推薦算法的法律規制

北京工商大學法學院 沈亮

一、推薦算法規制的必要性

推薦算法調查問卷報告顯示：超過3/4的用戶認為各大平臺的推薦算法利大于弊，反映出大多數用戶較為認同平臺的推薦算法機制，推薦算法在節省用戶瀏覽時間、深度推薦、準確推薦、靈活推薦等方面讓用戶獲得了更好的使用體驗；但與此同時，超過2/3的用戶認為各大平臺系統推薦機制侵犯用戶的個人隱私。這種看似左右互搏的調查結果恰是目前推薦算法作為消費者和商家之間的紐帶發揮著積極的作用，但推薦算法的運用又缺少法律規制的印證。事實上，推薦算法的合理運用可以惠及消費者與商家，但互聯網企業運用推薦算法的行為若缺少規制則會引發消費者和商家的信任危機。推薦算法的規制目的是解決這種信任危機，而非因噎廢食的禁止推薦算法的運用。

從法律的角度來說，算法推薦可能從以下的幾個方面越過了法律的邊界。對于平臺用戶來說：其一算法推薦可能侵犯用戶的個人隱私，推薦算法運行的首要步驟就是對用戶在網絡平臺中的使用數據進行收集、整理，在這個過程中可能會發生侵犯用戶個人信息的情形；其二推薦算法可能威脅到個體的自由，推薦算法精確化的消息推送容易導致用戶接收信息的封閉化，這種個性化地推薦可能將個體置于“信息繭房”之中，個體接收到的信息經過推薦算法的加工，長此以往，每個人就像蠶蛹一樣將自己束縛在自我偏好的信息城堡之中，無法逾越出自己的偏好和喜愛；其三推薦算法的決策和輔助決策機制會挑戰人類的自主決策，不透明的推薦算法很多時候成為決策的主體，這極大地挑戰了人類的自主性。而對于平臺內經營者來說：其一，平臺內經營者依靠平臺企業的數據處理能力開展商事活動能夠降低銷售和服務的成本，更加便利地開展經營活動，但平臺內經營者相較于平臺而言處于數據弱勢地位，導致平臺通過推薦算法對平臺內經營者掌握“生殺大權”；其二，分散的數字用戶在遭遇算法濫用導致侵權損害發生時，礙于高昂的救濟成本，難以通過《民法典》侵權責任編的相關規范獲得救濟。

二、傳統算法的規制路徑

目前關于算法規制研究的眾多規制方法主要集中于算法公開、個人數據賦權以及反算法偏見。

算法公開的方式，主要是針對算法所具有的不透明性。只要對算法予以公開，使得算法為公眾所知，即能在探明該平臺所使用的算法是否具有合理性和正當性。但該方案，主要面臨兩個問題：一是互聯網企業的所使用的推薦算法可能構成其核心競爭力或商業秘密，強制公開算法就是將企業存身的競爭優勢和商業秘密暴露在的市場競爭之中。企業的社會定位即為盈利，而非實現公平公正，為企業設定過于嚴苛的義務并無道理。二是即使公開算法，非專業的互聯網平臺用戶面對公開的算法運算數據以及源代碼根本無法對其進行解讀。很多算法系統極其復雜，縱使是專業人士也需要花費大量的時間精力才能了解其運行。

針對算法公開方式的兩點缺憾，有不少學者指出了算法公開的另一條路徑：賦予用戶算法解釋請求權，該權利的內涵主要為當自動化決策算法的具體決定相對人有法律上或經濟上的顯著影響時，相對人有權向算法使用人提出異議，要求提供對具體決議的解釋，并要求更新數據或更正錯誤。但實際上，并非所有算法都可以進行解釋，對于簡單算法而言其尚存可解釋性，但推薦算法的調研報告顯示，在機器學習高度發達的今天，平臺會根據需求進行算法框架搭建，再根據機器學習和深度學習進行具體算法實現。機器學習使得決策所依據的因素就連設計者也并不完全清楚，因此人們將機器學習的決策過程稱為“黑箱”。但實際上，“算法黑箱”的原理與商業秘密的原理不同，“黑箱”的形容是由算法本身技術特點所決定，并非認為造成。在機器學習和深度學習結合的方式實現算法的場合下，縱使是設計者也難以對該算法進行解釋。因此，賦予用戶算法解釋權的方式實現算法公開，也缺乏現實的可操作性。

個人數據賦權主要是通過立法的方式賦予個人數據權利，以達到規制推薦算法的目的。目前，我國的相關法律、法規在此方面做出了諸多努力：《民法典》人格權編對個人信息的概念和類型，個人信息保護與隱私權的關系，處理個人信息應當遵循的原則和符合的條件，自然人對其個人信息享有的查閱、抄錄和復制的權利以及更正和刪除的權利做出了較為詳細的規定；同時《個人信息保護法》《網絡安全法》《消費者權益保護法》等規范中的相關條文針對性地對個人信息采取了立法和保護。

個人數據賦權是對數據控制者和處理者施加責任，要求數據控制者與處理者滿足個人的一系列數據權利，承擔維護個人數據安全與數據質量等責任。但事實上，個人數據賦權的規制方式在面對推薦算法所帶來的問題時其功用也十分有限。首先，在數據收集層面，平臺收集用戶信息時，主要是以用戶隱私協議的方式保障用戶的數據權利，而這種方式會產生兩點問題：其一，對于大多數互聯網用戶來說，很少有人會去閱讀相關的用戶隱私協議；其二，隱私協議政策對于一般用戶而言仍然存在技術鴻溝，個體想要完全理解用戶協議并不現實。其次，用戶難以在數據處理階段主張自己享有的權利。原因在于，由于存在技術鴻溝與算法黑箱，用戶難以知曉平臺何時、如何處理了自己的數據，由此無從主張自己的權利。最后，在侵權行為發生尋求事后救濟的層面，個人難以對侵犯數據權利的行為尋求救濟。無論是對侵權行為的舉證，還是對因果關系的證明都是個體難以解決的問題。我國的一些學者反對個人信息的私法保護，主要的觀點為：信息的價值即在于流通，承認個人信息的民法保護就等于在民法上將自然人對個人信息的權利界定為絕對權和支配權。由此會使得信息無法自由地流動，將每個人變成一座孤島而無法進行正常的社會交往，因而無法實現個人信息上承載的不同價值和利益的平衡。

反算法偏見是指，應當禁止算法對不同性別、種族的群體進行區別的對待，盡可能地消除算法內涵的身份偏見。但問題在于，偏見并非源于算法，這些偏見不僅包括有意識的偏見，更包括無意識的偏見。無意識的偏見，源于人類潛意識的類型化歸類，與一個人的前見有關。因此，算法偏見僅是偏見問題的表現方式，禁止算法偏見也無法從根源上消除偏見。另外，算法保持完全的中立與平等本身難以實現，糾正現行標準中看似存在偏見的要素，實際上在制造另外一種不平等，構成對其他群體的不平等。

三、推薦算法的法律規制

機械的運用傳統算法的規制方法并不能達到規制算法的目的，還會阻礙算法技術進步、降低信息獲取的效率。因此，本文認為應當強調推薦算法運用的具體場景，以“就事論事”的原則去觀察推薦算法應用所針對的不同對象、步驟，并提出相應規制路徑。

（一）平臺用戶視角下的推薦算法規制

從用戶的視角出發，推薦算法的運行步驟可以分為：用戶使用數據的收集階段、信息的分析與處理階段、信息的利用與產出階段。

1.用戶使用數據的收集階段

根據《個人信息保護法》第4條的法定定義可知，個人信息是指以電子或者其他方式記錄的與已識別的自然人有關的各種信息，不包括匿名化處理后的信息。可見，個人信息的最主要特征為可識別性。此外，根據《民法典》第1034條第2款可將個人信息的可識別性區分為兩類：單獨識別與間接識別。單獨識別，是指憑借該信息可以直接識別出具體自然人的信息，在我國最為常見的即為身份證號碼；間接識別，是指僅憑借該消息不能直接識別出特定自然人的信息，但是將該消息與其他信息相結合即可識別出特定自然人的信息。

一般而言，匿名化的行為信息不是個人信息，數據控制者可以分析與流通該數據信息。但在大數據時代，人、組織、自然界等行為信息被廣泛采集和記錄形成描述這些對象的大數據，并生成數據挖掘的分析方法，成為幫助人們了解事物、做出決策的工具。用戶匿名化行為信息的法律性質變得模糊，通過數據挖掘等技術手段，原本被認為匿名化信息能夠重新識別出特定的自然人。因此，用戶匿名化的行為信息也應當納入個人信息的保護范疇。

當前平臺對用戶個人信息的收集和使用主要仍以初始采集個人數據時的隱私協議作為正當性基礎。而用戶使用數據的收集則存在二元與多次的特征，收集的使用目的、方式等并不清晰，將初始采集個人數據時的許可和授權作為有效的數據主體同意，恐怕難以自證其正當性。因此，本文認為互聯網平臺在收集用戶使用數據之時，應當明確告知平臺正在收集其使用數據并尋求用戶許可，用戶隨時有權隨時表示反對此類數據處理行為。

2.數據的分析與處理階段

有學者認為：數據之所以被視為數據，原因就在于其分析價值，數據之間相互聯系，就能夠抽象出數據對象背后的普遍特征，并通過其透析客觀世界或分析對象的規律、特征，預測未來。本文認同此種觀點，從價值衡量的角度而言，在數據的分析與處理階段，總體上應當允許互聯網平臺對經用戶同意所收集的數據信息進行融合處理。

數據的分析與處理階段是推薦算法的核心，相較于其他數據步驟，算法活動因其專業性導致其具有極強的排他性。因此，本文認為，對于數據的分析和處理階段的規制可建立個人數據保護顧問制度，設立“算法審計員”。首先，明確達到一定規模的互聯網平臺應當設立“算法審計員”的職位，調研顯示，龍頭互聯網平臺企業對推薦算法技術非常重視并成立了專門的團隊，不斷推進技術迭代的有關內容，這為設立“算法審計員”提供了現實基礎；其次，算法審計員雖作為該互聯網平臺員工，但其身份定位應當參照“獨立董事”和“審計制度”明確其身份具有獨立性和外部性；再次，“算法審計員”通過制定面向用戶的隱私協議保障信息安全，政策語言應當清晰易懂、符合一般平臺用戶的認知水平。最后，規定“算法審計員”還具有以下職責：對推薦算法投入運行的事前檢查權、監督算法對數據和分析的處理活動等，與《民法典》侵權責任編為用戶提供的事后救濟不同，作為數據領域專家的“算法審計員”通過對算法目的、算法模型進行檢視，全面深入地發現暗藏于算法之中的不平等，因此是一種事前干預。

3.數據的利用階段

在我國“cookie隱私權糾紛第一案”中，原告通過被告的搜索引擎輸入“減肥”等關鍵詞進行檢索，而被告依據這些關鍵詞檢索向原告進行了定向廣告推送，原告認為被告公司侵害了其隱私權。一審法院認為，被告用cookie技術收集了被告信息，并在原告不情愿和不知情的情形下進行了商業利用，侵犯了原告的隱私權。但二審法院認為相關網頁只是對特定的用戶進行推送，并沒有公開用戶的消費行為及其偏好，并沒有打擾用戶的安寧或對用戶產生實質性損害，由此駁回了原告的訴訟請求。

通過主張人格權受到損害以獲得事后救濟不僅面臨著較高的維權成本，也存在著因對隱私和個人信息的解釋不同而敗訴的風險。平臺在取得用戶授權后，利用其用戶行為信息進行個性化推薦無可厚非，但也應當避免使用敏感信息進行個性化推薦。雖然在上述案件中，法院最終駁回了原告的訴訟認定個性化推薦行為合法，但在大數據時代，這種敏感的行為信息經過數據的分析與利用進行個性化推薦會給用戶帶來困擾。個人網絡追蹤信息區分為敏感信息與非敏感信息，強化對個人敏感信息的保護。

根據《個人信息保護法》第28條，應當將此類信息解釋為“一旦泄露將導致自然人人格尊嚴受到損害的敏感信息”，并根據《個人信息保護法》有關敏感個人信息的保護路徑，要求平臺方只有在特定的目的和充分的必要性，并采取嚴格的保護措施的情形下，方可處理敏感信息。筆者認為，在數據的利用階段，原則上應當禁止對敏感信息進行利用，即使基于有效的用戶授權，互聯網平臺取得了相關的用戶行為信息，也應當限制該平臺對此信息進行個性化推薦。

（二）平臺內經營者視角下的推薦算法規制

以平臺內經營者的視角出發，推薦算法的可規制性具體體現在兩個方面：其一是平臺利用推薦算法對平臺內經營者濫用市場支配地位的行為；其二是平臺內經營者反向利用推薦算法的違規行為。

1.平臺對平臺內經營者濫用市場支配地位

平臺優待一部分平臺內經營者或平臺的自營業務使得平臺內經營者之間無法在平臺內自由競爭，平臺在此過程中濫用了市場支配地位，而推薦算法作為技術手段是實現這一行為的工具。根據《反壟斷法》第17條的規定：禁止具有市場支配地位的經營者沒有正當理由實施差別待遇，同時最新出臺的《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》第17條則根據平臺經濟的特點對差別待遇的考慮因素進行了細化。從《平臺指南》規定的具體情形來看，平臺濫用推薦算法技術對不同的平臺內經營者采取不同的流量待遇構成了“實行差異性標準、規則、算法”的行為。此外，《平臺指南》還細化了交易條件相同的判斷標準，這也為規制平臺利用推薦算法進行差別的流量對待提供了依據和準則。

雖然，目前平臺濫用其自身流量優勢優待自營業務或其扶持的部分平臺內經營者，沒有造成大規模、系統性的反壟斷風險。但隨著中央工作會議以“強化反壟斷和防止資本無序擴張”作為2021年度經濟工作重點，平臺經濟的反壟斷工作必定會成為規制平臺經濟的中心。因此，本文認為，對平臺濫用流量優勢進行流量優待的行為應當置于《反壟斷法》以及《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》的框架下予以規制。

2.平臺內經營者反向利用算法的違規行為

針對平臺內經營者的違規行為，其規制路徑主要分為內部規制和外部規制。在內部制定平臺經營規則的同時，外部應遵從市場監管部門的相關規定。以某平臺為例，平臺和平臺內經營者有關日常經營、合同簽署、數據管理、消費維權等活動，應當置于網絡交易監管的規制框架下；平臺和平臺內經營者主體注冊登記、年度報告、信用建設管理、非公黨建工作、小微商戶扶持等都與登記注冊條線、信用監管條線相關；平臺內廣告活動，應當置于《廣告法》的規制框架；平臺內經營者銷售餐飲食品、日用產品等質量安全問題，需要符合食品安全監管、產品質量安全監管有關要求；平臺內提供各類生活服務同時也涉及服務業標準制定等工作。