算法之法——算法监管进入全球化时代
算法之法——算法监管进入全球化时代
引 言
"算法"的应用日益成熟而广泛,为人们的生活便利、高效决策带来了前所未有的福利;同时,"算法"应用也带来新的问题和挑战。主要法域都纷纷将对算法的监管提上立法议程。2020年12月15日,European Commission(欧盟委员会)发布Digital Service Act(《数字服务法(草案)》)和Digital Markets Act(《数字市场法(草案)》)两项草案均涉及对算法的监管。美国、中国也都有相应的法律草案出台。本文结合近期欧盟、美国、中国等各主要法域在算法监管方面的立法,分析全球算法监管的趋势、要点和监管策略。
一、算法应用带来的挑战
当用户打开购物APP,APP自动推送了该用户心仪已久的手机促销信息。这就是"算法"的典型应用场景。"算法"的应用日益成熟,为人们的生活便利、高效决策带来了前所未有的福利。
与此同时,近年来"算法"的广泛应用也引发了新的法律问题,对既有法律框架形成了挑战。
(一)
用户/消费者保护
商家或互联网平台基于大数据和算法,根据不同用户/消费者的情况,对用户/消费者实施差别待遇,甚至使得用户受到歧视性对待("算法歧视")。
"算法歧视"导致损害用户/消费者权益是全球性的问题。"大数据杀熟"就是一个比较典型的例子,电商平台基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯、交易相对人是否为新用户等,实行差异性交易价格或者其他交易条件,损害消费者权益[1]。又如,在欧美国家,由于对特定人群的歧视,某些互联网平台利用算法对特定用户屏蔽了某些房屋出售信息或工作机会的信息。
(二)
反垄断
同时,算法的应用也带来了反垄断问题。比较典型的有以下两种情况。
1、垄断协议
经营者之间、经营者与交易相对人之间达成明示或暗示的算法合谋,利用数据和算法实现固定价格或限定其他交易条件等协调一致行为,排除、限制市场竞争即有可能构成垄断协议。
还有一种情况是经营者之间并无合谋的故意,基于计算机自我学习的技术,经营者之间因为使用同样的算法形成了垄断协议的效果。
2、滥用市场支配地位
利用大数据和算法,无正当理由对交易条件相同的交易相对人实施差别待遇、设置障碍或限定交易条件,从而滥用市场支配地位。前述大数据杀熟就是滥用市场支配地位的一种典型表现形式。
"算法"应用中这些不利结果,不宜简单地以技术责任中立[2]来豁免法律适用,从而免除相关主体因"算法"或"算法"应用不当导致损害用户合法权益、排除或限制市场公平竞争等法律责任。因此,有必要通过完善的立法予以规范、区分权责,以保护相关主体的正当权益。
二、立法动态
"算法"是自动化决策系统所应用的主要技术之一。在立法层面,部分法律依据从"算法"角度予以立法,也有部分法律依据从"自动化决策"("Automated Decision System"或"Automated Individual Decision-making")的角度进行立法。算法及自动化决策纳入监管,法律责任如何区分,已经成为各国立法者关注的问题。
(一)
欧盟
1、GDPR
早在2016年,GDPR[3]首先在立法层面将自动化决策纳入监管。GDPR是全球最严格的数据管理规则之一。
GDPR对自动化决策没有直接的定义条款。从上下文来看,GDPR将自动化决策解释为,完全依靠自动化处理,包括用户画像,从而对数据主体做出具有法律影响或类似严重影响的决策[4]。
2、Digital Service Act(《数字服务法(草案)》)/ Digital Markets Act(《数字市场法(草案)》)
欧盟委员会于2020年12月15日公布了《数字服务法(草案)》和《数字市场法(草案)》的草案,这是欧盟在近20年以来首次对其互联网领域的规则进行全面改革。两新法旨在数字经济时代更有力的保护用户/消费者及他们的基本线上权利,引导更为公平、开放的数字市场。
3、A Governance Framework for Algorithmic Accountability and Transparency (《算法问责及透明度监管框架》,简称"《算法监管框架》")
2019年4月,European Parliamentary Research Service(欧洲议会研究服务机构)发布了《算法监管框架》,就算法及其在自动化决策系统中的应用快速增长提出了全面的监管框架。
(二)
美国的联邦立法提案
在美国,对于自动化决策的立法,已经提上立法议程。
1、The Algorithmic Accountability Act of 2019 (《算法问责法2019(草案)》)
2019年10月,《算法问责法2019(草案)》进入参众两院的立法程序。[5]《算法问责法2019(草案)》着眼于消费者/用户保护的角度,防止自动化决策造成对消费者/用户的歧视。
《算法问责法2019(草案)》将自动化决策定义为:"自动化决策的定义是指一个包括机器学习、数据分析、处理以及人工智能技术的计算机程序,以作出与该消费者相关的决策。"[6]
《算法问责法2019(草案)》的适用主体包括:(1)近3年平均年营业收入超过5000万美元的主体;(2)拥有或控制个人信息超过100万消费者或消费者设备的主体;(3)被符合上述(1)或(2)条件的公司所控制、运营、持有的主体;(4)作为数据经销商或其它商业主体,出于其主要经营目的而持有或控制非消费者或员工的个人信息,以为了售卖或提供给第三方。
2、The Data Accountability and Transparency Act of 2020 (《数据问责和透明度法》)讨论稿(简称"DATA 2020")
2020年6月,美国参议员Sherrod Brown发布了DATA2020。相较《算法问责法2019(草案)》,但范围更广,对自动化决策的监管也是其中一部分。
DATA2020对自动化决策的定义与《算法问责法2019(草案)》相同。
(三)
中国
1、个人信息保护
2020年10月,全国人大常委就《个人信息保护法(草案)》征求意见,首次在法律层面提出了对利用个人信息进行自动化决策的要求。从公平对待、个人的知情权和拒绝权等方面就利用个人信息进行自动化决策进行了原则性但较为全面的规定。
2、反垄断
2020年11月10日,中国市场监督管理总局发布了《关于平台经济领域的反垄断指南(征求意见稿)》("《平台反垄断指南》"),从监管的基本原则、不同垄断行为的认定方法、经营者集中申报、救济措施等角度为平台经济的反垄断提供指南。
根据该征求意见稿,受反垄断监管的平台经济领域经营者包括平台经营者、平台内经营者以及其他参与平台经济的经营者。
三、监管策略
各法域的监管策略虽然各有不同,但也有异曲同工之处。以下综合各法域的立法动态,分别分析这两方面的主流监管策略。
(一)
确立公平透明原则
数据控制者/个人信息处理者在利用自动化决策时,应当遵循公平透明原则,保证用户/消费者受到公平对待,不受歧视,从而保护用户/消费者的正当权益。
《算法问责法2019(草案)》的目的就是要求公司去研究并修复那些对美国消费者造成不公平、歧视或错误的计算机算法。DATA2020提出禁止通过使用个人信息在住房、聘用、信用、保险以及公开推荐等方面的歧视。
《数字服务法(草案)》对中介服务机构、广告发布者、大型互联网平台等利用算法向用户推送内容等操作都提出了公平透明的要求,并要求相应的服务条款中说明信息提供的限制及审核信息的方法。例如,《数字服务法(草案)》第12条第1项规定:中介服务提供者应在其条款和条件中包括有关服务接收者提供的信息对其使用服务施加的任何限制的信息。该信息应包括用于内容审核目的的任何政策,程序,措施和工具的信息,包括算法决策和人工审核,并应以清晰明确的语言列出,以易于访问的格式公开提供。[7]《个人信息保护法(草案)》则是明确规定了"利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理"的原则,还从实际操作角度要求自动化决策的商业营销和信息推送应同时提供非个性化选项。
(二)
风险/影响评估
就利用自动化决策,在事先做出风险评估或影响评估报告,是多个立法草案都提到的策略。
《数字服务法(草案)》第13条要求特大型在线平台至少每年一次按提交风险评估报告。
在美国,《算法问责法2019(草案)》要求受监管的公司评估其使用自动化决策系统在准确性、公平性、偏见、歧视、隐私和安全方面的影响(包括训练用数据的影响),并对影响评估中的问题予以纠正。类似的,就自动化决策部分,DATA2020要求使用自动化决策的组织或代理将信息报送给新的专职部门;在部署算法前,信息中必须包含风险评估报告以及算法的持续影响评估。DATA2020第105条(c)规定"REPORTING REQUIREMENTS.—For any automated decision system, a data aggregator shall provide the Agency— (1) an automated decision system risk assessment……"
在中国,《个人信息保护法(草案)》第五十四条要求就利用个人信息进行自动化决策,个人信息处理者应当在事前进行风险评估,并对处理情况进行记录。
(三)
赋予数据主体质疑权/反对权/拒绝权
在美国,DATA2020提出个人应当有权质疑收集数据的理由并要求人工对自动化决策进行审阅。
在欧盟,GDPR赋予数据主体反对权。GDPR第22条规定了数据主体对自动化决策的适用享有反对权及详细的豁免规则,并要求数据控制者保证数据主体权利,并赋予数据主体异议权。《数字服务法(草案)》第17条禁止在线平台的某些特定决策仅基于自动化方式作出。
在中国,《个人信息保护法(草案)》也有类似的规定,即个人"认为自动化决策对其权益造成重大影响";同时,个人还有权要求个人信息处理者对自动化决策予以说明。
(四)
设立专职部门
有具体的部门承担监管职责,才能将法律规定落实。
在美国,《算法问责法2019(草案)》建议由Federal Trade Commission (联邦贸易委员会,简称"FTC")作为该法的主管部门;DATA2020则建议新设一个部门专职管理个人信息保护事项,即创立一个新的独立部门专门进行个人信息保护以及实施DATA2020。这个专职部门有权进行立法、监管以及采取强制措施,针对DATA2020所规制的违法行为进行民事处罚,另外设一个民事权利办公室以保护个人不受歧视。
欧盟的《数字服务法(草案)》要求设立一个专门委员会European Board for Digital Services协调、落实相关规定。该法第47条规定[8]:成立由数字服务协调员组成的独立咨询小组"欧洲数字服务理事会"("理事会"),负责监督中介服务提供商。理事会应根据本法规向数字服务协调员和欧盟委员会提供建议,以实现以下目标……
在中国,《个人信息保护法(草案)》第五十六条则是确定了国家网信办为个人信息保护和相关监管工作的统筹协调部门,国务院有关部门和县级以上地方人民政府有关部门分别在各自职责范围内履行监管职责。前述部门统称为履行个人信息保护职责的部门。
(五)
适用反垄断监管
利用大数据与算法排除限制竞争的问题已经凸显,需要反垄断监管机构的干预从而促进市场公平竞争。多个法域也已经提出将利用大数据与算法妨碍市场公平竞争的情形纳入反垄断监管。
2020年10月9日,美国众议院司法委员会结束了过去16个月对苹果、亚马逊、Facebook等巨头的反垄断调查,发布了一份长达449页的反垄断报告。报告认为四家巨头都存在垄断行为,并提出实施结构上的分离,完善the Clayton Act(《克莱顿法》)、the Sherman Act(《谢尔曼法》)和 the Federal Trade Commission Act(《联邦贸易委员会法》),以使这些法律与数字经济的挑战保持一致等建议。
《数字市场法(草案)》提出了gatekeeper[9]的概念,并制定了一揽子规则以识别和禁止gatekeeper的反竞争行为,并提供了基于市场调研的执行机制。
《平台反垄断指南》整体与中国《反垄断法》配套,制定的平台经济领域如何适用《反垄断法》的详细指南。
结语
大数据、算法、自动决策是科技发展为人类带来的新型生产工具,也同时带来了新的法律问题和挑战。算法的立法刚刚开始,各法域都在摸索中前进。相信科技发展的同时,相关的立法也会越来越完善。
[注]
[1] 2020年11月10日,中国市场监督管理总局发布了《关于平台经济领域的反垄断指南(征求意见稿)》第十七条规定大数据杀熟的认定方法。
[2] 技术责任中立指,在没有主观故意的情况下,技术使用者和实施者不能对技术作用于社会的负面效果承担责任。
[3] GDPR指General Data Protection Regulation (GDPR) (EU) 2016/679,中文通常译为《通用数据保护条例》。
[4]GDPR Article 22 "Automated individual decision-making, including profiling 1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her."
[5] https://www.wyden.senate.gov/news/press-releases/wyden-booker-clarke-introduce-bill-requiring-companies-to-target-bias-in-corporate-algorithms-3/4
[6] ‘‘automated decision system’’ means a computational process, including one derived from machine learning, statistics, or other data processing or artificial intelligence techniques, that makes a decision or facilitates human decision making, that impacts consumers."
[7] Providers of intermediary services shall include information on any restrictions that they impose in relation to the use of their service in respect of information provided by the recipients of the service, in their terms and conditions. That information shall include information on any policies, procedures, measures and tools used for the purpose of content moderation, including algorithmic decision-making and human review. It shall be set out in clear and unambiguous language and shall be publicly available in an easily accessible format.
[8] An independent advisory group of Digital Services Coordinators on the supervision of providers of intermediary services named ‘European Board for Digital Services’ (the ‘Board’) is established. The Board shall advise the Digital Services Coordinators and the Commission in accordance with this Regulation to achieve the following objectives……
[9]《数字市场法(草案)》第3条:"A provider of core platform services shall be designated as gatekeeper if:
(a) it has a significant impact on the internal market;
(b) it operates a core platform service which serves as an important gateway for business users to reach end users; and
(c) it enjoys an entrenched and durable position in its operations or it is foreseeable that it will enjoy such a position in the near future."
声明
本文旨在法规之一般性分析研究或信息分享,不构成对具体法律的分析研究和判断的任何成果,亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容,请联系作者(fanxiaojuan@zhonglun.com); 未经作者同意,不得转载或引用本文的任何内容。
The End