我国信息服务算法推荐管理 | 与个人信息保护的耦合和差异
编者按
2021年,全球范围内对于人工智能的监管已经开始从理论探讨走向实际的立法和执法阶段,标志性的事件就是欧盟提出了《欧洲议会和理事会关于制定人工智能统一规则(《人工智能法》)和修正某些欧盟立法的条例》的提案,以及我国国家互联网信息办公室于8月27日发布的《互联网信息服务算法推荐管理规定(征求意见稿)》。【国家互联网信息办公室关于《互联网信息服务算法推荐管理规定(征求意见稿)》公开征求意见的通知】
关于人工智能安全和监管,本公号发布过以下文章:
今天和大家分享的是公号君对《互联网信息服务算法推荐管理规定(征求意见稿)》的研究笔记之一,关注的是这个规定与《个人信息保护法》对自动化决策管理框架的异同。
我国《个人信息保护法》对自动化决策的管理框架
《个人信息保护法》中对自动化决策做出了界定:“自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。紧接着在第24条规定:
《个人信息保护法》第55和56条规定,“利用个人信息进行自动化决策”前,应当进行“个人信息保护影响评估”:
在《互联网信息服务算法推荐管理规定(征求意见稿)》中,“应用算法推荐技术,是指应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息内容”。
很自然产生的问题是,“自动化决策”和“应用算法推荐技术”是一回事吗?或者说“利用个人信息进行自动化决策”(或者说“通过自动化决策方式向个人进行信息推送”)等同于“应用算法推荐技术”吗?同时,“个人信息处理者”(《个人信息保护法》的规范对象)和“算法推荐服务提供者”(《互联网信息服务算法推荐管理规定(征求意见稿)》的规范对象)是一回事吗?
首先,“自动化决策”在《个人信息保护法》中是一个活动,《互联网信息服务算法推荐管理规定(征求意见稿)》与其可对比的概念应该也是一个活动,即“应用算法推荐”。显然,“自动化决策”的内涵要比“应用算法推荐”要广泛,例如自动化定价属于前者,而不被后者所涵盖。从这个分析来看,“应用算法推荐”与“自动化决策”是个交叉的概念。
但“通过自动化决策方式向个人进行信息推送”似乎与“应用算法推荐”相比,也存在一定的差别。自动化决策强调基于对个人特征(如“行为习惯、兴趣爱好或者经济、健康、信用状况”)的分析结果,对个人进行决策。但应用算法推荐并不强调这一点,而仅仅是客观描述了一个过程——“应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息内容”。这些算法技术本身的形成过程可以不基于个人的特征,例如调度决策类、排序精选类等,完全可以按照事先预设的规则进行,无需根据个人的特征。因此,“应用算法推荐”的范围应比“通过自动化决策方式向个人进行信息推送”要宽泛。因此,“通过自动化决策方式向个人进行信息推送”是“应用算法推荐”的子集。
为什么要如此细抠概念区别,因为要确定多大程度上《个人信息保护法》中对自动化决策的安全保护义务,要适用在“应用算法推荐”中。
我国《个人信息安全规范》(35273)对个性化展示的管理框架
在35273中,对个性化展示做出了定义:
基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。
这个定义落脚点在于“展示”。当时选择这个词而非“推送”的目的是尽可能地将各种情况纳入,因为推送这个词,业界有相对固定的认识,并不足与涵盖发邮件、形成排序结果等情况,但无论如何信息内容最终都需要向用户展示。《互联网信息服务算法推荐管理规定(征求意见稿)》并没有对“推荐”做出界定。从“应用算法推荐技术”的定义中看到,该规定使用的是“向用户提供信息内容”的概念。所以在公号君看来,只要是基于个人信息的“应用算法推荐技术”,应该和“个性化展示”是一致的。但反过来,“个性化展示”也只是“应用算法推荐”的一个子集而已。
《个人信息安全规范》中关于用户画像的规定和《互联网信息服务算法推荐管理规定(征求意见稿)》中的部分规定存在契合:
《个人信息安全规范》 7.4 用户画像的使用限制 a) 用户画像中对个人信息主体的特征描述,不应: 1) 包含淫秽、色情、赌博、迷信、恐怖、暴力的内容; 2) 表达对民族、种族、宗教、残疾、疾病歧视的内容。 b) 在业务运营或对外业务合作中使用用户画像的,不应: 1) 侵害公民、法人和其他组织的合法权益; 2) 危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。 c) 除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。 | 《互联网信息服务算法推荐管理规定(征求意见稿)》 第十条 算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息内容,不得设置歧视性或者偏见性用户标签。 |
此外,《个人信息安全规范》关于“个性化展示”的要求,与《互联网信息服务算法推荐管理规定(征求意见稿)》中的部分规定存在契合:
《个人信息安全规范》 7.5 个性化展示的使用 a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容; 注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。 b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项; 注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容 和搜索结果排序,则属于不针对其个人特征的选项。 c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应: 1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项; 2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。 d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。 | 《互联网信息服务算法推荐管理规定(征求意见稿)》 第十一条 算法推荐服务提供者应当加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制,在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息内容。 第十五条 算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。 算法推荐服务提供者应当向用户提供选择、修改或者删除用于算法推荐服务的用户标签的功能。 用户认为算法推荐服务提供者应用算法对其权益造成重大影响的,有权要求算法推荐服务提供者予以说明并采取相应改进或者补救措施。 |
简短分析
以上所有的分析,主要目的在于表明《互联网信息服务算法推荐管理规定(征求意见稿)》不是个单纯的《个人信息保护》项下的立法,而是一个针对算法技术本身在信息内容提供领域的规定,其本身具有超越《个人信息保护》规制范围的内容。因此,公号君认为,《互联网信息服务算法推荐管理规定(征求意见稿)》是我国人工智能立法的一个重要发端。(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
数据安全法系列文章:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
数据要素治理的相关文章包括:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章:
我国个人信息保护立法的相关文章: