观韬视点 | “清朗行动”视角下的算法合规路径与实务参考
作者:蔡明
引言:中央网信办、工业和信息化部、公安部、国家市场监督管理总局于2024年11月12日联合发布《关于开展“清朗.网络平台算法典型问题治理”专项行动的通知》(以下简称《通知》),要求各部门、各地区自即日起至2025年2月14日开展专项行动,重点整治同质化推送营造“信息茧房”、违规操纵干预榜单炒作热点、盲目追求利益侵害新就业形态劳动者权益、利用算法实施大数据“杀熟”、算法向上向善服务缺失侵害用户合法权益等重点问题。2025年1月19日,中央网信办又启动为期一个月的“清朗.2025年春节网络环境整治”专项行动,要求加大对算法推荐等功能的巡查力度。
根据“清朗”专项行动要求,监管部门对算法平台及算法机制机理提出了更加细化和具体的合规核验标准,督促算法平台和算法责任主体对照文件内容积极自查自纠,提升算法安全能力、促进算法应用向上向善。本文旨在以《通知》项下《算法专项治理清单指引》为基础,结合互联网算法开发、运行全周期场景下的监管要求,为企业完成算法自查自纠、更新、备案等提供参考。
一、个性化推荐算法的合规监管要求
核验项目:信息茧房 & 大数据杀熟
(一)信息茧房类问题的核验要点与合规路径
一般认为,推荐结果的同质化,本质是由算法技术、信息环境和用户心理共同作用的“信息偏食”现象。在电商应用场景,该同质化表现为推荐商品的单一化、同质化,在内容应用场景,则表现为“信息茧房”。
1、核验要点
《算法专项治理清单指引》要求,算法平台和算法责任主体应从“用户兴趣选择”、“用户标签管理”、“防沉迷举措成效”、“个人信息权益保障”等方面综合解决“信息茧房”与沉迷问题。
2.1 兴趣标签的合规路径与实务参考
结合《算法专项治理清单指引》核验要点及《网络数据安全管理条例》、《个人信息保护法》等法律法规对“用户标签”的相关规定,“用户标签”可细分为“兴趣标签”和“用户画像”并施行不同的合规策略。
如算法平台系以清单形式统一预设兴趣标签(图示1),则应严格按照《算法专项治理清单指引》要求落实合规策略,包括:
Ø 不得强制用户选择兴趣标签,允许用户跳过标签选择界面;
Ø 提供兴趣标签查看功能,向用户展示用于内容推送的个人兴趣标签;向用户提供用于个性化推荐服务的个人兴趣标签管理功能;提供便捷的关闭算法推荐服务选项,且用户选择关闭后,平台应立即停止算法推荐服务且不影响用户正常使用,不得频繁通过弹窗等方式提醒用户开启;
Ø 向用户提供“不感兴趣”等功能选项,用户操作后,平台应减少同类内容推送频率。
如平台算法系依据用户个人的行为数据、身份信息(敏感个人信息)等对用户做精准画像,并以画像实施个性化推荐的。则算法平台应按照《个人信息保护法》及《网络数据安全管理条例》的相关规定,就其收集、处理个人信息的合法合规性做全面核查,包括但不限于:
Ø 处理个人信息应具有明确、合理目的(公开处理规则,明示处理目的、方式和范围),收集个人信息应限于实现处理目的的最小范围;
Ø 处理个人信息应征得用户同意。处理敏感个人信息的,应取得个人单独同意,并且具有特定的目的和充分的必要性且采取严格保护措施。
Ø 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
(图示1)
2.2 防沉迷机制的合规路径与实务参考
《互联网信息服务算法推荐管理规定》规定,算法推荐服务提供者不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。《算法专项治理清单指引》将“防沉迷机制”进一步细化为:
Ø 平台应构建用户沉迷防范机制,及时总结相关成效,配合有关部门的监督检查工作。
Ø 平台应具备针对“信息茧房”“同质化推荐”等网民重点关注问题的防范举措,通过内容去重、打散干预等策略提升推送内容多样性丰富性,及时总结相关成效,配合有关部门的监督检查工作。
对比上述规定,《算法专项治理清单指引》不仅要求算法平台构建“沉迷防护机制”,更强调不得以算法黑箱逃避防沉迷算法机制的解释责任,沉迷预防机制应当可见、可评估、可校准。实务方面,算法平台除在《拟公示算法机制机理内容》和算法安全自评报告中明确有关预防信息茧房及防沉迷的策略外(可以流程图或伪代码展示),还应注意留存相关策略的完整文档、数据和技术支持材料,配合监管部门监督检查。
2.3 个人信息保护的监管要求与实务参考
《算法专项治理清单指引》要求,平台应向用户告知用于内容推送的收集处理的个人信息种类,并征得用户同意。并且,除数据收集、告知、征得同意的合规措施外,依据《网络数据安全管理条例》,算法平台和算法责任主体还应关注:
Ø 定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计;(参考《数据安全技术个人信息保护审计要求(征求意见稿)》第四条:处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计。其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。)
Ø 因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理;
Ø 处理1000万人以上个人信息的,还应当遵守“重要数据”处理的相关特殊规定(重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构,网络数据安全管理机构应当依法履行数据安全保护责任。重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案等)。
(二)大数据“杀熟”类问题的核验要点及合规路径
囿于算法代码与自然语言间的交互障碍,以及算法黑箱原理对用户知情权和自主选择权的持续挑战,大数据“杀熟”已成为透支消费信任、损害市场经济公平秩序的典型问题,受到社会和监管部门的持续关注。
1、核验要点
《算法专项治理清单指引》要求,算法平台应从“差异化定价”、“优惠规则公示”、“优惠券领取失败原因说明”等方面综合解决大数据杀熟问题。
2、合规路径与实务参考
结合《算法专项治理清单指引》、《互联网信息服务算法推荐管理规定》相关规定,算法平台和算法责任主体应关注:
Ø 算法平台不得存在相同商品不同用户原始定价不一致情况。
Ø 平台应说明优惠促销规则,如适用范围、参与条件、特定限制等;对于使用优惠券的场景,平台应说明优惠券发放范围、用户身份限制、发放数量、使用条件等信息;在订单结算页面,平台应展示优惠券、满减规则等优惠明细。
Ø 平台应向用户说明优惠券领取失败的真实原因,如领取截止时间、领取要求等。
Ø 算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。
根据上述规定,虽然大数据“杀熟”通常以差异化定价技术为基础,但并非算法生成的所有差异化定价结果均构成大数据“杀熟”(如新用户优惠、限量优惠等)。因此,算法平台和算法责任主体在制定差异化定价策略时,可考虑从以下两个方面排查大数据“杀熟”风险。
第一,聚焦原始定价规则,避免同一商品或服务因用户不同而出现原始定价不一致情况。算法平台应遵守推荐算法和消费者权益保护相关法律法规规定,保护消费者依法享有的公平交易权利,同时,还应关注差异化定价算法训练数据来源的合法性和数据特征(如是否涉及用户收入情况、消费习惯和消费依赖、职业等敏感个人信息),避免出现算法歧视和价格歧视。
第二,相较于原始定价层面的价格歧视,现实中的差异化定价更多是以差异化优惠政策的形式呈现。优惠权益是否公平、公开发放,亦是广受用户关注和质疑的潜在“杀熟”领域。按优惠权益发放模式区分,该类算法可细分为:
Ø 基于随机算法的差异化。即平台通过完全随机的算法来确定优惠券的发放结果(如随机抽取的优惠红包等),该发放结果与用户个人信息无关。该情形因不存在调用用户数据参与决策,通常认为不存在“杀熟”的客观基础。同时,为充分保证用户的知情权,执行该算法时,平台应提前告知用户随机结果的大致区间(如红包数额的上下限等);
Ø 基于用户参与程度的差异化。此模式下,平台通常会预先设定优惠活动的内容、参与方式和奖励政策,当用户达到某种参与程度时,即可获得相应档位的优惠权益,一般参与程度越高,可获得的优惠权益越多或大奖概率越高。
该场景下,平台须要确保优惠权益发放规则公平、合理、透明,并符合基本的商业道德。同时,算法平台还应严格按照公示的优惠权益规则发放权益,避免以用户画像影响算法决策结果。反之,如果针对同等参与程度的用户群体,平台以用户个人特征做区别对待,则会触及“杀熟”风险。
Ø 人群差异化。此模式一般是以提升特定人群的购买率为目标,即针对不同用户人群的特征,分析与其特征相匹配的商品、服务,通过定向发放优惠权益的方式来促成交易、提高转化率。
该场景下,虽然人群差异化规则涉及人群圈选和用户个人信息数据的使用,但并非针对特定用户群体的优惠均构成对其他群体的价格歧视(如向有子女的用户群体发放幼儿品类商品的优惠券)。人群差异化算法是否构成大数据“杀熟”,重点在被圈选的同类用户群体上,是否又以个体的消费能力、收入水平等特征进行区别对待。对此,算法平台和主体可从圈选逻辑、商业惯例、平台福利总量等方面对推荐算法的机制进行解释,如算法本身的目的与运行方式不违反法律法规规定,且符合诚实信用和商业道德,可有效降低大数据“杀熟”风险。
二、智能排序算法(热搜榜单)的合规监管要求
结合算法逻辑及商业应用场景,个性化推荐算法与智能排序算法通常共同作为市场主体提升销售转化率、优化平台生态的重要手段。不同于个性化推荐算法,智能排序算法的公平与合规性,可能从不正当竞争、消费者权益保护等多个维度对算法平台和算法责任主体产生影响。
1、核验要点
《算法专项治理清单指引》要求,算法平台应从“算法规则公示”、“日志留存核验”、“水军账号识别”等方面综合解决“热搜榜单”领域问题。
2、算法合规路径与实务参考
结合《算法专项治理清单指引》、《互联网信息服务算法推荐管理规定》相关规定,算法平台和算法责任主体应满足如下合规要求:
Ø 公示榜单排序机制机理,如基本原理、排序依据、主要因素等详细信息,并通过事例予以说明;
Ø 留存榜单相关网络日志,日志内容包括时间、榜单排名、热度值计算相关数据等信息,配合有关部门的监督检查工作;
Ø 健全异常账号监测机制,防范违规操纵榜单、控制热搜等现象,总结相关成效,配合有关部门的监督检查工作;
Ø 不得利用算法虚假注册账号、非法交易账号、操纵用户账号或者虚假点赞、评论、转发,不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施影响网络舆论或者规避监督管理行为。
同时,《网络反不正当竞争暂行规定》明确要求,平台经营者还应加强对平台内竞争行为的规范管理,发现平台内经营者采取不正当竞争方式的,应当及时采取必要的处置措施,保存有关记录(记录保存时间自作出处置措施之日起计算,不少于三年),并按向平台经营者住所地县级以上市场监督管理部门报告。
结合上述监管要求,算法平台和算法责任主体除引入长尾样本、正则化、对抗学习、冷启动保障等算法机制优化排序算法外,还应关注排序算法机制机理和相关排序示例的公开公示,留存相关日志,为监管部门监督检查预留必要条件。
三、 算法安全主体责任的监管要求
根据《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》以及“互联网信息服务算法备案系统”对算法备案审核的具体要求,算法服务上线前,算法平台或算法责任主体须提交详尽的“落实算法安全主体责任基本情况报告”和相应安全管理制度并经监管机关审核。《算法专项治理清单指引》重点从算法平台和算法责任主体相关安全管理制度落地及配合监管部门检查的角度,提出了更为细化和具体的合规核验标准。
1、核验要点
《算法专项治理清单指引》要求,算法平台应从“算法机制机理审核”、“算法模型安全评估”、“数据安全”等方面,落实“算法安全主体责任”。
2、算法合规路径与实务参考
结合《算法专项治理清单指引》、《网络数据安全管理条例》等相关规定,算法平台和算法责任主体应满足如下合规要求:
Ø 平台应及时总结建立算法机制机理审核的管理制度和技术措施的机制及成效,配合有关部门的监督检查工作;
Ø 平台应定期对算法模型开展安全评估,及时总结评估成效,配合有关部门的监督检查工作;
Ø 平台应及时总结建立数据安全管理制度和技术措施的机制及成效,配合有关部门的监督检查工作。
参考算法备案实务,企业提交网信部门审核的《落实算法安全责任基本情况》通常已从“算法安全管理机构”、“算法安全管理制度”(包括但不限于算法安全自评估制度、算法安全检测制度、算法安全事件应急处理制度、算法违法违规处理制度)等方面,系统回应了《算法专项治理清单指引》对算法安全主体责任制度的各项要求。但算法平台与算法责任主体还应注意,《算法专项治理清单指引》更加强调算法安全管理制度的落实执行,并要求企业积极配合监管部门监督检查。因此,算法平台和算法责任主体除严格执行相关算法安全责任制度外,还应注意留存有关算法监测、自评、更新、应急处理的日志和报告,为监管部门监督检查预留必要条件。
四、 结语
随着算法和大模型技术的迭代升级,特别是越来越多AIGC服务企业在API、SaaS、本地部署等算法调用领域的不懈探索,极大促进了算法和大模型技术在商业应用领域的发展。在此背景下,算法服务企业作为连接算法技术和商业应用场景的纽带,应当及时并准确识别自身在算法服务和监管体系中的角色,明确自身职责,积极履行算法合规、数据合规、网络安全维护、个人信息保护等法定义务,落实算法安全主体责任,共同守护科技向上向善发展大环境。
参考资料:
《算法治理制度之竞争规制》时建中、黄文艺、薛军、张凌寒 中国工业出版社。
《算法治理制度之算法透明度》 时建中、黄文艺、薛军、张凌寒 中国工业出版社。
《互联网信息服务深度合成管理规定》备案填报指南 https://beian.cac.gov.cn/.
