算法离我们有多远？——论个人信息保护问题

你听说过“算法黑箱”吗？

就如图上所示，算法黑箱是指由于技术本身的复杂性以及媒体机构、技术公司的排他性商业政策，用户并不清楚该算法的目标和意图，也无从获悉算法设计者、实际控制者以及机器生成内容的责任归属等信息，更谈不上对其进行评判和监督。算法事实上形成了一个对于外界来说是未知的“黑箱”。

据传不同品牌的手机使用滴滴打车软件，相同的距离下会有不同的收费价格。如果此事为真，就正是平台利用算法收割不同收入人群，攫取更高利益的体现。之前有段时间，网上热议“被平台压榨的外卖小哥”，平台依靠不为人知的算法不断提高对外卖小哥配送时间的要求，依靠的也是在大数据支持下精准计算外卖员完成配送所需时间，“精明地”算计着如何最大化地压榨劳工。用户在不知不觉间走入了算法黑箱的陷阱。

算法黑箱给我们带来了什么？

上述事例，本质上都是平台在过度地收集用户个人信息。例如，打车软件只需要收集地理定位、注册账号信息、通讯号码、支付方式就可以实现基本的打车功能，至于打车者使用哪一款手机，对打车成功与否没有影响。索取实现软件功能以外的个人信息，就是非必要的、过度的收集行为。

如今点开滴滴出行软件，琳琅满目地出现“天天神券”“借钱”“机票火车票”等菜单，其已逐渐脱离了打车的“初心”。平台追求多元化发展无可厚非，但多元化的起点是违规过度收集的个人信息，不免令人寒心。

2022年，央广网记者调查发现：多家知名电商平台均有数据在网上公开叫卖，这些信息包括消费者的姓名、电话、地址、商品名称和快递单号等。有卖家自称每条个人信息0.35元，2000条起卖，如果购买量大，最低可打五折。记者从卖家处购买了数千条数据，随机对近200条个人数据进行了电话求证，证实被售卖的个人信息中名字、电话、住址等准确无误。庞大数量的平台用户的个人信息在互联网上被毫无遮掩的传播，用户在不经意间因为同意平台收集个人信息而被迫“自甘风险”了。平台与用户之间达成的个人信息交换协议，是用户基于对平台的信任签署的，平台基于信任也有义务保护用户的个人信息免受泄露乃至更严重损害的风险。

在2023年公安部发布的打击侵犯公民个人信息犯罪十大典型案例中，有汽车服务公司工作人员利用通讯群组非法出售事故车主信息截图；有照相馆从家政公司、妇婴用品销售企业、卫生医疗机构工作人员处非法获取公民个人信息，雇佣工作人员拨打骚扰电话进行精准营销，并将上述信息转卖至月子中心、保险公司等机构牟利。

2023年8月，B站接到多名UP主举报，称均被某群体在境外平台有组织地煽动用户进行“人肉开盒”，不仅在线上公开UP主个人信息，还对其进行一系列电话私信骚扰、网暴攻击、不实恶意举报等违法行为。

今年1月，济宁网民赵某因交通事故赔偿问题与王某发生纠纷，赵某为泄愤，冒充女子将王某的电话标注“有约会对象的需求”通过微信群大量传播，导致多人给王某打电话要求约会，严重干扰了王某的正常生活和工作，对其造成极大精神影响，扰乱社会公共秩序，造成不良社会影响。济宁公安机关依法对赵某处以行政处罚。

在博弈论中，有信息均衡模型。该模型认为只有当信息充分流通时才可以使得所有市场参与者做出完全理性的选择，而当市场上各方主体所获知的信息存在不对称时，则会出现“逆向选择”和“道德风险”问题。两者的区别在于前者发生在交易之前，后者发生在交易之后。公民个人作为信息主体在第一次使用个人信息处理者的APP、小程序等软件时签订的条款，使得交易达成。而由于个人信息处理者以其算法及自动化处理决策等涉及商业秘密为由拒绝向社会公众公开，这就形成了信息不对称的情形。处理者因其不受监管以及作为所开发程序的管理者，得到了采取隐蔽的、损害信息主体权益且对自己有利的行动的机会。根据理性经济人的假设，处理者往往会做出损害信息主体权益的选择，也即“不道德”的行动。

算法等代码是互联网企业等参与市场的核心竞争力，是其盈利的根本。公开其个人信息处理过程和结果就是将其技术优势暴露在公众之下，虽然起到了监管和赢得公众信任的作用，但是无法避免潜在犯罪分子和竞争对手的搬运和抄袭，引发知识产权纠纷，动摇企业盈利的基础。其次，出现滥用个人信息行为一方面在于市场存在以此追求剩余价值的动机，另一方面是企业自身提出的安全性要求又给予了其黑箱操作的空间，这是无法避免的。再者，不涉及核心代码的算法备案已有立法先例。比如，2022年3月开始施行的网信办等部门发布的《互联网信息服务算法推荐管理规定》第24条中，规定了出事后具有较大负面影响的算法推荐服务提供者应当备案，但是备案内容不涉及算法代码。推进个人信息保护既要完善监管措施，也要促进个人信息有效利用，发挥其经济价值，保障个人信息处理者公平参与市场运行。

因此，有学者提出的以算法公开应对算法黑箱并不是一个完美的解决方案。

对于算法黑箱，又该如何应对？

算法的主要使用者是各大互联网平台。研发者是企业中无数的科研人员。算法是人类智慧的产物。从算法本身来说，它是中性的。算法黑箱带来的问题更多是研发者、平台的使用所导致的。传统刑法坚持人类中心主义，也即无论是算法还是如今热门的人工智能模型，其都不是一个法律意义上的主体，它们只是行为人实施犯罪的工具。目前也不存在AI成为犯罪主体的可能。因此，算法黑箱的规制对象，仍是算法的研发者、使用者，也即广大的以互联网平台为主体的科技企业。

比如，有学者提出了“数据合规科技”一词，这是一种满足合规监管需求的技术应用手段，是一种主动降低安全隐患的技术利用模式。通过将具有实时监测数据安全功能的技术模型嵌入到企业信息系统中，预防企业数据处理过程中可能发生的违规问题。

最近就有项目获得了全国首张“个人信息保护认证”证书。该项目的“数据跨境流动管理系统”全面采用IPv6和数据空间等技术架构，包括基于IPv6实现数据分类分级标识、身份认证、传输风险识别、数据处理行为溯源等功能，结合数据空间的数据共享流通管理能力，实现对数据全生命周期的精细化管理。系统同时还具备个人信息保护影响评估管理、主体同意管理、主体权利响应、风险管理等功能，极大地便利了管理部门、业务部门和合规部门的协同，实现了数据合规管理制度的流程化、智能化，保障了个人信息处理活动的合规性和安全性。

泄露个人信息、过度收集个人信息的行为，有可能涉嫌侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪等罪名。可处以罚金、管制、拘役、有期徒刑的刑罚。《刑法》第253条之一：侵犯公民个人信息罪以及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》是如下规定的：

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

该罪构成要件有三种：

1. 违反国家有关规定，向他人出售或者提供公民个人信息；

2. 违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人；

3. 窃取或者以其他方法非法获取公民个人信息。

换言之，侵犯公民个人信息罪包括三种类型，即非法获取、出售和提供。

而在“两高一部”《关于依法惩治网络暴力违法犯罪的指导意见》中，明确了互联网平台企业在预防网暴等犯罪的主体责任：

一是网络服务提供者对于所发现的有关网络暴力违法犯罪的信息不依法履行信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播或者有其他严重情节，符合刑法第二百八十六条之一规定的，以拒不履行信息网络安全管理义务罪定罪处罚，依照刑法和司法解释规定，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

二是对于网络服务提供者发起、组织的网络暴力违法犯罪，依法从重处罚。

三是网络服务提供者对于所发现的网络暴力信息不依法履行网络安全管理义务，致使违法信息大量传播或者有其他严重情节，损害社会公共利益的，人民检察院可以依法向人民法院提起公益诉讼。