【北京律师、法律咨询、北京律师事务所、浩略律所、深圳律所、深圳浩略律所】
企业算法治理合规
构建可持续发展的数据生态
作者:金晓萍 李恒
在数字化转型的浪潮中,算法已成为企业运营和决策的重要工具。然而,算法的使用和治理也带来了诸多法律、技术和伦理挑战,尤其是在数据合规和用户隐私保护方面。因此,企业必须建立有效的算法治理框架,以确保其算法的合规性和透明性。且有效的算法治理也将能够确保算法的应用更加安全、合法、公平、透明和负责任,防止算法滥用导致的社会问题。为此,本文将探讨企业算法治理合规的关键方面,帮助企业构建可持续发展的数据生态系统。
一、与算法治理相关的法律和政策规定
近年来,随着算法的快速发展,相关法律和政策也逐步完善,以应对算法治理中出现的各种挑战。以下是一些关键的法律和政策规定:
(一)《个人信息保护法》
《个人信息保护法》是中国在个人信息保护领域的重要法律,明确了个人信息处理的合法性、必要性和透明性要求。该法强调:用户有权拒绝基于个人信息的自动化决策。数据处理者需进行个人信息安全影响评估,并留存相关记录。这为算法治理提供了法律基础,确保用户权益得到保护,其尤其对自动化决策的用户权益保护作出了规定。
(二)《算法推荐管理规定》
2022年中国国家互联网信息办公室出台的《算法推荐管理规定》专门针对规范互联网信息服务算法推荐活动,保护用户合法权益,要求算法推荐服务提供者:向用户显著告知其算法推荐服务的基本原理、目的和主要运行机制。提供用户选择不接受个性化推荐的选项,并确保用户能够方便地关闭算法推荐服务。该规定旨在提高算法的透明度,保障用户的选择权。
(三)《电子商务法》
2018年发布的《电子商务法》要求电子商务经营者为用户设置拒绝算法个性化推荐的选项。这一规定强调了用户在接收算法推荐时的主动权,推动了算法治理的合规性。
(四)《网络信息内容生态治理规定》
2019年发布的《网络信息内容生态治理规定》要求网络平台优化个性化算法推荐技术,确保算法推荐的内容符合社会公共利益和用户需求。
(五)《关于加强互联网信息服务算法综合治理的指导意见》
2021年9月国家网信办等九部委联合出台的《算法综合治理意见》从宏观层面系统明确了算法治理的总体要求、治理机制、监管体系与生态规范发展等事项,为算法合规提供了重要指导。
(六)其它行业标准与技术规范
除了法律法规,行业标准和技术规范也在算法治理中发挥着重要作用。例如,《信息安全技术个人信息安全影响评估指南》为企业在进行个人信息处理时提供了具体的评估框架和标准。
通过这些法律和政策的不断完善,企业在进行算法治理时,能够更好地遵循合规要求,保护用户权益,同时促进算法的健康发展。
(七)欧盟的《通用数据保护条例》
《通用数据保护条例》(GDPR)对算法决策的透明度及可解释性提出了明确的要求,同时也一定程度上明确了算法使用的权利义务、责任边界、合规要求等。
二、算法治理的主要内容
(一)厘清算法治理的相关概念
算法治理是指对算法的设计、应用、监督、评估和发展过程中可能出现的风险和问题进行规范和管理的过程。然而算法治理包括的内容和范围广泛,其中会涉及若干核心概念,如“大数据杀熟”“个人信息自动化决策”“信息茧房”等,这些概念表达的含义不尽相同,所以本文将先厘清具体的相关概念。
其中,大数据杀熟:指利用大数据技术对熟客实施高于市场平均价的价格策略;个人信息自动化决策:指通过自动化系统对个人信息进行处理并据此做出决策;信息茧房:用户长期接收相似信息而导致视野受限的现象。
(二)算法治理的三性目标
•公平性:算法应该公正地对待所有用户,避免任何形式的歧视。
•透明性:算法的工作原理应该清晰可解释,以便用户理解其背后的逻辑。
•可解释性:指算法能够清晰、准确地解释其决策理由、影响因素、权重分配等,使得用户、监管机构、社会公众等能够理解并验证算法决策的合理性、合法性、伦理性。
理想的算法还应该具备以下几个特点:理解公众的道德期望、符合公平的概念、满足利益相关者的需要和要求。这意味着算法不仅要高效,还需要考虑其对社会的影响,确保不会损害公共利益。
(三)算法治理之算法推荐技术
算法治理的核心,是对算法推荐技术的管理。算法推荐技术是互联网信息服务中不可或缺的一部分,它通过生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等多种算法技术向用户提供信息。这些技术在提供个性化服务的同时,也需要做好算法治理。
1.算法推荐服务的公开透明原则
算法的透明度原则是国际社会在进行算法监管时普遍要求的原则之一,旨在保障用户知情权和选择权,以及帮助服务提供者自证合规。具体的实施措施包括:
ⅰ建立健全相关规则和制度:包括用户注册、信息发布审核、算法机制机理审核、安全评估监测、安全事件应急处置、数据安全保护和个人信息保护等。
ⅱ加强服务规则的可解释性:以显著方式告知用户其提供算法推荐服务的情况,并公示算法推荐服务的基本原理、目的意图和主要运行机制。
ⅲ明确用户选择权:向用户提供不针对其个人特征的选项或便捷的关闭算法推荐服务的选项,并允许用户选择或删除用于算法推荐服务的针对其个人特征的用户标签。
2.特殊算法推荐服务提供者
具有舆论属性或者社会动员能力的算法推荐服务提供者被视为特殊算法推荐服务提供者。特殊算法推荐服务提供者需要进行备案、安全评估,并且有配合检查的义务。此外,还需依法留存网络日志,并在必要时向监管部门提供技术支持。
三、算法治理的主要挑战
随着算法在各个行业的广泛应用,算法治理面临着多重挑战。这些挑战不仅涉及法律合规,还包括技术、伦理和社会层面的复杂问题。以下是一些主要挑战:
(一)算法透明度和可解释性
算法的黑箱特性使得其决策过程往往不透明,用户和监管机构难以理解算法是如何得出结果的。这种缺乏透明度可能导致信任危机,用户对算法推荐的结果产生怀疑,从而影响其使用体验和满意度。此外,法律法规对算法透明度的要求日益增加,企业需要在满足合规的同时,提升算法的可解释性。
(二)数据合规性
数据的合法合规使用是算法治理的核心问题之一。企业在收集和使用数据时,必须遵循《个人信息保护法》等法律法规,确保数据来源的合法性和使用的合规性、必要性。然而,许多企业在数据收集过程中可能面临合规风险,包括未获得用户同意或数据使用超出合法范围等问题。
(三)算法偏见和歧视
算法可能会反映和放大数据中的偏见,导致不公平的结果。例如,某些算法在招聘、信贷等领域可能对特定群体产生歧视。这种算法偏见不仅影响用户体验,还可能引发法律诉讼和社会不同角度的反响。因此,企业需要建立机制,定期评估和修正算法,以减少偏见和歧视的发生。
(四)用户权利保护
随着算法的普及,用户对其个人信息和算法决策的权利要求日益增强。用户希望能够选择是否接受算法推荐服务,并有权对算法的决策结果进行质疑和投诉。企业需要建立有效的用户权利响应机制,以确保用户能够方便地行使其权利,并及时处理用户的反馈和投诉。
(五)技术与伦理的平衡
算法治理不仅是技术问题,还涉技术、法律、经济及伦理等多方面的问题。企业在开发和应用算法时,必须考虑其对社会和用户的潜在影响,确保算法的使用符合伦理标准。这要求企业在技术开发和应用过程中,建立伦理审查机制,确保算法的设计和应用不会对社会造成负面影响。
(六)法规和政策的适应性
算法治理的法律法规仍在不断演变,企业需要时刻关注相关政策的变化,以确保其算法治理措施的合规性。此外,现有的法律框架可能无法完全适应快速发展的技术环境,企业在遵循法律的同时,也需要积极参与政策的制定和完善,以推动算法治理的健康发展。
面对这些挑战,企业需要建立全面的算法治理框架,结合技术、法律和伦理等多方面的考虑,以实现算法的合规和本企业可持续发展。
四、建立全面的算法治理框架
(一)算法治理的制度建设
1.算法评估制度:建立算法伦理与安全评估制度,确保算法合规;
2.算法监控制度:提高算法透明度,对算法进行动态监督;
3.算法归责制度:明确算法开发和应用的责任归属;
4.算法风险应急响应制度:制定应对算法安全事件的应急预案。
(二)算法治理的机制建设
1.技术与伦理审查机制:将产品设计与算法设计相结合,进行动态追踪和质量监控;
2.用户权益保护机制:建立用户拒绝算法推荐或决策的介入机制,设置用户投诉处理流程;
3.算法动态运行监控机制:对算法运行状态进行常规监测,及时处理异常情况;
4.监管响应与配合机制:遵循监管要求,配合监管机构的检查;
5.算法风险预警与响应机制:建立日常监控和应急响应机制。
(三)算法治理的能力建设
1.规范能力:建立算法治理政策、法律规定、行业规范和标准的培训制度;
2.技术能力:加强监管、监控及外部响应人员的算法理解和解释能力,提升对算法安全事件的应急处理能力。
五、企业算法治理的合规建议
(一)数据来源的合法合规
企业在使用算法进行决策和推荐时,首先需要确保所使用数据的来源合法合规。这包括:直接收集数据:企业需遵循《个人信息保护法》的相关规定,获取用户的明确同意,确保数据收集的合法性;间接获取数据:在与第三方数据供应商合作时,企业应进行尽职调查,确保对方的数据来源合法,并要求提供相关证明。通过确保数据来源的合规性,企业可以降低因数据问题引发的一些法律风险。
(二)评估数据使用的必要性
企业在算法应用过程中,除了合法性外,还需评估数据使用的必要性。过度收集与业务无关的数据可能会导致合规风险。因此,企业应建立必要性评估机制,确保所收集的数据与产品服务的功能直接相关。
(三)个人信息安全影响评估
根据《个人信息保护法》,企业在进行自动化决策前,需进行个人信息安全影响评估,并保存相关记录。这一评估应包括:
• 自动化决策的基本原理和运行机制的说明;
• 定期对自动化决策效果的评价;
• 用户投诉渠道的设置;
通过这些措施,企业能够更好地保护用户的个人信息和权利。
(四)制定相关规则与制度
企业应在产品设计阶段就纳入合规要求,制定相应的服务规则和管理制度。这包括:
提供用户选择不接受个性化推荐的选项;
在产品功能设计时考虑用户隐私保护的需求。
通过将合规要求融入产品设计,企业可以避免后续因合规问题而进行的资源浪费和时间拖延。
(五)建立权利响应渠道
为了满足用户对个人信息处理的权利请求,企业需建立畅通的权利响应渠道。这包括及时回应用户的投诉和请求,并准备相关文档以解释算法的决策过程,从而保障用户的知情权。
(六)算法透明度与可解释性
随着对算法透明度和可解释性要求的提高,企业应建立算法监控制度,确保算法的运行机制和结果能够被用户理解。这不仅有助于提升用户信任,还能有效降低因算法偏见或错误决策带来的法律风险。
综上,通过以上措施,企业可以在算法治理中实现合规,以保护用户权益,同时也增强自身的市场竞争力。在这个快速发展的数字时代,建立健全的算法治理框架不仅是法律的要求,更是企业可持续发展的必经之路。
参考资料:
裴炜、陈鹏:《数据合规实务全指引:关键场景与典型行业》,法律出版社2023年版,第27页。
裴炜、陈鹏:《数据合规实务全指引:关键场景与典型行业》,法律出版社2023年版,第28页。
张宾:《企业数据合规:基础实务与专题指南》,法律出版社2023年版,第263-264页。
律师简介