在大数据和人工智能不断发展的时代，数据成为重要的社会生产要素和核心资源，而算法就是收集处理数据，挖掘数据价值的生产工具，被广泛地应用于各个领域。“算法”从技术层面上，体现为一系列解决问题的步骤或计算机指令，同时会产生“技术风险”，包括算法自身存在的算法漏洞、算法脆弱性、算法黑箱等。而在法律层面上，算法的不合理应用会带来算法歧视、算法共谋、“大数据杀熟”、诱导沉迷等风险，并深刻影响着正常的传播秩序、市场秩序和社会秩序，给维护意识形态安全、社会公平公正和网民合法权益带来挑战。

中国当前的网络空间治理迫切需要从“数据保护”升级到“算法治理”，着眼于规制算法的逻辑及其对社会秩序及其它利益相关方的影响效果，合理界定平台的算法责任，进而促进算法相关行业的创新与发展。

中国《法治社会建设实施纲要（2020-2025年）》提出要完善网络法律制度，推动现有法律法规延伸适用到网络空间，制定对算法推荐、深度伪造等新技术应用的规范管理办法，加强对大数据、云计算和人工智能等新技术研发应用的规范引导。《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》《反垄断法》等法律和《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定》等政策文件先后出台，形成了数据与算法使用的基础规则，并作出算法治理的路径选择与顶层设计。

（一）《电子商务法》：平台算法首次成为法律规制对象

《电子商务法》确立了数字经济时代我国电商平台的责任体系，首次明确对网络交易平台中的算法应用进行调整，也规定了算法不当使用所应承担的法律责任。

《电子商务法》第18条规定了电商平台对“推荐算法自然结果的提供义务”以及“个性化推荐算法的消费者保护义务”，即电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。该法第40规定电商平台对“搜索类算法的明示义务”，即电子商务平台经营者应当根据商品或者服务的价格、销量、信用等以多种方式向消费者显示商品或者服务的搜索结果；对于竞价排名的商品或者服务，应当显著标明广告。电商平台违反以上规定将导致承担行政责任，由市场监督管理部门责令限期改正，没收违法所得，可以并处五万元以上二十万元以下的罚款；情节严重的，并处二十万元以上五十万元以下的罚款。

（二）《个人信息保护法》：赋权数据主体制衡自动化决策算法的运用

《个人信息保护法》确立了以“知情同意”为核心的个人信息处理规则，构建了自动化决策要求、个人信息安全审计等信息处理制度，并通过规范数据处理、赋予数据主体权利的方式来制衡自动化决策算法的运用。

该法所称的自动化决策是指，通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。为防止自动化决策压缩个人意思自制的空间、对个人权益造成侵害，法律要求“算法透明”。该法第24条第1款规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。该法进一步赋予用户的“算法决策退出权”和“获得算法解释的权利”，保证个人的事后有机会得到救济。该法24条第2款规定，为自动化决策通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。此外，该法第55条还规定利用个人信息进行自动化决策的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。违反以上规定的个人信息处理者，理论上可直接触发该法第七章“法律责任”项下条款，导致行政处罚、民事赔偿甚至遭致人民检察院、消费者权益保护组织提起的公益诉讼风险。

（三）《反垄断法》：大数据和算法成为平台经济领域垄断行为的认定要素

中国的平台经济在信息技术的驱动下日益成熟，已从早期的业务在线化模式和“流量为王”的阶段发展到对大数据和算法高度依赖的“数据为王”阶段。随着数据挖掘能力和数据价值不断提升，互联网平台之间围绕数据进行的竞争激烈，数据已经成为互联网经济的生产要素和垄断资源，从而催生出不以流量而以算法为主导的互联网平台。

我国新修订的《反垄断法》明确规定，经营者不得利用数据和算法、技术、资本优势以及平台规则等从事本法禁止的垄断行为。作为平台经济领域反垄断重要考量的 “数据”、“算法”等互联网因素，也体现在《平台经济领域的反垄断指南》的多个章节中。

其中，达成横向垄断协议的方式包括了“利用数据、算法、平台规则等实现协调一致行为”，达成纵向垄断协议的方式包括了“利用数据和算法对价格进行直接或者间接限定”。拒绝交易的考虑因素包括了“在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，使交易相对人难以开展交易”，差别待遇的考虑因素包括了“基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件”以及“实行差异性标准、规则、算法”；等。此外，针对近年来社会各方面反映较多的“二选一”、“大数据杀熟”等问题，也有了更加明确的法律规制路径。

以上三部法律均对算法进行了一定的规制，但各部法律的立法目的与规制重点不尽相同。《电子商务法》规制的是网络经营行为，对平台算法的设计和部署提出直接要求。网络平台的推荐、定价、搜索等算法，从平台的内部设计转变成立了法律直接监管和干预的对象。[1]《个人数据保护法》规制的是数据处理行为（偏重于数据收集规则），特别是通过赋予个人数据权利，包知情权与决定权、查阅复制权、更正补充全、删除权来对抗算法应用带来的侵害。《反垄断法》规制的是滥用算法的垄断行为，通过设定互联网平台运营者的守门人义务，来保护市场公平竞争，维护消费者利益和社会公共利益。

随着互联网技术的发展，原有的法律规则已经无力应对算法应用创新带来的挑战。“技术中立原则”的变化、平台注意义务的提高、算法透明与可解释的要求，算法损害责任的确立等，都需要进一步探讨。对于算法的应用，不但需要明确使用范围和使用条件、建立算法应用的正当程序，还需要建立算法应用的主体问责机制，保证个人对算法受到的侵害可以获得事后的救济。未来，我国也会顺应技术发展潮流，逐步强化算法规制和扩张平台责任，为实现算法设计、部署和应用的规范化，维护算法安全与信息内容安全而继续进行立法和修法。

2022年3月1日起正式施行的《互联网信息服务算法推荐管理规定》从信息服务规范和用户权益保护两个方面，对五大类算法做出了规范，并构建了涵盖算法分级分类、算法备案管理、算法监督检查、算法风险监测、算法安全评估等举措的科学监管体系。该规定直接深入到平台的底层技术逻辑-算法，将平台对算法的设计、部署、技术运行、结果输出作为了调整对象，把信息内容安全作为我国算法治理的重点问题，并对用户标签与实施影响网络舆论的算法进行重点规范和监管。

更重要的是，该规定进一步明确了算法安全的责任主体，细化了平台主体责任的要求，并要求其建立健全算法安全管理制度和技术措施。如违反相关规定，需承担的法律责任，责任形式包括警告、通报批评、罚款等，必要时还将给予治安管理处罚和追究刑事责任。该规定的出台，标志着我国的平台治理理念开始从“数据保护”转向“算法治理”， 不但关注数据主体的隐私与个人信息保护、关注数据处理活动，更关注算法的底层技术逻辑、对社会政治与经济秩序及其它利益相关方的影响。

（一）算法检查

网信、电信、公安、市场监管等有关部门负有依法开展算法监督检查工作的职责，督促企业落实算法安全主体责任，严厉打击算法违法违规行为，防范和排除潜在的算法安全风险。此外，算法风险监测也是执法部门的一项常态化的工作，包括人工巡查和技术巡查两种方式，通过对算法的数据使用、应用场景、影响效果等开展日常监测工作，预警算法应用可能产生的风险。

2021年3月，国家网信办在网络“清朗”系列专项行动中专门组织开展了“清朗·算法滥用治理”专项行动，规范应用推荐算法进行新闻信息分众化传播的行为和秩序，指导互联网平台优化信息过滤、排名、推荐机制。同年9月，国家网信办等九部门印发《关于加强互联网信息服务算法综合治理的指导意见》，决定启动一项三年计划，逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。

2022年4月8日，国家网信办启动“清朗·2022年算法综合治理”专项行动，深入排查整改互联网企业平台算法安全问题，评估算法安全能力，重点检查具有较强舆论属性或社会动员能力的大型网站、平台及产品，督促企业利用算法加大正能量传播、处置违法和不良信息、整治算法滥用乱象、积极开展算法备案，推动算法综合治理工作的常态化和规范化，营造风清气正的网络空间。

（二）算法评估

算法评估包括两种类型：（1）算法对个人信息保护影响评估；（2）算法安全评估。其中，算法安全评估又分为自评估和监管部门评估。对于监管部门而言，算法安全评估是算法备案、算法风险监测和算法监督检查等工作的落脚点。

我国法律明确规定，网络平台经营者在开展算法应用，应当依法实施收集、使用、加工等数据处理活动，并采取适当措施保障数据主体的合法权益及数据安全；利用个人信息进行自动化决策的，应当事先进行个人信息保护影响评估，根据评估情况采取相应处理措施并进行记录。个人信息保护影响评估的内容一般包括：（1）个人信息的处理目的、处理方式等是否合法、正当、必要；（2）对个人权益的影响及安全风险；（3）所采取的保护措施是否合法、有效并与风险程度相适应。网络平台经营者还应当保证算法应用结果的公平、公正。

算法安全评估包括分析算法机制机理，评估算法设计、部署和使用等环节的缺陷和漏洞，研判算法应用过程中产生的安全风险，提出针对性应对措施。《互联网信息服务算法推荐管理规定》第23条要求，具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估工作，网信部门会同有关部门对算法推荐服务开展安全评估和监督检查工作。同时，《关于加强互联网信息服务算法综合治理的指导意见》第（八）条亦要求监管部门应积极开展算法安全评估。

算法评估的目的是为了降低算法设计、部署使用的风险。参照加拿大在2019年颁布的《自动化决策指令》，可以从四个维度评估算法是否产生影响：（1）个人或团体的权利；（2）个人或团体的健康和舒适度；（3）个人、实体或团体的经济利益；以及（4）生态系统的可持续性。根据评估的结果又把算法分为四个级别：（1）一级算法对以上四个维度几乎不产生影响，即便产生影响也是可逆的和暂时的；（2）二级算法对以上四个维度只产生适度影响，该种影响是可逆的和短期的；（3）三级算法对以上四个维度产生较大影响，该种影响是难以逆转和持续性的；（4）四级算法对以上四个维度产生重大影响，该种影响是不可逆转和永久性的。通过对算法的评估，根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等，建立起算法分级分类安全管理制度[2]。

（三）算法备案

算法备案作为算法治理机制之一，其性质属于行政备案。2022年3月1日起，互联网信息服务算法备案系统正式上线运行，官方网址为https://beian.cac.gov.cn。2022年8月12日，国家网信办公布了第一批《境内互联网信息服务算法备案清单（2022年8月）》，包括24家企业共30项算法，这意味着算法备案机制步入正式运转阶段。

1.  算法备案的义务主体

目前需要履行算法备案义务的主体是“具有舆论属性或者社会动员能力的算法推荐服务提供者”。包括：（1）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能；（2）开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

2.  备案算法的范围

需要备案的“应用算法推荐技术”包括生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等信息服务。算法推荐服务提供者如果认为其提供的互联网服务“具有舆论属性或社会动员能力的”，应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息，履行备案手续。

3.  违规后果

根据该规定如果通过隐瞒有关情况、提供虚假材料等不正当手段取得备案等，面临的处罚包括：国家和省、自治区、直辖市网信部门予以撤销备案，给予警告、通报批评；情节严重的，责令暂停信息更新，并处一万元以上十万元以下罚款。另外，如法律、行政法规有规定的，从其规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

（一）协同过滤算法应用的法律风险

【法院观点】（1）字节公司向用户提供的并不仅仅是信息存储空间服务，而是同时提供了信息流推荐服务。正因为存在获取更多优势、利益与带来更大侵权风险并存的上述情况，字节公司与不采用算法推荐、仅提供信息存储空间服务的其他经营者相比，理应对用户的侵权行为负有更高的注意义务。（2）为实施侵权行为的用户提供相应的信息存储空间服务和传播技术支持，构成帮助侵权，与其用户承担连带责任。

案例一：爱奇艺公司依法享有涉案作品《延禧攻略》的独占信息网络传播权以及维权权利，爱奇艺公司发现被告字节公司未经授权，在《延禧攻略》热播期间，通过其运营的“今日头条”iOS、安卓APP，利用信息流推荐技术，将用户上传的截取自《延禧攻略》的短视频向公众传播并推荐，其中单条视频最高播放量超过110万次，给爱奇艺公司造成严重损害，遂于起诉至法院。

字节公司辩称，爱奇艺公司的证据不足以证明其对延剧享有独家信息网络传播权。涉案短视频由用户自行上传，字节公司仅提供信息存储空间服务。字节公司作为网络服务提供者，已尽到合理注意义务，不存在任何侵权的主观过错，不构成侵权。

北京市海淀区人民法院经审理认定，案号为 (2018)京0108民初49421号，字节公司具有充分的条件、能力和合理的理由知道其众多头条号用户大量地实施了涉案侵权行为，属于法律所规定的应当知道情形。字节公司在本案中所采取的相关措施，尚未达到“必要”程度。字节公司不仅仅是信息存储空间服务，而是同时提供了信息流推荐服务，理应对用户的侵权行为负有更高的注意义务。最终，字节跳动公司的涉案行为构成帮助侵权，并判定赔偿原告经济损失150万元及诉讼合理开支50万元，共计200万。

本案为涉及短视频算法推荐技术的作品信息网络传播权侵权纠纷的典型案件，被称为作为“全国首例算法推荐案”。法院在判决书中区分了网络服务提供者的信息存储空间服务与信息流推荐服务，认为：字节公司向用户提供的并不仅仅是信息存储空间服务，而是同时提供了信息流推荐服务。涉案侵权短视频的大范围传播，是用户的侵权行为与上述两种服务相结合的结果。字节公司在利用技术优势为自身获取更多的流量和市场竞争优势等利益的同时，也存在着提高侵权传播效率、扩大侵权传播范围、加重侵权传播后果的风险。正因为存在获取更多优势、利益与带来更大侵权风险并存的上述情况，字节公司与不采用算法推荐、仅提供信息存储空间服务的其他经营者相比，理应对用户的侵权行为负有更高的注意义务。

网络平台需要为算法应用承担更高的注意义务，但也不应基于推荐算法的运用把“网络技术服务提供者”定义为“网络内容服务提供者”而负有过高的注意义务。鉴于平台对不同算法系统技术管控能力和对侵权内容的识别能力的不同，我国法院在司法实践中逐渐确立了网络服务提供者采取的必要措施应该与其提供的服务类型相适应的规则。在算法推荐环节之外，字节公司仍可以通过在其服务和运营的相应环节中施以必要的注意、采取必要的措施加以完善，实现及时、有效地制止和预防明显的侵权行为和后果。法院据此认为，字节公司具有充分的条件、能力和合理的理由知道涉案侵权行为的存在，主观上构成“应知”；客观上，其针对侵权行为所采取的措施，并不符合有效制止、预防明显侵权的实质要求，尚未达到“必要”的程度。因此构成帮助侵权，应当与用户承担连带责任。

（二）算法驱动虚拟数字人应用法律风险

【法院观点】 （1）评价算法应用，需要综合考量算法设计的目的、实施过程及实施效果。当网络服务提供者应用的算法直接服务于内容组织生产的基本规则时，网络服务提供者应视为内容服务提供者。（2）技术中立原则一般包含功能中立、责任中立、价值中立，实际上体现的是利益权衡理念，平衡点可能随着技术的更新、商业模式的变化和公众价值观念的发展而调整。（3）通说认为，《侵权责任法》[3]第三十六条第一款中的“网络服务提供者”，既包括网络内容服务提供者，也包括网络技术服务提供者，该条款规范的是网络用户或网络服务提供者直接实施侵权行为的责任承担；第二款、第三款的“网络服务提供者”则仅包括网络技术服务提供者，该条款规范的是网络用户直接实施侵权行为、网络技术服务提供者未直接实施侵权行为的情况下，网络技术服务者的责任承担。

案例二：被告上海自古红蓝公司运营某款智能手机记账软件，在该软件中，用户可以自行创设或添加“AI陪伴者”，设定“AI陪伴者”的名称、头像、与用户的关系、相互称谓等，并通过系统功能设置“AI陪伴者”与用户的互动内容，系统称之为“调教”。本案原告何某系公众人物，在原告未同意的情况下，该软件中出现了以原告姓名、肖像为标识的“AI陪伴者”，同时，被告通过算法应用，将该角色开放给众多用户，允许用户上传大量原告的“表情包”，制作图文互动内容从而实现“调教”该“AI陪伴者”的功能。原告认为被告侵害了原告的姓名权、肖像权、一般人格权，故诉至法院，要求赔礼道歉并赔偿经济损失、精神损害抚慰金等。北京互联网法院经审理作出民事判决，案号为(2020)京0491民初9526号，判令被告上海自古红蓝人工智能科技有限公司向原告何某公开赔礼道歉，赔偿原告何某经济损失183,000元和精神损害抚慰金20,000元。

本案所涉软件“叨叨记账”是一款运用人工智能算法的记账软件，商业模式与技术创新性都很高。在人工智能与算法领域还没有形成完善法律制度的当下，本案的法律适用难度很大。本案法官从被告提供网络服务的法律性质分析入手，作为法律适用的前提，并最终认定被告为网络内容服务提供者，而非网络技术服务提供者。被告未经同意使用原告姓名、肖像，设定涉及原告人格自由和人格尊严的系统功能，构成对原告姓名权、肖像权、一般人格权的侵害。

从本案查明情况来看，案涉软件中每一具体的图片、文字与姓名的上传、创设和审核，均由用户完成，如用户存在侵权行为，被告作为网络服务提供者是没有过错的，不应承担侵权责任。事实上，本案被告也如此进行了抗辩。但相关网络技术、尤其是算法深度参与到整个软件运行过程中，被告是否还能被作为网络技术服务提供者？技术服务与内容服务区分的根本标准是二者对内容的控制权不同。本案的法院认为，案涉软件的模式是通过规则设定、算法设计，组织用户形成素材并提供给用户，故而，被告的行为构成直接的内容服务提供行为，被告属于内容服务提供者。

本案的法院判决在“技术中立原则”上进行突破，认为“算法是设计者在社会价值指引下结合自身价值判断设计的，不可能完全排除主体主观因素影响”,并从被告开发运营案涉软件的商业目的、规则设计、算法设计三个层面，认定初始目的即可以预见有显而易见的侵权风险，即“实质侵权目的”。将被告认定为内容服务提供者，依据侵权责任法第三十六条第一款的规定，按照网络服务提供者直接实施侵权行为适用法律。

企业在算法应用层面会越来越多的受到主管部门的执法监管，面临关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚、治安管理处罚乃至刑事责任。为此，企业应规范产品和服务中的算法应用，明确算法安全与应用的管理职责，设置专门的算法管理岗位或把算法管理作为一项工作内容纳入到企业合规管理体系。

企业还可以根据自身的规模与技术能力，建立相适应的算法制度和技术措施，定期评估和排查算法安全和应用的风险，提升应对突发事件的能力。通过对算法应用不同场景的梳理，区分信息安全内容责任与网络营销算法责任的不同监管要求，确保算法应用符合相关法律法规的规定，从而维护企业的数据安全、保障数据主体的合法权益，避免算法应用引起社会公平、科技伦理、个人信息安全、网络安全等方面的风险。

企业建立健全算法应用的管理制度和技术措施，包括：（1）算法机制机理审核；（2）科技伦理审查；（3）用户注册审核；（4）信息发布审核；（5）数据安全和个人信息保护；（6）反电信网络诈骗；（7）安全评估监测；（8）安全事件应急管理制度等。在算法推荐服务展示上，企业应加强UI版面页面生态管理，建立完善人工干预和用户自主选择机制，在重点环节积极呈现符合主流价值导向的信息。在用户模型和标签管理上，企业应审核数据来源，完善记入用户模型的兴趣点规则和用户标签管理规则，确保“用户画像”的合法性。企业还应以网页、外部链接、用户协议列明内容等方式，公示算法基本原理、目的意图、运行机制，确保算法的“透明度”，和“可解释”。此外，企业需要建立健全用于识别违法和不良信息的特征库，防止违法和不良信息传播；设置用户便捷投诉举报入口及用户意见反馈渠道，充分保障用户和特殊主体的合法权益。