经济全球化背景下,企业的经济实力、社会地位与政治影响力不断提升,要求企业依据自身规模、所处环境、行为危害程度等承担相应的社会责任已经成为国际社会对负责任的企业的最低期待[1]。非算法治理语境下的企业合规从内涵上看,是指企业的经营行为要符合法律的规定,主要包括国家法律法规、商业惯例、公司内部制定的规章制度、国际组织条约等在内的四大类法律规范[2]。从本质上看,企业合规是一种公司治理方式,是企业为实现自身利益的最大化,在进行业务管理和财务管理的同时所进行的一种风险防控机制。在算法时代,这种传统的风险防控机制无法满足数字企业应对算法问题的需求。算法治理,实质上是数字企业或者网络平台企业的一种全新治理模式,数字企业的合规需要基于算法治理的新前提探索新内涵。算法本身的特点决定了数字企业对算法治理应该以一种积极主动的姿态做出回应。这种被动压力下激发出来的主动解决问题的逻辑,恰恰在功能上与企业合规存在契合。算法治理视阈下的企业合规要求数字企业不仅满足传统的企业合规,还要求满足基于“算法风险”的专项合规管理。企业通过企业算法合规不仅能够回应社会对算法治理的需要,同时也符合算法治理时代对企业的角色定位。本文以企业算法合规为研究对象,从梳理当前算法治理的主流路径出发,总结当前算法治理实践的困境与经验启示,论证算法治理和企业合规的结合在逻辑上的必然性;通过揭示企业算法合规的工具价值以论证开展企业算法合规管理对化解当前算法治理困局的必要性;在企业合规理论的基础上结合算法治理的客观现实,进一步提出企业算法合规的基本原理;在上述讨论基础上总结出具体的企业算法合规实践路径,以为企业开展专项企业算法合规管理提供实务指引。
一、算法治理的困境与反思
“算法治理”(governanceofalgorithm)是指通过制度规范算法设计、开发与利用的过程①。随着当代科技不断发展,算法、算力与大数据的“叠变”(intersectionality)②作用日益显现[3]174。一方面,“算法歧视”“算法杀熟”“算法霸权”“算法合谋”等“算法不正义”现象使社会对算法治理的需求持续攀升;另一方面,由于人工智能“愈变愈强”、算法权力难以掌控,算法治理的制度供给无论从“数量”还是“质量”来看都无法满足当前社会需求。
(一)算法治理的路径溯源
作为事前规制路径的算法透明(algorithmictransparency)是目前被广泛接受的一项算法治理基本原则[4]。虽然学界对算法透明原则的认识存在一定差异,但基本都认可其核心内容是:要求算法的设计者、开发者、使用者公开和披露包括源代码在内的算法要素,以通过算法可知实现算法治理[5]。算法透明原则旨在通过打开算法黑箱,帮助我们了解算法的内容与运算逻辑,通过外部监督的方式发现并纠正在数据集构建、目标制定与特征选取、数据标注等生成算法的重要环节中产生或可能产生的算法偏见,体现了算法治理的本质主义进路。
作为事后规制路径的算法问责机制关注算法侵权发生后的责任分配与法益救济问题。算法问责作为算法治理的一项基本准则,是指在损害结果发生后,算法的使用者即使无法对算法如何产生相应后果做出解释,也应当承担因使用算法决策而产生的责任[6]。算法问责并不要求算法代码的全部公开,也不以算法可知为制度设计的首要目标,而是关注算法运行结果是否符合公平正义。
无论从算法治理的“元理论”出发、从其本身具有的工具价值来看,抑或是在实质主义进路的视野中分析,算法问责都可能成为更合理的规制手段。首先,治理的目的是在各种不同的制度关系中运用权力去引导、控制和规范公民的各种活动,通过维护特定领域内社会秩序的均衡,以最大限度地增进公共利益[7]5,只有通过公权力的矫正才能使不断失衡与抵牾的利益重新实现平衡与共进。算法问责就是以公权力为后盾、以重新分配责任与利益为方式的规制手段,不仅体现治理理念最大限度促进公益的价值追求、还能够解决算法治理中的根本性问题,即“让合适的主体对其决策和算法输出结果接受问责的法律责任和手段”[8]。其次,作为事后规制路径的算法问责具有执行成本较算法透明等事前规制更低、通过责任配置消弭不可知的技术细节、凭借“回溯”视角获得信息成本优势等优点,具有实践和学理上的优越性[5]。再次,计算科学与法律科学本属不同学科,纵使在跨学科融合发展成为主流趋势的当下,学科间的知识壁垒依旧明显。计算机工程师难以全面掌握法律制度的背后原理和价值,法学家也难以参透算法程序的底层逻辑与解释技术,更罔论机器学习与算法互嵌的快速发展。在科技发展与社会效应等因素叠加作用的背景下,即使是资深的计算机工程师也越来越难以全面地解释算法的逻辑与进路。
(二)当前算法治理路径的困境
无论是算法透明还是算法问责,其本质都是通过具体制度的建构将算法设计与使用纳入法治的轨道。前者强调以理解算法的技术特性为开展算法治理前提,后者则强调以应对算法应用所带来的社会关系的变化为治理核心。然而,无论算法透明还是算法问责都因未能跳出传统的“法律规制”的思维桎梏而难以在算法社会发挥预期作用。法律的规范性必然要求制度的稳定性与可预测性,而算法社会的瞬息变化使法律的滞后性成为常态,难以满足人们要求通过法律制度调适因利用算法带来的种种负面影响的迫切需求,也无法缓解算法规制与算法创新之间的紧张矛盾。
具体而言,一些学者指出算法透明原则不具有法律原则应有的普适性,并且,并非所有的问题都能通过公开和披露算法得到解决。首先,算法透明原则有可能与国家安全、社会秩序、私主体权利等法益相冲突,因而不具有作为基本法律原则的可行性。其次,由于披露对象的技术能力、算法的复杂化、机器学习和干扰性披露等因素的存在,算法透明非但不能与算法可知等同,甚至会妨碍算法可知的实现。再次,算法透明并不意味着算法问题能被发现,客观运行环境与算法的交互、第三方干预等也无法有效控制,因此算法透明原则不具有必要性。从比例原则的角度分析,由于算法本身的专业性,尤其是一些算法涉及知识产权、商业秘密等法益,要求算法的完全透明既无意义、也不现实,而适度合理的算法透明性能够实现保障公众知情权,也能维护算法监管与运用的良好秩序[9]。
虽然以算法问责为目标的事后规制路径与算法透明原则相比具有较多优越性与可行性,也是法律作为社会关系调节器与社会秩序稳定器的作用得以发挥的关键一步,但仅从算法问责的可执行性,以及算法问责对算法创新与发展可能带来的消极后果来看,算法问责也难以承担当今算法治理之重任。首先,算法归责是进行算法问责的重要前提。归责本身就是复杂的责任判断和责任归结过程[10]173,清晰的侵权行为与损害后果及两者间的因果联系是归责的必要条件。由于算法“不可解释隐忧”的存在,在算法侵权中即使完全满足归责的条件,我们也难以将相关责任完全置于算法设计者身上[11]。责任主体模糊使得监管部门陷入审查难、问责难的困境,算法归责难以开展已是算法时代不可回避的事实。其次,算法侵权行为比以往任何形态的侵权行为都具有更多的受害者,监管部门对算法侵权的追责也从不手软。从苹果公司被裁定向爱尔兰政府补缴130亿欧元的税款[12],谷歌被判40亿欧元的“巨额”罚单[13],再到当前亚马逊因滥用数据与算法而可能面临的高达其年度全球销售额10%的罚款[14],数额巨大的罚金无疑会对大型企业经营带来巨大的消极影响,对中小企业而言更有可能是“灭顶之灾”。然而,对数字经济时代的企业而言,罚金仍非最严厉的惩罚,因违法违规行为被剥夺经营资格才是对企业的“死刑通知书”。“这(经营资格的剥夺)会给企业带来经济损失、商业交易资格损失、声誉损失等三重损失,由此引发的雪崩效应最终使企业难以承受”[15]。如此巨大的违法风险无疑会挫伤算法设计者与算法供应商进行算法创新、改进算法技术的积极性,进而阻碍算法社会与数字经济的进一步发展。
(三)算法治理与企业合规的逻辑关联:企业算法合规
目前全球算法治理机制主要由多边治理机制,双边和区域性自由贸易协定以及以企业为主的私营部门三方相互协作形成。数字平台凭借掌握的专业知识、海量数据和种类丰富的数字服务,成为参与全球算法治理的活跃主体[16],数字企业的合规也需要基于算法治理展开。从算法治理的角度出发,算法设计者与算法供应商一方面要保护自己的知识产权和商业秘密,另一方面又要规避违法风险,这就对提供算法相关商品、服务的平台提出了更高的要求。这种平台除了科研机构,更多地往往与企业,尤其是数字企业联系在一起,从而使讨论算法治理的语境与企业合规相连结具有现实意义。在企业合规中国化的今天,中国企业进入世界市场,正在面对越来越严格的国际合规管理要求。尽管我国行政监管机构通过行政立法和执法方式,强制企业建立合规管理机制,但我国包含数字企业在内的合规机制距离“有效合规管理”仍有较大差距。例如欧盟于2018年5月25日正式实施的《通用数据保护条例》(GDPR)将所有针对欧盟数据提供商品、服务以及监控欧盟数据主体的行为都纳入了管辖范围,这就意味着中国企业在向欧盟提供数据相关商品服务时,其对数据的收集、处理、保密等全部过程都需要符合GDPR的要求。企业算法合规作为一种专项合规计划,便是针对算法治理的困境,以其商品、服务提供的主要平台——企业为突破口,通过使企业算法合规,使相关企业在承担社会责任的基础上,实现企业的可持续发展。
企业算法合规是一种基于“算法风险”的专项合规管理,是企业为了有效防范、识别、应对可能发生的算法违规风险所建立的一整套公司治理体系①。理论上,企业合规管理既关注事前防范又强调事中识别与事后应对。算法的可靠性是企业算法合规的前置要素,透明性与可解释性是其过程要素,可问责性是其责任要素。企业算法合规的履行能够整合以算法透明为核心的、体现本质主义的事前规制路径与以算法问责为目标的、体现实用主义的事后规制路径。实践中,当前世界范围内的算法治理主要采取个体赋权、外部问责和平台义务三种范式。其中,欧盟通过赋予数据主体新型算法权利的方式对算法决策施加影响和控制;美国在公共领域通过组建专门机构的方式建立算法问责制;我国则建立了以平台企业为核心的新型社会关系构架[17]。企业算法合规管理赋予企业内外部利益相关者参与、监督、反馈的机会,既强化了企业的可问责性,也确保利益相关者的知情权,通过“政府引导—企业自律—社会监督”的配置方式,能够很好地融合个体赋权、外部问责与平台义务的不同路径,为最大化算法治理的绩效提供可能性与现实性。
二、企业算法合规的逻辑必然
“算法源于社会场景并因在实践中的应用而不断被优化,作为智能社会发展的重要基石,其可持续发展,需要整合社会多方力量,以形成立体的协同合作体系来助力算法的演进。”[18]基于“合作治理”理念的企业合规管理作为一种公司治理方式、风险预防机制与法律激励措施,能为提升算法社会的治理效能提供可能的借鉴与启发。以企业算法合规为路径的算法治理以风险预防为导向、以合作治理为方法、以宽大处理为激励、以和谐双赢为目标,既可以实现算法透明与算法问责的制度功能,也可以避免二者内在的制度缺陷,是应对当前外部监管失灵、内部控制不足的算法治理的替代方案。
(一)改进算法治理模式的必然选择
企业算法合规义务的履行具有改进算法治理模式的功能与价值。开展企业算法合规能够在“公民—平台—国家”三元结构和“私权力—公权力”双重权力生态中充分发挥企业在社会多层治理中的作用。“在政府的引导下充分发挥企业参与数字治理的主动性与创造性,实现企业从‘被管’到‘自治’的转型,既能通过多元治理提升监管效率,也可以从源头上解决数字鸿沟、算法歧视等数字经济的时代难题。”[19]通过预先评估合规风险,制定规则对算法执行过程进行监督,避免产生违规行为;一旦风险爆发,企业也可以通过企业算法合规管理及时纠正与调整。并且,企业的风险自查、自报有利于为企业的违法违规行为换取“宽大制度”。我国《反垄断法》第四十六条规定:经营者主动向反垄断执法机构报告达成垄断协议的有关情况并提供重要证据的,反垄断机构可以酌情减轻或者免除对该经营者的处罚。如果企业建立了完善的企业算法合规管理体系,通过合规管理便能及时发现违法违规行为,通过主动纠正并向反垄断执法机构报告可以换取宽大裁量或免于处罚。可见,企业算法合规管理的运用将传统的制裁型管理模式转变为激励型模式,有利于提升算法治理的水平与能力。
(二)降低企业治理风险的经验总结
企业算法合规义务的履行有助于降低企业治理风险,提升企业经济效益。依据公司治理风险的基本理论,企业在日常经营中面临着经营风险、财务管理风险以及合规风险。经营风险、财务管理风险与合规风险在风险治理程序中是相互独立的三大系统,但合规风险控制的过程因赋予合规部门对所有经营业务的一票否决权、从外部引入专家对企业审计部门再审计的权限而对防范前两类风险具有积极意义。通过开展有效的算法专项合规管理,虽然“无法直接帮助企业创造商业价值,却可以帮助企业避免重大的经济损失”[20],可以为算法设计者与供应商提供相对温和的法律环境,在算法侵权行为发生后通过积极开展合规应对、及时切断企业与个人的责任关联从而获得整体利益的保障,降低企业治理风险。
(三)提升权利保护水平的国际要求
从国际法的角度来看,开展企业算法合规管理不仅是数字企业应对算法治理的必行之举,更是依据国际人权文书所负有的一项“软法”义务①。企业合规管理的目的是应对合规风险,即因企业行为与法律法规、商业伦理、内部规章等相悖所产生的经营风险。作为专项合规管理内容之一的企业算法合规管理,则是企业为了防范因算法设计和使用违反国际人权文书的相关标准而造成的经营风险的管理活动。企业算法合规管理与“数字弱势群体保护”②[21]、数字人权理念③[22],都以人民利益为出发点和落脚点,能够确保算法“向善”,充分体现对人的关照与对人权的关怀,提升权利保障与享有水平。同时,积极开展企业算法合规能帮助跨国数字企业增进与经营地社区的互动合作,使企业表现出更高的社会责任感,进而获得“社会经营许可”(sociallicensetooperate),为数字科技与算法应用的发展提供稳定、和谐、可持续的外部环境,推动算法社会的进步,最终为权利的实现提供技术支持与物质基础。
(四)改进传统企业合规治理方式的现实需求
在我国以行政主导方式推动企业全面建立合规管理体系的实践路径下,虽然很多企业发布了内部合规管理指引或者合规管理手册,但是由于这种在行政监管部门推动下制定的合规计划大多属于“大而全”的合规计划。这种合规重点领域不突出的传统合规计划,无法满足不同企业的性质、业务、规模和主要合规风险点的要求[23]116。企业合规的灵魂在于针对企业的“合规风险点”确立合规专项计划,对于数字企业而言,其合规风险点就在于数据收集到运用过程中的算法合规问题。例如我国《网络安全法》中对违反国家网络安全和保护个人网络信息制度的网络运营者、关键信息基础设施运用者的行政处罚,《刑法》第二百五十三条中关于侵犯公民个人信息罪的构成要件中“情节严重”程度的较低标准认定并将单位纳入犯罪主体,都对数据企业的合规管理提出了更具有针对性的要求。《个人信息保护法》的实施也表明个人信息受保护权的实现需要国家积极履行个人信息保护义务。通过鼓励、支持和引导数字企业开展算法合规,是可以考虑的规制“算法权力”滥用的制度工具[24]。面对越来越严重的行政监管风险和刑事风险,数字企业改进传统企业合规治理方式,建设企业算法合规这一合规专项计划更具有现实紧迫性。
三、企业算法合规的制度设计
从算法治理的应然目标来看,MargotKaminski提出了包括尊严性治理、正当性治理和工具性治理在内的算法治理三重目标[25]。从尊严性与正当性治理的目标来看,开展企业算法合规就是为了确保人的固有尊严与自由意志不被算法侵犯,确保利用算法治理的承受者能够参与算法规制、知悉算法内容、保障个人隐私,从而实现算法治理的应然目标。从工具性治理的目标来看,企业算法合规制度既是一种公司治理方式、行政监管激励机制、刑法激励机制,还是应对国际组织制裁的重要依据。
(一)企业算法合规的价值导向与基本原则
作为一种新的算法治理“软法工具”,企业算法合规义务的履行要以“以人民为中心”为价值导向,以“创新与伦理的平衡”为应然边界,以“全面渗透与多层参与”为行动指南,以“公开透明和灵活持续”为执行要求。
首先,以人民为中心的思想是当前公共治理理念的核心,也是算法治理应当遵守的伦理约束。算法科技的发展应以人为出发点和落脚点,通过算法技术促进人的全面发展是发展算法技术与人工智能的首要目的,因此企业算法合规义务应当奉行以人民为中心的价值目标,在合规管理过程中排查算法偏见、算法歧视、算法霸权等现象,确保算法技术的应用能促进个人与集体的数字福祉、有助于构建包容、和谐、可持续的算法社会。我国《个人信息保护法》明确了处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理目的,限于实现处理目的的最小范围,采取对个人权益影响最小的方式,保障所处理的个人信息的安全等,并将上述原则贯穿于个人信息处理的全过程、各环节,体现了“以人民为中心”的个人信息处理规则[26]。
其次,算法技术以创新为生命,在算法设计与算法运用过程中要遵守算法伦理,但也要防止以人权为借口,过度限制算法发展。在企业算法合规管理过程中要以实现创新与伦理的平衡为应然边界,通过比例原则、必要性原则等理论工具深入分析算法创新可能带来的伦理风险,以及以算法伦理为导向的制度措施是否对算法创新造成不必要的过度约束(over-regulation),排除影响算法创新的制度阻碍。
再次,企业合规是一个涉及“全员、全程、全体系”的过程,也是企业与社会、企业与政府双向沟通的过程。通过将合规理念与合规文化充分渗透到企业的每一个部门、让企业员工积极主动参与合规管理、广泛听取利益相关者和企业所在社区的意见与建议、主动向政府标准对标并履行法定义务才能确保企业算法合规义务的履行实现绩效的最大化,因此开展企业算法合规时要以全面渗透与多层参与作为行动指南。
最后,公开透明与灵活持续是对企业开展企业算法合规管理的行动要求,无论是合规方案的制定、合规体系的设计、合规应对措施的落实,还是合规绩效评价与有效性改进都应当公开透明,通过建立反馈机制确保利益相关者的意见和诉求能及时送达。同时,企业算法合规管理是防范风险的过程,在具体执行中应当依据变化中的情势适时调整企业算法合规方案,通过“评估—执行—监督—反馈”的闭环持续性地开展,使企业算法合规成为企业治理中的常态机制。
(二)企业算法合规的模型框架
企业算法合规的履行包括五个重要环节:前置因素、风险识别、风险评估、风险控制、监督与完善,具体包括识别法律标准与要求、梳理企业风控体系、制定企业算法合规方针与原则、评估企业算法合规风险、制定风险应对方案、合规方案执行、方案监督与完善等步骤(图1)。企业算法合规义务的前置因素是指算法的可靠性,即要求数字企业在开发、创新算法内容,设计与调试算法应用时应秉持合理审慎义务,确保算法内容以促进人的发展为首要目的。从严格意义上讲,前置因素不是企业算法合规义务的正式要件,但从逻辑上看前置因素是开展企业算法合规管理的必要前提。风险识别是企业算法合规义务的正式起点,在该环节中企业应通过识别与算法治理有关的法律法规、商业惯例、公司内部制定的规章制度、国际组织条约等,并分析当前企业架构中的风险控制体系,进而将法律标准、企业愿景、算法伦理等相结合凝练成企业算法合规的方针与原则,为正式开展企业算法合规提供资源支撑、规范渊源与价值指引。
图1 企业算法合规流程图
企业算法合规管理的第二阶段是风险评估,该阶段的首要任务是评估企业面临的算法合规风险,通过明确企业的算法风险敞口帮助企业采取高效的合规方案防范风险发生或缓解风险后果。透明性与可解释性是第一阶段和第二阶段的核心,只有确保源代码与算法逻辑的可知性才能真正地识别企业面临的算法风险、制定适合企业客观情况的风险应对措施。风险应对是企业算法合规的关键,确立可问责性是该步骤的重点。企业在该环节通过主动做出政策承诺的方式制定算法风险应对方案,并确立申诉报告制度,使企业合规措施有据可依,既能提升企业合规管理绩效,也能为被侵权人主张权利救济提供依据。严格遵守算法风险应对方案能在很大程度上弥合算法风险敞口,为企业有序运行,尤其是算法创新与开发提供稳定的内外部环境。然而,风险应对并非企业算法合规义务的终点,只有通过内外部监督、持续改善与跟进的方式继续履行企业算法合规义务才能形成防范算法风险的体系性机制。
企业算法合规是企业主动采取的防范合规风险的专项合规措施,是“事前防范—事中监测—事后弥补”三位一体的合规机制,是“政府引导、企业自律、社会监督”三者合力的产物。政府应当充分尊重扮演治理角色的企业,从有利于主体发展为出发点,优先适用激励型和宽容型的执法方式,审慎适用强制性程度高的制裁措施[27]。企业算法合规作为一种前置性规范与行为义务,只要企业依据法律规定或者自我承诺完整地开展合规调查、管理与应对,则履行了企业算法合规义务。此时,政府公权力应当保持适当的谦抑,从“无所不在”的状态,过渡到“在其应在”的状态[28],以此确保在“公民—平台—国家”三元结构和“私权力—公权力”双重权力生态已经成为主流的背景下,数字企业通过开展企业算法合规管理,承担道德责任与社会责任,填补国家在工商业与人权议题中的“治理间隙”[29],确保法律与技术在各自领域得以共进,实现治理效益最大化。
四、我国企业算法合规的实践路径探索
习近平总书记在中央全面深化改革领导小组第三十五次会议上指出:“加强企业海外经营行为合规制度建设,逐步形成权责明确、放管结合、规范有序、风险控制有力的监管体制机制”,提出了“企业自身加强合规管理”和“政府加强对企业合规监管”的双重任务[30]。在实践中,除了要充分考虑以人民为中心、创新与伦理的平衡、全面渗透与多层参与、公开透明和灵活持续等企业算法合规的基本原则外,企业还应审慎评估自身实际,合理借鉴如下操作指引。
(一)完善企业内部算法合规风险评估及信息传达机制
首先通过企业成立算法合规部门,在所有具有法律渊源的规范文件中检索与企业业务相关的条文,以“风险清单”的方式列举可能存在的风险、具体可行的应对措施与算法合规管理的相关程序。其次,包括行业协会颁布的行为准则、商业习惯和商业伦理等也是企业需要遵守的行为标准,例如2022年3月1日起施行的《互联网信息服务算法推荐管理规定》所提出的“鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度。”合规部门还应当充分梳理与企业算法合规相关的商业惯例,将其作为二级“风险清单”列出。最后,企业内部章程也是合规管理的重要依据。例如,《个人信息保护法》第五十一条指出,“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等……制定内部管理制度和操作规程”
除了加强对算法合规风险的预防,数字企业还应将算法合规标准传达到每一个职员,并通过组织性措施促使职员遵守算法合规标准,确保数字企业可问责性。同时,企业算法合规政策必须得到企业最高管理层的批准,必要时可以从核心管理层中指定企业算法合规高级专员以推进和监督企业算法合规政策的执行,搭建从合规管理委员会、首席合规官到合规部的标准的合规治理结构,由此确保企业算法合规政策得以在企业内部全面渗透。
(二)改进算法合规计划的监督与完善机制
监督与完善机制作为独立于风险识别、风险评估与风险应对的环节,是企业算法合规管理绩效的评估环节与不断优化的前提。监督与完善应当建立在适合的信息基础之上,包括来自企业内外部的定性与定量指标都应当成为企业算法合规绩效的评价标准与改进参考。定期回访因企业算法运用或基于算法的治理受到负面影响的群体能够帮助企业了解风险应对方案的执行效果;主动邀请行业协会或社区管理者参与企业算法合规管理绩效评测环节有助于企业发现合规体系中的不足与优化方案;将评估结果与来自内外部的改进建议通过明示的方式纳入不断更新的企业算法合规方案中有利于外部监督的开展与建立负责任的企业形象。在数据共享、信息互通、算法开源的数字经济时代,企业提供或使用的算法服务可能对世界另一端的某个社区产生消极影响。企业不仅应当注重自身行为产生的算法合规风险,还应当警惕因供应链关系或企业商业伙伴关系产生的间接算法合规风险。与此同时,国家相关部门也需要进一步加强对算法企业的监管力度。《互联网信息服务算法推荐管理规定》要求“根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据敏感程度、对用户行为的干预程度等对算法推荐服务提供者实施分类分级管理。”通过国家网信部门建立分类分级管理制度,也是个人信息受保护权的实现需要国家积极履行个人信息保护义务的重要体现。
(三)强化企业算法合规的外部激励机制
目前在企业算法合规领域,包括《个人信息保护法》《电子商务法》以及《互联网信息服务算法推荐管理规定》在内的相关法律,都规定了企业违规的法律责任。我国在行政法与刑法领域亦均有涉及作为外部激励机制的合规激励制度。虽然通过行政法上的激励机制促进企业合规的实践主要发生在金融领域,但算法合规领域依然可以借鉴。相对于刑事激励手段,行政法上的证据标准较低,处罚措施对企业的影响更小,因而更适宜作为外部激励机制以促进企业合规[31]。对于企业算法合规管理中出现的内部控制缺陷或者合规责任履行不当造成的违规,可以通过行政处罚的方式,激励相关数字企业合规。与此同时,《公司法》作为企业组织法,应当明确规定企业具有合规管理的基本义务,使合规管理在组织法层面具有基本依据。在刑事领域,对于企业算法技术运用过程中出现的违反了如《刑法》中侵犯公民个人信息罪等条款的犯罪行为,如果涉案企业能够证明建立了关于算法合规的内部治理结构和管理规范,可以以算法合规为排除公司责任或者刑罚减免的事由。
(四)建立健全涉案企业算法合规第三方监督评估机制
最高人民检察院联合多部门颁布的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》规定,将在依法推进企业合规改革试点工作中建立健全涉案企业合规第三方监督评估机制。首先,检察机关要在涉案企业申请第三方机制时,判断涉案企业的算法违规是否以实施犯罪为主要活动,或涉嫌危害国家安全。其次,当涉案企业符合申请标准后,由于算法和司法之间的知识壁垒依旧明显,第三方监督评估机构的组成,应当充分吸纳算法领域工程师和企业合规领域专家,共同为涉案企业提交算法合规计划提供指引和评估,围绕与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的算法合规管理规范,构建有效的算法合规组织体系,健全算法合规风险防范报告机制,弥补企业制度建设和监督管理漏洞,防止再次发生相同或者类似的违法犯罪。最后,检察机关要对第三方组成人员的资格进行审查,对第三方机制运行期间涉案相关主体提出的申诉、控告或者有关申请、要求依法进行处理,确保第三方机制遵纪守法、客观中立。参与安全评估和监督检查的相关机构和人员应当对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
五、结语
企业算法合规是一个系统完整的体系,是在充分整合现有的算法治理路径与企业合规机制基础上应对企业算法合规风险的“软法工具”。在算法治理面临本质主义与实用主义分野,规制需求大于制度供给,个体赋权、外部问责和平台义务多元范式共进,法律规制与算法创新难以平衡的背景下,企业算法合规义务的履行能够通过以数字企业的自我约束、自我监督、自我披露为主的治理方式来重塑算法社会的信任,实现技术、人、社会三者之间的良性互动和发展,塑造健康包容可持续的算法社会。
