伴随着海量数据和高效算法,自动化决策系统被日益广泛地应用于公共与商业领域。虽然以欧盟《通用数据保护条例》(以下简称GDPR)第22条为代表的立法设定了自动化决策实施的正当性基础,构建了多层次保护机制,但依然存在立法遗憾,目前免受自动化决策约束权的研究尚为薄弱。如何科学构筑数据主体对抗算法的新型权利体系,针对算法风险建立科学完备的预警机制、抵御机制及消弭机制,增强对抗算法私权体系的韧性和质效成了中外算法治理研究和立法实践的首要难点。对此,对外经济贸易大学法学院张欣副教授在《免受自动化决策约束权的制度逻辑与本土构建》一文中,从免受自动化决策约束权的立法渊源及功能、GDPR第22条的构造机理及立法缺憾出发,重新审视我国《个人信息保护法》,提出本土化借鉴观点。
一、立法溯源与功能探析
免受自动化决策约束权的渊源与演变实际上与欧洲隐私传统及基本权利保障的变革关系密切。要重塑个体在机器时代的尊严,首先应确保其具有脱离算法操控的选择权,因此免受自动化决策约束权应运而生。
1978年,法国通过的《第78-17号计算机、文件和自由法》第10条就明确规定,如果一项司法决定完全基于自动化数据处理作出,且该决定以目标主体的画像或者个性评估为依据,应当对其加以禁止;1995年,欧盟委员会颁布的《数据保护指令》的第15条第1款规定首次从立法上确认了个体有权选择与其有关的决策方式的权利,真正创建了“免受自动化决策约束权”;步入大数据和人工智能时代,GDPR第22条承袭了《数据保护指令》第15条,将适用范围从完全自动化处理扩展到了用户画像,以更好地应对与日俱增的算法风险。
(一)赋予数据主体自治性尊重
算法技术已经推动人类社会实质性地迈入“评分社会”,而目前算法决策的准确性、正当性和可问责性尚无法保证,数据主体容易遭受算法歧视。赋予数据主体免受自动化决策约束的权利体现了立法者对个体自治和自决的基本尊重,以及防范算法歧视、算法不公等风险的调控努力。
(二)打造算法决策正当程序的权利基石
完全型的自动化决策系统无须人工干预,系统自动收集、分析数据并作出决策,这对正当程序原则构成了威胁和挑战。其一,自动化处理活动中的数据可能被过度收集和滥用,而数据主体在事前和事中阶段难以获得及时预警;其二,模型架构复杂叠加专有产权和商业秘密制度形成的保护盾牌对个人基本权利形成威胁。免受自动化决策约束权实际上赋予了数据主体应然层面的普遍反对权,事后阶段的知情、表达、异议和人为干预权。
(三)建立数据主体与数据控制者控制与分享的信任性互动
在隐私保护领域,数据主体与数据控制者之间力量悬殊,免受自动化决策约束权默认数据主体免于受到完全自动化决策带来的法律或者类似重大影响。为了平衡两者强弱失衡的格局,在规则层面培育技术信任,数据控制者必须基于正当理由,在提供安全保障义务的前提下实施完全自动化处理和用户画像行为。
二、构造机理与立法缺憾
(一)选取严格禁令与积极权利路径的中间路线但限制过多指引不明
GDPR第22条第1款设定的免受自动化决策约束权存在“禁令路径”与“权利路径”的争论。对此宜选取中间道路,将该项权利理解为数据主体默示享有的一项权利。该项权利并不禁止完全自动化决策及用户画像的存在和展开,但赋予数据主体反对其作出后受到约束和影响的权利。
GDPR第22条存在较多立法遗憾。首先,第1款设定了权利行使和产业发展的边界:行权条件以完全自动化决策和用户画像为适用前提。然而这一前提不当限缩了可适用的自动化决策类型,因为人工参与的自动化决策在稳定性、准确性等层面并不必然优于纯粹的机器决策。其次,GDPR将用户画像应用的数据类型仅限定在第4条规定的个人数据范围,依据衍生或者推断数据形成的用户画像并不适用于第22条。但在实践中,通过机器学习挖掘用户画像的做法早已成为惯用技术,数据类型的不当限定使得数据主体行权基础不当受限。最后,GDPR第22条将与数据主体有关的法律影响及近似重大影响作为前置行权条件。但这一表述尚难以找到清晰的判断依据,未来需要仰赖司法实践及新型规制工具进一步增加条文精确性。
(二)设定横跨公私场景下自动化决策实施的正当性基础但规则科学性不足
个体数据对于商业运营和公共治理具有同样重要意义。GDPR通过在第22条第2款提出订立或履行合同所必需、基于法律授权以及数据主体明确同意三种不予适用的情形,勾勒出数据控制者进行自动化数据处理的正当性和合法性基础。
为避免因适用例外而流于形式,第29条工作组发布的《准则》还提出了详细限制。然而在当前实践中,欧盟成员国提供的恰当保障措施仍然以提供人工干预为主。遗憾的是,虽然例外情形一定程度上限制了权利行使范围,但仅依靠分散化、零星化、静态化的人工干预作为救济方式可能并非最佳策略。
(三)多层次立体化构建程序性联动保护机制但实效堪忧
欧盟立法者在GDPR第22条内部设定了人为干预权、表达权和异议权三项联动机制。在条文之外,欧盟立法者从贯穿“事前、事中、事后”的数据生命周期视角形成了数据主体对于自动化决策“知情、参与、反对、救济”的一体化行权方案。
然而数据主体所拥有的程序性权利可能产生的实质影响相对有限,目前的主导逻辑是寄托于个案中人工审查的方式来验证算法的准确性。当提供程序性保护的成本和代价远超数据主体从程序保障中获得的利益时,就很难被视为一种理想方案。
三、权利本土化的借鉴与调适
(一)扩展免受自动化决策约束权适用的决策类型
在赋予数据主体相似权利时应首要考虑扩展适用到所有自动化决策类型,以期对数据主体形成周延保护。鉴于此,《个人信息保护法》第24条应当扩展权利适用的自动化决策类型,不应仅限定在“仅通过自动化决策方式作出”这一决策类型,使其合理涵盖完全和非完全自动化决策,避免不合理的行权限制。与此同时,立法机关还应当对第73条第2项的自动化决策定义予以配套修改。目前该定义移植并杂糅了GDPR第4条第4款中对“用户画像”的定义,自动化决策虽然经常被应用于用户画像领域,所涉处理行为却更为广泛。故应当扩展第25条权利适用的自动化决策类型,厘清第73条第2项用户画像与自动化决策的异同边界。
(二)厘清自动化决策和用户画像对数据主体产生重大影响的判断标准
GDPR第22条“产生法律或者类似重大影响”的表述较为模糊,我国《个人信息保护法》第24条虽未提及“法律影响”,但将“重大影响”作为行权构成要件。以GDPR第29条工作组发布的《准则》为镜鉴,结合我国个人信息保护实践,应明确“重大影响”应当至少满足以下两项核心标准:第一,“重大影响”应包含“法律影响”;第二,若一项自动化决策或者用户画像对数据主体产生了“重大”影响,也应视为构成行权标准。此处“重大”应满足与产生的“法律影响”相近似的临界标准。
(三)以《个人信息保护法》第24条为基点建立全要素配套行权机制
审视我国《个人信息保护法》可以发现,立法者以第24条为核心赋予了个人对抗自动化决策的权利,但各项相关权利或内容宽泛,行权节点连接不清,难以构筑起闭环行权体系。
首先,事前知晓是源头保护,能够有效预警从而阻断不利自动化决策展开。《个人信息保护法》虽赋予个人知情权、获得解释说明的权利,但规定粗略,针对性有限,如何行权语焉不详。其次,事中阶段的各项权利是对不利自动化决策展开的有效阻击,借助删除、限制处理等权利可在自动化数据处理过程中施加数据主体所欲的人为影响。对比GDPR,我国的条文设计更多针对个人信息处理一般情形,对自动化个人信息处理的关照和精细化程度不足,还可再行完善。最后,事后阶段的免受自动化决策约束权是重要的算法风险消弭机制。我国《个人信息保护法》并未赋予个人完整版本的免受约束权,行权时机并非面向事后阶段。
四、结论
欧盟《通用数据保护条例》第22条选取了严格禁令与积极权利路径的中间路线,设定了横跨公私场景下自动化决策实施的正当性基础,构建了多层次立体化联动保护机制。但该条制度设计存在限制过多、指引不明、规则科学性不足以及实效堪忧的缺憾。我国《个人信息保护法》应在借鉴的基础上积极创新,扩展行权适用的决策类型,厘清对个人产生影响的判断标准,并面向数据生命周期构建事前知晓、事中参与、事后救济的全周期闭环行权体系。
|