2022年4月8日,国家网信办发出通知,牵头开展“清朗·2022年算法综合治理”专项行动,至今年年底,将重点检查具有较强舆论属性或社会动员能力的大型网站、平台及产品。通知中将“积极开展算法备案算法备案”作为主要目标之一。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:朱宣烨(天元律师事务所合伙人,全国律协网络与高新技术委员会委员)、曾雯雯(天元律师事务所合伙人),头图来自:视觉中国
数字经济时代,算法的应用大大提升了数据处理的效率,但同时也出现了利用算法模型进行大数据杀熟、算法歧视、诱导沉迷、“将外卖员困在系统中”、影响舆论等有损市场秩序、不利于维护社会主义核心价值观等不合理使用算法的负面事件。
为有效应对算法不合法或不合理使用导致的诸多问题,2022年3月1日,《互联网信息服务算法推荐管理规定》(以下简称“《算法推荐规定》”)正式生效,提出了“算法备案”的新方案。
本文将从介绍全球主要的算法透明度治理模式出发,展示不同国家和地区算法治理的侧重点和基本要求,并重点介绍我国算法备案制度的具体要求,同时从比较法的角度,对未来我国算法治理的新方向做简要分析。
一、算法透明度主要治理模式之概览
1. 欧盟:重视大型网络平台和人工智能系统的算法透明度
2022年初,欧盟通过了《数字服务法案》,在《通用数据保护条例》的基础上,对网络平台尤其是超大型网络平台的算法透明度提出了新的要求。
一方面,网络平台应在服务条款中说明推荐算法系统的主要参数,参数信息应以清晰明确的语言作出并以易于访问的形式公开提供;另一方面,欧盟委员会依职权要求查阅企业的算法及数据库时,企业应提供完整的算法和数据库并对其作出明确的解释。
针对人工智能系统的算法透明度问题,欧盟委员会2021年4月发布的欧洲议事和理事会《关于制定人工智能统一规则》(《人工智能法案》)的提案中,将不同应用场景的人工智能系统分成四种等级:不可接受的风险、高风险、有限风险和低风险,并为了保障高风险人工智能应用的算法透明度,进行了人工智能算法登记备案(Register)的制度安排。
根据该《规则》第51条和第60条的规定,欧盟建立独立的高风险人工智能系统数据库,高风险人工智能系统投放市场或投入使用之前,提供商或授权代表应在其中进行登记备案,并规定欧盟数据库中包含的信息应可供公众访问。
2. 美国:强调对企业和政府机构不同的算法透明度要求
针对企业,主要关注商业消费领域的算法透明度。美国联邦贸易委员会(FTC)在文件《在公司使用人工智能中以信任、公平和平等为目标》中强调,公司应用算法应使用透明框架和独立标准,并在使用人工智能之前和之后应定期测试他们的算法,以确保它不会基于种族、性别等进行歧视。
而在政府应用算法方面,为促进公众接受并信任政府在决策中使用人工智能和算法技术,美国对行政机构和国防、情报部门应用算法进行详细规范。
例如,美国行政会议(AC)在《政府机构AI使用指南》中规定,应公开确定算法流程的目标及其背后的理由,促进对机构基于人工智能的决策制定的内部或外部审查。
美国国防部(DoD)在《情报部门人工智能伦理框架》中要求确保算法透明度和可解释性,根据情报部门的情报透明度原则,在可行的范围内使用可理解和可解释的方法,以便用户、监督者和公众酌情了解人工智能如何以及为何产生其输出。
3. 英国、新加坡:通过透明度报告和算法审计落实算法透明原则
2021年5月21日,英国发布《在线安全法草案》,针对政府公共机构使用人工智能算法系统推出了统一的算法透明度标准,同时,该草案第49条要求平台服务的提供者就其提供的每一项服务准备年度的透明度报告,并且报告中提供的信息必须完整、准确。
2020年1月21日,新加坡个人数据保护委员会(PDPC)发布第二版《模型人工智能治理框架》,确立人工智能算法“透明”和“以人为本”的指导原则。该框架在附录部分对人工智能算法提出了审计要求,规定如果存在发现(Discover)模型中包含算法的实际操作的必要,则进行算法审计。
该框架要求算法审计必须在对该组织具有管辖权的监管机构(作为取证调查的一部分)的要求下进行,或者由人工智能技术提供商执行,以确保算法的透明度。
4. 中国:保障自动化决策及算法推荐服务中的算法透明度
回到我国的视阈,我国强调个人信息处理者自动化决策技术应用的算法透明度。立法上,《电子商务法》《个人信息保护法》都对自动化决策进行了规定。
如《个人信息保护法》第24条要求个人信息处理者保证决策透明度、保证公平公正、实现平等交易。该条还规定了在个人信息处理者作出对个人权益有重大影响的决定时,信息主体拥有的“知情权”与“拒绝权”。
此外,2021年9月,国家互联网信息办公室等九部委联合发布《关于加强互联网信息服务算法综合治理的指导意见》(以下简称“《指导意见》”)的通知,要求利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。
该综合监管体系主要包括五个方面,分别是算法安全风险检测、算法安全评估、科技伦理审查、算法备案管理和涉算法违法违规行为处置。
2021年年底,国家网信办发布《算法推荐规定》,作为我国首部以算法推荐服务为规制对象的部门规章,该规定旨在规范通过算法技术向用户提供信息的行为,保护用户的知情权、选择权、拒绝权、救济权,强化保障未成年人、老年人、劳动者、消费者在互联网时代的权益。
其中,算法备案制度作为我国算法透明度治理的新方案,同时也是算法综合治理格局的重要一环,尤其值得关注。
二、我国算法备案需要关注的重点问题
《算法推荐规定》首先明确规定了算法治理领域全球公认的监管原则之一:算法透明,而算法备案制度则将算法透明原则落到实处。《算法推荐规定》对算法备案制度的义务主体、应备案的算法技术、算法备案的内容、算法备案的公示、算法动态备案都进行了明确的规定,并创新性地规定了违规备案的行政法责任。
1. 哪些主体需要履行算法备案义务?
《算法推荐规定》第24条规定,需要备案的主体是“具有舆论属性或者社会动员能力的算法推荐服务提供者”。首先,备案义务主体限定在算法服务提供者,排除了算法研发者、设计者和算法最终使用者(用户)。其次,备案义务主体须具有舆论属性或者社会动员能力。
根据网信办2018年11月发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
具体而言,微信、微博、抖音、豆瓣等应用即属于具有舆论属性或者社会动员能力的算法推荐服务提供者。
2. 哪些算法推荐技术需要备案?
具体而言,《算法推荐规定》规范的主要“应用算法推荐技术”包括生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等信息服务。
生成合成类主要规范内容聚合、内容自动化生成及内容合成服务,包括利用深度学习、虚拟现实等技术,制作文本、图像、音频、视频、虚拟场景等信息,如语音合成、AI换脸、视频自动剪辑、元宇宙等。
个性化推送类主要规范基于用户画像而进行的内容、商品或服务的个性化推送服务,如短视频、新闻、广告、礼包等推荐服务。
排序精选类主要规范内容服务提供者的版面页面管理,诸如首屏、热搜、精选、榜单、弹窗等。
检索过滤类主要规范搜索引擎、内容检索、内容干预等服务或行为,如搜索引擎不良信息过滤、敏感字词识别。
调度决策类主要规范工作调度服务,诸如外卖、网约车平台等。
3. 算法备案包括哪些内容?
《算法推荐规定》规定,备案义务主体应当在提供服务之日起10个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。
根据互联网信息服务算法备案系统的指示,企业填报信息主要包括三部分:算法主体信息、备案算法信息、产品及功能信息(见下图)。其中应注意:在产品及功能信息填报中企业须完成三个步骤,一是添加产品信息,二是添加产品功能访问路径,三是添加路径下的功能信息。
通过备案后,企业还可以根据业务变化进行变更备案信息或注销备案。
4. 变更、终止算法服务是否需要备案?
算法推荐服务提供者的备案信息发生变更的,应当在变更之日起10个工作日内办理变更手续。企业可通过备案系统修改主体信息、算法信息、产品及功能信息,但备案信息修改后,网信部门将重新对其进行审核。
算法推荐服务提供者终止服务的,应当在终止服务之日起20个工作日内办理注销备案手续,并作出妥善安排。
5. 如何尽到算法服务释明义务?
一方面,《算法推荐规定》要求算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。另一方面,完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息。
关于算法推荐服务提供者对用户的直接释明义务,目前主要相关平台已作出回应。算法推荐服务释明内容基本分为两个方面:
一是个性化内容推荐;
二是个性化广告推荐。
且大多数平台的公示内容都位于“设置”界面和与个人信息保护有关的界面。
抖音的公示内容较为详细。对于个性化内容推荐,抖音在《“抖音”隐私政策》中第1.5条说明了个性化推荐的功能、提供个性化推荐服务的范围、为了预测偏好收集的信息及机器计算、推荐模型的反馈与优化。
对于个性化广告推荐,在“设置”-“了解与管理广告推送”部分分别介绍了程序化广告和个性化广告,且用户可以分别关闭这两种不同的广告。
微信就个性化内容推荐服务在《微信隐私保护指引》“我们收集、使用的信息”部分第1.34条说明微信将利用收集的信息“基于特征标签进行间接人群画像并提供更加精准和个性化的服务和内容”。
同时,在“设置”-“隐私”-“个人信息与权限”中设有“个性化广告管理”,并有“了解微信个性化广告的工作原理”一节介绍广告投放的流程,且用户可以关闭个性化广告。
豆瓣在“设置”-“个人信息保护”一览设有专门的“个性化推荐与广告”内容,其中较为详细地介绍了算法推荐个性化内容以及算法推荐个性化广告的基本机制和原理。同时,用户可以选择关闭个性化内容推荐设置和个性化广告推荐设置。
微博则在公示内容上较为简略。微博在“设置”-“隐私设置”-“个人信息与权限”中简要说明了个性化广告推荐技术,未明确提及算法,也未对个性化内容推荐算法作出释明,仅允许用户关闭个性化广告推荐和个性化内容推荐。
此外,微博在《隐私政策》文件中提及用户的“设备信息、IP地址、位置信息、个人主页信息以及行为信息”将用于个性化内容推荐。
综上可知,由于目前尚处《算法推荐规定》实施的初期,暂不存在统一的执行标准,算法公示内容的详略程度主要由算法推荐服务提供者自行把握。对于算法推荐服务者履行算法备案公示义务的标准和监管尺度,笔者也将持续关注。
6. 违规备案将面临哪些后果?
第一,算法应该备案而未备案的法律责任。在企业未履行备案义务时,网信部门和电信、公安、市场监管等有关部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,并处1万元以上10万元以下罚款。
第二,算法备案瑕疵的法律责任。具有舆论属性或者社会动员能力的算法推荐服务提供者通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家和省、自治区、直辖市网信部门予以撤销备案,给予警告、通报批评;情节严重的,责令暂停信息更新,并处1万元以上10万元以下罚款。
第三,算法备案后的法律责任。基于算法备案的法律性质,即使算法活动经过合法备案,在其造成损害时仍应对损害承担法律责任。监管机构对义务人提交的材料予以备案,仅代表义务人的备案行为有效,不对算法活动本身产生任何影响。若备案人利用已备案的算法损害用户权益或社会公共利益,仍须承担相应的法律后果,备案这一程序性的事实行为不会豁免其法律责任。
三、完善算法备案制度之展望
如前文所述,目前全球规定算法备案相关制度的国家仍然较少,主要经济体采取事前备案方式的只有欧盟和我国。事实上,欧盟《人工智能法案》中仅特别规定了高风险人工智能算法的备案义务,但对备案的内涵、程序和意义均缺少具体规定,例如在确定哪些AI算法需要履行备案手续时是否需要考虑其本身的技术性质、应用场景、处理数据的敏感程度以及体量等。
而我国的《算法推荐规定》则在《人工智能法案》的基础上,改进并细化了算法备案的具体规则、法律后果,并使之与算法安全评估、算法检查彼此勾连,形成了多维一体的算法监管框架。[1]
然而,《算法推荐规定》的颁布和生效仍只是我国算法治理的起点,尚须不断发展与完善。
首先,对于算法备案的义务主体,未来应当进一步扩大。目前《算法推荐规定》完全针对算法服务提供者即市场主体,但未来在公共政府治理中,同样可能需要适用工具性和人工智能算法,政府等管理机构使用算法同样需要受到规制。
因此,应当借鉴美国对私营产业领域和公共政府领域算法的区别规制,以及英国对政府使用人工智能算法透明度的要求,未来对政府使用算法同样实施算法备案制度,以加强算法的透明性和公众接受度。
其次,就算法备案的范围而言,应当采取适应算法技术发展的分类分级方式。欧盟在高风险人工智能领域设定算法备案义务,我国要求备案的“算法”并不限于深度学习算法,而是拓展到生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等五类算法。
但随着算法更新迭代,对于特定算法类型的分类分级将减弱算法透明度治理的有效性。未来,我国或许可以借鉴《人工智能法案》的做法,促使其向“工具性算法”和“人工智能算法”的分类和更宽泛的风险分级转变。[2]
再次,放眼算法监管的全流程,应当细化相关规则,促进企业履行备案义务。在算法监管的全流程中,应当对算法初始备案和动态备案规则进行细化,从而平衡算法安全和算法发展。目前《算法推荐规定》仅粗略规定了变更、终止算法服务备案的流程,但在实践中什么时间、什么情况下需要变更,仍有待释明。
此外,《算法推荐规定》仅对企业施加了算法备案义务和责任,可探索对企业采取算法备案的激励措施,促进企业积极备案、真实备案,保障算法备案制度的良性发展。
附:
1.许可、刘畅:《论算法备案制度》,载《人工智能》2022年第1期。
2.同上注。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:朱宣烨、曾雯雯