数字经济时代,因数据规模的急剧扩大和运算能力的飞跃提升,基于算法的自主收集、挖掘、识别、分析、预警、处理、诊断、决策系统,被广泛应用于各行各业。算法在带来便利的同时,也出现了算法歧视、算法黑箱等问题。算法治理无疑是当下以及未来一段时间的重点。
10月23日,由北京理工大学法学院主办的“第五届全国智能科技法治论坛”在京举行,算法与法律治理成为会议主题。
如何保障个人在算法社会的合法权益,把算法服务作为核心商业模式的平台应承担哪些责任,算法造成的安全风险如何规制?与会专家们从个人权利、平台责任、刑法规则等展开讨论。
保障个人“免受自动化决策权”
自动化决策是算法时代的个人信息处理方式,指的是“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。
个人信息保护法对自动化决策作出了明确规定。在中国人民大学法学院副教授张吉豫看来,个人信息保护法从风险预防、正当程序、个人权利等不同维度确立了规则框架,涉及影响评估,决策透明、公平公正,退出机制,个人获得说明及拒绝自动化决策的权利等,虽然条款较少,但对于实践中关注重点均有涉及。
针对通过自动化决策方式向个人进行信息推送、商业营销的情形,个人信息保护法规定,要么提供不针对个人特征的选项,要么向个人提供便捷的拒绝方式。“实际上在这样的场景下,使个人拥有免受自动化决策的权利。”她表示。
张吉豫认为,这样的设计,有助于对比测试提供针对个人特征的推荐模式和不针对个人特征的推荐,促使不同算法之间竞争。同时,也能够对针对个人特征的算法提供一定的修正启示,起到辅助推荐算法设计机制作用。
个人信息保护法还赋予个人获得说明及拒绝自动化决策的权利。其第二十四条规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
如何理解个人权益有重大影响的决定,什么算“重大影响”?个人信息保护法没有给出明确答案。张吉豫认为,一方面是对相应法律权利或者是法律效果有明确影响的,另一方面是对于个人的经济地位、社会地位以及长期评价等可能产生影响的,也可以包含在重大影响的范畴之内。
个人权益的范围则相对较宽,包括民法上的人格权、财产权,也包括消费者权益保护法等法律里的相应权利。
对于个人获得说明的权利,张吉豫认为,这一定程度上意味着确立了有限的“算法解释权”。在法律落实的过程中,相应的算法说明必须提供对决策有意义的信息,而不是简单的、泛泛的信息。
此外,她强调,想让个人真正获得一种拒绝自动化决策的权利,就要对该条款中“仅通过自动化决策的方式作出决定”进行恰当的解释。
可见,对个人“免受自动化决策权”的保障,未来落地的过程之中,需要进一步通过配套规则、司法活动和执法活动的开展落实。
张吉豫认为,企业利用个人信息进行自动化决策,应当进行个人信息影响评估。考虑是否属于信息推送、商业营销的情况,如果是,则应提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
对于必要进行自动化决策的情况,应考虑建立人工干预机制;决策情况分析和说明机制,说明综合考虑的要素、算法的大致类别;并且建立根据个人质疑,进行考察、反馈或改进的机制。
可见,对算法透明度和可解释性监管不断强化。中国人民公安大学法学院苏宇副教授指出,应区分算法的可解释性与算法透明度,算法可解释不等于算法透明,算法解释也不等于打开黑箱。应明确界定可解释性与透明度的概念,区分优化算法可解释性与透明度的义务,并且推进层次化、场景化的具体制度设计。
此外,苏宇认为,应明确优化算法可解释性、透明度义务与算法解释请求权的关系。在履行上述义务时,通过在技术标准层面设置面向不同场景的多元化可选规则,是一种兼顾精准性、原则性与灵活性的制度安排。
平台监管层层加码
将算法服务作为核心商业模式的平台,在算法应用中应承担哪些责任?
以推荐算法为例,其应用引起了各国的关注。近期,Facebook利用仇恨算法牟利等事件引发关注。美国众议院能源和商业委员会提出法案,拟修改《通讯规范法案》第230条平台责任豁免条款,以避免个性化推荐对公民权利造成危害。
中国信通院互联网法律研究中心研究员程莹指出,过去,美国出于促进互联网发展的考虑,在《通讯规范法案》第230条中规定平台对用户创作的内容不承担责任。但由于平台与用户权利、重要基础设施等关联日益密切,美欧在规制中都有加重平台责任的趋势。
她解释称,早期平台是一个通道的角色,作为市场经营者,将信息从内容的提供者传输到用户,是一个中立的身份。但现在数据已经成为一种生产要素,如果把数据比作农作物的话,那平台就是农作物加工厂,通过对数据的加工、提炼出结构化的数据库,进而反向对内容提供者、用户进行信息控制。
程莹指出,我们每天在手机上浏览新闻、购物等,都可以视为一种数字劳动。在这个过程中平台可以对用户行为加以控制,同时平台逐步具备了对社会生产资源调配能力,尤其是一些巨型平台,掌握着一些数据中心、人工智能中心、云计算等硬件基础设施。所以应重新认识平台的角色。
她表示,我国平台责任从早期简单的发现报告义务,转变为包括事前阶段的账号管理、算法审查,事中阶段的算法模型干预、用户标签管理等,事后阶段的社会责任报告、投诉处理等。
对于社会关注的信息茧房、操纵热搜、个性化广告、个性化定价等问题,《个人信息保护法》与《互联网信息服务算法推荐管理规定(征求意见稿)》都有回应。
《互联网信息服务算法推荐管理规定(征求意见稿)》中明确,算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息内容,不得设置歧视性或者偏见性用户标签。
并且,用户认为算法推荐服务提供者应用算法对其权益造成重大影响的,有权要求算法推荐服务提供者予以说明并采取相应改进或者补救措施。
程莹认为,我国的平台算法监管呈现出技术规制、远距离监管、多元治理等特点。未来在为平台算法责任设置过程中,需要进一步研究平台责任的界限问题、平台分类分级规制的落地问题以及规制的成本收益等问题,以更好推动我国算法治理的落地实效。
刑法规制算法仍有许多难点
今年8月,某一青年企业家因为驾驶智能汽车,启用自动驾驶功能后,不幸车祸离世。算法驱动下的人工智能产品的刑事责任也逐渐成为关注焦点。
算法的危害已在实践中出现,对算法进行刑法规制是必要的未雨绸缪。
不过,中国政法大学刑事司法学院副教授李怀胜强调,刑法不应对算法安全风险过度反应,更应避免对算法安全风险的提前介入,以防止对科技创新能力的扼杀。刑法不应规制作为开发者竞争优势的算法权利,而应规制面向公共利益算法的安全风险。
而且,刑法对算法的约束在具体规则层面仍存在很多难点。李怀胜表示,算法缺陷难以被评价为刑法中的产品责任。在当下的分工协作机制下,算法提供者和最终的产品提供者并不是一个主体,算法是否能等同一种产品,在刑法解释论上存在很大的疑问。
此外,他指出,按照产品责任犯罪追究算法缺陷的前提是明确合格的算法是什么,按照罪刑法定原则,必须给算法制造者提供一个非常明确的标准,明确罪与非罪、责与非责的边界。但是,目前我国关于算法的国家标准、行业标准仍非常模糊。因而,算法滥用与损害结果之间也难以被认定为刑法层面的因果关系。
李怀胜建议,首先,应该对现有规范查漏补缺,完善罪名体系。“可以不直接规制人工智能犯罪,但是应该规制作为人工智能算法基础的数据滥用。”
其次,完善算法安全风险的平台监管,明确算法安全监管的不作为犯罪,充分激活拒不履行安全管理义务罪。
最后,李怀胜认为可以借助刑事合规制度的理念,建立算法合规的刑罚体系。他表示,算法合规可视为算法解释权在刑法层面的延伸,能够解决技术创新和损害规则之间的平衡,在价值导向中兼顾算法的不同类型风险。