一个“万物互联、事事算法”的人工智能时代即将来临,而人工智能的本质即基于数据的算法。“算法中立”这一命题并不成立,算法能够被法律规制。因算法具有不透明性等独特的性质,其不断发展的同时,带来的风险也逐渐显现,包括侵害个人信息权益、塑造“信息茧房”、算法歧视、算法“黑箱”、算法操纵等,故法律规制算法具有必要性。我国应当始终贯彻将人作为目的而非手段的理念来治理算法,确立算法解释、算法审计和算法问责原则,具体应通过完善个人信息保护法和确立算法责任制的双重路径来规制算法。以更好地维护人的尊严,消弭个人与算法操控者之间的数字鸿沟,实现科技与法律,守护与创新,秩序与变革之间的平衡发展。
算法中立这一命题成立与否影响算法是否需要法律规制,如果中立,则无需法律进行规制,反之则需要法律进行规制。如果算法中立,那法律应当如何规制算法,又需要回答算法的法律性质是什么,其法律性质决定了规制体系的构建。
算法中立与否
算法的法律性质
算法中立这一命题在上文中已经证否,得到算法需要被法律规制,算法的法律性质是什么,又决定了不同的规制方式,因此本部分讨论其法律性质,关于算法的法律性质有专利说、言论说、商业秘密说与正当程序说,本文支持正当程序说。
1.专利说
赞同将算法作为专利来保护的学者认为,这一方面可以规避算法产生的社会风险,另一方面认为专利法的全面保护能够鼓励算法设计者进行不断地创造和研发。本文认为将算法作为专利来保护表面上看是一种可行的路径,但“以公开换保护”这对算法来说只是一个美好愿景,当算法设计者向社会公开后,仅仅是该领域的专业人员得知如何实施该项算法,社会普通大众根本难以理解算法的实施过程,这样的公开对增加算法透明度的意义可谓微乎其微。其次,构建算法的专利保护仍然存在问题,算法本质上属于智力步骤,与专利法第25条规定相违背,若将算法作为专利来保护将对我国现行专利法造成强烈冲击。
2.言论说
将算法认定为言论应当慎之又慎,因为一旦将算法认定成言论,算法所带来的一系列风险,法律都只能置之事外,企业所掌控的算法“私权力”将不受控制,人反而变成算法的客体,最终将导致法律也无法保障人的尊严,故而应当依照限缩主义进路来分析,算法不能构成言论。一方面,算法欠缺有效的表达。算法的主要目的在于分析、预测,作出决策,而非与用户进行交流。
3.商业秘密说
4.正当程序说
根据上文的分析,算法不宜作为专利、言论或者商业秘密来保护,本文赞同陈景辉学者的观点,将算法作为正当程序来保护。这一观点主要基于以下考量:第一,任何社会组织的存在都是为了实现某种社会目标,而这种社会目标的实现离不开社会制度;第二,任何一种社会制度都会涉及权力,在算法社会亦不例外,存在算法权力,这种权力赋予了少数人介入和干涉大众生活的能力;第三,社会制度所赋予少数人掌控的权力,都可能存在滥用,因此,社会制度或者权力都需要道德上的证成。而这种道德上的证成离不开正当程序。因为正当程序会要求掌权者将权力公开,以证明其作出的决策是正当合法的,包括两种要求,一是程序本身要公开;二是程序的设计要是正当的。由此可见,这两项要求亦有利于增加算法的透明度,保障公众的知情权,赋予算法设计者更多的注意义务,也有利于算法问责的实现。
算法在运行过程中,从输入数据开始,到输出结果作出自动化决策,这一过程实则蕴含着诸多风险,当前学界对算法风险尚无统一的分类,且少有论及算法产生的各类风险之间存在何种关系,本文依据算法的运行流程将算法风险分为两大类,包括输入端风险,即诱发个人信息侵权风险,和输出端风险,输出端风险包括五小类,分别是塑造“信息茧房”、算法歧视、算法黑箱、算法操控以及算法权力。第一类风险与第二类风险之间是相伴而生的关系,第二大类风险之间是交互影响的关系,算法黑箱的存在为算法歧视、算法操控与算法权力的产生奠定了基础,后三小类又因资本集团追逐利益而放任或加剧了算法黑箱的存在,算法在塑造“信息茧房”的同时,就在一步步侵蚀着人的主体性,算法操控不断发展壮大,就会导致算法权力的形成和扩张,因此它们之间围绕着“利益”彼此相互影响,交织壮大。
通过分析这些算法风险的原因、危害后果及各项风险之间的关系来证成法律规制算法的必要性,同时,也有利于有针对性地构建算法规制体系。
侵害个人信息权益
2021年6月11日,国家网信办通报129款应用软件非法收集、过度使用用户个人信息,这129款涉及运动健身、新闻资讯、网络购物、学习教育等八种类型,其中包括Keep、今日头条、珍爱网等知名应用软件,这些侵害个人信息的软件超90%以上具体存在的问题是超过个人信息收集的必要原则,收集与其提供的服务无关的信息。同年7月4日,滴滴企业版等25款应用软件因存在严重违法违规手机使用个人信息,国家网信办通知应用商店将其下架。互联网企业以追求利益为目的,加之大数据和算法技术的进步,处于弱势地位的网络用户在进入网络世界的第一步,就毫无隐私可言。各类应用软件和网站试图搜刮用户隐私的互联网格式合同席卷而来。以“智能推送”为吸引点,诱使用户同意算法收集并分析其个人信息。即使个体不主动上传个人信息,算法运营商和平台打着“周全服务”和“互联互融”的旗号,就能够把用户的隐私进行抽丝剥茧,无处不在的高清摄像头、多功能传感器、网站应用插件、网络跟踪代码等每天都在对用户的个性与偏好进行详尽地记录。
不仅数据收集阶段经常发生隐私泄露的风险,随着算法自动化决策深度学习能力的提升,即使用户未向网络平台提供过个人信息,深度学习算法也能将其预测出来,即隐私泄露风险还将发生在算法预测阶段。比如当算法对种族、宗教信仰、政治态度、性格特点、性别、性取向等进行数学建模后,可以准确预测出某社交软件的用户是否为同性恋者。
算法歧视侵害人的平等权
“算法歧视也可被称作自动化歧视(AutomatedDiscrimination),是指算法在作出自动化决策的过程中,算法的分析预测系统对特定群体的合法正当权益产生了一种具有反复性的不平等侵害。”算法歧视主要有三类:第一类是“关联歧视”,是指设计者即便未将敏感数据筛选进系统,但这些数据组合在一起时仍然会推断出个体的敏感信息,如种族、宗教、性取向等信息,从而对特定人的合法权益构成歧视。第二类是“传统镜像歧视”,这种歧视实质上是传统歧视在算法的一种表现形式。由于算法的决策系统是“偏见进,则偏见出”,导致直接将敏感信息录入算法自动化决策系统,就会有一种歧视的产生。第三类是“大数据杀熟”,是指商品或服务的经营者以不同的价格向消费者提供相同质量和数量的产品或服务。
算法歧视的危害后果主要表现在以下三方面:第一,算法歧视会导致社会公平正义受损,不利于构建人人平等、和谐稳定的社会环境。算法歧视使特定群体遭受不公平地对待,固化既有的歧视,严重违背公平与平等的社会价值;第二,算法歧视会导致权利失衡。“数据控制者和用户之间由于信息和资本力量的巨大差异,使得用户权利让渡成为一种必然,权利失衡就此产生。”贫困群体在数字时代将处于不利地位,富者越富,贫者越贫的“马太效应”在数字时代仍旧会继续应验。第三,“导致个人的公平交易和自由选择权受到限制。以具有歧视性的算法来决定信用贷款、人员录用及保险费率等将难以保障个人合法权益。”
算法推荐塑造“信息茧房”
“信息茧房”的概念最早由凯斯·桑斯坦提出,是指网络虽然给现代人带来了更多的资讯,实现了用户的选择自由,但个体往往只会注意到自己选择的东西和使自己感到愉悦的信息。以网络媒体为例,今日头条凭借先进的算法技术,为用户量身定制新闻产品,当用户点击一条关于娱乐明星的信息后,就会接连收到各种娱乐明星的动态,其真正实现了“你关心的,才是头条”的宣传标语。现在的新闻报道已变成“我的日报”,与传统的报道方式截然不同,过去个人感兴趣的报道仅占整张报道的一小部分,但这种形式使个体能够获取更广泛的信息,塑造自己的知识体系。
算法权力
算法权力是人工智能在海量数据的基础上进行深度学习,利用大数据和算法技术做出影响公民、社会、政府的决策,这种现象正助推一种新兴的技术权力的形成。算法权力不像公权力有国家暴力机器,那它的表现形式是什么?一是算法通过对数据进行收集、分析和输出,演化为对商品、资源甚至是社会的建构力量;二是算法逐渐成为一种行为规范,影响乃至控制社会建构力量;三是算法不仅是政府的辅助工具,有时还会替代政府权力,做出影响相对人权利义务的决策。算法权力形成的基础:一是依靠机器优势,机器优势体现在算法对大数据的计算能力,使得人类因无法应对海量数据的处理任务而交出决策权。机器优势还体现在深度学习能力,让算法能够从既往数据中进行自我完善;二是依靠架构优势,即算法建立了一个不具有透明性的系统,对社会大众产生一种无形的影响,让其产生依赖性;三是依靠嵌入优势,即算法能够嵌入到社会权利的运转过程中,并通过社会权力实现对个体进行干涉、诱导和改变的目的。
算法权力在多数人的认知中只是一种技术力量,但这只是表象,它实则背后是一种资本权力。算法权力在利益集团的操纵之下可能会形成算法垄断。算法作为解决问题的决策程序,一旦注入企业的价值理念,就容易沦为企业获取巨额利润造成市场垄断的工具。例如新浪微博的热搜功能,用户难以区分哪些是真实的热搜新闻,哪些是算法操纵的结果。算法权力还可能在利益集团的操纵下形成数据霸权。这种数据霸权无论是对个人隐私保护还是国家数据安全都造成了巨大冲击,若放任数据霸权的扩张,不对其运行提出要求,全球治理格局都可能因此受到影响。
算法黑箱
算法“黑箱”的存在对公民的知情权有重大影响。在智能投顾过程中,由于算法“黑箱”的存在使得用户无法知晓和理解投资过程中的风险,可能产生过高的投资期望,盲目信任算法,做出过分冒险的投资行为,影响金融市场的稳定。由于算法“黑箱”导致算法的运行过程无法被公众知晓,公众也难以寻求救济,算法收集来的数据是否正当不可知,算法作出的自动化决策对自身利益到底有哪些影响也是未知的。除此之外,算法“黑箱”对法律监管算法也带来很多的问题,让监管者监管算法的内容和手段均受到限制,即使算法存在漏洞和缺陷,算法的自动化决策是违背算法设计目的的,算法监管者也难以审查,无法进行及时问责。最后,算法“黑箱”的存在将导致公共利益被占据资本和技术的私人公司获取,私人公司能够利用算法“黑箱”谋求本属于政府的利益,政府将在算法社会中被边缘化,可能失去关键数据的控制权,政府面临去中心化的危险。
算法操控
算法操控主要是指算法能够在个体作出与自身有重大利害关系的决策时对个体产生潜移默化的影响,使个体做出对相对方(操控方)有利的抉择。它可分为两种类型,一种是表面上为算法操控,实则是算法背后的人在将其价值判断借助算法这一工具带给个体,以使其做出有利于自己的决策;另一种是算法异化,算法异化的本质是算法成为一种“异己的、敌对的”为人力所不可控的破坏性力量。算法不仅对个体的生活选择带来潜移默化的影响,在涉及国家政治的重大发展中,它也在发挥着自己强大的影响力。
算法之所以能够操控人类的决策,得益于其能够精准进行用户画像,为个体塑造“信息茧房”,使得利益集团能够快速、完整地掌控着各类群体的动向,“他们乐于接受什么,他们乐于怎么接受,他们的未来动向如何”算法都将个体的一切信息抽丝剥茧地告知利益集团,利益集团在悉知这一切后,就可让个体做出对其自身有利的决策。
根据算法的运行流程及其产生的两大类算法风险,本文主要从个人信息保护和算法责任制两条规制路径出发,因为个人信息保护法不仅对防止个人信息侵权有重大意义,而且其对算法歧视、算法黑箱、算法权力、算法操纵、算法塑造“信息茧房”的现象也进行了一定回应。通过探究当前我国法律对个人信息保护和算法责任的规定现状,并从中总结出相应的问题所在,以构建起法律规制算法的具体路径。
个人信息保护体系初步建立
我国专门的个人信息保护法(以下简称个保法)于2021年8月20日正式通过,个保法分为八个章节,较为系统全面地规定了个人信息处理规则,且细化为一般个人信息处理规则、敏感个人信息处理规则以及跨境信息处理规则,对个人享有的权利、处理者的义务以及国家监管机关职责以及对违反规定应承担的法律责任作出了系列安排。个保法的基本概念、原则、制度等方面既与国际个人信息保护相接轨,又体现了中国特色,确立了以“知情-同意”为核心的个人信息处理规则。个保法将合法、公开透明、安全、目的合理明确等作为处理个人信息的一般性原则,构建了处理个人信息(一般和敏感)的“告知-同意”、自动化决策要求、国家机关处理个人信息要求、个人信息安全审计要求等信息处理制度,赋予了个人知情权、决定权、查阅权、复制权、更正权、补充权、删除权,个人信息处理者承担安全保护、安全审计、事前风险评估、补救和通知等义务,本文聚焦“知情-同意”机制、个人信息保护影响评估制度以及自动化决策条款三个方面来分析个保法应对算法风险尚存在的问题。
1.“知情-同意”机制
2.合规审计制度与个人信息保护影响评估制度
3.自动化决策条款
自动化决策的定义、透明度、处理结果公平以及“重大影响”的判断标准问题。个保法第73条虽界定了何为自动化决策,但同GDPR规定的识别分析相混同,这将导致自动化决策的适用范围受到限制。第24条规定了自动化决策的透明度,自动化决策的结果要公平合理以及当其对个人有“重大影响”时,个人有获得说明的权利。算法要提高透明度在理论界也广受推崇,但个保法第一款对透明度应当达到的程度未作出规定,如此将导致透明度仅仅沦为一种表面规定,无法具体落实,且关于自动化决策的结果要求公平合理,此条规定的目的是应对算法歧视,但忽视了自动化决策作出的过程也需要公平,应当遵循正当程序。另外,此条的第2款是为了防止算法为个人塑造“信息茧房”,规定了个人可以拒绝这种个性化推荐,并要求信息处理者提供不针对个人特征的选项,但拒绝权在何时行使并不明确,以及如何判断向个人进行信息推送及商业营销时,是否使用了用户的个人特征。第3款规定了如果通过自动化决策作出对个人权益有重大影响,要求向个人说明,但如何判定对个人有“重大影响”,这里应当明示判断标准,可以明确的是不能仅依个人信息主体的主观判断,应当结合场景等多重因素考量。
算法问责机制不明确
细化个人信息保护体系
1.健全知情-同意机制
2.细化定期合规审计制度与个人影响评估制度
合规审计制度具有完善个人信息处理活动以及便利监管机构监管的双重作用。第一,要明确定期的标准,可以结合个人信息处理者的类型、处理目的与处理方式来设定一个具体的期限,当事人有约定的,约定优先;第二,合规审计的主体,程啸学者认为既可以由个人信息处理者内部进行合规审计,也可以委托外部专业机构进行合规审计。本文认定由内部部门进行合规审计可能会出现“既是运动员,又是裁判员”的不利监督后果,可以要求内部处理者进行合规审计后,还要报送个人信息保护负责人进行监督审查;第三,关于合规审计的内容,个保法规定的是关于个人信息处理者遵守法律、行政法规的情况,具体可以从个人信息处理者的处理目的是否合法,看其处理目的是否有损害到自然人的人格尊严和人身财产权益,是否有损公共利益及国家利益,另一方面,看其处理方式是否符合比例原则。
关于我国的个人影响评估制度,第一,我国对此项制度的定位是预防性制度,故仅仅规定在事前进行评估,但若将其定位为一项个人信息保护的风险动态检测制度,事中和事后都参照进行评估,更有利于保护个人信息权益,全面检测算法风险;第二,此项制度的适用前提不应当局限在对个人权益有重大影响的个人信息处理活动,应当将对经济、环境、社会等其他影响纳入其中;第三,评估主体与合规审计主体相同,既可以由个人信息处理者的内部部门履行,也可以由其委托专业机构进行评估;第四,关于记录的内容,可参考GDPR的规定,GDPR第30条对记录内容进行了详细的规定。