近日,国家网信办、工信部、公安部和市场监管总局等四部门联合制定《互联网信息服务算法推荐管理规定》(以下称《规定》),该《规定》将自2022年3月1日起施行。笔者认为《规定》正是三大基础法律《网络安全法》、《数据安全法》、《个人信息保护法》实施后的自然发展延续,具有里程碑意义。出台《规定》的实践目的主要基于两个方面:一是深入推进互联网信息服务算法综合治理的需要;二是积极促进算法推荐服务规范健康发展的需要。首先我们先梳理一下算法推荐的发展。

01 算法推荐的发展—信息推送

算法推荐的发展大致可分为三大阶段:

算法1.0时代:这一阶段的推送算法可以算是“没有算法”,推送者的想法就是“算法”本身,推送者给用户看什么用户就看什么。由于内容基本是通过比较专业的推送者撰写推送,其质量相对是有保证的,传递的观点通常也不会过于偏激,例如传统媒体形式:单一的报纸、期刊文章、电台等。

算法2.0时代:这一阶段用户有了一定的选择,推送者事先通过大量的信息整合提供用户多元化板块选择,载体也从传统媒体形式转移到了初期的互联网,用户可以从中挑选自己想看到的内容,推送者还会时不时的做一些简单的广告推荐,例如传统的门户网站,有了各种分门别类的板块,喜欢体育的、时政的、美食的、游戏的不同用户都可以找的属于自己的板块内容。

算法3.0时代:就是当下我们所处的阶段。得益于智能移动终端的普及、基础算法进一步升级,在算法3.0的加持下,信息推送直接进入梦幻联动的时代。互联网行话称之为“千人千面,人群推荐算法”(以下简称“推荐算法”或“算法3.0”),不再需要推送者进行人工推送,而是推荐算法这个电子“大脑”进行用户操作的自动安排和指引,例如首先让A用户与B用户浏览完全不同的网页界面,随后,算法3.0会根据用户的操作习惯、日常行为、兴趣爱好等等自动推算出用户脑子里想要的内容并推送给每个不同的用户,并且与之有关的内容也会一并推荐,有种除了不能直接把东西送给用户,如何得到这个东西、东西的评价如何、有没有平替等,全都推荐了。而这种想什么出什么的现象会让大众感觉像是个人信息泄露一般。其实大多数的app是不会窃取用户个人隐私的,是用户的行为数据让平台了解你的需求,并不是我们认知中的通过注册账户时填写的性别、年龄、身份证号等个人信息来推算的。

常规的人群推荐算法是类似这样的公式:内容访问权重=行为权重*时间权重*衰减因子。

1.行为权重:平台会根据用户的行为积累大量数据,计算出用户在不同类目不同产品中各种操作的行为权重分数,例如用户点击一篇内容后评论、回复、转发、点赞等行为时都会进行权重加分;

2.时间权重:用户停留(也就是俗称的喜欢的就会多看几眼)的时间越长,时间权重也会越高;

3.衰减因子:用户的单次行为不能作为用户喜好的直接评定,随着时间的推移权重也会慢慢衰减。由这样通过三个权重维度的综合计算得出了我们的内容访问权重,在我们多次访问同类型内容时,每次都会获得对应的内容访问权重,平台对这些权重进行累加计算,权重越高,内容板块推荐类似内容的比例和频率就会越高,这就是常规的人群推荐算法,换言之,其实世界上所有推荐算法的处理过程都类似于如此,之间没有太大的差异。

梳理到这里,是不是觉得算法3.0这个电子“大脑”非常聪明,充满了“智慧”。

02 《规定》与网络安全和数据安全的联系

就上文介绍的算法发展中提到的信息推送者,在算法3.0的今天都慢慢演化成了《规定》里所列明的算法推荐服务提供者,世界上的各种算法也都掌握在他们的手中。算法本无好坏之分,如果不法之徒利用算法的“智慧”推算出了大规模海量数据,乃至可能是重要数据,恶意使用这些数据去做违法的事,那么将会严重威胁到网络安全。而出台《规定》恰恰是是对于算法合规合法的建章立制,加强、提升防范与化解算法推荐安全风险的能力,促进算法相关行业健康有序发展,进而保护网络安全。

《规定》第六条明确了算法推荐服务提供者的信息服务规范,要求算法推荐服务提供者不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。约束和规范算法的合法有序发展也就是从源头上是保护了网络安全。

《规定》第九条要求算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,发现违法和不良信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信部门和有关部门报告。而这一条在笔者看来是一种变相的反客为主行为,利用先进的推算技术主动出击,找出威胁网络安全的不法信息,把算法的使用场景提升到了一个新高度。

《规定》第三章界定了用户权益保护内容,限制了算法对于用户信息的不良挖掘。例如第十七条,算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项;和向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。《规定》让用户了解自己的权利内容,促使用户利用法律武器自主的保护个人信息避免被过渡采集和泄漏风险。

同时《规定》第二十八条要求算法推荐服务提供者应当依法留存网络日志,配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。这是算法推荐服务提供者的社会责任和义务,换而言之算法推荐服务提供者应当依法履行网络安全保护的义务。

上述内容体现的是算法推荐服务提供者与用户的联动,并且这种“被动保护+主动保护”双管齐下的动作,正是我认为本《规定》最巧妙的地方:算法推荐服务提供者和用户是网络安全保护过程中的重要角色,二者缺一不可、密不可分。

算法的迅猛发展是把双刃剑:一方面加快信息化社会发展,提高公众生活便利的同时,也侧面引入了安全的隐患,所以如何利用算法正向的利刃,保护网络安全和数据安全也是本《规定》实施的一个重要意义所在。合法合规使用互联网信息推荐算法是一个长期的过程,需要我们一起慢慢探索,共同努力!

(本文作者:三六零安全科技股份有限公司 陈敬然 )

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。