2021年12月31日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(以下简称《规定》),2022年3月1日起施行。作为互联网信息服务领域贯彻落实《网络安全法》《数据安全法》《个人信息保护法》的重要举措,《规定》旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。在互联网信息服务领域出台具有针对性的算法推荐规章制度,是防范化解安全风险的需要,也是促进算法推荐服务健康发展、提升监管能力水平的需要。

《规定》对应用算法推荐技术进行了定义:应用算法推荐技术“是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息”,是对用户信息及行为数据进行算法分析,以推送符合用户性化偏好的内容。应用算法推荐技术不可避免的会对用户数据进行采集、加工与使用,因此,我们尝试对《规定》中数据安全相关的内容进行解读,抛砖引玉,供大家参考。

明确算法监管职责

《规定》明确,国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。地方网信部门负责统筹协调本行政区域内的算法推荐服务治理和相关监督管理工作。地方有关部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。

国家网信部门负责算法推荐服务的治理和监管工作,与网络数据安全的监管一脉相承,有利于对算法安全、数据安全的统一监管。

明确算法安全主体责任

《规定》明确算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。

算法推荐服务提供者是算法安全的主体责任部门,应建立数据安全和个人信息保护、安全评估监测、安全事件应急处置等管理制度和技术措施,加强信息安全管理,加强用户模型和用户标签管理等,算法推荐服务提供者应采取有效的数据安全管理制度(如数据安全管理制度、数据安全应急响应制度、人员与技术管理制度、数据安全风险评估与监测制度等)和技术措施(如数据标签技术、数据脱敏技术、隐私数据保护技术等),落实《规定》的相关要求。

明确算法应用公开透明

《规定》明确算法推荐服务提供者应当加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制。鼓励算法推荐服务提供者综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性。算法推荐服务提供者不得生成合成虚假新闻信息,不得传播非国家规定范围内的单位发布的新闻信息。算法推荐服务提供者不得利用算法虚假注册账号、非法交易账号、操纵用户账号或者虚假点赞、评论、转发。算法推荐服务提供者不得利用算法对其他互联网信息服务提供者进行不合理限制。算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况。

算法推荐服务提供者在具体应用场景中保持公开透明,保证内容的真实性,对于推荐内容和服务应告知用户并提供自主选择机制,算法推荐服务提供者可以使用身份鉴别技术、数据完整性保护技术对用户身份的真实性进行鉴别,并对数据内容的真实性与完整性进行保护。

明确算法应保护个人隐私及用户合法权益

《规定》明确算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务。算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益。

算法推荐服务提供者应对用户个人信息进行保护,在未获用户允许的情况下,不应采集、使用针对其个人隐私特征的推荐服务;同时,算法推荐服务提供者应能通过数据标签技术区分未成年人、老年人,在提供推荐服务时保障其依法享有的权益。算法推荐服务提供者可采用数据脱敏、多方计算、联邦学习等数据安全与隐私保护技术落实《规定》的相关要求,在保护个人隐私的前提下,保障用户相应权益。

明确算法应分类分级

《规定》明确网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。

网信部门应依据算法推荐服务对国家安全的影响程度、涉及数据的重要程度等对算法进行分级分类,对算法推荐服务提供者实施分级分类管理,与数据安全管理制度中的分类分级保护思路一致,有利于统一监管。

(本文作者:长春吉大正元信息技术股份有限公司 戴才良)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。