2021年12月31日，《互联网信息服务算法推荐管理规定》（以下简称《管理规定》）由国家互联网信息办公室、工业和信息化部、公安部、国家市场监管总局联合发布，于2022年3月1日起正式施行。

　　《管理规定》的颁布实施，一方面聚焦算法推荐服务乱象问题，规范了互联网信息服务算法推荐活动，促进算法推荐服务健康发展；另一方面提出了算法推荐服务治理的中国方案，为国家建立算法安全治理体系夯实制度基础。

　　一、相关背景

　　我国的算法治理工作已经起步。党中央印发的《法治社会建设实施纲要（2020-2025年）》提出要制定完善算法推荐、深度伪造等新技术应用的规范管理办法。《网络安全法》《数据安全法》《个人信息保护法》等法律和《关于加强互联网信息服务算法综合治理的指导意见》等政策文件先后出台并作出相关顶层设计。在此基础上，《互联网信息服务算法推荐管理规定》的发布，深入推进互联网信息服务算法综合治理的同时也积极促进算法推荐服务规范健康发展。

　　二、《管理规定》内容概要

　　《管理规定》对算法推荐服务的安全使用提出了统一规范，明确了算法治理的对象、价值取向和安全主体责任，保护各类群体用户权益，促进算法应用向上向善，构建了新的算法治理体系。

　　《管理规定》对应用算法推荐技术提供互联网信息服务的活动进行了规范。其中提到的五类算法推荐技术是指应用生成合成类（如“换脸”）、个性化推送类（如广告）、排序精选类（如新闻头条文章）、检索过滤类（如语义检索理解）、调度决策类（如网约车、外卖）。上述算法推荐技术被广泛应用在软件技术领域，相关算法提供者首先应确认提供的算法技术是否属于《管理规定》中的五类算法推荐技术，进而加以规范。

　　三、算法安全风险

　　《管理规定》提到的五类算法推荐技术被广泛应用于传统业务和新兴业务的服务过程中。

　　业务办理涉及了诸多智能推荐技术，通过大数据、物联网等技术手段匹配生成个性化方案应用的个性化推送类技术；相关音视频类、新闻资讯类产品中应用的排序精选类技术，为用户展示精选内容和有关榜单；检索过滤类技术涉及了关键词联想检索功能；生成合成类算法提供“换脸”、“变声”等功能应用的生成合成类技术、外卖、网约车等特定场景提供实时调度行程路线等功能涉及的调度决策类技术。

　　算法推荐服务的安全风险主要来自于不当应用算法推荐技术或缺乏审核机制[1]，这些安全风险突出表现在以下几个方面：不当应用生成合成类算法实现深度伪造、不当应用个性化推送类算法产生信息茧房[2]、不当应用排序精选类算法制造虚假榜单、不当应用检索过滤类算法传播违法不良信息引发负面舆情的风险[4]或实施“自我优待”、不当应用调度决策类算法侵害劳动者或消费者权益（如严重压缩快递服务人员派送时间、对消费者实施大数据杀熟[3]）等方面。

　　3.1 个人数据隐私

　　算法推荐技术，特别是个性化推送类，极易出现为了提高推送准确率而过度挖掘、过度收集，导致个人信息泄露等问题。根据有关调研结果显示，86%的受访用户认为应用APP存在上述情况[5]，过度收集数据屡见不鲜，用户个人信息泄露风险仍然严峻。

　　3.2 算法推荐服务内容价值观

　　互联网信息服务应发挥宣传正能量、避免违法和不良信息传播的作用。特别是具有舆论属性或者社会动员能力的算法推荐服务提供者，更肩负着弘扬主流价值导向、严格内容审核的责任。然而，由于技术手段落后、管理机制不健全、主体责任意识淡漠等原因，造成部分互联网信息服务正能量传播不足，未能提升主流价值导向的影响力；违法和不良信息识别率低，未能有效屏蔽违法和不良信息；生成合成内容未显著标识，未能积极协助用户辨别信息真伪。

　　3.3 用户权益保障

　　《管理规定》赋予算法推荐服务用户“知情权”“信息权”“选择权”“拒绝权”“申诉权”等多项权益。然而，算法推荐服务提供者告知不充分、过度推送导致信息茧房、未提供选择或删除个人用户标签功能、未提供便捷关闭算法推荐服务选项、未提供畅通申诉渠道等现象仍然普遍存在。用户使用算法推荐服务的基本权益仍未得到保障。此外，针对未成年人、老年人、劳动者、消费者等特殊群体的权益保护，也尚未成熟。

　　四、风险防范策略

　　为防范算法推荐服务可能面临的安全风险，算法推荐服务提供者应在《管理规定》要求的基础上，采取有效的解决方案。

　　4.1 界定收集内容范围

　　过度收集用户个人数据的问题屡见不鲜，例如，文献[7]中提到的，在网络支付软件中查看账单过程中有人发现是否勾选该同意协议与查看账单的行为其实并不冲突，但默认勾选同意协议即代表用户授权了该网络支付软件收集用户信息的权利。

　　针对上述问题，算法推荐服务提供者在进行必要的数据收集过程中，应遵循最小化、合法化原则[7]，不能违规对用户数据进行大量收集。算法推荐服务提供者需要根据所推荐的应用技术，对授权内容与获得信息数据用途的关联性进行界定，同时将收集范围、规则和使用目的等告知用户。

　　4.2 界定公示标识原理方式和程度

　　为保障用户知情权，同时也为避免出现影响网络舆论、规避监督管理、垄断、不正当竞争等情况，算法推荐技术的公示，应遵循易懂和可读性原则，保障用户知情权。同时，在公示的基础上，根据算法推荐技术的不同类别，界定相应的公示程度和范围。

　　例如，生成合成类算法推荐技术，需进行显著标识，个性化推送、排序精选类算法推荐技术则需向用户具体说明排序规则以及推送原则等等。公示范围和程度需要依据算法推荐技术的模型和应用场景，以及算法推荐技术涉及的范围和内容来进行判定。

　　4.3 界定安全主体责任完备性

　　算法推荐服务提供者应明确算法推荐服务主体的支撑安全责任，确保在算法应用过程中遵守收集原则，建立健全安全监测机制，匹配相关专业人员，避免数据安全、数据滥用、内容安全或技术物理层面等问题。

　　同时，算法推荐服务提供者还需确保在算法应用过程中为用户提供的内容信息遵循主流价值导向，避免内容安全问题。

　　五、总体举措建议

　　《管理规定》已于2022年3月1日起正式施行，建议有关企业尽快进行相关法律法规的对标工作，开展算法推荐服务治理工作。

　　一是建立健全信息安全管理体系。定期更新相关服务管理制度，建立健全算法机制机理配套管理制度和机制，制定并公开算法推荐服务相关规则，配备与算法推荐服务规模相适应的专业人员和技术支撑。

　　二是加强推荐算法安全治理相关的技术能力建设。建议加强算法安全技术能力建设，对各类推荐算法的特点和安全问题开展专题研究，通过定期更新审核算法模型、完善识别违法和不良信息的特征库、加强用户模型和用户标签管理、加强算法推荐服务版面页面生态管理、开展算法安全评估、开展算法安全风险监测等技术手段，促进管理制度的有效落地实施。

　　三是对标自查算法推荐服务业务。全面梳理业务条线，识别其中的算法推荐服务业务，对照《管理规定》的要求对涉及的算法模型、用户模型、算法推荐服务版面页面生态、用户权益保护执行情况等方面进行对标自查，使算法应用符合主流价值导向。对具有舆论属性或社会动员能力的算法推荐服务业务，重点开展安全评估、备案等流程。

　　四是积极开展维护公共利益的服务业务。建议依托现有数据特点和技术积累，积极利用算法推荐技术开展大数据防疫分析、防疫信息精准投放、反诈宣传、用户诈骗风险分析预警等维护公共利益的服务业务，以此响应算法应用向上向善的价值导向。

　　结语

　　本文介绍了《管理规定》发布的情况背景，对重点内容进行简要解析，通过梳理算法推荐服务技术在个人数据隐私、用户权益保障、算法推荐服务内容价值观等方面涉及的安全风险问题，提出了相应的风险防范建议和举措。

                                                                                                                                                                                                                                                                  文章来源数据安全共同体计划