分类分级治理算法的基本内涵及实践进路
2023-02-24董思琰
陈 兵,董思琰
(南开大学法学院,天津 300350)
一、问题提出
2023年8月,北京互联网法院公布了数据算法十大典型案例,包括全国首例利用算法设计组织实施人格权侵权的新类型案件——何某诉上海某科技公司侵害人格权纠纷案。案中,用户可以在被告公司开发运营的软件中创设“AI陪伴者”,在未经过原告何某同意的情况下,软件中出现以原告姓名、肖像为标识的“AI陪伴者”,并经由该公司通过聚类算法,将陪伴者“何某”按身份分类,并以协同推荐算法向其他用户推介该虚拟人物。原告认为被告侵犯了其姓名权、肖像权以及一般人格权,被告则以用户行为和已将涉案内容删除为由主张不承担侵权责任。最终法院认为,网络技术服务提供者在算法设计和规则设定中嵌套其主观价值和主观目的,不适用“技术中立”原则,被告构成侵权[1]。该案对算法应用的评价标准进行了有益探索,更进一步引发了该如何深化算法治理的思考。
在1956年,人工智能就由计算机科学家约翰·麦克卡锡和迈伦·明斯基在达特茅斯会议提出,会议讨论了用机器来模仿人类学习以及其他方面的智能。经过半个多世纪的发展,人工智能的技术范围也不断扩张。当前,一种算法或模型能够基于对数据的操作,像拥有人类智慧一样进行推理,则能够被视为人工智能。算法是一种结构化的决策过程,能够根据输入数据遵循一系列数学逻辑生成决策结果,随着算法与机器学习的紧密结合,使得算法具有了智能性,可被用于满足客户的个性化需求、预测价格变化、分析客户偏好、优化业务流程、改进或开发新产品等方面。当前,算法与数据、算力共同构成了人工智能的三大核心要素,算法能力经由数据驱动进一步提升,被广泛应用于执法司法、新闻推荐、广告推送、物流调度、自动驾驶、医疗等各领域,逐渐从单纯优化计算程序、辅助决策的数学工具成长为对政治、经济、社会产生影响的重要力量。然而由于目标失范、算法缺陷、信任危机等原因[2],算法应用引发社会风险的频次也不断被推高,算法歧视、算法合谋、诱导沉迷等算法滥用行为层出不穷,对数字经济持续健康规范发展产生威胁,侵犯了个人权益、公共利益甚至进一步危害国家安全,探索治理算法的有效理路与进路成为数字经济发展题中应有之义[3]。
理论界对算法治理制度现有的研究中,部分学者充分梳理了算法技术的发展历程、技术特点与应用场景,分析了算法技术带来的风险挑战以及目前规制的局限性。在算法治理路径的构建上,主要有以下两种切入点:一部分学者认为算法技术与公权力和商业平台结合[4],逐渐演化为算法权力,并参与了公权力的决策过程发挥重要作用,挑战了人的主体地位,传统的因果关系认定逻辑链条被推翻,侵害了人的基本权利,因而指出在理念、制度与实践上需要与算法权力的日益扩大相协调以进行规制[5],以现有《民法典》《网络安全法》《电子商务法》等法律规定的算法权利去平衡算法权力的扩张[6],或者通过技术改进和社群约束两条路径来防范算法风险[7]。另一部分学者则从现有的算法治理体系中的具体制度入手,聚焦于算法公开、个人数据赋权与反算法歧视三种传统的规制方法的困境,提出应当在算法场景化规制原则的指引下重新构建算法规制的具体制度,在不同的场景下采取严格程度不尽相同的规制方法[8]。但也有学者认为,算法的嵌入性结构扩张导致了场景化规制效率较为低下[9];也有学者梳理了算法备案制度[10]、算法评估制度[11]和算法问责制度[12]的制度架构与实施建议。
然而,目前对算法治理的研究无论是从算法权力总体规制的视角还是算法治理具体制度构建的视角来看,都没有强调分类分级原则在算法治理中的具体展开路径,故而无法找到制度上与理念中的合适抓手,综合协调算法治理所蕴含的价值平衡问题。
近年来,信息通信技术和数字技术的深度融合和广泛应用,使得数据和算法等问题愈发引起关注,基于海量数据训练的人工智能算法实现了千人千面的用户精准画像效果,由此也引发了分类分级的治理理念、原则及方法被广泛应用于数字经济多个领域的事实,且这一治理需求不断得以实化和强化。譬如,《数据安全法》第二十一条建立了数据分类分级保护制度,《个人信息保护法》第五十一条也提出对个人信息实行分类管理,《互联网平台分类分级指南(征求意见稿)》则针对互联网平台制订了较为详细的分类分级标准以科学界定平台类别、合理划分平台等级,《生成式人工智能服务管理暂行办法》则规定了对人工智能服务实行包容审慎和分类分级监管的总原则。在算法领域,2021年出台的《关于加强互联网信息服务算法综合治理的指导意见》(以下简称《算法综合治理的指导意见》)也建立了算法分级分类安全管理制度。欧盟在算法立法领域,从一开始在《数字服务法》对具体的算法推荐进行规范、在《数字市场法》赋予欧盟委员会对算法进行现场检查的调查权力等具体场景上的规定,转向《人工智能法》(草案)中对于人工智能根据风险大小进行分级管理。可见,分类分级对于数字经济治理中算法治理这一关键环节具有重要的现实意义,鉴于算法的自我学习的技术逻辑和算法应用的多样性、广泛性、复杂性,需要在既有制度与研究的基础上,在算法治理领域贯彻分类分级原则,通过梳理算法分类分级的内涵与标准,厘清算法治理基于分类分级的价值与挑战,从而探索算法分类分级治理的完善路径。
二、算法分类分级之内涵与标准梳理
在算法综合治理视阈下,分类分级具有双重意义:一方面,分类分级是一种制度性工具,作为一种具体的制度设计,通过算法分类分级提升算法治理的可操作性,辅助算法备案、算法评估、算法审计等各项算法治理制度的具体构建与实施。另一方面,分类分级也是数字经济领域的一种监管理念,对于数据、算法和平台的治理在分类分级理念的统领下具有一定的协调一致性,能够体现科学监管、高效规制、精准治理的常态化监管思路。通过对算法治理领域分类分级含义与标准的梳理,有助于在常态化监管的思路下进行具体算法治理制度构建与完善。
(一)风险规制导向的算法分级
目前,以风险为导向的分级思路在域内外的立法与实践中占据主流。
在我国,《互联网信息服务算法推荐管理规定》(以下简称《算法推荐管理规定》)明确要求,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分类分级管理。以上标准是对算法应用的风险大小、范围以及带来的损害程度的具象化判断标准,是划分算法风险等级的重要参考。除此之外,并无针对算法分级标准的具体规定。在数字经济的其他治理领域,对于分级标准也有所规定,在平台治理中,《互联网平台分类分级指南(征求意见稿)》综合考虑用户规模、业务种类以及限制能力,将互联网平台分为超级平台、大型平台、中小平台三级;对于数据治理,《网络安全标准实践指南——网络数据分类分级指引》则根据《数据安全法》将数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用而造成的危害程度,将数据分为一版数据、重要数据、核心数据三个级别;人工智能领域,《生成式人工智能服务管理暂行办法》第三条则确立了“对生成式人工智能服务实行包容审慎和分类分级监管”,延续了《数据安全法》《算法综合治理的指导意见》中对于数据和算法的分类分级管理理念,但并没有做详细规定。
域外,欧盟《人工智能法案》(草案)(The AI Act)将人工智能按照不可接受的风险、高风险、低风险、极低风险分为四级进行分别规制;美国《算法问责法》则将消费者保护和规制算法歧视作为立法宗旨,要求大型算法平台对自动化决策给消费者带来的信息隐私和安全风险以及因种族、宗教、政治信仰或性别等方面的差异而造成的算法歧视与偏见进行评估,并采取措施消除此类风险和歧视,均以风险为分级的主要考量因素。
算法综合治理之目标即防范算法风险、促进算法向善,算法分级从算法可能引发的风险入手,此视角下仅需将个人权益、公共利益与国家安全纳入考虑范围,划分高风险、中风险和低风险算法,因而成为主流的分级思路与标准。具体而言,面对高风险算法需要提出更严格的监管与规制需求,包括要求事项更为详尽或更高频次的事前备案、事中评估、事后解释等环节。面对低风险的算法,其带来的风险远小于利用算法进行自动化决策带来的收益,因此可以考虑一般程度与频次的备案、评估、解释环节[13]。
(二)结合技术特征的算法分类
在域内外的法律实践中,对算法分类标准尚未形成较为统一的观点。
我国2021年出台的《算法推荐管理规定》则遵循《算法综合治理的指导意见》,在世界范围内首次以法规形式对算法推荐技术进行了具体类别的划分,将互联网信息服务算法推荐技术按照其应用特点分为生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等五大类。在其他治理领域,我国对分类治理标准的制定也作出了部分探索,可供算法分类参考:在数据分类分级领域,《信息安全技术敏感个人信息处理安全要求》则将敏感个人信息分为宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人信息等六种,在数据分级的基础上对数据进行进一步分类,对与个人权益息息相关的信息进行了较为全面的覆盖;平台分类分级中,《互联网平台分类分级指南(征求意见稿)》则按照平台的连接属性与主要功能将平台分为网络销售类、生活服务类、社交娱乐类、信息资讯类、金融服务类、计算应用类等平台,与平台分级标准一起对互联网平台进行了定位,有助于进一步精准地落实主体责任。
美国乔治城大学(Georgetown University)的安全与新兴技术中心与经合组织和美国国土安全部合作开发了对人工智能的分类框架[14],其中一个框架将人工智能按照使用场景、输入、模型、输出进行分类,并规定了每个类别的进一步细分标准(见表1),具有较强的参考意义。
可见,分类分级原则可以从纵向与横向两个角度对算法进行类别与级别的区分,从而对算法进行识别与定位,具备打破算法的单一治理框架与算法技术的复杂动态性和算法应用的多样广泛性之间的对立的可能,需进一步证成分类分级与算法技术的具体适配,确定其在算法治理中的核心地位与价值,以推动其原则地位的确立与具体制度的展开。
三、算法治理基于分类分级的价值
无论是数字技术对经济社会发展的积极增进功能,还是数字经济演化过程中引致的众多社会问题,其在底层逻辑上基本都依赖于算法予以实现[15]。故而,需要对算法的技术功能以及社会影响进行探究,寻找其推动技术进步与引发社会问题的根本所在,发掘分类分级与算法技术与社会面向的契合点,最大化分类分级作为制度工具和治理理念的价值,实现治理的精准化与敏捷化。
(一)分类分级对算法进行界定、识别与定位有助算法技术可信
依托算法的技术特征、应用场景等因素的差异进行分类,基于算法引发的风险大小进行分级,契合算法的技术功能与社会影响,这是分类分级作为具体标准的制度性在算法治理体系构建中的展开(见图1)。
在技术功能上,算法一方面可以按照人类撰写的既定的数学逻辑发挥辅助决策功能;另一方面,随着弱人工智能向强人工智能阶段转化,算法的自主学习能力提升,渐渐脱离纯粹工具属性,能够在一定程度上于特定场景中进行自动化决策。而算法的此种技术功能实际上影响了算法的确定性、可解释性与可控性,算法作为工具辅助决策和自主决策时,数据的数量与颗粒度、算法迭代次数与算法隐层的数量、算法逻辑中设定的决策目标等因素,都会影响最后的决策结果。当决策结果对社会层面产生负面影响时,算法则因其对决策过程的参与具有了间接的主体性[16],故当前“技术中立”原则已经无法成为规避责任的理由。
客观而言,算法作为人工智能的运行规则、数字技术的底层支撑、数字经济的强大动力,其发展对于我国在第四次工业革命中占据世界技术和经济领先地位至关重要,但算法歧视、舆论操控、诱导沉迷等算法滥用行为引发的安全风险不容忽视,一旦风险发生,需要从技术层面对算法进行精准规制才能停止损害,同时避免技术上再次引发风险的可能。可见,需要提高算法决策的公平度、透明度和可问责性[17],然而不论是算法决策来源的数据集、运行过程的设计架构,还是决策目标的最终导向皆各有差异,借由分类分级对算法以不同维度进行界定、识别与定位,能为算法治理可操作性的提升迈出第一步,以便针对不同类、不同级的算法设定因应的治理路径。
然而,只将分类分级作为制度工具从技术层面去规制算法技术,不仅意味着对分类分级治理理念意义的忽略,还意味着对算法逐渐脱离“技术中立”性的否认。实际上,随着算法应用场景、业务、业态的不断丰富,与算法产生互动的主体也更加多元化,包括算法研发人员,还包括自行训练算法模型的用户、使用算法进行公共管理的政府部门、部署和应用算法的平台等,算法研发者与用户、算法应用者与用户、行政机关、其他经营者之间的各种社会关系也随之产生,算法已经深度嵌入社会运行中。《新一代人工智能治理原则——发展负责任的人工智能》中提出人工智能发展应促进公平公正,保障利益相关者的权益,促进机会均等,通过持续提高技术水平、改善管理方式,在数据获取、算法设计、技术开发、产品研发和应用过程中消除偏见和歧视。因此,除了对客观制度进行设计与完善,同样需要以分类分级理念平衡算法内含的价值观念与伦理导向。
(二)分类分级对算法进行规制有助于精准防范分散的算法社会风险
从社会层面来看,算法从设计到应用的过程都带有“人的色彩”:在设计研发阶段,算法就嵌入了设计开发者的主观意图与价值理念,带有某种工具用途与目标设定;在应用阶段,算法应用的场景、业务与业态纷繁多样,既有自动驾驶、智能医疗等商业场景和智慧司法、智慧公安等公权力领域,也被用于开展譬如运输业中的出租车、顺风车、代驾和货运等多项业务,同时还在新业态中逐步成为影响内容分发、服务提供、资源配置的基础性力量[18],譬如在灵活用工综合服务新业态中被用于匹配灵活用工供需、自动化管理劳务提供者等环节[19]。应用算法的平台、企业、机构还会将不同的算法组合应用,动态调整相应的算法应用权重,以满足不同场景、业务和业态下的应用需求[20],例如电商平台以实现营利优先为目标去设计算法,算法通过“协同过滤”算法分析用户数据进行用户画像后,利用推荐算法推送用户感兴趣的产品,并提升对平台具有一定粘度的老用户的商品价格,实现“大数据杀熟”。
主观而言,算法工具理性指“实现自身的理性追求和特定目标”的手段、方式,不仅包含算法以目标为导向的自主学习结果,也包括人类在设计、应用算法时对其作为工具所能达成目标的期待;价值理性则是“包含在特定行为方式中的无条件的内在价值”与正当性标准,即人类社会普遍的道德与价值理念,当算法追求工具理性超越价值理性,可能会将某些重要的道德价值予以剔除[21],就会出现算法失当行为。故判断算法在主观层面的工具理性与价值理性比重,确保工具理性与价值理性的平衡,就需要对算法涉及的价值进行相应区分。分类分级的过程中,往往需要根据算法应用场景、算法应用人群等多重因素来衡量算法可能引发的风险大小,实际上也是将算法的工具性用途和现实场景应用结合起来进行评价,如若算法的工具理性超越了价值理性,则更倾向于在分类分级的体系中被判定为高风险算法。故在主观层面,分类分级一方面能够严禁违反法律法规或伦理道德的算法应用,另一方面利于加强对高风险算法的监管力度,引导算法向善,确保算法应用行为的安全可控。
涉及社会关系主体的多元、应用场景业态的多样、对社会价值观念的无差别吸收都表明,对算法的治理既无法依赖一个普适性的治理规则,更无法期待对每种算法进行单独规制,尤其是当数据流通共享机制和复杂的算法生态形成后,缺乏差异性和系统性的治理将愈发捉襟见肘[9]。分类分级具有纳入多元主体、多样场景、多种观念的包容度,既能从宏观上开展分类分级标准的制定,回应算法治理针对的不同算法风险,提供系统治理的切入点,也能从微观上根据不同领域的治理需求进行分类分级标准的调整,提升治理效能。
四、算法分类分级治理面临的挑战
相比数据治理领域中数据分类分级标准的出台、基于分类分级的数据出境配套制度的明确规定等,在算法治理领域,分类分级治理更多停留于规定中。原因在于算法应用与社会联结更加直接与紧密,实施分类分级具有更大的难度,算法应用中个人权益保障不足、算法共谋难以认定、算法解释限度难以把握都成为了分类分级治理需要面临的现实挑战。
(一)算法用户个人权益保障不足
2022年中共中央办公厅、国务院办公厅印发《关于加强科技伦理治理的意见》,明确了科技伦理原则,其中首要的两点是增进人类福祉与尊重生命权利。这说明“以人为本”“以人民为中心”“以用户为中心”应当成为算法分类分级治理的首要关切点。面对人工智能算法作为生产工具提高社会生产率的同时,算法也对人的主体地位产生了威胁,一定程度上降低了人在社会生活中的重要性,例如生成式人工智能算法可以生成比人类创作更加符合多样化需求、绘画技巧与色彩搭配更加成熟的作品,引发人类插画师、设计师被取代的担忧,而劳动是实现个人意义与价值、获取物质财富的重要途径,可见“以人为本”具有必要性。同时,随着目前人工智能与算法学习能力的提升,算法滥用事件也层出不穷,而法律本就存在的滞后性在面临飞速迭代的算法时更为显著。例如,目前有较多与民生领域息息相关的业务都引入了人脸识别技术,与此同时,也出现了“94岁老人被抬进银行进行人脸识别”“广西十多名业主刷脸买房被骗超千万”等极端事件[22],发展福祉本该惠及全体人民,而“数字弱势群体”的情况不容忽视,可见“以人为本”具有现实性。
美国次级制裁措施中有很多是针对向受制裁者名单上所列伊朗主体(包括伊朗国家石油公司及其分支机构)提供的某些支持。
目前出台的部分规范性文件已经向构建和实施以用户为中心的算法治理规则体系作出了有益尝试。《算法推荐管理规定》就提升了对消费者用户在算法推荐使用场景中的保护力度,力图避免因“信息茧房”对消费者特别是弱势群体的权益造成侵害。《个人信息保护法》则规定了个人信息处理者利用个人信息进行自动化决策时应当遵守的规定。然而总体而言,算法治理体系对算法用户的个人权益保障仍然存在不足:首先,《算法推荐管理规定》《算法综合治理的指导意见》等专门针对算法的规定都为部门规章,立法层级较低,缺乏涵盖法律、行政法规和部门规章的系统化立法实践[23];其次,算法相关规定的应用性强,多针对特定领域、特定违法行为进行规制[24],个人信息保护、消费者权益保护和灵活用工权益等多样化的权利难以被有效覆盖;其次,算法领域除了专项立法,相关规定散见于《个人信息保护法》《数据安全法》等法律法规中,规定之间存在衔接不畅的问题,例如《个人信息保护法》第五十四条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,实际上建立了算法审计制度,但算法专门立法领域并无有关算法审计的规定。
(二)算法自主共谋加剧归责不能
随着算法技术发展,其嵌入社会程度愈深,互动主体愈多,新型法律关系层出不穷,但不同权力、义务和权利在主体、内容和范围上的划分并未及时得到法律确认,法律关系界定存在滞后[23]。算法领域中尤其突出的则是算法共谋问题,在反垄断法中,其他协同行为是一类难以识别和认定的垄断协议类型,是经营者通过默示、默契或者心照不宣等不易为公众所察觉的方式达成协调价格、限制生产数量或销售数量等协调行为,具有较强的隐蔽性和行为认定难的特点[25]。算法共谋则是经营者利用算法在数据收集、信息传递以及自动化决策等方面的优点,以比传统协同行为更加隐蔽的方式达成并实施的垄断协议,算法自主共谋的出现更是加深加剧了算法归责不能的困境。
首先,算法共谋的参与主体众多,并非每一参与主体都能够成为责任承担对象。算法从研发到应用,涉及的主体包括算法开发者、算法使用者、算法消费者,随着算法自主学习能力的增强,其在投入应用后不断收到的数据与反馈将对算法决策产生重要的影响,因此难以准确认定算法垄断行为具体受到哪一主体影响。同时,经营者在算法共谋的参与主体中具有多重角色:其一,具有雄厚实力的大型科技平台可以自主开发算法,利用算法为用户提供服务的同时通过算法开展价格行为,由于算法研发到应用都在经营者的控制之下,因此对于此种算法达成的共谋经营者的参与的可能性更高;其二,普通的经营者没有能力研发算法,对算法也不具有控制力和支配力,而是作为算法消费者去购买、使用或接受算法服务。因此,在人工智能算法技术广泛适用的情景下,所有参与其中的主体,无论是开发者、使用者抑或消费者,其身份和作用的界限只是相对的,是一个动态变化的过程,难以进行确定的责任划分。
其次,算法自主性增加对“人”的主体性构成了挑战。由于算法具有对市场信息自主判断以及不断完善的深度学习能力,因此在决策过程中可以不依赖人的沟通与互动即可达成共谋,而且由于“算法黑箱”的存在,开发者也无法对算法决策的过程和结果进行完全解释,使算法隔绝了垄断协议主体认定的链条。当人把决策权委托给算法,由运用算法的计算机而不是人作出共谋行为时,反垄断责任归咎会处于两难境地。虽然具有人工智能的算法可以自我学习,具有一定的智能,但将具有人工智能的算法视为人并不符合当前的科技伦理。与此同时,由于人工智能的算法决策目标为人类所设计,其本身不存在目的,相应的知识库数据也是由人类输入,也明显区别于具有独立意志法律拟制的法人,难以将其作为拟制的人享有法律主体地位。
(三)算法解释限度难以确认
在实践中,许多算法研发者、使用者都对算法采取认定为商业秘密的保护模式,引发了对于算法解释限度确认的难题。2023年4月,广东高院发布了第一批数字经济知识产权保护典型案例,其中在“智搜公司诉光速蜗牛公司等侵犯商业秘密纠纷案”一案中,法院首次将算法认定为商业秘密进行保护[26]。然而面对《个人信息保护法》规定的“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明”“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明”、《算法综合治理指导意见》中规定的“督促企业……做好算法结果解释”、《算法推荐管理规定》规定的“鼓励算法推荐服务提供者……优化检索、排序、选择、推送、展示等规则的透明度和可解释性”,可以看出算法解释与算法创新保护之间存在着明显的张力,一方面,算法需要达到具有可解释性与一定的透明度才能够达成算法可信;另一方面,过于透明的算法可能会阻碍算法创新,导致实践中的算法解释限度难以把握。
解释规则含糊不清。现有的法律法规并没有对算法的透明度与可解释性进行明确的界定,《算法综合治理指导意见》与《算法推荐管理规定》仅规定了解释的主体为企业和算法推荐服务提供者,并不具备实际的可操作性。而《个人信息保护法》赋予了个人对于算法解释的请求权,启动条件仅仅基于用户自身的判断,存在增加个人信息处理者的解释负担的可能,但同样,对于如何“说明”同样没有作出明确规定,个人信息处理者选择解释方式上也具有一定自由。规则的含糊不清留予了实践较大的空间,基于康德主义的“告知同意”原则逐渐成为数据主体和数据处理者的基础关系[27],在《个人信息保护法》实施的几年来,确实发展出了多种针对个人信息处理规则的“告知同意”模式,随之而来的是必定有部分模式无法达到立法所期待的效果,解释权成为了停留在纸面上的权利,当数字平台不断发展,《个人信息保护法》的规定可能需要依据实践情况向更具有可操作性调整。
解释能力与意愿不足。生成式人工智能的快速崛起使得人工智能大模型的应用逐渐广泛,大模型所需的数据样本与算法迭代次数都呈现爆炸式增长,大模型的开发与构建往往涉及多个研发部门与人员,很少有人能够完整地解释算法的所有细节。因此,囿于算法隐层的增多、算法研发过程的复杂、算法自主学习能力的增强,从技术层面来说将很难对算法进行解释。同时,当涉及前述案例中将算法作为商业秘密进行保护的情况时,要求算法透明公开可解释显然会在一定程度上损害权利人的知识产权,面临算法解释与知识产权保护的难题。
五、算法分类分级治理的建议
(一)以算法审计为切入点完善个人权益保护机制
前文已述,算法分类分级治理需要将以人为本作为首要关切点。有学者提出,算法权利是指个体享有的,用于知晓、参与或改变、拒绝算法自动化决策的权利,目的是确保个体利益不受到算法自动化决策的侵害,以及受到侵害后能够获得救济[28]。针对我国在立法层面对算法用户个人权益保障不足的情况,需要以合适的制度作为切入点,保障用户个人的知情权、参与权、救济权,同时具备统领算法领域其他规定的效力。由《个人信息保护法》建立起来的算法审计制度则从功能上与法律层级上具备此种可能性,依据《个人信息保护法》第五十四条和第六十四条,算法审计既包括算法研发与应用者开展的内部审计,也包括监管部门要求算法研发应用者委托专业机构开展的外部审计,在实践中需要注意区分。
第一,厘清算法审计与算法评估,分类分级设定审计频次。算法评估与算法审计制度都是对算法按照特定标准进行评价的制度工具,但二者的性质与定位存在明显的不同。《算法综合治理的指导意见》和《算法推荐管理规定》中针对互联网服务算法的评估,要求深入分析算法机制机理,评估算法设计、部署和使用等应用环节的缺陷和漏洞,研判算法应用产生的意识形态、社会公平、道德伦理等安全风险,可见算法评估是作为具有一定风险等级的算法投入使用的前提条件和事中实现动态监管的依据。而算法内部审计则重在事中环节,外部审计重在已经存在的风险或已经发生的安全事件的事后环节,将会作为强制性的监管手段产生确定的、权威的审计结果。因此,对于内部和外部审计来说,应当同样引入算法分类分级机制,对于低风险的算法,可以只设置非强制性的事前算法评估与备案,不进行算法审计,给予平台创新与自治的空间;对于中风险算法可以采取低频次的内部审计,保存审计底稿日志等信息,有必要时对外公布审计报告[29],发生个人信息安全事件时则触发外部审计;对于高风险算法,需要进行高频次的内部审计,即使未发生个人信息安全事件也需定期开展外部审计。
第二,保障个人在算法审计中的参与度,健全个人算法权益救济机制。依照《个人信息保护法》的规定,外部审计只能由主管机构对于明显可能造成较大风险或已经产生算法安全事件的算法依职权启动,个人对违法的个人信息处理活动仅有可能通过向履行个人信息保护职责的部门进行投诉与举报以间接推动算法审计的启动。因此,应当提高个人在算法审计制度中的参与度,建立起用户个人实质性参与算法审计制度的直接渠道,依据分类分级原则,对于严重侵害个人敏感信息的算法,受到算法侵害的个人或个人委托的社会团体或组织可依申请启动算法审计,保障用户的参与权,拓宽其救济渠道。同时,外部算法审计的结果具有权威性,能够较为客观地体现算法的合规情况,应当为个人设置一定的算法审计结果公开渠道与公开范围,个人权益受到侵害时,审计留存的日志数据可以作为个人救济维权的证据。
以上制度的构建,建议作为《个人信息保护法》的修订内容,从法律层级以相对成熟的概念理论体系以及实践制度的设置对算法审计制度予以确定[23],从而保障算法审计对个人知晓、参与或改变、拒绝算法自动化决策的权利的保障在算法治理全领域都能得到遵循,成为覆盖算法应用事前、事中、事后对用户权益全方位全周期保障的治理基础。
(二)以分类分级原则固定算法问责点
虽然目前的算法自主性大大提高,但其自主仍然是有限的自主,此时将算法作为责任承担主体还不具备可操作性。但是随着算法的飞速发展,此问题在研究层面仍不可忽视,亟待通过算法分类分级原则固定问责点,为实施算法共谋应当承担的法律责任的划分提供依据。
第一,在算法分类的基础上扩展达成垄断协议的主体范围。对处于由弱人工智能向强人工智能过渡阶段的算法而言,其自主性有所提高但并未形成完全独立的自主,此时可以根据算法在决策过程中的自主权程度的高低分为两种情况:其一,算法作为辅助手段的共谋,2022年新修订的《反垄断法》已经将其明确为经营者达成共谋的一种手段,此种情况下将达成垄断协议的主体认定为经营者并无争议;其二,算法可以进行自主决策的共谋[30],此种情况下,经营者对于算法的解释力和控制力明显下降,对于决策的参与度也有所降低,此时仍将经营者作为达成共谋的主体显然不能应对实践中出现的新情况,但将并非完全具有自主性的算法作为主体则会引发“技术中立”的争议。对此情况,应适当引入算法设计者与使用者到达成共谋的主体范围内。具体而言,需要引入算法分类制度,从算法的输入阶段的数据收集、处理阶段经验的来源、输出阶段的自主性对算法进行分类:(1)数据为人工收集、处理经验来自数据、自主性较低的算法,则可以认定算法的研发设计者并未在算法中嵌入了自身的某种主观意图或价值偏见,即对算法决策并未产生影响,此时算法设计与研发者并不在达成垄断协议的主体范围与问责范围内,由算法服务使用者承担责任;(2)数据为自动收集、处理经验来自系统经验、自主性较高的算法,则需要考察算法设计研发者是否在算法中嵌入了自身的某种主观意图或价值偏见:(a)存在主观意图与偏见的嵌入,则应将算法设计研发者认定为共谋主体之一;(b)不存在主观意图与偏见的嵌入,而因为后续的算法应用与自主学习以及商业环境的变化导致共谋行为出现,设计研发者若明知共谋行为出现而不采取措施进行补救,也可以将其认定为共谋主体。
第二,在算法分级的基础上明确对算法共谋信息交流的认定。《禁止垄断协议规定》第六条指出,认定其他协同行为需要考虑经营者之间是否进行过意思联络或信息交流。在算法的介入下,经营者达成共谋的意思联络形式也发生变化,不再需要主动的协商沟通,而是通过隐蔽的信息传递与交流或算法的自主决策就可以达成,因此需要借助算法分级明确信息交流构成共谋合意的可能性。具体而言,需要根据算法在市场中收集或传递的信息能够降低有效竞争的程度对算法进行分级,算法在公开渠道中给予历史信息和公开信息进行主观预测是正常的商业行为,然而如果算法有意收集或公布属于经营者敏感信息的价格、折扣策略、招投标方案、销售条件、利润率等信息,则很有可能存在排除、限制竞争的目的,应当对此类算法划分更高的风险等级,进行更加严格的监测,为确定共谋主体和共谋行为提供更多的问责依据。
(三)以分类分级原则构建不同层次的算法解释制度
算法解释制度的根本意义在于提升公众对于算法的信任程度,同时形成对利用算法进行决策、提供服务者的合规向善的监督。因此,对于算法透明度的一味追求和算法创新的绝对提倡并不可取,应当经由算法分类分级构建不同层次的算法解释制度,以期实现算法可信的本质目标。
算法解释权不应被视为一种内容边界完全清晰的权利,其实体性边界应该根据具体场景下个人与算法决策者之间的沟通信任关系而确定[31]。在算法分类分级的视角下,我国的算法治理已经逐渐深入到推荐算法、深度合成、人脸识别等更为具体的领域与场景,针对算法的解释也应当根据算法所处的领域特征、行业特性的不同设置不同程度与范围的解释义务。例如,从分级的角度来看,对于舆论属性或者社会动员能力较强的超大平台,无论其涉及哪一领域或行业,对于任何一种算法的应用皆有较大可能对公共社会与个体造成重大影响;从分类的角度来看,应用于民生、健康等特定领域的算法会引发特定风险,金融领域的算法滥用可能导致涉嫌利益侵占、引诱过度消费和负债、误导投资者等风险,直接造成个人财产损失甚至金融风险。因此,对于以上类别与级别的算法需要保持较高的信任度,虽然当前法律没有对算法解释进行具体规则的构建,但应当对此类具有重大影响、风险较大的算法设置一般的解释规则,统一遵循;反之,对于低风险的算法,则依旧遵循当前的规定允许企业自主确定算法解释模式与规则,给予企业一定的自治空间。
具体而言,需要针对算法治理的全周期设置算法的解释节点。在事前治理环节,具有较大风险的算法应当主动进行算法备案,公众可以通过互联网信息服务算法备案系统中了解算法基本信息;而风险较小的算法并不在备案范围内,则要求其主要对算法可能会造成的不利影响进行说明,并不涉及算法的基本原理和主要运行机制,以供用户参考以自主决定是否接受算法服务。在事中治理阶段,主要存在两种需要进行解释的情形:一是算法应用发生了新的变化对用户权益有所影响;二是算法在运行过程中存在对用户权利造成不利影响的现实风险。在此阶段,算法用户已经选择接受算法服务,算法的新变化与用户息息相关,因此不论算法风险大小都需要对算法可能会造成的不利影响进行说明,同时高风险算法在用户要求下,需要将算法的基本原理和主要运行机制列入解释范围内。在事后阶段,损害已经发生,企业则应对造成损害的算法的审计结果对受到损害的用户进行公布。
算法技术的不可确定、不可理解性、不可控制的技术逻辑,算法社会关系主体的多元、应用场景业态的多样、对社会价值观念的无差别吸收的社会特征,冲击了传统的法律治理体系,使得算法治理陷入规制框架建立不能的困境。分类分级本身具有秩序、效率等法理价值,既有作为统领治理体系的原则性,也具备深度嵌入治理工具构建中的制度性,符合精准、科学、有效、敏捷的治理要求。
习近平总书记在党的二十大报告中指出,要加快建设网络强国、数字中国。不断完善数字经济治理体系,是推动数字经济规范健康持续发展的必要举措[32]。作为数字经济核心的算法技术之治理也应不断创新、完善、发展,才能应对不断凸显的新型问题与风险。在后续算法分类分级逐步落实过程中,需结合算法综合治理的底层逻辑,把握好算法分类分级治理的尺度,平衡各方利益,实现算法正义,遵守科技伦理,以人民为中心,服务数字经济发展。目前世界各国在算法治理层面,面临同样的问题与困境,中国拥有世界上最大规模的算法应用场景与最广泛的算法应用人群,在算法治理的实践上较其他国家具有天然优势,应充分利用实践指导理论更新,在现有分类分级的制度和理念下进一步扩展其内涵与应用,充分利用算法分类分级建立完善的治理体系,形成算法实践与法律的良性互动。我国已在算法治理道路上迈出了坚实的一步,接下来需充分明确分类分级承担起算法综合治理核心功能的价值与定位,达成算法可信的治理目标,最终促进数字经济规范健康持续发展。