党的二十届三中全会提出“提升数据安全治理监管能力”的重大战略任务，提升数据安全治理监管能力需要协同发力，其中从算法安全角度进行构建是关键环节。

《关于加强互联网信息服务算法综合治理的指导意见》指出，要坚持风险防控，推进算法分级分类安全管理，有效识别高风险类算法，实施精准治理。《互联网信息服务算法推荐管理规定》（以下简称《算法推荐管理规定》）要求对算法推荐服务提供者实施分级分类管理。算法作为联结大数据和规制决策的技术纽带，通过复杂的算法模型来统计和分析海量的网络数据，进而得到预定的结果，已被广泛应用于满足客户的个性化需求、分析用户偏好、优化业务流程等方面。

一、算法安全分类分级的法益识别

（一）国家安全方面

经过半个多世纪的发展，人工智能已经从传统的提高计算效率延伸至社会生活的方方面面，算法被普遍运用于司法、新闻、医疗等领域，并且在军事、金融、交通等领域也发挥着越来越重要的作用。这些算法在处理大量数据、优化资源配置和提高决策效率方面具有显著优势，并且人工智能技术可以用于情报分析、监控预警、决策支持等方面，在国家安全中的应用也越来越广泛。为此，《算法推荐管理规定》第一条规定，算法推荐应当符合法律、法规的要求，不得出现违法情形。

（二）制度利益方面

在数字经济领域，分类分级并非一个新名词，根据数据、信息所面临的风险等级差异，法律规定了相应的分类分级保护措施。如《数据安全法》第二十一条明确规定了数据分类分级制度；《个人信息保护法》第五十一条将个人信息分类管理纳入法治轨道，要求对个人信息进行分类管理；《网络安全法》第五十三条要求按照网络安全事件发生后的危害程度、影响范围等对网络安全事件进行分级并规定了相应的应急处置措施。

（三）算法自身方面

此前，算法往往是数学家、程序员们所讨论的话题，在提高计算效率、优化应用程序等方面发挥作用。进入大数据、云计算与人工智能时代，算法对社会治理所带来的一系列问题也逐渐进入法学家的视野。例如算法黑箱可能挑战人类决策的知情权与自主决策、算法可能威胁个体的隐私与自由、并且可能导致歧视与偏见，而这些担忧都源自于算法的保密性、完整性、可用性、可控性。

所谓保密性是指算法不授权给非经授权的任何主体，能够防止非授权者获取这些算法；完整性是指未经授权不能改变的特性，即算法在存储或传输过程中保持不被修改、不被破坏和丢失的特性；可用性是指合法许可的用户能够及时获取网络信息或服务的特征，是算法一致性、准确性、完整性、时效性和实体同一性的要求；而可控性是国家对重要数据实际支配权力，避免被其他组织或国家非法操纵、监控、窃取和干扰。由于算法本身固有的特性，算法安全与由此带来的“信息茧房”、算法歧视、个人数据保护等存在冲突。为此，《算法推荐管理规定》强调提供算法推荐服务的主体必须符合公平公正、公开透明、科学合理和诚实信用等原则。

二、算法安全分类分级的法理展开

在合作保护模式下，算法安全治理不仅是民法、刑法等某个部门法的任务，也不仅是涉及某一个执法部门的事情，而是需要多个部门法共同作用、多个部门互相配合协同治理，同时需要国家标准、行业标准等发挥应有的作用。

（一）算法综合治理

在算法综合治理视域下，分类分级是一种制度性工具。我国2021年的《算法推荐管理规定》要求对算法服务提供者实施分级分类管理，规范算法推荐服务。算法综合治理大体形成了：准备事项的算法分类分级、算法安全评估；输入端的算法备案；过程事项的算法安全检测；输出端的算法审计等制度组合。这有助于发挥算法繁荣数字经济、为社会发展保驾护航的作用。其中，算法分类分级是数字治理的一种创新性监管理念，它是数据、算法、算力得以发挥基础作用的重要制度，能彰显科学监管、高效监管和精准监管的内在逻辑。

（二）数字经济市场

伴随着人工智能、大数据、云计算等计算的发展，数字经济成为继农业经济、工业经济之后的重要经济形态。相关研究报告显示，2022年我国数字经济规模达到50.2万亿元，占GDP比重达到41.5%。

算法分类分级治理也是数字经济市场的题中应有之义。在平台治理中，按照平台应用场景和功能设定，可以将平台分为网络销售、生活服务、社交娱乐、信息资讯、计算应用五种类型。此外，平台自身的用户规模、业务种类和能力范围也影响其分类，超级平台、大型平台和中小平台的划分，就是遵循分类分级原理的自然结果。

（三）信息技术标准

算法分类分级治理，除了需要法律、行政法规的规制，国家标准、行业标准等也发挥着重要作用。

在人工智能领域，目前正在施行的国家标准GB/T 42888-2023《信息安全技术 机器学习算法安全评估规范》、GB/T 21078.4-2023《金融服务 个人识别码管理与安全 第4部分：核准的PIN加密算法》、GB/T 41989-2022《公共安全 虹膜识别应用 算法评测方法》等等。除了国家标准之外，2023年11月8日，中国人民银行发布了金融行业标准JR/T 0221—2021《人工智能算法金融应用评价规范》。这些标准相互作用、相互配合，共同致力于算法分类分级治理。

（四）各部门法规范

算法一方面属于技术中立性的评价范畴，要求平台实施的算法技术是中立的，以计算过程以及计算结果中立为基础。从规范论角度，这些互联网平台所实施的算法必须秉持合法、公平、公开等原则，算法技术必须符合法律规范。以《算法推荐管理规定》为例，《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等法律、行政法规，构成了制定《算法推荐管理规定》的上位法依据。

与此同时，针对算法推荐技术运用过程中出现的侵害用户合法权益的行为，上述法律规范同时又构成制止违法行为、维护用户合法权益的部门法规范；《算法推荐管理规定》第三十一条规定，算法推荐服务提供者构成违反治安管理行为的，依法给予治安管理处罚，《治安管理处罚法》等法律为执法机关实施行政处罚提供了实体以及程序保障；而对那些严重侵害法益的行为，需要动用刑事处罚才能实现一般预防与特殊预防目的时，《刑法》等法律法规中关于刑事责任的相关规定亦构成了考察算法安全法益的间接依据，而《刑法》第二百八十七条非法利用信息网络罪、帮助信息网络犯罪活动罪、第二百五十三条侵犯公民个人信息罪等规定，则构成了对具体犯罪行为施加刑事处罚的规范基础。通过各个部门法之间相互配合，共同作用，引领技术发展向上向善。

三、算法安全分类分级的刑事立法

（一）法益类型

算法安全分类分级的刑事保护，首先要考察其在刑事立法中对于算法安全分类分级的法益识别问题，即刑事立法中关于算法安全分类分级的法益类型问题。

从犯罪类型角度看，关于算法安全分类分级的刑事立法几乎都是法定犯。有关法定犯的保护法益，传统理论和司法实务采用了“秩序法益+个人法益”的复数客体结构，但这无法准确揭示两种法益之间的内在联系。就此而言，有学者提倡基于主体间互动的保护法益方案。刑事立法中，这种基于主体间互动的保护法益对于本文的研讨具有重要启示价值：一方面，除国家安全法益需要重点研究外，制度利益和算法自身这两种法益各自能够体现主体间互动的特征。另一方面，就制度利益而言，主体间互动方式、程度等方面影响其保护法益。为此，下文拟简要展开国家安全法益和制度利益。

1.国家安全。在算法分类分级视野下，与国家安全法益关联最为紧密的是国家秘密安全。国家秘密安全具有结构性，除包括国家安全和利益外，还包括与国家秘密相关的个人信息权益和数据网络公共法安全。通过刑事立法识别和衡量国家秘密安全法益，应当体系性考察《保守国家秘密法》《国家安全法》《数据安全法》《个人信息保护法》，防止刑事立法与这些基本法律出现不协调，避免仅按照单一立法模式作出立法回应。例如，在有关互联网信息服务算法推荐活动的刑事立法，就需要在保守国家秘密的义务、国家安全保护、核心数据保护、人类遗传资源保护等方面进行融贯式把握。值得注意的是，《刑法》第三百三十四条之一非法采集人类遗传资源、走私人类遗传资源材料罪的保护法益，除涉及公共卫生管理秩序利益外，还可能涉及国家秘密安全、个人信息利益等。

2.制度利益。制度利益是指算法分类分级在社会各领域中保障算法服务应用平稳运行的利益。算法并不是一种标准化的物，而是一种人机交互的决策。因此，算法的法律属性会因为具体场景的不同而有所不同，算法法律规制的原理必须建立在场景化的基础上。如在智慧司法场景下，算法分级分类需要与人机交互决策的运作模式相适配。如果出现不适配情形，并且不适配情形值得刑事保护，这就成为算法分级分类在智慧司法中值得保护的制度利益。

（二）行为样态

刑事立法中，规定侵害算法安全分类分级的行为样态，可从安全生命周期视角进行展开。具体来说，包括非法侵入算法系统型犯罪、非法获取算法技术资料型犯罪、破坏算法应用型犯罪、非法利用算法实施危害公共利益犯罪等。这些犯罪包含的行为样态与传统计算机犯罪既有关联，也有区别。关联之处在于，行为样态的自身属性近似，“非法侵入”“非法获取”“破坏”“非法利用”均构成了侵害算法安全分类分级犯罪和传统计算机犯罪的主要行为样态。区别之处在于，行为样态在各罪名中的具体指向有所不同。侵害算法安全分类分级犯罪主要指向的是算法系统，传统计算机犯罪主要指向的是计算机信息系统，两者之间存在技术属性和应用属性上的差异。

（三）归责标准

关于侵害算法安全分类分级犯罪的归责标准，可用以讨论的理论是规范责任论和功能责任论两类。规范责任论强调，行为人对损害结果负责的原因是其在主观上具有可责性，即主观本可以实施合法行为，却基于个人意志实施了不法行为。规范责任论彰显的是责任主义的理论价值，在刑事立法上不应存在违反责任主义的规定。功能责任论则强调，行为人对法规范的忠诚程度和社会解决冲突的可选性是刑法的归责标准。我国刑法在犯罪论中原则上采用的是规范责任论，只在分则个别条文中突破规范责任论的范围。

笔者认为，关于侵害算法安全分类分级犯罪的归责标准可倾向于考虑功能责任论，当然这一功能责任论要做改良。一方面，法规范的忠诚程度旨在强化算法安全分类分级的合法性要求；另一方面，社会解决冲突的可选性旨在彰显不同治理工具对于算法安全分类分级的保护效能。

四、算法安全分类分级的刑事司法评价

（一）罪质判断

算法安全风险有着不同于数据安全风险的特征，它不是一种单一类型的风险，而是延伸到几乎所有其他类型的风险。从犯罪到责任，再到财产和伤亡损失，并将其相互联系起来，其危害程度是如此不可预测和前所未有，以至于很难想象精算的复杂性仅仅通过收集更多的数据或使用更复杂的建模工具就能被获悉。

为充分回应这种风险特征，需要在刑事司法评价中进行算法安全分类分级。司法部门可以通过算法安全分类分级，综合考虑主客观方面的各种等级因素，设定各类侵害算法安全分类分级的入罪门槛。按照基础类型与增强类型的划分和低中高等级的划分，排列组合成6种算法安全分类分级情形，这6类情形的入罪门槛有所区分。当然，算法安全的等级因素是变量，这将持续影响相关犯罪的罪质判断。为此，司法部门可以结合相关量刑指南，大致列出相关罪名在算法安全分类分级下的具体定罪标准。

（二）罪量评价

我国刑法罪名采用“罪质+罪量”的立法模式。“情节严重”是常见反映罪量的构成要件要素，包括数额、物数、人数、次数等。算法社会的评价范围及边界发生了结构性变化，特别是对于算法安全犯罪，原本反映犯罪数额的情节严重，对罪量的影响逐渐变小。随着算法技术的不断应用，算法安全犯罪的罪量评价已从“唯数额”或者“数额为主”，过渡到“数据与情节兼顾”甚至“情节为主”的模式。笔者认为，可以结合算法技术应用特征，运用不法风险的主客观判断相结合之方法，对侵害算法安全分类分级的情形进行罪量评价，从而实现刑事保护精准性。

（作者：方祝银 ，江苏致邦律师事务所；李谦 ，南京师范大学中国法治现代化研究院）

【责任编辑：宋安勇】