強化算法規制 擴張平臺責任—立法、監管與司法判例
作者:王良 2022-10-09在大數據和人工智能不斷發展的時代,數據成為重要的社會生產要素和核心資源,而算法就是收集處理數據,挖掘數據價值的生產工具,被廣泛地應用于各個領域。“算法”從技術層面上,體現為一系列解決問題的步驟或計算機指令,同時會產生“技術風險”,包括算法自身存在的算法漏洞、算法脆弱性、算法黑箱等。而在法律層面上,算法的不合理應用會帶來算法歧視、算法共謀、“大數據殺熟”、誘導沉迷等風險,并深刻影響著正常的傳播秩序、市場秩序和社會秩序,給維護意識形態安全、社會公平公正和網民合法權益帶來挑戰。
中國當前的網絡空間治理迫切需要從“數據保護”升級到“算法治理”,著眼于規制算法的邏輯及其對社會秩序及其它利益相關方的影響效果,合理界定平臺的算法責任,進而促進算法相關行業的創新與發展。
一、算法的立法規制概述
中國《法治社會建設實施綱要(2020-2025年)》提出要完善網絡法律制度,推動現有法律法規延伸適用到網絡空間,制定對算法推薦、深度偽造等新技術應用的規范管理辦法,加強對大數據、云計算和人工智能等新技術研發應用的規范引導。《網絡安全法》《電子商務法》《數據安全法》《個人信息保護法》《反壟斷法》等法律和《關于加強互聯網信息服務算法綜合治理的指導意見》《互聯網信息服務算法推薦管理規定》等政策文件先后出臺,形成了數據與算法使用的基礎規則,并作出算法治理的路徑選擇與頂層設計。 (一)《電子商務法》:平臺算法首次成為法律規制對象 《電子商務法》確立了數字經濟時代我國電商平臺的責任體系,首次明確對網絡交易平臺中的算法應用進行調整,也規定了算法不當使用所應承擔的法律責任。 《電子商務法》第18條規定了電商平臺對“推薦算法自然結果的提供義務”以及“個性化推薦算法的消費者保護義務”,即電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結果的,應當同時向該消費者提供不針對其個人特征的選項,尊重和平等保護消費者合法權益。該法第40規定電商平臺對“搜索類算法的明示義務”,即電子商務平臺經營者應當根據商品或者服務的價格、銷量、信用等以多種方式向消費者顯示商品或者服務的搜索結果;對于競價排名的商品或者服務,應當顯著標明廣告。電商平臺違反以上規定將導致承擔行政責任,由市場監督管理部門責令限期改正,沒收違法所得,可以并處五萬元以上二十萬元以下的罰款;情節嚴重的,并處二十萬元以上五十萬元以下的罰款。 (二)《個人信息保護法》:賦權數據主體制衡自動化決策算法的運用 《個人信息保護法》確立了以“知情同意”為核心的個人信息處理規則,構建了自動化決策要求、個人信息安全審計等信息處理制度,并通過規范數據處理、賦予數據主體權利的方式來制衡自動化決策算法的運用。 該法所稱的自動化決策是指,通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。為防止自動化決策壓縮個人意思自制的空間、對個人權益造成侵害,法律要求“算法透明”。該法第24條第1款規定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。該法進一步賦予用戶的“算法決策退出權”和“獲得算法解釋的權利”,保證個人的事后有機會得到救濟。該法24條第2款規定,為自動化決策通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。此外,該法第55條還規定利用個人信息進行自動化決策的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄。違反以上規定的個人信息處理者,理論上可直接觸發該法第七章“法律責任”項下條款,導致行政處罰、民事賠償甚至遭致人民檢察院、消費者權益保護組織提起的公益訴訟風險。 (三)《反壟斷法》:大數據和算法成為平臺經濟領域壟斷行為的認定要素 中國的平臺經濟在信息技術的驅動下日益成熟,已從早期的業務在線化模式和“流量為王”的階段發展到對大數據和算法高度依賴的“數據為王”階段。隨著數據挖掘能力和數據價值不斷提升,互聯網平臺之間圍繞數據進行的競爭激烈,數據已經成為互聯網經濟的生產要素和壟斷資源,從而催生出不以流量而以算法為主導的互聯網平臺。 我國新修訂的《反壟斷法》明確規定,經營者不得利用數據和算法、技術、資本優勢以及平臺規則等從事本法禁止的壟斷行為。作為平臺經濟領域反壟斷重要考量的 “數據”、“算法”等互聯網因素,也體現在《平臺經濟領域的反壟斷指南》的多個章節中。 其中,達成橫向壟斷協議的方式包括了“利用數據、算法、平臺規則等實現協調一致行為”,達成縱向壟斷協議的方式包括了“利用數據和算法對價格進行直接或者間接限定”。拒絕交易的考慮因素包括了“在平臺規則、算法、技術、流量分配等方面設置不合理的限制和障礙,使交易相對人難以開展交易”,差別待遇的考慮因素包括了“基于大數據和算法,根據交易相對人的支付能力、消費偏好、使用習慣等,實行差異性交易價格或者其他交易條件”以及“實行差異性標準、規則、算法”;等。此外,針對近年來社會各方面反映較多的“二選一”、“大數據殺熟”等問題,也有了更加明確的法律規制路徑。 以上三部法律均對算法進行了一定的規制,但各部法律的立法目的與規制重點不盡相同。《電子商務法》規制的是網絡經營行為,對平臺算法的設計和部署提出直接要求。網絡平臺的推薦、定價、搜索等算法,從平臺的內部設計轉變成立了法律直接監管和干預的對象。[1]《個人數據保護法》規制的是數據處理行為(偏重于數據收集規則),特別是通過賦予個人數據權利,包知情權與決定權、查閱復制權、更正補充全、刪除權來對抗算法應用帶來的侵害。《反壟斷法》規制的是濫用算法的壟斷行為,通過設定互聯網平臺運營者的守門人義務,來保護市場公平競爭,維護消費者利益和社會公共利益。 隨著互聯網技術的發展,原有的法律規則已經無力應對算法應用創新帶來的挑戰。“技術中立原則”的變化、平臺注意義務的提高、算法透明與可解釋的要求,算法損害責任的確立等,都需要進一步探討。對于算法的應用,不但需要明確使用范圍和使用條件、建立算法應用的正當程序,還需要建立算法應用的主體問責機制,保證個人對算法受到的侵害可以獲得事后的救濟。未來,我國也會順應技術發展潮流,逐步強化算法規制和擴張平臺責任,為實現算法設計、部署和應用的規范化,維護算法安全與信息內容安全而繼續進行立法和修法。
二、算法行政監管:檢查、評估與備案
2022年3月1日起正式施行的《互聯網信息服務算法推薦管理規定》從信息服務規范和用戶權益保護兩個方面,對五大類算法做出了規范,并構建了涵蓋算法分級分類、算法備案管理、算法監督檢查、算法風險監測、算法安全評估等舉措的科學監管體系。該規定直接深入到平臺的底層技術邏輯-算法,將平臺對算法的設計、部署、技術運行、結果輸出作為了調整對象,把信息內容安全作為我國算法治理的重點問題,并對用戶標簽與實施影響網絡輿論的算法進行重點規范和監管。 更重要的是,該規定進一步明確了算法安全的責任主體,細化了平臺主體責任的要求,并要求其建立健全算法安全管理制度和技術措施。如違反相關規定,需承擔的法律責任,責任形式包括警告、通報批評、罰款等,必要時還將給予治安管理處罰和追究刑事責任。該規定的出臺,標志著我國的平臺治理理念開始從“數據保護”轉向“算法治理”, 不但關注數據主體的隱私與個人信息保護、關注數據處理活動,更關注算法的底層技術邏輯、對社會政治與經濟秩序及其它利益相關方的影響。 (一)算法檢查 網信、電信、公安、市場監管等有關部門負有依法開展算法監督檢查工作的職責,督促企業落實算法安全主體責任,嚴厲打擊算法違法違規行為,防范和排除潛在的算法安全風險。此外,算法風險監測也是執法部門的一項常態化的工作,包括人工巡查和技術巡查兩種方式,通過對算法的數據使用、應用場景、影響效果等開展日常監測工作,預警算法應用可能產生的風險。 2021年3月,國家網信辦在網絡“清朗”系列專項行動中專門組織開展了“清朗·算法濫用治理”專項行動,規范應用推薦算法進行新聞信息分眾化傳播的行為和秩序,指導互聯網平臺優化信息過濾、排名、推薦機制。同年9月,國家網信辦等九部門印發《關于加強互聯網信息服務算法綜合治理的指導意見》,決定啟動一項三年計劃,逐步建立治理機制健全、監管體系完善、算法生態規范的算法安全綜合治理格局。 2022年4月8日,國家網信辦啟動“清朗·2022年算法綜合治理”專項行動,深入排查整改互聯網企業平臺算法安全問題,評估算法安全能力,重點檢查具有較強輿論屬性或社會動員能力的大型網站、平臺及產品,督促企業利用算法加大正能量傳播、處置違法和不良信息、整治算法濫用亂象、積極開展算法備案,推動算法綜合治理工作的常態化和規范化,營造風清氣正的網絡空間。 (二)算法評估 算法評估包括兩種類型:(1)算法對個人信息保護影響評估;(2)算法安全評估。其中,算法安全評估又分為自評估和監管部門評估。對于監管部門而言,算法安全評估是算法備案、算法風險監測和算法監督檢查等工作的落腳點。 我國法律明確規定,網絡平臺經營者在開展算法應用,應當依法實施收集、使用、加工等數據處理活動,并采取適當措施保障數據主體的合法權益及數據安全;利用個人信息進行自動化決策的,應當事先進行個人信息保護影響評估,根據評估情況采取相應處理措施并進行記錄。個人信息保護影響評估的內容一般包括:(1)個人信息的處理目的、處理方式等是否合法、正當、必要;(2)對個人權益的影響及安全風險;(3)所采取的保護措施是否合法、有效并與風險程度相適應。網絡平臺經營者還應當保證算法應用結果的公平、公正。 算法安全評估包括分析算法機制機理,評估算法設計、部署和使用等環節的缺陷和漏洞,研判算法應用過程中產生的安全風險,提出針對性應對措施。《互聯網信息服務算法推薦管理規定》第23條要求,具有輿論屬性或者社會動員能力的算法推薦服務提供者應當按照國家有關規定開展安全評估工作,網信部門會同有關部門對算法推薦服務開展安全評估和監督檢查工作。同時,《關于加強互聯網信息服務算法綜合治理的指導意見》第(八)條亦要求監管部門應積極開展算法安全評估。 算法評估的目的是為了降低算法設計、部署使用的風險。參照加拿大在2019年頒布的《自動化決策指令》,可以從四個維度評估算法是否產生影響:(1)個人或團體的權利;(2)個人或團體的健康和舒適度;(3)個人、實體或團體的經濟利益;以及(4)生態系統的可持續性。根據評估的結果又把算法分為四個級別:(1)一級算法對以上四個維度幾乎不產生影響,即便產生影響也是可逆的和暫時的;(2)二級算法對以上四個維度只產生適度影響,該種影響是可逆的和短期的;(3)三級算法對以上四個維度產生較大影響,該種影響是難以逆轉和持續性的;(4)四級算法對以上四個維度產生重大影響,該種影響是不可逆轉和永久性的。通過對算法的評估,根據算法推薦服務的輿論屬性或者社會動員能力、內容類別、用戶規模、算法推薦技術處理的數據重要程度、對用戶行為的干預程度等,建立起算法分級分類安全管理制度[2]。 (三)算法備案 算法備案作為算法治理機制之一,其性質屬于行政備案。2022年3月1日起,互聯網信息服務算法備案系統正式上線運行,官方網址為https://beian.cac.gov.cn。2022年8月12日,國家網信辦公布了第一批《境內互聯網信息服務算法備案清單(2022年8月)》,包括24家企業共30項算法,這意味著算法備案機制步入正式運轉階段。 1. 算法備案的義務主體 目前需要履行算法備案義務的主體是“具有輿論屬性或者社會動員能力的算法推薦服務提供者”。包括:(1)開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網絡直播、信息分享、小程序等信息服務或者附設相應功能;(2)開辦提供公眾輿論表達渠道或者具有發動社會公眾從事特定活動能力的其他互聯網信息服務。 2. 備案算法的范圍 需要備案的“應用算法推薦技術”包括生成合成類、個性化推送類、排序精選類、檢索過濾類、調度決策類等信息服務。算法推薦服務提供者如果認為其提供的互聯網服務“具有輿論屬性或社會動員能力的”,應當在提供服務之日起十個工作日內通過互聯網信息服務算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息,履行備案手續。 3. 違規后果 根據該規定如果通過隱瞞有關情況、提供虛假材料等不正當手段取得備案等,面臨的處罰包括:國家和省、自治區、直轄市網信部門予以撤銷備案,給予警告、通報批評;情節嚴重的,責令暫停信息更新,并處一萬元以上十萬元以下罰款。另外,如法律、行政法規有規定的,從其規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
三、算法司法判例:算法應用導致平臺責任不斷擴張
(一)協同過濾算法應用的法律風險 【法院觀點】(1)字節公司向用戶提供的并不僅僅是信息存儲空間服務,而是同時提供了信息流推薦服務。正因為存在獲取更多優勢、利益與帶來更大侵權風險并存的上述情況,字節公司與不采用算法推薦、僅提供信息存儲空間服務的其他經營者相比,理應對用戶的侵權行為負有更高的注意義務。(2)為實施侵權行為的用戶提供相應的信息存儲空間服務和傳播技術支持,構成幫助侵權,與其用戶承擔連帶責任。 案例一:愛奇藝公司依法享有涉案作品《延禧攻略》的獨占信息網絡傳播權以及維權權利,愛奇藝公司發現被告字節公司未經授權,在《延禧攻略》熱播期間,通過其運營的“今日頭條”iOS、安卓APP,利用信息流推薦技術,將用戶上傳的截取自《延禧攻略》的短視頻向公眾傳播并推薦,其中單條視頻最高播放量超過110萬次,給愛奇藝公司造成嚴重損害,遂于起訴至法院。 字節公司辯稱,愛奇藝公司的證據不足以證明其對延劇享有獨家信息網絡傳播權。涉案短視頻由用戶自行上傳,字節公司僅提供信息存儲空間服務。字節公司作為網絡服務提供者,已盡到合理注意義務,不存在任何侵權的主觀過錯,不構成侵權。 北京市海淀區人民法院經審理認定,案號為 (2018)京0108民初49421號,字節公司具有充分的條件、能力和合理的理由知道其眾多頭條號用戶大量地實施了涉案侵權行為,屬于法律所規定的應當知道情形。字節公司在本案中所采取的相關措施,尚未達到“必要”程度。字節公司不僅僅是信息存儲空間服務,而是同時提供了信息流推薦服務,理應對用戶的侵權行為負有更高的注意義務。最終,字節跳動公司的涉案行為構成幫助侵權,并判定賠償原告經濟損失150萬元及訴訟合理開支50萬元,共計200萬。 本案為涉及短視頻算法推薦技術的作品信息網絡傳播權侵權糾紛的典型案件,被稱為作為“全國首例算法推薦案”。法院在判決書中區分了網絡服務提供者的信息存儲空間服務與信息流推薦服務,認為:字節公司向用戶提供的并不僅僅是信息存儲空間服務,而是同時提供了信息流推薦服務。涉案侵權短視頻的大范圍傳播,是用戶的侵權行為與上述兩種服務相結合的結果。字節公司在利用技術優勢為自身獲取更多的流量和市場競爭優勢等利益的同時,也存在著提高侵權傳播效率、擴大侵權傳播范圍、加重侵權傳播后果的風險。正因為存在獲取更多優勢、利益與帶來更大侵權風險并存的上述情況,字節公司與不采用算法推薦、僅提供信息存儲空間服務的其他經營者相比,理應對用戶的侵權行為負有更高的注意義務。 網絡平臺需要為算法應用承擔更高的注意義務,但也不應基于推薦算法的運用把“網絡技術服務提供者”定義為“網絡內容服務提供者”而負有過高的注意義務。鑒于平臺對不同算法系統技術管控能力和對侵權內容的識別能力的不同,我國法院在司法實踐中逐漸確立了網絡服務提供者采取的必要措施應該與其提供的服務類型相適應的規則。在算法推薦環節之外,字節公司仍可以通過在其服務和運營的相應環節中施以必要的注意、采取必要的措施加以完善,實現及時、有效地制止和預防明顯的侵權行為和后果。法院據此認為,字節公司具有充分的條件、能力和合理的理由知道涉案侵權行為的存在,主觀上構成“應知”;客觀上,其針對侵權行為所采取的措施,并不符合有效制止、預防明顯侵權的實質要求,尚未達到“必要”的程度。因此構成幫助侵權,應當與用戶承擔連帶責任。 (二)算法驅動虛擬數字人應用法律風險 【法院觀點】 (1)評價算法應用,需要綜合考量算法設計的目的、實施過程及實施效果。當網絡服務提供者應用的算法直接服務于內容組織生產的基本規則時,網絡服務提供者應視為內容服務提供者。(2)技術中立原則一般包含功能中立、責任中立、價值中立,實際上體現的是利益權衡理念,平衡點可能隨著技術的更新、商業模式的變化和公眾價值觀念的發展而調整。(3)通說認為,《侵權責任法》[3]第三十六條第一款中的“網絡服務提供者”,既包括網絡內容服務提供者,也包括網絡技術服務提供者,該條款規范的是網絡用戶或網絡服務提供者直接實施侵權行為的責任承擔;第二款、第三款的“網絡服務提供者”則僅包括網絡技術服務提供者,該條款規范的是網絡用戶直接實施侵權行為、網絡技術服務提供者未直接實施侵權行為的情況下,網絡技術服務者的責任承擔。 案例二:被告上海自古紅藍公司運營某款智能手機記賬軟件,在該軟件中,用戶可以自行創設或添加“AI陪伴者”,設定“AI陪伴者”的名稱、頭像、與用戶的關系、相互稱謂等,并通過系統功能設置“AI陪伴者”與用戶的互動內容,系統稱之為“調教”。本案原告何某系公眾人物,在原告未同意的情況下,該軟件中出現了以原告姓名、肖像為標識的“AI陪伴者”,同時,被告通過算法應用,將該角色開放給眾多用戶,允許用戶上傳大量原告的“表情包”,制作圖文互動內容從而實現“調教”該“AI陪伴者”的功能。原告認為被告侵害了原告的姓名權、肖像權、一般人格權,故訴至法院,要求賠禮道歉并賠償經濟損失、精神損害撫慰金等。北京互聯網法院經審理作出民事判決,案號為(2020)京0491民初9526號,判令被告上海自古紅藍人工智能科技有限公司向原告何某公開賠禮道歉,賠償原告何某經濟損失183,000元和精神損害撫慰金20,000元。 本案所涉軟件“叨叨記賬”是一款運用人工智能算法的記賬軟件,商業模式與技術創新性都很高。在人工智能與算法領域還沒有形成完善法律制度的當下,本案的法律適用難度很大。本案法官從被告提供網絡服務的法律性質分析入手,作為法律適用的前提,并最終認定被告為網絡內容服務提供者,而非網絡技術服務提供者。被告未經同意使用原告姓名、肖像,設定涉及原告人格自由和人格尊嚴的系統功能,構成對原告姓名權、肖像權、一般人格權的侵害。 從本案查明情況來看,案涉軟件中每一具體的圖片、文字與姓名的上傳、創設和審核,均由用戶完成,如用戶存在侵權行為,被告作為網絡服務提供者是沒有過錯的,不應承擔侵權責任。事實上,本案被告也如此進行了抗辯。但相關網絡技術、尤其是算法深度參與到整個軟件運行過程中,被告是否還能被作為網絡技術服務提供者?技術服務與內容服務區分的根本標準是二者對內容的控制權不同。本案的法院認為,案涉軟件的模式是通過規則設定、算法設計,組織用戶形成素材并提供給用戶,故而,被告的行為構成直接的內容服務提供行為,被告屬于內容服務提供者。 本案的法院判決在“技術中立原則”上進行突破,認為“算法是設計者在社會價值指引下結合自身價值判斷設計的,不可能完全排除主體主觀因素影響”,并從被告開發運營案涉軟件的商業目的、規則設計、算法設計三個層面,認定初始目的即可以預見有顯而易見的侵權風險,即“實質侵權目的”。將被告認定為內容服務提供者,依據侵權責任法第三十六條第一款的規定,按照網絡服務提供者直接實施侵權行為適用法律。
四、企業算法應用合規管理建議
企業在算法應用層面會越來越多的受到主管部門的執法監管,面臨關閉網站、吊銷相關業務許可證或者吊銷營業執照等行政處罰、治安管理處罰乃至刑事責任。為此,企業應規范產品和服務中的算法應用,明確算法安全與應用的管理職責,設置專門的算法管理崗位或把算法管理作為一項工作內容納入到企業合規管理體系。 企業還可以根據自身的規模與技術能力,建立相適應的算法制度和技術措施,定期評估和排查算法安全和應用的風險,提升應對突發事件的能力。通過對算法應用不同場景的梳理,區分信息安全內容責任與網絡營銷算法責任的不同監管要求,確保算法應用符合相關法律法規的規定,從而維護企業的數據安全、保障數據主體的合法權益,避免算法應用引起社會公平、科技倫理、個人信息安全、網絡安全等方面的風險。 企業建立健全算法應用的管理制度和技術措施,包括:(1)算法機制機理審核;(2)科技倫理審查;(3)用戶注冊審核;(4)信息發布審核;(5)數據安全和個人信息保護;(6)反電信網絡詐騙;(7)安全評估監測;(8)安全事件應急管理制度等。在算法推薦服務展示上,企業應加強UI版面頁面生態管理,建立完善人工干預和用戶自主選擇機制,在重點環節積極呈現符合主流價值導向的信息。在用戶模型和標簽管理上,企業應審核數據來源,完善記入用戶模型的興趣點規則和用戶標簽管理規則,確保“用戶畫像”的合法性。企業還應以網頁、外部鏈接、用戶協議列明內容等方式,公示算法基本原理、目的意圖、運行機制,確保算法的“透明度”,和“可解釋”。此外,企業需要建立健全用于識別違法和不良信息的特征庫,防止違法和不良信息傳播;設置用戶便捷投訴舉報入口及用戶意見反饋渠道,充分保障用戶和特殊主體的合法權益。
注釋 [1] 張凌寒:《人工智能時代的算法規制》,上海人民出版社2021年5月第一版,第233頁。 [2] 對外經濟貿易大學數字經濟與法律創新研究中心:《加拿大自動決策指令》中譯本,網絡法理論與實務前沿公眾號,2022年1月6日 [3]《民法典》施行后,《侵權責任法》已經被廢止。其中《民法典》侵權責任編第一千一百九十四條:【網絡侵權責任】網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的,應當承擔侵權責任。法律另有規定的,依照其規定。第一千一百九十五條:【網絡服務提供者侵權補救措施與責任承擔】網絡用戶利用網絡服務實施侵權行為的,權利人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。通知應當包括構成侵權的初步證據及權利人的真實身份信息。網絡服務提供者接到通知后,應當及時將該通知轉送相關網絡用戶,并根據構成侵權的初步證據和服務類型采取必要措施;未及時采取必要措施的,對損害的擴大部分與該網絡用戶承擔連帶責任。權利人因錯誤通知造成網絡用戶或者網絡服務提供者損害的,應當承擔侵權責任。法律另有規定的,依照其規定。
