算法规制的立法论研究*
2022-11-21任颖
任 颖
(广东外语外贸大学法学院,广东广州 510420)
网络空间是算法决策的维度。算法、数据、信息是网络空间的三个支柱。算法是内在的运行指令,数据是外化的表现形式,信息是数据承载的内容。随着网络安全法、数据安全法、个人信息保护法出台,算法是否应当单独立法成为重要议题。习近平总书记强调,数字技术“给人类生产生活带来广泛而深刻的影响”,要防范“新技术带来的风险”。〔1〕夏学平等:《加强数字化发展治理推进数字中国建设》,载《人民日报》2022 年2 月15 日,第7 版。《“十四五”国家信息化规划》提出,要“建设技术规则治理体系”“开展技术算法规制”,推进算法“安全评估审查”“标准制定”“伦理论证”。〔2〕《“十四五”国家信息化规划》,http://www.cac.gov.cn/2021-12/27/c_1642205314518676.htm,2022 年1 月12 日访问。算法立法研究具有必要性和紧迫性。
一、算法规制的立法问题
算法乱象的本质,是违法行为从显性向更具隐蔽性维度的迁移。例如,平台不明确要求“二选一”,但通过改变算法,降低在多平台同时运营商家的交易机会;通过算法设置,进行隐私入侵、深度挖掘商机。算法立法究竟向何处去,如何有效地对于具有隐蔽性的算法进行规制,成为算法治理的重要议题。
(一)算法规制的立法模式是并入数据信息立法还是单独立法
合并立法与单独立法是两种不同的立法体例。其核心区分在于立法目标是否具有可拆分性、调整对象是否具有差异性。合并立法是基于立法目标的共通性,在同一部法律当中对不同的调整对象作出规定。单独立法方式将立法目标拆分成更为细化的子目标,并区分不同的调整对象,进行专项立法。算法规制的立法方式是合并立法,即通过个人信息保护法等展开算法规制,还是单独立法,即制定算法专项法,成为算法立法面临的主要问题。
从立法目标上看,算法立法与数据信息立法的目标并不完全相同。算法、数据、信息具有不同的特征。算法是“自动完成某项任务或解决特定问题的指令集合”。〔3〕[西]弗朗西斯科·帕劳等:《指数型组织实施手册》,黄静译,浙江人民出版社2019 年版,第40 页。其是“用一步一步的程序来解决某一给定的任务的方法”,“也是对计算机发出的解决这一问题的指令”。〔4〕[美]米歇尔·刘易斯·伯克等主编:《社会科学研究方法百科全书》(第1 卷),沈崇麟等译,重庆大学出版社2017 年版,第11-12 页。网络空间中的数据、信息状况,受到算法运行的制约。相对于数据与信息,算法更具有隐蔽性特征。算法立法、数据安全法、个人信息保护法,分别针对潜在运行的算法、计算机数据载体、外化的个人信息展开规制,防范算法滥用、数据风险、信息泄露,确保算法应用行为、数据开发利用行为、个人信息收集处理行为的规范合理,在立法目标上具有可拆分性。
从调整对象上看,数据信息立法难以完整涵盖算法法律关系的调整内容。算法法律关系包括算法服务提供者与相对人之间的合同法律关系,行政机关与算法服务提供者之间的行政管理法律关系,应用算法的多个平台、企业、算法研发人与算法应用人之间的竞争法律关系。数据安全法主要调整数据开发利用主体与政府、国家之间的法律关系。作为国家安全的组成部分,数据安全法是应对数据风险与“数据霸权”,维护国家数据主权的重要依据。〔5〕参见张影强:《全球网络空间治理体系与中国方案》,中国经济出版社2017 年版,第144 页。个人信息保护法调整信息主体与信息收集、处理、加工、存储行为人之间的关系。算法立法、数据安全法、个人信息保护法的调整对象存在差异。
算法立法的权利设定具有独特性。与数据安全法、个人信息保护法分别对数据主权、个人信息自决权进行保护不同。算法立法需要通过申辩权、标签删除权、算法解释权、备案及评估信息公开请求权等程序性权利,〔6〕参见李晓辉:《算法商业秘密与算法正义》,载《比较法研究》2021 年第3 期。以及备案审查、禁用、责令整改等权力设定,赋予“个人享有抵御算法歧视的权利”。〔7〕季卫东:《数据保护权的多维视角》,载《政治与法律》2021 年第10 期。通过前置性的权利设置,防范隐私权、名誉权、自由权、自主选择权、公平交易权、信息网络传播权、劳动权益等实体性权利损害。算法领域的损害认定,“不同于传统物理社会的权利或法益侵害”。〔8〕王莹:《算法侵害责任框架刍议》,载《中国法学》2022 年第3 期。从狭义上讲,算法立法所针对的算法侵害主要是指算法妨害,即危害算法秩序但未造成实体权利损害的行为,如算法标签、算法归化、算法操纵、算法黑箱、算法偏见等。对于造成隐私权等具体权利侵害结果的算法损害,则可依据民法、消费者权益保护法、劳动法、知识产权法进行责任认定。
算法立法的本质是数字社会治理的关口前移,针对算法妨害设置前置性审查权力与程序性权利,通过个体赋权与公共权力的结合,在数据、信息、数字行动自由权未受到实质侵害之前,设置关卡,避免损害发生。例如,通过备案审查、禁用、责令整改等权力规定,避免算法滥用;通过申辩权设置,防范算法筛查与冻结账户给用户财产权造成损害;通过标签删除权设置,避免算法歧视与算法操纵对名誉权、平等权、自主选择权造成侵害;通过算法解释、备案及评估信息公开请求权设置,应对算法黑箱问题。也有立法例设置拒绝权或反对权,如欧盟《通用数据保护条例》规定数据主体有权反对自动化决策。不过用户有权选择使用或不用算法服务,实际上属于自主选择权的内容,无须再新设权利。
算法单独立法已成为发展的必然趋势。技术越发展、应用程度越深,对于立法的专门性要求就越高。世界范围内的算法专项立法文本相继公布,美国《算法问责法》(Algorithmic Accountability Act)、《算法正义和互联网平台透明度法案》(Algorithmic Justice and Online Platform Transparency Act)、欧盟《算法问责及透明度监管框架》(A governance framework for algorithmic accountability and transparency )、《新西兰算法章程》(Algorithm charter for Aotearoa New Zealand),从价值与概念、原则与基础、评估与影响、透明与合作、行业标准、人权保障、算法治理的全球维度、算法决策问责制度等出发,对算法规制问题作出专门规定。算法、数据、信息立法的目的、对象、内容各不相同。算法规制的单独立法亟待得到推进。
(二)算法规制的立法属性是技术规制还是社会规制
技术规制的本质是以技术治理技术,社会规制的本质是以价值约束行为。技术规制和社会规制共同构成技术规则治理的主要内容。技术规制以工具理性为导向,通过限制、禁止特定技术研发,对技术本身进行规制和约束。社会规制以价值理性为目标,通过价值判断,约束主体的社会行为,调整相应的社会关系,应对“由于外部性和信息不对称所引发的各种问题”。〔9〕杜振华:《公共经济学》,对外经济贸易大学出版社2010 年版,第149 页。马克斯·韦伯(Max Weber)在《经济与社会》(Economy and Society)第一章中对工具理性、价值理性进行了分析,指出工具理性是“实现自身的理性追求和特定目标”的手段、方式,价值理性是“包含在特定行为方式中的无条件的内在价值”与正当性标准。〔10〕[德]马克斯·韦伯:《经济与社会》(第1 卷),阎克文译,上海人民出版社2010 年版,第114 页。算法规制的目标不在于手段方式、工具理性,而在于正当标准和价值理性。“技术中立性原则是公共规制的一项重要原则”,算法立法应当秉持“技术中立的立场来应对新科技发展”,“允许多种技术并行发展”,形成“竞争有序、科技中立的环境”。〔11〕唐子才等:《互联网规制理论与实践》,北京邮电大学出版社2008 年版,第46 页。
算法立法的本质不是对技术本身的规制,而是在传统领域数字化改造过程中,避免算法运行对已有价值或秩序造成损害,保障算法决策下的竞争机制公平、用户权益保护、公共秩序维护。数字化发展的本质是传统产业与数字技术的有机结合,通过“数字化改造”,〔12〕李兆延等主编:《云计算导论》,航空工业出版社2020 年版,第143 页。实现产业转型升级。作为数字法学的组成部分,算法是数字化改造的动力系统。作为对传统领域进行数字化改造的驱动力,算法技术创新直接影响数字经济的发展状况。算法立法的目的不是“念技术的紧箍咒”,〔13〕郭志等:《世纪末的聚焦——信息时代的文明变迁》,甘肃科学技术出版社1998 年版,第180 页。而是大力促进算法技术创新,同时防止算法技术因不当使用而弱化“算力”。算力是数字社会的生产力基础,是网络空间算法运行、数据分析、信息处理的能力。〔14〕王晓云等:《算力时代:一场新的产业革命》,中信出版社2022 年版,第1 页。激励算法技术发展,提升算力,是算法立法的核心目标。算法立法不是对算法技术的规制和约束,而是“通过法律的社会控制”,〔15〕[美]庞德:《通过法律的社会控制:法律的任务》,沈宗灵、董世忠译,商务印书馆1984 年版,第1 页。对算法相关社会关系进行规约,确保算法运行有序,促进算力稳步提升。“规制的核心问题不是算法”,〔16〕[美]杰克·巴尔金:《算法社会中的三大法则》,刘颖、陈瑶瑶译,载《法治现代化研究》2021 年第2 期。规制本身亦不是终极的目的。解放和发展生产力,防止算法脱离社会控制而影响算力,是算法规制的根本目的。
算法规制针对的是算法乱象,而非算法技术。算法技术与算法乱象并不能够等同。算法技术既可能带来好的影响,极大提升算力,也可能产生坏的作用,制约算力发展。例如,算法推荐能够节省用户查找特定信息的时间,但也可能因“过滤泡沫”(Filter Bubble)导致“信息茧房”“回音室效应”;〔17〕[英]乔恩·德龙等:《集群教学——学习与社交媒体》,刘黛琳等译,国家开放大学出版社2018 年版,第371 页。个性化定价算法可用于推出价格优惠等措施,也可被用于“大数据杀熟”;算法决策能够极大地提升网络空间运行效率,但也可能引发“算法歧视”、隐性干预竞争、批量精准侵权;“排序精选类算法”能够帮助用户识别良莠,但也可能出现操纵榜单、虚假点赞;路径规划算法能够在导航时计算出通勤的最佳方案,但也可能导致隐私侵权;打车、外卖等生活服务软件中的调度算法,可以实现经营者与消费者、供应端与需求端的快速匹配,但也可能出现不当订单分发、限制劳动者收入、不合理调度等现象。算法技术与算法乱象分别根据“算法的技术目标与社会目标”进行评价。〔18〕张吉豫:《构建多元共治的算法治理体系》,载《法律科学(西北政法大学学报)》2022 年第1 期。从技术目标的角度看,只需满足有穷性、确切性、输入与输出项、可行性特征,即符合算法技术的基础性要求。从社会目标的角度看,算法如果不仅以代码化、“自然性的模型”存在,〔19〕张艺超等:《少样本学习》,载《云南民族大学学报(自然科学版)》2020 年第6 期。而且以社会连接的形式应用到市场经营、社会生活当中,还须符合社会伦理规则与法律规定的要求。技术本身是中立的,但技术的使用则具有非中立性特征。算法的社会化应用带有平台、企业、机构等使用主体的价值判断。算法乱象就是违法或不当使用算法技术的结果。除已经披露的现象之外,冰山之下潜在的、隐性的算法乱象亦需引起高度重视。作为计算最佳策略的重要工具,算法社会化应用过程中的价值立足点,究竟是经营者角度的最佳策略,还是消费者角度的最佳策略,会带来截然不同的效果。算法规制的立法属性,应当是社会规制,通过价值约束“技术非中立性使用”。〔20〕陈兵:《互联网屏蔽行为的反不正当竞争法规制》,载《法学》2021 年第6 期。
(三)算法规制的立法难点:“算法伦理”要求与合法权益保护的矛盾
算法立法面临“算法伦理”要求与合法权益保护的矛盾。“算法伦理”主要包括公开透明、公平公正、安全可控。以算法公平,防范“算法歧视”;以算法透明,应对“算法黑箱”;以算法安全,防止“算法风险”。在实践中,“算法公正、智能正义、制度公平”“规则公平、权利公平、机会公平”的实现,面临“算法技术秘密与信息公开”“产权保护”与“社会福祉”“激励创新”与加强规制之间的冲突。〔21〕张文显:《构建智能社会的法律秩序》,载《东方法学》2020 年第5 期。
第一,“算法公开透明”与知识产权保护的冲突。通过“存档数据和公开源代码”“向社会公开参数”“向主管部门报备参数”,满足“算法自动化决策的透明度要求”,〔22〕汪庆华:《算法透明的多重维度和算法问责》,载《比较法研究》2020 年第6 期。可能削弱甚至损害知识产权及商业秘密。根据《民法典》第123 条的规定,知识产权的客体包括作品、发明、商标、商业秘密、植物新品种等。算法具有“可专利性”。〔23〕王翀:《人工智能算法可专利性研究》,载《政治与法律》2020 年第11 期。“算法由代码序列构成。”〔24〕魏斌:《智慧司法的法理反思与应对》,载《政治与法律》2021 年第8 期。算法代码贯穿“身份识别、数字签名”“技术程序以及传输协议”的全过程。〔25〕许可:《驯服算法:算法治理的历史展开与当代体系》,载《华东政法大学学报》2022 年第1 期。算法应用人基于对算法模型的选择、权重、序列设置,而享有商业秘密、经济权益。在实践当中,算法公开面临三个方面的问题:一是实施算法技术代码备案可能导致知识产权侵权,并且,现有人力物力配备较难支撑对算法技术进行实质性审查;二是纯粹的形式审查可能导致算法备案程序在实践中的空置;三是引入第三方评估的次生安全隐患,评估过程可能发生商业秘密泄露。〔26〕参见梁志文:《论算法排他权:破除算法偏见的路径选择》,载《政治与法律》2020 年第8 期。
第二,“算法公平公正”与隐私权和自由权保护的矛盾。算法公平公正以保障公共利益为出发点,隐私权和自由权立足于私益保护,两者之间的矛盾实质是公益与私益之间辩证关系的体现。在公共决策领域,“算法应用的正当性”以公共安全与公平公正为标准。〔27〕洪丹娜:《算法歧视的宪法价值调适:基于人的尊严》,载《政治与法律》2020 年第8 期。算法在自动识别逃犯、维护公共秩序、展开社保救助、配置教育资源等领域的应用,极大地提升了公共管理的效率。但效率提升的基础是对于公众数据信息的大范围收集、分析,对于人们工作、生活、娱乐领域的大范围监控、排查,在一些国家甚至出现了基于犯罪风险计算而进行的预测性执法。“公平机器学习”“公平合成数据”等“合理算法”标准的秩序要求,〔28〕苏宇:《算法规制的谱系》,载《中国法学》2020 年第3 期。在提升算法决策的效率的同时,〔29〕参见[美]托马斯·科尔曼等:《算法导论》(第2 版),高等教育出版社2002 年版,第9 页。也面临正当性隐忧,出现“技术过度侵犯个人隐私”等问题。〔30〕单勇:《犯罪之技术治理的价值权衡:以数据正义为视角》,载《法制与社会发展》2020 年第5 期。即便是“身份中立为目标的反算法歧视”,也面临“信息与统计理论的质疑”“正义理论与伦理价值的质疑”。〔31〕丁晓东:《论算法的法律规制》,载《中国社会科学》2020 年第12 期。在保证算法“模型部署后的公平性”,〔32〕张欣:《算法行政的架构原理、本质特征与法治化路径:兼论〈个人信息保护法(草案)〉》,载《经贸法律评论》2021 年第1 期。如何为算法应用行为人设定严格的义务和责任,解决“算法公平公正”与隐私权和自由权保护的矛盾,仍面临诸多问题。
第三,“算法安全可控”与科技研发自主权之间的矛盾。这是约束与激励的矛盾在算法领域的表现。“算法安全可控”“算法侵害防治”“人工干预权”设置,〔33〕王莹:《算法侵害类型化研究与法律应对——以〈个人信息保护法〉为基点的算法规制扩展构想》,载《法制与社会发展》2021 年第6 期。以约束为导向,为算法划定边界。“科技研发自主权”以激励为导向,鼓励大胆探索、“敢冒风险、容忍失败”。〔34〕万劲波:《切实保障创新主体的科技研发自主权》,载《学习时报》2019 年4 月3 日,第6 版。约束与激励之间、防控风险与“敢冒风险”之间存在一定的冲突。人类与机器之间的交互作用,模糊了“控制者与受控者之间的界限”。〔35〕[英]汉娜·弗莱:《算法统治世界》,李英松译,贵州人民出版社2021 年版,第2 页。“算法安全可控”成为防范算法风险的必然要求,但也给科技研发自主权利的行使带来了一定程度的影响。在“算法治理”(algocracy)过程中,“科技创新与风险控制”之间的矛盾如何解决,“科技与监管关系”如何协调,〔36〕[英]凯伦·杨等主编:《驯服算法》,林少伟、唐林垚译,上海人民出版社2020 版,第4 页。“算法发展”与“算法安全”如何平衡,〔37〕许可:《算法规制体系的中国建构与理论反思》,载《法律科学(西北政法大学学报)》2022 年第1 期。“监管目标多元平衡”如何实现,〔38〕张欣:《算法影响评估制度的构建机理与中国方案》,载《法商研究》2021 年第2 期。是算法立法必须解决的问题。“算法安全可控”强调通过加强规制,确保技术可控性,防范技术风险。但在实践中,应当防范的是技术应用风险,而非研发创新风险。以自主创新激励为导向,技术研发过程不应受到不当干预。“算法安全可控”价值目标,不能机械化地嵌入市场运营领域,而要通过深层次矛盾的化解,实现外部效应的内化。
二、算法立法的法理辨析
算法立法的重心在于保障“公众的算法主体地位”,防止“自主性消解”“认知性裹挟”“权利依附性”,〔39〕张爱军等:《算法权力及其国家能力形塑的主体透视》,载《学术月刊》2021 年第12 期。避免算法成为“透视控制”“牟利算计”“工具主宰”。〔40〕马长山:《数字法学的理论表达》,载《中国法学》2022 年第3 期。算法立法的调整对象、权利内容、规制目的与其他法律不同。算法规制的立法对象应当是算法应用而非研发行为。算法立法应当兼顾“算法伦理”要求与合法权益保护,推动利益衡量与价值平衡。
(一)算法立法与数据安全法、个人信息保护法等立法的辨析
算法、数据、信息、网络密不可分,数据安全法、个人信息保护法、网络安全法、电子商务法的相关条款能够为算法规制提供依据。算法立法必然与已有立法相联系,聚合数据信息立法、电子商务法等多项法律价值。《个人信息保护法》第24 条规定,涉及个人信息利用的自动化决策,应当透明、公平、公正,禁止设置不合理差别待遇;第55 条规定,利用个人信息进行自动化决策的,信息处理者应当进行个人信息保护影响评估;第73 条指出,自动化决策是以计算机程序对个人特征的分析为基础进行的决策活动。《数据安全法》第8 条规定,数据处理活动要符合伦理要求。《网络安全法》 第10 条规定,通过网络提供服务应当采取必要措施,保障网络安全;第12 条规定,网络使用行为应当遵守宪法法律和社会公德,不得危害国家安全、网络安全、经济秩序、社会秩序,不得侵害他人合法权益。《电子商务法》第5 条规定,电子商务经营者应当遵守法律和商业道德,履行保护用户权益、知识产权、生态环境的义务;第18 条规定,电子商务经营者根据消费倾向等特征进行个性化推荐的,应当同时提供不针对个人消费特征的选项,保障用户的自主选择权;第22 条规定,电子商务经营者不得实施滥用市场支配地位损害竞争秩序的行为。网络算法运行不得违反数据安全法、个人信息保护法、网络安全法、电子商务法的规定。这些已有的立法以“外接形态”,为算法“单独立法预留连接‘动线’”。〔41〕赵红梅:《私法社会化的反思与批判——社会法学的视角》,载《中国法学》2008 年第6 期。
不过,通过已有立法进行算法规制并不具有周延性。第一,算法立法与个人信息保护法的权利内容不同。算法立法的标签删除权、算法解释权等前置性权利,以及算法备案审查、禁用等权力设定,并不能够被个人信息自决权完全涵盖。算法立法的用户标签删除权与个人信息自决权中的删除权并不相同。标签删除权的设置针对的是算法匹配行为,个人信息删除权针对的是信息收集、处理行为。用户标签删除权的删除对象是算法匹配过程中,为用户设定的兴趣偏好标签;行使个人信息删除权删除的是违规收集、处理的信息本身。算法立法中的算法解释权与个人信息保护法的知情同意权也不相同。“算法解释权的性质”是“程序性权利”。〔42〕丁晓东:《基于信任的自动化决策:算法解释权的原理反思与制度重构》,载《中国法学》2022 年第1 期。知情同意权由知情权和同意权两个部分组成,是实体性权利和程序性权利的复合体。算法解释权针对的是算法规则本身,知情同意权针对的是信息收集、处理过程。算法解释权与个人信息保护法的解释说明权不同,前者要求平台、企业、机构积极主动履行解释义务,后者则属于依申请进行的解释类型。第二,算法立法与数据安全法、电子商务法的规制对象不同。算法立法规制的是算法应用行为,数据安全法的规制对象是数据处理行为,电子商务法规制的是利用互联网实施的经营行为。《数据安全法》第2 条规定,本法适用于境内的数据处理活动,以及对本国的国家利益、公共利益、个人利益造成损害的境外数据处理活动。《电子商务法》 第2 条规定,本法适用于境内通过信息网络销售商品或提供服务的经营行为,但不包括提供新闻、出版、文化产品、金融产品或服务的行为。第三,算法立法与网络安全法的规制目的不同。算法立法的目标是实现算法应用的规范化,网络安全法的宗旨是维护计算机信息系统安全。《网络安全法》第1 条规定,本法的立法目的是维护网络空间主权,保障网络安全。2022 年,《网络安全审查办法》正式施行,其第1 条规定,网络安全审查制度设置,以保障网络安全、关键信息基础设施供应链安全、数据安全为目标。在把握算法立法与数据信息等立法的异同基础上,还需处理算法立法与已有法律制度的衔接问题,确保算法制度设计能够在实践中真正落实。
(二)算法规制的立法对象:技术研发行为与算法应用行为属性的辨析
算法规制的本质,是通过“对算法应用的法律监管”,〔43〕郑玉双:《计算正义:算法与法律之关系的法理建构》,载《政治与法律》2021 年第11 期。设置算法应用行为人的义务和责任,支撑和保障用户权利、管理权力的实现。以算法立法的社会规制属性为基础,算法规制的立法对象应当是应用行为而非研发行为。
从技术属性角度看,算法研发涵盖算法规划、算法设计、算法召回、算法评估,算法应用包括算法匹配、算法推荐、算法决策、算法筛查。每一项算法行为可能是多种算法技术应用的组合,多个平台、企业、产品也可能应用同一套算法技术系统。例如,算法筛查行为应用了监督学习算法、协同过滤算法等;网络爬虫应用了深度优先算法、宽度优先算法等;数据挖掘应用了聚类算法、递推算法、迭代算法、关联算法、最大期望算法、分类回归树算法等。在算法应用过程中,还可以在不改变算法技术的情况下,对模型架构、权重、组合进行调整,以满足不同类型的产品开发和业务拓展需求。单项严查一种算法技术研发,无法达到防范算法社会应用风险的目的。只有通过对算法应用行为的社会规制,才能够把控输出端效果的正向性,“确保算法应用向上向善”。〔44〕张天培:《确保算法应用向上向善》,载《人民日报》2022 年5 月5 日,第19 版。
从社会属性角度看,算法法律关系的核心内容不是算法研发者与用户之间的关系,而是算法应用人与相对人、行政机关、其他经营者之间的关系。在算法法律关系中,实际发生法律效果的行为是算法应用行为,而非技术研发行为。与此同时,算法研发人与算法应用人之间的关系,与生产商和销售商之间的关系并不相同。生产商和销售商之所以承担共同责任,是由于销售商原封不动地在销售生产商产出的商品,而没有进行再次加工和处理。应用算法的平台、企业、机构会将不同的算法排列组合,并动态调整相应的权重,以满足新闻推送、电商销售、流量打榜等不同场景下的应用需求。这种再次处理行为在客观上阻断了算法研发人员的责任。
从立法原理角度看,针对算法研发行为的规制并不具备正当性基础。根据受益者负担原则,“利之所在,损之所归”。〔45〕郭红岩:《跨界损害损失分担基本理论问题研究》,中国政法大学出版社2013 年版,第200 页。应用算法的平台、企业是实际的受益者,因而也应当是算法责任的承担者。《关于加强互联网信息服务算法综合治理的指导意见》确立了“管理好使用好发展好算法应用”总体目标;其第二部分“健全算法安全治理机制”强调企业“对算法应用产生的结果负主体责任”;其第三部分“构建算法安全监管体系”提出评估算法“应用环节的缺陷和漏洞”“推进监管模式与算法技术协同发展”;其第四部分“促进算法生态规范发展”指出要“提升算法创新能力”,促进“算法研发”“规范企业算法应用行为”“防范算法滥用风险”。〔46〕《关于印发〈关于加强互联网信息服务算法综合治理的指导意见〉的通知》,http://www.gov.cn/zhengce/zhengceku/2021-09/30/content_5640398.htm,2022 年1 月2 日访问。《上海市网络交易平台网络营销活动算法应用指引(试行)》第2 条至第3 条指出,该规定适用于网络交易平台经营者“应用算法技术实施各类自动化决策”的活动。针对算法应用行为实施规制,已成为立法共识。
从立法可行性角度看,算法评估是对算法应用状况的评价,而非对技术研发过程的拆解。如果针对算法研发人的主观恶意或客观行为展开立法,极易导致立法虚设、制度空置。立法不能基于推定算法技术研发过程而作出肯定性或否定性评价,而应当将算法应用的实际状况作为评判的标准。从立法效果角度看,把握住算法应用端口,确保其产出有利于权益保护与社会发展,在客观上能够防范算法“创建者的偏见和不良动机”引发的损害。〔47〕谢鸿飞:《个人信息处理者对信息侵权下游损害的侵权责任》,载《法律适用》2022 年第1 期。从规制路径上看,算法立法的重心,不是也不应是对于算法技术研发人员的规制,而是通过严格监管算法应用行为,遏制算法市场乱象。算法市场环境的正向和良性,又能够倒逼算法研发优化、算法应用升级、算法运行公信力提升,从而形成算法健康有序发展的良性循环。把握算法应用市场是从源头上避免算法乱象的根本所在,也是算法立法的任务。
(三)算法规制的立法原则:利益衡量、个案调和、价值平衡
算法规制的立法原则,是以利益衡量、个案调和、价值平衡,引导算法规制正当程序的确立。“算法权力”的行使,需要满足“程序正义”的要求,〔48〕陈景辉:《算法的法律性质:言论、商业秘密还是正当程序?》,载《比较法研究》2020 年第2 期。实现“算法伦理”的价值调和。“算法伦理”源于“数字人权”,〔49〕刘志强:《论“数字人权”不构成第四代人权》,载《法学研究》2021 年第1 期。但算法立法不能停留于抽象的公开、正义、安全价值,而要落实到具体的算法应用正当程序设计,推动“算法伦理”与合法权益保护的协调。
第一,算法公开的程序设置,应引入利益衡量机制,协调算法应用人与相对人的利益保护。在立法过程中,“利益衡量机制”以“立法的民主化、科学化指标”为指引,解决权利冲突。在执法过程中,“利益衡量机制”以“做出正当、合理的行政决定”为目标,“矫正失衡的利益关系”。〔50〕杨临宏等:《行政法学新领域问题研究》,云南大学出版社2006 年版,第18 页。算法公开程序的立法规定,需要平衡消费者知情权与算法知识产权保护的关系,实现立法的科学化。在主体方面,算法公开、解释、备案、评估均应由算法应用行为人负责,而不应在算法研发环节设置公开义务。在内容方面,算法公开不应包括源代码公开,而应通过算法规则公开、“算法逻辑说明”,〔51〕韩旭至:《个人信息保护中告知同意的困境与出路——兼论〈个人信息保护法(草案)〉相关条款》,载《经贸法律评论》2021 年第1 期。披露“技术黑箱”“裁判机制”“运作原理”“预期效果”,〔52〕唐林垚:《人工智能时代的算法规制:责任分层与义务合规》,载《现代法学》2020 年第1 期。并向社会公开算法备案信息、算法评估情况。从技术原理的可理解性角度看,由于平台、企业、机构综合运用多种算法开展活动,算法应用人的义务不是备案或披露每一项算法技术,而是公开平台应用的算法规则,让公众知悉其使用相关平台或程序可能带来什么影响,及时采取措施避免不利影响的出现。算法公开的执法程序,需要将利益衡量设置为必经程序,并区分向行政机关申报的有限公开和向社会公开披露两种情形,分类细化算法公开操作规程,制定第三方算法评估实施办法,防止次生安全隐患的发生。算法公开应当形成具体、细化的操作规程,平衡算法伦理与商业秘密、算法应用与权益保护之间的关系。
第二,算法公平的程序评价,应当兼采“行为论”与“结果论”,建立算法公益与私益保护的个案调和机制。在促进算法公平实现的过程中,对于个体损害结果的弥补和救济往往被视为立法的首要目标,但算法立法的重中之重实际上是对于算法应用行为的控制,形成良好的算法公共秩序。“法律行为论”以把握行为规律、预测行为方式、控制行为走向为核心,为算法公平地实现提供支撑。〔53〕参见吕世伦主编:《现代西方法学流派(下卷)》,黑龙江美术出版社2018 年版,第161 页。在具体案件中,“算法不公平和不公正”可能由单一行为引起,〔54〕上海社会科学院智库研究中心:《思想的版图》,上海人民出版社2020 年版,第192 页。也可能是多个行为综合作用的结果,例如“算法共谋”是由算法决策行为引发的;“大数据杀熟”是算法匹配、算法决策、算法推荐行为共同作用的结果。以实现个案调和为导向,算法公平的程序评价,不应仅关注“结果论”,更须兼顾“行为论”的要求。对多行为叠加产生损害的情形,可适用更为严厉的处罚。以“行为论”与“结果论”相结合为标准,针对算法应用的具体情形,建立个案调和“场景化的衡量机制”,实现算法公共决策与私益保护有机协调。〔55〕参见张欣:《算法解释权与算法治理路径研究》,载《中外法学》2019 年第6 期。
第三,算法可控的程序要求,需要实现约束与激励、秩序与自由的价值平衡,从“面状”的粗放型规制转变为“点状”的精准化规制。在预设算法评估程序展开约束和规制的过程中,要注意防范事前评估对新技术的过度规制;在对算法决策进行介入和监管的过程中,不能改变自动化决策处理指令、产生输出、“瞬间即作出决定”的效能属性;〔56〕参见刘东亮:《技术性正当程序:人工智能时代程序法和算法的双重变奏》,载《比较法研究》2020 年第5 期。在设定前置性、程序性义务时,不能忽视算法应用行为人的抗辩权保护,不能对合法合理应用算法的行为进行不当干预。〔57〕See KarniChagal-Feferkorn,The Reasonable Algorithm,1University of Illinois Journal of Law,Technology &Policy,111(2018).算法立法价值平衡的实现落脚于具体的权利和义务设置。算法研发人享有充分的科技研发自主权。算法应用行为人负有提供申辩渠道、明确申辩流程、反馈申辩结果的义务,同时有权对违反平台规定的账号做出封禁、降权等处理;算法服务提供者应当显化用户标签,为用户提供标签删除选项,但有权自主经营更为精准、科学、合理的标签选项;应用算法的平台、企业、机构应当履行备案义务,但有权拒绝许可式备案要求。算法立法应当通过完整、均衡、细化的权利和义务规定,推动算法秩序与自主权利之间的价值平衡。
三、算法规制的立法路径
算法规制的立法路径选择面临诸多挑战。算法立法不仅要防止算法应用对消费者权益等传统法益的损害,而且要应对诱导沉迷等新兴领域的“算法‘驯化’”问题。〔58〕梁姊:《年轻人对抗算法“驯化”》,载《文摘报》2022 年1 月12 日,第2 版。算法立法的难点,在于运用外在的法律判断去规制隐性的算法运行。这对算法立法层级、精准程度、标准设定提出严格要求。
(一)算法专项立法:从部门规章到法律层级
2022 年,《互联网信息服务算法推荐管理规定》生效实施,其以部门规章形式,对使用五类算法技术的算法推荐行为作出规制。该规定包含总则、信息服务规范、用户权益保护、监督管理、法律责任、附则6 个部分的内容。这是中国首部以算法治理为内容的部门规章。其第1 条规定,算法治理的宗旨是“维护国家安全和社会公共利益”,保护个体和组织体的合法权益;其第2 条规定,适用范围是境内使用算法推荐技术提供互联网信息服务的行为;其第3 条规定,网信部门负责统筹协调算法治理,电信、公安、市场监管等有关部门负责算法推荐服务监督管理;其第4 条规定了算法公平、算法透明、科学合理和诚实信用等四项原则。该规定细化了对于用户自主选择权、公平交易权、知情权、劳动权益的保护,从算法对市场竞争、信息传播、用户权益、公共秩序的影响出发,对算法推荐服务的可解释、可救济作出规定,并设置了算法备案、算法评估、算法检查制度,对防范算法推荐技术滥用起到至关重要的作用。但由立法层级决定,部门规章在防控算法风险过程中存在一定的局限性。
部门规章的应用性强,多针对特定的违法行为进行规制,如《互联网信息服务算法推荐管理规定》针对算法推荐行为作出规定,强调具有舆论属性或社会动员能力的算法推荐服务提供者应当进行备案;《平台经济领域的反垄断指南》对根据用户个人特征设置不合理的差异性交易价格、标准、方式等作出规定;2022 年5 月,《银行保险机构消费者权益保护管理办法》公开征求意见,其第26 条规定,银行保险机构不得对用户实行算法歧视。除了已经披露的算法违法行为之外,算法运行领域还存在大量不为公众知悉的内容,甚至是迭代的、新生的隐性算法滥用形式。
如果立法层级停留于部门规章,不仅难以对算法乱象进行全面规制,而且容易导致针对一种违法行为制定一种规则的滞后性问题。如果部门规章层级的算法规定与法律相冲突,会导致规定的空置。当部门规章与法律相冲突时,应当适用法律的规定。例如,在用户选项设置方面,《电子商务法》第18条规定,电子商务经营者应同时提供不针对个人消费特征的选项;第19 条规定,禁止将搭售设置为默认同意选项。《互联网信息服务算法推荐管理规定》为保障用户的算法知情权和选择权,规定平台或企业应提供不针对个人特征的选项或关闭算法推荐服务的选项。这一下位法规定缺乏上位法依据。在部门规章实施过程中,《电子商务法》《互联网信息服务算法推荐管理规定》相冲突,应当适用上位法《电子商务法》的规定,即“应提供不针对个人消费特征的选项”,从而导致消费者拒绝算法推荐的规定空置。
法律层级的算法专项立法,能够对算法法律关系作出全面、系统的调整,而部门规章的调整对象是行政管理关系,难以统筹算法法律关系的所有内容。法律的制定主体是全国人大及其常委会,部门规章的制定主体是国务院组成部门。部门规章主要对本部门管辖范围内的具体行政事务作出规定。但算法法律关系不仅包括行政法律关系,还包括提供算法服务的企业与消费者之间的法律关系、算法服务提供者之间的竞争法律关系。算法专项立法需要由人大主导,采取法律形式,对算法法律关系进行全面调整。部门规章在设定算法管理权力方面也具有局限性。其无法设置法律保留范围内的强制措施,从而在一定程度上制约未来算法治理的效能。
在数字社会飞速发展的背景下,算法立法需要在法律层级获得稳定性的规则支持,并需要法律解释和及时回应不断变化的社会诉求,做出价值补充、漏洞填补,实现对算法应用行为的系统、科学规制。立法层级越高,统合性越强,覆盖面越广,而部门规章的覆盖范围相对有限,较难针对不同的算法应用方式、应用行为展开系统的法律制度设计。从根源上防止算法滥用,需要通过制定法律,对算法乱象进行统领性、系统化监管,针对“算法歧视”“算法黑箱”“算法驯化”“大数据杀熟”“信息茧房”等现象,做好算法规制的顶层设计和系统部署。
(二)算法应用行为立法:从审查算法技术到严控算法应用
算法立法需要区分四种算法行为,设置专门条款加以规制。从行为角度看,算法应用主要包括算法匹配、算法推荐、算法决策、算法筛查四种行为。从结果角度看,算法滥用主要包括三个方面:一是算法的不合理使用侵害竞争秩序;二是滥用算法损害用户权益;三是定制化信息传播中的算法滥用行为,如违反公序良俗或法律规定损害信息传播秩序。
第一,针对算法匹配行为,需要清查算法应用中的用户标签设置,剔除违法违规、违反公序良俗、煽动仇恨等标签内容。以网络爬虫、数据挖掘为基础,企业能够通过算法精准分析、动态标记,实时跟进用户兴趣。除位置、标签、主题等匹配方法外,算法还可以通过隐式用户兴趣挖掘、拼接用户完整数据,实现隐性匹配;除朴素模式匹配算法之外,还包括模板匹配、场景匹配、行为匹配、序列深度匹配等算法应用。通过算法设置,可以对用户浏览记录、消费记录、经济能力、行业及家庭情况等进行大数据分析,自动识别、判定具有购买能力、消费意向的用户。这一过程本身是通过对用户隐私数据进行批量计算实现的,需要通过算法立法与个人信息保护法的衔接,多维度综合加以规制。
第二,针对算法推荐行为,把握算法输出端口,要求算法应用行为人提供算法分发影响评估报告,核查在使用算法技术进行排序、推送、重要信息加权等过程中,是否设置并运行了低俗内容打压、评估校验等算法模块,是否有正当的理由支撑。严禁滥用算法进行定制化信息传播,禁止利用算法屏蔽信息或传播违法、低俗、煽动性信息内容,不得利用算法实施诱导沉迷、意见极化等影响舆论风尚、危害信息传播秩序的行为。与仅提供信息存储空间的服务不同,平台、企业、机构使用算法推荐、个性化定价算法等技术为用户提供服务的行为,能够快速捕捉用户需求、实时训练推荐算法、即时生成频道内容、完成内容向量精准投送。算法推荐服务提供者应当保持高度注意,建立算法推荐信息审核、算法行为全过程监测机制,确保算法推荐合法有序。
第三,针对算法决策行为,在“算法裁断权力”运行过程中,需要打破“算法决策的闭合回路”,〔59〕马长山:《司法人工智能的重塑效应及其限度》,载《法学研究》2020 年第4 期。引入公众参与,区分公共领域与私人领域的算法决策、算法辅助决策行为与算法自主决策行为,〔60〕参见于霄:《算法辅助决策中意思自治的重构》,载《东方法学》2022 年第3 期。设置具体的算法决策规则。在立法形式上,美国纽约市2018 年第49 号地方法律,针对公共部门算法应用行为作出专门规定,成立自动决策系统工作组(ADS Task Force),对算法决策进行监管。在我国,建议在统一算法立法中对不同类型的算法决策作出规定,无需一事一法。作为“新型决策样态”,算法决策不同于自然人的决策行为,“算法高度自主”“动摇着正当程序原则”。〔61〕蔡星月:《算法决策权的异化及其矫正》,载《政法论坛》2021 年第5 期。在自动驾驶、自动化行政等领域,决策树(decision tree)等算法应用亦呈现不同的特征。确保算法决策安全可控、公正合理,需要打破数据抓取在前、内容审核后置的状况,严控预测性执法,引入全过程监管机制;在算法进行自动读取、行为分析、预测判断的同时,反向识别算法应用可能存在的隐患,需制定完备的应对方案。
第四,针对算法筛查行为,要着力解决两个方面的问题:一是规则不明,导致不当采取永久封禁、降权、冻结账号等措施;二是监管缺位,导致算法筛查过程中的隐私信息泄露、二次致害。在推进欺诈检测算法、隐私侵权筛查天网算法、低质内容筛查细雨算法、作弊行为筛查惊雷算法、恶劣诱导筛查冰桶算法等技术应用过程中,要明确算法筛查的实体和程序规定,针对欺骗用户下载、窃取用户数据、诱导用户点击非法广告、恶意手段获利导致用户体验下降等现象,制定专项自动化筛查准则。对于低级别账号降权等处置行为,平台亦须做出合理的算法解释,同步向社会公布,提升用户信任度。
算法应用行为立法需要识别隐性的算法滥用行为,界定“算法歧视”“算法共谋”“大数据杀熟”“致瘾性算法推荐”“信息茧房”“流量造假”等行为特征。“算法歧视”既可能导致用户权益受损,也可能侵害竞争秩序,其本质是通过用户画像设定不合理的交易条件,破坏机会公平、规则公平,通过算法判断消费者购买能力、消费倾向、种族、性别等个人特征,干预自主选择权,剥夺部分主体进行交易或获取保障条件的公平机会。“算法共谋”是侵害竞争秩序的隐性垄断行为,是基于技术专业性、网络空间虚拟性而形成的算法隐性运行状态。与口头、书面或推定的垄断协议等易识别行为不同,大型平台通过算法协同、擅自调整算法考核机制等手段,达到排除、限制竞争的目的,更具有隐蔽性特征。“大数据杀熟”的本质是滥用个性化定价算法,实施不合理的差别待遇,侵害用户权益,损害权利公平。“致瘾性算法推荐”是违反公序良俗的定制化信息传播行为,诱导用户沉迷网络、过度消费,是滥用算法推荐技术的不当逐利行为。“信息茧房”的本质是滥用算法分发技术,影响用户接收信息的全面性,甚至通过算法引导,造成信息偏离中立、意见极化或煽动违法行为。“流量造假”是滥用算法推荐技术干扰信息传播秩序的行为,包括刷流量、控评价、操纵榜单、干预热搜、制作话题、虚假点赞、虚假转发、操纵账号、操纵舆论等行为方式。算法立法应当分类对算法应用行为作出细化规定。
(三)科技伦理法律化:从“算法伦理”到“算法合规”准则设定
算法规制不能停留于伦理约束,而须通过立法,设定“算法合规”准则,确保算法应用的正当性,推动“算法伦理”价值的落实。同时,通过细化的准则、规程,设置精准规制算法应用行为的边界,推动利益衡量、个案调和、价值平衡的实践落实。《法治社会建设实施纲要(2020-2025 年)》提出,制定算法应用行业规则,强化算法透明公开、跟踪追责问责,制定并完善对算法推荐等新技术应用的规范。《上海市数据条例》第70 条提出建立算法评价标准体系。“算法合规”准则设定的难点之一是调和“算法伦理”要求与合法权益保护的冲突。在保障算法合理应用的同时,防止过度规制对算法技术创新的抑制、对算法核心竞争力的损害。
第一,“算法合规”准则设定,不是单向度地追求算法透明化,而是将隐蔽性的算法应用过程,显化为能够被消费者理解和感知的算法服务选项,并防范已经公开的算法原理被恶意利用。具体准则包括以下三个方面。(1)算法应用行为人应当为用户设置算法服务勾选项,保障用户能够选择是否使用算法服务获取信息、进行交易或作出决策。在用户对算法服务提出异议时,算法应用人应当立即采取措施防止侵权范围扩大,并告知相对人审核评定、说明情况、作出处理或暂停相关业务的具体规程。怠于处理用户异议,导致侵权范围扩大的,除应就扩大部分承担民事责任外,还须根据“行为论”的要求,承担更为严厉的行政处罚责任,以此敦促算法服务提供者切实保护用户权益。(2)算法应用行为人应当主动而非依申请公开算法规则及其功能作用,以公众能够理解的方式,解释算法模块的“输入数据与输出结果”的关联性、可能造成的不利影响等注意事项。〔62〕参见解正山:《算法决策规制——以算法“解释权”为中心》,载《现代法学》2020 年第1 期。(3)主管部门应当建立算法公开利益衡量机制,列明算法公开过程中需要综合考虑的各项因子,推动涉及知识产权事项的利益权衡,并依职权向算法应用人作出提示,尤其是在自由裁量权行使过程中,必须经过利益衡量,方能做出决定或采取相应的行政措施,从源头上防范商业秘密纠纷发生。
第二,“算法合规”准则设定,不是机械化地追求算法应用结果的公平公正,而是以算法规则公平、用户权利公平、交易机会公平,促进算法程序正义;将算法行为与应用结果评价有机结合,推动算法制度公平。其具体准则包括以下四个方面。(1)应用算法的平台、企业、机构,应当向用户提供完整的算法决策输出项、介入接口、参与渠道,确保算法决策过程中知情权、参与权、自由权的充分实现,防范“算法权力”的异化,应对算法“自主学习与决策功能”自主演化所带来的问题。〔63〕张凌寒:《算法权力的兴起、异化及法律规制》,载《法商研究》2019 年第4 期。算法自主决策不应当成为算法服务提供者排除或减轻其责任的事由。(2)应用算法的公共管理机构,应当对拟投入使用的算法系统进行评估测试,经评估确认不会产生算法歧视、算法偏差、隐私权或自由权侵害等问题,才能够正式投入使用。算法辅助公权力决策涉及教育、医疗、社会保障等公益事项,需要附加更强的前置性义务,以防范对于公共利益的损害。(3)算法应用人应当采取措施保障相对人知悉其算法应用标签的完整内容,并能够便捷地进行标签或删除处理。应用算法的平台、企业、机构不得利用算法设置基于宗教、种族、民族、性别、病史等敏感信息的用户标签,或采取其他歧视性措施。禁止在网络交易中将支付能力等个人隐私设置为算法应用标签参数。(4)禁止利用算法实施不合理的差别待遇,包括不正当定价、不合理交易条件设置、利用算法分发剥夺交易机会等。禁止滥用算法损害竞争秩序,包括垄断、不正当竞争等排除或限制竞争的行为。
第三,“算法合规”准则设定,不是在控制或抑制技术研发,而是严禁违反法律法规或伦理道德的算法应用,确保算法应用行为的安全可控。其具体准则包括以下四个方面。(1)未经低质识别,不得进行算法推荐经营活动。其包括强制应用鉴黄模型、识别谩骂及低俗信息等算法模块,设置算法召回模块,提升违法违规行为识别的准确率、召回率,等等。(2)算法服务提供者应当设置算法应用审核程序,建立文本、图片、视频分析为基础的不良信息样本库,采取防范权利损害的必要措施。不良信息特征库应当公开、共享。(3)算法应用行为人负有高度注意义务,应当对算法应用行为的可控性保持高度注意。禁止运用算法推送违法、低俗、诱导不良嗜好、价值观导向错乱等信息,推动社会主义核心价值观入法。(4)算法应用行为人应当建立完整的算法应用申诉、评论、举报、信息反馈、人工复审程序。算法筛查过程中需要保障公众陈述权和申辩权的行使。通过用户反馈信息,进行泛低质识别,明确“致瘾性算法推荐”认定标准,防范诱导沉迷、过度消费,明确达到一定数量负面评论的账号自动转入筛查程序,并立即作出处理,保护用户合法权益及算法应用秩序。
四、结论
算法专项立法亟待得到推进。算法、数据、信息密不可分,但算法立法、数据安全法、个人信息保护法的立法目的、调整对象、权利内容并不相同。算法专项立法应当通过申辩权、标签删除权、算法解释权、备案及评估信息公开请求权等程序性权利,以及备案审查、责令停用或整改的权力设置,推动“算法公开透明”与知识产权保护的利益平衡、“算法公平公正”与隐私权和自由权保护的个案调和、“算法安全可控”与科技研发自主权的价值协调。
算法立法的难点,是运用外在的法律判断,去披露违法行为从显性向更具隐蔽性维度的迁移过程。这要求推动算法专项立法从部门规章到法律层级、技术规制到社会规制、“算法伦理”到“算法合规”的发展和进阶。通过前置性的程序权利设置,防范实体性权利损害;通过个体赋权与公共权力的结合,维护算法秩序与算法安全。算法立法对象应当是算法应用行为而非研发行为。算法立法的原则不是片面强调算法的绝对透明,而是通过协调算法应用人与相对人利益保护、兼顾“行为论”与“结果论”、平衡约束与激励,引导算法规制正当程序的确立,建立算法决策领域公益与私益的个案调和机制。
针对算法匹配行为,应当要求企业公开用户标签选项,清理违法违规标签设置;针对算法推荐行为,要求算法应用行为人提供算法分发影响评估报告,严禁滥用算法进行定制化信息传播;针对算法决策行为,应当区分公共领域与私人领域的算法决策、算法辅助决策行为与算法自主决策行为,制定具体的算法决策规则,引导公众有序参与;针对算法筛查行为,要求平台对筛查行为作出合理的算法解释,同步向社会公布,提升用户信任度。
“算法合规”准则设定,不是单向度地追求算法透明、机械化地追求算法应用结果的公平公正或是抑制技术研发,而是通过算法服务勾选项、便捷的算法应用标签删除接口、健全的算法应用审核程序、算法规则公开、算法系统评估测试、特定用户标签和参数禁用、泛低质识别模块强制应用、高度注意义务设定、筛查程序的自动转接等规定,显化隐蔽性的算法应用过程,保障算法规则公平、用户权利公平、交易机会公平,为数字技术的持续健康发展保驾护航。