世界范围内的算法规制实践已经形成了一系列制度工具，它们与新兴人格权益、数据权利的确立与保障共同构成了算法规制的制度框架。这些新兴权益与制度工具近年来已被国内外广泛引入法律实践。美国、日本、韩国、德国、新加坡、爱沙尼亚等国家先后就算法规制与治理形成了相关立法实践，[13]欧盟颁布《通用数据保护条例》（General Data Protection Regulation，GDPR）更是包含了大量典型的相关规定。不过，算法规制的制度框架还远未成熟，其法律关系架构与各种制度工具仍然处于探索发展的状态。

（一）算法规制的法律关系基础

法律关系的内涵非常丰富，以拉伦茨的广义权利义务框架为例，法律关系包括狭义上的权利（Recht）、权能（Befugnisse）、权限（Zuständigkeit）、取得期待（Erwerbsaussichten）、狭义上的法律义务（Rechtspflicht）、法律上的拘束（rechtliche Gebunden heit）、职责（Obliegenheiten）、负担（Lasten）等，展开为一个具有复杂层次的体系。[14]法律关系的核心是权利义务关系，而权利更是法律关系中最引人瞩目的部分，是构筑法律关系的出发点。除权利以外，各国公法中一般都通过某种形式认可一定范围内的法律上之利益。它们在公法请求权与救济可能性上不如权利，但对于个体而言亦具备类似于权利的意义，故常合称“权益”。算法规制的部分制度工具，可以被看作是为保障各种合法权益而规定的若干义务或责任。例如，算法解释即主要是基于用户知情权而对算法设计者施加的一项法律义务。因此，算法规制的制度框架需要先确认各种各样的算法相关权益，尤其是确立与算法有关的新兴人格权益与数据权利。

1.新兴人格权益

新兴人格权益主要包括当代的信息隐私权以及人工智能应用的法律人格。传统上肇始于沃伦和布兰代斯的隐私权概念，最初只包含防止侵扰的安宁隐私权和防止个人信息泄露的信息隐私权，后者经过岁月变迁已日显复杂，而信息时代这一权利的范围更是不断扩展。在信息整合技术和身份识别技术不断发展的条件下，如前所述，传统上不涉及隐私的信息有可能被分析出符合身份识别标准的个人信息，因此隐私权的保护范围也随之扩展。[15]与此同时，人工智能应用的法律地位问题也日益引人关注。最初，人工智能应用的法律地位依附于开发者的法律地位，随着人工智能的发展，不仅有学者明确主张人工智能应用（包括基于人工智能的机器人或其他终端）的法律人格，也有部分国家开始尝试加以承认。[16]由此，算法规制正在超越传统上由人类权利义务关系形成的法律关系框架，而将法律关系延伸到算法本身，这将是一场根本性的变革。

2.数据权利

自既有国内外法律实践观之，目前已经获得一定程度承认的数据权利包括个人的数据携带权、数据访问权、数据更正权、数据擦除权（被遗忘权）、数据采集与处理的同意权、拒绝权、用户知情权、限制处理权等等。数据权利中既包括基于个人信息和隐私的人格权利，也逐渐形成了“个人数据即财产”的财产权利观念及其法理内涵。[17]基于数据权利观念，欧美国家在个人、数据处理企业、数据应用方与政府之间逐渐形成了一个日益精巧的控制权配置结构，致力于平衡数据安全、科技应用、信息经济发展和个人信息保护的需要。易言之，这些权益包含了立法者的价值决断和价值目标设定，构成了算法规制的法律关系边界，也为算法规制提供了部分法律手段。

这些新兴权益在我国法律中亦有若干零散的体现，在立法实践中，个人信息的法律地位已为2017年制定的《民法总则》所明确承认。在司法实践中，不少新兴权益亦获得了法院的认可，例如，法院在“王艳春与王茹香、李春香等隐私权纠纷案”（北京市门头沟区[2017]京0109民初4611号人民法院民事判决书）中承认的个人信息权，在“孙旭东与平安银行股份有限公司深圳市鑫富源投资咨询有限公司隐私权纠纷案”（深圳市福田区人民法院[2016]粤0304民初24741号民事判决书）中承认的隐私维护权，在“北京百度网讯科技有限公司与上海汉涛信息咨询有限公司其他不正当竞争纠纷案”（上海知识产权法院[2016]沪73民终242号民事判决书）中承认的信息价值等。但这些新兴权益的具体内涵及外延还远未有明确定论，仍亟待深入认识。

（二）算法规制的制度工具

尽管算法规制依然是一个新兴的主题，但相关的制度工具发展却相当迅速，在世界范围内已经初步形成了一套全方位的监管框架。自既有法律实践及理论热点观之，算法规制的主要制度工具包括如下数种：

1.软件登记与材料留存

这是一种基本的规制手段，主要是解决算法责任的可追溯性问题以及提供最基本的风险预判，是实施其他监管措施和追究算法责任的前提条件。例如，我国工信部制定的《移动智能终端应用软件预置和分发管理暂行规定》要求互联网信息服务提供者或其他平台经营者登记应用软件的提供者、运营者及其他信息，留存应用软件及其版本、上线时间、用途、MD5校验值等信息以备追溯。在这一方向上，未来有可能发展出诸如算法登记或算法备案一类更精致的制度工具，但仅限于具备特殊重要风险的应用情境。

2.算法解释(www.daowen.com)

当一种算法可能包含较大风险时，法律可以通过设定算法解释义务或赋予用户以算法解释权的方式展示算法的运行机理与基本逻辑结构。尤其对于算法自动决策的一些重要应用情境，算法缺乏透明度、决策过程不公开以及决策理由不足等问题，已经形成了需要进行解释的“算法黑箱”。[18]例如，在数据处理领域，因为机器学习和自动决策而认为自己即将或已经面临侵害的个人，可以要求知晓个人数据自动处理的逻辑，也可以向算法自动做出的决定提出异议，并要求更正错误的决定。[19]这就是算法解释的一种制度安排。自更宽泛的含义上看，算法解释还应包括应用说明或数据使用政策（datausepolicies）等用户操作指引，违反这方面的要求可能引致沉重的法律责任。例如，2018年，谷歌因未为用户提供清晰易懂的数据使用政策，违反了《通用数据保护条例》的规定，被法国数据保护监管机构处以5000万欧元罚款。[20]不过，算法解释在实践中有时并不容易，经常面临所谓的“不可解释隐忧”，[21]尤其是对于参数、变量动辄以十万计的大型程序，算法解释之于开发者的负担过于沉重，当前开发者在规定期限或合理时间内未必能够做出准确的解释；即使做出了解释，由于知识和技术的鸿沟，算法解释也很可能收效甚微。

3.权益保障设计及安全措施

对于某些算法应用情境，法律规定算法设计者必须提供针对某些合法权益的权益保障设计，或者其他安全措施。这些设计主要是抽象的功能性要求，个别情况下也会有具体的算法限制。例如，欧盟颁布的《通用数据保护条例》第25条就既规定了一般的权益保障原则（数据保护原则和个别数据处理的特定目的原则），又规定了匿名化、数据最小化、默认不可访问个人数据等具体的数据处理限制规则。美国加利福尼亚州于2018年为保护商业数据中的个人信息而制定的《消费者隐私法案》（The California Consumer Privacy Act of 2018）1798.125节也有较为完整的反歧视义务规定，保障消费者的平等权。又如，我国公安部颁布的《互联网安全保护技术措施规定》第7条及第8条要求互联网服务提供者、联网使用单位及提供互联网接入服务的单位落实一系列安全保护技术措施，包括防范入侵措施、冗灾备份措施等。此种规定较为灵活，在未来的算法规制中有可能成为必不可少的关键法律手段。但是，权益保障机制是否具备、是否达到法律的标准，行政与司法上有时存在较大的判断余地，需要相当程度的法律方法支持。

4.算法标准

随着某一领域软件工程的日益成熟，一定程度上的算法标准有可能成型。目前，国内外已经形成了一系列具体的算法标准，或者由政府制定，或者由社会组织制定。例如，在区块链领域，中国区块链产业和技术发展论坛制定了《区块链数据格式规范》等标准。但是，对于算法规制而言，更值得注意的是包含一定法理内涵的抽象性价值标准。例如，夏格尔-费弗科恩（Karni Chagal-Fefer korn）主张模仿法律中常见的理性人标准或专业理性人标准，主要基于侵权法的法理，为算法决策者（算法自动决策的应用）建立“合理化算法”标准（a“reasonable algorithm”standard）。[22]更引人注目的一个标准是公平性标准，在反对算法歧视方面，随着“公平机器学习”（fairmachine learning）的呼声日益高涨，算法上的公平标准已经越来越深入，要求生成公平合成数据（fairsynthetic data）、设计公平分类器（fair classifier）直至进行公平数据披露（fairdata disclosure）等标准化数据处理过程的论述也随之涌现。[23]也可以用程序正则性（proceduralregularity）标准进行统合，以实现法律上正当程序之保护，避免各方主体在智能自动化决策面前被区别对待。[24]易言之，在算法公平这一总体性标准下还可以形成一系列子标准。在可预见的将来，抽象性的算法标准可能会成为算法规制的重要手段。

5.技术接口与监管便利条件

经营者和网络平台需要为某些行政机关提供技术接口，例如我国《反恐怖主义法》第18条、《公共互联网网络安全威胁监测与处置办法》（工信部网安[2017]202号）第6条第2款等。此外还有要求相对人提供技术支持或监管便利条件的一些法律规范，例如《区块链信息服务管理规定》（2019年国家互联网信息办公室令第3号）第18条第1款等。从严格的意义上看，这些技术接口或技术支持并不是针对某一种算法，而是针对某一类经营者或网络平台，但这一制度工具完全可以被用于算法规制之中，例如可编辑区块链（editable blockchain）技术就利用变色龙哈希函数（chameleonhash function）创造出了一个可以编辑特定区块的“陷门”。配合留存修改记录等技术措施，这一“陷门”可以使可编辑区块链技术适应某些有特殊监管需要的应用情境。

6.算法责任

算法的不正当应用如果引起法律规定的危害后果，则程序的设计者或运营商须负一定法律责任。国务院于2017年发布的《新一代人工智能发展规划》（国发[2017]35号）要求：“建立健全公开透明的人工智能监管体系，实行设计问责和应用监督并重的双层监管结构，实现对人工智能算法设计、产品开发和成果应用等的全流程监管。”此处就明确表示了“设计问责”的监管结构要求。算法责任的本质是算法设计责任。算法应用引起法益侵害后果的原因，既可能来自于算法自身的不稳定、不可靠，也可能来自于算法调用数据与信息的准确性，还可能来自于对算法漏洞的恶意利用，但归根到底在于算法设计本身缺乏足够的安全性、稳定性与可靠性。在未来，启用完全自动驾驶的智能网联汽车有可能成为算法责任的一个实践焦点。

除以上在算法规制中已经得到广泛应用或密切关注的主要制度工具，还有一些初步见于法律实践或理论研究的法律手段，例如，算法审计（audits of algorithms）已经在实践基础上得到了部分学者的积极支持。[25]又如，技术认证或认定已经在一定程度上被广为应用，我国的密码技术检测与认证即是一例。在未来，算法规制的更多制度工具有望被创造及应用，这是一个已经可以窥见的必然趋势。

但是，随着算法相关法律关系的丰富和制度工具的不断发展，一个新的问题亦随之出现：面对林林总总的权益保障需求及制度工具，何种机制才能有效地实现算法规制目标？这就使得规制者不能不面对机制设计的挑战。