APP下载

算法的风险及法律规制探析

2023-01-06彭光明季聪聪

关键词:黑箱决策评估

彭光明, 季聪聪

(河北科技大学 文法学院,河北 石家庄 050018)

随着大数据、区块链、云计算、5G互联等新兴物联网技术的兴起,人工智能领域蓬勃发展。算法作为人工智能的核心,以大量数据流为基础,按照被赋予的逻辑运算规则,进行数据处理分析,为商业金融和行政自动化提供自动化决策服务,并在无人驾驶、用户身份信息识别、媒体个性化推广等生产生活领域为用户提供服务,发挥着举足轻重的作用。虽然算法带来极大便利,使做出的决策更为客观,但也催生了“算法黑箱”“算法歧视”“信息茧房”“算法趋同”等新的安全风险,挑战了公民的知情权、隐私权和消费者的公平交易权。而当算法规则被嵌入公权力运行的各个环节,直接作为行为规范影响乃至于控制人的行为时,辅助决策甚至独立决策就形成了新兴的算法权力。因此如何用法律规制算法、防止算法异化是人工智能时代下法治的重点。

一、算法的概念及应用

(一)算法的概念及特征

算法有广义与狭义之别。广义的算法指解决问题应当遵循的规则,按照逻辑、结构以及步骤来解决问题的策略机制。狭义的算法指让计算机程序运行的代码化指令,即人类通过代码设置、数据运算与机器自动化判断进行决策的一套机制[1](P138-159)。算法具有有穷性、确定性、可行性、输入以及输出等五大特征。实践中经常混淆算法、算力、数据、程序以及代码,它们之间既有区别又有联系。首先,程序=算法+数据结构。算法可以用不同的编程语言编写出不同的程序。换言之,算法是程序的灵魂,程序是算法的应用结果。其次,代码是具体确定的,算法是抽象不确定的,代码是以计算机所能理解的语言将算法提供给计算机,可以理解为语言工具。再次,人工智能领域的发展离不开数据、算法以及算力。“巧妇难为无米之炊”,“巧妇”心中的食谱可视为算法,食材可视为数据,那么炊具就是算力。超级计算机以及量子计算机是实现算法的硬件基础,目前主流的人工智能算法有DeepFM算法、GBDT类算法、SAFE算法、AutoCross算法等。

算法的法律性质在不同的部门法门类中各有不同。可以按照《反不正当竞争法》第九条的规定,对算法以商业秘密进行保护。于知识产权法领域,在中国《专利法》中,算法是一种解决问题的思想步骤,电子形式的智力活动规则,因此无法受到《专利法》的保护。美国联邦最高法院的个别判例表明对于计算机的发明可给予专利保护,在一定程度上把算法列入了专利法的保护范围。算法是否可被列入《著作权法》的保护范围存在争议。实践中,算法一般用伪代码进行表达。所谓伪代码是指介于自然语言和计算机语言,用于解释算法而无法被计算机编译的工具。《著作权法》保护的对象包括“计算机软件”。根据前文表述,算法不同于软件、程序等。通过伪代码表达出的算法在实质上是可以以有形形式复制的。但由于伪代码无法运行,对于“作品”规定的“独创性”无法进行实质的评估。除了算法本身在《著作权法》上的争议外,通过算法创造出的成果,或亦无法定性为著作权法上的“作品”。以腾讯创作的AI写作助手为例,AI写作机器人依靠内部运行的算法,在关键词的引导下创作新闻、编写诗集,但能否认定其为著作权的主体仍然存在争议,很难用情感的投入等主观标准来判定其“独创性”。而在法律应用领域,以刑事侦查、智慧法院为例,算法属于一种法律应用工具。

(二)算法的应用现状

1.生产生活领域完善用户体验服务。在生产生活中,算法无处不在。在新闻媒体对用户的个性化推广中,抖音短视频、今日头条、微博客户端等根据用户的数据分析,使用协同过滤算法,向用户推荐其感兴趣的新闻资讯和娱乐信息。在广告分发上也采用用户偏好模型,降低用户对于投放广告的反感度。在外卖、快递领域中,利用算法进行区域分配和时间的界定,最大程度地压缩配送时间,最大化地提高效率。在农业生产领域,通过极视角算法,可以对病虫害进行识别、监控、分析成因并推荐药物进行治理。在交通出行方面,除了熟知的无人驾驶外,共享平台下的交通工具匹配,也运用算法进行车辆的调配,尤其是在网约车的供给上,可以针对天气、实时路况等客观因素为用户调配车辆。除此之外,网商平台的定价、购物推荐功能,婚恋交友平台的用户匹配,招聘平台的工作推荐等都有算法的参与。

2.公权力领域辅助甚至独立决策。在法律应用领域,算法是提高行政、司法效率的工具。随着大数据的处理运算能力越来越强,公权力对于算法也愈加依赖。在军事领域,依靠多智能体算法对无人机集群的训练、侦察、对抗、救援。在智能交通领域,依靠算法的智能决策调节车流、设置绿波带、抓拍交通违法人脸信息并独立进行行政处罚。在刑事侦查领域,可以通过与已录入的DNA信息进行比对,查找犯罪嫌疑人。在智慧法院的司法系统,算法可以通过检测已有案例,做出判决建议,甚至可以生成民事判决书。另外可以对犯人能否适用假释、未来犯罪的可能性作出判断。美国加利福尼亚州首次在保释环节用算法进行评估取代现金的使用,IBM公司将智能律师ROSS推向市场,国内“无讼”创始人设计并研发了法律智能机器人“法小淘”,北京法院推出的审判智能辅助系统“睿法官”[2](P38-41)。人工智能下的算法在执法、司法领域得到广泛应用,近年来,算法开始逐渐涉及立法领域。天津市引入人工智能技术开发的法律应用系统,在升级后包括立法草案意见征集、法律法规审查、立法前后评估等功能。长此以往,可以设想未来在高度发达的算法权力控制下,算法即为法律,法律即为算法。

3.金融商业领域辅助甚至独立决策。随着互联网的急速扩张以及大数据的收集,算法在金融领域可谓是“如鱼得水”,算法交易、智能投顾、智能风控、自动合规开始涌现(见表1)。以价格战为例,企业在有限的补贴下,依靠算法对补贴实行个性化分配以达到所占市场份额的最大化。但当金融企业出现“算法趋同”的情况时,会影响整个金融市场的安全与稳定。

表1 算法在金融商业领域的应用

二、算法引发的法律风险

根据算法应用的具体过程,将算法引发的风险分为算法黑箱、算法歧视、信息茧房以及算法趋同情况下的金融风险。其中,算法歧视包括输入数据引发的歧视、关联歧视、大数据杀熟、经营者行为的竞争歧视。需要注意的是,算法引发的各种风险类型之间并不是割裂的,它们之间彼此影响,例如算法黑箱或可导致算法歧视、信息茧房的风险。

(一)算法黑箱

算法黑箱是指算法的不公开、不透明[3](P188-200),用户无法得知作用在自己身上的算法是如何被算法的掌握者筛选、评判的。但需要指明的是,算法黑箱并不一定会引发风险。在司法实践中,法官的自由裁判权在某种程度上也是“黑箱”[4](P63-75),但这并一定是件坏事。

1.算法黑箱的成因。算法黑箱的成因有三个:第一,算法本身是基于神经网络的深度学习,在已有数据的基础上进行复杂的加权计算,不同算法之间还会进行叠加关联,换言之,算法愈复杂,其呈现的功能也就越专业、越精细。算法本身的专业性是算法黑箱的成因之一,即便是算法进行了公开披露。用户也会因为专业门槛的限制无法读懂算法,算法黑箱仍然存在。第二,算法作为“商业秘密”被算法控制者排他性地进行保护。从经济成本的角度分析,算法无法以专利权进行保护,因此算法的披露成本与所得收益不成比例。算法的控制者没有公开的动力,且容易出现公开的风险,商业秘密一旦泄露,那么企业就容易陷入被动的状态。第三,由于用户对于算法内部的运行逻辑规则并不熟知,因此为了获取更大的经济利益,算法的控制者可以将自己的想法直接填入算法的设计,即便其中侵犯了用户的知情权、隐私权等相关权利,也可以以算法黑箱的存在作为借口来逃避法律的制裁。

2.算法黑箱的风险。算法黑箱带来的风险主要有三方面:第一,算法黑箱或侵犯算法相对人的隐私权。算法依赖大数据流,可以通过用户的喜好、日常工作生活推测出其政治倾向、购物需求等。当用户下载了应用程序、使用搜索引擎,在应用过程中并不知道自己的搜索内容、浏览界面会被算法解析,在算法面前,用户失去隐私,成为一个透明人。2015年Facebook通过测试工具获取用户数据并进行倒卖来干预美国大选,根据算法,民主党的支持者一般喜欢乡村歌手泰勒斯威夫特、喜欢喝星巴克等,通过这些数据,算法检测出民主党派的潜在支持者,并对他们进行总统候选人的推送。第二,算法黑箱或侵犯用户的知情权。对于APP授权协议以及前文所述的隐私协议,用户并不能从满是专业术语的条文中知悉自己已经授权给搜索引擎、应用程序检索自己隐私等权利。表面来看,用户虽在服务条款的授权协议上点击了确认,实际上用户的选择权受到限制,用户也不知情一旦授权会产生怎样的风险。第三,算法黑箱或引起算法歧视。算法本质上还是由人编写的,算法编写者、控制者的心理不可避免地会具有主观性,同时由于算法的非公开性和不透明性,这种来自编写者的主观偏见在一定程度上会写入算法。在司法领域,司法辅助工具是由法院等公权力机关外包给算法编写机构完成的,黑箱的存在让司法人员无从得知算法编写机构在算法的编写中如何处理和运用数据,是否按照个人价值观取向进行编译。

(二)算法歧视

算法歧视也称算法偏见,指相同个体被算法区别对待。算法在一定程度上克服了人们自主决策的主观性,这是算法受到推崇的重要原因,但实践中算法编写者的个人倾向、算法黑箱等原因将已有的偏见编写进算法中,由此得出的运算结果不可避免地产生了个体歧视。算法歧视包括输入数据歧视、关联歧视以及“大数据杀熟”。

1.输入数据歧视。算法在大量数据的基础上运行,倘若算法控制者输入的数据本身就存在歧视,具有影响运行结果的主观意图,那么在根源上就出现了歧视,运行结果也会基于歧视数据带有偏见。例如,Foudem、Ciao、ejustic.fr 三家网站投诉谷歌,谷歌被反垄断调查,调查结果显示谷歌利用自身的搜索服务对三家网站的搜索结果进行部分删除,从而实现打压其他网站、强化自身收益的目的。

2.关联歧视。在这类歧视中,算法决策者虽然使用了客观中立的基础数据,但这些合法的客观中立的数据组合在一起产生了歧视性的后果[5](P111-122)。

3.“大数据杀熟”。大数据“杀熟”是较为常见的一种数据歧视类型。大数据杀熟是指算法的控制者为了提高用户的黏性,降低成本或提高收益,通过算法细分,在为不同群体的用户提供相同的产品服务过程中,实行个性化收费。

算法歧视所造成的损害后果主要包括三大类型,即损害公民基本权利(如平等权、违反正当程序)、损害市场竞争者利益(如市场支配地位经营者设置竞争准入障碍)和损害具体民事权益(如侵害隐私权、知情权、公平交易权)[6](P94-106)。

(三)算法推荐致陷“信息茧房”

“信息茧房”指用户长期接受自己偏好的信息,在预设的算法作用下,用户的消费偏好和消费理念或会陷入“信息茧房”,逐渐发生偏移。算法会自动过滤与用户取向不同的异质信息。除此之外,长期接受相似的信息,或会让用户对自身的偏好产生极端化的认同,从而对于特定的信息偏听偏信,并不断重复已知的信息无法脱身。

(四)算法趋同加剧金融风险

所谓算法趋同是指算法系统的相互渗透,交叉运用,算法技术趋于同质化。算法趋同的背景下,金融风险的“传染”速度更快。趋同的算法计算下,金融机构采用相同或近似的投资策略,指向相同或近似的投资领域,采用近似乃至相同的信贷标准,指向相同的客户人群。那么金融市场或会出现大起大落,呈现出极强的周期性波动。

三、算法的规制路径

(一)我国现行的关于“算法”的法律规定

针对算法的法律规制,欧盟实施《通用数据保护条例》(以下简称“GDPR”),采用个人数据赋权的方式来规制算法;美国2022年新出台的《算法问责法案》通过系统问责的方式治理算法乱象,要求互联网企业在通过算法做出关键性的决策时,需要对相关的性能、公平性、透明度等因素进行影响评估。我国网络空间治理结合了欧盟与美国的经验,法律治理与技术治理双管齐下,在用户数据保护和算法自动化决策规制两个大方向下对互联网平台进行“穿透式监管”[7](P75-77)。其中《电子商务法》《数据安全法》《个人信息保护法》等相关法律侧重于公民数据层面的网络空间治理。于算法治理层面,中国人民银行发布的《人工智能算法金融应用评价规范》针对算法在金融领域可能引发的风险做出了规制;国务院《关于平台经济领域的反垄断指南》将算法归入垄断协议的形成方法内;2021年9月17日发布的《关于加强互联网信息服务算法综合治理的指导意见》明确指出在三年时间内建立完善的算法安全综合治理格局,开启了“算法治理”的新篇章;2022年3月1日起实行的《互联网信息服务算法推荐管理规定》正式提出了算法治理的中国方案。

《互联网信息服务算法推荐管理规定》的出台,基本确立了中国本土的算法治理路径:针对算法的控制者和编写者,采用算法评估制度、算法备案制度、算法的解释、算法检查以及严格的侵权问责进行规制;针对算法的相对人,采用个人数据赋权的方式保护用户权益。虽然国内已经初步建立了算法的规制体系,但相关法律法规实行时间不长,部分法律规定过于原则化,如何与实践中的司法审判对接仍需讨论,部分规定过于具体化只适用于算法权力在某种具体的应用场景下的法律规制问题[8](P78),因此算法规制体系仍需进一步的发展和完善。

(二)我国算法规制路径的完善

1.完善算法影响评估制度。网络治理下的评估制度包括数据保护影响评估制度和算法影响评估制度两种,二者互为表里、相辅相成。其中数据保护影响评估是指对企业收集、使用个人数据可能造成的安全隐患进行评估。欧盟在GDPR第三十五条规定了数据保护影响评估制度[9](P45-57);作为网络安全评估先驱的德国在其《联邦数据保护法》亦规定了一定规模下的数据处理机关须书面任命常设的个人数据保护顾问[10](P43-53)。而算法评估制度主要是对于算法的预防性控制,为算法设立准入门槛,在初始环节对算法进行审查,避免算法的主观倾向性,并划分算法的风险等级,整体而言,算法影响评估制度可以分为封闭合规型与开放反思型[11](P57)。美国与加拿大在算法系统问责的规制谱系下实行算法影响评估制度,其中美国《2022年算法问责法案》第三节(b)款和第四节(a)款对算法影响评估制度进行了详尽的规定,对算法影响评估的评估内容、要求、适用时间节点等细节性问题进行了描述,重点评估自动化决策系统以及增强型关键决策过程的隐私风险、可能对消费者造成的任何重大负面影响及缓解策略等。美国《加州自动化决策系统问责法》规定企业进行算法自动化评估时,还需要将自动化决策方案与可能采取的替代方案或合理修改方案进行比较,并选择最佳方案。可见美国模式下的算法影响评估主要聚焦于算法自动化决策可能造成的不公平、不透明、侵犯隐私等问题,但是在评估主体以及评估报告的披露上开放性不足。而加拿大的《自动化决策指令》通过设定权重与系数的方式确立了自动化决策的评估模型,通过参评系统划分风险等级,并规定了算法影响评估结果的社会披露程序。

我国网络空间治理的评估制度随着近几年相关法律法规的出台而逐步确立。其中《个人信息保护法》第五十五条第二款明确了个人信息处理者在利用个人信息进行自动化决策时,应当事前进行个人信息保护影响评估,确立了个人信息处理者的数据保护影响评估制度,奠定了算法影响评估制度的基础[12](P102-115)。《互联网信息服务算法推荐管理规定》的出台则正式明确了互联网企业需要对算法自动化决策进行影响评估,但在评估范围的选择、评估标准的确定以及评估结果的披露上仍然存在若干障碍。首先,就算法影响评估的评估范围而言,《互联网信息服务算法推荐管理规定》仅就五种商业服务领域的算法推荐技术进行规制,对于算法自动化决策在公权力领域的运行并没有涉及,而公权力领域行政自动化决策引发的算法黑箱问题才是算法统治下亟待解决的问题。其次,在评估标准方面,《互联网信息服务算法推荐管理规定》第八条明确算法评估的内容主要是算法设计以及应用架构是否违反法律法规或者违背伦理道德。但是一方面社会道德伦理与正常的商业经营手段可能难以理清,以算法“大数据杀熟”为例,有学者主张在普遍价差幅度不大的情况下,商家具有自主定价权[13](P146-162),另一方面评估标准较为模糊,官方就算法的设计、风险等级的划分还未确立明确的评估细则,因此互联网企业的自我评估或存在“大而空”的情况。最后,就算法评估结果的披露而言,相关法条并未明确评估结果的披露制度,社会公众对于涉及切身权益的算法评估结果无从而知,社会层面的监督效果会大打折扣,对于可能包含的无形偏见无法精确检查,更难以向互联网企业提供意见反馈。

针对以上算法影响评估制度实施的障碍,首先应当确立算法评估的量化分级制度,根据算法使用数据的敏感程度、平台的用户规模、算法设计机理等对于算法可能会对公民、社会造成的风险进行动态量化,根据风险等级的不同实行相对应的监管方案。其次,逐步建立算法影响评估结果的披露制度,鼓励互联网平台公开算法评估结果,改变算法应用者与用户因为权力与权利不对称而造成的信息失衡问题。最后,作为第三方评估主体的算法专业评估队伍,相关部门应当对其评估资质进行审核和确认,确保其评估队伍的专业性以及评估意见的独立性[11](P68)。

2.细化算法备案。算法的不透明导致了算法黑箱的存在,对用户的隐私权产生极大的威胁,而算法公开则是制约算法权力扩张、解决黑箱问题的关键举措,但是算法能否公开是由算法的法律性质决定的。如果将算法认定为商业秘密,那么强令要求算法持有人进行公开,容易引发商业风险,因此以算法备案的方式进行半公开,将公权力机关作为备案机关不失为有效的方法,既能够获知算法存在的潜在风险进行留档备查,固定问责证据[14](P64-70),又能平衡互联网企业对商业秘密的保护和政府要求信息披露之间的争议局面,整体而言,算法备案制在算法治理层面是极具创新性的举措。从全球范围看,实行算法备案制度的国家主要有欧盟与我国。欧盟在2021年4月发布了《制定关于人工智能的统一规则(人工智能法案)并修订某些欧盟立法》,该提案中仅要求算法供应商注册算法的基本信息,而我国《互联网信息服务算法推荐管理规定》第二十四条要求具有舆论属性或社会动员能力的算法推荐服务提供者通过算法备案系统对算法类型、应用领域等进行备案登记,并向社会大众以及监管机构进行公开,但为了保护互联网企业商业秘密,避免同行业不正当竞争行为,无论哪种备案制的公开都不涉及算法源代码。

虽然我国算法备案制度逐步走向正轨,但在实行初期仍然存在诸多障碍,例如算法的动态更新周期短、算法服务类型繁多、算法服务平台与监管平台之间缺少接口对接等。算法服务提供者与监管平台之间实现对接,确保落实处罚责任是《互联网信息服务算法推荐管理规定》在执行上的侧重点,因此针对上述障碍,应当从扩大备案主体、细化备案流程两个方面着手完善算法备案制度。在备案主体的选择上,现行的《互联网信息服务算法推荐管理规定》的监管对象为互联网私营产业主体,未来可以将政府、法院等决策机关所使用的自动化决策算法纳入备案范围,提高算法的透明度,接受公众的监督,从而尽可能地避免公共决策过程中的算法歧视。在算法备案的流程上,网信部门应当进一步细化算法备案的时间节点,促使算法服务提供者在算法更新后及时、真实地进行动态备案。

3.建立算法专利化。对于算法以专利进行保护也不失为公开的方法,修订的《专利审查指南》明确规定:“对一项包含算法特征或商业规则和方法特征的权利要求是否属于技术方案进行审查时,需要整体考虑权利要求中记载的全部特征。”[15](P120)换言之,当算法解决了某一实践应用领域的特定问题后,算法作为技术方案有可能以专利进行保护。这诚然是最理想的一种公开状态,既达到了清除算法黑箱的目的,也间接鼓励了算法的创新。

4.明确算法解释权。算法解释权指“当自动化决策的具体决定对相对人有法律上或者经济上的显著影响时,相对人向算法使用人提出异议,要求提供对具体决策解释,并要求更新数据或更正错误的权利”[16](P49-61)。欧盟GDPR被认为首次在立法中提出和创设了算法解释权,GDPR序言第七十一条指出,对个人法律或经济上有重大影响的自动化决策应当受到适当的法律措施的约束,这些措施包括向数据主体提供具体信息以及获得人工干预、表达意见、获取决策如何做出的解释和对决策提出质疑的权利[17](P100-109)。我国相关法律法规借鉴了欧盟经验,在《个人信息保护法》第二十四条明确了个人信息处理者运用算法自动化决策对用户信息作出重大影响的处理时,算法相对人即用户拥有要求个人信息处理者做出解释说明的权利。同时,《互联网信息服务算法推荐管理规定》第十二条亦规定鼓励算法推荐服务提供者展示规则的透明度以及可解释性。

但是,算法解释权的逻辑构造与实践适用仍然存在较大的争议,目前学界对于算法解释权的内涵与外延、时间节点、解释模式与内容、解释方法等存在分歧。首先,需要明确的是算法解释权是一般性权利还是限定性权利[18](P99-118),两者的差异或带来实践中保护力度的不同。基于《个人信息保护法》透明度要求,可推论算法解释权为一般性的权利,这意味着个人可以随时要求个人信息处理者进行解释说明,那么传统的告知—同意框架则显得鸡肋。将算法解释权理解为限定性权利看似更符合《个人信息保护法》第二十四条第三款的规定,即在特定情况下个人信息处理者履行解释说明义务,但是何种情况下个人能够行使此项权利仍然需要进一步明确。其次,算法解释权的解释时间节点也是一项争议性的问题,事前公布与事后解释或对用户个人知情权的保护存在差异。个人信息处理者事前在告知—同意框架下对于算法应用进行初步解释,事后基于个人请求进行详细说明,既符合算法透明度的要求也保障了个人权利。再次,算法解释权的内容究竟是系统性的自动化决策功能,包括算法的运行机制、决策逻辑,还是基于用户个人进行详细的个案解释仍需要分辨[19](P152-160),解释说明的力度影响对于个人权利保护的强度。《互联网信息服务算法推荐管理规定》第十六条仅要求算法服务提供者以公示的方式解释算法服务的基本原理、目的意图和主要运行机制,但个人请求下的算法个案解释权目前并未在法条中涉及,然而深度学习算法的偏见或隐藏在行行代码之中,技术面纱的覆盖不利于个人保护自身的数字权益,解释的模糊性不利于弥合数字鸿沟,因而未来算法个案解释是保障算法在透明的轨道上发展的必要手段。

5.落实算法监督检查。人工智能的治理主要包括政府主导模式、第三方主导模式和企业自我规制模式[15](P121)。算法评估制度的形式包括自我评估、第三方评估,本质上更倾向于自我检查,是典型的自我规制模式。算法备案制度虽然是行政部门监督的一种方式,但这种方式是企业自我告知,且告知的范围不涉及企业的核心商业秘密,在此制度下,政府的主导地位并不明显,是被动式的监管。三者相比之下,算法的检查是政府主导下强制性最为显著的一种算法规制模式,在此检查制度下,政府主动作为,行使监管职权,可以审查企业的算法源代码、数据集、模型等[14](P64-70)。美国《算法问责法案》是针对人工智能算法进行立法监管的首个法案[20](P27-38),该法案第八节和第九节就委员会和总检察长审查自动化决策系统的权利和执行程序作出了详尽的规定。我国《互联网信息服务算法推荐管理规定》在监管的主体上细化区分网信部门的权责,更创新性地提出了双层次、多部门的联合监管模式,由电信、公安、市场监管配合算法监管。

目前算法的监管仍然处在法律适用的过渡期,监管流程和相应的监管细则不够细化,未来的算法监管与检查应侧重于算法服务提供者报送的相关算法的评估审查,监管机构也应出台更详细的算法评估清单以及算法评估的流程以及细则。在监管方向的选择上应当将对于互联网平台的行为监管转向技术监管,将算法治理时间点从单一的事后问责转向事前监督,避免监督的滞后性,并设立外部的投诉、举报机制等作为后续的监管保障措施。

6.保障算法事后问责。《电子商务法》第十七条、第十八条、第三十一条、第四十四条以及第七十七条等条款实质上首次明确对网络交易平台日常运行中算法的监管问题以及网络交易平台因不当部署、应用算法而承担的法律责任和义务[21](P16-21)。《数据安全法》规定由有关主管部门责令改正,给予警告,并根据情节轻重处于不同金额的罚金。《个人信息保护法》第六十六条到七十一条也明确了违规处理个人信息应承担的法律责任,其中违法处理个人信息的应用程序会被责令暂停或者终止提供服务,直接负责的主管人员和其他直接责任人员处以罚金。

需要明确的是,首先,《刑法》第二百五十三条规定的“侵犯公民个人信息罪”,而《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对于《刑法》第二百五十三条的“违反国家规定”作了扩大解释,违反部门规章或构成犯罪,间接扩大了刑事处罚的范围。因而《个人信息保护法》在司法适用中与其他部门法如何进行衔接还需要进一步明确。其次,有关部门在行政问责时,也需要符合正当程序的原则,我国《数据安全法》指出省级以上人民政府有关部门在履行网络安全监督管理职责中有约谈的权力,但是算法监管下行政约谈也不可忽视程序流程,给予相应的算法服务提供者相应的救济权利。最后,由于算法侵害范围广、涉及个人用户规模大,单个用户在证据收集上存在较大的难度,完善相应的公益诉讼制度以及诉讼支持制度有助于实现对算法侵害的司法追责。

7.保护个人数据权利。个人数据涉及的用户权利包括反自动化决策权、拒绝权、知情权等。欧盟GDPR在数据收集方面,规定将能够识别自然人的生物数据、基因数据和性取向数据归为敏感数据,并禁止算法自动化处理敏感数据。在数据处理方面,GDPR第二十二条是否确立数据主体享有“反自动化决策权”[22](P72-81),在学界仍然存有广泛争议。部分学者主张GDPR在文义解释的范围内,保障的并非是数据主体的“反自动化决策权”,而是数据主体的知情权以及要求数据处理者对算法自动化决策的结果做出解释,并有权对该决策结果提出质疑。也有学者主张GDPR规定除了三种例外情况,其他不符的都属于未经授权的、违法的自动化决策行为[23](P23-29)。

我国《个人信息保护法》在算法治理的源头即个人数据的收集上,明确了个人数据权利的范围,使算法的使用者需要与个人协商方能获取算法决策所需要的数据[24](P194-209),并在第二十八条以列举的方式明确了敏感个人信息的范围,同时确定了涵盖知情权、拒绝权、删除权在内的个人权利束。但是仍然没有解决算法过度收集个人信息的问题,例如,以婚恋交友为目的的平台,性别信息就具有收集的必要性,而其他平台如外卖平台就没有收集性别信息的必要性。除此之外,个人对于数据的控制力不强,例如《个人信息保护法》第四十五条所规定的数据可携带权较为笼统,可携带权的范围仅仅包括原生数据还是涵盖经设备观测、算法推算得到的数据仍然没有定论;第五十条所规定的以“便捷”途径进行传输运送,然而“便捷”的程度仍然需要进一步解释。整体而言,综合考虑《个人信息保护法》的立法精神,应当将用户同意处理的基础数据和在基础数据基础上后经算法推算获得的数据都作为用户可携带的数据范围,这样微观方面能够强化个人对于自身数据的控制力,在宏观层面有助于规制互联网平台经济的垄断行为。

实现算法的可信控制能够避免未来可能出现的“算法霸权”,有助于互联网生态治理,保护数字弱势群体的数字权益,弥合数字鸿沟,实现互联网科技创新与维护公众利益的平衡。然而达成“科技向善”并不能只依靠国家出台法律进行规制,网络空间文明的建设是一项长期性的工作,互联网行业要强化行业的自律自治,谨记“以用户为本”的算法伦理,实现良好的算法生态。

猜你喜欢

黑箱决策评估
不同评估方法在T2DM心血管病风险评估中的应用
为可持续决策提供依据
拒绝黑箱
第四代评估理论对我国学科评估的启示
失踪的黑箱
决策为什么失误了
决策大数据
诸葛亮隆中决策
立法后评估:且行且尽善
资产评估法:能否终结“多龙治水”