2021年8月20日通过的《中华人民共和国个人信息保护法》(以下简称《个保法》)第24条第2款规定:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”该条将个性化推荐算法纳入法律的规范射程内,积极回应算法推荐带来的问题和挑战,值得肯定。不过,该条的规定过于简单,无力全面规范个性化推荐活动。为了搭建更为全面的算法治理框架,2021年12月31日,国家互联网信息办公室等四部门联合发布《互联网信息服务算法推荐管理规定》(以下简称《算法推荐管理规定》),该规定已于2022年3月1日生效。《算法推荐管理规定》意图加强对算法风险的全流程监管,创设算法规范的中国方案。然而,该规定创设的算法规范方案以行政机关的直接管制为主,大量规范缺乏执行保障,一些具体规范的设计也有进一步权衡的必要。算法规范的设计离不开对算法风险的理性认识和对规制框架的体系性思考。如果没有一个清晰的规范思路,我们只能回应性地设立规则,不同算法规范之间的冲突将难以避免。
囿于篇幅,本文无意详细讨论规范个性化推荐算法的诸多规则,而是试图在厘清个性化推荐算法引发的系统性风险的基础上,从更宏观的角度思考个性化推荐算法的多维度治理框架。依据规范对象与规范内容的不同,对个性化推荐算法的规范至少应当从三个维度展开:个人自治之维力图平衡算法使用人与算法相对方之间的力量关系,强调增强个人的自我管理能力;行为规范之维是针对算法设计的规范维度,尤其作用于个人自治失效的场景,强调通过直接规范算法研发,在算法设计层面保护算法相对人的意思形成自由与人格成长自由;主体规范之维着眼于算法应用依赖的数字生态系统,强调通过为平台赋权,实现对个性化推荐算法的外部监管。这三个维度之间存在内在关联:个人自治是规范的起点,行为规范弥补个人自治之不足,主体规范之维则是个人自治之维、行为规范之维顺利展开的必要保障。我们只有充分调动不同维度的力量,协同规范个性化推荐算法,才能实现算法良治的目标。
一、问题意识:日渐迫切的规范需求与法律规则的不敷应用
有观点认为,个性化推荐本质上是一种基于算法的正常商业活动,平台在收集用户行为信息的基础上,可以为用户提供更好的服务,使广告公司能够进行更为有效的营销,减少商家与消费者之间的信息不对称。鉴于个性化推荐算法并不会直接影响用户的法律状态或其他类似状态,立法应当保持谦抑,给予个性化推荐算法充分的应用空间。
(一)私法自治虚无化
个性化推荐算法会影响用户的自主决定自由。经济学家Richard Thaler与法律学者Cass Sunstein在2008年共同提出了“轻推”(Nudge)概念,其意指在不妨碍人们自由选择的前提下,鼓励或诱导人们作出决策,引导人们选择特定的选项。例如,当人们在自助餐厅用餐时,会更倾向于选择放在附近的食物。
面对这一挑战,《民法典》规定的意思表示瑕疵制度却无力救济被操纵的用户。兹以欺诈与重大误解制度为例说明之。
其一,个性化推荐未必具备欺诈制度要求的违法性。个性化推荐算法运用“超轻推”方法影响用户意思的形成,这看似符合《民法典》第148条规定的“运用欺诈手段,使得对方违背真实意思”,但是,欺诈制度并非适用于一切干扰意思形成的行为,而是仅针对具有违法性的行为。在生活中,我们需要“善意的谎言”。例如,行为人为了实现善意赠与的目的,谎称新购的商品为二手货,价格低廉;为了使得孤儿能够得到抚养,谎称自己是对方的生父。虽然行为人故意干扰了相对方意思的形成,但是,我们不能将上述行为视为欺诈。同时,欺诈有时也是一种自我保护的手段。比如,针对雇主关于感情经历、怀孕状况、宗教信仰和财产状况等信息的询问,应聘者是可以撒谎的,只要这些问题不是工作性质要求的。此时,欺诈就不具备违法性。虽然个性化推荐算法有诱导个人意思形成的问题,但是,个性化推荐算法也能满足个人的需求,因此,现行法没有禁止个性化推荐算法的应用。如果个性化推荐活动并不具备违法性,就难以被认定为民事欺诈。
其二,重大误解制度并不规范因个性化推荐产生的动机错误。在长期的、精准的算法推荐之下,消费者会认为某种产品或服务对自己有益,进而长期沉溺在特定的消费中。不过,消费者的这种认知并不能被理解为构成《民法典》第147条意义上的“重大误解”。个性化推荐影响意思的形成,意思形成错误属于动机错误。法律行为的效力与动机无关,动机错误自然不属于效力瑕疵事由。一般认为,仅在人的资格、物的性质等被错误理解的例外情况下,动机错误才受到法律的规制。
(二)未成年人保护碎片化
算法对我们的行为、习惯和观点的影响可能在青少年阶段就已经开始。挪威消费者委员会在2016年进行的调查表明,平台处理未成年人信息的行为将会影响未成年人观点的形成和自身发展,因为平台依据性别、既往兴趣或在线行为对未成年人进行“数字画像”,并向未成年人“个性化地推荐信息或商品”。
尤其值得关注的是网络游戏对未成年人的影响。网络游戏的设计本就以“好玩”为目标,许多网络游戏开发者并未进行防沉迷设计。游戏开发者通过收集儿童信息以提供更有吸引力的游戏,使得“网瘾”成为重大的社会问题。
《2020年全国未成年人互联网使用情况研究报告》显示,我国的未成年网民规模达到1.83 亿,未成年人的互联网普及率达到94.9%。
(三)“过滤泡泡”“信息茧房”与“回音室”效应
在互联网的早期发展阶段,人们普遍认为,信息的高效流动可以照顾到不同群体的个性化偏好,促进多元文明的相互交流。随着互联网的发展,尤其是在门户媒体出现后,文化一直在朝着互相融合的方向演进。当人们主动寻求群体认同和文化认同时,会不断接触新的信息和价值观,逐渐形成一种开放的价值系统。然而,随着海量信息的出现,信息噪音杂乱,人们需要对信息进行一定程度的筛选,才能找到自己感兴趣的信息。个性化推荐算法本质上是一种信息自动过滤和分发工具。不过,当算法主动将人分类并高效率地推送趋同内容时,人们被包裹在自己感兴趣的领域内,大量接触的是自己过去认同的观点和感兴趣的书籍、影视作品等。由于与个人意见不同的声音已经被过滤,因此,个性化推荐算法被戏称为“过滤泡泡”(Filter Bubble)。
当新闻媒体使用个性化推荐算法时,问题会变得更为严重。中国互联网络信息中心(CNNIC)发布的《2016年中国互联网新闻市场研究报告》显示,算法分发逐渐超越编辑分发,成为网络新闻主要的分发方式。
监管部门已经认识到问题的严重性。为加强互联网信息内容管理,促进互联网新闻信息服务健康有序发展,国家互联网信息办公室于2007年发布《互联网新闻信息服务管理规定》。然而,该规定侧重管控互联网新闻信息服务平台的资质,要求相应平台取得服务许可,并未触及算法设计和运行层面。2020年12月中共中央印发的《法治社会建设实施纲要(2020—2025年)》明确提出,要制定完善对算法推荐、深度伪造等新技术应用的规范管理办法。2021年8月中共中央宣传部、文化和旅游部等五部门联合印发的《关于加强新时代文艺评论工作的指导意见》也明确指出,“加强网络算法研究和引导,开展网络算法推荐综合治理”。遗憾的是,上述文件仅仅表明了规范欲望,并没有清晰地指出规范策略。治理框架的阙如一方面反映了问题的复杂性,另一方面使得个性化推荐算法研究成为一项重要的理论课题和实践任务。
二、个人自治:《个人信息保护法》确立的权利义务框架
个性化推荐算法本质上是一种个人信息处理方式,个性化推荐属于一种个人信息处理活动。确切地说,个性化推荐是发生在个人信息处理者与个人之间的(往往是大规模的、自动化的)个人信息处理活动,而个人信息处理者与个人在信息、技术、经济等方面的能力通常是不对称的,算法使用人与算法相对人的力量关系并不对等。一种合逻辑的规范思路便是,强化算法使用人的义务与算法相对人的权利,平衡双方的力量关系,以此捍卫个人的选择自由。《个保法》第24条第2款规定了针对个性化推荐算法的算法应用拒绝权,与此同时,我们可以从《个保法》第17条第1款中推导出个性化推荐算法使用人的算法告知义务。算法告知义务重在保障个人的知情权。算法应用拒绝权则与同意撤回规则不同,不能被后者替代。借助权利义务制度,《个保法》创设了规范个性化推荐算法的个人自治之维。
(一)保障个人知情权的算法告知义务
如果算法相对人了解个性化推荐算法,那么,算法相对人便拥有自我剖析、自我克制的可能,个人自治就有可能实现。然而,算法的书写甚至阅读都是一项专业技能。对普通民众而言,算法是另外一种语言。如果没有算法使用人的帮助,普通人将无法理解算法。根据《个保法》第17条第1款第2项的规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言,真实、准确、完整地告知个人信息的处理目的、处理方式。鉴于个性化推荐算法属于一种处理个人信息的方式,个人信息处理者负有向算法相对人告知算法基本情况的义务。
为了具体化算法告知义务,《算法推荐管理规定》第16条进一步规定,算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图、运行机制等。《算法推荐管理规定》明确了算法披露的具体内容,有利于指导算法实践。然而,对《算法推荐管理规定》第16条的适用不能过于僵化。一方面,算法使用人并非必须严格按照《算法推荐管理规定》第16条进行说明,法律应当允许算法使用人提出适当的抗辩;另一方面,《个保法》第17条第1款第2项规定的告知义务并非仅限于《算法推荐管理规定》第16条的规定,《算法推荐管理规定》第16条并非是对告知义务的封闭式列举。
首先,算法告知义务不排斥算法使用人以保护知识产权为由提出抗辩。对算法推荐服务的基本原理、运行机制等信息的披露不能侵犯算法使用人的知识产权。欧盟《通用数据保护条例》(General Data Protection Regulation, 以下简称《欧盟条例》)序言第63条强调,对知情权的行使不能损害企业的商业秘密和其他知识产权,特别是不能损害软件的著作权。德国联邦最高法院明确指出,数据主体不得请求披露权重、评分公式、统计值和参考组的信息等,因为这会触及企业的商业秘密,而且披露企业的商业秘密明显不符合立法目的。
其次,算法告知义务并非仅限于《算法推荐管理规定》的规定,至少还应当包括告知算法相对人对其可能造成的影响。虽然《算法推荐管理规定》第16条列举了告知义务的内容,但是,这并不意味着,告知义务的内容仅限于第16条的规定。算法规范的重点是确保算法相对人的知情权,奠定个人自治的基础。对于一个普通人而言,最需要获知的是算法处理对其可能造成的影响。《欧盟条例》第13条第2款第f项、第14条第2款第g项和第15条第1款第h项规定,个人信息控制者应当将算法的“相关逻辑的有意义信息,包括此类处理对于数据主体的重要意义和预期后果”告知个人信息主体。《欧盟条例》将告知重点明确为“对于数据主体的重要意义和预期后果”,值得借鉴。当然,如果算法使用人采取了专门的防范算法风险的设计,也应当一并告知算法相对人,因为上述设计会对算法相对人的意思形成自由产生影响。
(二)强化个人决定权的算法应用拒绝权
当算法相对人知悉个性化推荐算法可能带来的影响后,算法相对人应有权拒绝算法处理个人信息。算法应用拒绝权是知情权的逻辑必然。当个人得知商家使用“超轻推”影响自己的消费欲望与消费选择后,应当有权决定是否拒绝商家从事这种行为。当平台“投其所好”地推送信息时,个人也应当能够通过行使拒绝权来确保自身信息来源的多样性。《个保法》第24条第2款专门规定了针对个性化推荐算法的算法应用拒绝权,通过强化个人的决定权来实现个人自治。
1.个人有权拒绝个性化推荐算法处理个人信息
《个保法》第24条第2款与《电子商务法》《广告法》的相关条款高度类似。《电子商务法》和《广告法》仅规定了消费者拒绝广告推送的权利,而没有规定消费者拒绝算法处理个人信息的权利。《电子商务法》第18条第1款要求电子商务经营者在提供搜索结果时,必须提供另外一个选项,该选项所展示的结果是不针对个人特征的自然搜索结果,也就是说,任何人在进行搜索时都能得到相同的结果;第2款则通过转介条款要求电子商务经营者遵守《广告法》的相关规定,尤其是《广告法》第43条、第44条的规定。《广告法》第43条、第44条确立了消费者的广告拒绝权。《广告法》第43条第2款规定,“以电子信息方式发送广告的,应当明示发送者的真实身份和联系方式,并向接收者提供拒绝继续接收的方式”。《广告法》第44条第2款也规定,“在互联网页面以弹出等形式发布的广告,应当显著标明关闭标志,确保一键关闭”。《个保法》第24条第2款的规定与《广告法》的相关条款基本一致。由是观之,该款的法效果似为拒绝接受广告而非拒绝算法处理个人信息。
然而,算法规范的目标并非在于使得用户免受广告的骚扰,而在于要求商家不得收集、分析用户的数据。《个保法》第24条第2款的目的在于确定算法应用拒绝权。首先,相较于广告拒绝权,算法应用拒绝权使得用户能够免受算法的控制,消除自身被记录、分析的“恐惧”,这是广告拒绝权不具备的权能。在“中国Cookie第一案”中,原告朱某就主张,百度网讯公司“利用网络技术,未经朱某的知情和选择,记录和跟踪了朱某所搜索的关键词,将朱某的兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对朱某浏览的网页进行广告投放,侵害了朱某的隐私权,使朱某感到恐惧”。
2.算法应用拒绝权不能被同意撤回规则替代
算法应用拒绝权既然是对“个人信息处理方式”的拒绝,个人信息主体似乎可以借助同意撤回规则拒绝算法的应用。根据《个保法》第15条第1款,个人可以随时撤回对处理个人信息的同意。一旦个人信息主体撤回对应用个性化推荐算法的同意,个人信息处理者似乎就无法继续使用个性化推荐算法,设立算法应用拒绝权似乎有“叠床架屋”的嫌疑。其实不然,算法应用拒绝权能够进一步增强个人的控制力,防止个人信息处理合法性规则的宽泛性导致个人沦为自动化处理的牺牲品。
“知情同意规则”是个人信息处理中最重要的、最基础的合法性规则。
拒绝权是对同意规则的必要补充。数据治理既需要“入口规则”,也需要“出口规则”。即便对个人信息的处理已经有合法性依据,也不意味着个人丧失了决定权。《个保法》为了实现个人信息保护和数据流通之间的平衡,扩宽了“入口”,将个人信息处理的合法性事由扩张至七项,个人的知情同意仅为正当性事由之一。不过,为了保护个人对自己信息的自主控制,实现个人自治,哪怕个人信息处理者具备处理个人信息的合法性事由,个人仍然可以在特定情形下获得“出口”。《个保法》第44条规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。我国的司法实践也开始重视拒绝权的意义。在苏州贝尔塔数据技术有限公司与伊日克斯庆一般人格权纠纷案中,苏州市中级人民法院就认为,虽然被告转载中国裁判文书网上合法公开的判决书,提供商业查询服务的做法本身并不违法,但是,在原告明确表示反对后,被告即有义务停止处理原告的个人信息。“被告的转载行为有悖于原告对已公开信息进行传播控制的意思表示,违反了合法性、正当性和必要性原则,因此侵犯了原告的个人信息权益。”
作为拒绝权的一种,算法应用拒绝权同样适用于不需要个人同意的个性化推荐活动,其能够有效强化个人的控制力。即便算法使用人是基于同意以外的其他合法性事由处理用户的个人信息,用户仍然可以行使算法应用拒绝权。一旦个人行使该权利,算法使用人必须停止使用个性化推荐算法处理个人数据。作为“出口规则”,算法应用拒绝权能够避免法秩序因扩宽“入口”而给个人自治带来的危机。因此,算法应用拒绝权和同意撤回规则之间并非替代关系,前者可以补强后者,二者协力捍卫个人自治。
一言以蔽之,《个保法》与《算法推荐管理规定》通过强化算法使用人的义务与算法相对人的权利,打造规范个性化推荐算法的权利义务框架,形成我国规范个性化推荐算法的个人自治之维。
三、行为规范:对权利模式的必要补充
基于个人自我管理这一认知,《个保法》采取权利义务模式规范个性化推荐算法。然而,在一些场景之中,个人并不能有效地识别风险和控制风险,法律需要采纳行为规范模式,以补充个人自治模式的不足。
我国学者已经指出,在个人信息保护规范语境之中,我国采用的是“自然人关于个人信息的权利+个人信息处理者的义务+处理行为规范”的复杂架构。例如,《个保法》第24条第2款采取权利义务模式,而第1款则采用行为规范模式,规定利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
(一)特殊场景下个人自治的困境
《个保法》意图通过权利义务模式增强个人的自治能力,然而,知情权与决定权的实现都依赖于个人基本的判断能力与决定能力。在一些场景中,强调个人自治可能等同于放任不管,我们应当采取其他的规范策略弥补个人自治模式的不足。囿于篇幅,本文无法一一列举各种场景。考虑到个性化推荐引起的未成年人保护问题与“过滤泡泡”“回音室”效应问题极为突出,本文就以当下颇受关注的这两个场景为例说明之。
首先,未成年人未必具备权衡算法利弊的认知能力与决定能力。未成年人极易被擅长“超轻推”的应用程序引诱,保持点击、滑动、点赞,并且花费越来越多的时间在线。由于心智尚在成长阶段,未成年人容易被新鲜事物吸引,而且对陌生事物缺乏足够的警惕性。
其次,算法精准分发新闻,将个人包裹在自己感兴趣的领域内,个人很难理性地拒绝这种“投其所好”的行为。如果长期生活在封闭的信息环境中,个人会越来越沉溺于自己的“回音”,即使是成年人都难以自拔。更何况,大众心理学的相关研究已经表明,人们更容易受到媒体、广泛转发的消息的影响,人们甚至会放弃自己最初的态度,修正自己的不同观点。
(二)针对算法设计的行为规范模式
在未成年人保护、新闻推送等特殊场景中,个人自治模式根本没有开展的余地。算法工程师应在设计阶段就将保护的需求纳入程序之中。
1.未成年人保护
一种简单的规范方式是,禁止个性化推荐算法处理未成年人的个人信息。2020年,英国信息委员会办公室就曾建议原则上默示排除对儿童的“数字画像”。
首先,在没有实名验证身份与年龄的情况下,算法工程师应当将个性化推荐算法设置为关闭状态。算法使用人在关联手机号、其他账号的过程中,可以验证用户的身份与年龄。如果这些信息未能得到有效验证,个性化推荐算法应处于关闭状态。《个保法》第31条第1款将未成年人的同意年龄设定为14周岁。根据该条第2款,个人信息处理者处理14周岁以下的未成年人的个人信息,应当同时征得未成年人监护人的同意。因此,数据企业应当首先核实未成年人的年龄。不过,数据企业可能没有能力查验未成年人的年龄。《个保法》(一次审议稿)将征得监护人同意的适用场景限定在个人信息处理者“知道或应当知道”的情况,但是,《个人信息保护法》(二次审议稿)第15条删除了这一限定。正式通过的《个保法》延续了二次审议稿的设计,仅是调整了法条位置,将之挪到第31条第1款。立法者删除“知道或应当知道”的适用限制,明确将风险分配给个人信息处理者,个人信息处理者负有核实未成年人身份的义务。个人信息处理者不能以不知道未成年人的年龄为由,未经其监护人的同意处理未成年人的个人信息。如果无法确定用户是否年满14周岁,而且如果未获得未成年人监护人的同意,那么,个人信息处理者就不能处理个人信息。个性化推荐算法是一种个人信息处理方式,个性化推荐是一种个人信息处理活动。因此,在未核实用户年龄并且未取得其监护人同意的情况下,个性化推荐功能应默认不开启。
其次,算法工程师应当通过未成年人模式、敏感文本过滤等方式,防止推荐的信息有损未成年人的身心健康。在未成年人年满14周岁后,算法的不良影响将更为明显,因为此时未成年人大多开始拥有智能手机和其他互联网设备,成为独立的互联网用户,并在社交媒体平台上创建档案。相较于14周岁以下的儿童,14周岁以上的未成年人接触网络的频率更高,受网络影响的可能性也更大。有鉴于此,《算法推荐管理规定》第18条第1款要求算法使用人开发适合未成年人使用的模式,提供适合未成年人特点的服务。算法使用人应当提供未成年人模式,防止个性化推荐算法影响未成年人健全人格的形成。除此之外,算法使用人还应当采用算法风险评估、敏感文本过滤和报告,以及一定程度的人工审核等方式,防止个性化推荐算法对未成年人产生不利影响。
最后,算法工程师应当将“防沉迷”的目标融入算法设计之中。《算法推荐管理规定》第18条第2款仅规定,算法服务提供者不得利用算法推荐服务诱导未成年人沉迷网络,并未明确要求算法设计者主动承担防沉迷的义务,有所不足。算法设计者可以通过设置游戏、视频过程中的强制休息机制,禁止未成年人模式中的视频自动播放,限制游戏中的每日登陆奖励等方式,避免未成年人沉迷网络,帮助未成年人养成良好的生活习惯。
2.新闻推送
新闻类商业平台一旦采用自动推荐算法推荐“头条新闻”,我们将很难期待个人能够抗拒诱惑,抵制平台的“投其所好”,与此同时,个人也没有能力鉴定假新闻。因此,新闻个性化推荐算法使用人应当承担更多的义务。本文认为,算法使用人应将法律目的融入技术体系之中。
首先,新闻个性化推荐算法自设计之初就应当注意推荐多样化的资讯。多样性意味着读者能够从具有不同观点的各种来源收集有关事件的信息,以便自己能够作出平衡的和深思熟虑的决定。以往的新闻推送以事件本身是否重要为判断依据,算法分发却强调新闻对具体的个人是否重要,这使得新闻在传播过程中会出现“回音室效应”“信息茧房”“网络巴尔干化”等不良现象,导致人们沉浸在自己偏好的信息世界中,造成公众意识形态严重分化和网络群体极化。
其次,算法工程师在设计算法之初就应当避免过滤重要新闻。以今日头条为代表的资讯分发平台自身并不产生新闻,而是扮演搬运工的角色,分析出读者的阅读偏向,向用户推荐个性化的新闻资讯。如果资讯分发平台仅仅依据流量分发新闻,重要新闻事件可能被明星娱乐新闻、“八卦新闻”等信息淹没。有鉴于此,《互联网新闻信息服务管理规定》第15条规定:“互联网新闻信息服务提供者转载新闻信息,应当转载中央新闻单位或省、自治区、直辖市直属新闻单位等国家规定范围内的单位发布的新闻信息,注明新闻信息来源、原作者、原标题、编辑真实姓名等,不得歪曲、篡改标题原意和新闻信息内容,并保证新闻信息来源可追溯。”重要新闻的分发不应当适用个性化推荐算法,资讯分发平台应当强制性地在“推荐”一栏中置顶重要新闻。
最后,算法工程师应当将阻断假新闻传播列为设计目标。在互联网时代,社交媒体的大量运用导致“真实”和“谎言”并行传播,客观真相似乎不再重要,人们只愿意相信他们愿意相信的新闻。人类似乎已经进入“后真相时代”。
综上所述,在个人自我管理失灵的情况下,法秩序应当直接规范算法的设计,将法律的要求融入算法应用设计之中。通过直接规范算法设计,将保护需求纳入技术体系之中,这就是个性化推荐算法治理的行为规范之维。
四、主体规范:赋权平台监管算法活动的守门人规则
个人自治模式与行为规范模式的结合有利于规范个性化推荐活动。不过,对个性化推荐活动的规范还需要自上而下的监管。首先,在个人行使权利时,存在需要监管机关回应个人的投诉或举报的情形。如果个人在行使权利时未获得算法使用人的积极配合,个人可以向监管部门寻求帮助。根据《个保法》第61条第2项的规定,监管部门应当接受、处理与个人信息保护有关的投诉、举报。监管部门对个人诉求的回应是实现个人自治的必要保障。其次,针对算法设计的行为规范路径能否实现,完全依赖于及时有效的监管。在个人自治维度之中,个人可以提起民事诉讼。在行为规范维度之中,如果没有外部的检查和监督,我们根本无法判断算法设计者和算法使用者是否遵守了算法设计的合规性要求。《算法推荐管理规定》尝试通过赋权行政机关来规范算法活动。与之不同,《个保法》第58条创设“守门人规则”,借助对平台既赋权又施加监管的方式规制平台内的个人信息处理活动。借助平台规范算法活动的模式就是个性化推荐算法治理的主体规范之维。
(一)行政机关直接监管算法的局限性
《算法推荐管理规定》似乎采纳了行政机关直接监管算法的路径。根据该规定第28条第1款,网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作,并对发现的问题及时提出整改意见并限期整改。为了督促企业提供算法信息,该规定第24条还设立了特定条件下算法使用人的算法备案制度。据此,算法使用人应当提供算法自评估报告,帮助监管机关了解算法、评估风险。然而,让行政机关直接管理算法活动可能超越了行政机关的能力。在知识社区和业内其他平台不断涌现新算法、新应用的情况下,人力资源和时间成本有限的行政监管很可能鞭长莫及。各大平台上的应用程序众多。截至2021年12月末,在我国国内市场上监测到的APP数量为252万款。
(二)守门人规则确立的算法间接治理模式
《个保法》第58条规定“守门人规则”,要求超大型平台履行更为积极的信息安全义务,由此建立了有别于直接监管的间接治理模式。
“守门人”(Gatekeeper)这一概念最早由Kurt Lewin在1947年提出。Kurt Lewin指出,食物通过杂货店、超商到达餐桌上,在这个过程中,必然经过一道门,即家庭主妇决定哪些食物可以摆上餐桌。在某种意义上说,家庭主妇就是“守门人”。
通过要求平台经营者承担守门人职责,算法间接治理模式得以实现:国家管控平台经营者,平台经营者管控平台内的活动。间接治理模式可以更有效率地监管平台内的算法活动。作为控制着应用程序和运营环境的“守门人”,应用程序分发平台、移动终端操作系统、平台型APP等大型平台可以要求算法设计者和使用者提供详细的算法说明。这些平台可以定期检测平台内的算法活动,并且有能力直接控制平台内算法的功能。行政机关借助平台规范平台内的算法活动,能够有效发挥“卡脖子”效应,起到事半功倍的效果。
(三)平台应当尽最大努力规范个性化推荐活动
为平台赋权意味着平台经营者应当更积极主动地有所作为。长期以来,我们倾向于将“平台”(Platform)理解为“中介”(Intermediary),认为平台仅仅扮演提供经营场所、信息服务的消极角色。在旧有观念影响下,平台责任问题适用“避风港原则”:平台经营者只要在收到通知后采取删除、屏蔽、断开链接等必要措施,就不需要承担侵权责任。然而,在平台经济蓬勃发展的当下,平台正在成为最为强大的经济组织,避风港原则显得有些不合时宜。诞生于网络发展初期的避风港原则旨在鼓励互联网的发展。在当下,法律应当重视平台的组织属性,提升对平台经营者的义务要求。
《个保法》第58条第2款要求平台经营者制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。产品或者服务提供者使用个性化推荐算法处理个人信息的,同样应当接受平台经营者的监管。平台经营者应当努力优化平台内的个性化推荐算法。平台经营者可以在醒目位置提示使用个性化推荐算法的可能影响,并要求平台内的应用程序尽可能地改善阅读界面(如通过仪表盘模式展示算法参考因素),改善用户的阅读体验。平台经营者还可以在平台内部增加“一键关闭”个性化推荐的按钮或链接,改变用户不得不在各个应用程序中艰难寻找关闭选项的现象。在未成年人保护领域,平台经营者应当尽最大的努力保障平台内的应用程序所推荐的内容适合未成年人阅读或观看。平台经营者如果无法保证平台内的应用程序向未成年人推荐的内容符合法律要求,则应当采取强硬手段禁止其对未成年人进行个性化推荐,因为个性化推荐算法是在将特定内容“喂给”未成年人。平台经营者还应当采取有效措施,防止未成年人通过各种方式绕开平台设置的障碍,接触平台内经营者提供的不当资讯。
守门人规则还意味着平台经营者应当自证已经采取最大的努力规范平台内的算法活动。民事诉讼中的证明责任与刑事诉讼中的证明责任并不相同,因为整个国民经济建立在私法可安全实施且比较容易实施的基础上。
另外需要注意的是,守门人规则并非意味着平台要全面监控平台内的活动。在事实上,平台的权力还应受到一定程度的限制。在《个保法》第58条的立法过程中,已经有学者对该条第3项提出质疑,认为该项存在被滥用的风险。为了防止平台恣意处罚平台内的活动,立法者最终将该项的适用前提限定为“严重违反法律、行政法规”的行为。然而,在算法的加持之下,平台已经通过代码实现了平台自主权力的建构。在平台内,平台规则如同国家法律一样具有影响力与控制力。即便用户对平台规则不满,也只能被动地接受。
结语:多维度的算法治理
我们已经跨入与以往不同的新时代,个性化推荐算法只是这个逐渐展开的、崭新的宏大时代的一个小小的剪影。从这个剪影中,我们足以认识到,若仅仅强调权利和义务,法律将无法回应复杂社会的挑战。罗马法式的规范逻辑强调通过权利义务的配置来塑造秩序。然而,当我们进入大数据时代和人工智能时代,面对算法对社会权力关系的重构,“许多以前我们曾经依赖的东西, 正在数字化时代支离破碎”。
算法时代需要探索出与这个时代本质特征和发展趋势相匹配的法治理论和法律实施能力。欲规范复杂的算法活动,我们需要尽可能地调动各种力量,综合运用各种维度,发挥制度的聚合效果。强调权利义务的个人自治之维,即便存在局限性,也不应被法秩序抛弃;否则,算法活动将变成数据企业与政府部门之间的博弈,个人将被排除在算法治理之外。个人自治之维并没有过时,只是需要其他维度提供必要的支撑。对个性化推荐算法的规范应当拥有行为规范之维与主体规范之维。行为规范之维是规范算法设计的维度,强调通过直接规范算法研发活动,从设计层面保护算法相对人的利益。主体规范之维则强调通过为平台赋权的方式实现算法的间接治理,此举能有效地监管平台内的算法活动。只有综合多种维度的算法治理,才能够兴利除弊,使得个性化推荐算法变成“正常的商业活动”。
来源:法制与社会发展. 2022,28(04)