规制算法推荐强化个人信息保护合规管理

□企业应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。

2021年12月31日,国家网信办、工信部、公安部、市场监督管理局四部门联合发布了《互联网信息服务算法推荐管理规定》(下称《算法推荐管理规定》),针对在我国境内应用算法推荐技术提供互联网服务所应当遵循的合规要求作出了明确规定。该规定的发布对于督促算法推荐服务提供者合理合规地应用算法,净化行业风气,促进良性发展,有效维护用户合法权益具有重大意义,对推动相关企业合规工作也具有十分重要的作用。

  强化规制算法推荐的必要性

一段时间以来,“大数据杀熟”、算法歧视、诱导沉迷等算法不合理应用导致的问题频频发生,引发了社会关注,因此,制定针对性的算法推荐管理规定,明确算法推荐服务提供者的主体责任及安全管理义务就显得极为必要。

据中国消费者协会公布的信息,网络领域涉及消费者权益的算法应用问题主要有6种:推荐算法、价格算法、评价算法、排名算法、概率算法和流量算法。其中,价格算法就是饱受消费者诟病的“不同人不同价”。2021年7月,就某在线旅行服务公司针对老客户价格失实、无法说明价格差别理由的“大数据杀熟”第一案,浙江省某法院判决该公司赔偿原告订房差价并按房费差价部分的三倍支付赔偿金,且在其运营的旅行App中为原告增加不同意其现有《服务协议》和《隐私政策》仍可继续使用App的选项,或者为原告修订其旅行App的《服务协议》和《隐私政策》,去除对用户非必要信息采集和使用的相关内容。

推荐算法的违规情形也比较常见,如App运营者通过分析用户浏览过的页面、广告、商品、话题等有针对性地进行商业营销,如果未能充分告知并获取用户同意,则也是侵害用户合法权益的行为。自2019年来国家工信部组织开展了App侵害用户权益专项整治行动工作,运用推荐算法强制用户使用定向推送功能也是被通报的问题多发点。在通报的20个批次中,工信部层面通报的App数量总数为1212款,存在“强制用户使用定向推送功能”的违规App数量达112款,占比为9.24%,而“强制用户使用定向推送功能”在所有被关注的违规问题中排名前列。

通过总结既有的违规案例,可以发现当前在算法推荐的违规场景中存在的问题主要包括如下情形:(1)未在隐私政策中对用户画像、个性化展示的应用场景及对用户可能造成的影响进行说明;(2)未取得用户的明示同意;(3)基于用户画像向不满十四周岁的未成年人进行个性化推荐;(4)未提供非定向推送信息的选项;(5)未向用户提供拒绝接收定向推送的选项;(6)未明示广告发送者的真实身份和联系方式;(7)以其他不合理的方式影响用户正常使用服务;(8)使用非法的用户标签,对用户进行歧视性或偏见性的设置和管理;(9)大数据杀熟。

  个人信息保护合规要求

个人信息保护法规定,通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等并进行决策的活动,属于自动化决策。毫无疑问,利用生成合成类、个性化推送类、检索过滤类等算法技术向用户提供信息属于自动化决策的具体体现,因此,使用算法推荐,除遵守消费者权益保护法、电子商务法的要求外,亦应当严格遵守个人信息保护法的要求。

根据个人信息保护法的规定,应用算法推荐时应当注意:(1)保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;(2)应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;(3)通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。具体而言,提供算法推荐服务的企业应当在如下方面开展工作:

企业应当保障用户知情权,在隐私政策等文件中向用户明确说明算法将使用到何种信息,如说明使用的个人信息的类型、范围,使用的具体目的和应用程序,是否可能被第三方所使用,所使用个人信息的必要性,可能对用户个人造成的影响。企业需要明确对基于自动化决策作出的定向推送内容设置明显的、容易识别的标识,并且与非定向推送内容进行区分;企业必须保障同时向用户保留非定向推送的选项和内容。企业还应当保障用户的选择权和拒绝权,向用户提供便捷的拒绝方式,设置和提供简便的、易操作的关闭选项和用户权限管理系统,将用户权限设置页面链接限制在4次点击操作之内。任何企业均不应对用户拒绝个性化信息推送或商业营销设置障碍、收取费用或设定有效期限。

保障决策的透明度和结果的公正性也是算法推荐关注的重点,企业应当通过隐私政策、算法说明等文件,对自动化决策算法的原理、目的意图、决策规则、可能产生的影响等信息进行说明,并从以下维度保证决策结果的公正性:参数设置是否科学、合理,用户画像是否公正、客观、真实,决策规则设计是否科学、合理等。如为了防范“大数据杀熟”的风险,企业就应当明确对用户实施交易价格、交易机会等交易条件上的差别待遇是否具有合理性。

此外,企业提供算法推荐服务,还应当尊重社会公德和伦理,遵守商业道德和职业道德,遵循公正公平、公开透明、科学合理和诚实信用的原则,倡导主流的价值导向,不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用算法推荐服务传播法律、行政法规禁止的信息,不得推荐歧视性信息、传播虚假信息,不得规避监管、实施垄断和不正当竞争行为等。

  企业合规实施路径

从个人信息保护合规管理角度看,提供算法推荐服务的企业作为个人信息处理者,也应当落实个人信息保护法第51条的规定,在管理上要做到合规,如制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案等等。具体而言,企业应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。

算法推荐作为“利用个人信息进行自动化决策”的场景之一,亦需做好个人信息处理合规,事先进行个人信息保护影响评估,并对处理情况进行记录。在进行算法推荐时,企业应当做到,以隐私政策、弹窗等方式明确告知用户,并且在业务功能、推荐内容上以“推荐”“猜你喜欢”“定推”“根据你的搜索推荐”“根据你的兴趣推荐”等字样进行显著标识;建立和完善合法合规的用户模型和用户标签管理,完善记入用户模型的兴趣点规则,不得有违法和不良信息关键词,不得有歧视性或者偏见性用户标签,排除任何形式的强制、欺骗、误导用户使用个性化推荐,以及涉及杀熟、价格歧视等违规的系统设置。在下列业务场景中,企业在应用算法推荐时应当保留相关记录以证明其行为具备正当性:(1)基于消费者实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件;(2)基于针对新用户在合理期限内开展的优惠活动;(3)基于平台公平、合理、无歧视的规则实施的随机性交易;(4)基于保障弱势群体利益和安全而作出的限制或差异性对待;等等。

此外,《算法推荐管理规定》也设置了相应的行政管理要求。网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。提供算法推荐服务的企业如具有舆论属性或者社会动员能力,应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型等备案信息,履行备案手续。

总之,作为技术手段的算法推荐本身是中立的,运用正确可以提高企业的经营效率,为用户提供更具针对性、更优质的服务。《算法推荐管理规定》的发布是政府部门相互协调、细化监管、完善治理的集中体现,有助于规范提供算法推荐服务的行为,保障市场公平有序竞争,维护消费者的合法权益。相关企业必须加强自律,深入开展合规工作,切实承担应尽的义务和责任,以守法经营助力行稳致远。