宋華健

(華東政法大學(xué) 經(jīng)濟(jì)法學(xué)院，上海 200042)

以人工智能、大數(shù)據(jù)、云計(jì)算為代表的新興技術(shù)革命正在推動(dòng)經(jīng)濟(jì)業(yè)態(tài)進(jìn)行新一輪變革。然而數(shù)據(jù)是沉默的，算法才是發(fā)揮數(shù)據(jù)價(jià)值的關(guān)鍵。作為將數(shù)據(jù)轉(zhuǎn)化為價(jià)值的數(shù)字經(jīng)濟(jì)時(shí)代的“引擎”，算法以遠(yuǎn)超人類的生產(chǎn)效率完成日益復(fù)雜的任務(wù)，并在此過(guò)程中產(chǎn)生實(shí)質(zhì)性的社會(huì)和經(jīng)濟(jì)利益。如金融機(jī)構(gòu)可以快速通過(guò)算法評(píng)定客戶的信用等級(jí)并發(fā)放貸款，平臺(tái)利用算法進(jìn)行用戶畫(huà)像對(duì)客戶進(jìn)行個(gè)性化推送，政府通過(guò)自動(dòng)化決策算法完成社會(huì)福利的發(fā)放。算法自動(dòng)化決策不斷影響人們之間的互動(dòng)方式，左右社會(huì)公眾的價(jià)值判斷，人類正在悄然進(jìn)入“算法社會(huì)”[1]8。

技術(shù)膨脹出的權(quán)力越絕對(duì)，人類的主體性就越受到威脅，自動(dòng)化決策往往隱于黑箱之后，決策過(guò)程如上帝一樣“隱晦不明”，被決策者不僅無(wú)法知曉決策的原因，也很難要求決策者針對(duì)結(jié)果進(jìn)行撤銷或者修正，更無(wú)法要求企業(yè)針對(duì)錯(cuò)誤的自動(dòng)化決策結(jié)果承擔(dān)責(zé)任。由于數(shù)據(jù)采集的固有偏差，算法設(shè)計(jì)者在模型權(quán)重設(shè)定中嵌入的個(gè)體偏見(jiàn)以及技術(shù)本身尚未暴露的缺陷，使得錯(cuò)誤的、充滿歧視色彩的自動(dòng)化決策結(jié)果屢見(jiàn)不鮮。如美國(guó)消費(fèi)者金融保護(hù)局及司法部經(jīng)調(diào)查認(rèn)定Ally金融公司采用了針對(duì)少數(shù)族裔的歧視性汽車貸款定價(jià)系統(tǒng)，該算法導(dǎo)致超過(guò)23.5萬(wàn)少數(shù)族裔借款人為他們的汽車貸款支付了更高的利率[2]；卡內(nèi)基梅隆大學(xué)在2015年發(fā)布的一項(xiàng)研究也表明，谷歌的在線廣告算法系統(tǒng)向男性展示高收入工作的廣告頻率遠(yuǎn)遠(yuǎn)高于女性[3]。除此之外，非公平性的自動(dòng)化決策通常隱藏著對(duì)特定群體的歧視性鎖定，這種歧視在算法重復(fù)的價(jià)值判斷中進(jìn)行了強(qiáng)化?；谒槠瘋€(gè)人數(shù)據(jù)分析進(jìn)行的定向化信息算法推送，固化形塑了人們的偏好與認(rèn)知，導(dǎo)致了“個(gè)人主體性存在和發(fā)展的消解和異化”[4]，這也印證了西特倫與帕斯奎爾在《評(píng)分社會(huì)》中的憂慮，盡管算法實(shí)現(xiàn)了從數(shù)據(jù)到知識(shí)的價(jià)值創(chuàng)造，但也擯棄了人與人之間敘述性、顯性的交流，對(duì)個(gè)人的正當(dāng)權(quán)利產(chǎn)生了巨大挑戰(zhàn)[5]。

就自動(dòng)化決策算法所暴露的問(wèn)題，世界各國(guó)紛紛進(jìn)行了針對(duì)性的立法探索。歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡(jiǎn)稱GDPR)對(duì)算法自動(dòng)化決策的規(guī)制踐行了“基于人尊嚴(yán)自治”的基本立法范式，在正文第22條構(gòu)建了算法條款，并以此為延伸賦予數(shù)據(jù)主體各種新興權(quán)利，以期實(shí)現(xiàn)對(duì)算法的規(guī)制。我國(guó)正式出臺(tái)的《個(gè)人信息保護(hù)法》也借鑒了GDPR中的規(guī)制模式，針對(duì)數(shù)據(jù)主體對(duì)抗自動(dòng)化算法決策進(jìn)行了權(quán)利化的制度安排(1)我國(guó)《個(gè)人信息保護(hù)法》在第24條規(guī)定通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。。然而，正如GDPR的起草者之一沃斯在接受英國(guó)《金融時(shí)報(bào)》采訪時(shí)所承認(rèn)的，GDPR中涉及人工智能、數(shù)據(jù)挖掘等一些規(guī)則亟須進(jìn)行詳盡的修訂，因?yàn)樯蟼€(gè)世紀(jì)80年代確定的規(guī)則在應(yīng)對(duì)目前所處的新形勢(shì)時(shí)往往力所不逮[6]。解決社會(huì)智能化演進(jìn)中產(chǎn)生的新問(wèn)題，在訴諸新興權(quán)利構(gòu)建的同時(shí)更要注重該項(xiàng)權(quán)利的實(shí)踐意義。總結(jié)GDPR中的立法經(jīng)驗(yàn)，權(quán)利規(guī)范下限制算法決策的嘗試不僅在條文的理解與適用中產(chǎn)生了巨大爭(zhēng)議，在實(shí)踐中也沒(méi)有達(dá)到預(yù)期效果。

一、權(quán)利話語(yǔ)下規(guī)則構(gòu)建的嘗試與反思

(一)沉睡的拒絕自動(dòng)化決策權(quán)

考察立法資料，早在GDPR的前身《歐盟個(gè)人數(shù)據(jù)保護(hù)指令》(Data Protection Directive，以下簡(jiǎn)稱“DPD”)制定之時(shí)，立法者們就意識(shí)到“盡管技術(shù)加持下愈發(fā)復(fù)雜的軟件以及自動(dòng)化決策系統(tǒng)產(chǎn)生的決策結(jié)果看上去更為客觀與無(wú)可爭(zhēng)議，然而決策者極有可能過(guò)度依賴這種表面上的客觀性與無(wú)可爭(zhēng)議從而放棄自己應(yīng)當(dāng)承擔(dān)的責(zé)任”[7]。因此，出于保護(hù)數(shù)據(jù)主體免遭不受監(jiān)督的自動(dòng)化決策侵害的考量，DPD在第15條規(guī)定了數(shù)據(jù)主體享有免受僅基于用戶畫(huà)像的完全自動(dòng)化決策的權(quán)利。起草者表達(dá)了在機(jī)器決定論面前維護(hù)人類尊嚴(yán)的關(guān)切，特別強(qiáng)調(diào)應(yīng)當(dāng)由人類主體(而非“數(shù)據(jù)陰影Data Shadow”)在“構(gòu)建”自身的主體性中保持決定作用。改革后的GDPR在第22條沿襲并且完善了DPD第15條的規(guī)定，這也成為GDPR中針對(duì)算法規(guī)制的關(guān)鍵性條款，主要內(nèi)容包括：(1)數(shù)據(jù)主體有權(quán)拒絕僅基于自動(dòng)化決策(包括識(shí)別分析)作出的，對(duì)其產(chǎn)生法律效力或類似重大影響的決定；(2)基于數(shù)據(jù)主體的明確同意、法律授權(quán)以及履行合同目的所必須不受上述條款限制；(3)限制豁免應(yīng)當(dāng)保留數(shù)據(jù)主體進(jìn)行人工干預(yù)以及提出質(zhì)疑的權(quán)利；(4)第2款中的3項(xiàng)豁免不適用于敏感數(shù)據(jù)的處理，除非獲得數(shù)據(jù)主體的明確同意或是為了維護(hù)公共利益并且已采取合適手段保障數(shù)據(jù)主體權(quán)利。在DPD頒布之初，這項(xiàng)針對(duì)自動(dòng)化決策賦予信息主體權(quán)利化的制度創(chuàng)設(shè)獲得了諸多肯定，甚至有學(xué)者稱“第15條賦予數(shù)據(jù)主體不受某些形式僅由自動(dòng)化決策影響的權(quán)利是數(shù)據(jù)保護(hù)指令中最令人感興趣和最具創(chuàng)新性的條款之一”[8]。然而，縱觀DPD生效的整個(gè)生命周期，被寄予厚望的第15條并沒(méi)有回應(yīng)既定的立法期待，歐盟及其各成員國(guó)法院在審判實(shí)踐中基本沒(méi)有圍繞其展開(kāi)有價(jià)值的辯論，這也導(dǎo)致其被戲稱為“二等條款”。經(jīng)過(guò)補(bǔ)充并且完善的GDPR第22條盡管相較于DPD中的規(guī)定更加具體，也依舊沒(méi)有在歐盟范圍內(nèi)達(dá)到預(yù)期效果，歐盟法院甚至從未直接就GDPR第22條或DPD第15條作出裁決。在技術(shù)迭代發(fā)展、人工智能產(chǎn)業(yè)經(jīng)濟(jì)規(guī)模化演進(jìn)背后，圍繞拒絕自動(dòng)化決策權(quán)的爭(zhēng)議愈發(fā)熱烈，產(chǎn)業(yè)從業(yè)者認(rèn)為其鼓吹人機(jī)對(duì)立不利于數(shù)字經(jīng)濟(jì)發(fā)展，而法學(xué)學(xué)者則認(rèn)為條款嚴(yán)苛的適用標(biāo)準(zhǔn)、關(guān)鍵部分語(yǔ)焉不詳?shù)谋硎鲆约皥?zhí)法與立法中的理解割裂，已經(jīng)導(dǎo)致該項(xiàng)權(quán)利名存實(shí)亡。

第一，立法與執(zhí)法中的割裂：“權(quán)利”與“禁令”之爭(zhēng)。從條文表述看，GDPR第22條構(gòu)建了信息主體拒絕算法自動(dòng)化決策的權(quán)利似無(wú)可爭(zhēng)議，一方面GDPR在其序言的第71條明確指出，自動(dòng)化決策限制條款的制定，是由于潛在的機(jī)器故障以及選擇性數(shù)據(jù)導(dǎo)入會(huì)使整個(gè)社會(huì)陷入偏見(jiàn)和不公，因此賦予數(shù)據(jù)主體進(jìn)行主動(dòng)干預(yù)的權(quán)利。從體系解釋的角度考察，第22條置于GDPR的第3章即“數(shù)據(jù)主體的權(quán)力”項(xiàng)下也似乎證實(shí)了這一認(rèn)定。然而歐盟第29條工作組在發(fā)布的解釋性文件中卻出人意料地強(qiáng)調(diào)了第22條的“禁令”屬性，表明基于個(gè)人數(shù)據(jù)完全的自動(dòng)化決策以及產(chǎn)生法律上或近似重大影響的識(shí)別分析屬于禁止性行為，沒(méi)有任何例外。兩種截然不同的解讀產(chǎn)生了相互背離的立法效果，在個(gè)體賦權(quán)的解讀語(yǔ)境下，信息主體選擇性退出之前個(gè)人信息控制者可以采用自動(dòng)化決策的方式對(duì)個(gè)人信息進(jìn)行決策，并且退出權(quán)利受到GDPR第22條第2項(xiàng)中三種豁免情形的限制；而禁令語(yǔ)境下的解讀將會(huì)導(dǎo)致個(gè)人信息控制者自動(dòng)化決策的行為不被允許，除非滿足GDPR第22條第2項(xiàng)中的豁免情形[9]。工作組的論證理由在于如果將其理解為賦權(quán)條款，那么第22條第2款中規(guī)定的知情同意豁免就失去了意義，將第22條第1款視為有條件的禁止保留第22條第3款規(guī)定的“人工干預(yù)”操作空間，同時(shí)與《歐盟執(zhí)法指令》保持一致，保持了歐盟數(shù)據(jù)保護(hù)框架的完整性和一致性[10]。這種法律文本與執(zhí)法理解上的分歧也引發(fā)了學(xué)界的激烈討論，支持“禁令說(shuō)”的學(xué)者以強(qiáng)化數(shù)據(jù)主體的權(quán)利保護(hù)為基點(diǎn)，認(rèn)為以機(jī)器學(xué)習(xí)為代表的算法迭代使得用戶畫(huà)像以及自動(dòng)化決策行為的發(fā)生變得更為隱蔽，數(shù)據(jù)主體通常無(wú)法意識(shí)到自己的個(gè)人信息正在被進(jìn)行自動(dòng)化決策，個(gè)體賦權(quán)的制度安排并不能發(fā)揮應(yīng)有效果，因此采取“禁令說(shuō)”的解讀路徑能更好地回應(yīng)保障數(shù)據(jù)主體權(quán)力的立法期待[11]。支持“權(quán)利說(shuō)”的觀點(diǎn)則從社會(huì)成本的角度出發(fā)，認(rèn)為“自動(dòng)化決策完全可以給社會(huì)整體帶來(lái)可觀的利益”[12]，在自動(dòng)化決策機(jī)制已經(jīng)實(shí)質(zhì)性進(jìn)入社會(huì)服務(wù)各個(gè)領(lǐng)域的背景下采取簡(jiǎn)單的禁令會(huì)給企業(yè)帶來(lái)高昂的合規(guī)成本。本文雖秉持“權(quán)利說(shuō)”的觀點(diǎn)，但這種執(zhí)法與立法中的分歧已然證明了該權(quán)利在執(zhí)法認(rèn)定中的局限性，而條文適用中的困境更是弱化了其實(shí)踐意義。

第二，適用中的雙重困境：嚴(yán)苛準(zhǔn)入與寬松豁免。拒絕自動(dòng)化決策權(quán)的適用前提，“僅基于自動(dòng)化決策”判斷標(biāo)準(zhǔn)在GDPR全文中并沒(méi)有進(jìn)一步解釋說(shuō)明，這意味著最低限度的人工參與即可使該條款失效。2014年德國(guó)聯(lián)邦法院在處理一起涉及自動(dòng)信用評(píng)分系統(tǒng)使用的案例時(shí)，便以最低限度的人工干預(yù)為由否決了DPD中第15條的適用[13]。事實(shí)上，立法者混淆了“智能化系統(tǒng)”與“決策輔助系統(tǒng)”的概念差異，目前符合嚴(yán)格定義的純智能化決策依舊未大規(guī)模普及，因此最低限度的人工參與是自動(dòng)化算法決策中的常態(tài)。盡管有學(xué)者提出過(guò)改進(jìn)性建議，認(rèn)為應(yīng)當(dāng)針對(duì)該豁免條款進(jìn)一步解釋，規(guī)定人工干預(yù)必須是一項(xiàng)“有意義的監(jiān)督”。然而，實(shí)踐中“有意義”的外延依舊難以界分，基于更為先進(jìn)復(fù)雜的算法自動(dòng)化處理系統(tǒng)，人類的決策者往往更傾向于信任而非質(zhì)疑自動(dòng)化決策系統(tǒng)給出的結(jié)果。在充滿爭(zhēng)議的盧米斯案中，COMPAS系統(tǒng)作為一項(xiàng)風(fēng)險(xiǎn)評(píng)估工具，基于收集到的被告盧米斯犯罪史的信息給出一個(gè)分?jǐn)?shù)，從而評(píng)估其未來(lái)犯罪的可能性。盡管作出判決的法官布拉德利作出解釋稱報(bào)告并非判決的唯一依據(jù)[14]，然而人機(jī)互動(dòng)的實(shí)踐表明，人類往往對(duì)計(jì)算機(jī)系統(tǒng)存在過(guò)度信任,在面對(duì)自動(dòng)化決策形成的最終結(jié)果時(shí)往往無(wú)視那些和輸出內(nèi)容相矛盾的信息[15]。人工參與者基于對(duì)自動(dòng)化決策系統(tǒng)的依賴，通常扮演著自動(dòng)化決策結(jié)果的“復(fù)述者”而非“質(zhì)疑者”的角色，而在此情形下產(chǎn)生的不準(zhǔn)確、歧視性或不公平的決定，依據(jù)第22條的適用前提，被決策者往往也無(wú)法援引其展開(kāi)救濟(jì)。如何從數(shù)據(jù)主體或數(shù)據(jù)控制者的角度界定“僅基于自動(dòng)化決策”的適用邊界，是依舊需要在實(shí)踐中進(jìn)行完善的灰色區(qū)域之一。除此之外，“法律影響”或“近似重大影響”的適用標(biāo)準(zhǔn)同樣令人無(wú)所適從，GDPR全文未給出明確定義，僅在第29條工作組的解釋中給出了十分模糊的判定標(biāo)準(zhǔn)，認(rèn)為“決定必須可能對(duì)有關(guān)個(gè)人的情況、行為或選擇產(chǎn)生重大影響，或者在極端情況下導(dǎo)致對(duì)個(gè)人的排斥或歧視”，然而這種主觀解釋路徑極有可能使數(shù)據(jù)主體承擔(dān)舉證責(zé)任。盡管GDPR在引言的第71條列舉了符合“重大影響”的幾種典型情形，其中包括“在線申請(qǐng)信用卡被拒絕”以及“無(wú)任何人為干預(yù)的在線招聘”，然而第29條工作組在解釋文件針對(duì)個(gè)性化推送廣告不屬于“重大影響”范圍的認(rèn)定卻令人困惑，因?yàn)橥扑蛷V告往往伴隨針對(duì)數(shù)據(jù)主體高度侵入性的分析，將說(shuō)服性訴求的內(nèi)容與個(gè)人的心理特征相匹配顯著地改變個(gè)體預(yù)期行為，將其排除在使用范圍之外無(wú)疑進(jìn)一步弱化了權(quán)利的保障效能。

除嚴(yán)苛的適用條件，過(guò)于寬松的豁免條件也是導(dǎo)致權(quán)利失語(yǔ)的重要原因。知情同意豁免生效的前提是信息主體具有與授權(quán)內(nèi)容相匹配的認(rèn)知能力，并且能夠具備明晰可知的信息進(jìn)行判斷。然而實(shí)踐中知情同意扮演的角色正愈發(fā)式微，充斥著標(biāo)準(zhǔn)化文本的隱私政策篇幅變得越來(lái)越冗長(zhǎng)，加上巧妙的屏幕布局操縱、輕推式的程序步驟導(dǎo)向，致使幾乎沒(méi)有用戶會(huì)認(rèn)真閱讀理解自身的授權(quán)，因此很難判定針對(duì)自動(dòng)化決策的同意符合GDPR中“自由給予、具體、知情和明確”的具體要求。固有的信息不對(duì)稱，導(dǎo)致諸多信息主體在進(jìn)行個(gè)人信息處理授權(quán)時(shí)無(wú)法正確意識(shí)到此舉蘊(yùn)含的潛在風(fēng)險(xiǎn)，隱私政策內(nèi)容還會(huì)進(jìn)行動(dòng)態(tài)更替使用戶疲于應(yīng)對(duì)，因此遵守自由主義范式并期望普通用戶通過(guò)知情同意來(lái)管理自己個(gè)人信息安全正在變成一個(gè)美麗的烏托邦。

(二)爭(zhēng)議中的算法解釋權(quán)

第一，算法解釋權(quán)的證成爭(zhēng)議。部分學(xué)者認(rèn)為，算法解釋權(quán)的建構(gòu)邏輯在于算法由于決策的黑箱效應(yīng)導(dǎo)致責(zé)任規(guī)制的缺失，算法可責(zé)性的重構(gòu)需要通過(guò)立法確定算法解釋權(quán)來(lái)提升算法決策的透明性[16]。實(shí)際上，歐盟在GDPR中是否賦予了數(shù)據(jù)主體所謂的“算法解釋權(quán)”依舊存在爭(zhēng)議，并且這種爭(zhēng)議已從國(guó)外蔓延至國(guó)內(nèi)。最早提出“算法解釋權(quán)”概念的學(xué)者古德曼和弗萊斯曼起初的論證依據(jù)在GDPR序言第71條，提到了“個(gè)人有權(quán)獲得針對(duì)自動(dòng)化決策的解釋并提出質(zhì)疑”[17]。有學(xué)者提出質(zhì)疑，認(rèn)為GDPR序言僅能輔助規(guī)則理解與適用，本身并不能設(shè)立權(quán)利義務(wù)，這在歐盟法院先前的判決中早有明確規(guī)定，因此從序言第71條出發(fā)證成算法解釋權(quán)不符合邏輯[18]。也有學(xué)者另辟蹊徑，以GDPR第22條為圓心，認(rèn)為結(jié)合GDPR第22條第3款表述與GDPR第15條第1款h中“數(shù)據(jù)主體有權(quán)了解處理的相關(guān)邏輯以及預(yù)期后果”之規(guī)定相互印證，可以導(dǎo)出算法解釋權(quán)的基本輪廓[19]。然而第29條工作組在解釋性文件中針對(duì)“相關(guān)邏輯”的進(jìn)一步解釋似乎也沒(méi)有明確承認(rèn)算法解釋權(quán)，認(rèn)為數(shù)據(jù)控制者“解釋復(fù)雜算法”以及“披露算法”的做法并非是必需的，應(yīng)當(dāng)找到一種簡(jiǎn)單的方式告訴數(shù)據(jù)主體相應(yīng)的決策標(biāo)準(zhǔn)。回溯GDPR的立法歷史，立法者們似乎也在算法解釋權(quán)的問(wèn)題上游移不定，歐盟委員會(huì)在2012年提交的GDPR草案中曾明確規(guī)定了算法解釋權(quán)，在最終版本中卻將其置于沒(méi)有法律效力的序言第71條。此種考量也反映了歐盟立法中一個(gè)飽受詬病的問(wèn)題，即出于各方因素的權(quán)衡，許多在正文中無(wú)法達(dá)成一致意見(jiàn)的爭(zhēng)議性條款被擱置在序言中，進(jìn)而引發(fā)許多有關(guān)約束力問(wèn)題的討論。

第二，算法解釋權(quán)的實(shí)踐困境。算法解釋權(quán)的另一個(gè)重要問(wèn)題在于算法能否被解釋以及在多大程度上被解釋，運(yùn)行邏輯的顯性化闡述能否在有效消弭信息主體與信息控制者之間信息不對(duì)稱的同時(shí)還不損害其他社會(huì)公共利益。GDPR第15條針對(duì)邏輯解釋的規(guī)定并非一種新的創(chuàng)設(shè)，而是繼承了DPD第12條的規(guī)定。自1995年DPD頒布以來(lái)，盡管“自動(dòng)化決策”的表述在立法文件中所用詞匯沒(méi)有改變，但技術(shù)層面的飛躍已經(jīng)逐步改變了原先自動(dòng)化決策的具體語(yǔ)境，尤其是機(jī)器學(xué)習(xí)等新型算法的誕生。在傳統(tǒng)的自動(dòng)化決策算法中，人類在參數(shù)的設(shè)置以及目標(biāo)函數(shù)的優(yōu)化中依舊扮演了關(guān)鍵性角色，算法數(shù)據(jù)集中的輸入變量和輸出變量具備準(zhǔn)確的可預(yù)知性，在此階段代碼邏輯的語(yǔ)義化表達(dá)并不困難。與傳統(tǒng)的自動(dòng)化決策過(guò)程相比，機(jī)器學(xué)習(xí)算法會(huì)在早期輸入大量相關(guān)聯(lián)的數(shù)據(jù)集，在不斷的自我訓(xùn)練中對(duì)變量搭配進(jìn)行甄別，從中遴選出實(shí)現(xiàn)目標(biāo)函數(shù)的最優(yōu)路徑，并且該路徑會(huì)在算法的不斷自我訓(xùn)練過(guò)程中進(jìn)行持續(xù)優(yōu)化。從定義上看，機(jī)器學(xué)習(xí)算法可以視為信息系統(tǒng)在特定功能上的學(xué)習(xí)方法，能夠通過(guò)經(jīng)驗(yàn)積累改變其行為，最終增強(qiáng)在特定任務(wù)中的表現(xiàn)[20]。對(duì)于機(jī)器學(xué)習(xí)算法來(lái)說(shuō)，簡(jiǎn)單、直觀的解釋行為并不可行，算法自主學(xué)習(xí)所涵攝的變量組合與數(shù)學(xué)關(guān)系的隨機(jī)性導(dǎo)致其在復(fù)雜程度上的躍升。在技術(shù)層面，算法處理的精確性與其復(fù)雜程度成正相關(guān)，但算法越復(fù)雜，解釋起來(lái)就越困難[21]。因此在立法上強(qiáng)制要求算法的可解釋性可能會(huì)限制算法的潛在效益。美國(guó)數(shù)據(jù)創(chuàng)新研究中心就曾質(zhì)疑歐洲目前的個(gè)人數(shù)據(jù)保護(hù)立法正在強(qiáng)迫企業(yè)在數(shù)據(jù)保護(hù)和創(chuàng)新之間作出選擇，GDPR中的諸多限制性條款在實(shí)踐中對(duì)用戶的數(shù)據(jù)保護(hù)起不到任何作用，甚至還會(huì)產(chǎn)生權(quán)益損害，尤其是針對(duì)算法的強(qiáng)監(jiān)管條款會(huì)迫使企業(yè)在算法準(zhǔn)確性和可解釋性之間作出權(quán)衡，這將導(dǎo)致大量企業(yè)更偏好選擇決策過(guò)程簡(jiǎn)單卻準(zhǔn)確度較弱的算法進(jìn)行自動(dòng)化決策[22]。除此之外，算法解釋權(quán)的構(gòu)建還會(huì)帶來(lái)侵犯商業(yè)秘密、損害專利價(jià)值等新問(wèn)題，雖然GDPR在序言的第63條明確強(qiáng)調(diào)了數(shù)據(jù)主體針對(duì)算法邏輯等信息的獲得，以不損害他人的商業(yè)秘密以及知識(shí)產(chǎn)權(quán)為邊界，然而實(shí)踐中的精細(xì)化制度構(gòu)建卻困難重重，存在不法分子針對(duì)公布的算法邏輯尋找漏洞而反向規(guī)避監(jiān)管以謀取非法收益的潛在風(fēng)險(xiǎn)。目前，算法解釋的理論、方法在不斷突破，越來(lái)越多的研究者開(kāi)始參與運(yùn)用分析哲學(xué)等手段進(jìn)行解釋框架的搭建，但從具體效能看，解釋權(quán)的路徑似乎難以成為規(guī)制個(gè)人信息算法自動(dòng)化決策的最優(yōu)解。

(三)權(quán)利話語(yǔ)下規(guī)則構(gòu)建的反思

“權(quán)利泛化已成為現(xiàn)代社會(huì)公共論辯領(lǐng)域的一種突出現(xiàn)象”[23]，也突出體現(xiàn)在針對(duì)自動(dòng)化決策監(jiān)管制度的構(gòu)建中。權(quán)利獲得立法層面的認(rèn)可，即意味著該項(xiàng)權(quán)利在法律上具備了被司法機(jī)關(guān)強(qiáng)制實(shí)施的可能性，因此新型權(quán)利是否入法需要統(tǒng)籌考量立法的必要性、是否符合社會(huì)共識(shí)以及權(quán)利成本上的可行性[24]30-31。一般來(lái)說(shuō)，新型權(quán)利的法治化建構(gòu)存在激進(jìn)式入法與漸進(jìn)式入法兩種路徑，激進(jìn)式入法即新興權(quán)利被直接寫(xiě)入法律條文獲得立法層面的認(rèn)可，雖然激進(jìn)式立法能快速回應(yīng)社情民意，但缺乏仔細(xì)論證，其施行效果往往事與愿違?？偨Y(jié)歐盟數(shù)據(jù)保護(hù)立法的經(jīng)驗(yàn)，造成個(gè)人對(duì)抗算法自動(dòng)化決策私權(quán)構(gòu)建效果不佳的主要原因在于針對(duì)擬定權(quán)利的理論論證尚不全面，導(dǎo)致條款制定過(guò)于碎片化，技術(shù)鴻溝下針對(duì)權(quán)利行使的實(shí)證分析也極度缺乏，對(duì)抗算法決策私權(quán)構(gòu)建的利益邊界遠(yuǎn)未達(dá)成共識(shí)，算法解釋權(quán)從GDPR正文移置序言的制度安排也折射出歐盟立法者在面對(duì)新技術(shù)發(fā)展、在新興權(quán)利構(gòu)建中愈發(fā)謹(jǐn)慎的態(tài)度，個(gè)體權(quán)益保護(hù)與公共利益之間的平衡仍需在社會(huì)互動(dòng)的場(chǎng)域中進(jìn)行充分探討與修正。一方面，賦予數(shù)據(jù)主體過(guò)于絕對(duì)的對(duì)抗自動(dòng)化算法決策權(quán)利，不僅會(huì)大大加劇企業(yè)的合規(guī)成本，也與數(shù)字化社會(huì)的整體演進(jìn)趨勢(shì)格格不入，“社會(huì)無(wú)害性應(yīng)當(dāng)是權(quán)利正當(dāng)性的直接來(lái)源”[25]；另一方面，在技術(shù)迭代下算法自動(dòng)化決策的內(nèi)涵早已超出了最初立法者的立法語(yǔ)境，算法決策中的參數(shù)歧視性差誤往往會(huì)蔓延成為特定標(biāo)志人群的集體性風(fēng)險(xiǎn)。集體風(fēng)險(xiǎn)的控制往往強(qiáng)調(diào)整體權(quán)衡而非個(gè)體正義，因此在制度建構(gòu)上更強(qiáng)調(diào)事先預(yù)防而非事后救濟(jì)，個(gè)體賦權(quán)規(guī)制路徑在處理集體風(fēng)險(xiǎn)時(shí)往往力所不逮。宏觀來(lái)看，自動(dòng)化決策算法越是發(fā)展，涵攝范圍越廣，信息主體脫離其決策的自主空間就越小，算法透明的難度及成本就越高，界定算法決策過(guò)程與輸出結(jié)果之間因果關(guān)系的難度也就進(jìn)一步加大，而囿于行權(quán)成本，信息主體主動(dòng)選擇司法救濟(jì)的可能性就越小。因此，訴諸構(gòu)建新興權(quán)利來(lái)對(duì)抗個(gè)人信息的算法決策，僅能作為拓寬信息主體救濟(jì)途徑的一種“錦上添花”的選擇，而非消解算法霸權(quán)的根本之計(jì)。

二、規(guī)則重塑：算法影響評(píng)估制度與算法審計(jì)制度的完善

從立法目的看，法律條文的制定需要統(tǒng)籌考慮現(xiàn)存利益以及將來(lái)可能產(chǎn)生的利益，經(jīng)過(guò)各方平衡的利益最終才能形成法律的文本表述，并通過(guò)具體制度利益表現(xiàn)出來(lái)[26]。GDPR第22條“脫離自動(dòng)化決策權(quán)”以及延伸出的“算法解釋權(quán)”，從最初備受期待到實(shí)施后引發(fā)巨大爭(zhēng)議以及在立法與執(zhí)法中的理解產(chǎn)生割裂，最終導(dǎo)致“權(quán)利失語(yǔ)”，主要原因在于立法者本身對(duì)處于不間斷動(dòng)態(tài)發(fā)展演化當(dāng)中的自動(dòng)化決策技術(shù)存在認(rèn)知滯后，在立法中體現(xiàn)為條款制定中權(quán)利行使邊界具象化的游移不定、實(shí)踐中圍繞鼓勵(lì)創(chuàng)新與保護(hù)數(shù)據(jù)主體之間利益的權(quán)衡不足。立法與實(shí)踐的差異化積聚導(dǎo)致執(zhí)法部門(mén)的理解偏差，最終變?yōu)殡[于“技術(shù)中立”和“知情同意”背后的少數(shù)人集權(quán)。我國(guó)正式出臺(tái)的《個(gè)人信息保護(hù)法》第24條部分借鑒了歐盟GDPR第22條“拒絕自動(dòng)化決策權(quán)”的相關(guān)規(guī)定，然而相較先前草案中“認(rèn)為自動(dòng)化決策對(duì)其權(quán)益造成重大影響”的主觀判定標(biāo)準(zhǔn)，起草者似乎出于擔(dān)憂信息主體權(quán)利濫用的綜合考量，在二讀稿中對(duì)行權(quán)條件進(jìn)行了限縮，刪除了“個(gè)人認(rèn)為”的主觀前提，《個(gè)人信息保護(hù)法》全文也并未就“重大影響”作出具體厘定，導(dǎo)致這一賦權(quán)型條款的行權(quán)難度進(jìn)一步加大，此種做法似重復(fù)了歐盟的失敗立法經(jīng)驗(yàn)。在卡拉布雷西以及梅拉米德提出的卡—梅分析框架下，主體賦權(quán)的保護(hù)模式只適用于雙方地位平等且行權(quán)沒(méi)有障礙的情形[27]。揆諸現(xiàn)實(shí)，“技術(shù)鴻溝”的存在往往使信息主體無(wú)法意識(shí)到自己的信息正在被分析和利用，而新興權(quán)利的制度化構(gòu)建又過(guò)于抽象、籠統(tǒng)、原則，無(wú)助于幫助信息主體消解自主化危機(jī)，數(shù)據(jù)主體往往迷失于錯(cuò)綜復(fù)雜的授權(quán)協(xié)議中，并導(dǎo)致行權(quán)不能。鑒于此，我國(guó)限制個(gè)人信息算法自動(dòng)化決策制度的私權(quán)構(gòu)建應(yīng)當(dāng)立足實(shí)踐，回歸從“個(gè)案裁判的特殊化救濟(jì)”到“司法解釋的規(guī)范化續(xù)造”、最后落實(shí)到“法律上的普遍化建構(gòu)”的漸進(jìn)式立法路徑[24]30。在目前算法權(quán)利愈發(fā)擴(kuò)張、數(shù)據(jù)主體與算法主體之間的地位差距愈發(fā)懸殊、數(shù)字弱勢(shì)群體的權(quán)利無(wú)法得到有效保障的背景下，應(yīng)當(dāng)以變革監(jiān)管手段為中心進(jìn)行制度重塑(2)根據(jù)浙江省市場(chǎng)監(jiān)管局發(fā)布的《數(shù)字化改革術(shù)語(yǔ)定義》，“制度重塑”指的是因組織的自我變革和外部環(huán)境條件的重大變化，進(jìn)一步對(duì)組織機(jī)構(gòu)、職能設(shè)置、責(zé)任分配以及相互關(guān)系進(jìn)行創(chuàng)新的過(guò)程?！边@其中既包括內(nèi)生性的制度變遷，也包括外部驅(qū)動(dòng)型制度變遷，例如數(shù)字技術(shù)的應(yīng)用。。具體落實(shí)到個(gè)人信息算法自動(dòng)化決策的規(guī)制中則包括，明確監(jiān)管部門(mén)的監(jiān)管職能，圍繞算法的部署應(yīng)用邀請(qǐng)各方協(xié)同參與，創(chuàng)新技術(shù)監(jiān)管，構(gòu)建算法影響評(píng)估制度，落實(shí)與細(xì)化算法審計(jì)規(guī)則，最終實(shí)現(xiàn)算法的可信可控。

(一)算法影響評(píng)估制度的構(gòu)建與完善

算法影響評(píng)估制度肇始于美國(guó)紐約頒布的《算法問(wèn)責(zé)法案》，盡管同樣源于對(duì)算法決策“黑箱”式輸出過(guò)程的擔(dān)憂，與算法解釋權(quán)的強(qiáng)烈呼吁不同，算法影響評(píng)估制度旨在建立一套標(biāo)準(zhǔn)化的評(píng)估體系，要求即將投入應(yīng)用的算法接受事先審查，從而進(jìn)行客觀評(píng)估以最大化地維護(hù)公眾利益，主要內(nèi)容包括：(1)檢測(cè)算法決策系統(tǒng)是否存在正義、偏見(jiàn)以及歧視的潛在影響；(2)通過(guò)特定程序?qū)ψ詣?dòng)化的決策進(jìn)行持續(xù)跟蹤、評(píng)估；(3)將自動(dòng)化決策的運(yùn)行邏輯和評(píng)估依據(jù)向公眾公開(kāi)[28]。我國(guó)《個(gè)人信息保護(hù)法》第55條也要求個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，但從條文看既未將評(píng)估內(nèi)容具體化，也未就殆于履行風(fēng)險(xiǎn)評(píng)估義務(wù)的主體進(jìn)行厘清，導(dǎo)致自動(dòng)化決策風(fēng)險(xiǎn)評(píng)估制度在實(shí)踐中陷入效力不清的局面。基于此，我國(guó)網(wǎng)信部門(mén)應(yīng)當(dāng)積極履行協(xié)調(diào)統(tǒng)籌制定具體規(guī)則標(biāo)準(zhǔn)的職責(zé)，確定個(gè)人信息算法決策影響評(píng)估機(jī)構(gòu)，出臺(tái)算法影響評(píng)估標(biāo)準(zhǔn)。針對(duì)具體的評(píng)估標(biāo)準(zhǔn)，應(yīng)當(dāng)充分考慮不同類型算法的風(fēng)險(xiǎn)程度和在運(yùn)行機(jī)制中的異質(zhì)性，根據(jù)具體應(yīng)用場(chǎng)景、決策風(fēng)險(xiǎn)、使用部門(mén)以及對(duì)數(shù)據(jù)主體產(chǎn)生的后果等采取類別化的評(píng)估框架。在我國(guó)現(xiàn)行的法律體系下，可以采取從行業(yè)標(biāo)準(zhǔn)到評(píng)估標(biāo)準(zhǔn)的遞進(jìn)式建構(gòu)路徑，推薦性標(biāo)準(zhǔn)盡管沒(méi)有法律效果上的強(qiáng)制性，相比法律法規(guī)中的原則性闡述，各場(chǎng)景下相繼推出的技術(shù)性標(biāo)準(zhǔn)無(wú)疑更為精細(xì)化，因此在具體場(chǎng)景的算法評(píng)估框架擬定上可以充分借鑒我國(guó)目前陸續(xù)出臺(tái)的各種行業(yè)標(biāo)準(zhǔn)。如電子技術(shù)標(biāo)準(zhǔn)化研究院在2018年推出的《人工智能深度學(xué)習(xí)算法評(píng)估規(guī)范》，從算法功能實(shí)現(xiàn)的正確性、代碼實(shí)現(xiàn)的正確性、目標(biāo)函數(shù)的影響、訓(xùn)練數(shù)據(jù)集的影響、對(duì)抗性樣本的影響、軟硬件平臺(tái)依賴的影響以及環(huán)境數(shù)據(jù)的影響7個(gè)方面建立了深度學(xué)習(xí)算法可靠性評(píng)估指標(biāo)體系；中國(guó)人民銀行為解決金融機(jī)構(gòu)建設(shè)中算法同質(zhì)化、模型缺陷的問(wèn)題制定的《人工智能算法金融應(yīng)用評(píng)價(jià)規(guī)范》，在安全性、可解釋性、精準(zhǔn)性、性能四維評(píng)價(jià)體系下對(duì)金融算法進(jìn)行綜合評(píng)價(jià)。算法影響評(píng)估制度的構(gòu)建路徑上可以嘗試選擇在各場(chǎng)景下的技術(shù)性標(biāo)準(zhǔn)之間建立一種及時(shí)高效的溝通反饋制度，將推薦性技術(shù)標(biāo)準(zhǔn)中的各項(xiàng)要求優(yōu)先置于算法影響評(píng)估框架進(jìn)行試驗(yàn)，在試驗(yàn)過(guò)程中接受社會(huì)公眾及企業(yè)的意見(jiàn)反饋并進(jìn)行不斷優(yōu)化，將反復(fù)驗(yàn)證切實(shí)有效的標(biāo)準(zhǔn)進(jìn)行制度固定，從而構(gòu)建一種以監(jiān)管部門(mén)為主導(dǎo)、技術(shù)專家、社會(huì)公眾協(xié)同參與的自我演化治理機(jī)制。此外，政府部門(mén)可以對(duì)通過(guò)評(píng)估的算法進(jìn)行官方認(rèn)證，以此形成聲譽(yù)激勵(lì)機(jī)制，鼓勵(lì)更多的算法使用主體主動(dòng)進(jìn)行評(píng)估。

(二)算法審計(jì)規(guī)則的細(xì)化與落實(shí)

算法審計(jì)是算法外部問(wèn)責(zé)的一種方式，引入外部專業(yè)人員或者專門(mén)監(jiān)管機(jī)構(gòu)對(duì)算法的實(shí)施和運(yùn)行進(jìn)行評(píng)估，本質(zhì)上是讓監(jiān)管部門(mén)能夠穿透算法運(yùn)行“黑箱”，從而對(duì)算法運(yùn)行是否符合法律法規(guī)進(jìn)行檢視。域外立法實(shí)踐中算法審計(jì)越來(lái)越成為算法監(jiān)管規(guī)則構(gòu)建的重心，歐盟第29條工作組在報(bào)告中強(qiáng)調(diào)，對(duì)自動(dòng)化決策準(zhǔn)確性、相關(guān)性的定期審查應(yīng)當(dāng)成為算法保障的重要措施，算法審計(jì)不僅需要對(duì)基礎(chǔ)數(shù)據(jù)的偏差進(jìn)行校對(duì)，還應(yīng)出具詳細(xì)的審計(jì)報(bào)告對(duì)算法部署之后的公平性以及模型設(shè)計(jì)的非歧視性進(jìn)行全面審核。我國(guó)《個(gè)人信息保護(hù)法》通過(guò)第54條與第64條共同創(chuàng)設(shè)了算法審計(jì)制度，除了個(gè)人信息處理者的自我審計(jì)義務(wù)之外，當(dāng)“存在較大風(fēng)險(xiǎn)”或者“發(fā)生個(gè)人信息安全事件”時(shí)，監(jiān)管機(jī)構(gòu)可以委托專業(yè)的第三方機(jī)構(gòu)進(jìn)行合規(guī)審計(jì)。《個(gè)人信息保護(hù)法》僅將委托第三方機(jī)構(gòu)進(jìn)行審計(jì)作為與約談并列的可選項(xiàng)之一可能出于兩方面考慮：一是算法審計(jì)高度依賴審計(jì)機(jī)構(gòu)的專業(yè)能力和獨(dú)立性，而目前具體的審計(jì)標(biāo)準(zhǔn)暫付闕如；二是目前監(jiān)管部門(mén)并不具備提前預(yù)知算法風(fēng)險(xiǎn)的監(jiān)管能力。針對(duì)上述問(wèn)題，首先應(yīng)建立個(gè)人信息算法決策同行評(píng)議制度。托馬斯庫(kù)恩在《科學(xué)革命的結(jié)構(gòu)》中指出，同一研究“范式”內(nèi)的成員往往更容易在基本的價(jià)值標(biāo)準(zhǔn)、思想理論基礎(chǔ)層面達(dá)成共識(shí)，進(jìn)而產(chǎn)生比較一致的價(jià)值判斷[29]。與外部機(jī)構(gòu)相比，擁有相同基礎(chǔ)知識(shí)背景的研發(fā)成員，更能對(duì)部署的算法利用個(gè)人信息進(jìn)行權(quán)衡，依據(jù)排序機(jī)制是否公平、機(jī)器學(xué)習(xí)算法訓(xùn)練中的數(shù)據(jù)集是否存在偏倚性作出技術(shù)性判定，并與監(jiān)管部門(mén)進(jìn)行實(shí)時(shí)反饋。在谷歌工作多年的法國(guó)工程師沙洛曾因指出公司算法決策中的價(jià)值觀偏離被公司辭退，隨后他創(chuàng)辦了算法透明網(wǎng)站，以反向工程學(xué)原理向公眾公布算法偏見(jiàn)，反向工程學(xué)與算法透明的差異在于繞過(guò)了多重嵌套算法下因果關(guān)系的證成困境，從統(tǒng)計(jì)學(xué)關(guān)系入手揭秘算法的非直覺(jué)性結(jié)果輸出[16]171。其次應(yīng)強(qiáng)化技術(shù)監(jiān)管，法律規(guī)則與技術(shù)規(guī)則迥異的運(yùn)行機(jī)制決定了技術(shù)監(jiān)管將成為未來(lái)算法監(jiān)管的主基調(diào)。從運(yùn)作機(jī)理上看法律規(guī)則可以被違反，相應(yīng)地會(huì)觸發(fā)懲罰性后果以確保法律被遵守，而技術(shù)規(guī)則往往內(nèi)嵌于軟件的運(yùn)行機(jī)制中，技術(shù)規(guī)則被違反則會(huì)反饋錯(cuò)誤導(dǎo)致無(wú)法運(yùn)行，這不僅可以大大降低監(jiān)管部門(mén)的監(jiān)管壓力，也能實(shí)現(xiàn)針對(duì)涉眾型算法的實(shí)時(shí)監(jiān)控，避免產(chǎn)生集體性風(fēng)險(xiǎn)。目前計(jì)算法學(xué)正成為一種法律研究的新范式[30]，其目標(biāo)之一就是通過(guò)技術(shù)嵌入的方式落實(shí)法律的要求，實(shí)現(xiàn)法律規(guī)則與技術(shù)規(guī)則的雙向轉(zhuǎn)化。由此，內(nèi)嵌的監(jiān)管機(jī)制可以根據(jù)異質(zhì)化的使用場(chǎng)景及時(shí)提示法律要求的顯性約束，一旦監(jiān)測(cè)到違反法律的算法運(yùn)行機(jī)制即可自動(dòng)反饋錯(cuò)誤進(jìn)行上報(bào)。實(shí)踐中，荷蘭的萊布尼茨法律中心已經(jīng)開(kāi)展了“元法律”項(xiàng)目，對(duì)法律規(guī)則進(jìn)行標(biāo)準(zhǔn)格式化轉(zhuǎn)換開(kāi)始推進(jìn)；英國(guó)的金融監(jiān)管局已經(jīng)開(kāi)發(fā)出“機(jī)器可執(zhí)行監(jiān)管”[31]。我國(guó)監(jiān)管部門(mén)也應(yīng)統(tǒng)籌推進(jìn)技術(shù)人員與法學(xué)專家之間的雙向溝通，聯(lián)合研發(fā)監(jiān)管科技，實(shí)現(xiàn)算法監(jiān)管的數(shù)字化，避免算法權(quán)利的持續(xù)擴(kuò)張對(duì)信息主體進(jìn)行潛在、持續(xù)性侵蝕。

技術(shù)發(fā)展的終極目標(biāo)在于促進(jìn)民眾福祉，而法律應(yīng)當(dāng)是“科技向善”的重要保障。歐盟立法的經(jīng)驗(yàn)和教訓(xùn)表明，算法權(quán)利蔓延之下人類尊嚴(yán)的維護(hù)僅依靠私權(quán)構(gòu)建往往會(huì)陷入利益平衡的所羅門(mén)之結(jié)，既無(wú)法踐行信息自決的美好愿景，也與平臺(tái)社群的規(guī)?；l(fā)展、智能化社會(huì)演進(jìn)大趨勢(shì)背道而馳。只有轉(zhuǎn)變統(tǒng)一粗放式的監(jiān)管模式，構(gòu)建一個(gè)精細(xì)化多維度的監(jiān)管框架，才能給算法戴上秩序的枷鎖，人們面對(duì)算法的恐懼與不安才能真正消解。