【内容摘要】在“算法泛在”的大背景下,算法自决策能力已经对我国的社会产生了深度影响,内容包括但不限于公民的日常工作与娱乐、政府的事务处理与决策、社会发展动向。在此背景下为加强互联网法治,加强算法治理,算法备案制度在我国逐步发展。本文梳理了算法备案制度的产生背景及相关法规的发展,分析了算法备案制度的具体内容与企业合规要点,并对算法备案制度未来的发展趋势作出预测。
【关键词】算法备案 算法治理 算法合规
一、算法备案的起源与法规发展
(一)算法备案制度产生背景
1.算法当前的无形性渗透与扩散化影响
随着数字中国建设的加速推进和数字技术的普遍应用,算法极大地在社会生活扩张。从各种网上购物网站到涉及舆论与信息传播的各种社交媒体软件推荐算法与算法的自动决策已经越来越广泛的影响人们的生活,无孔不入的渗透进现代社会的每一个角落。与算法的扩张相对应的是算法越来越广泛且深入地影响着社会主体的行为、决策和权利。在现代社会算法,一方面推动社会生产和生活方式的创新和变革,加强各种决策和事务的自动化和智能化;另一方面,也可能给社会带来各种风险和潜在问题。算法黑箱、算法歧视、舆论操作、不公平竞争等诸多问题逐步暴露,引起了社会各方的广泛关注,并已被纳入国家治理范畴。尤其是涉及信息安全及舆论动员能力的相关算法以及不正当竞争相关算法深受相关法规重视,现已有一系列规定进行算法治理的探索。
2.透过“大数据杀熟第一案”评估算法自决策能力
算法对社会的影响之中,最令人注意的即是算法在海量数据的训练之下形成的自决策机制,这种算法自主能够做出影响公民、社会、政府的决策,为算法权力的一种表现。针对这种“算法权力”的规制目前典型的即为针对“大数据杀熟”现象的治理。
今年关于算法治理的重要案例,如“大数据杀熟第一案”,胡女士诉上海X商务有限公司侵权纠纷一案,2021年7月7日,浙江省绍兴市柯桥区人民法院审理了该案,原告认为携程存在“大数据杀熟”的侵权行为,法庭一审判决原告胜诉。
该案当中,原告于某APP预订了某酒店一间房间,次日发现酒店该房型的实际挂牌加上税金、服务费较其预定费用更低。原告认为其作为APP的钻石贵宾客户,不仅未享受到优惠价格,还支付了高于实际产品价格的费用,遭到了“大数据杀熟”。法院认为,某APP作为中介平台,对标的实际价值有如实报告义务却并未履行。X公司承诺钻石贵宾享有优惠价,实际却无价格监管措施,向原告收取了溢价100%的失实价格,构成对承诺事项的违反。除此之外,用户新下载某APP后,必须点击同意“服务协议”“隐私政策”方能使用,如不同意,将直接退出某APP,是以拒绝提供服务的方式对用户形成强制。
虽说如此,本案中法院对“大数据杀熟”的认定仍持有保留态度。仅认定该案存在损害事实,原告可以追责。携程平台作为获益方和运营方,并未妥善履行平台监管义务,有违公平效率原则。基于被告对携程公司的管控力,被告应当承担赔偿责任。法院一审判决原告胜诉[1]。
本案即展现出算法进行自决策导致“大数据杀熟”的现象,其已经成为影响市场竞争及消费者权益的一股不可小觑的力量,此种算法之影响力也是算法权力的一种体现。算法权力是人工智能在海量数据的基础上进行深度学习,利用大数据和算法技术做出影响公民、社会、政府决策的能力,这种能力正助推一种新兴的技术权力形成。笔者认为,针对算法这种具有自决策能力,内部运行机制并不明确,却对用户权利,公平竞争的商业环境等要素具有巨大影响的技术,应尽快对相关法规进行细化,引导算法向善、促使算法公开、规范算法治理。
3.算法备案在社会治理中应运而生
近年来,算法治理愈发成为国家治理体系的重要组成部分,成为建立和维护数字社会法治秩序的“牛鼻子”。与此同时,实务界和学界对于算法风险分级、算法影响评估、算法审计、算法责任、算法透明、算法解释等治理方法和制度工具进行了比较集中的讨论,专家们提出了分级分类治理、场景化治理、敏捷治理、多元共治等原则和理论。在互联网领域,一些算法服务时常为“舆论风暴”推波助澜,甚至成为一些“黑天鹅”“灰犀牛”事件的幕后推手。因此,互联网领域的算法治理迫在眉睫,各种治理方案应运而生。
其中,创设算法备案制度就是一项关键举措[2]。算法治理的最大难题即在于其“黑箱”部分,也即其内部的系统决策过程、学习过程不可观测,亦不可在外部干预。算法备案即是在一定程度上让算法基本原理或数据集、模型等关键信息存留备案,一定程度上进行公开。既能弥补用户与算法使用企业的信息鸿沟,也使得监管部门更好地进行管理、防控风险。
(二)算法备案制度溯源
算法备案在宏观政策上最早见于2020年12月,中共中央印发的《法治社会建设实施纲要(2020-2025年)》提出“制定完善对网络直播、自媒体、知识社区问答等新媒体业态和算法推荐、深度伪造等新技术应用的规范管理办法”。2021年9月,在中央发布的《关于加强互联网信息服务算法综合治理的指导意见》中,进一步要求“有序推进算法备案工作”。关于算法备案的具体要求及法规要求参考《互联网信息服务算法推荐管理规定》,其要求“具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续”。其中第24条第1款对相关服务上线后的算法备案进行了明确规定,第2款、第3款则分别对备案变更、注销进行了规定。
此后,《互联网信息服务深度合成管理规定》以及新近出台的《生成式人工智能服务管理暂行办法》也再次提及了算法备案,要求“具有舆论属性或者社会动员能力的”提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。但从其内容可见其渊源均为《算法推荐规定》,可见《算法推荐规定》是目前最为重要的算法备案法规[3]。
(三)比较法视角下的算法备案制度
国际上也在探索一些具有登记环节的算法或人工智能治理工作。例如,荷兰阿姆斯特丹市、芬兰赫尔辛基市都在开发政府部门和公共事务领域的算法登记系统,并推动其使用,以期公民能够更好地了解城市中使用的算法系统,并使公民在政府算法应用开发的早期就保持参与。欧盟人工智能法案(The Artificial Intelligence Act,以下简称AIA)第51条也规定高风险人工智能系统在进入市场或投入服务之前,需要在欧盟数据库中进行登记[4]。
根据欧盟的《人工智能法案》第51条规定,高风险人工智能应用在进入市场或使用前,其供应商或授权代表应在欧盟数据库中进行备案(Register),并向公众公开登记信息。
与欧洲联盟的《人工智能法案》要求人工智能应用的供应商执行备案相似,我国的《算法推荐规定》也将责任主体限定为算法服务供应商,排除了算法研发者、设计者和算法最终用户(用户)。这种做法的背后原因主要是,纯粹的技术本身并不会产生损害,只有当算法服务供应商使用算法进行服务活动时,才可能对消费者和社会产生负面影响。因此,算法的责任并不来源于算法技术本身,算法研发者因此不应成为承担算法责任和备案义务的主体。
相比之下,我国的《算法推荐规定》在备案责任主体、备案范围和备案内容方面有所差异:
首先,我国在算法分类的基础上,对具有舆论属性或者社会动员能力的算法推荐服务提供者苛以备案义务。由于这类主体拥有巨大的用户主体、能够推动相关舆论信息迅速传播,要求其履行备案义务,一方面可以发挥社会价值的引导作用,另一方面也可以将危险或有害信息传播扼杀在摇篮,避免造成公共危机甚至国家安全危机。欧盟仅是在人工智能领域设定算法备案义务,我国要求备案的“算法”并不限于深度学习算法,而是拓展到“生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类”等五类算法。
其次,欧洲《人工智能法案》并未就备案何种信息作出规定,《算法推荐规定》明确将算法服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息作为备案内容。不仅如此,《算法推荐规定》没有采取《人工智能法案》将备案内容全部向社会公开的进路,而是区分了对监管机构的公开和对公众的公开。较诸向监管机构公开的备案信息,向社会公开的信息更为有限。同时,获取核心秘密的监管机构又负有法定保密职责,从而有效避免了企业因算法备案引发同行恶意竞争、不当泄露商业秘密的潜在风险。
最后,欧盟《人工智能法案》并未规定人工智能应用提供者违反备案义务应承担的法律责任,我国《算法推荐规定》第31条、第33条分别规定了未按规定备案产生的法律责任和按照规定备案后算法活动仍造成损害时应承担的法律责任。
整体上,我国《算法推荐规定》在欧盟《人工智能法案》的基础上,改进并细化了算法备案的具体规则、法律后果,并使之与算法安全评估、算法检查相互衔接,形成了多维一体的算法监管框架。不过,《算法推荐规定》的出台只是我国算法治理的开始。未来,如何在算法分类分级的前提下,进一步提炼备案算法的范围;在平衡算法安全和促进算法发展的考量下,细化算法初始备案和动态备案;在算法全流程监管的原则中,赋予算法备案对企业责任的正面效果,从而实现算法激励相容,依然有待进一步的理论探索与制度完善[5]。
二、算法备案制度的内容与合规指引
(一)算法备案之规制主体
首先,依据《算法推荐规定》第二十四条第一款的规定,算法备案的主体为“具有舆论属性或者社会动员能力的算法推荐服务提供者”。其次,依据《深度合成规定》需要进行算法备案的主体为“具有舆论属性或者社会动员能力的深度合成服务提供者”或“深度合成服务技术支持者”两种主体。另外,根据《生成式人工智能服务管理暂行办法》第十七条,“提供具有舆论属性或者社会动员能力的生成式人工智能服务的”,应当根据《算法推荐规定》进行算法备案。
由此可见,上述规定共同的指向是确保提供给公众的内容合法、合规、可控,核心为提供“具有舆论属性或者社会动员能力”的服务需要进行算法备案。关于“具有舆论属性或者社会动员能力”的互联网信息服务提供者包括两种情形:(1)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;(2)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
依据上述规定,凡面向公众提供信息内容或信息服务平台的企业均需履行算法备案的义务。一方面,如目前相关企业涉及具体的内容安全,明确采用了生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类算法,并向公众提供了评论、留言或某类资讯分享的功能即需要进行算法备案。另一方面,如提供服务涉及深度合成服务技术支持者,即“为深度合成服务提供技术支持的组织、个人”,也需进行算法备案。此外,专门针对提供AIGC相关服务的企业亦需要进行算法备案[6]。
(二)算法备案之企业实务指引
在算法备案平台“互联网信息服务算法备案系统”(https://beian.cac.gov.cn)已先后公开了更为详细的算法备案流程操作指引《互联网信息服务算法备案系统使用手册》《<互联网信息服务深度合成管理规定>备案填报指南》。企业可以便捷地在该网站进行算法备案。
首先,进行算法备案需要注意几个时间节点。首次算法备案、算法备案信息变更及终止服务的注销备案手续,均需在备案系统上操作。这三个动作,均有明确的时间要求:首次算法备案,应在提供服务之日起10个工作日内办理;算法备案信息变更,应在变更之日起10个工作日内办理;注销算法备案则应当在终止服务之日起20个工作日内。其中,就首次备案的审查时间,为30个工作日。不论是否成功备案,依据《算法推荐规定》都会在该期限内获悉结果。但是,实践中,经常仅在未通过审查后才会收到明确的通知,而通过审查的则等待发放备案编号即可。
其次,算法备案的具体流程。如系首次进行算法备案需要在10个工作日内,在“互联网信息服务算法备案系统”填报,在30个工作日内备案部门会对材料齐全性审查。如果提交备案材料经审核齐全,就予以备案,发放备案编号、公示;如材料不齐全,则不予备案备案部门会进行通知并说明理由。
最后,算法备案需要提交的相关材料。《算法推荐规定》明确要求填报:服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息。可分为:主体信息、产品及功能信息、算法信息三部分。
其一,企业证件和材料,如营业执照、法人身份证、算法安全责任人身份证明以及备案承诺材料(包括《备案承诺书》《工作证明》),按照模板填写盖章即可。其中应注意的是,在进行算法备案前,便需确定“算法安全责任人”,还要描述落实算法安全主体责任的基本情况,主要包括机构与制度两大重点:算法安全专职机构,需明确相关的组织架构与人员,此处可展开介绍算法安全责任人的职责,及其与各级人员之间就算法安全的工作配合。
其二,算法安全管理制度。一般应至少包括算法安全自评估制度、算法安全监测制度、算法安全事件应急处理制度,建议还可以将已搭建的与网络安全、数据安全、用户权益相关的制度进行补充说明,以强调全方位对算法安全主体责任的落实。另外,包括产品相关信息,包括产品名称、下载地址、用户量信息(月活、日活、总量等)、前置许可(ICP号之类的)等。这里要注意的是,如果有app、又有小程序或者网页,要分别填写,算多个产品。
其三,算法相关信息。这部分主要是填空和选择,包括了算法基本情况的描述,使用了什么数据和模型,算法工程师都可以搞定,但是有些公司使用了第三方算法,比如买了阿里云、腾讯云的就需要联系提供商提供一些信息。《算法安全自评估报告》根据备案系统提供的模板文件填写提交,不同算法有不同模板,一般包括算法情况、服务情况、风险情况、风险防控情况.《拟公示内容》也是备案系统提供了模板的文件,一般包括算法名称、基本原理、运行机制、应用场景、目的意图,与《算法推荐规定》第十六条中要求公示的内容一致,且该文件在备案后可供公众查询、下载[7]。
(三)算法备案之不履行责任
就未依法进行算法备案的法律后果,主要规定于《算法推荐规定》第三十一、三十三条:(1)应备案未备案的:给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,并处1-10万元的罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任;(2)通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的:撤销备案,给予警告、通报批评;情节严重的,责令暂停信息更新,并处1-10万元的罚款;(3)终止服务但未办理注销备案手续的:注销备案;(4)发生严重违法情形受到责令关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚的:注销备案。
此处需要注意的是,不进行算法备案会受到行政处罚,但完成算法备案并不代表在算法损害用户权益或社会公共利益时可以此免责。备案时,相关网信部门以形式、要素齐全作为审查标准,并不涉及对算法服务提供者算法安全情况的实质性审查,即平台仍需对算法内容负责。
(四)算法备案之企业合规要点
1.拟公示内容注意避免泄露商业秘密
拟公示内容的填报需要根据企业自身情况以及行业实践,在不泄露企业技术秘密的情况下充分履行算法备案义务。在算法信息填报中,企业需要提交算法拟公示内容,主要包括算法基本原理、算法运行机制、算法应用场景、算法目的意图以供监管机构审核。鉴于目前监管机构并未公布关于算法基本原理、算法运行机制等内容的公示维度,建议企业可参考行业目前的实践做法,把握公示内容的力度,以确保在不泄露算法技术商业秘密的前提下履行算法公示的法律义务。此步是整个算法备案中的关键,其内容不仅涉及算法基本原理、算法属性等算法技术本身,还涉及算法安全管理制度、组织架构、风险防控措施等算法合规体系构建情况。因此,建议需完成算法备案的企业可提前准备相关内容,必要时,可引入富有经验的外部律师协助企业搭建算法合规体系,尽可能确保算法备案材料的齐备性[8]。
2.备案后仍存在算法合规性审查义务
算法备案仅为前提基础,备案过程中的审核仅为形式审查,并未进行合法或合规性的审核,企业仍需对备案算法继续履行合规义务。互联网信息服务算法备案仅对备案主体所提供的算法推荐服务及服务中使用的算法推荐技术进行备案,信息由备案主体自行填报,该备案不代表对有关主体、算法、产品、服务等的认可。因此,备案主体仍需对照《算法推荐规定》《深度合成规定》等相关规定落实算法安全主体责任、算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护等合规义务。
3.算法内容的“向善”合规引导
企业需要注重算法对信息推荐及内容生成的倾向性作用。前述几项涉及算法备案的法规,无不是针对内容生成与推荐可能产生的舆论与信息传播风险的防范为规范目的,因此算法备案合规之底层逻辑亦在于算法针对内容合规的倾向性把控,也即算法备案之目的即在于便于审查具有内容生成或推荐功能的算法是否“向善”。
三、算法权力规范之未来趋势
(一)算法实践新动向——商品销售领域的规范萌芽
除了《算法推荐规定》中要求的“具有舆论属性或者社会动员能力的算法推荐服务提供者”需要对算法进行备案之外,事实上实践中也出现了商业领域相关的地方性指引或规定,对网络销售领域推荐算法的规制进行探索。由此可以预见将来算法备案规定的主体范围可能不仅仅局限于“舆论”或“社会动员能力”的算法推荐,一般的商业、销售领域也可能被包括在内。
上海市市场监管局制定发布《上海市网络交易平台网络营销活动算法应用指引(试行)》其中不但有“不得利用算法实施不正当价格行为”“不得利用算法对消费者实施不合理的差别待遇”等算法歧视行为的规制,也有鼓励算法公开透明的相关规定。《指引》规定:鼓励平台经营者通过公开算法原理、目的意图、决策规则、可能产生的影响等信息,提供算法应用结果解释等方式提升公众对算法应用的理解。这种对于算法公开透明的鼓励性规定其目的正与算法备案之立法目的相同。同时也只有让算法与消费者权益、市场竞争密切相关的信息一定程度公开、透明才能真正做到对算法权力异化的合理规制,防范大数据杀熟等风险,促进消费者权利保护与市场的公平竞争环境。因此可以预见即便是不具有舆论或动员能力的商品消费领域,在将来亦有可能成为受到算法备案制度规制的主体。
(二)算法备案核心问题——算法公开路径与商业秘密保护
如前所述算法备案的核心问题是算法备案背后的规范目的与算法使用或提供者的商业秘密的平衡问题。此问题可以分成两个视角进行探讨,其一是关于算法信息的描述,到何种程度会构成商业秘密,现行的算法备案制度及实践状况,是否能够消除企业关于商业秘密泄露的顾虑。其二为,现行的算法备案制度,包括具体的备案主体、备案内容的详细规定与实践做法是否能够实现算法备案的规范目的。
1.公开之道——以主体为中心的解释趋势
首先,关于算法信息的描述,到何种程度会构成商业秘密。为了兼顾个人知情权、隐私权以及公平的市场环境等诸多方面,算法哪些维度的信息是可以被公开的,换句话说算法使用者或提供者应当如何向公众解释算法。
关于算法公开与算法解释的方式主要存在两种观点:其一为以主体为中心的解释。此种解释路径无需算法的使用者或者提供者提供模型及数据源的整体信息,只需要公开其算法对于主体可能产生的影响即可。比如主体的数据变化会对算法的决策产生什么影响,系统如对主体进行分类,分类的特征是什么。以上信息没有披露算法的模型及数据源的相关信息,因此如果采用此种解释或公开方式,一般不会涉及到企业算法相关的技术秘密。
另一种为以模型为中心的解释,即围绕算法模型及数据源整体进行公开,即“对算法的整体进行理解,包括理解算法所设定的信息、用来训练算法的数据组、算法模型的性能指标、算法架构设置的全局逻辑、被处理信息等。”后一种算法的解释或公开方式,一方面,算法全部公开也并无意义。大规模的算法项目公开如果不提供有效的算法说明,就并非是一种能够理解的解释方式,因此不能起到算法公开或公示应当起到的效果。另一方面企业算法的模型和数据源是企业商业秘密的核心部分,这种公开方式可能会危及企业的商业秘密。
以上两种不同的算法解释立场可能带来不同的公开内容,如采用以主体为中心的解释方式,则算法公开的内容则为算法说明而非算法代码。
根据《算法推荐规定》,本次算法备案中算法公示的部分就完全采用以主体为中心的解释与公开方式。为了平衡服务使用者与提供者的信息鸿沟而进行的算法公示部分,则仅仅公开了算法的基本原理、运行机制、应用场景等与用户密切相关的算法说明。这部分的说明由进行备案的企业自主填写,自主把握描述程度,且所提供的信息均为简单的说明信息,并不涉及任何的商业信息。因此在现行的算法备案实践当中,企业无需担心算法相关的商业秘密会被不当泄露。
2.平衡之道——详细信息仅备案不公示
我国的算法备案制度不仅注重保护用户权利,还对 “具有舆论属性或者社会动员能力的算法推荐服务提供者”所生成或提供的信息内容的安全性与可控制性进行严格控制,从而避免互联网上可能出现的舆论危机、公共安全危机等。基于这项规范目的,需要算法的使用企业披露更为详细的算法信息,以备网信办及时审查、发现风险,追究责任。同时由于这部分信息仅由网信办存留,不会向公众公开,企业也无需担心商业秘密不当泄露的问题。本次算法备案的实践当中,算法的使用企业需要将算法的数据模态、训练数据集模型等模型与数据相关的信息向网信办报备,但是这部分信息不会向公众公示。同时算法数据模态部分只需要企业进行选择,不需要过于详细的信息与说明,算法模型中的数据集部分也只需要企业填写数据集名称与说明,并不需要企业提交更多的信息或者数据集本身。
综上,在目前我国采取的算法解释与公开的路径下,企业无需过多担心算法备案导致商业秘密泄露问题。目前算法备案中向公众公开的信息极为有限,不但不会影响商业秘密保护,甚至很难达到保护用户权利的规范目的。因此随着算法备案制度的继续探索,监管部门可能在保持整体算法备案路径不变的框架下,要求企业提供相关算法更加结构化的说明。对于可能对公众公开的部分始终会坚持以主体为中心的说明方式,不会涉及到算法的数据集与模型本身,更不会危及企业商业秘密。
(三)算法备案担责——内容主体精细化规定
毕竟算法备案制度尚在探索之中,企业对于算法备案制度下的商业秘密保护及算法备案的主体认定仍有疑问。这就使得应当备案的主体未进行备案,或进行备案的企业算法备案不实应承担怎样的法律责任成为一个重要问题。
1.算法备案主体或可由行政机关确定
目前的算法备案制度程序需要企业主动发起,但是“社会动员能力”的认定却是非常模糊的。企业如何知晓其是否具有“社会动员能力”?这种“社会动员能力”由谁来承担证明责任?目前的算法备案制度对这些问题并不明确。这就使得企业是否承担《算法推荐规定》第三十三条关于不履行算法备案制度的法律责任条款存在很大的不确定性。
为了赋予企业更大的确定性,营造更稳定的营商环境,“社会动员能力”的判断应当由行政机关确定。由于“社会动员能力”尚为一种较为概括性的表述,交由企业自行判断,事实上会带来不可避免的误判风险。如由行政机关加以判断,采用“行政机关通知——企业备案”的模式,能够避免企业发生误判产生行政处罚风险,为企业提供更具确定性的合规环境。
2.算法备案内容的结构化
目前的算法备案流程中关于算法基本原理等部分的描述自由度很大,缺乏结构化,这就使得企业可能会由于商业秘密保护的考量,对一些信息进行较为模糊的描述。这同样会使得算法备案制度的规范目的无法实现,并且《算法推荐规定》第三十三条关于不履行算法备案制度的法律责任条款适用起来非常困难,导致算法备案制度丧失其应有的功能。