动者提供工作调度服务的,应当保护劳动者取得劳动报酬、休息休假等合法权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法。”
“第二十一条 算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。”
[iii]《个人信息保护法》第二十四条第一款,“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”
《深圳经济特区数据条例》
第二十九条第一款,“数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。”
《上海数据条例》第二十四条第一款,“利用个人信息进行自动化决策,应当遵循合法、正当、必要、诚信的原则,保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”
《网络数据安全管理条例(征求意见稿)》第四十三条第一款规定,“互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。”
《征信业务管理办法(征求意见稿)》第三十八条规定,“征信机构应当将下列事项向社会公开,接受社会监督:(一)采集的信用信息类别;(二)信用报告的基本格式内容;(三)信用评分的主要要素及占比;(四)反欺诈服务中的欺诈认定标准;(五)异议处理流程;(六)中国人民银行认为需要公开的其他事项。”
[iv]《个人信息保护法》第十七条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
[v]中央网信办等部门治理App超范围收集信息、强制收集信息、过度索权http://www.cac.gov.cn/2019-09/21/c_1570598126711527.htm
[vi]《Facebook吹哨人亮明身份:他们牺牲社会利益赚取利润》https://baijiahao.baidu.com/s?id=1712759720530419782&wfr=spider&for=pc
植德数据合规
植德长期关注数据合规问题,紧跟国内外数据安全和隐私保护的法规、政策和监管动态,联合战略合作数据安全咨询公司作为技术支持,曾为多家金融机构、互联网、网络安全、数字媒体、社交网络、智能汽车、医疗大数据、云计算、区块链技术等高新科技公司,以及传统零售与制造企业提供数据合规常年/专项法律服务,包括但不限于:创新数据产品的合规性评估服务、拟IPO企业数据合规尽职调查、整改合规与交易所问询反馈服务、APP整改法律服务、跨国企业数据跨境合规法律服务、消费者与员工个人信息保护法律服务、个人信息安全影响评估(PIA)法律服务、网络突发事件、网络犯罪的防范和应对、跨国企业集团公司数据合规体系中国本地化法律服务、企业内部数据合规制度建设法律服务、协助客户应对执法部门关于数据安全与个人信息保护事项的调查、协助客户采取或应对涉数据的不正当竞争举报与诉讼等专项法律服务。
合伙人 王艺
注册个人信息保护专业人员(PIPP-DPO)
注册欧盟信息隐私专家(CIPP/E)
公认反洗钱师(CAMS)
业务领域:政府监管与合规、投融资并购、争议解决
0755-33257513
yi.wang@meritsandtree.com
赵艳明
业务领域:网络安全与数据合规 投融资并购 知识产权
0755-33257527
yanming.zhao@meritsandtree.com
余灏
业务领域:政府监管与合规
0755-33257554
hao.yu@meritsandtree.com
声明
以上所刊登的文章仅代表作者本人观点,不得视为植德律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。