推荐算法的法律规制

北京工商大学法学院 沈亮

一、推荐算法规制的必要性

推荐算法调查问卷报告显示：超过3/4的用户认为各大平台的推荐算法利大于弊，反映出大多数用户较为认同平台的推荐算法机制，推荐算法在节省用户浏览时间、深度推荐、准确推荐、灵活推荐等方面让用户获得了更好的使用体验；但与此同时，超过2/3的用户认为各大平台系统推荐机制侵犯用户的个人隐私。这种看似左右互搏的调查结果恰是目前推荐算法作为消费者和商家之间的纽带发挥着积极的作用，但推荐算法的运用又缺少法律规制的印证。事实上，推荐算法的合理运用可以惠及消费者与商家，但互联网企业运用推荐算法的行为若缺少规制则会引发消费者和商家的信任危机。推荐算法的规制目的是解决这种信任危机，而非因噎废食的禁止推荐算法的运用。

从法律的角度来说，算法推荐可能从以下的几个方面越过了法律的边界。对于平台用户来说：其一算法推荐可能侵犯用户的个人隐私，推荐算法运行的首要步骤就是对用户在网络平台中的使用数据进行收集、整理，在这个过程中可能会发生侵犯用户个人信息的情形；其二推荐算法可能威胁到个体的自由，推荐算法精确化的消息推送容易导致用户接收信息的封闭化，这种个性化地推荐可能将个体置于“信息茧房”之中，个体接收到的信息经过推荐算法的加工，长此以往，每个人就像蚕蛹一样将自己束缚在自我偏好的信息城堡之中，无法逾越出自己的偏好和喜爱；其三推荐算法的决策和辅助决策机制会挑战人类的自主决策，不透明的推荐算法很多时候成为决策的主体，这极大地挑战了人类的自主性。而对于平台内经营者来说：其一，平台内经营者依靠平台企业的数据处理能力开展商事活动能够降低销售和服务的成本，更加便利地开展经营活动，但平台内经营者相较于平台而言处于数据弱势地位，导致平台通过推荐算法对平台内经营者掌握“生杀大权”；其二，分散的数字用户在遭遇算法滥用导致侵权损害发生时，碍于高昂的救济成本，难以通过《民法典》侵权责任编的相关规范获得救济。

二、传统算法的规制路径

目前关于算法规制研究的众多规制方法主要集中于算法公开、个人数据赋权以及反算法偏见。

算法公开的方式，主要是针对算法所具有的不透明性。只要对算法予以公开，使得算法为公众所知，即能在探明该平台所使用的算法是否具有合理性和正当性。但该方案，主要面临两个问题：一是互联网企业的所使用的推荐算法可能构成其核心竞争力或商业秘密，强制公开算法就是将企业存身的竞争优势和商业秘密暴露在的市场竞争之中。企业的社会定位即为盈利，而非实现公平公正，为企业设定过于严苛的义务并无道理。二是即使公开算法，非专业的互联网平台用户面对公开的算法运算数据以及源代码根本无法对其进行解读。很多算法系统极其复杂，纵使是专业人士也需要花费大量的时间精力才能了解其运行。

针对算法公开方式的两点缺憾，有不少学者指出了算法公开的另一条路径：赋予用户算法解释请求权，该权利的内涵主要为当自动化决策算法的具体决定相对人有法律上或经济上的显著影响时，相对人有权向算法使用人提出异议，要求提供对具体决议的解释，并要求更新数据或更正错误。但实际上，并非所有算法都可以进行解释，对于简单算法而言其尚存可解释性，但推荐算法的调研报告显示，在机器学习高度发达的今天，平台会根据需求进行算法框架搭建，再根据机器学习和深度学习进行具体算法实现。机器学习使得决策所依据的因素就连设计者也并不完全清楚，因此人们将机器学习的决策过程称为“黑箱”。但实际上，“算法黑箱”的原理与商业秘密的原理不同，“黑箱”的形容是由算法本身技术特点所决定，并非认为造成。在机器学习和深度学习结合的方式实现算法的场合下，纵使是设计者也难以对该算法进行解释。因此，赋予用户算法解释权的方式实现算法公开，也缺乏现实的可操作性。

个人数据赋权主要是通过立法的方式赋予个人数据权利，以达到规制推荐算法的目的。目前，我国的相关法律、法规在此方面做出了诸多努力：《民法典》人格权编对个人信息的概念和类型，个人信息保护与隐私权的关系，处理个人信息应当遵循的原则和符合的条件，自然人对其个人信息享有的查阅、抄录和复制的权利以及更正和删除的权利做出了较为详细的规定；同时《个人信息保护法》《网络安全法》《消费者权益保护法》等规范中的相关条文针对性地对个人信息采取了立法和保护。

个人数据赋权是对数据控制者和处理者施加责任，要求数据控制者与处理者满足个人的一系列数据权利，承担维护个人数据安全与数据质量等责任。但事实上，个人数据赋权的规制方式在面对推荐算法所带来的问题时其功用也十分有限。首先，在数据收集层面，平台收集用户信息时，主要是以用户隐私协议的方式保障用户的数据权利，而这种方式会产生两点问题：其一，对于大多数互联网用户来说，很少有人会去阅读相关的用户隐私协议；其二，隐私协议政策对于一般用户而言仍然存在技术鸿沟，个体想要完全理解用户协议并不现实。其次，用户难以在数据处理阶段主张自己享有的权利。原因在于，由于存在技术鸿沟与算法黑箱，用户难以知晓平台何时、如何处理了自己的数据，由此无从主张自己的权利。最后，在侵权行为发生寻求事后救济的层面，个人难以对侵犯数据权利的行为寻求救济。无论是对侵权行为的举证，还是对因果关系的证明都是个体难以解决的问题。我国的一些学者反对个人信息的私法保护，主要的观点为：信息的价值即在于流通，承认个人信息的民法保护就等于在民法上将自然人对个人信息的权利界定为绝对权和支配权。由此会使得信息无法自由地流动，将每个人变成一座孤岛而无法进行正常的社会交往，因而无法实现个人信息上承载的不同价值和利益的平衡。

反算法偏见是指，应当禁止算法对不同性别、种族的群体进行区别的对待，尽可能地消除算法内涵的身份偏见。但问题在于，偏见并非源于算法，这些偏见不仅包括有意识的偏见，更包括无意识的偏见。无意识的偏见，源于人类潜意识的类型化归类，与一个人的前见有关。因此，算法偏见仅是偏见问题的表现方式，禁止算法偏见也无法从根源上消除偏见。另外，算法保持完全的中立与平等本身难以实现，纠正现行标准中看似存在偏见的要素，实际上在制造另外一种不平等，构成对其他群体的不平等。

三、推荐算法的法律规制

机械的运用传统算法的规制方法并不能达到规制算法的目的，还会阻碍算法技术进步、降低信息获取的效率。因此，本文认为应当强调推荐算法运用的具体场景，以“就事论事”的原则去观察推荐算法应用所针对的不同对象、步骤，并提出相应规制路径。

（一）平台用户视角下的推荐算法规制

从用户的视角出发，推荐算法的运行步骤可以分为：用户使用数据的收集阶段、信息的分析与处理阶段、信息的利用与产出阶段。

1.用户使用数据的收集阶段

根据《个人信息保护法》第4条的法定定义可知，个人信息是指以电子或者其他方式记录的与已识别的自然人有关的各种信息，不包括匿名化处理后的信息。可见，个人信息的最主要特征为可识别性。此外，根据《民法典》第1034条第2款可将个人信息的可识别性区分为两类：单独识别与间接识别。单独识别，是指凭借该信息可以直接识别出具体自然人的信息，在我国最为常见的即为身份证号码；间接识别，是指仅凭借该消息不能直接识别出特定自然人的信息，但是将该消息与其他信息相结合即可识别出特定自然人的信息。

一般而言，匿名化的行为信息不是个人信息，数据控制者可以分析与流通该数据信息。但在大数据时代，人、组织、自然界等行为信息被广泛采集和记录形成描述这些对象的大数据，并生成数据挖掘的分析方法，成为帮助人们了解事物、做出决策的工具。用户匿名化行为信息的法律性质变得模糊，通过数据挖掘等技术手段，原本被认为匿名化信息能够重新识别出特定的自然人。因此，用户匿名化的行为信息也应当纳入个人信息的保护范畴。

当前平台对用户个人信息的收集和使用主要仍以初始采集个人数据时的隐私协议作为正当性基础。而用户使用数据的收集则存在二元与多次的特征，收集的使用目的、方式等并不清晰，将初始采集个人数据时的许可和授权作为有效的数据主体同意，恐怕难以自证其正当性。因此，本文认为互联网平台在收集用户使用数据之时，应当明确告知平台正在收集其使用数据并寻求用户许可，用户随时有权随时表示反对此类数据处理行为。

2.数据的分析与处理阶段

有学者认为：数据之所以被视为数据，原因就在于其分析价值，数据之间相互联系，就能够抽象出数据对象背后的普遍特征，并通过其透析客观世界或分析对象的规律、特征，预测未来。本文认同此种观点，从价值衡量的角度而言，在数据的分析与处理阶段，总体上应当允许互联网平台对经用户同意所收集的数据信息进行融合处理。

数据的分析与处理阶段是推荐算法的核心，相较于其他数据步骤，算法活动因其专业性导致其具有极强的排他性。因此，本文认为，对于数据的分析和处理阶段的规制可建立个人数据保护顾问制度，设立“算法审计员”。首先，明确达到一定规模的互联网平台应当设立“算法审计员”的职位，调研显示，龙头互联网平台企业对推荐算法技术非常重视并成立了专门的团队，不断推进技术迭代的有关内容，这为设立“算法审计员”提供了现实基础；其次，算法审计员虽作为该互联网平台员工，但其身份定位应当参照“独立董事”和“审计制度”明确其身份具有独立性和外部性；再次，“算法审计员”通过制定面向用户的隐私协议保障信息安全，政策语言应当清晰易懂、符合一般平台用户的认知水平。最后，规定“算法审计员”还具有以下职责：对推荐算法投入运行的事前检查权、监督算法对数据和分析的处理活动等，与《民法典》侵权责任编为用户提供的事后救济不同，作为数据领域专家的“算法审计员”通过对算法目的、算法模型进行检视，全面深入地发现暗藏于算法之中的不平等，因此是一种事前干预。

3.数据的利用阶段

在我国“cookie隐私权纠纷第一案”中，原告通过被告的搜索引擎输入“减肥”等关键词进行检索，而被告依据这些关键词检索向原告进行了定向广告推送，原告认为被告公司侵害了其隐私权。一审法院认为，被告用cookie技术收集了被告信息，并在原告不情愿和不知情的情形下进行了商业利用，侵犯了原告的隐私权。但二审法院认为相关网页只是对特定的用户进行推送，并没有公开用户的消费行为及其偏好，并没有打扰用户的安宁或对用户产生实质性损害，由此驳回了原告的诉讼请求。

通过主张人格权受到损害以获得事后救济不仅面临着较高的维权成本，也存在着因对隐私和个人信息的解释不同而败诉的风险。平台在取得用户授权后，利用其用户行为信息进行个性化推荐无可厚非，但也应当避免使用敏感信息进行个性化推荐。虽然在上述案件中，法院最终驳回了原告的诉讼认定个性化推荐行为合法，但在大数据时代，这种敏感的行为信息经过数据的分析与利用进行个性化推荐会给用户带来困扰。个人网络追踪信息区分为敏感信息与非敏感信息，强化对个人敏感信息的保护。

根据《个人信息保护法》第28条，应当将此类信息解释为“一旦泄露将导致自然人人格尊严受到损害的敏感信息”，并根据《个人信息保护法》有关敏感个人信息的保护路径，要求平台方只有在特定的目的和充分的必要性，并采取严格的保护措施的情形下，方可处理敏感信息。笔者认为，在数据的利用阶段，原则上应当禁止对敏感信息进行利用，即使基于有效的用户授权，互联网平台取得了相关的用户行为信息，也应当限制该平台对此信息进行个性化推荐。

（二）平台内经营者视角下的推荐算法规制

以平台内经营者的视角出发，推荐算法的可规制性具体体现在两个方面：其一是平台利用推荐算法对平台内经营者滥用市场支配地位的行为；其二是平台内经营者反向利用推荐算法的违规行为。

1.平台对平台内经营者滥用市场支配地位

平台优待一部分平台内经营者或平台的自营业务使得平台内经营者之间无法在平台内自由竞争，平台在此过程中滥用了市场支配地位，而推荐算法作为技术手段是实现这一行为的工具。根据《反垄断法》第17条的规定：禁止具有市场支配地位的经营者没有正当理由实施差别待遇，同时最新出台的《国务院反垄断委员会关于平台经济领域的反垄断指南》第17条则根据平台经济的特点对差别待遇的考虑因素进行了细化。从《平台指南》规定的具体情形来看，平台滥用推荐算法技术对不同的平台内经营者采取不同的流量待遇构成了“实行差异性标准、规则、算法”的行为。此外，《平台指南》还细化了交易条件相同的判断标准，这也为规制平台利用推荐算法进行差别的流量对待提供了依据和准则。

虽然，目前平台滥用其自身流量优势优待自营业务或其扶持的部分平台内经营者，没有造成大规模、系统性的反垄断风险。但随着中央工作会议以“强化反垄断和防止资本无序扩张”作为2021年度经济工作重点，平台经济的反垄断工作必定会成为规制平台经济的中心。因此，本文认为，对平台滥用流量优势进行流量优待的行为应当置于《反垄断法》以及《国务院反垄断委员会关于平台经济领域的反垄断指南》的框架下予以规制。

2.平台内经营者反向利用算法的违规行为

针对平台内经营者的违规行为，其规制路径主要分为内部规制和外部规制。在内部制定平台经营规则的同时，外部应遵从市场监管部门的相关规定。以某平台为例，平台和平台内经营者有关日常经营、合同签署、数据管理、消费维权等活动，应当置于网络交易监管的规制框架下；平台和平台内经营者主体注册登记、年度报告、信用建设管理、非公党建工作、小微商户扶持等都与登记注册条线、信用监管条线相关；平台内广告活动，应当置于《广告法》的规制框架；平台内经营者销售餐饮食品、日用产品等质量安全问题，需要符合食品安全监管、产品质量安全监管有关要求；平台内提供各类生活服务同时也涉及服务业标准制定等工作。