算法披露的域外经验与启示*

靳雨露

(北京师范大学法学院 北京 100875)

0 引 言

人类社会步入人工智能时代，算法作为人工智能三大核心要素(算法、算力、大数据)之首，深刻影响并改变着人们的生产生活。算法自动化决策已融入日常生活，成为智能时代处理数据的重要生产工具。由于算法的强技术性、高路径依赖性，算法主宰着人工智能时代的大部分决策，甚至将人困于决策循环(loop)。对算法透明度做出要求并进行监管，成为保障主体在数字时代权益、维护社会公平正义的重要举措。

当前对算法的监管集中在对算法黑箱、算法合谋、算法权力、算法歧视等问题的规制[1]。而对算法予以有效监管与规制的前提与关键是算法透明、算法披露。算法披露成为政府对“数字守门人”的大型互联网企业合规进行监管、保护数字时代基本人权的重要举措，算法披露也有助于打开算法自动化决策黑箱，是消除“算法霸权”、监管与控制平台事实支配力、保护消费者权益的有力手段。

提高算法透明度已逐渐成为各国对算法监管的共识。然而，目前国内外对算法披露的具体规则并未达成统一共识。各国基于本国利益考量，对互联网平台的披露要求并不一致。算法披露的规则演进总体上呈现日趋严格的趋势。从最初的要求披露算法的存在、披露算法运行的结果，到目前逐步要求披露算法的运行规则、运行逻辑和具体参数，甚至是公开算法的源代码。各国在要求算法披露的具体事项和程度上也呈现出局部差异。算法披露要求的严格与宽松，事关互联网平台、消费者利益和数字经济的发展，研究算法披露的限度、算法披露的治理与责任落实成为重要课题。

为此，本文从域外算法披露的立法演进入手展开研究，总结域外算法披露的立法与实践经验，得出对我国算法披露制度构建的启示和建议，以期为我国算法披露立法与实践提供参考。

1 算法披露的域外立法演进

域外对算法自动化决策披露的要求总体日趋严格，呈现出欧盟稳步推进、美国快速激进的局面。总体来看，美欧近年来不断出台法案，对算法自动化决策的透明度逐步提出更高的要求：对算法予以披露的事项日渐多元化和多样化，域外算法披露也已经从透明度的原则性规定演化到算法问责等具体的制度构建，对算法问责，欧美表现出个体赋权和外部问责的路径差异。本文着重选取域外算法披露立法演进过程中特殊节点的典型立法，以说明其演进历程。

1.1 欧盟算法披露的演进

1.1.1从算法解释权到具体算法参数披露

2018年5月25日生效的欧盟《通用数据保护条例》(以下简称为“GDPR”)规定了算法自动化决策的解释权，是算法披露的一项重要的实证化权利。这一权利在欧盟范围内得到了广泛认可，并在欧盟各国通过政策标准予以具体化。根据GDPR第13条至第15条的规定，数据主体应当能够获得与算法自动化决策的逻辑相关的、有实际意义的信息。数据控制者在获取个人数据时，向数据主体负有算法透明的义务，包括提供确保算法合理与透明处理所必要的信息的义务。如向用户披露算法自动化决策的存在，包括用户画像、在此类情形下的算法逻辑，以及算法处理对于数据主体的预期后果等有效信息。

随后，欧盟2019年6月19日通过《平台和商户间公平性和透明度法》，其中第5条在算法解释权的基础上，进一步要求网络平台向公众披露其算法自动化决策的具体参数。要求网络平台向用户披露的算法参数包括影响自动化决策中排名的主要因素和相关信息。平台应当以简单易懂的语言告知用户其自动化决策的存在、进行自动化决策需要的信息，以及第三方平台向该网络平台付费而影响自动化决策的程度等，并在其改变排名顺序或影响因素时，及时通知用户，再次就算法予以解释说明。

1.1.2从透明度原则到算法问责制：采取个体赋权的算法问责路径

在欧盟数据保护委员会(以下简称“EDBP”)的一份答复中[2]，其指出GDPR涵盖了大多数算法的创建和使用规则，其中就包括对算法的披露要求。

首先，GDPR第12-14条规定的透明度原则要求数据控制者采取适当措施，以简洁、透明、易懂和易于访问的方式，让数据主体了解其数据的使用情况。要求数据处理者使用算法进行自动化决策的任何行为，都应当通知数据主体算法自动化决策的存在，并提供算法逻辑相关的信息，以及实施算法自动化决策的意义和预期后果。对算法透明度的要求是使用算法进行自动化决策的数据控制者的义务，有助于使数据主体完整理解和行使在GDPR第15-22条中的权利。可以看出，欧盟通过在GDPR中对个体的赋权路径，确保数据主体不受算法自动化决策黑箱的不利影响，包括算法自动化决策的无意歧视后果等。

其次，GDPR规定的算法问责制原则要求数据控制者确保遵守GDPR的透明度要求，并能够证明算法自动化决策的合规性。这意味着数据控制者有义务考虑所有使用或创建的特定算法可能造成的潜在风险，并在必要时采取措施应对这些风险。同时，算法的使用或开发可能会触发执行数据保护影响的义务，这要求数据处理者在使用任何算法进行数据处理之前进行数据保护影响评估(Data Protection Impact Assessment，DPIA )。如果DPIA的结果表明在没有措施的情况下，算法处理将导致较高风险，数据控制者在使用算法进行数据处理之前必须咨询相关监管机构。

复次，GDPR包含有关算法自动化决策的具体规定。GDPR第22条禁止任何仅基于自动化处理的决策，如果此类决策产生影响数据主体的法律效果，或类似的对数据主体产生重大影响。这意味着，在实践中数据控制着不能仅仅依靠算法的结果来进行敏感决策。GDPR第22条要求控制者实施适当的措施保障数据主体的权利、自由，及其合法利益，其中必须包括获得人为干预的权利[3]。该种人为干预必须是合格的，能够发现和恢复自动化决策不公平的结果或歧视。

最后，EDBP指明：考虑到欧盟现有的法律框架，针对特定算法技术增加在数据保护领域立法目前还为时过早。EDBP的重点在于制定现有规范，特别是针对机器学习算法背景下的透明度、问责机制和DPIA。未来将有可能在机器学习的算法问责和算法披露方面制定准则。考虑到使用“不公平”算法可能会在数据保护领域之外产生后果，EDPB认为为了保护个人免受不公平或算法歧视的结果，需要一种跨学科的方法。当前数据的法律框架确实为有效监督和执行上述算法公平和透明方面提供了许多选择，包括授予个人要求数据保护机构提供其个人数据的权利。这种强制执行可以采取多种形式，包括但不限于：积极向公众宣传其权利、与利益攸关者接触，并通知和指导算法获得、评估、事先磋商和进行调查。

1.2 美国算法披露的演进

1.2.1从披露算法的存在到披露算法源代码

2021年11月，美国众议院提出《过滤气泡透明度法案》(Filter Bubble Transparency Act)，拟对互联网平台的算法推荐进行规制，包括搜索结果排序、个性化内容推荐、社交媒体帖子呈现等。法案要求平台必须披露算法的存在，并给用户提供关闭个性化算法推荐的选项[4]。参与提出该法案的众议员表示：基于Facebook和其他占主导地位的平台的垄断力量和支配地位，用户几乎没有办法替代这种剥削性的商业模式，无论是在社交媒体、广告推送还是搜索结果中[5]。该法案有利于规制Facebook的算法操纵危机。

在该法案出台之前，来自布鲁克斯东区纽约市议会的成员詹姆斯·瓦卡曾提出，要求市政府机构运用自动化决策系统分配福利、维护治安和进行处罚的时候，必须公布算法的源代码[6]。相较于其他国家要求披露算法自动化决策服务的存在、运行逻辑、结果等事项，该提案直接监管到算法技术的核心——源代码，是对算法自动化决策披露义务的最高要求。值得注意的是，该法案规制的是政府自动化决策行为，虽然最终通过，但由于争议较大并没有得到很好的实践。

1.2.2从算法透明原则到算法问责制的确立

美国《2019年算法问责法案》的宗旨是,指示联邦贸易委员会(Federal Trade Commission ，以下简称“FTC”)对存储、共享和使用个人信息的实体进行自动化决策系统影响评估和数据保护影响评估相关工作[7]。美国《算法问责法案》的规制对象几乎覆盖了美国所有的互联网企业。在算法透明原则性规定的基础上，进一步构建了算法影响性评估制度，明确对算法继续审查和问责，其最重要的面向仍然在于对算法的透明化要求。根据规定，算法自动化决策透明化的程度应结合算法的具体运用场景、处理个人信息的内容等进行相应的风险评级，并根据风险等级来考虑透明度的具体形式。算法影响评估制度也可以看作是海伦·尼森鲍姆提出的场景公正(风险)理论(contextual integrity)的具体落实[8]。2022年2月，美国俄勒冈州、新泽西州和纽约州提出《2022年算法责任法案》，对算法提出新的透明度和问责制要求[9]。其中特别提及企业应当对算法的偏见、有效性和其他因素进行影响评估，使算法技术成为赋权工具，而不是企业技术中立和价值无涉的保护伞。FTC还将创建“公共存储库”对算法系统进行管理。

1.2.3FTC《使用人工智能和算法》专报中的算法披露：对算法披露外部问责路径

2020年8月8日，FTC公布了《使用人工智能和算法》专报，就当前FTC对人工智能和算法应用的规制进行总结[10]。FTC专报的内容集中体现了美国就算法披露的立法演进过程以及当前美国算法披露制度的构建现状。FTC表示，美国早有立法对自动化决策进行外部监管。如1970年颁布的《公平信用报告法》(FCRA)和1974年颁布的《平等信用机会法》(ECOA)都涉及算法自动化决策，FTC根据这些法案进行算法自动化决策的外部监督。并在2016年《大数据：包容或排斥的工具？》的报告中[11]，建议使用大数据分析与机器学习的公司减少发生算法偏见的机会；在2018年11月举行的听证会上探讨人工智能、算法和预测分析[12]。FTC的执法行动和指导从外部对算法披露进行监督：强调算法工具的使用应该是透明的、可解释的、公平的、在经验上合理的，同时促进算法问责制的构建。

质言之，FTC专报反映出美国对算法自动化决策披露采取的是外部问责路径，其对算法披露外部监督的要求有：a.保持透明。要求算法服务主体向消费者披露是如何使用自动化算法的，收集敏感数据时保持算法透明。b.向消费者解释算法自动化决策的决定。如果使用算法进行风险评分，应披露影响评分的关键因素、影响因素的重要性排序等。c.确保自动化决策的决定是公平的，为消费者提供访问权并使其有机会更正用于做出决策的信息。d.确保数据和算法模型可靠且合理。利用消费者的数据做出决策，必须遵守FCRA，确保数据准确、最新且可靠。e.对算法的合规、道德、公平和不歧视负责。在使用算法之前确保算法的非歧视和公平公正，保障算法问责机制健全。

1.3 小结

质言之，在对算法披露日趋严格的国际背景之下，欧盟和美国算法披露立法在算法披露具体事项等级和算法披露监督、问责制度构建方面呈现出局部差异。

在算法披露具体事项的等级上，欧盟起初重点要求披露算法自动化决策的存在和运行结果，随后开始要求对算法自动化决策的运行逻辑和详细参数予以透明化。GDPR中赋予数据主体的算法解释权要求使用算法自动化决策透明，并披露其运行结果。随后，欧盟颁布《平台和商户间公平性和透明度法》，要求商家就算法自动化决策披露运行逻辑、具体的算法参数等信息。而美国在欧盟算法披露要求的基础上，更为激进地提出披露算法源代码的提案，要求算法自动化决策服务提供者披露关于算法自动化决策的源代码等相关内容。

在算法披露和算法问责制度构建上，欧盟在GDPR规定的算法透明原则、算法解释权的基础上，构建出数据保护影响评估制度，对算法进行评估、审查和问责。而美国分别提出《2019算法问责法案》和《2022算法问责法案》，设立算法影响性评估制度对算法的透明度提出更高的分类评估要求，对算法进行问责，并尝试构建算法主体独立审查委员会、公共存储库等对算法披露进行监督。

总体来说，算法作为21世纪的核心技术应用，已经走出了技术中立和价值无涉的保护伞，各国对算法问责制的确立予以肯定。然而，当前域外算法披露相关立法中，对算法披露义务主体的责任施加问题并不一致。如欧美出现个体赋权、外部算法问责等不同的治理路径，对适用过错责任还是严格责任的过错类型问题，以及对算法披露主体违反披露义务后的民事责任、行政责任、刑事责任匹配和追究问题的处理并不明确[13]。而我国也应当根据中国互联网制度环境，设计适合自身特色的算法披露的法律责任类型化与责任体系。

2 算法披露的域外实践经验

在算法披露日趋严格的立法背景下，欧美大型互联网平台开始逐步规范其内部算法披露政策，并逐步增加算法披露事项。从实践来看，域外大型网络平台主要通过更新隐私和个人信息保护政策，在其中增加算法自动化决策服务的相关说明，根据信息主体的算法解释权、网络平台的算法披露义务等相关内容来对算法自动化决策进行解释和披露。如亚马逊、谷歌、YouTube、Facebook、Uber等大型互联网平台已经就算法公开透明等的披露要求做出应对举措。其中，Facebook在美国外部问责治理范式之下，成立独立审查委员会进行自查，以配合外部审查。

2.1 域外大型互联网平台算法披露的实践现状

2.1.1算法解释权主导下隐私政策中的算法披露

a.亚马逊隐私政策中的算法披露。当前亚马逊未就其使用的特定算法进行专门的公开和解释说明，而是在其更新的隐私政策文本中公开了个性化广告推送机制的运行逻辑。个性化广告推送背后是隐藏的推荐算法应用。据其隐私政策中披露的算法运行逻辑，当用户访问网站或使用与广告网络或其他在线广告公司合作的应用程序时，这些广告公司会收集有关用户浏览器或设备的信息，预测用户对特定类别广告的兴趣。如经常访问棒球相关网站的用户可能会收到更多“棒球或体育爱好者”类别的广告，与汽车评论应用互动的用户可能会收到更多他们感兴趣的特定车型的广告。亚马逊也在其隐私政策中为用户提供了个性化广告推荐服务退出选项，保障用户算法自动化决策退出权的实现。

b.谷歌隐私政策中的算法披露。谷歌在隐私政策中披露了算法的存在和应用场景、逻辑。据其隐私政策披露，谷歌会通过算法来利用信息，以协助提升服务的安全性和可靠性。谷歌对算法的应用包括检测、防范和应对可能会危害用户或公众的欺诈行为、滥用信息行为、安全风险和相关技术问题。谷歌会利用不同的算法技术处理信息。如利用自动化决策系统分析用户内容，以便为用户提供定制的搜索结果、个性化广告，以及根据用户使用谷歌服务的情况量身定制的其他功能。同时，谷歌利用算法识别数据的模式，如谷歌翻译中德算法可以检测用户请求翻译的短语的常用语言模式，从而协助用户使用各种语言进行沟通交流。谷歌还可能会将用户在其他网站和应用中的活动与其个人信息相关联，以改进谷歌服务和精准投放的广告。

c.YouTube隐私政策中的算法披露。YouTube在官网公开的隐私政策中表明算法推荐应用(算法推荐视频、个性化搜索结果)的存在，设置有个性化服务退出选项，并公开其用于消除偏见的算法系统。据YouTube隐私政策，YouTube为用户提供个性化服务，包括提供推荐视频和个性化搜索结果，以及向用户展示相关广告。此外，YouTube着重公开了采用的防止意外有害偏见的算法系统。YouTube使用用户数据来训练搜索和导航系统。搜索和推荐系统用来审核机器学习系统，以确保不存在无意的算法偏见，例如性别偏见。

d.Uber隐私政策中的算法披露。Uber在其隐私政策中公开了自动化决策算法的存在、算法运行逻辑和算法预期运行结果和目的。Uber提供服务中的自动化决策包括：动态定价、订单匹配、数据滥用与欺诈防控等。Uber着重披露了其欺诈和滥用自动化防控算法运行系统。该算法系统可对被认定从事欺诈、不安全活动或其他可能损害Uber、用户和其他用户的行为进行举报，此类行为可能会导致账号自动停用，或者在人工审核后停用。Uber算法将使用驾驶员位置信息以及乘客和驾驶员之间的通信信息来识别通过欺诈赚取或诱导消费的行为。此外，Uber披露，将使用司机数据(如位置、评级和性别)和乘客数据(如评级、出发地和目的地)来帮助避免远程用户配对，但这可能会导致冲突风险增加。

2.1.2外部审查范式主导下Facebook独立审查委员会的成立

根据美国的算法问责法案，美国算法问责制的实现依赖外部专家、机构以及公众对算法的监督和问责。据此，Facebook在2018年设立了独立的监督委员会，作为其网站内容审核的最终“真相仲裁者”[14]。独立监督委员会的章程对其权力有明确的规定，包括请求Facebook及时透明地提供审议所需要的合理信息、解释社群守则和其他相关政策、指示 Facebook 保留或删除内容，以及维持或撤销原有的执行决议、就监督委员会的决定发布及时的书面解释等。此外，监督委员会章程也规定其成员履行其合约和行为规范中规定的职责、保护Facebook用户的隐私、进行算法披露，保证算法公开透明等责任。

2021年9月，社交媒体巨头Facebook的监督委员会审查了Facebook针对知名用户使用不同算法规则的做法，称Facebook针对不同用户的决策方式明显不一致。在Facebook监督委员会自行审查其针对知名用户使用不同算法系统的做法之前，《华尔街日报》对该系统进行了一项名为“交叉审查(cross-check)或XCheck的调查”。调查显示，交叉审查系统对数百万账户中的一些账户实行“白名单”，这意味着他们受Facebook执法决议的豁免。Facebook自行审查事件正是在《华尔街日报》外部调查的推动下，Facebook利用自身的监督委员会对其被曝光的自身算法运用问题进行自查，并进行后续相应的体系改进工作。这一做法是外部调查推动下，社交媒体平台自查监督体系发挥作用的体现。

2.2 域外算法披露实践的经验与不足

2.2.1域外算法披露实践的经验借鉴：“内部自查+外部审查”监督机制

Facebook在《华尔街日报》外部调查的推动下，利用自身的监督委员会对其算法运用问题进行了自查。算法实施主体内部自查的做法被社会各界赞同，也对算法披露的落地起到了很好的效果。域外互联网平台存在的外部调查推动下平台自查的监督体系可被我国算法披露监管制度的构建所借鉴和吸收。对于我国算法披露的监管而言，可打造“内部自查+外部审查”的双轨制监管机制。

就外部审查机制而言，是在政府主导下由独立的社交媒体监管机构进行统一的外部监督。外部监管主要审查互联网平台的算法规则及自身的算法审查政策是否公正和公开透明，是否存在算法披露系统的滥用等。Facebook的审查系统和自身规则运用的问题首先由《华尔街日报》进行披露，并直接推进了Facebook的自查行为，可见外部监督对社交媒体平台的重要性。其次，内部自查机制是指算法实施主体自身应当建立独立的审查机构，做好自我审查和自我监督。Facebook事件折射出社交媒体平台设立独立监督委员会进行内部审查的必要性。后续可推动我国算法服务主体逐步成立独立的内部监督机构，并进一步强化我国外部审查机制的确立。通过建立“外部监督+内部自查”的双轨制监管机制，不断完善我国算法披露的监管和治理。

2.2.2域外算法披露实践暴露的问题：算法归责机制缺失影响算法披露的落实

当前，在算法披露日趋严格的国际大背景下，亚马逊、谷歌、YouTube、Facebook、Uber等大型互联网平台纷纷更新其隐私政策，在其中进行算法披露，保证算法在法律要求下的公开透明。从上述各互联网平台更新的隐私政策中可以看出，实践中算法披露的实现有赖于个人信息保护法等法律中对信息主体知情权、算法解释权、算法自动化决策退出权等的赋予。互联网企业依赖于法律对个体的赋权，一对一式地逐步进行算法事项的披露与“算法退出”等选项的设置。

将算法作为监管对象是人工智能与大数据时代的大势所趋[15]。不明确算法实施主体责任类型的法律和政策往往会失去约束力。当前域外法律政策文本中，对算法披露事项的要求更加细化，算法问责制的构建成为主流。但在算法问责制下，算法实施主体违反算法影响评估等制度规定的注意义务后的责任如何施加，算法实施主体的过错类型是适用过错责任还是严格责任，以及如何匹配相应的行政责任、民事责任与刑事责任等的规定并不详尽，导致算法追责模糊化和责任设置不协调等问题。直接体现在大型互联网平台对算法披露要求贯彻的不彻底性——仅在隐私协议中就当前信息主体相关算法权利的实现进行抽象和概括规定。对我国算法披露制度构建来讲，应尤其注意算法责任制度的构建，使算法披露的规定得以在实践中落实。

3 算法披露的中国现状与不足分析

在对算法披露要求日趋严格的国际大背景下，我国《电子商务法》和《个人信息保护法》在立法层面规定了算法自动化决策的自然结果展示义务和自动化决策的透明度要求。《关于加强互联网信息服务算法综合治理的指导意见》(以下简称为《算法治理指导意见》)与《网络数据安全管理条例(征求意见稿)》(以下简称为《数据安全管理条例》)等从宏观层面强调算法应用“透明可释”，应构建算法决策披露制度。《互联网信息服务算法推荐管理规定》(以下简称为《算法推荐管理规定》)，集中规范互联网信息服务算法推荐活动，重点规定算法推荐服务提供者的披露义务和责任。对算法“应当披露”的问题已经解决，但我国对算法披露具体内容的规定和相关监督与问责制度的构建仍有进一步完善的空间。

3.1 中国算法披露的立法现状

3.1.1《电子商务法》和《个人信息保护法》中的算法披露透明度要求

《电子商务法》中关于搜索结果自然展示义务的条款，是对算法自动化决策披露义务初步的回应。第18条规定了算法自动化决策的自然结果展示义务，即平台的推荐算法搜索应提供非个性化推荐的一般结果，即不针对消费者个人的普通搜索结果。《个人信息保护法》第24条规定了算法自动化决策的透明度要求以及处理结果公平合理。这是我国在立法中对算法透明原则的确认，将对算法秩序的形成，数字正义的实现起到基础规范作用[16]。算法自动化决策披露或透明包括两个面向，即对政府披露和向公众披露。算法的披露具体包含着从告知义务、向主管部门报备参数、向社会公开参数、存档数据和公开源代码等不同形式。《个人信息保护法》赋予信息主体的算法解释说明权和拒绝权也可以看成是算法披露或透明要求的具体化体现。

3.1.2《算法治理指导意见》与《数据安全管理条例》的算法披露原则

在2021年9月29日，我国中央九部门印发的《算法治理指导意见》在其基本原则、基本目标和促进算法生态规范发展三个部分分别强调了算法自动化决策服务的披露要求，要求算法技术公开透明。在“基本原则”中表明，应引导算法应用公平公正、透明可释，充分保障网民合法权益；在“主要目标”中提到要推动算法应用公平公正、公开透明；最后在“促进算法生态规范发展”中再次指出，要督促企业及时、合理、有效地公开算法基本原理、优化目标、决策标准等信息，做好算法结果解释，畅通投诉通道，消除社会疑虑，推动算法健康发展[17]。2021年11月14日，《网络数据安全管理条例(征求意见稿)》发布，在我国其他关于算法披露透明度原则性要求立法规定的基础上，规定互联网平台运营者有建立算法策略披露制度的义务，还应就制度的制定程序、裁决程序等进行披露，保障算法结果公平公正。

3.1.3《算法推荐管理规定》的算法推荐披露要求

我国国家互联网信息办公室等四部门于2022年1月4日发布《算法推荐管理规定》[18]，集中规范互联网信息服务算法推荐活动。规定了算法推荐技术的概念、提供算法推荐服务的原则、算法推荐服务提供者的披露义务和责任，以及法推荐服务的监督管理等内容。

在《算法推荐管理规定》的定义中，“应用算法推荐技术”实质是将算法推荐服务定位为技术的应用，而不是单纯的技术，为后续其不能适用“技术中立”原则，而应当被规制、被监管和被披露埋下伏笔。第7条集中规定了算法推荐服务提供者的披露义务和责任，包括算法安全主体责任、信息发布等算法审查和审核机制、算法安全评估等管理制度、制定并公开算法推荐相关服务规则等。明确为我国算法推荐服务提供者施加了公开其算法推荐规则的义务。除此之外，第8、9、10条分别规定了算法推荐服务提供者定期审核、信息内容安全管理、不得设置歧视或者偏见的义务。这些义务均在其算法推荐技术规则公开和透明时所适用。根据第16条，算法服务提供者应当披露算法的事项为：算法的基本原理、目的意图和主要运行机制。根据第23-29条，监管部门应当建立算法分级分类安全管理制度、算法备案制度和算法安全评估制度。但包括《算法推荐管理规定》在内的我国算法披露相关法律并未涉及算法服务提供者的责任类型和责任承担问题。

3.2 中国算法披露的实践

自我国《个人信息保护法》正式施行后，网络平台纷纷更新其隐私和个人信息保护政策，并根据其中对算法自动化决策的披露要求做出相应举措。如“微信”和“淘宝”已经在其应用中专门推出“个人信息权限”设置，增添“授权管理”和“个性化广告管理”选项，允许用户退出个人信息自动化决策，并在其中说明其个性化广告推送的运作机理。社交媒体“微博”也设置有“个性化广告推荐”和“个性化内容推荐”的退出选项，向公众披露其算法自动化决策的存在，并允许用户自行决定是否参与算法自动化决策。

国内网络平台如美团，开始率先将其算法自动化决策的相关规则予以公开。2021年9月10日，美团首次在其微信公众号“美团Meituan”公布了外卖配送的“预估送达时间算法”的运算规则。随后，于11月5日在其微信公众号再次就其“订单分配算法”进行更详细的披露。美团自行披露算法自动化决策的内容包括：算法自动化决策的目的、运行逻辑、原则，以及最终达到的效果。美团以通俗易懂的语言表述了“订单分配算法”的运行规则，并以图标、示意图和举例说明的形式来进行算法适用的说明和论证，是国内算法详细披露的有力尝试。

3.3 中国算法披露立法与实践的不足分析

当前我国立法只是对算法透明提出了原则性要求，对算法披露的详细事项、披露等级和算法披露具体制度构建均未有明确规定，处于相对匮乏状态。如《电子商务法》《个人信息保护法》中事先的规制只是要求算法自动化决策服务提供者披露算法自动化决策的存在，并没有要求披露具体的算法自动化决策的模型、运行逻辑、原则、规则等内容。而《算法治理指导意见》《数据安全管理条例》中只是对算法披露公平公正、透明可释，以及对算法披露制度的构建提出了原则性要求。《算法推荐管理规定》在一定程度上弥补了上述不足，就算法披露的事项、制度等进行了初步规定，但与域外当前的立法强度相对比，仍显不足。

鉴于我国对算法披露等级与制度立法上的不足，我国大型互联网平台对算法的披露事项要明显弱于域外。同时，我国存在与域外相同的问题，即同样根据《个人信息保护法》等对信息主体的赋权，在其个人信息与隐私政策中保障信息主体知情权、算法解释权、算法自动化决策退出权等的实现，而没有着手开始建立专门的算法披露制度。当前，我国对算法披露的具体事项规定的过于概括与模糊，对算法披露相应的监督管理制度的构建、算法责任的落实仍显不足，有待进一步的完善。

4 域外算法披露对中国的启示

域外算法披露相关立法在近几年不断细化算法披露的事项，强化算法披露等级，对算法披露相应监管和责任制度的构建也趋于严格与具体。我国在算法披露立法层面，目前仅对算法披露事项提出披露基本原理、目的意图和主要运行机制的规定，对自动化决策算法的透明度提出初级要求，规定算法结果公平公正原则，缺乏算法披露事项的具体规定，仍有很大提升空间。而在实践层面，境内外都表现出缺乏统一监督指导和归责制度，导致披露不充分、不完全等与立法存在落差的问题，急需构建相应监管和责任制度。因此，借鉴域外算法披露经验，我国可从提升算法披露等级、构建统一双轨制算法披露监督机制和落实本土算法披露责任三方面，来完善算法披露的立法和实践。

4.1 强化算法披露等级：从初级公开到具体透明

欧盟对算法披露的规制从信息主体知情权、算法解释权、自动化决策退出权着手，对算法的透明度提出更高的要求，逐步要求披露影响算法自动化决策的重要参数。而美国从加强对政府机构监管的角度，除了要求算法透明、披露算法运行逻辑、结果和重要参数，还要求披露政府机构自动化决策算法的源代码。算法公开和透明是算法披露的原则性要求，算法自动化决策的具体披露事项则是算法披露的层级问题。

当前可将算法披露分为初级公开、具体透明和完全披露三个等级。我国在《个人信息保护法》中要求算法公开透明、结果公平公正，在《算法治理指导意见》中提出算法透明可释原则，但均不涉及具体算法公开事项，可视为算法披露的初级公开。欧盟除了在GDPR中提出算法透明，要求披露算法的存在、披露算法运行逻辑和算法结果可解释外，还在《平台与商户间公平性和透明度法》中规定算法披露的具体参数，可被视为是算法具体透明的第二披露等级。美国在《过滤气泡透明度法案》除了提出算法透明度要求外，纽约州的议案甚至要求政府机构披露所使用算法的源代码。算法源代码的公开可被视为算法的完全披露。

算法披露程度攸关公民个人信息权益、数字权益的保障，也事关国家网络安全与平台监管的效率和公平。为保障个人信息权益的实现和对算法监管的效率，我国有必要从算法披露的初级公开过渡到算法具体透明阶段。算法具体透明要求在立法中除了规定算法透明和可释的原则性条款外，对算法披露的具体事项应予以明确规定。算法披露应公开算法自动化决策的存在、公开算法的运行逻辑和运行结果，这是算法初级披露要求。除此之外，互联网企业还应公开影响算法自动化决策做出的重要参数和影响因子，并在每次影响参数变动时，及时更新其算法披露政策文件，并通知用户。

而对于公开算法源代码的完全披露，涉及到互联网企业的商业秘密保护等利益，事关互联网行业的发展，应采取审慎态度。要着重考量在算法完全披露场景中可能存在的使算法本身更容易受到攻击、算法安全受到减损等算法保护与监管的“平衡”问题。对于后续是否要求事关国计民生的政府机构将其使用算法完全披露，则仍有讨论空间。

4.2 构建“内部自查+外部审查”双轨制算法披露监督机制

我国《个人信息保护法》初步勾勒出算法监督机制的大致框架，规定了算法事前影响评估制度，个人信息处理者应当在事前就自动化决策算法进行个人信息保护影响评估。规定了个人信息处理者的合规审计制度，当算法存在较大风险或发生安全事故时，使用算法的企业应当自行进行合规审计，相关机构有权要求企业进行合规审计。规定了算法自动化决策结果的公平、公正。然而，对比美国建立起的加强对算法模型有效监督的算法披露监督制，我国原则性和框架性的算法披露机制仍应被统一和具体化构建。

具言之，应进一步统一明确算法披露监督制的机理与体系层次。算法披露监督制脱胎于“技术治理”，其机理要区别于传统“主体-行为-责任”的监管思路[19]。算法披露监督制应构建起多元化和多层次的算法披露监管体系。就事前的算法披露影响评估机制而言，在我国《个人信息保护法》的原则性规定之下，应进一步细化事前算法披露评估的启动标准。算法影响评估机制源自欧盟隐私影响评估机制[20]，是对算法事前进行风险评估并将评估结果予以披露的制度。美国《算法问责法案》将一定用户数量和访问量作为高风险评估的启动标准，这一标准的设定将使“数字守门人”的大型互联网公司承担更高的责任。我国进一步可参考域外立法例，将用户数量、访问量、广告营收、企业市值等作为算法披露事前评估的启动条件，分别为不同层级的互联网企业设置不同的算法事前评估启动标准。

就事中和事后的算法披露监管机制而言，应构建“内部自查+外部监督”的双轨制监管制度。内部自查制可设计为算法使用过程中互联网企业的自我审查和自我纠错机制。可参考Facebook独立审查委员会制度[21]，创建独立的企业算法监督委员会或审查委员会。通过建立内部自查机制、开放内部公众投诉通道等，定期和不定期地对平台自身算法政策和系统的运作进行自查和自我监督，并在国家监管机构审查时提供帮助和支持。外部监督机制要求设立国家层面统一的算法披露监管机构，对算法进行统一监管。一是公布算法披露准则，划定算法披露红线，将平台运行算法过程中不充分披露、虚假披露算法等问题予以提前禁止；二是实时对企业运行算法过程中存在的违反国家披露准则的算法披露问题予以监管。必要时可通知企业算法披露监督委员会进行自查，或直接要求互联网企业进行算法披露整改。通过建立事前风险评估制度和“内部自查+外部审查”的双轨制算法披露监督机制，多元化保障算法披露要求的实现。

4.3 落实本土算法披露的责任类型化与体系化

正如法谚所言：无责任则无权利。对算法披露等级强化、保障算法透明与公开的关键除了构建双轨制监督机制之外，还应当包括对算法服务主体施加责任，确保本土算法披露类型化与体系化的构建，以责任追究真正落实算法透明与公开等算法披露要求。

在对算法问责成为国际共识的背景下，可进一步落实本土算法服务主体违反算法披露义务承担的责任类型与归责体系。就算法服务主体未履行法律规定的披露要求应承担的责任而言，应予以类型化。算法披露责任类型化体现在民事、行政与刑事责任类型分明、层层递进并可以叠加适用。当算法服务主体未进行如实、充分披露侵害私主体的权益时，承担相应的民事责任；当算法服务主体未遵守网信部门等算法披露监管部门的监督和执法要求进行算法披露时，应当承担相应的行政责任；当算法披露未遵守国家安全保障要求，存在危害国家安全等情形时，应当承担相应的刑事责任。

就归责原则与民事责任相匹配的体系化适用问题，在2018年“爱奇艺诉字节跳动”的中国算法推荐第一案中(2018京0108民初49421号)，法院就表明了“算法外衣难言技术中立”的立场，认为算法服务主体应当负一定程度的合理注意义务，采取了过错责任原则。对算法披露承担过错责任还是严格责任的探讨，离不开本土数字经济发展的背景。算法服务主体对算法的应用在数字经济发展中起着举足轻重的作用。同时，对数字平台进行正向的引导和适当的监管是数字经济健康和繁荣发展的关键[22]。考虑本土数字经济发展、算法披露的现状与平台责任立法的已有实践，应对算法披露采取过错责任原则，并构建起相应的主观过错认定机制。在算法服务主体享受网络空间中算法鸿利的同时，使其负担一定程度的算法披露注意义务与审查义务。

5 结 语

算法披露使算法处于阳关之下，是平台治理、互联网治理的重要手段。算法披露已成为各国共识，且日趋严格。在域外对算法披露愈发收紧的国际大背景下，不同国家和地区基于本国法律传统、实践特色等，对算法披露要求呈现出局部强弱差异。当前算法披露分为初级公开、具体透明和完全披露三个等级。美国要求披露政府机构算法的源代码为算法完全披露，欧盟要求披露算法具体参数为算法披露具体透明阶段，而我国当前处于算法披露初级公开水平。考虑到算法披露在人工智能时代和智能社会的的必要性与重要性，我国有必要从算法披露的初级公开阶段逐步过渡到算法具体透明层级。算法具体透明要求在算法“透明可释”原则基础上，对算法的运行逻辑、运行结果、算法参数和影响因子等予以公开。而对于公开算法源代码完全披露的主体和程度，则仍有待今后进一步的探讨。此外，为在实践中有效贯彻落实算法披露具体要求，应构建事前算法风险评估和事中与事后统一的算法披露监督机制。在明确算法披露监督制的机理与体系层次的基础上，为我国创建“内部自查+外部审查”的双轨制监管制度。在企业内部设立独立算法披露监督委员会，在外部国家层面统一进行算法披露准则设置和统一监管执法。同时，兼顾数字经济发展与平台责任立法已有实践，落实本土算法披露的民事、行政、刑事责任类型化与过错归责机制的体系化。多措并举、多管齐下,保障我国算法披露充分、完全，算法结果公平、公正。