2021年8月27日,国家网信办于发布了针对互联网信息服务算法推荐的专门管理规范《互联网信息服务算法推荐管理规定(征求意见稿)》(“《征求意见稿》”)并公开征求意见(对《征求意见稿》的解读详见团队文章《积跬步,至千里——算法治理之互联网信息服务算法推荐管理》)。2022年1月4日,在结束征求意见三个月后,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(“《规定》”),对互联网信息服务算法推荐活动进行全面规范,以促进互联网信息服务健康发展。《规定》将自2022年3月1日起施行。
继《个人信息保护法》《数据安全法》等法律法规概括性地从数据新技术的开发应用、自动化决策等角度进行规范[1]后,2021年9月17日,国家互联网信息办公室联合中央宣传部、教育部、科学技术部、工业和信息化部、公安部、文化和旅游部、国家市场监督管理总局和国家广播电视总局联合发布《关于加强互联网信息服务算法综合治理的指导意见》(“《指导意见》”),首次在规范层面明确“算法治理”的概念并提出系统性、全面性的规范要求,标志着我国正式进入“算法合规”的新时代。
《指导意见》提出我国将利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局,并以此为基础明确提出算法治理的十五个主要目标。本次《规定》从监管内容、监管方式等多角度对该等目标进行了贯彻和落实。在《指导意见》的监管态度与规范思路下,《规定》以互联网信息服务算法推荐活动为切入点,从信息服务规范、用户权益保护、监督管理、法律责任等角度首次针对算法推荐应用提出具体规范要求。本文将结合《指导意见》的监管思路对《规定》的重点内容进行梳理和解读,从《规定》相比《征求意见稿》的修订内容分析监管趋势,并为企业提示初步合规建议。
一、《规定》重点内容梳理与解析
《指导意见》中关于算法治理的十五个主要目标在《规定》中均有体现,我们梳理出企业需要重点关注的落地规则,供大家参考。
1. 明确企业主体责任
对于“算法致损应由谁负责”这一问题,《指导意见》给予了明确答复,要求企业应强化责任意识,对算法应用产生的结果负主体责任。《规定》在此基础上进一步明确算法推荐服务的责任主体为在中国境内利用算法推荐技术(包括生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法,对该等算法含义的解读详见团队文章《积跬步,至千里——算法治理之互联网信息服务算法推荐管理》)提供互联网信息服务的算法推荐服务提供者。
关于责任内容,《指导意见》明确企业应建立算法安全责任制度和科技伦理审查制度,《规定》在第七条、第八条、第九条对该等制度提出了进一步的细化要求。
企业主体责任 |
具体责任内容 |
算法安全责任制度 |
建立健全相关管理制度和技术措施,包括: 1) 算法机制机理审核; 2) 信息发布审核; 3) 反电信网络诈骗; 4) 数据安全和个人信息保护; 5) 算法安全评估监测; 6) 安全事件应急处置。 |
加强信息安全管理,建立健全违法信息和不良信息识别与应对机制,具体而言包括: 1) 违法信息:
2) 不良信息:
|
|
科技伦理审查制度 |
建立健全科技伦理审查制度,科技伦理审查制度内容包括: 1) 算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等; 2) 不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。 |
2. 算法安全风险监测
鉴于算法的应用结果与输入数据、训练模型、应用场景等具有较高关联,《指导意见》明确企业应当对算法的数据使用、应用场景、影响效果等开展日常监测工作,以提前感知算法应用可能存在的安全隐患及伦理问题。《规定》对日常监测的要求进行细化,要求算法推荐服务提供者定期对算法的机制机理、模型、数据和应用结果等进行审核、评估和验证。我们理解,根据《规定》的立法目的,企业应对该等算法的审核、评估和验证应当以算法的鲁棒性、公平性、透明程度以及数据使用的最小必要等方面作为评价维度。
3. 推动算法公开透明
结合《指导意见》与《规定》的相关要求,我们理解整体而言可以从以下三个维度提高算法应用的透明度:
1) 在算法的设计与开发阶段,通过使用透明度较高的算法模型、简化算法逻辑等方式优化检索、排序、选择、推送、展示等规则的透明度和可解释性;
2) 在算法的使用阶段,及时、合理、有效地公开算法基本原理、优化目标、决策标准等信息,具体而言可以通过显著方式告知用户算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图、主要运行机制等;
3) 在算法的使用阶段,设立投诉申请与意见反馈机制,为公众或个人提供算法解释与意见响应的渠道,以提高公众对算法的接受程度。
4. 积极开展算法安全评估
《指导意见》要求企业组织建立专业技术评估队伍以深入分析算法的机制机理,并从算法的设计、部署和使用等全生命周期应用环节评估缺陷和漏洞,研判算法应用产生的意识形态、社会公平、道德伦理等安全风险,提出针对性应对措施。针对这一要求,《规定》除在第七条、第八条要求对算法进行安全评估监测并定期评估算法机制机理、模型、数据和应用结果之外,还对具有舆论属性或者社会动员能力的算法推荐服务提供者提出了算法安全评估的特殊要求,明确其应当按照国家有关规定开展安全评估。此外,鉴于该等算法推荐服务提供者应当履行备案的义务,在其填报备案系统信息时需提交算法自评估报告,我们理解该等算法推荐服务提供者需履行相应算法自评估的义务。
5. 算法分级分类体系及算法备案制度
《指导意见》中明确国家将建立算法备案制度并有序地推进算法备案的相关工作,以梳理算法备案的基本情况,并在此基础上健全算法分级分类体系。《规定》在第二十四条、二十五条、二十六条对算法备案制度进行明确。具体内容包括如下:
1) 备案主体的范围:具有舆论属性或者社会动员能力的算法推荐服务提供者;
2) 备案需填报信息:服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息;
3) 备案方式:通过互联网信息服务算法备案系统填报;
4) 备案时间:在提供服务之日起十个工作日内;
5) 备案公示:完成备案后应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。
6) 备案变更:备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续;
7) 备案注销:算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。
同时,《规定》也在第二十三条对算法的分级分类制度进行进一步明确,对算法进行分级分类的影响因素包括但不限于如下:
1) 舆论属性或者社会动员能力,我们理解包括例如人脸识别算法;
2) 内容类别;
3) 用户规模;
4) 算法推荐技术处理的数据重要程度,我们理解对此因素的判断可以参考企业现有的数据分级分类方法与标准,通常包括个人信息、敏感个人信息、生物识别信息、重要数据等维度;
5) 对用户行为的干预程度。
6. 充分保障网民合法权益
《规定》以专章的形式对用户权益保护提出要求,并结合《个人信息保护法》等相关法律法规的要求,对算法推荐服务提供者设定义务,主要包括如下内容:
1) 标签管理:
a) 加强企业自有的用户模型和用户标签管理:完善记入用户模型的兴趣点规则和用户标签管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息;
b) 为用户提供自主标签管理的渠道:向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能;
2) 提高算法应用的透明度:以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等;
3) 用户选择退出权:向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项;
4) 设置面向用户和公众的投诉反馈渠道:设置便捷有效的用户申诉和公众投诉、举报入口,明确处理流程和反馈时限,及时受理、处理并反馈处理结果;
5) 向特定人群提供服务的特殊要求:
a) 向未成年人提供服务的特殊要求:通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。此外,不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络;
b) 向老年人提供服务的特殊要求:充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置;
c) 向劳动者提供工作调度服务的特殊要求:保护劳动者取得劳动报酬、休息休假等合法权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法。
二、《规定》相比《征求意见稿》修订内容体现的监管趋势
《规定》相比《征求意见稿》并未进行大面积修订,在较大程度上延续了《征求意见稿》中的相关内容,但我们理解以下修订之处体现了相应的监管趋势:
1. 多部门联合执法
与《征求意见稿》中将国家互联网信息办公室(“网信办”)作为单一的主导监管部门不同,《规定》贯彻落实了《指导意见》中“强化统筹协同治理”的监管思路,规定由网信办会同工业和信息化部、公安部和国家市场监督管理总局联合负责统筹和监管。我们理解,上述部门一方面在监管中多领域、多方面的协同合作,另一方面也加入了技术支持以作为技术审查的支撑,同时具备了实质的强制执行力,因此我们理解多部门的合作体现了算法治理中技术与规范并行、下沉式、严格化的监管趋势。
2. 强调科技伦理审查
相比《征求意见稿》,《规定》在多处通过添加或修改表述的方式强调算法的科技伦理审查,体现了监管针对“技术中立”性以外的思考。换言之,算法并不因为其天然的技术属性而不具有价值谴责的可能性。根据相关法律法规及国际监管现状,我们理解在算法推荐的场景下常见的科技伦理审查维度包括内容向善、公平公正、透明公开、科学合理、可信等。对算法进行评估或日常监测以审查其科技伦理将成为算法合规的重要内容。
3. 向老年人提供服务的特殊要求
相比《征求意见稿》,《规定》首次针对向老年人提供服务的场景提出特殊要求。我们理解,在专门针对老年人提供特定适老性服务或产品的情况下,鉴于该服务或产品主要的受众群体为老年人,因此企业仅需在该服务和产品的研发、设计和使用阶段将上述关于老年人的特殊要求进行贯彻即可。但在一般场景下,某一服务或产品可能并非专门针对老年人设计和研发,因此为履行相关义务,企业可能需要识别所使用服务或产品的用户是否为老年人。如何在合法合规的前提下达到该识别目的可能需要进一步探讨。
三、企业需要重点履行的合规义务
《指导意见》与《规定》的相继出台与生效标志着我国正式进入算法治理的新时代,算法也逐渐成为监管所关注的执法焦点之一。基于此,涉及算法研发、设计和使用的企业需根据监管要求逐步建立并完善算法合规制度和体系。在现阶段,我们理解企业应当采取的措施包括但不限于如下方面:
1. 指定算法合规管理机构负责企业的算法合规管理工作;
2. 建立健全算法合规内部制度,包括算法机制机理梳理与审核、用户注册审核、信息发布审核、反电信网络诈骗等。其中应重点关注算法安全评估监测,通过定期测试并评估算法的鲁棒性、透明程度、公平程度等监测算法的潜在风险;
3. 梳理企业内部涉及算法推荐服务的核心业务以及所使用的核心算法,包括其所使用的数据类型及敏感程度、算法模型(例如是基于规则的逻辑推理模型还是机器学习模型等)、舆论属性或者社会动员能力、所涉及的用户规模、对用户行为的干预程度等,并在此基础上进行初步分级分类;
4. 基于上述梳理,重点关注其中具有舆论属性或者社会动员能力的算法,并梳理其服务形式、应用领域、算法类型、拟公示内容等信息,并形成初步的算法自评估报告, 以供后续备案使用。
5. 对于核心业务所使用的核心算法,梳理其基本原理、目的意图和主要运行机制,并在官网、App交互界面等位置进行公示。对于使用机器学习模型等较为复杂的算法模型,我们理解可以尽可能告知算法设计的基本思路(包括设计目的及设计逻辑)、对该算法输出结果会产生影响的因素等。
6.建立用户及公众提出异议和进行投诉的渠道并设置相应的反馈机制。例如通过公示算法咨询的热线电话、邮件或通过客服交互界面等方式为用户提供咨询或投诉渠道,并设置内部的话术模板、反馈机制(如由哪些部分负责协调与支持,以及在何种情况下需要相关部门介入等)、反馈期限等。
“算法”已从最初的概念宣传逐步发展至生活中方方面面的应用和实践,渗透到每一个领域和场景之中,对我们的生产生活产生巨大影响。监管部门在规制数据的基础上逐步开始关注算法应用,是法律拥抱技术变革的重要体现,也是保障技术健康有序发展的必要措施。“算法合规”的时代已经到来,我们有理由相信监管与企业及各方将共同努力,持续助力算法新时代的建设与发展。
感谢实习生张子谦对本文做出的贡献。
例如,《数据安全法》第二十八条规定,开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。