自动化决策分为完全自动化决策和混合决策,区别在于决策中是否涉及人工干预,只要在决定时检讨并考虑了其他的因素,决策就不是完全自动化。完全自动化决策系统又被称为脱离环路的系统,存在较大的系统性风险。在公共场景中,预测算法可能导致偏见性决策和歧视性结果,法官不适当地向自动化系统逃逸则可能损害公平审判的权利。在私人场景中,自动化决策可能会导致歧视、过度审查或对言论自由的侵犯等问题,甚至引发人类身份认知的危机。
面对前述系统性风险,欧洲和美国的应对进路长期有较大分歧。欧洲强调人的尊严和人格权,对完全自动化决策采一般禁止的态度。美国则试图通过“技术中立”的方式来保障人和计算机的距离,使自动化决策尽可能做到准确、公平和客观。随着欧盟路径在全球范围的持续影响,“人在环路”的理念日益成为解决与自动化相关的透明度、偏见、法律安全和系统性风险问题的标准解决方案。
“人在环路”回应了两个关键问题。一是机器自由裁量的限度。技术本身难以实现设计上的公平公正,输出结果上亦难以不偏不倚。个体正义的实现无法通过嵌入系统的规则所直接推导出来,而必须要求人在决策时综合考虑场景各要素自由裁量。二是责任主体的考量。国家互联网信息办公室等九部委出台的《关于加强互联网信息服务算法综合治理的指导意见》中,明确了“企业对算法应用产生的结果负主体责任”的要求。“人在环路”可以确保找到明确的责任承担主体,即人而非机器。因此人必须对自动化决策进行控制,并非只是象征性的干预,而是有权且有能力改变决策,这是信息处理者的义务。
(一)名“权”实“禁”:比较法上的歧见
针对完全自动化决策,欧盟成文法中的“不受完全自动化决策约束权”,文义上表现为权利,但在理论及实践上,该条应被解释为权利还是禁令,长期存在争议。该条的立法根源可追溯至《法国数据保护法》,其第2条禁止涉及对人的行为进行评估的司法、行政或个人决定,但欧盟各成员在实施时则存在权利和禁令的不同解释路径。
权利解释和禁令解释会导致数据主体主动性上的差异。主体行权的前提是知悉自动化决策的存在,同时也必须就该决策对其的影响与数据控制者之间进行协商解决,因此权利路径显然对数据主体要求更多。解读为禁令,数据主体默认受保护,而监管机构应负有保护数据主体不受自动化决策决定约束的职责,并可在违法时对数据控制者实施行政罚款等手段和措施。此外,“人在环路”内在要求施加给数据控制者人工干预自动化决策的义务,禁令说也更符合欧盟一直秉持的“人在环路”的立法理念。禁令解释将传达出“一般禁止+例外允许”的立法导向,亦可能导致举证责任的转变。
(二)拒绝完全自动化决策权在我国立法上的确立
欧盟法规定的自动化决策及画像,以及我国法上的自动化决策,在各自的语境下有不同的意涵。欧盟法语境下的自动化决策包含了画像,但有些自动化处理并不是基于画像作出。我国法上的自动化决策定义域与欧盟基于画像的决策的内涵和外延趋于一致,细微的差别是欧盟的画像不一定是为了决策的目的。故我国的《个人信息保护法》第24条第3款的适用范围略窄于《欧盟一般数据保护条例》第22条第1款。
我国《个人信息保护法》第24条第3款上的拒绝完全自动化决策权,相较《欧盟一般数据保护条例》第22条第1款“有权不受拘束”的模棱两可而言,更为直观地表现为一项权利,法律预设的立场和价值导向是对完全自动化决策的默示允许,倾向于在保护信息主体的基础上平衡人工智能产业发展。
对“重大影响”的判断标准的转变,从侧面也反应了我国立法对人工智能产业的保护。《个人信息保护法(草案)》一审稿中,“个人认为自动化决策对其权益造成重大影响的”,有权拒绝完全自动化决策,采取完全的主观标准。而在二审稿中,该条改成了“通过自动化决策方式作出对个人权益有重大影响的决定”,个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定,采取了客观标准,提高了证明标准,这一表述也最终延续到正式的法律文本中。
对完全自动化决策的不同态度,背后蕴含着差别化的价值倾向:禁令解释从决策者义务本位出发,实则倾向于加强个体的权益,欧盟立法采取这一模式;权利解释则是在人工智能产业发展和个体权益保护之间试图进行微妙平衡,对基于完全自动化决策的方式作出决定并没有法定的禁止,只是在涉及信息主体重大利益时赋予信息主体有权拒绝该决定对其的影响,我国采取了这一模式。
(一)拒绝完全自动化决策权的适用要件和法律效果
根据《个人信息保护法》第24条第3款的文义,拒绝完全自动化决策权的行使需满足两项前提,分别是:(1)仅通过自动化决策的方式作出决定;(2)对个人权益有重大影响。
对第一个要件应从以下三方面理解。第一,有两种情形可以被归入欧盟法上的自动化决策范畴,但并非我国法上的自动化决策:通过非个人信息进行的分析、通过对他人信息的识别分析而进行的决策。第二,“仅通过自动化决策的方式”意味着没有处理者参与其中对决定的内容进行评估。除了从形式外观上明确是否有信息处理者参与决策过程之外,还必须确认参与的实质效果,处理者应该有权力和能力改变决定,而不仅仅是一种象征性的姿态。第三,作出决定侧重于作出这一动作,强调动态性,并不意味着决定已经作出。作出决定是单方面的行为,只要对个人采取了一种特定的态度或立场,而这种态度或立场具有一定程度或可能的约束力,即属决定。
对第二个要件则应从如下方面理解。首先,《个人信息保护法》并未对“重大影响”给出定义或作出明确列举,其需要个案衡量,结合场景进行分析,并考虑个人信息保护影响评估,如考虑信息主体身份、信息处理者的“权威”和“能力”、信息性质和类别等,更为全面、综合地考虑影响之程度,而不能仅简单地从量化损失的角度予以认定。其次,我国立法中对于是否构成重大影响的标准发生了从主观到客观的转变,但除了考虑客观上的多数人的观点,也应兼顾信息主体自身对重要影响的态度和情绪,也即主客观相结合的考量。同时,还需要考虑信息主体的身份特质,比如信息主体是否是未成年人。最后,我国《个人信息保护法》第24条第1款明确禁止的“大数据杀熟”,属于“对个人权益有重大影响”。“不合理的”“歧视性的”等限制性定语明确了对“大数据杀熟”并非一般禁止,而是必须达到了不合理的和歧视性的程度时。
在法律效果上,对“有权拒绝……作出决定”可以分为事前拒绝、事中拒绝及事后拒绝三个阶段,也会导致处理行为不得发生、处理暂时停止并经要求人工干预和作出的决定不发生法律效力的三种不同法律效果。信息主体在整个自动化决策中的参与,是在一个循环过程中不断分阶段、分场景、分情况进行的主动参与,以此保障信息主体在环路中的全面个人参与。
(二)拒绝完全自动化决策权与其他信息主体权利的关系
要求说明权与拒绝完全自动化决策权规定在同条同款,两者属于并列关系,二者可以同时行使也可以单独行使。与拒绝完全自动化决策不同的是,要求说明权是一种受限的“解释权”,在实践上仅针对作出决定后的解释说明。
拒绝完全自动化决策权在“处理规则”一章,显然无法自成一体,其非一项完全权利,行权需要与在个人信息处理活动中的其他权利互相配合,打出“组合拳”。第24条第3款的拒绝权是第44条拒绝权在自动化决策场景下的体现,两者存在一定的竞合关系。与知情权的关系则可参照与要求说明权的关系。完全自动化决策拒绝权的法律效果,还可能符合启动删除权的法定情形。
我国并未全盘接受欧盟模式,没有直接一般禁止完全自动化决策,而是通过赋予个人在完全自动化决策中的拒绝权,将权利启动的主动权交给了信息主体,为人工智能发展提供了可能。同时,我国将拒绝完全自动化决策权扩展到完全自动化决策的过程始终,达到了和欧盟“人在环路”近似的法律效果,并应结合法律中的其他权利共同配合以起到权利屏障作用。
(本文文字编辑李晶晶。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)
