熊定中、田宁子 | 中美算法监管差异及借鉴
The following article is from 中国法律评论 Author 熊定中、田宁子
作者简介
熊定中
清律律师事务所首席合伙人
本文第二作者为田宁子,清律律师事务所实习生。
目次
一、《加州自动化决策系统问责法》和《互联网信息服务算法推荐管理规定》简述
二、《加州问责法》及网信办《规定》规范差异
1. 监管机构的差异:社会工作组vs网信办
2. 监管目的的差异:反歧视vs内容合规
3. 监管方式的差异:评估标准vs结果标准
三、结论和借鉴意义
1. 立法监管思路的不同:权利救济vs政府监管
2. 企业落地执行网信办《规定》或可借鉴《加州问责法》下的评估标准
“
《加州自动化决策系统问责法》和《互联网信息服务算法推荐管理规定》简述
2020年2月14日,美国加利福尼亚州通过了《自动化决策系统问责法》(Automated Decisions Systems Accountability of 2021,下简称《加州问责法》),对使用自动化决策(Automated decision system,ADS)系统为个体提供服务的企业应履行的义务作出规定。《加州问责法》中对该类企业提出了评估及报告的要求。
此外,该法还要求金融保护和创新部(Department of Financial Protection and Innovation,DFPI)配合制定评估报告流程,并成立自动化决策系统咨询工作组(Automated Decision System Advisory Task Force)以审查自动化决策系统在企业、政府和其他各领域中的使用情况,并提供相关建议。
无独有偶,2021年11月16日,中国国家互联网信息办公室(以下称“网信办”)通过了《互联网信息服务算法推荐管理规定》(下简称《规定》),并于2022年3月1日正式实行。该《规定》也对算法推荐服务提供者提出了落实算法安全主体责任、履行安全评估和配合监督检查义务等要求。
近期国内外一系列立法中,均对互联网信息服务提供者要求算法或自动化决策评估或合规义务,可见此项规制要求已经逐步成为算法治理的国际共识。
“
《加州问责法》及网信办《规定》规范差异
从法规规制对象出发,《加州问责法》对自动化决策的定义为,“从机器学习、数据统计或其他数据处理或人工智能技术中衍生出的,用于做出决策或促进人类决策并对人产生影响的过程。”
网信办《规定》针对的算法推荐技术则“是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息”。
虽然从定义来看,两个规范针对的对象类似,都是针对利用大数据进行数据分析进而提供决策的信息服务技术,也都期待将此类信息服务技术纳入规制范畴,但详细剖析文件内容,依然不难看出,两个规范在监管机构、监管目的、监管手法上,区别甚大,而这也反映了不同的算法治理范式。
表1 对比《加州问责法》与网信办《规定》的规范差异
01
监管机构的差异:社会工作组vs网信办
首先,两部规范下的监管机构组成及性质不同。
根据《加州问责法》§ 1798.403条,该法下的监管机构为专门成立的工作组,由公有和私有部门各类代表组成。具体而言,该工作组应当包括:消费者或受保护阶层组织代表、政府代表、具有使用或构建ADS经历的科技或软件公司代表,以及具有ADS方面专业知识的大学或研究机构代表。除政府代表外,监管机构的其他成员身份均为私有部门。
网信办《规定》第3条第1款规定,国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。《规定》下的监管机构为行政机关,同时其他行业主管部门进行配合。
相比《加州问责法》下由公私部门代表共同组成的工作组,《规定》的监管机构为公权力机关。这种安排一方面体现了两部规范服务的立法目的不同,另一方面也与不同国家的监管思路不同有关。
02
监管目的的差异:反歧视vs内容合规
其次,两部规范的立法目的不同。
《加州问责法》第一节明确提出,该法出台是为了防止自动化决策系统由于基础数据可能存在的偏见性、不完整性或歧视性给受保护群体带来不平等伤害。加州州法律保护公民不因种族、宗教信仰、肤色、原国籍、血统、身体残疾、精神残疾、医疗状况、遗传信息或婚姻状况等特征受到歧视。而基于大数据的算法或自动化决策可能会由于其基础数据的偏差,在决策过程中带来事实性的不平等对待,违反州法律提出的反歧视要求。因此,加州立法机关认为,有必要通过评估,确保企业使用的自动化决策系统不会导致歧视,从而符合州法律要求,保护公民实体利益。
网信办《规定》第一条阐述了其监管目的:“为了规范互联网信息服务算法推荐活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展”,结合网信办有关负责人在《〈互联网信息服务算法推荐管理规定〉答记者问》中进一步明确的,出台《规定》一方面是为了推进互联网信息服务算法综合治理,另一方面是为了促进算法推荐服务规范健康发展,不难看出,《规定》并未像《加州问责法》一样明确指向一个具体的需要规范的对象(算法反歧视),更多地是在社会整体治理的高度去阐述立法目的。
同时,与《加州问责法》相似,《规定》也提出了对用户权益保护的要求,特别是对未成年人、老年人、劳动者以及消费者四类群体的特殊保护。其中,第二十一条提到,“(算法推荐服务提供者)不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。”从这个角度来看,《规定》也涵盖了防范算法歧视的要求。
03
监管方式的差异:评估标准vs结果标准
两部规范最大的差异,体现在监管方式的不同上。
《加州问责法》的出台主要是为了实现加州法律下对公民权利的保护。根据《加州问责法》§ 1798.402(a)(2)条,ADS评估应当关注以下几个方面:(1)ADS是否对受保护群体有不合比例的不利影响,(2)ADS是否服务于合理的目标并促进合法利益,以及(3)针对受评估APS是否存在损害更小的替代方案或合理修改。
《加州问责法》主要关注受评估ADS对公民,特别是受保护类别群体的权利入侵程度,总体提出了平衡式的评估标准:其并不会因可能有损受保护群体利益而被直接否决,受评估ADS是否得以实施,需要从比例原则、正当目的原则和必要性原则三个方面决定。而从前述表述可以看出,《加州问责法》更多地是明确算法推荐企业提供ADS程序或设备时应当满足的执行标准,重点在于应当以何种方式来进行ADS影响评估。
而与《加州问责法》所规定的前述“算法推荐企业应当执行的程序”不同,网信办《规定》对算法推荐服务提供者提出的是结果标准。例如,《规定》要求算法推荐服务提供者防范和抵制传播不良信息,规范开展互联网新闻信息服务,应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,不得利用算法进行“流量造假”和实施垄断、不正当竞争行为等,均指向的是“算法推荐企业应当保障的效果”,以结果来确定算法推荐企业行为的合规性。
“
结论和借鉴意义
01
立法监管思路的不同:权利救济vs政府监管
首先,《加州问责法》与网信办《规定》采取了不同的监管思路。《加州问责法》强调防止ADS带来的潜在歧视后果,具体衡量企业个例下的决策模式。而《规定》则提出多项管理规范,通过分类安全管理及备案等制度实现行业监管。也正是因为监管思路的差异,《加州问责法》与网信办《规定》对同类技术引发的社会问题的治理范式呈现出了较大的区别。
《加州问责法》在规范企业ADS时,重点也是放在对公民,尤其是特定群体的权益保护方面。《加州问责法》延续了一贯的监管思路,采取较为弹性的衡量标准评估ADS个例,没有对企业活动的结果提出过多要求,而主要是将精力放在建立一个第三方的监督机构,并明确企业应当从事何种程序性评估工作上。也正因如此,这个监管动作无需加州额外财政拨款。
而网信办《规定》下的结果标准更为刚性,同时有更严格的监管要求,例如建立识别违法和不良信息的特征库、用户模型和用户标签管理、版面页面生态管理等,而结合《规定》第四章可以看出,由于各监管部门均有义务对算法进行分级分类安全管理,还要提供备案支持和一定程度上的审核工作,以及还需要监管部门开展安全评估和检查工作,因此,这是个带来财政供养部门行政资源支出的规范要求。
02
企业落地执行网信办《规定》或可借鉴《加州问责法》下的评估标准
即便存在监管思路的顶层差异,但《加州问责法》对ADS提出的明确的评估标准及详细的报告内容要求,依然可以被我国企业在执行《规定》时所借鉴使用。例如§ 1798.402.(a)(3)条要求报告涵盖多项内容,包括ADS的名称版本等基本信息、数据输入类型和收集政策、ADS目的描述和预期效益、数据管理政策、第三方或企业本身的风险评估测试,以及减轻潜在差异性影响的措施等。这些规定的操作性非常强,而且流程也足够清晰,易于算法相关企业掌握和执行。
相对而言,网信办《规定》采用的结果标准则存在一定的解释空间,国内算法相关企业在判断如何合规经营方面会存在较大的不确定性。例如,《规定》第七条要求算法推荐服务提供者建立健全一系列管理制度和技术规范,但并未提及何谓“健全”的管理制度,以及管理制度的颗粒度和合理性应当如何评估;又例如第三章用户权益保护部分,也大量使用了主观性较强、企业难以获悉监管执行标准的表述。
因此,在国内算法推荐企业执行《规定》的过程中,或者监管部门在进行监督治理的过程中,在评估算法效果的合规性,以及算法推荐企业是否尽到了如《规定》所要求的那样“坚持主流价值导向”时,在评估流程和评估要素上借鉴《加州问责法》是有实际价值的。
首先,由于《规定》在第二章明确要求了算法推荐企业应当遵循的信息服务规范,并且明确列明了应当实现的社会效果,国内企业尤其是大型平台型企业可以考虑借鉴《加州问责法》§1798.403条,参考《个人信息保护法》第五十八条第(一)项之规定,邀请相关领域专家、消费者权益机构与内部合规团队一同进行相关评估。
其次,在具体评估流程和要素上,可以借鉴《加州问责法》1798.402.(a)(3)条之规定,关注算法推荐技术的基础数据如何产生、收集和处理,要求企业阐述数据管理政策,例如算法推荐技术的使用场景、数据最小化政策、算法推荐服务过程中的信息披露和消费者选择权、数据安全储存措施等。将评估的内容尽量地集中在算法推荐技术的使用效果、使用流程和使用标准上,而不是算法的技术内容上。这样既在人员组成上增强对合规要点的查漏补缺能力,增强企业自评的权威性,又有效避免了企业最为担心的外部人员评估的过程中产生核心商业秘密泄露等问题。