在人工智能立法出台之前,各国大多试图借助个人信息保护和信息公开制度间接实现算法透明,但效果不尽如人意。以欧盟为例,学者们试图从欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)相关条款推导和解释出信息处理者的告知义务以及数据主体获得解释的权利,但也受到了较大的质疑。我国也有学者尝试从《个人信息保护法》(以下简称“个保法”)中推导出算法告知义务和算法解释权,但这种由多个条款“嫁接合成”的算法透明机制,规范基础复杂,规范要求不够明确,不仅会使信息处理者无所适从,也会导致个体行权困难。
也有学者主张利用政府信息公开立法实现算法透明,认为算法的本质是行政规则,以行政法规、规章和规范性文件为文本载体,应属于《政府信息公开条例》第20条第1款规定的主动公开范畴。尽管自动化行政中的算法可以被视为法律的转译,但代码能否直接等同于立法文件存疑。另外,美国进行的调查也表明信息公开立法不足以支撑公众了解算法,其阻碍来自:(1)商业秘密保护,或者政企合同约定对算法保密;(2)不存在可供公开的文件或记录,如政府未就算法适用情况进行记录,或者算法资料在合作算法供应商之手;(3)政府披露意愿不高,敷衍了事,表现为对公开申请的简略答复、不答复或消极拖延等。
由此可见,个人信息保护及信息公开立法无法为算法透明提供坚实的规范基础。这也并不奇怪,因为上述两种制度的立法目的本就不在于算法规制(尽管规制范围与算法有所交集)。随着人工智能专门立法的推出,算法特别是机器学习类算法,有了更具体和更具针对性的规范根基。2024年3月,欧盟通过首个人工智能专门立法《人工智能法》。我国也在大力推进人工智能专门立法,在2024年相继公布了《人工智能法(学者建议稿)》和《人工智能法示范法2.0(专家建议稿)》。
欧盟《人工智能法》第3条第1款将“人工智能系统”定义为“设计用于不同程度的自主性运行,并且在部署后可能表现出适应性的机器系统,并且对于明确或隐含的目标,可以根据其接收到的输入推断(infer)如何生成可以影响物理或虚拟环境的输出,如预测、内容、建议或决策。”简单而言,该法规定的人工智能系统指向具有推断功能并且可以自主运行的算法,与具有黑箱争议的算法范围重叠。
根据人工智能的风险程度,欧盟《人工智能法》为其匹配不同的透明义务,可分为以下四类:第一,针对高风险人工智能系统的技术性信息披露义务,服务于人工智能系统设计者、提供者以及监管者。该义务以该法第11条和第13条规定为代表,内容涉及多项条款。第二,针对特定人工智能系统的标识和告知义务,服务于公众,主要是一种提醒义务。第三,针对高风险人工智能系统的登记义务,服务于公众。如该法第49条规定,高风险人工智能系统在被投放市场或者投入服务前,系统提供者以及作为部署者的公权力机关应当按规定在欧盟数据库中登记。登记信息包括系统提供者和部署者主体相关信息(如姓名、地址、联系方式),以及系统相关信息(如系统名称、基本信息描述、是否投入市场、合格性和认证信息等)。第四,个体针对高风险人工智能系统决策获得解释的权利。该法在第86条规定,在满足以下要求的情况下,个体有权要求部署者就人工智能系统在决策程序中的作用,以及影响决策的主要因素做出清晰且有意义的解释:(1)高风险人工智能系统(附件三第二点列举的系统除外);(2)决策是基于系统的输出做出的;(3)个人认为决策对其健康、安全和基本权利产生了法律上或类似程度的不利影响。
我国两版人工智能立法建议稿都将透明原则作为一项基本原则。尽管两稿分别从义务和权利角度规定,但就算法披露而言,两版建议稿规定较为一致,即要求提供者告知:(1)算法基本信息,如目的、功能、运行机制、风险等;(2)算法监管信息,如许可、备案信息;(3)用户权利及救济途径;(4)法律和行政法法规规定的其他信息。就决策解释而言,两版建议稿均规定当人工智能的产品或服务对个人权益有重大影响时,个人有权要求提供者解释说明。
