陳林林 嚴書元

一、引言

平等既是一條基礎性的法律原則，也是社會主義核心價值觀的重要內容之一?，F(xiàn)代社會的立法皆是在不同原則或價值目標之間進行平衡的產(chǎn)物，盡管《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）未將平等明示為立法原則或目標，但文本第1條將“保護個人信息權益”和“促進個人信息合理利用”同時列為立法目標，體現(xiàn)了立法者在權益和效率之間尋求平衡，進而在資源分配上實現(xiàn)平等對待公民個人和信息處理者的立法理念。但這只是初階的平等，旨在消除或降低人與人之間、不同法律主體之間在人格資源上的差異，更深層次的平等應當是促進他們以特定方式行動或達到目標的能力平等?！?〕Ronald Dworkin, Sovereign Virtue: the Theory and Practice of Equality, Harvard University Press, 2002, p.286.就個人信息的立法保護而言，促進能力平等尤為重要，因為在由互聯(lián)網(wǎng)、大數(shù)據(jù)和自動化決策建構起的數(shù)字社會中，技術已然成為一種隱性權力。缺乏信息采集、保護和處理技術的普通公眾和各種信息處理者之間存在明顯的能力不平等乃至“數(shù)據(jù)鴻溝”。〔2〕馬長山：《邁向數(shù)字社會的法律》，法律出版社2021年版，第117頁。公民個人的數(shù)據(jù)形象不僅被“老大哥”盡收眼底，還被眾多擁有數(shù)據(jù)處理技術的“小老弟”——通信公司、互聯(lián)網(wǎng)平臺、企業(yè)和醫(yī)院等——看在眼中、算在心里?！?〕參見［英］約翰·帕克：《全民監(jiān)控：大數(shù)據(jù)時代的安全與隱私困境》，關立深譯，金城出版社2015年版，第10頁以下；Mario J.Rizzo & Douglas Glen Whitman, “Little Brother is Watching You: New Paternalism on the Slippery Slopes”, 51 Arizona Law Review 685（2009）.與此相應，個人信息收集、使用規(guī)則不透明以及個人信息被過度收集、使用等現(xiàn)象，成了個人信息保護立法進程中社會公眾反映最強烈的問題。

個人信息收集、使用規(guī)則不透明以及個人信息被過度收集、使用等問題，和數(shù)字社會中大規(guī)模采用的自動化決策存在直接的相關關系。自動化決策一般包括三個階段：數(shù)據(jù)收集階段、使用機器學習算法建模階段和最終決策階段。以機器學習算法為基礎的自動化決策，需要收集、分析、擇取并應用海量的個人信息，〔4〕機器學習是指在互聯(lián)網(wǎng)和其他數(shù)據(jù)密集型環(huán)境中，由機器從包含貸款申請、金融交易、醫(yī)療記錄等大型數(shù)據(jù)庫中挖掘可用數(shù)據(jù)，并基于這些數(shù)據(jù)做出預測。機器學習程序能夠隨著經(jīng)驗積累而更加智能，具有無須編程人員干預就能自動學習的能力。Cf.Tom Mitchell, Machine Learning, McGraw-Hill Inc., 1997, p.1.這不僅與保護隱私權以及個人信息權益之間存在張力，還會對公民其他權利（尤其是程序性權利）和社會平等產(chǎn)生影響。機器學習能夠在海量數(shù)據(jù)中發(fā)掘出潛藏的相關性，對這些相關性的發(fā)掘利用，使得人們的社會認知和行為方式不斷得到更新，并最終促成社會結構的重組。已有研究表明，盡管機器學習和自動化決策提高了效率，但也帶來一定的副作用——歧視效應或曰算法歧視?！?〕參見張凌寒：《算法權力的興起、異化及法律規(guī)制》，載《法商研究》2019年第4期；周輝：《算法權力及其規(guī)制》，載《法制與社會發(fā)展》2019年第6期；張欣：《算法解釋權與算法治理路徑研究》，載《中外法學》2019年第6期。有關個人信息的大數(shù)據(jù)應用不僅會通過各種方式侵擾人們的私生活，還會加劇現(xiàn)有的社會不平等并創(chuàng)造新的不平等。〔6〕M. A. A. Oostveen, Protecting Individuals Against the Negative Impact of Big Data: the Potential and Limitations of the Privacy and Data Protection Law Approach, Kluwer Law International BV, 2018, p.61, available at UvA-DARE （Digital Academic Repository）, https://dare.uva.nl/search?identifier=6dbe6844-4e61-4b6e-93c9-640457d6d973, accessed September 9, 2021.由于機器學習和自動化決策的專業(yè)性、保密性和黑箱化特征，法律很難對涉嫌歧視的算法本身進行事后審查或事先預防，因此在個人信息保護立法進程中，有必要在能力不平等的普通公民和信息處理者之間進行一些糾偏性的權利義務分配，以達至實質性的地位平等并真正實現(xiàn)對個人信息的法律保護。

二、自動化決策的平等盲區(qū)

依據(jù)《個人信息保護法》第73條的界定，自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動。自動化決策的輸入端是個人信息數(shù)據(jù)，輸出端是對自然人的行為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況等作出的分析和預測。它所應用的工具是計算機程序即算法，核心特征是自動化。與自動化決策緊密相關的一個概念是“畫像”。畫像是快速分類處理信息的一種活動，類似于“貼標簽”，即通過外表、興趣愛好、職業(yè)、地區(qū)等個人信息，將其劃分到某個類別當中并賦予相應的個人特征，最后據(jù)此來決定后續(xù)的處理或對待方式?！?〕參見丁曉東：《個人信息保護：原理與實踐》，法律出版社2021年版，第166-167頁。歐盟《通用數(shù)據(jù)保護條例》（以下簡稱“GDPR”）第4條對其的概括是：為評估與自然人相關的某些個人情況，特別是為了分析或預測該自然人的工作表現(xiàn)、經(jīng)濟狀況、健康狀況、個人偏好、興趣、可信度、行為、位置或行蹤，而對個人數(shù)據(jù)進行的任何形式的自動化處理和利用。顯然，“畫像”展示的是一個“被給定的量化身份”，〔8〕Don Tapscott & Alex Tapscott, Blockchain Revolution: How the Technology behind Bitcoin is Changing Money, Business, and the World, Penguin, 2016, p.28.它和真實世界的公民個人狀況必定存在或多或少的偏差，并導致后續(xù)的機器學習和自動化決策出現(xiàn)偏差和歧視。

以機器學習算法為基礎的自動化決策天然地存在平等盲區(qū)。首先，它對個人信息的處理方式不可能做到完全平等。其一，輸入算法的數(shù)據(jù)在質和量兩個方面決定了機器學習自動化決策的可靠性。在量的方面，被用來訓練機器學習的數(shù)據(jù)越少，所得結果與實際情況的偏離度越大。在質的方面，數(shù)據(jù)來源以及數(shù)據(jù)所附標簽本身存在偏差。當被輸入算法的數(shù)據(jù)本身存在偏見和歧視時，很難預期能獲得公平公正的決策。以就業(yè)領域的性別平等為例，若以往招聘案例中受雇傭女性比男性更少，那么關于女性員工的數(shù)據(jù)就不如男性員工的數(shù)據(jù)可靠?！?〕Joshua A Kroll et al., “Accountable Algorithms”, 165 University of Pennsylvania Law Review 633, 681 （2017）.其二，算法設計者在編程時，不可避免地會嵌入特定的價值目標。算法為解決問題而生，因而提出問題或設定目標是一個更具決定性的步驟。當算法設計者擬定的特定問題或算法運行標準存在平等性偏差時，自動化決策必然會造成不平等問題。極端例子就是在缺乏正當理由的前提下，設計者使用機器學習算法開發(fā)出一個按種族、性別或宗教過濾用戶的差別對待模型。當然，這種事例在商業(yè)和公共領域并不常見，更常見的是另一種容易被忽視的算法，即將各種更微妙的、看似無關的因素與種族、性別、宗教、政治觀點等相勾連，替代后者這些敏感因素成為新的過濾條件，從而將歧視性篩選機制隱蔽其中。例如，通過分析郵政編碼來評估少數(shù)族裔，或者以“訂閱特定雜志”來替代性別?！?0〕Dimitra Kamarinou et al., “Machine Learning with Personal Data”, in Ronald Leenes et al. eds., Data Protection and Privacy:The Age of Intelligent Machines, Hart Publishing, 2017, p.103.其三，機器學習所運行的算法邏輯不同于演繹推理邏輯，因而容易忽略因果性并夸大相關性。通過分析大量數(shù)據(jù)，機器學習能夠發(fā)現(xiàn)不同數(shù)據(jù)之間的某種相關性，但無法解釋為什么會產(chǎn)生這種相關性。即便開發(fā)者在開發(fā)過程中沒有代入偏見，機器學習自身也會產(chǎn)生“偏見”。在招聘的應用場景中，機器學習基于既有數(shù)據(jù)會得出一名女性求職者不大適合擔任首席執(zhí)行官的結論，因為在現(xiàn)實職場中女性比男性更少有機會在大企業(yè)中升到主管級別，但它并不考慮也無法解釋為什么會出現(xiàn)這種現(xiàn)象。因果性分析超出了機器學習的能力范圍，而這種忽略因果關系的算法黑箱過程，令看似客觀的機器學習結果隱藏了偏見和不平等，同時還阻斷了追責路徑。

其次，以機器學習算法為基礎的自動化決策會產(chǎn)生“馬太效應”或“滾雪球效應”。差別對待是機器學習算法的內在邏輯，其發(fā)掘出的模式和相關性被用于區(qū)分、排序和過濾用戶群體。無論是在算法建模階段還是自動決策階段，這種差別對待都是貫穿始終的?！?1〕Laurens Naudts, “How Machine Learning Generates Unfair Inequalities and How Data Protection Instruments May Help in Mitigating Them”, in Ronald Leenes et al. eds., Data Protection and Privacy: The Internet of Bodies, Hart Publishing, 2019, p.74.機器學習處理個人信息的第一道工序就是分類。當一家互聯(lián)網(wǎng)企業(yè)招聘“優(yōu)秀”員工時，機器首先在現(xiàn)有數(shù)據(jù)基礎上學習哪些員工特征與“優(yōu)秀”表現(xiàn)相關。一旦機器學習捕捉到“男性”“身體健康”“35歲以下”“研究生以上學歷”等特征或編碼，那么在自動化決策階段，這些特征所構成的差別對待將被放大：具備這些特征的應聘者得到了較多工作機會或較好待遇，不具備這些特征的應聘者即便在其他方面表現(xiàn)優(yōu)異，仍將被淘汰出局。換言之，機器學習算法很容易受到程序員、已有前置決策、用戶及/或社會偏見的影響，從而生成歧視性結果?！?2〕Natalia Criado & Jose M. Such, “Digital Discrimination”, in Karen Yeung & Martin Lodge eds., Algorithmic Regulation,Oxford University Press, 2019, p.85.隨著機器學習和自動化決策滲入社會生活的方方面面，“強者恒強，弱者愈弱”的局面將越發(fā)難以避免，因為機器學習會反映并強化社會中持續(xù)存在的不平等。

最后，機器學習算法處理個人信息時經(jīng)常出現(xiàn)“信息溢出效應”。算法通過對群體偏好的分析，推測屬于該群體的個體之特征，這一過程實際就是對個體進行脫離語境的畫像或貼標簽，會伴生信息的過度解讀現(xiàn)象或“溢出效應”。例如，某網(wǎng)購平臺對一名搖滾唱片購買者貼上了搖滾音樂愛好者的標簽，但實際上該消費者購買這張唱片只是當作禮物送人。類似地，一旦你在亞馬遜網(wǎng)站為他人代購了一本關于強迫癥的書，那么此后無論你何時登錄亞馬遜購物網(wǎng)站，它就可能向你推送有關強迫癥的書籍，并將相關信息置于網(wǎng)頁的顯著位置，或者向你的郵箱發(fā)送關于強迫癥書籍的廣告。顯然，亞馬遜網(wǎng)站認為你患有強迫癥，追蹤你郵件信息的算法也會得出類似結論?！?3〕Vincent Miller, Understanding Digital Culture, second edition, SAGE Publications Ltd., 2020, p.143.這種過度解讀或錯誤標簽也許不會即刻對現(xiàn)實生活產(chǎn)生影響，但其長期效應可能會很明顯。以信用評級或貸款評價體系為例，假設古典音樂愛好者在貸款人數(shù)據(jù)庫中表現(xiàn)出更好的還貸能力，該群體就會因此被賦予更高信用評級或貸款優(yōu)先性。在自動化決策法律規(guī)制闕如的情況下，那名古典音樂愛好者可能因為標簽失真而錯過貸款機會，進而影響未來的生活。他對哪些信息被用于評價信用和相關信息的獲取渠道等問題，很可能一無所知。這就好比匿名人員用未知數(shù)據(jù)對他進行了指控，而被指控人卻無法做出回應。〔14〕Vincent Miller, Understanding Digital Culture, second edition, SAGE Publications Ltd., 2020, p.143.

顯然，自動化決策過程中的畫像會賦予特定群體刻板印象甚至是污名，而刻板印象和污名化恰恰是社會不平等的開始，因為它們反過來會對特定群體中的個體產(chǎn)生負面影響。自動化決策帶來的顯性或隱性差別對待、直接或間接歧視，被冠名為一種新的不平等或歧視形式——“數(shù)字歧視”（Digital Discrimination）?！?5〕Natalia Criado & Jose M. Such, “Digital Discrimination”, in Karen Yeung & Martin Lodge eds., Algorithmic Regulation,Oxford University Press, 2019, p.84.它根據(jù)一些難以解釋的，甚至是偶然的相關性，包括歷史性、代表性偏差、加總偏差、習得性偏差、評估偏差、運用偏差等原因，將特定群體中的所有個體貼上同一標簽，這實際是對個人平等權的減損。承認并維護個人之間的平等地位，是對個人尊嚴和人道主義的捍衛(wèi)，因此它既是一條法律原則，也是道德實踐領域的一種規(guī)范性要求。對人的分門別類，諸如“人上人”和“人下人”的劃分，在道德上被認為是殘忍的。因為某人的弱點而消除其追求個人全面發(fā)展的可能性，還被認為是錯誤且有害的?！?6〕Andrea Sangiovanni, Humanity without Dignity: Moral Equality, Respect, and Human Rights, Harvard University Press, 2017,pp.76, 83.

在應用自動化決策的數(shù)字社會中，大部分民眾將被算法視為某個社會群體的成員，而不再是某個公民個人。較之社會中的主流或優(yōu)勢群體，有色人種、移民、不受歡迎的宗教團體、窮人和其他被壓榨的邊緣化人群，會受到更多的數(shù)據(jù)監(jiān)控及信息追蹤。倘若被算法歸入“人下人”或“邊緣化群體”，公民在獲取公共福利、穿行高安防街區(qū)、登入醫(yī)保系統(tǒng)、進行保險理賠或跨越國境時，就不得不接受更高級別的個人信息采集。一旦他們成為算法設置的懷疑對象并接受額外審查時，數(shù)據(jù)還會進一步強化他們的邊緣性。以美國中部地區(qū)福利資格自動化處理系統(tǒng)、洛杉磯無家可歸者住房協(xié)調系統(tǒng)和阿勒格尼縣虐童家庭篩選系統(tǒng)為例，研究者認為隨著數(shù)據(jù)跟蹤和自動化決策系統(tǒng)在治安管理、政治預測、市場營銷、信用報告、刑事審判、企業(yè)管理、金融及福利項目管理中的常態(tài)化，疊加這些系統(tǒng)的全覆蓋、精細化和復雜化趨勢，盡管表面上提高了效率，實際卻營造了一所“鎖定窮人、管制窮人甚至懲罰窮人”的“數(shù)字濟貧院”，以及一種“自動不平等”（automating inequality）的決策背景和信息反饋循環(huán)?！?7〕參見［美］弗吉尼亞·尤班克斯：《自動不平等：高科技如何鎖定、管制和懲罰窮人》，李明倩譯，商務印書館2021年版，第5、10頁。

三、能力平等、公平信息實踐與個人信息保護

在既有的政治—法律理論及實踐中，平等包含了兩種形態(tài)和三個維度：形式平等和實質平等，以及福利、資源和能力的平等。〔18〕福利一般是指偏好的滿足，或者是指幸?；蚩鞓?，因而福利是主觀主義的，資源多寡也不決定福利的狀況，譬如安貧樂道者盡管很窮（資源少）卻生活快樂（福利狀況高）。正因如此，德沃金認為真正的問題是資源平等，在就福利達成某種特定理解和具體認識之前，福利平等不足以成為具體的政治目標。Cf. Ronald Dworkin, Sovereign Virtue: the Theory of Practice of Equality, Harvard University Press, 2000, p.285.形式平等要求對相同的個體給予相同的待遇，即無差別的一致對待。形式平等會導致“間接歧視”，例如工作薪水高，但要求全職工作，實際上就間接歧視了受困于家庭責任的女性。鑒于形式平等無法實現(xiàn)“實踐中的全面平等”或“合理的差別對待”，采取有利于特定弱勢群體之特別措施的實質平等，逐漸為現(xiàn)代政治法律制度所采納、推廣。美國《民權法》中的“平權行動”（aきrmative action）就是旨在提升女性和少數(shù)族群的就業(yè)機會和工作優(yōu)待的行動，歐洲法中的“積極行動”（positive action）政策，更是包括了五種消除間接歧視、提高邊緣群體就業(yè)機會的行動?！?9〕參見［英］鮑勃·赫普爾：《平等法》，李滿奎譯，法律出版社2020年版，第43-47頁。通過資源（此處是就業(yè)機會和工作條件）的差別化分配實現(xiàn)實質平等，既出于“全面平等”、提高社會整體福利水平的后果考量，也立足于事實層面的依據(jù)——每個人利用資源的能力水平是不平等的。

資源不僅包括收入和財富，而且包括自由、權利和機會。如果人們利用資源的能力存在差異，那么即便人人都擁有平等的資源，每個人實際的生活質量仍將是不平等的。例如，與健康者相比，一位殘障者即便擁有同樣多的資源，其生活仍將處于較低的水平，因為他不僅要把相關一部分資源用于治療疾病，也缺乏用相關資源獲取更多資源的便利和技能。阿瑪?shù)賮啞どM一步指出，自然環(huán)境和社會制度的差別，也會賦予人們不同的能力空間或行動力，并導致類似的不平等結果?！?0〕Amartya Sen, The Idea of Justice, The Belknap Press of Harvard University Press, 2009, pp.254-255. 轉引自姚大志：《平等》，中國社會科學出版社2017年版，第88頁。因此，資源平等只是實現(xiàn)平等的起點或必要條件，實現(xiàn)平等的關鍵在于保障人們“基本能力平等”——具備滿足基本需要、去做重要事情的能力，包括滿足吃穿住行需要的能力、自由行動的能力、參與社會政治生活的能力等?！?1〕A. Sen, “Equality of What?” in S. Mc Murrin ed., The Tanner Lectures on Human Values: Vol. 1, University of Utah Press,1980, p.218.在法治國語境中，國家負有保障個體維護其基本自由和法律權利的能力，否則無法實現(xiàn)法治并保障人權。因此，以能力平等為要旨的平等原則，既是法律平等權的題中之義，也是國家扶貧政策、法律援助制度和其他一系列特殊群體優(yōu)待措施的理論基礎和制度理念。

從能力平等的視角觀之，數(shù)字時代個人信息保護需要克服兩重障礙：一是公民個人和信息處理者之間的資源不平等，主要是信息或數(shù)據(jù)獲取和支配的不對等性；二是公民個人和信息處理者之間的能力不平等。在法律理論中，不同主體之間的法律平等權由兩個層次構成：第一個層次是平等對待的權利，指向機會、資源或義務的平等分配；第二個層次是作為一個平等的主體受到同等尊重和關照的權利。〔22〕參見［美］德沃金：《認真對待權利》，信春鷹、吳玉章譯，中國大百科全書出版社1998年版，第299-300頁。在個人信息保護領域，倘若立法者無視公民個人和信息處理者之間的能力不平等，就會在上述兩個層面放任實質不平等的狀況，也無從解決個人信息收集、使用規(guī)則不透明以及個人信息被過度收集、使用等問題。

信息資源分配和信息處理能力的平等化可以概括地稱為信息平等，它是信息時代社會公正的一項基礎內涵。從形式上看，信息平等是指信息主體——公民個人之間、公民和信息處理者之間以及信息處理者之間——在信息利益關系上的平等或均勢狀態(tài)。〔23〕此處借鑒了已有的“信息平等”概念，但在表述上進行了調整。已有研究參見蔣永福：《信息能力平等、信息公平與公共圖書館制度》，載《圖書館學研究》2006年第1期，第5頁。公民個人與信息處理者之間的利益或權利義務關系，因為各自能力不平等而必然會導致一種失衡狀態(tài)，所以歷來是各國個人信息保護立法的調整對象。例如歐盟GDPR申明“本條例保護自然人的基本權利和自由，尤其是自然人的個人數(shù)據(jù)保護權”，并將條例的適用范圍限定在“部分或全部以自動化方式對個人數(shù)據(jù)的處理”；德國《聯(lián)邦數(shù)據(jù)保護法》也規(guī)定“本法的目的是保護個人”，適用范圍是聯(lián)邦公共機構、各州公共機構和私人機構“對個人資料的收集、處理和使用”。在信息資源和能力領域的實質平等化舉措，可歸入數(shù)字時代的一場社會公正運動——公平信息實踐（fair information practices）。

“公平信息實踐”濫觴于美國法上的隱私權保護，目標是為公民隱私保護提供一系列公認的、跨國界的做法。公平信息實踐最早的版本，是美國衛(wèi)生教育福利部遞交的一份立法建議報告——《公平信息處理條例》。這份報告被譽為信息時代的“權利法案”，它為個人隱私和個人信息保護設立了五條準則：（1）任何收集個人數(shù)據(jù)的自動化系統(tǒng)，都不得秘密存在；（2）對個人數(shù)據(jù)的收集以及使用情況，必須能為相關個人所知曉；（3）個人有渠道阻止用于特定用途的個人信息，未經(jīng)自己同意被移作他用；（4）個人有渠道修正或增訂與自身信息相關的數(shù)據(jù)記錄；（5）任何機構在生成、保存、使用、傳播可識別的個人數(shù)據(jù)時，必須確保數(shù)據(jù)的可靠性，以及確保數(shù)據(jù)用于原定的目的，同時對數(shù)據(jù)的誤用或濫用負有合理的注意義務?！?4〕自20世紀70年代起，歐美各國都開啟了公平信息實踐領域的努力。在《公平信息處理條例》報告出臺的前一年，一家英國隱私委員會就發(fā)布了一份包括許多相同條款的報告。1973年，瑞典也通過了與《公平信息處理條例》類似的《隱私法案》。在接下來的十年間，德國和法國也先后通過了類似的法案。Cf. Michael J. Quinn, Ethics for the Information Age, 6th edition, Pearson Education Limited, 2015, pp.320-321.直至2008年，美國國土安全部隱私辦公室又提出了八條“公平信息實踐原則”：（1）透明性原則：對個人身份信息的收集、使用、傳播和維護過程，國安部皆向相關個人公開或知會；（2）個人參與原則：國安部應當盡可能讓個人參與對其身份信息的使用過程，并征得個人同意對其身份信息的收集、使用、傳播和維護；（3）目的明確性原則：具體且明確地說明國安部收集個人信息的權限范圍，以及為了哪個或哪幾個目標使用個人身份信息；（4）數(shù)據(jù)最小化原則：國安部只能收集為了實現(xiàn)目的所必須的、直接相關的個人身份信息，一旦目標實現(xiàn)就不得繼續(xù)保存?zhèn)€人身份信息；（5）使用限定原則：個人身份信息只能用于公開告知的目的，和外部主體共享信息的理由必須符合個人身份信息收集時的目的；（6）數(shù)據(jù)質量和整全性原則：在盡可能的范圍內，確保個人身份信息的準確性、相關性、及時性和完整性；（7）安全性原則：國安部應當采取恰當?shù)陌踩Ｕ洗胧?，保護個人身份信息免遭以下風險——滅失，未經(jīng)授權的訪問或適用，遭破壞，被篡改，意外或不當泄露；（8）責任與審計原則：國安部就以下事項負有責任——遵守相關原則，培訓使用個人身份信息的內部工作人員和外包工作人員，審計個人身份信息的實際使用情況是否遵守了相關原則和各項隱私保護要求。〔25〕See Department of Homeland Security, “Privacy Policy Guidance Memorandum （2008） （Memorandum Number 2008-1）”,http://www.dhs.gov/xlibrary/assets/privacy/privacy_policyguide_2008-01. pdf, accessed July 15, 2021.

概括而言，公平信息實踐的要義有二：一是通過法律賦權的方式，授予能力和信息弱勢地位的個人以制約、抗衡信息處理者及算法權力的權利或手段；二是對借由“技術賦權”獲得信息優(yōu)勢地位的個人信息處理者，設置一些針對性的、嚴格化的注意義務和法律責任。以GDPR為例，其賦予數(shù)據(jù)主體的法律權利包括知情權、數(shù)據(jù)訪問權、糾正權、刪除權、限制處理權、移植權、拒絕權和自主決定權等。在普通公民與個人信息處理者之間這場不平等的博弈中，個人最重要的籌碼莫過于指間的同意或拒絕按鍵（決定權），這是一種形成或否決信息處理法律關系的控制力?！?6〕參見呂炳斌：《論〈民法典〉個人信息保護規(guī)則蘊含的權利》，載《比較法研究》2021年第3期，第47頁。但行使決定權的前提是知情權，即個人應當明確獲知自己的信息正在被處理，特別是那些對自身權益會造成重大影響的自動化決策，除非是在犯罪偵查等涉及公共安全而需要保密的領域。

如果說知情權和決定權的行使能夠限制或拒絕個人信息處理者對其個人信息的處理，屬于一種被動防御，那么算法解釋權、數(shù)據(jù)修正權和自動化決策拒絕權皆可算作積極防御。以算法解釋權為例，盡管學界普遍認為其面臨技術層面不可行、數(shù)據(jù)主體知識鴻溝、侵害知識產(chǎn)權或商業(yè)秘密等問題，但仍得到了立法者的認可。GDPR序言部分第71條指出，數(shù)據(jù)控制者應明確告知數(shù)據(jù)主體具有獲得人為干預、表達觀點、對決定要求作出解釋、提出質疑的權利，這被認為是創(chuàng)設了個人的算法解釋權?！?7〕參見辛巧巧：《算法解釋權質疑》，載《求是學刊》2021年第3期，第101頁。算法解釋權有助于個人免于直接被含有偏見的機器學習算法宰制。為防止數(shù)據(jù)錯誤導致的算法歧視溢出，損害個體平等權利，立法者必須在知情同意的基礎上再賦予個人對信息的修正權。而要行使修正權，個人還必須具有查閱、復制等數(shù)據(jù)訪問權。訪問權和修正權旨在增強個人對自身信息的控制力，在犧牲一定經(jīng)濟效率的條件下，提高自動化決策的準確性，避免個人被錯誤標簽化。此外，由于算法黑箱的存在，算法不公的威脅始終難解，特別是機器學習算法可能從毫不起眼的個人信息中挖掘出鮮為人知的相關性，而這種相關性有時關乎個人隱私與人格尊嚴。為了從源頭上杜絕平臺、企業(yè)利用機器學習算法不當或過度開發(fā)個人信息，立法者還應當賦予個人自動化決策拒絕權和數(shù)據(jù)刪除權（被遺忘權）。以上個人權利的實現(xiàn)有賴于信息處理者的積極配合，因此每一項個人信息權利都對應個人信息處理者的相應義務，如決定權對應征得個人同意的義務。但個人信息處理者與普通公民在信息技術領域內地位顯著不平等，且信息處理者往往缺乏動力保護數(shù)據(jù)安全、維護個人隱私，因此還需要通過立法對技術優(yōu)勢方課以專門的數(shù)據(jù)安保義務，通過監(jiān)管手段對違法行為進行問責，加重信息處理者違法成本，形成一整套約束個人信息處理者的“義務—監(jiān)管—問責”體系，使其不敢跨越紅線。

自動化決策算法涉及對公民資源、機會、風險、權利、義務等的分配，內含了一種“權力—支配”關系，具有準公權力的性質或者公權力的一些屬性。〔28〕參見齊延平：《論人工智能時代法律場景的變遷》，載《法律科學（西北政法大學學報）》2018年第4期，第44頁。為避免權力濫用，適用于公權力的約束在數(shù)字社會時代同樣可以施加給算法權力主體。例如，公開（透明性）原則是程序正義對權力運行的要求。GDPR第13條第2款規(guī)定：“控制者在獲取個人數(shù)據(jù)時出于證實處理過程的公正和透明的需要，在必要的情況下應當向數(shù)據(jù)主體提供如下信息……（f）控制者對個人信息的自動決策機制，包括第22條第1款以及第4款所述的數(shù)據(jù)畫像，在該種情況下控制者至少應向數(shù)據(jù)主體提供數(shù)據(jù)畫像過程中運用的邏輯，以及該種數(shù)據(jù)處理對數(shù)據(jù)主體的重要性和可能產(chǎn)生的后果?！薄?9〕《歐盟〈一般數(shù)據(jù)保護條例〉》，瑞栢律師事務所譯，法律出版社2020年版，第51頁。使數(shù)據(jù)控制者負有公開、透明義務，向數(shù)據(jù)主體告知數(shù)據(jù)處理的目的與方式，接受政府、社會的監(jiān)督，這有助于防止數(shù)據(jù)控制者開發(fā)、利用歧視性算法。從GDPR第22條在歐盟的執(zhí)行情況看，目前極少數(shù)國家（如意大利和羅馬尼亞）將其視為禁令，不允許自動化決策的使用，大多數(shù)歐盟成員國則認可其權利性質，但是在某些應用場景中（如司法和行政）依然禁止自動化決策的使用。

信息泄露、數(shù)據(jù)錯誤導致的現(xiàn)實溢出效應，對互聯(lián)網(wǎng)平臺企業(yè)自身的影響不大，其缺乏動力去完善個人信息安保措施。因此需要法律介入，給個人信息處理者施加數(shù)據(jù)安全保障義務。安全保障義務以原則的形式被提出最早可追溯到1980年OECD版本的公平信息實踐。此后各版本的公平信息實踐越發(fā)重視個人信息處理者的風險防范義務?！?0〕參見丁曉東：《論個人信息法律保護的思想淵源與基本原理》，載《現(xiàn)代法學》2019年第3期，第103頁。GDPR第35條第1款規(guī)定：“處理，尤其是運用新技術進行處理，考慮到處理的性質范圍、背景和目的，可能對自然人的權利和自由產(chǎn)生較高風險，因此在進行數(shù)據(jù)處理前，控制者應對擬進行的處理操作進行個人數(shù)據(jù)保護影響評估?！薄?1〕《歐盟〈一般數(shù)據(jù)保護條例〉》，瑞栢律師事務所譯，法律出版社2020年版，第65頁。該條第7款指出，數(shù)據(jù)保護影響評估應當至少包含對數(shù)據(jù)主體權利和自由風險的評估。個人信息處理者的風險評估義務有助于促使其更廣泛地考慮機器學習自動化決策的負面影響，并積極采取數(shù)據(jù)保護措施。

四、《個人信息保護法》中的實質平等化及其限度

新頒布的《個人信息保護法》同樣遵循了公平信息實踐的基本框架，構建了以權益保護為核心的個人信息保護框架和算法歧視糾偏機制。首先，該法總則部分借鑒國外立法，規(guī)定了個人信息權益保障原則（第1、2條）、目的明確及使用限定原則（第6、7條）、數(shù)據(jù)最小化原則（第6條）、公開（透明性）原則（第7條）、數(shù)據(jù)質量和整全性原則（第8條）、安全性原則（第9條）。

其次，《個人信息保護法》第24條以法律賦權方式對自動化決策進行了規(guī)制：涉及個人重大權益的決定，個人有權要求信息處理者予以說明（算法解釋權），并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定（自動化決策拒絕權）；與此同時，還規(guī)定運用自動化決策的信息處理者有義務保證決策的透明度和結果公平、公正。最后，《個人信息保護法》規(guī)定了個人信息處理者必須承擔的一系列呼應性義務和責任，包括信息安全保障義務（第51條）、合規(guī)審計義務（第54條）、個人信息保護影響評估義務（第55、56條）、安全事件通知義務（第57條）、平臺特殊義務（第58條）等。

從《個人信息保護法》的內容來看，立法者注意到了公民個人和信息處理者之間的資源不平等和能力不平等，并嘗試用一些糾偏性的權利義務分配措施，不斷達致二者的實質化平等并實現(xiàn)對個人信息權益的法律保障，解決個人信息收集、使用規(guī)則不透明以及個人信息被過度收集、使用等問題。但這很可能只是一種愿景，或者說只提供了一種可能性，因為該法實際只提供了一個框架性規(guī)定。由于信息時代權利侵害和維權方式皆不同于傳統(tǒng)社會，那些權益條款如何在現(xiàn)實中真正發(fā)揮實效，仍是存有疑問的。例如，《個人信息保護法》第47條規(guī)定了個人信息刪除權及信息處理者的刪除義務，符合五種情形之一時，“個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除”。在個人信息權益遭受侵害時，第69條還明確規(guī)定了過錯推定原則，即“個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍?。但在現(xiàn)實世界中的普通公民，實際并不清楚信息處理者是否收集、刪除、保存或不當使用了自己的個人信息。就像前面提及的那名古典音樂愛好者，他對哪些信息被用于評價信用以及相關信息收取渠道和使用等問題，可能是一無所知的。即便信息處理者有時的確侵害了《個人信息保護法》所保護的個人信息權益，被侵害人卻往往無從知曉，也無法做出回應。

機器學習能夠發(fā)現(xiàn)零散性數(shù)據(jù)之后的關聯(lián)性，一條微不足道的數(shù)據(jù)或信息也有可能引出關鍵情節(jié)或人物，這讓個人生活的“可隱性”或隱私岌岌可危。信息、關聯(lián)性和隱私之間的關系，可用以下軼事作一說明：人們在聚會時詢問一位神父，問他在懺悔室里是否聽到過什么非同尋常的故事。神父說：我的第一位懺悔者就是一個很好的例子，他因殺人而懺悔。幾分鐘后，一位優(yōu)雅的紳士也來參加聚會，他看到神父后熱情地打了個招呼。有人問紳士如何認識神父的，他回答說：因為我很榮幸地成了他的第一個懺悔者?！?2〕See Jeroen van den Hoven, “Information Technology, Privacy, and the Protection of Personal Data”, in Jeron Van Hoven &John Weckert eds., Information Technology and Moral Philosophy, Cambridge University Press, 2008, p.309.基于信息能力不平等和身份信息流動對個人的負面影響，主流法律理論皆將個人信息歸入人格權或隱私權模型進行保護。但站在個人信息處理者的立場上，個人信息數(shù)據(jù)最突出的屬性卻可能是商業(yè)或治理價值，而這種立場也是持之有據(jù)的，因為《個人信息保護法》第1條將“保護個人信息權益”和“促進個人信息合理利用”同時列為立法目標。如本文開篇所述，該條初看之下體現(xiàn)了立法者在權利和效率之間尋求平衡，進而在資源分配上實現(xiàn)平等對待公民個人和信息處理者的立法理念，實際卻可能引入了一匹“特洛伊木馬”。因為個人信息權益保護和個人信息利用經(jīng)常是一對矛盾，至于特定事例中的個人信息利用“合理”與否，往往取決于不同利益主體的實力和博弈。結合信息能力不平等的現(xiàn)狀，尤其是個人信息處理者的技術賦權、管理地位優(yōu)勢和組織化優(yōu)勢，可以預見該法基于公平信息實踐采取的一些實質平等化措施——無論是個人信息隱私權還是信息自主權設置——最后都很難落地生根。

當然，《個人信息保護法》也有一些在規(guī)范層面對信息處理者“不公”的實質平等化措施，主要涉及對自動化決策或算法規(guī)制的條款。該法不僅將公開性或透明性原則列為處理個人信息時應當遵循的基本原則，還對個人信息處理者設置了告知義務以及說明信息處理規(guī)則、方式的義務。根據(jù)該法第24條的字面表達，個人只要主觀上認為該自動化決策會對其利益造成重大影響，就可以要求個人信息處理者向其解釋、說明該決策的作出方式。從文義解釋的角度看，“個人權益”“重大影響”等具有強人身相關性的措辭，表明個人信息處理者的義務不僅是公開算法所依據(jù)的抽象原理，還要說明個案層面的決策過程。這會導致個人信息處理者陷入“履行不能”的境地?！?3〕參見林洹民：《自動決策算法的法律規(guī)制：以數(shù)據(jù)活動顧問為核心的二元監(jiān)管路徑》，載《法律科學（西北政法大學學報）》2019年第3期，第46頁。因為若要向用戶詳細解釋自動化決策的過程，信息處理者就必須對算法運行的記錄予以保存。但機器學習技術在本質上是個“黑箱”，而且機器學習算法做出每個決策后，會根據(jù)這一新的結果更新已有的模型，將每個新的觀察數(shù)據(jù)作為訓練數(shù)據(jù)的一部分。因此，算法本身處于動態(tài)更新當中，類似于南美熱帶雨林中一只扇動翅膀的蝴蝶，即使知道源代碼和最初數(shù)據(jù)也難以精確把握機器學習最終的結果?！?4〕See Joshua A. Kroll et al., “Accountable Algorithms”, 165 University of Pennsylvania Law Review 633 （2017）.此外，算法解釋還面臨商業(yè)秘密抗辯和算法可視化障礙，〔35〕鄭戈：《算法的法律與法律的算法》，載《中國法律評論》2018年第2期，第75頁。因此可行的履行解釋、說明義務的方式，只能限于向個人較宏觀地描述算法系統(tǒng)的構建方式，以及說明處理者如何選擇數(shù)據(jù)，訓練、測試算法和評估輸出結果。

另一個是自動化決策的拒絕權。在GDPR中，針對單獨自動化決策，數(shù)據(jù)主體適用拒絕權存在例外情形，即單獨自動化決策是達成和履行合同的必要條件；或者法律另有規(guī)定；或者數(shù)據(jù)主體明示同意該決定。滿足三種豁免事由之一，數(shù)據(jù)主體就不能行使拒絕權，當然數(shù)據(jù)控制者仍然應當采取適當?shù)拇胧┍Ｗo數(shù)據(jù)主體的合法權益。同時，即便在例外情形下，對種族、民族、政治觀點、宗教、基因、健康、性取向等敏感信息的自動化決策依然受到嚴格限制。但根據(jù)《個人信息保護法》第24條，拒絕權的行使并無例外情形的限制。只要權利人主觀上認為單獨自動化決策會對個人權益造成重大影響，就能行使拒絕權。但在單獨自動化決策是履行合同所必需或個人曾明示表達過同意的情況下，不恰當?shù)匦惺咕芙^權將極大地增加交易成本，阻礙技術創(chuàng)新和行業(yè)發(fā)展。而《個人信息保護法》對例外情形未留余地，在實踐中可能會難以執(zhí)行，建議遵從國際慣例，補充規(guī)定拒絕權的豁免事由。

與自動化決策相關的，還有《個人信息保護法》第47條規(guī)定的個人信息刪除權，因為刪除權的行使會對自動化決策產(chǎn)生復雜的連鎖影響。當某人知悉自己的個人信息已被納入機器學習算法模型之中，如果他撤回同意，那么個人信息處理者只能刪除該數(shù)據(jù)，或者停止除存儲和采取必要的安全保護措施之外的處理。這有可能意味著既有的自動化決策模型將不得不被棄用。這一規(guī)定倘若真的落到實處，對大數(shù)據(jù)開發(fā)、使用會產(chǎn)生釜底抽薪的效果，也讓平等化蒙上了矯枉過正的色彩。筆者認為，不宜將“撤回同意”作為信息處理者必須刪除個人信息的事由，除非是應個人的請求，否則就混淆了“撤回同意”與“行使刪除權”這兩個法律行為。此外，應當根據(jù)個人信息處理的不同階段限制刪除權的溯及效果，允許經(jīng)過匿名化處理的個人信息保留在自動化決策模型中，也允許個人信息處理者提出非商業(yè)性的抗辯理由或豁免事由?！?6〕《中華人民共和國民法典》第1036條規(guī)定，“維護公共利益”可以作為信息處理者“合理實施的其他行為”。

五、余論

個人信息保護領域的規(guī)范設置和權益保護是一項前沿性的交叉法學課題，需要結合憲法、民法、網(wǎng)絡安全法、數(shù)據(jù)安全法和電子商務法等領域的規(guī)范和法理展開，也需要在公民個人和信息處理者、權利與效率、法律與科技創(chuàng)新之間促成一種制度性均勢或平衡。因為從歷史和社會的視角看，法治與共享共治互為因果：沒有哪個利益群體強大到足以支配其他群體，作為正式制度的法律，代言的是多數(shù)群體而非某一群體的利益；一旦實現(xiàn)了制度性均勢，公權力機關、社會機構和公民個人的行為就會變得可預測、可理解和穩(wěn)定，并且是受到約束或遵循規(guī)則的?！?7〕Cf. José María Maravall & Adam Przeworski, Democracy and the Rule of Law, Cambridge University Press, 2003, pp.3-9.因此，助推均勢、代言信息公平的平等原則，既是可持續(xù)法律制度的一條基本原則，也是良法善治的基礎。在個人信息保護的立法進程中，立法者應當著眼于不同主體在信息資源、信息能力方面的不平等事實，在數(shù)字弱勢群體、普通公民和信息處理者之間設置一套實質平等化且可操作的權利義務分配方案，既強化對個人信息主體的法律賦權，又嚴格化個人信息處理者的法律義務。否則難以維護信息時代的公民基本自由權，也不可能從根本上抑制個人信息收集、使用規(guī)則不透明以及個人信息被過度收集、使用等現(xiàn)象。

當然，平等并未涵蓋、也不可能解決個人信息保護領域的所有問題，而且平等自身在具體事案中的標準或要求，還要結合問題和語境才能得以展開或明確化。就個人信息保護立法中的熱點議題——自動化決策或算法規(guī)制而言，防控歧視效應當然屬于平等所關切的問題，但最大的問題卻可能是數(shù)據(jù)驅動型決策之際的法律程序缺位或程序性權利喪失，以及由此導致的信息不對稱和權力不對稱，至于歧視效應實際可以歸為這一狀況的副產(chǎn)品?！?8〕行政法學界很早就探討了自動化決策系統(tǒng)的負面影響，因為這類決策不透明并能讓自身免受審查，公民個體不了解其間的運作過程也無從反抗。這導致透明化、準確性以及行為規(guī)則制定等公共責任的缺失，也破壞了20世紀行政法核心領域的幾個關鍵假設，尤其是正當程序理論和公民權利的程序性保障。Cf. Danielle Keats Citron, “Technological Due Process”, 85 Washington University Law Review, 2008, pp.1254-1255.因為在人工或非自動化決策的場景中，法律程序缺位或程序性權利喪失，同樣會導致信息不對稱和權力不對稱，并產(chǎn)生歧視性或不平等的決策結果。隨之而來的一個關鍵性問題是，較之人工或非自動化決策，已有大規(guī)模應用的自動化決策或算法在公平性尺度上的統(tǒng)計平均值或中位數(shù)，是更低還是更高？算法歧視效應的根源，是技術不成熟、規(guī)制不到位還是另有原因？自動化決策的反對者認為，自動化決策系統(tǒng)提高了效率卻導致不平等，營造了一所“鎖定窮人、管制窮人甚至懲罰窮人”的“數(shù)字濟貧院”。這種觀點是缺乏大樣本統(tǒng)計數(shù)據(jù)支撐的，而且只要簡單回顧一下人類歷史，就能發(fā)現(xiàn)在每一個階段、每一種社會以及每一個國家中，窮人或其他任何弱勢群體遭受更多不平等或不公正的對待，乃是一種普遍現(xiàn)象。“窮人”或“弱勢群體”這個種屬概念，本身經(jīng)常和遭遇不公乃至苦難聯(lián)系在一起的，所以他們遭受歧視的現(xiàn)象和自動化決策之間實際并不存在因果關系，有時連相關性都不存在。

由此可以推論，盡管制度設計和算法規(guī)制水平很重要，但個人信息保護立法中實質平等化措施的生根落地和實現(xiàn)算法公正，在根本上取決于法律制度和自動化決策的運行環(huán)境平等與否——特定國家的社會平等狀況究竟如何。瑞典學者大衛(wèi)·薩普特運用臉書廣告的一項算法推送實驗，也證明了這一點。該實驗預設每千名男性中對程序員職位感興趣的人數(shù)是每千名女性中感興趣人數(shù)的兩倍，并借助臉書推送招聘廣告。在編輯招聘廣告時，實驗者未注明性別要求，但勾選了若干和程序員有較強關聯(lián)的算法選項——角色扮演游戲、科幻電影和漫畫。廣告推送后，數(shù)據(jù)統(tǒng)計顯示，對收到這份廣告的樣本人群而言，算法不存在性別歧視。但收到這份廣告的男性數(shù)量是女性的四倍，因此在直觀上結果有失平等。第二次實驗者隨機勾選了更多的算法選項，結果是男女兩性收到廣告且對職位感興趣的數(shù)量比和每千人中實際感興趣的數(shù)量比相一致，而且與男女兩性對職位感興趣卻沒收到廣告的數(shù)量比也一致，因此修改后的算法顯得更為平等。但是收到廣告的女性中只有三分之一的人對職位感興趣，而收到廣告的男性中有一半的人感興趣，那么這是否意味著對男性存在歧視？該實驗說明，不平等現(xiàn)象就如打地鼠游戲：將地鼠從一個地方敲下去，它就會從另一地方又冒出來；在群體之間進行校準和得到相同的招聘誤報率及漏報率，對算法來說是不可兼得的?！?9〕參見 ［瑞典］大衛(wèi)·薩普特：《被算法操控的生活》，易文波譯，湖南科學技術出版社2000年版，第59頁。本實驗具體數(shù)據(jù)參見該書第57-58頁。實際上，只有當學習、掌握計算機編程的男性和女性一樣多時，才有可能設計出完全沒有偏見的算法招聘廣告，而這恰恰取決于特定社會中性別平等的實現(xiàn)狀況。