伴隨著海量資料和高效演算法,自動化決策系統被日益廣泛地應用於公共與商業領域。雖然以歐盟《通用資料保護條例》(以下簡稱GDPR)第22條為代表的立法設定了自動化決策實施的正當性基礎,構建了多層次保護機制,但依然存在立法遺憾,目前免受自動化決策約束權的研究尚為薄弱。如何科學構築資料主體對抗演算法的新型權利體系,針對演算法風險建立科學完備的預警機制、抵禦機制及消弭機制,增強對抗演算法私權體系的韌性和質效成了中外演算法治理研究和立法實踐的首要難點。對此,對外經濟貿易大學法學院張欣副教授在《免受自動化決策約束權的制度邏輯與本土構建》一文中,從免受自動化決策約束權的立法淵源及功能、GDPR第22條的構造機理及立法缺憾出發,重新審視我國《個人資訊保護法》,提出本土化借鑑觀點。
一、立法溯源與功能探析
免受自動化決策約束權的淵源與演變實際上與歐洲隱私傳統及基本權利保障的變革關係密切。要重塑個體在機器時代的尊嚴,首先應確保其具有脫離演算法操控的選擇權,因此免受自動化決策約束權應運而生。
1978年,法國透過的《第78-17號計算機、檔案和自由法》第10條就明確規定,如果一項司法決定完全基於自動化資料處理作出,且該決定以目標主體的畫像或者個性評估為依據,應當對其加以禁止;1995年,歐盟委員會頒佈的《資料保護指令》的第15條第1款規定首次從立法上確認了個體有權選擇與其有關的決策方式的權利,真正建立了“免受自動化決策約束權”;步入大資料和人工智慧時代,GDPR第22條承襲了《資料保護指令》第15條,將適用範圍從完全自動化處理擴充套件到了使用者畫像,以更好地應對與日俱增的演算法風險。
(一)賦予資料主體自治性尊重
演算法技術已經推動人類社會實質性地邁入“評分社會”,而目前演算法決策的準確性、正當性和可問責性尚無法保證,資料主體容易遭受演算法歧視。賦予資料主體免受自動化決策約束的權利體現了立法者對個體自治和自決的基本尊重,以及防範演算法歧視、演算法不公等風險的調控努力。
(二)打造演算法決策正當程式的權利基石
完全型的自動化決策系統無須人工干預,系統自動收集、分析資料並作出決策,這對正當程式原則構成了威脅和挑戰。其一,自動化處理活動中的資料可能被過度收集和濫用,而資料主體在事前和事中階段難以獲得及時預警;其二,模型架構複雜疊加專有產權和商業秘密制度形成的保護盾牌對個人基本權利形成威脅。免受自動化決策約束權實際上賦予了資料主體應然層面的普遍反對權,事後階段的知情、表達、異議和人為干預權。
(三)建立資料主體與資料控制者控制與分享的信任性互動
在隱私保護領域,資料主體與資料控制者之間力量懸殊,免受自動化決策約束權預設資料主體免於受到完全自動化決策帶來的法律或者類似重大影響。為了平衡兩者強弱失衡的格局,在規則層面培育技術信任,資料控制者必須基於正當理由,在提供安全保障義務的前提下實施完全自動化處理和使用者畫像行為。
二、構造機理與立法缺憾
(一)選取嚴格禁令與積極權利路徑的中間路線但限制過多指引不明
GDPR第22條第1款設定的免受自動化決策約束權存在“禁令路徑”與“權利路徑”的爭論。對此宜選取中間道路,將該項權利理解為資料主體默示享有的一項權利。該項權利並不禁止完全自動化決策及使用者畫像的存在和展開,但賦予資料主體反對其作出後受到約束和影響的權利。
GDPR第22條存在較多立法遺憾。首先,第1款設定了權利行使和產業發展的邊界:行權條件以完全自動化決策和使用者畫像為適用前提。然而這一前提不當限縮了可適用的自動化決策型別,因為人工參與的自動化決策在穩定性、準確性等層面並不必然優於純粹的機器決策。其次,GDPR將使用者畫像應用的資料型別僅限定在第4條規定的個人資料範圍,依據衍生或者推斷資料形成的使用者畫像並不適用於第22條。但在實踐中,透過機器學習挖掘使用者畫像的做法早已成為慣用技術,資料型別的不當限定使得資料主體行權基礎不當受限。最後,GDPR第22條將與資料主體有關的法律影響及近似重大影響作為前置行權條件。但這一表述尚難以找到清晰的判斷依據,未來需要仰賴司法實踐及新型規制工具進一步增加條文精確性。
(二)設定橫跨公私場景下自動化決策實施的正當性基礎但規則科學性不足
個體資料對於商業運營和公共治理具有同樣重要意義。GDPR透過在第22條第2款提出訂立或履行合同所必需、基於法律授權以及資料主體明確同意三種不予適用的情形,勾勒出資料控制者進行自動化資料處理的正當性和合法性基礎。
為避免因適用例外而流於形式,第29條工作組釋出的《準則》還提出了詳細限制。然而在當前實踐中,歐盟成員國提供的恰當保障措施仍然以提供人工干預為主。遺憾的是,雖然例外情形一定程度上限制了權利行使範圍,但僅依靠分散化、零星化、靜態化的人工干預作為救濟方式可能並非最佳策略。
(三)多層次立體化構建程式性聯動保護機制但實效堪憂
歐盟立法者在GDPR第22條內部設定了人為干預權、表達權和異議權三項聯動機制。在條文之外,歐盟立法者從貫穿“事前、事中、事後”的資料生命週期視角形成了資料主體對於自動化決策“知情、參與、反對、救濟”的一體化行權方案。
然而資料主體所擁有的程式性權利可能產生的實質影響相對有限,目前的主導邏輯是寄託於個案中人工審查的方式來驗證演算法的準確性。當提供程式性保護的成本和代價遠超資料主體從程式保障中獲得的利益時,就很難被視為一種理想方案。
三、權利本土化的借鑑與調適
(一)擴充套件免受自動化決策約束權適用的決策型別
在賦予資料主體相似權利時應首要考慮擴充套件適用到所有自動化決策型別,以期對資料主體形成周延保護。鑑於此,《個人資訊保護法》第24條應當擴充套件權利適用的自動化決策型別,不應僅限定在“僅透過自動化決策方式作出”這一決策型別,使其合理涵蓋完全和非完全自動化決策,避免不合理的行權限制。與此同時,立法機關還應當對第73條第2項的自動化決策定義予以配套修改。目前該定義移植並雜糅了GDPR第4條第4款中對“使用者畫像”的定義,自動化決策雖然經常被應用於使用者畫像領域,所涉處理行為卻更為廣泛。故應當擴充套件第25條權利適用的自動化決策型別,釐清第73條第2項使用者畫像與自動化決策的異同邊界。
(二)釐清自動化決策和使用者畫像對資料主體產生重大影響的判斷標準
GDPR第22條“產生法律或者類似重大影響”的表述較為模糊,我國《個人資訊保護法》第24條雖未提及“法律影響”,但將“重大影響”作為行權構成要件。以GDPR第29條工作組釋出的《準則》為鏡鑑,結合我國個人資訊保護實踐,應明確“重大影響”應當至少滿足以下兩項核心標準:第一,“重大影響”應包含“法律影響”;第二,若一項自動化決策或者使用者畫像對資料主體產生了“重大”影響,也應視為構成行權標準。此處“重大”應滿足與產生的“法律影響”相近似的臨界標準。
(三)以《個人資訊保護法》第24條為基點建立全要素配套行權機制
審視我國《個人資訊保護法》可以發現,立法者以第24條為核心賦予了個人對抗自動化決策的權利,但各項相關權利或內容寬泛,行權節點連線不清,難以構築起閉環行權體系。
首先,事前知曉是源頭保護,能夠有效預警從而阻斷不利自動化決策展開。《個人資訊保護法》雖賦予個人知情權、獲得解釋說明的權利,但規定粗略,針對性有限,如何行權語焉不詳。其次,事中階段的各項權利是對不利自動化決策展開的有效阻擊,藉助刪除、限制處理等權利可在自動化資料處理過程中施加資料主體所欲的人為影響。對比GDPR,我國的條文設計更多針對個人資訊處理一般情形,對自動化個人資訊處理的關照和精細化程度不足,還可再行完善。最後,事後階段的免受自動化決策約束權是重要的演算法風險消弭機制。我國《個人資訊保護法》並未賦予個人完整版本的免受約束權,行權時機並非面向事後階段。
四、結論
歐盟《通用資料保護條例》第22條選取了嚴格禁令與積極權利路徑的中間路線,設定了橫跨公私場景下自動化決策實施的正當性基礎,構建了多層次立體化聯動保護機制。但該條制度設計存在限制過多、指引不明、規則科學性不足以及實效堪憂的缺憾。我國《個人資訊保護法》應在借鑑的基礎上積極創新,擴充套件行權適用的決策型別,釐清對個人產生影響的判斷標準,並面向資料生命週期構建事前知曉、事中參與、事後救濟的全週期閉環行權體系。
參考文獻
本文選編自張欣:《免受自動化決策約束權的制度邏輯與本土構建》,載《華東政法大學學報》2021年第5期。
【作者簡介】張欣,對外經濟貿易大學法學院副教授。
責任編輯:馬宇航
文字編輯:丁一
