查看原文
其他

张亭 | 算法的法律规制

张亭 上海市法学会 东方法学 2022-11-11

张亭南京师范大学法学院硕士研究生


要目

一、法律规制算法的可行性二、法律规制算法的必要性三、法律规制算法的现状四、法律规制体系的构建五、结语


一个“万物互联、事事算法”的人工智能时代即将来临,而人工智能的本质即基于数据的算法。“算法中立”这一命题并不成立,算法能够被法律规制。因算法具有不透明性等独特的性质,其不断发展的同时,带来的风险也逐渐显现,包括侵害个人信息权益、塑造“信息茧房”、算法歧视、算法“黑箱”、算法操纵等,故法律规制算法具有必要性。我国应当始终贯彻将人作为目的而非手段的理念来治理算法,确立算法解释、算法审计和算法问责原则,具体应通过完善个人信息保护法和确立算法责任制的双重路径来规制算法。以更好地维护人的尊严,消弭个人与算法操控者之间的数字鸿沟,实现科技与法律,守护与创新,秩序与变革之间的平衡发展。

一、法律规制算法的可行性

算法中立这一命题成立与否影响算法是否需要法律规制,如果中立,则无需法律进行规制,反之则需要法律进行规制。如果算法中立,那法律应当如何规制算法,又需要回答算法的法律性质是什么,其法律性质决定了规制体系的构建。

算法中立与否

“算法”一词最早由阿克瓦里茨米于公元825年在《波斯教科书》中提出。概览各学科对算法内涵与外延的界定,可分为两个层面来理解:一是关注算法技术本身,认为算法表现为数学结构或算法代码,数学领域认为算法是通过图表等一系列数学工具来解决问题的操作程序。计算机领域则将算法视为计算机解决问题的一系列指令。二是突出算法的技术运用,认为算法表现为影响规则的技术程序,如公共管理学领域认为算法是一种特殊决策技术。从法学学科视角,主要探究算法的应用风险,将算法视为解决特定问题而对数据进行分析、运算和得出结论的一系列操作程序。算法活动的本质是“温故而知新”。完整的算法活动包含三个步骤:第一,硬件终端首先要深入挖掘数据,获取用户的数据(如点赞率、收藏记录、评论数量、浏览历史、运行轨迹等)。第二,算法再通过系统将处理好的数据转化成评价和分值(如概率、风险、排名等)。第三,算法向用户做出自动化决策或个性化推荐。

德国哲学家雅斯贝尔斯在《原子弹与人类的未来》一书中提出了技术中立论的经典表述:“技术本身既非善,亦非恶,但它既可以用于善,也可以用于恶。它本身不包含任何观念:既不包含完美的观念,也不包含毁灭的邪恶观念。”这可以视作算法中立的思想来源,但算法真的是客观中立的吗?第一,算法作出自动化决策的基础是数据,但数据并不总是客观、合法、中立的,亦存在带有主观性、偶然的或错误的数据。“算法中立”实则是伪命题,算法系统在无法全面收集准确的数据,没有全面的数据来源,划分数据时就不具有合理性,若处理数据时还不合规就会导致数据失去真实性。第二,算法给个体塑造的“信息茧房”,正有力反驳了算法是一种中立的技术的观点,其嵌入了商家对各种事物的经济利益的评价标准,并将算法作为一种推崇商家价值理念的工具。第三,算法的设计系统包含着算设计者的喜好与偏见。如算法在检索引擎的应用主要是提供访问路径、检索结果以及检索引擎排序。网页搜索库的搜索结构包含着算法设计者的喜好和偏见,并非是客观中立地呈现搜索结果,信息的排序结果和信息比重量的大小也取决于企业的利益考量。算法技术并非是中立的,而是蕴含着一定的主观判断和利益考量,因此需要用法律来规制算法。

算法的法律性质

算法中立这一命题在上文中已经证否,得到算法需要被法律规制,算法的法律性质是什么,又决定了不同的规制方式,因此本部分讨论其法律性质,关于算法的法律性质有专利说、言论说、商业秘密说与正当程序说,本文支持正当程序说。

1.专利说

赞同将算法作为专利来保护的学者认为,这一方面可以规避算法产生的社会风险,另一方面认为专利法的全面保护能够鼓励算法设计者进行不断地创造和研发。本文认为将算法作为专利来保护表面上看是一种可行的路径,但“以公开换保护”这对算法来说只是一个美好愿景,当算法设计者向社会公开后,仅仅是该领域的专业人员得知如何实施该项算法,社会普通大众根本难以理解算法的实施过程,这样的公开对增加算法透明度的意义可谓微乎其微。其次,构建算法的专利保护仍然存在问题,算法本质上属于智力步骤,与专利法第25条规定相违背,若将算法作为专利来保护将对我国现行专利法造成强烈冲击。

2.言论说

将算法认定为言论应当慎之又慎,因为一旦将算法认定成言论,算法所带来的一系列风险,法律都只能置之事外,企业所掌控的算法“私权力”将不受控制,人反而变成算法的客体,最终将导致法律也无法保障人的尊严,故而应当依照限缩主义进路来分析,算法不能构成言论。一方面,算法欠缺有效的表达。算法的主要目的在于分析、预测,作出决策,而非与用户进行交流。

3.商业秘密说

商业秘密在法律文本中有着清晰的定义,其有保密性、秘密性、价值性等特殊性质。首先,商业秘密的秘密性特征与增加算法透明的要求相矛盾,若用商业秘密来保护算法将会使原有的公共领域信息不能被披露,这将极大的压缩公共领域规模,削弱公众对信息和知识的获取权,这与法律保护商业秘密的目的——防止竞争对手盗用相背离,成为公众认知算法的阻碍。其次,以商业秘密来保护算法的模式也不利于社会创新的累进。社会累进创新的基础是算法技术可认知,累进创新者难以获取与算法相关的任何信息,使得社会累进创新不可实现。最后,当算法被当作商业秘密来保护,那也就意味着公众遭受到的算法侵权将无从救济,对方只要以商业秘密来对抗,就使得算法问责落空。

4.正当程序说

根据上文的分析,算法不宜作为专利、言论或者商业秘密来保护,本文赞同陈景辉学者的观点,将算法作为正当程序来保护。这一观点主要基于以下考量:第一,任何社会组织的存在都是为了实现某种社会目标,而这种社会目标的实现离不开社会制度;第二,任何一种社会制度都会涉及权力,在算法社会亦不例外,存在算法权力,这种权力赋予了少数人介入和干涉大众生活的能力;第三,社会制度所赋予少数人掌控的权力,都可能存在滥用,因此,社会制度或者权力都需要道德上的证成。而这种道德上的证成离不开正当程序。因为正当程序会要求掌权者将权力公开,以证明其作出的决策是正当合法的,包括两种要求,一是程序本身要公开;二是程序的设计要是正当的。由此可见,这两项要求亦有利于增加算法的透明度,保障公众的知情权,赋予算法设计者更多的注意义务,也有利于算法问责的实现。

二、法律规制算法的必要性

算法在运行过程中,从输入数据开始,到输出结果作出自动化决策,这一过程实则蕴含着诸多风险,当前学界对算法风险尚无统一的分类,且少有论及算法产生的各类风险之间存在何种关系,本文依据算法的运行流程将算法风险分为两大类,包括输入端风险,即诱发个人信息侵权风险,和输出端风险,输出端风险包括五小类,分别是塑造“信息茧房”、算法歧视、算法黑箱、算法操控以及算法权力。第一类风险与第二类风险之间是相伴而生的关系,第二大类风险之间是交互影响的关系,算法黑箱的存在为算法歧视、算法操控与算法权力的产生奠定了基础,后三小类又因资本集团追逐利益而放任或加剧了算法黑箱的存在,算法在塑造“信息茧房”的同时,就在一步步侵蚀着人的主体性,算法操控不断发展壮大,就会导致算法权力的形成和扩张,因此它们之间围绕着“利益”彼此相互影响,交织壮大。

通过分析这些算法风险的原因、危害后果及各项风险之间的关系来证成法律规制算法的必要性,同时,也有利于有针对性地构建算法规制体系。

侵害个人信息权益

2021年6月11日,国家网信办通报129款应用软件非法收集、过度使用用户个人信息,这129款涉及运动健身、新闻资讯、网络购物、学习教育等八种类型,其中包括Keep、今日头条、珍爱网等知名应用软件,这些侵害个人信息的软件超90%以上具体存在的问题是超过个人信息收集的必要原则,收集与其提供的服务无关的信息。同年7月4日,滴滴企业版等25款应用软件因存在严重违法违规手机使用个人信息,国家网信办通知应用商店将其下架。互联网企业以追求利益为目的,加之大数据和算法技术的进步,处于弱势地位的网络用户在进入网络世界的第一步,就毫无隐私可言。各类应用软件和网站试图搜刮用户隐私的互联网格式合同席卷而来。以“智能推送”为吸引点,诱使用户同意算法收集并分析其个人信息。即使个体不主动上传个人信息,算法运营商和平台打着“周全服务”和“互联互融”的旗号,就能够把用户的隐私进行抽丝剥茧,无处不在的高清摄像头、多功能传感器、网站应用插件、网络跟踪代码等每天都在对用户的个性与偏好进行详尽地记录。

不仅数据收集阶段经常发生隐私泄露的风险,随着算法自动化决策深度学习能力的提升,即使用户未向网络平台提供过个人信息,深度学习算法也能将其预测出来,即隐私泄露风险还将发生在算法预测阶段。比如当算法对种族、宗教信仰、政治态度、性格特点、性别、性取向等进行数学建模后,可以准确预测出某社交软件的用户是否为同性恋者。

算法歧视侵害人的平等权

“算法歧视也可被称作自动化歧视(Automated Discrimination),是指算法在作出自动化决策的过程中,算法的分析预测系统对特定群体的合法正当权益产生了一种具有反复性的不平等侵害。”算法歧视主要有三类:第一类是“关联歧视”,是指设计者即便未将敏感数据筛选进系统,但这些数据组合在一起时仍然会推断出个体的敏感信息,如种族、宗教、性取向等信息,从而对特定人的合法权益构成歧视。第二类是“传统镜像歧视”,这种歧视实质上是传统歧视在算法的一种表现形式。由于算法的决策系统是“偏见进,则偏见出”,导致直接将敏感信息录入算法自动化决策系统,就会有一种歧视的产生。第三类是“大数据杀熟”,是指商品或服务的经营者以不同的价格向消费者提供相同质量和数量的产品或服务。

从算法歧视的分类可以总结出算法歧视的原因:首先从根源来说,它是人类传统歧视在算法世界的反映。在整个人类历史文明中,歧视从未离开过我们,而作为人类思维的外化物——算法,沿袭人类的这种歧视意识就再正常不过了。算法只不过将人类的一些根深蒂固的偏见通过数据、代码承载了下来。其次,算法歧视的产生与算法设计者以效率和利益为导向有关,算法的研发通常都是商业巨头完成,而企业在研发之时,主要考虑的是经济利益的多少和工作效率的高低,受这些因素的驱使,诸如平等等其他因素对算法来说都只是辅助其失去效率的工具和数值。算法设计者同样在效率导向之下进行编写程序,祈祷他们能够将数据进行不偏不倚的编入程序怕是一件难事。再次,算法歧视与并不中立的数据相关。如身份信息被盗用而形成的滥用信用卡记录。若算法基于这种不客观或者偶然性的数据得出结论,就会导致个体的合法权益遭受算法的偶然性歧视。最后,算法歧视还与机器学习方式有关。机器学习通常是算法自动化决策根据有限数据、单一化的个人特征或过往事件等一次性、偶然性数据得出,这种机会主义数据就会导致系统得出歧视性的结果。

算法歧视的危害后果主要表现在以下三方面:第一,算法歧视会导致社会公平正义受损,不利于构建人人平等、和谐稳定的社会环境。算法歧视使特定群体遭受不公平地对待,固化既有的歧视,严重违背公平与平等的社会价值;第二,算法歧视会导致权利失衡。“数据控制者和用户之间由于信息和资本力量的巨大差异,使得用户权利让渡成为一种必然,权利失衡就此产生。”贫困群体在数字时代将处于不利地位,富者越富,贫者越贫的“马太效应”在数字时代仍旧会继续应验。第三,“导致个人的公平交易和自由选择权受到限制。以具有歧视性的算法来决定信用贷款、人员录用及保险费率等将难以保障个人合法权益。”

算法推荐塑造“信息茧房”

“信息茧房”的概念最早由凯斯·桑斯坦提出,是指网络虽然给现代人带来了更多的资讯,实现了用户的选择自由,但个体往往只会注意到自己选择的东西和使自己感到愉悦的信息。以网络媒体为例,今日头条凭借先进的算法技术,为用户量身定制新闻产品,当用户点击一条关于娱乐明星的信息后,就会接连收到各种娱乐明星的动态,其真正实现了“你关心的,才是头条”的宣传标语。现在的新闻报道已变成“我的日报”,与传统的报道方式截然不同,过去个人感兴趣的报道仅占整张报道的一小部分,但这种形式使个体能够获取更广泛的信息,塑造自己的知识体系。

智能化推荐算法给用户塑造的“信息茧房”,将会带来以下危害:第一,算法推送的信息将对个体的知识系统和价值判断产生潜移默化的影响。当用户在享受个性化信息带来的乐趣和便捷的同时,个体的认知结构也逐步受到算法的“驯化”。用户长久将目光锁定在推荐算法的某一类固定信息中,形成了稳定的阅读习惯,将用户引入“井蛙困境”,用户难以关注其他领域的信息,长此以往,用户思维受到限制,知识体系单一化,对整个社会的认知将停留在某一时间段。导致我们难以发现真相,“在后真相的领域,政府与专家的公信力开始下降,反之网络媒体的信任度大大提升,反智主义盛行。”第二,推荐算法的信息只会加深自身固有的思想,对观念的更新与发展没有促进作用,这是由于算法主要通过个人提供的数据来不断学习和进化,当数据具有惯性时,算法这种单向进化的思路,会“屏蔽”其他领域的信息。推荐算法塑造的“信息茧房”会引发回声室效应和同质化效应。第三,推荐算法会加深“信息偏食”现象,损害个体对社会的认同感,危害到民主社会的发展。第四,算法推荐正将人的主体性地位客体化,对现代伦理的方法论带来了严峻挑战,现代伦理将个体的幸福置于根本地位,将道德个人主义方法论当作原则。突显人的主体地位是这种方法论的本质要求,该方法论认为社会正义的基础是以人为目的的观念和权利优先理念。而算法为用户塑造的“信息茧房”正背离这种方法论,使用户在不知不觉中成为福柯笔下“驯顺的肉体”。

算法权力

算法权力是人工智能在海量数据的基础上进行深度学习,利用大数据和算法技术做出影响公民、社会、政府的决策,这种现象正助推一种新兴的技术权力的形成。算法权力不像公权力有国家暴力机器,那它的表现形式是什么?一是算法通过对数据进行收集、分析和输出,演化为对商品、资源甚至是社会的建构力量;二是算法逐渐成为一种行为规范,影响乃至控制社会建构力量;三是算法不仅是政府的辅助工具,有时还会替代政府权力,做出影响相对人权利义务的决策。算法权力形成的基础:一是依靠机器优势,机器优势体现在算法对大数据的计算能力,使得人类因无法应对海量数据的处理任务而交出决策权。机器优势还体现在深度学习能力,让算法能够从既往数据中进行自我完善;二是依靠架构优势,即算法建立了一个不具有透明性的系统,对社会大众产生一种无形的影响,让其产生依赖性;三是依靠嵌入优势,即算法能够嵌入到社会权利的运转过程中,并通过社会权力实现对个体进行干涉、诱导和改变的目的。

算法权力在多数人的认知中只是一种技术力量,但这只是表象,它实则背后是一种资本权力。算法权力在利益集团的操纵之下可能会形成算法垄断。算法作为解决问题的决策程序,一旦注入企业的价值理念,就容易沦为企业获取巨额利润造成市场垄断的工具。例如新浪微博的热搜功能,用户难以区分哪些是真实的热搜新闻,哪些是算法操纵的结果。算法权力还可能在利益集团的操纵下形成数据霸权。这种数据霸权无论是对个人隐私保护还是国家数据安全都造成了巨大冲击,若放任数据霸权的扩张,不对其运行提出要求,全球治理格局都可能因此受到影响。

算法黑箱

算法“黑箱”,可将其理解为用户无法从外部知晓算法的内部决策过程。黑箱理论源于控制论,是指不分析系统的内部组成,而仅从输入端和输出端分析系统规律的一种理论方法。“黑箱”是一种隐喻,指“为人所不知的、既无法打开又难以从外部观察其内部结构的系统。”《黑箱社会》系统论述了算法“黑箱”现象的分类:一是“真实黑箱”,强调算法是对真实的客观反映,隐瞒算法的选择过程;二是“法律黑箱”,即算法公开都以商业秘密保护为由避开;三是“制造混乱”,即提供冗余的信息或使用晦涩的语言,加大算法的监管难度。算法“黑箱”的形成首先是算法本身具有复杂性,算法的逻辑原理不可控,数据来源不可靠,导致算法“黑箱”具有不可控性和潜在的风险。其次是算法“黑箱”的形成与算法不透明密切相关,利益集体常以企业安全和商业秘密为由规避监督,算法相关信息难以被披露,这种情形下的算法“黑箱”则是人为原因导致的,是基于算法安全和保护算法秘密的需求而产生的一种“故意不透明”。最后,是由于用户在算法应用过程中处于一种弱势地位,难以理解算法的运行逻辑,从而导致一种“解释黑箱”产生,这种算法素养的鸿沟不仅仅体现在算法设计者和用户之间,也发生在算法设计者和机器深度学习之中。

算法“黑箱”的存在对公民的知情权有重大影响。在智能投顾过程中,由于算法“黑箱”的存在使得用户无法知晓和理解投资过程中的风险,可能产生过高的投资期望,盲目信任算法,做出过分冒险的投资行为,影响金融市场的稳定。由于算法“黑箱”导致算法的运行过程无法被公众知晓,公众也难以寻求救济,算法收集来的数据是否正当不可知,算法作出的自动化决策对自身利益到底有哪些影响也是未知的。除此之外,算法“黑箱”对法律监管算法也带来很多的问题,让监管者监管算法的内容和手段均受到限制,即使算法存在漏洞和缺陷,算法的自动化决策是违背算法设计目的的,算法监管者也难以审查,无法进行及时问责。最后,算法“黑箱”的存在将导致公共利益被占据资本和技术的私人公司获取,私人公司能够利用算法“黑箱”谋求本属于政府的利益,政府将在算法社会中被边缘化,可能失去关键数据的控制权,政府面临去中心化的危险。

算法操控

算法操控主要是指算法能够在个体作出与自身有重大利害关系的决策时对个体产生潜移默化的影响,使个体做出对相对方(操控方)有利的抉择。它可分为两种类型,一种是表面上为算法操控,实则是算法背后的人在将其价值判断借助算法这一工具带给个体,以使其做出有利于自己的决策;另一种是算法异化,算法异化的本质是算法成为一种“异己的、敌对的”为人力所不可控的破坏性力量。算法不仅对个体的生活选择带来潜移默化的影响,在涉及国家政治的重大发展中,它也在发挥着自己强大的影响力。

算法之所以能够操控人类的决策,得益于其能够精准进行用户画像,为个体塑造“信息茧房”,使得利益集团能够快速、完整地掌控着各类群体的动向,“他们乐于接受什么,他们乐于怎么接受,他们的未来动向如何”算法都将个体的一切信息抽丝剥茧地告知利益集团,利益集团在悉知这一切后,就可让个体做出对其自身有利的决策。

三、法律规制算法的现状

根据算法的运行流程及其产生的两大类算法风险,本文主要从个人信息保护和算法责任制两条规制路径出发,因为个人信息保护法不仅对防止个人信息侵权有重大意义,而且其对算法歧视、算法黑箱、算法权力、算法操纵、算法塑造“信息茧房”的现象也进行了一定回应。通过探究当前我国法律对个人信息保护和算法责任的规定现状,并从中总结出相应的问题所在,以构建起法律规制算法的具体路径。

个人信息保护体系初步建立

我国专门的个人信息保护法(以下简称个保法)于2021年8月20日正式通过,个保法分为八个章节,较为系统全面地规定了个人信息处理规则,且细化为一般个人信息处理规则、敏感个人信息处理规则以及跨境信息处理规则,对个人享有的权利、处理者的义务以及国家监管机关职责以及对违反规定应承担的法律责任作出了系列安排。个保法的基本概念、原则、制度等方面既与国际个人信息保护相接轨,又体现了中国特色,确立了以“知情-同意”为核心的个人信息处理规则。个保法将合法、公开透明、安全、目的合理明确等作为处理个人信息的一般性原则,构建了处理个人信息(一般和敏感)的“告知-同意”、自动化决策要求、国家机关处理个人信息要求、个人信息安全审计要求等信息处理制度,赋予了个人知情权、决定权、查阅权、复制权、更正权、补充权、删除权,个人信息处理者承担安全保护、安全审计、事前风险评估、补救和通知等义务,本文聚焦“知情-同意”机制、个人信息保护影响评估制度以及自动化决策条款三个方面来分析个保法应对算法风险尚存在的问题。

1.“知情-同意”机制

对算法规制的重点之一就是个人数据赋权,但这意味着赋予数据主体越多权利越好吗?并非如此.因为个人数据赋权的同时,还需考虑数据流动和利益平衡的问题。首先个人数据赋权的基础就是“知情-同意”机制。对于知情同意机制,有不少学者认为此机制已经不适应当下的互联网时代,其给出的理由有如下几点:第一,用户无法理解冗长又复杂的隐私公告;第二,用户无法拿出过多的时间仔细浏览如此多的隐私公告;第三,个体对隐私公告中的风险缺乏足够的警惕;第四,关于隐私公告的调查已得出人们几乎不会阅读隐私公告的结论。由以上原因得出知情同意机制无法真正发挥意思表示的功能,用户的同意往往出于一种漫不经心或无可奈何的心态。个保法在第17条和18条分别规定了告知规则和无需告知的情形,要求告知个人关于个人信息处理者的基本信息、处理个人信息的目的、方式、种类与保存期限、个人行使权利的方式和程序,但这些告知事项还难以让用户知晓自动化决策产生的一般逻辑、自动化决策的可信度,以及自动化决策将对个人造成的风险。个保法在第14-16条规定了个人同意的标准、个人同意的撤回权以及不得以不同意为由拒绝提供产品或服务。这几条对于实践中出现的App将同意与提供服务或产品相捆绑的情形具有重要意义,但个人信息处理过程通常是持续性的,而个人授权同意确实一次性的,如果个人信息处理者改变了处理目的、处理方式以及处理的信息种类却没有及时通知个人,将导致个人对其信息失去控制。

2.合规审计制度与个人信息保护影响评估制度

个保法第54条和55条分别规定了个人信息处理者的定期合规审计制度与个人信息保护影响评估制度。个保法第54条规定了个人信息处理者的安全审计进行了原则性规定,但是并未明确个人信息处理者进行审计的部门、具体审计内容以及时间,自我合规审计虽然有利于激发个人信息处理者的合规动力,但若仅有原则性规定将导致信息处理者的合规成本大幅上涨,成为新的营商风险。个保法第55条规定了算法事前风险评估制度,明确了进行事前风险评估的情形与风险评估的内容,此项制度类似GDPR的算法影响评估制度,但第一,这项制度仅仅局限在事前进行评估,缺乏事中和事后的评估,难以全面监测算法风险,无法及时回应受害者;第二,评估的内容局限在对个人的影响,欠缺一种全局意识,忽视了对环境、经济等多方面的影响。第三,个人影响评估应当进行记录,但未规定应当记录哪些内容。

3.自动化决策条款

自动化决策的定义、透明度、处理结果公平以及“重大影响”的判断标准问题。个保法第73条虽界定了何为自动化决策,但同GDPR规定的识别分析相混同,这将导致自动化决策的适用范围受到限制。第24条规定了自动化决策的透明度,自动化决策的结果要公平合理以及当其对个人有“重大影响”时,个人有获得说明的权利。算法要提高透明度在理论界也广受推崇,但个保法第一款对透明度应当达到的程度未作出规定,如此将导致透明度仅仅沦为一种表面规定,无法具体落实,且关于自动化决策的结果要求公平合理,此条规定的目的是应对算法歧视,但忽视了自动化决策作出的过程也需要公平,应当遵循正当程序。另外,此条的第2款是为了防止算法为个人塑造“信息茧房”,规定了个人可以拒绝这种个性化推荐,并要求信息处理者提供不针对个人特征的选项,但拒绝权在何时行使并不明确,以及如何判断向个人进行信息推送及商业营销时,是否使用了用户的个人特征。第3款规定了如果通过自动化决策作出对个人权益有重大影响,要求向个人说明,但如何判定对个人有“重大影响”,这里应当明示判断标准,可以明确的是不能仅依个人信息主体的主观判断,应当结合场景等多重因素考量。

算法问责机制不明确

算法问‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍责制是指包括算法设计者、算法运营者、平台等可能的侵权行为主体有关于算法设计、运营的信息披露义务,披露内容主要是算法潜在的风险和出现侵权事件的原因,并提出算法的责任分配和补偿受害人的机制。当前现行法律法规对算法造成损害后如何分配责任,谁来承担责任,怎样承担责任并没有特殊的规定,故只能用传统的民法侵权理论进行分析,又因法律没有将算法侵权规定为特殊侵权类型,故需要用一般侵权的法律体系来救济个人权利。首先如何确定责任主体就是一大难题,算法本身并不能成为行为主体,即使赋予其人格,最终的结果也仅仅是终止使用该算法,让算法自我毁灭。但这并不能真正为受害人提供救济。若将责任主体指向算法背后操纵的“人”,那责任主体又变得多元化,包括经营者、设计者、平台等多个主体,因此有学者认为算法责任是一种联合义务责任,而非一人承担的责任。若将责任归于任意一方,将会大大增加以上主体的法律风险,从而可能抑制算法的创新。其次,还需要认定责任主体存在主观过错,又因算法侵权并非属于无过错的特殊情形,因此适用过错归责原则。但如何取证来证明责任主体存在过错,又是追究算法责任的一大难题,算法侵权往往基于平台和数据终端产生,一般情况难以对平台处理数据过程进行取证,用户也难以在数据终端进行取证。

四、法律规制体系的构建

细化个人信息保护体系

1.健全知情-同意机制

虽然知情同意制度也有一些问题,但不可将其抛弃。第一,从其地位来看,知情同意制度在个人信息保护中产生的意义就如同法律各项基本原则对司法实践的重大意义。其核心理念是保障个体的选择自由。在全世界范围来看,其地位也并未削弱,且有加强之势。第二,它也是数据携带权、删除权等数据权利的基础,若没有知情同意权的存在,其他权利亦将不复存在。第三,即使用户并不阅读隐私公告,直接点击同意,也并不会带来严重后果,因为网站或应用软件的用户基数庞大,且在媒体监督之下,用户即使不阅读隐私政策,这种行为所带来的风险也是可控的。如新浪微博的隐私条款事件,在媒体曝光后引起广大用户的热烈争议,最终被迫修改条款。第四,针对隐私公告复杂冗长,用户难以行权等问题,亦可通过完善知情同意机制来解决:第一,要健全通知机制,对于涉及算法的自动化决策告知,信息处理者不仅应当告知个保法所规定的一般事项,还应当告知算法决策产生过程的底层原理、决策的可信度和这种决策潜在的风险;第二,要健全同意机制,可通过动态授权机制来改善用户一次性授权,难以及时退出个人信息处理过程的情形。而动态授权机制则是根据数据使用情况及收集使用过程中产生的风险来决定是否需要用户再次授权,从而使用户更好地掌控自己的数据。用户若撤回收集信息的同意,也能倒逼企业增加对数据流通和使用的投入。

2.细化定期合规审计制度与个人影响评估制度

合规审计制度具有完善个人信息处理活动以及便利监管机构监管的双重作用。第一,要明确定期的标准,可以结合个人信息处理者的类型、处理目的与处理方式来设定一个具体的期限,当事人有约定的,约定优先;第二,合规审计的主体,程啸学者认为既可以由个人信息处理者内部进行合规审计,也可以委托外部专业机构进行合规审计。本文认定由内部部门进行合规审计可能会出现“既是运动员,又是裁判员”的不利监督后果,可以要求内部处理者进行合规审计后,还要报送个人信息保护负责人进行监督审查;第三,关于合规审计的内容,个保法规定的是关于个人信息处理者遵守法律、行政法规的情况,具体可以从个人信息处理者的处理目的是否合法,看其处理目的是否有损害到自然人的人格尊严和人身财产权益,是否有损公共利益及国家利益,另一方面,看其处理方式是否符合比例原则。

关于我国的个人影响评估制度,第一,我国对此项制度的定位是预防性制度,故仅仅规定在事前进行评估,但若将其定位为一项个人信息保护的风险动态检测制度,事中和事后都参照进行评估,更有利于保护个人信息权益,全面检测算法风险;第二,此项制度的适用前提不应当局限在对个人权益有重大影响的个人信息处理活动,应当将对经济、环境、社会等其他影响纳入其中;第三,评估主体与合规审计主体相同,既可以由个人信息处理者的内部部门履行,也可以由其委托专业机构进行评估;第四,关于记录的内容,可参考GDPR的规定,GDPR第30条对记录内容进行了详细的规定。

3.明细自动化决策条款

第一,如何保障自动化决策的透明度和结果的公平公正,既可以要求个人信息处理者将涉及到自动化决策的相关数据提供给个人来审查,也可以个人在认为其遭受自动化决策的歧视对待时,向监管部门投诉举报后,由监管部门对自动化决策结果进行审查确定,由于算法素养的限制及保护商业秘密的需求来看,由监管部门介入审查更为合适;第二,个性化推荐的拒绝权行使时间应当由用户来进行掌控,在提供的产品或服务中要以显著的方式设置允许用户关闭个性化推荐的选项,提前告知用户会使用到哪些针对其个人特征的选项,以使用户知情自动化决策作出的依据;第三,如何判断对个人有“重大影响”,可借鉴GDPR的规定,其第22条第1款认为“重大影响”是指对数据主体产生法律效力或类似的重大影响。而“法律效力的影响”是指会影响到个人的合法权利或在合同下的权利。故我国个保法的“重大影响”可理解为包括两种情形:一是该自动化决策将会影响到个人的法律权利、义务与责任;二是该自动化决策将会导致个人的经济、社会地位发生了改变。

建立明确的算法问责机制

随着《关于加强互联网信息服务算法治理的指导意见》《互联网信息服务算法推荐管理规定》两部法律文件的出台,初步形成了以国家互联网信息办公室为规制主体,以“算法安全”“算法公平”“算法向善”为内在依托价值的规制体系。但算法问责这一具体治理路径没有得以体现。问责要解决两个问题:如何补偿受害人以及如何给侵权人分配责任,而后者又要回答四个问题:侵权主体有哪些?侵权主体原本在各个阶段应当承担的义务是什么?侵权的归责原则是什么?因果关系如何确定?首先,如何补偿受害人:一是政府应当要求侵权人及时为受害人提供多样化的救济途径;二是建立一个赔偿基金会,该基金会的资金来源于算法设计者、运营者和平台。若侵权由于算法黑箱所致,则可由该基金会进行赔偿。该基金会成立后,可要求当新算法问世时,由设计者或运营者购买强制责任险。该赔偿基金会的成立对分担算法引发的安全风险有重要作用。其次,如何确定侵权主体,由于算法侵害的背后有着复杂的法律关系和多个责任方,原告要确定被告并非一件易事。目前算法系统本身尚不能成为责任主体,算法设计者、运营者和平台就成为潜在的责任主体。算法设计者应当负有主要责任,只有证实算法运营者违规运行或擅自更换算法代码和逻辑而造成的损害,算法设计者才无需承担责任。

算法责任制还需明确侵权主体在各个阶段应当承担哪些义务:在算法设计阶段,算法设计者在进行设计时,应当将社会规范融入到算法中,将人类社会的道德伦理规范及其价值嵌入到系统之中,伦理框架应当聚集法学家、社会学家等专家来共同设计。设计完成后还应当交由相关监管部门进行检测和试验,再进行登记和审批,最后才可投入使用。如此一来,既可以防止算法不遵循特定的程序运行,又可确保其实施符合算法设计者的预期,避免算法歧视侵害个体的合法权益。但这种嵌入道德价值的系统应当应用在对个体权利义务有较大影响的算法之中。另外,设计者要对其设计的算法系统负责,以实现算法作出自动化决策的过程得到有效审查,还便于追究真正的侵权人。算法的监管系统还应当将设计责任纳入其中,与现有的数据安全制度和隐私保护制度结合起来。第一,算法设计者记录设计情况应当成为一种强制性规定。第二,在算法进入测试时,要全面检测系统潜在的风险。这种设计责任有利于管理投入使用后的算法,也能反作用于系统研发,促进符合价值取向的算法发展。第三,算法设计者还需对系统实验负责。法律要对个体影响重大的系统实验相关具体操作进行明确规定,设计者要定期更新实验,通过更新测试能够对算法性能得出客观评价。实验过程中要将社会整体利益作为考核要求,以防算法设计片面追求商业利益。

在算法运营阶段,第一,要加强算法运营者的社会责任,要求算法运营者必须遵守法律法规的要求,在收集、使用用户个人数据时必须要充分尊重和保障用户权利,不得违背法律和伦理的约束。算法运营者可以在其能力范围内以清晰简明的方式向社会大众公开算法运行的逻辑及其可能产生的风险有哪些,推动构建值得信赖的算法系统,保障算法行业的健康发展。第二,还要建立平台责任和技术责任并重的责任分配体系,当前采取的是结果监管下的平台责任,当算法产生危害结果之后才进行追责,这种追责机制是基于算法工具性的假设。平台作为算法自动化决策的重要主体,需要承担事前风险预防,事中保障安全运行以及事后承担相关责任。

关于算法侵权的归责原则与因果关系如何判断,首先对于归责原则,由于算法决策的具有极强的专业性,个人由于算法素养的限制难以提供证据证明算法侵权主体的过错,同时归责原则还要考虑算法技术的发展,故为平衡个人与算法发展的利益,一般应当采用过错推定原则,由算法侵权主体来证明自己不存在过错,但对于特殊情形,如算法决策使用了敏感信息,作出了对个人权益影响较大的自动化决策等情形,则可以考虑适用无过错归责原则。另外,由于算法侵权与一般侵权有着较大区别,无法运用必然性或盖然性因果关系,算法根据相关关系得出结论。但相关关系不具有稳定性,易受环境影响而迅速发生变化,这会提高系统得出结果的错误率。算法系统的相关关系与变量的相关系数是正相关的。有学者认为当变量的相关系数超过0.8,才说明自动化决策是合理可信的。若变量之间的相关性较弱或根本不存在相关性,则算法决策是存在问题的,应当对受害人承担侵权责任。

结语

随着数字经济的发展,数据作为生产要素的地位越发重要,各个行业的发展,具体业务的应用与创新都离不开算法技术,与此同时,算法的发展也带来了诸多风险,算法侵蚀着人的主体性,给个体塑造“信息茧房”,收集和使用个人数据大规模泄露个人隐私,算法歧视,算法“黑箱”等问题。我国规制算法应当树立算法是用来保障人的尊严和价值的理念,在算法治理过程中要贯彻算法公平、平等、算法问责和审计的原则,充分运用元规制治理理论来规制算法,以事前赋权——细化个人信息保护体系和事后问责——算法责任制为核心的具体规制路径来全面系统地规制算法风险。算法风险的治理是一项系统、复杂的工程,不仅涉及个人信息保护,也与数据商业利用、流转和共享等数据生态链的诸多环节密切相关,需要政府部门、监管机构等多元社会主体参与合作治理,尽管算法的法律规制在多元复杂的利益格局中艰难前行,但相信未来我国一定能创建出完善的人工智能体系,培育繁荣兴盛的智能经济,并建成一个更加高效便民的智能社会。

往期精彩回顾

全立|个人数据保护视阈下数据信托本土化的反思与启示

周一 谷莺|人脸信息识别视阈下个人信息安全行政公益诉讼的实践与发展

李青|区块链技术中的个人信息保护问题研究

朱秋晨|人脸信息民事司法保护的路径选择

赵伟 | 平台营销的算法欺骗风险及其法律规制

邓栩健 | 区块链3.0视阈下我国立法后评估技术革新初探


上海市法学会官网
http://www.sls.org.cn

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存