摘要:在数字技术广泛应用的背景下,算法日渐显现出其对社会生活和行为模式的强大塑造功能。随着算法从幕后走向台前,传统以技术中立为前提构建的事前事后间接监管模式,在不触及技术本身的监管模式下,越发难以应对算法引发的规制挑战。为避免算法借技术之治逃避法律约束,进而造成监管真空和权利保障危险,必须在法律层面构建直接以算法为客体的监管模式。对比欧盟和美国的立法实践,我国在以往约束互联网信息服务规范体系的基础上,通过出台《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定》,以互联网信息服务中的算法推荐服务为客体进行了初步的算法监管立法探索。尽管在具体的规则结构上,两部规定还有需进一步完善之处,但在规范逻辑和价值取向上亦形成了富有特色的规范模式。
关键词:数字技术 算法监管 算法透明 算法责任
一、引言
“千百年来,人们一直在设计、修改并分享着算法,这一活动早在算法这个词出现之前就开始了。……巴比伦人处理法律事务时会用到算法,古时候拉丁语老师检查语法时会用到算法,医生靠算法来预测病情,无数遍布全球的普通人曾试图用算法预测未来。”尽管作为对解决问题路径方法的描述,算法概念本身并非新鲜事物,但随着信息技术进步所驱动的数字化时代来临,作为数字应用核心的算法技术,正越发表现出对社会经济活动的重塑力量。一方面,大量建立在人际互动基础上的社会活动方式被算法主导的人机互动模式取代;另一方面,以算法设计为核心构筑的场景应用和服务正在形成新的行为模式与管理范式,并不断与个体活动和政府治理实现深度绑定。不可否认,数字化背景下,算法技术显著的效能优势,使其几乎在社会生活的各个领域都引发了人们对于“科技乌托邦”的美好憧憬。但“任何先进技术都是一把‘双刃剑’”,算法本身也并不是完美的,其在获得应用的同时也可能被滥用。随着算法应用场景的不断拓展,算法高封闭性、隐蔽性等固有技术局限所引发的算法黑箱、算法歧视、算法错误等应用风险也不断显现。因此,在大力推动技术进步、发挥算法技术积极改造社会生活功能的同时,还必须高度重视算法可能引发的权利侵害风险和系统安全挑战,在法律框架内加强前瞻性预防与约束引导机制。尤其需要从政府监管的制度约束角度,设置相应的算法监督规则和监管措施,从而确保算法技术应用的安全、可靠、可控。
在我国行政法制度体系中,算法本身并非传统意义上政府监督信息技术活动所直接针对的对象。规范层面针对算法技术的回应,始于对以算法为技术基础所形成之互联网服务提供者的约束和具体服务内容的管理。就具体措施而言,一是通过主动的事前控制,以行政许可或备案等机制对互联网信息服务提供者设置准入门槛;二是借助被动的事后监督,以责令改正、处罚等命令式行政决定确保所提供的互联网信息服务结果符合法律规定。例如在2000年出台的《互联网信息服务管理办法》中,立法者就是从主体资格和服务内容两方面对互联网信息服务提供者设定了义务性规则。尽管从确保信息服务合法的角度看,该办法规定了互联网信息服务提供者负有对其所提供和传输信息内容的合理注意义务。但是,考虑到互联网信息服务与其背后信息推送技术间的密切关系,在不触及技术过程的前提下,单纯从客观服务结果角度课以概括性自我监督义务,往往难以达成实质性的监管和法律责任的划分。后续实践的发展也印证了上述监管模式下存在的规制盲区,以致国家互联网信息服务管理部门不得不针对网络信息服务存在的生态乱象,通过出台“微信十条”“账号十条”等“打补丁”式的补充规定来补足传统监管模式的安全漏洞。“微信十条”发布后,互联网信息服务底层技术架构的安全规制问题开始逐渐受到监管者的重视,因为现实中最终由信息服务外化表现出的违法或者信息安全问题,很大程度上都是源于产品本身存在技术安全隐患。
近年来,在算法技术智能化程度跃升的驱动下,数字技术应用与社会经济活动绑定程度不断加深。与此同时,算法设计与实施技术风险所引发的权利侵害和公益减损危险也持续加剧。诸如网约车平台利用算法私自收集个人信息、外卖骑手受困于平台算法系统、在线旅游网站大数据杀熟抬价、网络聊天机器人发表种族主义言论等屡见不鲜的负面报道已充分表明,以技术中立性为出发点的传统规制理念显然已无法充分契合数字化时代算法技术本身对于结果的影响。有鉴于此,对于数字技术应用的规制范围有必要从单纯的主体和结果维度延伸至前端的算法编制阶段,在技术过程中嵌入监管机制,一方面防止技术主体滥用算法支配地位,以算法的封闭性掩盖设计缺陷或非法目的;另一方面控制算法运行中的黑箱风险,避免算法结论失控导致权利损害后果。
从世界范围内主要国家和地区针对数字化应用监管的新近立法趋势来看,将算法作为直接的规范对象,把“权利—义务”结构下的法律责任体系引入“代码—程式”构造下的算法过程,正在成为共识性的立法模式。2021年国家互联网信息办公室先后会同中宣部、工信部、科技部、教育部、公安部等相关部门发布了《关于加强互联网信息服务算法综合治理的指导意见》(以下简称《指导意见》)与《互联网信息服务算法推荐管理规定》(以下简称《管理规定》),明确将互联网信息服务的算法纳入监管范畴,提出建立机制健全、体系完善、生态规范的算法安全综合治理目标。这两部规范性文件的出台,标志着我国算法行政监管正式步入了规范化、体系化的建构阶段。为厘清这一规制重心转移过程中的制度变化,本报告将以规范层面互联网信息服务监管模式的变迁为观察对象,同时通过比较法的视角,从主体、内容、方式、责任等方面梳理我国当前算法行政监管的规范特点。
二、以行为主体和结果为导向的传统监管模式
(一)对互联网信息服务主体的义务设定
强调互联网应用中的国家安全与社会安全,是我国自互联网技术普及伊始即一以贯之的监管理念。尽管这一规范目标的设定是出于对技术滥用及风险失控的担忧,但如前所述,在早期对监管路径与措施的选择中,这种安全维护的义务取向并非直接作用于技术本身,形成有效的技术安全规则,而是首先转嫁为对技术服务提供主体的监管要求,以此来间接影响技术过程。具体而言,围绕互联网服务提供者所形成的制约机制主要涉及主体资格和安全保障义务两方面。
1.互联网信息服务的主体资格门槛
“法律责任的体系设计和审判应用,应当对责任主体的扩大作出正向回应和有效调整。”在我国互联网建设和服务普及起步阶段的立法实践中,立法者围绕国际互联网的接入,主要针对接入互联网服务主体的资质资格作出了前置性许可规定。1996年国务院颁布的《计算机信息网络国际联网管理暂行规定》第8条规定:“接入网络必须通过互联网络进行国际联网。拟建立接入网络的单位,应当报经互联单位的主管部门或者主管单位审批。”2000年国家互联网信息办公室在其制定的《互联网信息服务管理办法》中,进一步强化了以许可和备案制度对互联网信息服务者的事前约束。该管理办法通过区分经营性和非经营性互联网信息服务提供主体,对前者的经营活动实行许可准入制度,对后者设定事前备案义务,同时严格禁止未经许可或备案的主体从事互联网信息服务。在国务院于同年颁布的《电信条例》中,与互联网相关的信息服务又根据具体的服务内容被区分为基础电信业务范畴的互联网公共数据传送业务,以及属于增值电信业务领域的互联网接入和信息服务。根据该条例第7条第1款的规定,基础和增值电信业务将按照分类分别实施行政许可制度,进而在规范层面进一步强化了对互联网信息服务主体的事前控制。
通过早期互联网服务立法所确立的事前许可与备案制度,在后续数字技术广泛应用背景下,同样受到立法者的青睐。近年来出台的《网络安全法》《电子商务法》也延续了对互联网信息服务提供者的事前许可备案监督制度。
2.互联网信息服务提供者的安全保障义务
作为间接影响技术过程的立法模式,对提供技术服务主体资格采取事前约束,目的在于通过设定准入门槛,将可能存在的技术应用风险和必备的技术实施条件融入前置性许可或备案条件,以此来确保实际技术过程的安全运行。从行政许可实施的动态过程来看,互联网信息服务提供者需要在其实施许可或备案事项的过程中,始终保持其技术性活动满足法律预设的安全目标。因此,与许可和备案的事前性预防控制措施相呼应,早期立法在注重技术服务提供主体资质条件的同时,还特别强调在规范层面为技术主体设置概括的安全保障义务,以确保互联网信息服务软硬件条件符合立法所欲实现的安全状态。比如《计算机信息网络国际联网管理暂行规定》第9条规定,从事国际联网的经营和非经营主体,必须具有相应的计算机信息网络、装备以及相应的技术人员和管理人员,同时具有健全的安全保密管理制度和技术保护措施。原邮电部颁布的《中国公用计算机互联网国际联网管理办法》第4条也对互联网接入主体的技术设备保护及安全保密措施提出了要求。2005年公安部颁发的《互联网安全保护技术措施规定》则进一步明确了技术主体概括的安全保障义务。该规定第3条规定,“互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施,并保障互联网安全保护技术措施功能的正常发挥”。
考虑到互联网条件下的信息服务均以数据为载体,数据处理和传输的安全直接关系到互联网信息服务的整体安全效果。对此,在近年来先后制定的《网络安全法》和《数据安全法》中,立法者也特别强调了技术主体对数据安全的保障和注意义务。比如《网络安全法》第42条规定,在可能发生数据损失或泄露的情况下,网络运营者需要立即采取补救措施,及时按规定告知用户并向有关主管部门报告;《数据安全法》第29条亦规定,实施数据处理活动的主体应当加强风险监测,发生数据安全事件时,应当立即采取处置措施,及时告知用户并向主管部门报告。
(二)事后“结果导向”下的间接监管
除了概括的安全保障义务,为确保互联网技术服务结果符合立法的目标价值设定,技术主体在利用技术设施和方式提供互联网信息服务时,还具体承担着技术服务内容和结果上的消极不作为禁止义务或积极作为避免义务。立法者通过对技术应用的结果或影响效果设置违法责任,从事后监管的角度来确保技术活动的合法性。例如《计算机信息网络国际联网管理暂行规定》第13条规定,从事国际联网业务的单位和个人,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。2000年国务院发布的《互联网信息服务管理办法》在第15条以否定列举的方式,要求互联网信息服务提供者不得制作、复制、发布、传播违反宪法基本原则,危害国家统一、主权和领土完整,泄露国家秘密、危害国家安全或者损害国家荣誉和利益,煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗、习惯,宣扬邪教、迷信,散布谣言,扰乱社会秩序,破坏社会稳定,宣扬淫秽、赌博、暴力、凶杀恐怖或者教唆犯罪,侮辱或者诽谤他人,侵害他人合法权益等法律、行政法规禁止的信息内容。对于违反禁止性规定的违法行为,立法者通常会根据客观违法的结果和违法行为的事后影响,设置相应的处罚规则。比如,实施《互联网信息服务管理办法》第15条所禁止活动的互联网信息服务提供者,将面临停业整顿直至吊销许可证,或者临时乃至永久性关闭网站的行政处罚。
以“结果(效果)义务—违法责任”为逻辑建立起来的互联网活动事后监管模式,实际是将技术活动嵌入传统的结果责任体系,即借助对技术活动外在表现或其所产生结果的合法性评价,来间接实现约束技术应用本身的效果。尽管“结果导向”的监管模式形式上实现了对技术应用的监督管理,但其规制路径实际上回避了如何将技术过程融入法律之治的问题。在技术工具属性较为明显的数字技术应用早期,这种间接规制方式并无不可。但随着算法驱动下技术过程对行为模式和社会生活关系形塑作用的不断显现,单纯依靠结果导向的事后约束措施而不触及技术本身实施过程的监管模式,便面临技术游离于法规范框架之外、形成监管真空的风险。
(三)算法监管真空及后续路径选择
随着算法技术应用的日益升级,其对社会生活的影响越来越大,反衬出过往立法中技术监管模式的局限。通过上文对互联网应用普及以来有关数字技术监管立法过程的梳理可以看出,仅靠对技术主体资格的事前限制或对其技术活动结果的事后监督与违法惩戒,并不能充分应对技术应用场景扩张和权利义务影响扩大后所引发的算法监管需求。尽管立法者为技术主体设置了技术实施过程中的安全监督义务,但具体义务规范往往也是结果导向的防范和通知义务,尚未触及技术本身。虽然算法在侵害的权利类型上不存在完全的法律真空与规制空白,但算法侵害这些传统权利的方式与机制是全新的。所以,从实现算法监管的角度来看,过往立法因其缺乏对技术过程的关注,已经难以满足数字化变革下的算法规制需求。
如前文所述,算法固有的黑箱局限在引发技术自身应用不当风险的同时,也加剧了技术主体滥用算法支配地位的违法侵权风险。因此,算法的设计与实施已不再属于纯粹的技术过程而享有豁免法律约束的中立性。面对算法日益凸显的权利属性和行为模式塑造力,唯有打破此前技术规制规范体系下的算法监管真空,将监管的重点由技术过程的外部转移至内部,通过规范直接介入算法编制与应用的各个环节,才能有效遏制风险,从而确保数字技术应用符合法定的安全目标。
三、域外算法监管规制模式检视
(一)欧盟算法监管模式
从近年来欧盟立法的内容和趋势来看,欧盟立法者主要围绕算法决策的实施来构建具体监管规则。一方面,通过制定《通用数据保护条例》(GDPR)、《可信赖人工智能的伦理准则》(Ethics Guidelines for Trustworthy AI)、《关于提高在线平台服务商业用户公平性和透明度的条例》(Regulation on Promoting Fairness and Transparency for Business Users of Online Intermediation Services)、《数字服务法》(DSA)、《数字市场法》(DMA)等一系列法案,欧盟在算法规制的路径选择上致力于形成多元规制的立体化监管体系,将技术主体对算法决策技术内容的自我规制和行政机关的外部监管审查相统一,防止技术主体借助算法的封闭性而滥用其技术支配地位。另一方面,立法者将透明原则注入算法技术过程,设置算法披露与解释义务,并将算法透明的实现与否与问责机制联系在一起,以事中事后相结合的方式降低黑箱效应的实际影响。与此同时,考虑到法律体系的人为意志属性,为了避免算法的技术决策架空个人权利,《通用数据保护条例》专门赋予了个人拒绝完全自动化算法决策的权利。
1.自我规制与外部审查
欧盟通过《通用数据保护条例》《数字服务法》《数字市场法》构筑的规范框架,以互联网平台的分级监管为途径,分类构筑了“网络平台—监管机关”间的合作规制监管模式。比如,《数字服务法》第34条规定,超大型在线平台与在线搜索引擎需要识别、分析和评估因设计或运行其服务及其相关系统(包括算法系统),或使用其服务而产生的任何系统性风险(主要包括非法内容的传播、基本权利的行使、公共安全的影响等方面),并为具体系统性风险制定合理、相称和有效的缓解措施,从而通过平台内部的自我规制,实现算法设计与运行的公平性与合法性。
在外部审查机制上,欧盟专门设置了数字服务委员会。根据《数字服务法》第61条的规定,数字服务委员会作为各成员国数字服务协调专员的独立咨询机构,根据《数字服务法》的具体规定向各国数字服务协调员和欧盟委员会提供建议,以促进数字服务协调员与委员会的合作——该委员会作为各成员国数字服务协调专员的独立咨询组织,基于《数字服务法》的规范要求向各成员国的数字服务协调员和欧盟委员会提供建议,以促进数字服务协调员与委员会合作,为内部市场出现的新问题提供指导与分析,并协助数字服务协调员与委员会共同监督超大型在线平台和在线搜索引擎。正如《数字服务法》第35条规定的,数字服务委员会需要与欧盟委员会合作评估风险报告或授权研究人员访问的数据存储库中包含的常见系统性风险,同时提供实践中化解特定系统性风险的最佳做法。与此同时,第37条要求超大型在线平台和超大型在线搜索引擎应自费至少每年接受一次外部独立审计组织的审计,审计组织也需要对审计过程中否定的内容提供业务建议。
由此可见,《数字服务法》在结合在线平台进行内部自我风险评估的同时,要求数字服务协调专员与数字服务委员会、欧盟委员会共同进行外部监管,更要求超大型在线平台与在线搜索引擎的提供者每年接受外部独立审计组织的年度审计,以此实现在线平台与外部监管机构的良好协作。
2.算法透明—算法问责
算法透明被视为实现算法监管、落实算法责任的必要前提。自《通用数据保护条例》制定起,欧盟立法者就始终将透明性要求作为与算法决策相关活动所必须遵循的基本原则。该条例第12条规定,决定个人信息处理目的和方式的控制者在向数据主体告知控制者身份、数据保护专员联系方式、个人信息处理目的及法律基础、个人数据处理时限、信息决定权和可携带权、救济性权利、自动化决策机制,数据主体的访问权、纠正权、删除权、限制处理权、个人数据移植权、拒绝权,以及自动化决定和数据画像的信息时,应当以准确、透明、易于获取的方式进行,并且应使用清楚、平实的语言。虽然《通用数据保护条例》中的透明规则并非直接针对算法过程设置,但考虑到算法在数据处理技术架构中的核心作用,立法者为上述“控制者”设置的关于自动化决策机制信息告知义务中实际已经暗含了算法透明的要求。
2019年4月,欧洲议会未来科学技术专家咨询组(STOA)在其发布的《算法问责与透明度治理框架》(A Governance Framework for Algorithmic Accountability and Transparency)中,进一步明确了实现透明度在算法监管中的核心地位。根据该治理框架的内容,只有实现算法的透明,才能明确具体的法律责任归属,而透明和问责又一起构成确保算法设计与实施公正的重要支柱。该咨询组提出可以从四个方面强化算法透明与算法问责。一是提升公众意识,鼓励和保护监督人、举报人。通过普及算法知识,建立有关算法决策中所应用算法类型和原理的标准化披露制度,使公众知晓算法的运作方式,支持借助对算法过程的数据分析与逆向工程来确定算法偏见。与此同时,在符合公共利益保护的情形下,可以免除举报人可能存在的违反服务条款或者知识产权的法律责任。二是通过建立和加强算法影响性评估机制(Algorithmic Impact Assessment,AIA),以及设置采购规则来强化公共部门所使用算法的透明度。三是设立专门的算法监管机构,针对私主体的算法决策活动实施分类监管,将算法影响性评估机制扩大至有潜在严重不可逆影响的算法系统,对于不构成潜在严重不可逆影响程度的算法系统,通过强化对算法技术应用主体的侵权责任与建立最符合实践要求系统的认证制度来实现算法透明和问责。四是不断加强算法治理的国际合作。该委员会建议设立一个永久性的全球算法治理论坛(Algorithm Governance Forum),通过搭建关于算法系统和相关技术所涉政策与专业知识的多方对话机制,来协调和交流算法治理的最佳途径。同样在2019年4月,欧盟委员会人工智能高级专家组发布了《可信赖人工智能的伦理准则》。其中亦明确提出算法透明的原则地位,强调通过强化算法的可解释性和可信赖算法的认证作为实现透明的具体路径。在具体规则层面,《关于提高在线平台服务商业用户公平性和透明度的条例》第5条明确规定,网络平台承担着向社会公众主动公开算法自动化决策中具体影响决策主要参数设定的义务。
(二)美国算法监管模式
美国联邦和各州主要基于算法的可问责性原则,围绕落实算法责任构建算法监管规范框架。从立法实践来看,联邦和各州陆续出台算法问责的相关法案,借助算法影响评估的外部监督途径,设置专业的技术组织对政府及私主体收集个人信息等资料进行自动决策的算法活动进行监管。
2016年美国国家科学技术委员会下属的机器学习与人工智能委员会在其发布的《国家人工智能研究与发展战略计划》(The National Artificial Intelligence Research and Development Strategic Plan,以下简称《人工智能战略》)中首次明确指出:需要改进公平性、透明度和设计问责机制,通过建立透明、可信赖、可审查、可靠、可恢复的操作系统提高算法的可信任度。2020年12月,联邦政府发布《在联邦政府推广使用可信人工智能的行政令》(Executive Order on Promoting the Use of Trustworthy Artificial Intelligence in the Federal Government)。该行政令第三节要求,在联邦政府设计、开发、获取和使用人工智能算法时,应遵守准确、安全、可解释、透明以及可问责等原则。
1.算法外部问责
2017年纽约市开始通过地方立法推动透明基础上的算法问责模式,以外部评估机构来对算法尤其是算法自动决策实施监管。为实现外部监管,纽约市在2018年设置了专门的“算法问责特别工作组”(Algorithmic Accountability Task Force)。该工作组作为外部的第三方组织,负责调查政府机构如何使用算法来作出影响个人生活的决策,以及这些系统中是否有基于年龄、种族、宗教、性别、性取向或公民身份的歧视,并且探讨如何使这些决策过程为公众所理解,就加强算法问责制提出建议。从实际立法过程来看,始于纽约市的算法问责立法曾尝试推行严格的算法公开制度。立法案中甚至针对政府机构设置了公布用于“针对服务”或“对人员或警务施加处罚”所有算法源代码的义务条款,以便于公众进行“自我测试”,然而这一制度设计却并未获得实际的实施效果。
2019年美国国会制定《算法责任法案》(Algorithmic Accountability Act),明确了联邦贸易委员会拥有算法自动化决策的监管职责,以防止消费者或用户受到算法自动化决策的歧视。根据该法案第三节的要求,运用“自动化决策系统”的实体对正在实施或实施之前即可能存在较高违法或侵权风险的系统,在合理且可能的情况下,应当由包括内部审计师和独立技术专家在内的外部第三方协商进行影响评估,并定期发布关于改进算法的报告。2022年制定《2022年算法问责法案》(Algorithmic Accountability Act of 2022),进一步明确联邦贸易委员会对自动化决策系统作出关键决策的过程、程序或其他活动进行影响评估的职责。相比2019年的《算法责任法案》,《2022年算法问责法案》重新构建了算法影响评估与算法透明规则,强化联邦贸易委员会对自动决策系统和关键决策流程进行影响评估的职责,并且设立专门用于算法监管的“公共存储库”。与此同时,2022年的新法案特别强调企业对于算法偏见、算法有效性等相关因素进行影响评估,否定企业以技术中立和价值无涉为由的免责主张。
2.在线平台算法推荐规制
除上述算法责任立法尝试外,美国联邦政府近年来也开始重视对在线平台运营者算法推荐的监管。美国国会于2021年5月制定的《算法正义与在线平台透明度法案》(Algorithmic Justice and Online Platform Transparency Act)明确规定,平台运营者必须以报告形式披露其对个人信息的收集和使用及对内容审核的具体做法,并保留描述算法如何处理个人信息的特定记录。2021年底,制定以互联网商业平台的算法推荐为规制对象的《过滤气泡透明度法案》(Filter Bubble Transparency Act)。该法案的内容主要涉及对搜索结果排名、个性化推荐、社交媒体发帖显示或任何其他自动内容选择机制与方法的规制。根据其设定的规则,除非用户特别明示同意,否则互联网平台不得通过算法使用用户的特定信息来确定向其提供信息或推荐服务的顺序或方式,而且需要向用户提供关闭算法所带来的个性化推荐的选择功能。
综观欧盟与美国近年来针对算法监管所进行的立法尝试或政策制定,尽管各自的切入点和具体表达有所不同,但在监管路径的选择上,二者都是在强化技术主体自我规制义务的基础上,注重建立外部监管机制,通过风险评估、信息披露与技术解释等以实现算法透明为目标的规则,识别算法侵权危险和技术设计缺陷,最终明晰技术主体法律责任。
四、我国算法监管规范框架的构建
2021年国家互联网信息办公室会同其他部门联合发布的《指导意见》和《管理规定》,打破了此前以“主体资格—结果监督”为基础的间接监管模式,将规范的重心直接移至对算法本身的约束上。就规范模式而言,一方面,《指导意见》和《管理规定》并非面向所有的算法应用活动,而是将规范对象限定为互联网信息服务算法。因而,这两份文件在一定程度上可以被视为此前互联网信息服务监管规范体系的补充。另一方面,两份文件在目标设定上也延续了此前立法中强调技术应用安全性的基调,围绕确保算法安全展开具体的规范内容。
(一)多元主体参与的共治模式
考虑到算法设计实施的专业性和技术本身的封闭性,单纯外部的监管措施难以及时准确识别安全风险。因此,《指导意见》和《管理规定》都明确提出算法监管应当采取有技术主体参与的多元共治模式,形成行政机关、行业协会、互联网信息服务提供者及用户群体多方参与、多方协同的治理模式。
1.行政机关
《指导意见》明确提出,为实现算法安全治理机制,要强化统筹行政机关间的协同治理。在协同要求下,网信部门要会同宣传、教育、科技、工信、公安、文化和旅游、市场监管、广电等部门建立部门间的长效协同机制,共同开展算法监管工作。《管理规定》第3条也明确规定,国家网信部门负责统筹协调全国算法推荐服务的监管工作,同时地方电信、公安、市场监管等部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。
2.行业协会与互联网信息服务提供者
将技术主体吸纳进监管体系,发挥平台自治功能,已成为网络平台治理模式选择中的共识。尤其在算法监管上,技术主体的自我规制在实现算法透明、确保算法安全方面,可以与外部监管互为补充,补足外部监管难以深入技术实施过程的短板。比如美国2020年发布的《人工智能应用监管指南备忘录(草案)》中就特别强调要减少传统“硬性”监管,鼓励行政机构与私营部门合作。
对此,《指导意见》专门提出要强化企业主体责任,要求企业建立算法安全责任制度和科学伦理审查制度,健全内部安全管理组织机构,加强风险识别和防控能力。与此同时,行业组织要加强自律管理,积极开展算法科学技术普及工作,组建专业的算法安全治理队伍。《管理规定》第5条也明确规定,相关行业组织需要增强自律,建立健全行业标准和准则,对算法推荐服务提供者起到监督和指导的作用。第7条则专门针对算法推荐服务提供者的自我规制义务作出了详细规定,具体包括内部算法机理审核与科技伦理审查义务、用户注册与信息发布审核义务、数据安全和个人信息保护义务以及安全评估监测和安全事件应急处置义务等。第12条进一步从实现算法透明和内容可解释的角度,鼓励算法推荐服务提供者优化检索、排序、选择、推送、展示等规则。在保障用户知情权方面,《管理规定》第16条要求算法推荐服务提供者以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。
3.用户群体
对算法推荐服务的有效监管,离不开作为服务对象的用户群体的参与。《指导意见》倡导网民监督参与,提出积极受理网民投诉举报,严厉打击网民举报并查实的涉算法违法违规行为,维护互联网信息服务算法安全。《管理规定》中也明确赋予用户知情、选择、解释权和对个人用户标签的查阅、更改以及删除权限。
(二)监管路径与价值导向
1.评估备案方式下的分级监管模式
《指导意见》明确提出要积极展开算法安全评估,有序推进算法备案工作,健全算法分级分类体系。《管理规定》第23、24条也规定,应当构建算法分级分类安全管理制度,主要针对“算法推荐服务”,根据其舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据敏感程度及对用户行为的干预程度进行分级分类;同时对具有舆论属性或者社会动员能力的算法推荐服务提供者进行更为严格的监管,要求其在提供服务之日起10个工作日内履行备案手续。这种针对算法技术的分类监管模式,与《网络安全法》《数据安全法》所确定的网络安全等级保护制度和数据安全保护制度相呼应,形成“互联网—数据—算法”相互衔接,贯穿数字技术应用全过程的分级监管制度。
2.科技向善价值标准的确立
“人类目前对人工智能的发展表现出极大的隐忧,必须通过伦理与价值的设定以保障人工智能在合理的轨道上前进。”2019年,习近平总书记在中共中央政治局第十二次集体学习时的讲话指出:“要用主流价值导向驾驭‘算法’,全面提高舆论引导能力。”对此,《指导意见》规定,要构建算法安全监管体系,树立算法正确导向,弘扬社会主义核心价值观,坚持正确的政治方向、舆论导向和价值取向,利用算法传播正能量,引导算法应用向上向善。《管理规定》也在第1、11条明确规定,互联网信息服务算法推荐活动要弘扬社会主义核心价值观,算法推荐服务提供者要在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息。
(三)与域外立法实践的比较
通过对《指导意见》与《管理规定》主要内容的梳理可以发现,相较于欧盟和美国在算法监管领域的立法实践与政策导向,我国立法虽在宏观的监管理念和路径选择上与欧美趋于一致,都强调通过多元参与、自我规制实现算法的透明和可问责性,但仍表现出一些具体监管方式上的特别之处。
1.突出算法安全的核心地位
如上文所述,强调技术的安全性一直都是我国进行数字技术监管立法所秉持的核心目标导向。与域外立法首先在算法公正下追求个体保护的立法目标相比,我国算法监管的规范构建坚持技术安全下的公共利益和个人权益并行保护。尤其是在价值导向上,我国立法超越传统上对技术价值中立的判断,要求算法技术的实施要有助于实现社会主流价值导向,在权利保障的基础上将算法的道德性也一并纳入监管规则中。
2.基于用户群体差异构建多层级算法义务规则
《管理规定》在设计用户权益保护规则时,特别注意到了用户群体差异对权益保护需求的影响。因此,《管理规定》专门区分了算法推荐服务提供者向未成年人、老年人、劳动者以及消费者提供服务时所承担的不同维度和程度的义务。比如,在向未成年人提供服务时,应当依法履行未成年人网络保护义务,在算法设计上契合未成年人的特点,便利未成年人获取有益其身心健康的信息。而对于老年人群体,则需要在提供算法服务时,充分考虑到老年人在出行、就医、消费、办事等方面的特殊需求,以及其在理解和使用算法服务上可能存在的不便之处。对于向劳动者提供工作调度服务的算法,技术设计和应用主体不得滥用算法支配地位,侵害劳动者取得劳动报酬、休息休假等合法权益。而作为接受算法服务最为广泛的消费者群体,立法者则特别强调了技术主体不得根据消费者个人的偏好、交易习惯等特征,通过算法实施不合理的差别待遇。
尽管从比较法的角度看,《指导意见》和《管理规定》在规范层面表现出一定的制度设计优势,但两部规定的效力层级较低,而且属于我国在算法监管立法领域的初步立法尝试,因此相比于欧美已相对形成体系的立法内容,还存在一些不足之处。首先,《指导意见》和《管理规定》所设定的监管客体范围还较窄,只针对互联网算法推荐服务。在数字化的背景下,算法的实际应用场景远不止单纯的平等主体间的互联网信息服务。比如行政机关在推行数字化行政过程中,也在大量应用算法技术。对此,欧盟和美国的立法在监管范畴上更为广泛,尤其注意到了对行政机关算法应用的规制。其次,《指导意见》和《管理规定》对算法推荐服务提供者的自我规制和风险防范义务设定相对框架化,而且部分规范在结构上表现为倡导性规则,缺乏对具体履行环节的细节指引。对此,欧盟立法中关于技术主体的自我规制义务及风险评估措施在内容设定上更注重履行内容的设计。最后,考虑到效力位阶的因素,《管理规定》在法律责任的规范设定上多为指引性的规则,因而尚未完全形成算法问责的规范架构,而且相应的责任内容与算法违法侵权的损害后果间也并未形成充分的对应关系。尤其相比于欧盟的算法责任规定,目前《管理规定》所设定的处罚普遍比较轻微。
结语
数字技术应用引发的社会变革,核心在于算法驱动下的社会交往方式转型和个体行为模式重塑。面对算法日益显现的行为规则功能,传统的基于技术中立构建的外部技术监管模式,在缺乏对技术过程本身的约束力的前提下,难以对算法应用形成有效监管。面对算法本身固有的封闭性和黑箱性,如何将算法遵循的技术之治融入法律之治,成为发挥算法的积极功能、确保数字化转型符合权利保障预期的关键。毕竟“再复杂、高深的技术程序也不允许从法治国家的规范中逃逸,否则就会形成法治国家的‘虫洞’,最终造成法治国只剩下一个‘合法性的空壳’”。
针对算法监管规范模式的选择,欧盟和美国已进行了诸多积极的立法尝试,并在算法公正的目标导向下,逐渐形成以多元共治为基础、以实现算法透明为路径、以落实算法责任为根本的规范体系。随着《关于加强互联网信息服务算法综合治理的指导意见》与《互联网信息服务算法推荐管理规定》的相继出台,我国以算法推荐服务为切入点,拉开了算法监管专门立法的序幕。作为具有破冰意义的立法,两份文件受限于调整对象和规范层级,还存在监管范围过窄、义务规则过于原则化、法律责任体系不完整等问题,但是在立法价值导向和用户权益分类保护维度上已经形成特色较为鲜明的规范架构。
