石佳友 曾 佳
自1969年美國通過《國家環(huán)境政策法案》以來①,影響評估作為一種工具被普遍運用于多個領(lǐng)域,包括環(huán)境、量刑、人權(quán)、警務(wù)技術(shù)、監(jiān)控,以及隱私保護、數(shù)據(jù)保護和算法決策等。②影響評估設(shè)計目標在于讓項目開發(fā)人員在各種決策實施之前,使用他們的專業(yè)知識來評估項目在未來可能產(chǎn)生的影響,以達到消除或減輕任何預(yù)期的有害影響而不是事后糾正的目的。[1]
2021年11月1日生效實施的《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)是我國第一部在個人信息保護領(lǐng)域的綜合性立法,其第55條明確提出了個人信息處理者在開展個人信息處理活動前應(yīng)進行個人信息保護影響評估。據(jù)此,個人信息處理者如何開展個人信息保護影響評估,成為個人信息保護的又一要點。
《個人信息保護法》第55條規(guī)定的個人信息保護影響評估制度被認為借鑒自歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation,GDPR)第35條規(guī)定的數(shù)據(jù)保護影響評估制度(Data Protection Impact Assessment,DPIA),與此相類似,國際上較為普遍運用的還有隱私影響評估(Privacy Impact Assessment,PIA)③和算法影響評估(Algorithmic Impact Assessment,AIA)④。有觀點認為,數(shù)據(jù)保護影響評估由隱私影響評估演化而來,是為適應(yīng)大數(shù)據(jù)、人工智能等新興技術(shù)的發(fā)展而對評估主體、評估對象等方面進行擴展和調(diào)整的結(jié)果。而數(shù)據(jù)保護影響評估與算法影響評估雖然有制度范圍、廣度的差別,但在大多數(shù)語境下指向內(nèi)涵相同。[2]另一種觀點認為,數(shù)據(jù)保護影響評估與算法影響評估的制度設(shè)計存在諸多不同之處,構(gòu)成相輔相成、互為補充的關(guān)系。[3]還有文獻對此未加以區(qū)分,默認將這些被冠以不同名稱的影響評估作為相同的制度。[4]
由此可見,當前數(shù)據(jù)處理領(lǐng)域被普遍運用的幾種影響評估制度定位較為模糊。本文擬在對比隱私影響評估、數(shù)據(jù)保護影響評估、算法影響評估各自制度目的、規(guī)范功能、核心機理的基礎(chǔ)上,明確《個人信息保護法》第55條個人信息保護影響評估的制度定位,挖掘提煉我國個人信息保護影響評估制度的薄弱點,并探尋更具效率和效能的實現(xiàn)方案,促進其功能的有效發(fā)揮。
隱私保護一直是人們關(guān)注的主要話題,人工智能、大數(shù)據(jù)等新興技術(shù)的發(fā)展極大地增強了入侵隱私的能力,使得隱私獲取性更高、隱私侵犯方式隱蔽性更強。[5]因此查明造成隱私受侵害因素方法的需求更加迫切。一旦項目或者行為開始實施,再識別隱私風險將會花費更高的成本且非常困難。對于風險的識別應(yīng)在項目的設(shè)計和實施之前進行,或至少在設(shè)計和實施的同時進行,這類活動通常被稱為“隱私影響評估”。隱私影響評估肇始于20世紀70年代,于20世紀90年代在世界各地興起,隨后被應(yīng)用于政府服務(wù)領(lǐng)域,如1996年美國國稅局發(fā)布隱私影響評估報告⑤,1999年安大略省管理委員會秘書處發(fā)布隱私影響評估指南,要求省政府部門在新信息技術(shù)和互聯(lián)網(wǎng)技術(shù)項目的提案中應(yīng)用隱私影響評估。隨后,新西蘭、澳大利亞、英國、美國、歐盟等多個國家和地區(qū)相繼建立起針對信息技術(shù)項目、電子信息系統(tǒng)的隱私影響評估制度。[6]
一般認為隱私影響評估是“評估提案對隱私影響的系統(tǒng)過程”⑥。隱私影響評估作為風險管理工具,旨在使組織在系統(tǒng)開發(fā)及運用的整個生命周期中,徹底地分析特定項目或系統(tǒng)將如何影響相關(guān)個人的隱私,幫助組織妥善識別和考慮處理行為可能帶來的隱私風險,并確定最有效的解決方法。⑦一個有效的隱私影響評估使得組織在早期階段識別和解決潛在的問題,減少相關(guān)成本和可能發(fā)生的聲譽損害。不同于其他風險管理策略,隱私影響評估具有如下關(guān)鍵特征:隱私影響評估是依托于單個項目,而非針對一個組織進行的評估(即隱私影響評估不同于組織隱私策略);隱私影響評估是在項目規(guī)劃之前或與之并行進行,本質(zhì)上具有預(yù)期性、前瞻性,而不是回溯性(即隱私影響評估不同于隱私審核);隱私影響評估對象廣泛,包括個人行為隱私、通信隱私以及信息隱私等(即隱私影響評估不同于一個純粹的數(shù)據(jù)隱私影響評估);隱私影響評估考量因素廣泛,不僅考慮主辦機構(gòu)以及主辦機構(gòu)的戰(zhàn)略合作伙伴的利益,還考慮受影響的群體的利益(即隱私影響評估不同于內(nèi)部成本/效益分析或內(nèi)部風險評估);隱私影響評估面向解決方案,不僅是隱私問題分析,而且著重于消除或降低風險。[7]
長期以來,隱私負面影響的暴露所帶來的壓力累積,迫使組織和立法機構(gòu)采取行動。對于公眾來說,隱私影響評估作為一個在政治上代表處于弱勢的“公眾利益”的技術(shù),無法與企業(yè)和政府主導(dǎo)的潮流相抗衡。只有提高公眾對侵犯隱私的信息技術(shù)爆炸式增長以及企業(yè)和政府機構(gòu)通過數(shù)據(jù)、算法聚集的巨大權(quán)力的認識,才能促進風險管理工具的運用。面對在技術(shù)和系統(tǒng)上的大量投資無法獲得回報的風險,信息處理者不得不反思如何更好地維護自己的利益。由此隱私影響評估被用作風險管理工具,以識別可以避免或減輕的項目中侵犯隱私的風險。
《通用數(shù)據(jù)保護條例》第35條要求私營和公共部門在進行數(shù)據(jù)處理前都必須遵守進行數(shù)據(jù)保護影響評估的要求。對于違反第35條的行為,《通用數(shù)據(jù)保護條例》第83(4)條規(guī)定了高額的行政罰款,以督促數(shù)據(jù)處理者對數(shù)據(jù)保護影響評估義務(wù)的遵守。2017年4月4日,第29條數(shù)據(jù)保護工作組——現(xiàn)為歐洲數(shù)據(jù)保護委員會——通過《數(shù)據(jù)保護影響評估指南》(以下簡稱《指南》),闡明了對保證第35條有效實施至關(guān)重要的若干要素,印證了數(shù)據(jù)保護影響評估是《通用數(shù)據(jù)保護條例》實施過程中的熱點問題之一。
《通用數(shù)據(jù)保護條例》第35條要求數(shù)據(jù)控制者在考慮數(shù)據(jù)處理性質(zhì)、范圍、情境、目的之后,如認為數(shù)據(jù)處理,特別是采用新技術(shù)的處理,很可能會對自然人的權(quán)利與自由帶來高風險時,應(yīng)在處理前開展數(shù)據(jù)保護影響評估,督促數(shù)據(jù)控制者主動考慮風險并提出降低風險的方案。該條第3款還提出了三項應(yīng)當進行數(shù)據(jù)保護影響評估的具體情形,包括自動化數(shù)據(jù)處理決策對自然人產(chǎn)生法律影響或類似重大影響;對特定類別的數(shù)據(jù)進行大規(guī)模處理,或處理與刑事犯罪和刑事起訴相關(guān)的個人數(shù)據(jù);對公開區(qū)域進行大規(guī)模、系統(tǒng)性監(jiān)控。
第35條與《通用數(shù)據(jù)保護條例》第24、25、36條形成體系上的照應(yīng)。第24條提出了應(yīng)對數(shù)據(jù)處理風險的一般性規(guī)定,要求數(shù)據(jù)控制者考慮到個人數(shù)據(jù)處理的性質(zhì)、范圍、情境、目的,以及對自然人權(quán)利和自由的不同程度和大小的風險,采取合適的技術(shù)和組織方面的措施,以保證數(shù)據(jù)處理符合《通用數(shù)據(jù)保護條例》的規(guī)定,并且應(yīng)當及時評估和更新前述措施,確保措施與數(shù)據(jù)處理的風險合乎比例。第25條設(shè)計和默認數(shù)據(jù)保護的規(guī)則確立了在制定數(shù)據(jù)處理的計劃和實際處理數(shù)據(jù)期間采取某些行動的必要性,解釋了為何須在處理個人資料之前進行數(shù)據(jù)保護影響評估。數(shù)據(jù)保護影響評估將確保個人數(shù)據(jù)被處理時,自然人的權(quán)利和自由被納入考量,通過技術(shù)、程序等方面的設(shè)計消除或減輕風險。此外,第36條明確,如數(shù)據(jù)保護影響評估表明,數(shù)據(jù)控制者不采取額外措施,數(shù)據(jù)處理將引發(fā)較高風險的,數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理開始前,征求數(shù)據(jù)保護監(jiān)管機構(gòu)的意見?!锻ㄓ脭?shù)據(jù)保護條例》生效后作出的處罰第一案中,學(xué)校采用人臉識別技術(shù)作為學(xué)生考勤的工具,學(xué)校事先未就數(shù)據(jù)處理行為對數(shù)據(jù)主體的權(quán)利和自由產(chǎn)生的影響作出評估,也未提出相應(yīng)的風險應(yīng)對措施,因而被認定構(gòu)成對第35、36條中關(guān)于數(shù)據(jù)保護影響評估和事先征求意見規(guī)定的違反。⑧
根據(jù)《通用數(shù)據(jù)保護條例》的要求和《指南》的解釋,一個完整的數(shù)據(jù)保護影響評估過程大概包含如下步驟:首先是確定實施數(shù)據(jù)保護影響評估的必要性,數(shù)據(jù)處理操作超過“高風險”閾值是觸發(fā)數(shù)據(jù)保護影響評估的前提;其次數(shù)據(jù)控制者需要系統(tǒng)地描述數(shù)據(jù)處理的目的,識別哪些數(shù)據(jù)正在或?qū)⒃谖磥肀惶幚?,并為這種處理提供理由;接下來數(shù)據(jù)控制者還需進行與目的相關(guān)的處理操作的必要性和相稱性的評估,即評估數(shù)據(jù)處理是否依據(jù)《通用數(shù)據(jù)保護條例》“合法、公平和透明”“目的限制”“數(shù)據(jù)最小化” “存儲限制”等的規(guī)定。上述流程的鋪墊主要是為了識別數(shù)據(jù)處理可能對自然人權(quán)利和自由造成的每一種風險,評估風險的來源、性質(zhì)、特殊性和嚴重性,同時考慮處理的范圍、背景和目的以及風險的來源;接下來則是確定可以消除或減輕前一步中發(fā)現(xiàn)的風險的補救措施,將風險實現(xiàn)的概率最小化;在適當?shù)臅r候征求數(shù)據(jù)保護官、數(shù)據(jù)主體或其代表的意見;生成一份關(guān)于數(shù)據(jù)保護影響評估的報告,并監(jiān)控處理過程是否符合風險的變化。[8]
《指南》極為強調(diào)數(shù)據(jù)保護影響評估的靈活性和動態(tài)性,提供了數(shù)據(jù)保護影響評估步驟的最低要求,數(shù)據(jù)控制者可以自由選擇他們認為最合適的方法。具體體現(xiàn)為:第一,根據(jù)《通用數(shù)據(jù)保護條例》第35(1)條,對于實施數(shù)據(jù)保護影響評估的要求并非強制性的,僅適用于高風險數(shù)據(jù)處理活動?!吨改稀诽峁┝艘环莞唢L險數(shù)據(jù)處理活動清單,給出了關(guān)于“高風險”的一系列標準,如處理敏感數(shù)據(jù)、向域外轉(zhuǎn)移數(shù)據(jù)、超出數(shù)據(jù)主體合理預(yù)期的數(shù)據(jù)集的匹配和組合等。⑨一般認為,處理過程符合的標準越多,就越有可能對數(shù)據(jù)主體的權(quán)利和自由構(gòu)成高風險?!吨改稀访鞔_表示,這些標準只是提供一個參考,是否構(gòu)成高風險,仍然要考慮具體情境。⑩一份事無巨細的高風險清單最終可能成為一種僵化的行政負擔,這也是第29條數(shù)據(jù)保護工作組堅持要求數(shù)據(jù)控制者在評估處理計劃時證明并按照《通用數(shù)據(jù)保護條例》第30條記錄其選擇的必要性和科學(xué)性的原因。[9]第二,考慮到技術(shù)發(fā)展速度非常迅猛,即使在某一特定時刻沒有實施數(shù)據(jù)保護影響評估,但這可能在一段時間后發(fā)生變化。如果實施了數(shù)據(jù)保護影響評估,數(shù)據(jù)控制者將更好地了解其業(yè)務(wù)模式是否符合歐盟數(shù)據(jù)保護立法,并可以根據(jù)這些信息規(guī)劃未來的發(fā)展。執(zhí)行數(shù)據(jù)保護影響評估的決定應(yīng)該始終根據(jù)具體情況作出,需要考慮當前數(shù)據(jù)處理的性質(zhì)、企業(yè)的財務(wù)狀況、未來的計劃和發(fā)展方向等多種因素。第三,是否尋求數(shù)據(jù)保護官和數(shù)據(jù)主體或其代表的意見也非強制性,而是在“適當情況下”咨詢即可。關(guān)于誰將在適當或不適當?shù)那闆r下決定征求意見,什么樣的處理需要公眾參與,這些問題并未明確?!吨改稀穬H提供參與的可選形式(如調(diào)查問卷),以及要求記錄不咨詢和不遵循咨詢結(jié)果的任何決定并提供合理理由。這一流程在一定程度上遵循了透明原則,有助于建立數(shù)據(jù)主體、數(shù)據(jù)保護部門和公眾對數(shù)據(jù)控制者的信任。第四,《指南》提出了對數(shù)據(jù)保護影響評估更動態(tài)的要求,數(shù)據(jù)保護影響評估作為一個持續(xù)的過程,在項目的整個生命周期內(nèi)更新,至少每3年應(yīng)該重新評估或修訂一次。這個持續(xù)的過程包括評估風險、部署風險緩解措施、通過監(jiān)測記錄其有效性,并將這些信息反饋到風險評估中。
數(shù)據(jù)保護影響評估的名稱不同于隱私和數(shù)據(jù)保護領(lǐng)域已有的隱私影響評估,那么數(shù)據(jù)保護影響評估和隱私影響評估之間是否存在本質(zhì)區(qū)別。理論上對這一問題存在觀點分歧,一個原因可能是“隱私”和“數(shù)據(jù)”之間的區(qū)分。在相當長的時期內(nèi),個人信息歸屬于隱私權(quán)的框架,被視為是隱私權(quán)在信息時代所發(fā)展出的新維度。[10]直到《通用數(shù)據(jù)保護條例》以“個人信息保護權(quán)”的概念替代了隱私權(quán),把個人信息保護權(quán)作為一項獨立的基本權(quán)利及民事權(quán)利,與隱私權(quán)相區(qū)分。[11]從本質(zhì)上說,“隱私”保護的是個人的私生活安寧,而不僅是個人數(shù)據(jù)的處理;“數(shù)據(jù)保護”涵蓋了所有個人信息的處理,超出了“隱私”的范圍,權(quán)利內(nèi)容也比隱私權(quán)更廣泛。一些學(xué)者對隱私本身范圍的界定非常廣泛,確定了八種基本的隱私類型——身體隱私、智力隱私、空間隱私、決策隱私、通信隱私、關(guān)聯(lián)隱私、專有隱私和行為隱私,并將第九種隱私類型——信息隱私疊加在一起,與這八種基本類型重疊但不一致。[12]隱私影響評估重點關(guān)注涉及個人身份信息的隱私風險。數(shù)據(jù)保護影響評估可能涵蓋隱私之外的權(quán)利,但隱私是數(shù)據(jù)保護影響評估捍衛(wèi)的主要權(quán)利之一。由此,隱私影響評估和數(shù)據(jù)保護影響評估的保護范圍存在重疊或者說大致相同?!吨改稀诽貏e指出,隱私影響評估一詞通常用于其他背景,但與數(shù)據(jù)保護影響評估指的是同一個概念。此外,《指南》規(guī)定,如果計劃進行伴隨高風險的數(shù)據(jù)處理,數(shù)據(jù)控制者必須選擇附錄中給出的數(shù)據(jù)保護影響評估示例方法。而附錄給出的例子幾乎完全來自已有的隱私影響評估框架。
《通用數(shù)據(jù)保護條例》第35條規(guī)定的評估目標——“自然人的權(quán)利和自由”,連接了歐盟《基本權(quán)利憲章》等一般法律框架所賦予的權(quán)利,相當明確地闡明了《通用數(shù)據(jù)保護條例》要給予自然人的廣泛保護。因此,《通用數(shù)據(jù)保護條例》下的數(shù)據(jù)保護影響評估在本質(zhì)上提供全面的隱私和數(shù)據(jù)保護,也被稱為對隱私影響評估的改進,可將其作為隱私影響評估的升級版,因為其目的不僅是保護隱私權(quán),還包括其他基本權(quán)利。
近年來,人工智能自動化決策系統(tǒng)的使用呈指數(shù)級增長。政府機構(gòu)在許多領(lǐng)域越來越依賴算法,例如交通管理、移民篩選、社會服務(wù)分配等。私營企業(yè)也已經(jīng)將人工智能整合到招聘流程、貸款管理等業(yè)務(wù)中。許多曾經(jīng)由人類做出的決定現(xiàn)在正逐漸地交給人工智能系統(tǒng)。自動化決策系統(tǒng)的日益普遍加劇了人類的偏見、不公平和歧視。例如,美國法院用于評估被告再次犯罪可能性的案例管理和決策支持系統(tǒng)被報道高估了黑人再犯的可能性。?亞馬遜開發(fā)的基于人工智能的招聘系統(tǒng),偏愛使用那些男性工程師簡歷上更常見的詞匯來篩選求職者,這反映了男性在科技行業(yè)的主導(dǎo)地位以及對女性的偏見。?除了歧視性的招聘算法,算法損害還體現(xiàn)在不明原因的拒絕貸款,以及不安全的醫(yī)療診斷設(shè)備。它們代表了三種常見的算法傷害——歧視、程序不公和身體傷害。自動化決策系統(tǒng)可能會對個人的基本權(quán)利產(chǎn)生直接影響,如言論自由、隱私、平等和自治等。
人工智能系統(tǒng)將決策權(quán)力從民主程序轉(zhuǎn)移到程序員身上,日益塑造我們的生活環(huán)境,鑒于其帶來巨大的潛在危害,確保某種形式的算法監(jiān)督至關(guān)重要。法律學(xué)者、政策制定者積極尋求可能的監(jiān)管回應(yīng),包括反歧視法、行政法和侵權(quán)法中已有的補救措施等。其他領(lǐng)域的學(xué)者也在努力尋求建立更公平、更易理解和可審查的算法體系,并倡導(dǎo)公眾參與算法治理。但由于算法的動態(tài)性,以及缺乏透明度、可預(yù)見性和可解釋性,導(dǎo)致了監(jiān)督的困難。正是在這一背景下,近年來得到青睞的一種監(jiān)管方法是要求使用自動化決策的主體進行算法影響評估。算法影響評估要求在算法設(shè)計、部署與運行期間,算法治理的相關(guān)利益主體如政府、平臺、社會公眾與第三方力量,對算法可能造成的風險及其對社會的影響進行充分的評估。其主要有兩個目標:一是引導(dǎo)構(gòu)建系統(tǒng)的主體在復(fù)雜項目實施之前盡早地考慮實施細節(jié)和潛在影響,從而在風險無法糾正之前采取行動。在項目開發(fā)中越早考慮社會價值,最終結(jié)果就越有可能反映這些社會價值。二是建立和保存在項目實施期間作出的決定及其理由的文件,這有利于對這些決定更好地問責,并為未來的政策制定提供有用的信息,也讓公眾了解建立算法模型的機構(gòu)是如何做出決策的。
將強制性影響評估作為一種工具,以促進對人工智能和其他自動決策系統(tǒng)的監(jiān)督,是最新的立法趨勢。2016年,《負責任算法的原則和算法的社會影響聲明》報告列出了五項指導(dǎo)性的原則——責任、可解釋性、準確性、可審計性和公平性,并描述了算法影響評估的大概形態(tài),將推動影響評估作為“負責任的人工智能”或“人工智能道德”的一部分。[13]為了加強對人工智能系統(tǒng)的監(jiān)督和問責,美國參議院和眾議院于2019年向國會提交了《算法問責法案》。用提案人之一參議員懷登的話來說,該法案背后的意圖是要求公司定期評估其工具的準確性、公平性、是否包含偏見和歧視?!端惴▎栘煼ò浮芬笏袑嶓w對其高風險自動決策系統(tǒng)進行影響評估,以評估系統(tǒng)的設(shè)計過程和培訓(xùn)數(shù)據(jù)對“準確性、公平、偏見、歧視、隱私和安全”的影響,并將報告提交給聯(lián)邦貿(mào)易委員會。該法案還規(guī)定,在合理的情況下,應(yīng)與外部第三方,包括獨立審計員和獨立技術(shù)專家合作進行影響評估。記錄通過影響評估發(fā)現(xiàn)的任何偏見或威脅。企業(yè)被要求以“及時的方式”“合理地處理”任何確定的問題。?算法影響評估作為一個循環(huán)和多層次的過程而非靜態(tài)陳述[14],不僅解釋算法背后的邏輯和推理,更要證明決定是正確、合法和公正的。
有學(xué)者認為應(yīng)將《通用數(shù)據(jù)保護條例》第35條“每當數(shù)據(jù)處理可能對自然人的權(quán)利和自由造成高風險時都要執(zhí)行數(shù)據(jù)保護影響評估”的要求在適用時理解為包含算法影響評估。一些歐盟成員國政府也將《通用數(shù)據(jù)保護條例》理解為另一個算法影響評估版本。英國信息專員辦公室發(fā)布的人工智能審計框架草案表示,《通用數(shù)據(jù)保護條例》的“問責原則”要求所有的自動化處理都要進行算法影響評估。?算法影響評估可以說是進入自動化決策時代后,在算法遁入社會生活背景下對數(shù)據(jù)保護影響評估的發(fā)展,而數(shù)據(jù)保護影響評估與算法影響評估在價值取向與底層邏輯方面仍存在區(qū)別,具體而言:數(shù)據(jù)保護影響評估更加關(guān)注對個人權(quán)利的保護。數(shù)據(jù)保護影響評估作為一種風險管理形式,目標在于對個人“權(quán)利和自由的風險”的評估,是建立適當措施以保障個人權(quán)利的一個重要方面。數(shù)據(jù)保護影響評估要求數(shù)據(jù)處理者導(dǎo)入《通用數(shù)據(jù)保護條例》中規(guī)定的各種個人權(quán)利,采取適當措施保護個人權(quán)利,個人有權(quán)了解數(shù)據(jù)處理的“重要性和預(yù)期后果”,質(zhì)疑決策和表達觀點。數(shù)據(jù)保護影響評估將這些個人權(quán)利作為風險管理戰(zhàn)略的一部分來實施,旨在實現(xiàn)個人正當程序權(quán)利。算法影響評估更多聚焦于社會公共利益,要求數(shù)據(jù)處理者考慮不公平、錯誤、偏見和歧視的風險,并提出減輕這些風險的具體方法。算法影響評估要求對算法如何影響特定類別的個人或特定地點的群體層面進行分析,除了考慮個人權(quán)利保護之外,還關(guān)注道德和社會影響,識別和減輕超出個人影響的社會危害,不僅致力于根除對特定個人的歧視,還注重緩解對邊緣化群體的歧視。在透明度上,數(shù)據(jù)保護影響評估的官方指南僅建議公開而不強制公開,且在公開范圍上也限于摘要,而算法影響評估強制披露所有的評估內(nèi)容。數(shù)據(jù)保護影響評估傾向于關(guān)注數(shù)據(jù)質(zhì)量和數(shù)據(jù)安全,忽略了更廣泛的社會和法律影響。算法影響評估明確地將重點放在公共空間背景下的集體監(jiān)控上,將填補《通用數(shù)據(jù)保護條例》當前評估機制的空白。因此,算法影響評估程序超越了對隱私或個人數(shù)據(jù)保護的考慮,而轉(zhuǎn)向更廣泛的社會公共利益,可能會解決一些學(xué)者對數(shù)據(jù)保護影響評估側(cè)重于個人權(quán)利而排斥群體的擔憂。
《個人信息保護法》第55條規(guī)定的個人信息保護影響評估制度,系基于風險預(yù)防理念,事先評估個人信息處理活動是否合法、正當、必要,識別其可能對個人權(quán)益產(chǎn)生的重大影響并進行早期干預(yù),動態(tài)應(yīng)對風險變化,有針對性地及時采取措施最小化風險的過程。根據(jù)第55條,應(yīng)當進行個人信息保護影響評估的法定情形,包括處理敏感個人信息,進行自動化決策,委托處理、對外提供、公開個人信息以及向境外提供個人信息,最后以“其他對個人權(quán)益有重大影響的個人信息處理活動”進行兜底。隨著相關(guān)產(chǎn)業(yè)的迅猛發(fā)展,兜底條款可以基于新的產(chǎn)業(yè)發(fā)展實踐狀況,為應(yīng)當進行個人信息保護影響評估的新情形預(yù)留空間。此外,在《信息安全技術(shù) 個人信息安全規(guī)范》《個人金融信息保護技術(shù)規(guī)范》《互聯(lián)網(wǎng)個人信息安全保護指南》等國家標準、文件中也列舉了推薦個人信息處理者進行個人信息保護影響評估的具體情形,如“基于不同業(yè)務(wù)目的將所收集個人信息進行匯聚融合”“產(chǎn)品或服務(wù)發(fā)布前,或業(yè)務(wù)功能發(fā)生重大變化”“法律法規(guī)有新的要求時,或在業(yè)務(wù)模式、信息系統(tǒng)、運行環(huán)境發(fā)生重大變更”“發(fā)生個人信息安全事件后”等,這也為準確理解“其他對個人權(quán)益有重大影響的個人信息處理活動”提供了指引和參照。
《個人信息保護法》第56條規(guī)定了個人信息保護影響評估的內(nèi)容和保存記錄要求。根據(jù)第56條規(guī)定的個人信息保護影響評估應(yīng)當包括的內(nèi)容來看,主要是為了保證個人信息的處理目的、處理方式等符合合法、正當、必要的原則,其指向的是對個人權(quán)益有重大影響及安全風險的個人信息處理活動。根據(jù)《信息安全技術(shù) 個人信息安全影響評估指南》第5.5.1段,對個人權(quán)益的影響可能包括限制個人自主決定權(quán)、引發(fā)差別性待遇、個人名譽受損或遭受精神壓力、人身財產(chǎn)受損等方面。在具體開展個人信息保護影響評估時,個人信息處理者需要結(jié)合個人信息處理活動全生命周期對個人權(quán)益可能造成的影響綜合分析,評估針對個人信息處理活動所采取的安全保護措施是否有效并與風險相適應(yīng)??梢园l(fā)現(xiàn)我國個人信息保護影響評估在評估對象、手段、目標等方面與數(shù)據(jù)保護影響評估一脈相承,主要關(guān)注的是個人權(quán)益。
算法是發(fā)揮沉默的數(shù)據(jù)價值的關(guān)鍵,自動化決策不斷影響人們的互動方式,人類已經(jīng)步入“算法社會”。[15]在當前背景下,我國目前的個人信息保護影響評估在一定程度上忽視了算法評估制度更加關(guān)注社會公共利益的價值意蘊。目前個人信息保護影響評估在評估范圍方面太有限,主要涉及對個人信息權(quán)益的影響。隨著新興通信技術(shù)的發(fā)展,可能不僅會帶來個人權(quán)益保護方面的挑戰(zhàn),還會引發(fā)道德問題,如人的尊嚴、自由、民主、人權(quán)保護、多元主義、不歧視、正義、團結(jié)和性別平等等。影響的范圍應(yīng)該擴展到其他權(quán)利和價值。應(yīng)充分發(fā)揮個人信息保護影響評估方法論的功能,個人信息處理者在《個人信息保護法》第55條規(guī)定的法定情形外,也可以運用個人信息保護影響評估的基本原理和方法,對具體場景中個人信息處理活動可能對歧視、偏見、安全等關(guān)涉社會群體的因素進行分析,并在此基礎(chǔ)上采取相應(yīng)的風險應(yīng)對措施,不斷提升算法治理水平。個人信息處理者可以參考《信息安全技術(shù) 個人信息安全影響評估指南》,除了個人權(quán)益,還可從引發(fā)差別性待遇維度考慮個人信息處理活動對社會群體造成的影響,比如泄露隱私信息造成的歧視,對應(yīng)聘者、獲取服務(wù)者的歧視性篩選,個人福利、資格、權(quán)利方面的差別對待等。
影響評估是風險管理的重要手段,風險管理也是影響評估的關(guān)鍵部分。個人信息處理風險可能來自組織內(nèi)部的漏洞或項目本身的設(shè)計和實施,也可能來自外部威脅。個人信息保護影響評估在避免或管理風險方面具有優(yōu)勢,是整體風險管理策略的重要組成部分。要想使影響評估有效,應(yīng)在個人信息處理者作出關(guān)于如何滿足目標的關(guān)鍵選擇時及早介入,在能夠真正影響信息處理發(fā)展的階段進行?!秱€人信息保護法》第55條要求個人信息處理者應(yīng)當事前進行個人信息保護影響評估。影響評估的啟動較為關(guān)鍵,如果在不符合評估理由的情況下進行,有限的資源會被不必要地使用。如果不能將評估集中在關(guān)鍵問題上,就有可能導(dǎo)致無法實現(xiàn)其功能。雖然第55條列舉了應(yīng)當進行影響評估的情形,在實際抉擇時需要衡量個人信息保護需求的實際情況,了解當前風險狀態(tài),查看新項目是否符合信息保護要求。
影響評估的規(guī)模和范圍取決于處理信息的重要性,收集、使用或披露個人信息的程度,影響評估預(yù)算,執(zhí)行影響評估所需的時間等因素。信息規(guī)模越廣泛,影響評估就應(yīng)該越全面。相反,如果一項處理的影響范圍相對有限,可能只需要一個簡略的個人信息保護影響評估。影響評估是一項資源密集型的工作,個人信息處理者應(yīng)該考慮影響評估的目標、規(guī)模和范圍,以與所識別的風險相稱的方式進行。如果風險不顯著,那么影響評估的規(guī)模和范圍可能是有限的。如果風險很大,那么影響評估應(yīng)該更詳細。隨著處理進程的發(fā)展、問題更加明朗,評估規(guī)模和范圍可以隨時進行更新和補充。
域外大多數(shù)指導(dǎo)文件給予處理者相當大的自由裁量權(quán),以決定是否需要進行影響評估和影響評估的規(guī)模與范圍。影響評估是靈活和動態(tài)的,也就是說,沒有一種方法適合所有的情況。英國信息專員辦公室表示:“由于組織的規(guī)模差異很大,它們的活動侵犯權(quán)益的程度以及處理問題的經(jīng)驗不同,使得很難寫出一份‘一刀切’的指南?!?影響評估的深度和內(nèi)容應(yīng)與所收集信息的性質(zhì)以及系統(tǒng)的復(fù)雜性相適應(yīng)。英國的影響評估手冊提供了“小規(guī)?!庇绊懺u估(small-scale assessment)和“全面”影響評估(full-scale assessment)兩種模板,加拿大影響評估政策將“初步”評估(preliminary assessment)和“全面”評估(comprehensive assessment)區(qū)分開來。這值得我國個人信息影響評估制度借鑒,即基于影響廣度、深度確定評估框架體系,推動評估的場景化和精準化。
信息主體在信息處理過程中可能面臨的風險包括被收集的信息超出目標所需、缺乏透明度、缺乏刪除機制、秘密收集信息、知情不充分、信息被不當分享、信息儲存超過必要時間等。信息的使用或披露環(huán)境可能會隨著時間的推移而變化,導(dǎo)致信息在人們不知情的情況下被用于不同的目的。在進行個人信息處理之前,處理者需要進行信息保護分析,考慮所收集信息的數(shù)量和類型,確定存在哪些風險,以及如何降低這些風險。描述設(shè)計選擇的過程、處理的目的,以及在設(shè)計過程中如何嵌入信息保護要求。描述可能用于保護個人信息的各種措施,例如是否加密某些信息?是否實施了訪問控制?是否尋找信息收集范圍更小的途徑?說明為何收集和存儲特定個人信息是必要的,僅說明一般用途并不足夠,需要進行具體詳細的解釋。例如僅聲明收集姓名、出生日期和生物特征等是為了核實個人身份是不夠的,還需解釋必須通過收集這些信息才能達到核實身份的目的。信息處理者需要確保處理行為符合法律、行政法規(guī)及其他政策文件的規(guī)定;目的合法、正當、必要;處理行為不侵犯人權(quán);采用適當?shù)?、最少干擾的手段。信息收集最小化、目的合法正當、流程透明是影響評估需要確保的關(guān)鍵目標。信息處理建立在明確的同意基礎(chǔ)上,尊重信息主體的知情權(quán),確保信息主體及時被告知有關(guān)收集其信息的事宜;保證信息主體查閱、更正及刪除的權(quán)利;確保信息在信息主體提出異議時不再被處理;確保處理的機密性和安全性,防止未經(jīng)授權(quán)的訪問及意外丟失;信息的保留時間應(yīng)與保留的目的或其他法律要求相一致。
影響評估流程的一個關(guān)鍵部分是決定采取哪些解決方案。識別風險后,處理者應(yīng)該確定可以采取什么行動來應(yīng)對風險。影響評估的目的不是完全消除對個人信息權(quán)益的影響,而是在實施有益的信息處理活動的同時將影響降低到可接受的水平。解決方案的確定需要考慮對信息權(quán)益的影響是否與項目的目標相稱,平衡信息處理需求與對個人的影響。消除、降低風險的可能方案包括:決定不收集或存儲特定類型的信息;嚴格控制信息的儲存期并保證信息的安全銷毀;實施適當?shù)募夹g(shù)安全措施;匿名化、脫敏化信息;確保員工經(jīng)過適當培訓(xùn),并有能力意識到潛在的風險,為員工提供關(guān)于如何使用處理系統(tǒng)以及如何在適當情況下共享信息的指導(dǎo);采取措施確保個人充分了解其信息的使用方式,并為個人提供便捷的尋求幫助途徑;制定信息共享協(xié)議,明確將共享哪些信息、如何共享以及與誰共享等。
《個人信息保護法》第56條第2款規(guī)定個人信息處理者應(yīng)當形成個人信息保護影響評估報告,這是個人信息處理者進行個人信息保護影響評估后形成的過程性和結(jié)論性文檔。評估報告應(yīng)當包括評估對象、評估依據(jù)、評估人員、評估方法等評估基本事項,實施個人信息保護影響評估的過程性記錄,以及安全風險分析結(jié)果、風險處置措施、風險處置效果等。記錄影響評估的詳細信息是必要的,包括處理風險和解決方案,可以用來向利益相關(guān)者保證信息處理已經(jīng)過全面評估,在關(guān)鍵時刻向決策者提供信息。影響評估報告具有充當處理者記憶的價值,可以成為解釋處理細節(jié)的重要資源。影響評估報告應(yīng)包括對信息處理計劃的概述,解釋為何開展信息處理,以及該處理行為將如何影響信息安全;記錄信息處理及其后端基礎(chǔ)設(shè)施的全面詳細信息。報告應(yīng)描述如何識別風險,以及解釋針對風險已采取或?qū)⒉扇〉拇胧┖捅澈蟮脑颍⒋_定誰負責批準和實施解決方案。影響評估記錄應(yīng)該隨著處理進展審核和更新,以反映處理者采取的舉措是否與處于不斷變化中的風險水平相稱,這應(yīng)在信息處理的整個過程中持續(xù),甚至擴展到處理過程之后,因為隨時可能會出現(xiàn)新問題。
總體來說,個人信息保護影響評估注重具有成本效益的解決方案,因為在設(shè)計階段將個人信息保護納入項目、政策、技術(shù)中,比在技術(shù)部署或政策頒布后嘗試進行成本更高的改造更具有成本效益和效率。影響評估為個人信息處理者創(chuàng)造了一個機會,以預(yù)測和解決新舉措的可能影響,提前識別風險,并確定解決措施,在功能設(shè)計中盡量減少對個人信息權(quán)益的影響或找到威脅更小的替代方案。
個人信息保護影響評估制度借鑒自數(shù)據(jù)保護影響評估,它們最大的缺點在于沒有向公眾強制披露的機制。面向公眾的信息披露能夠以市場反饋的形式(不去選擇個人信息保護水平不佳的處理者)和長期監(jiān)管反饋的形式(制定法律以防止不良行為)監(jiān)督個人信息處理。因此公開披露是影響評估的一個基本要素。由于未能強制要求公開披露,我國個人信息保護影響評估未能觸發(fā)這兩種機制,而這兩種機制是有效合作治理機制的重要組成部分。由此帶來較大的弊端:在如何保護個人權(quán)利,以及如何解決算法的不公平、偏見和歧視等相關(guān)問題不為公眾所知時,公共監(jiān)督缺位,難以確保個人信息保護影響評估風險預(yù)防工具朝著公共利益的方向發(fā)展。
影響評估包括評估系統(tǒng)開發(fā)過程的研究、設(shè)計和培訓(xùn)數(shù)據(jù),其主要優(yōu)點是積極促進關(guān)鍵領(lǐng)域的信息公開,提高數(shù)據(jù)處理和決策過程的透明度。在沒有影響評估的情況下,政府機構(gòu)或公眾獲取這些信息將更加困難。但我國《個人信息保護法》框架下進行的個人信息保護影響評估的透明度仍然有限,不能充分響應(yīng)基于個人信息處理系統(tǒng)的動態(tài)特性,以及沒有建立強制性的披露要求。隨著個人信息體量的暴增,數(shù)據(jù)處理越來越依賴于算法,可以說,算法已經(jīng)成為當前數(shù)據(jù)處理的最主要力量。[16]人工智能系統(tǒng)的主要特征之一是其復(fù)雜性和學(xué)習與進化的能力,機器學(xué)習使系統(tǒng)能夠不斷改進和調(diào)整。因此,主要依靠事前評估沒有充分考慮到基于人工智能系統(tǒng)的動態(tài)性質(zhì),不足以促進透明度?!秱€人信息保護法》并不要求受監(jiān)管實體公布其影響評估的結(jié)果,而透明度的缺乏剝奪了共享信息、公眾影響決策過程的機會。此外,自動決策的黑箱性質(zhì)可能會排除傳統(tǒng)的正當程序形式,如通知和聽證。如果信息主體不具有獲得信息、提出質(zhì)疑的權(quán)利,個人很難理解系統(tǒng)對其作出的決策,從而無法糾正錯誤信息,不能充分保障正當程序。
影響評估方案具有改善組織行為,促進信息共享,并激勵信息處理者預(yù)先考慮其處理行為對個人和公眾安全的益處,但其所能發(fā)揮的監(jiān)督功能仍不充分,帶來了監(jiān)督與問責的障礙,未能促進充分的問責制。特別是影響評估并不要求受監(jiān)管實體向公眾披露影響評估的所有內(nèi)容,也沒有提供其他方式讓公眾了解具體行為的發(fā)生,提供的透明度有限,不充分保障正當程序,個人沒有被通知或表達意見的權(quán)利。因此,影響評估工具未能促進充分的公眾監(jiān)督和提供糾正錯誤決定的適當機會。為提高監(jiān)管潛力,需要對現(xiàn)有的影響評估框架進行一些改進。要在個人信息保護影響評估中有效問責,僅依靠自我評估是不夠的,有必要讓影響評估接受多方主體的客觀監(jiān)督和審查。
為避免個人信息保護影響評估流于形式,需要保證公眾理解數(shù)據(jù)處理流程,能夠挑戰(zhàn)這些流程和糾正不當決策,這依賴于透明度、正當程序、公眾審查等要素。個人信息保護影響評估制度的有效落實,僅依靠個人信息處理者的自我評估尚不充足,需要對現(xiàn)有的影響評估框架加強監(jiān)督。
我國個人信息保護影響評估制度中協(xié)同治理架構(gòu)設(shè)計存在不足,并未強制性地要求公共機構(gòu)、社會或者數(shù)據(jù)安全領(lǐng)域的專家實施獨立監(jiān)督。這種制度設(shè)計雖然體現(xiàn)了對個人信息處理質(zhì)量和安全的重視,但對協(xié)同治理實踐的關(guān)注不夠,對社會和經(jīng)濟影響的評估亦有所欠缺。個人信息影響評估需要團隊合作,充分吸納各領(lǐng)域?qū)<业募寄?,并明確鼓勵外部利益相關(guān)者參與個人信息影響評估過程。與個人信息保護影響評估制度相比,算法影響評估制度不僅要求設(shè)計者、部署者和運行者對算法設(shè)計和相關(guān)數(shù)據(jù)展開系統(tǒng)評估,而且還要求在評估過程中納入外部問責和審計力量,全面踐行協(xié)同治理理念,相比較而言具有更為完善的治理架構(gòu)。個人信息保護影響評估是一個更大的監(jiān)管生態(tài)系統(tǒng)中的一部分,與監(jiān)管工具包中的其他工具相互作用,不能將其理解為獨立的機制。當它與其他監(jiān)管工具協(xié)調(diào)合作而非單獨部署時,才能發(fā)揮最佳功能。比如在實踐中,影響評估框架依賴于專業(yè)知識和信息。因此,技術(shù)公司在評估中不可避免會有一定的實際裁量權(quán);為提高監(jiān)管的效率,與企業(yè)的合作是必要的。個人信息保護影響評估治理策略應(yīng)摒棄單一治理模式,充分整合政府機構(gòu)、社會公眾、行業(yè)代表、外部專家等多元力量進行聯(lián)動治理。
個人信息保護影響評估旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個人信息處理過程中對個人合法權(quán)益造成不利影響的風險,是個人信息處理者履行個人信息保護法定義務(wù)及承擔社會責任的重要體現(xiàn),由此公開形成的個人信息保護影響評估報告具有多重功能。一是降低信息差距。公眾審查對有效的影響評估至關(guān)重要,在信息差距下,為了保持有意義的公眾監(jiān)督并支持正當程序的理念,個人信息處理的公共屬性要求處理者公布影響評估。雖然這種強制性的公布不會完全消除信息差距,但通過告知公眾數(shù)據(jù)處理的目標、決策做法、可能的風險,能夠盡量減少這種差距。二是幫助個人進行對比。對不公平和歧視的風險進行必要的影響評估分析,與個人申訴、表達觀點和干預(yù)的權(quán)利之間存在聯(lián)系。個人要想有效地行使對個人信息處理提出異議的權(quán)利,需要知道自己受到的待遇是否與其他處境相似的人相同。要使《個人信息保護法》規(guī)定的一系列個人權(quán)利有意義,個人不僅需要知道關(guān)于特定決策的信息,還需要知道算法對待群體的方式,以及偏向和歧視的傾向。三是為外部意見輸入提供通道。公布影響評估的某些方面可能會引導(dǎo)公眾辯論,獲得外部意見輸入,了解系統(tǒng)的開發(fā)、培訓(xùn)或監(jiān)控方式,鼓勵民間社會和公民組織采取行動。四是構(gòu)成個人信息處理者的自我承諾。一旦處理者公開了其影響評估,它就有義務(wù)按照影響評估的要求行事,根據(jù)影響評估中披露的細節(jié)對他們采取的行為負責,可以獲得公眾對信息處理合法性的認可。
有觀點以商業(yè)秘密為由反對強制公布。[17]《通用數(shù)據(jù)保護條例》提案的最初文本要求在影響評估過程中與數(shù)據(jù)主體進行協(xié)商。?這段文字后來被刪除,因為“主動尋求數(shù)據(jù)主體的意見對數(shù)據(jù)控制者來說是不成比例的負擔”?。因此,在《通用數(shù)據(jù)保護條例》的最終文本中,與數(shù)據(jù)主體或其代表進行磋商只需“在適當情況下”進行。即使需要公眾參與,也必須“不妨礙對商業(yè)或公共利益的保護或處理作業(yè)的安全”?。在數(shù)據(jù)保護影響評估中,雖然立法和相關(guān)指南推薦數(shù)據(jù)控制者對評估結(jié)果予以公布,但并不強求其公布評估文件和流程信息,可以僅公布核心概要。?根據(jù)《通用數(shù)據(jù)保護條例》框架,僅僅是對平臺商業(yè)利益保護的損害就可以提供一些不予披露的理由。采用默認披露規(guī)則來平衡個人信息處理者與公眾的利益,同時允許個人信息處理者在需要對專有信息保密時申請例外豁免可能是更佳的選擇??赡軙杏^點認為,考慮到個人信息處理的動態(tài)特性,以及利益相關(guān)者有機會在事后尋求救濟,決策前的公眾參與并不那么重要。然而,在現(xiàn)實中,公眾的參與無論是事前還是事后都是不可或缺的。在數(shù)據(jù)和算法治理實踐中,一定程度的公眾參與和公開披露已被廣泛視為構(gòu)成有效治理的核心要素,個人信息處理的公開披露制度可以有效彌補個人信息保護影響評估制度的不足。
讓數(shù)據(jù)處理、自動化決策系統(tǒng)接受監(jiān)督是促進信任的重要目標和工具。個人信息保護影響評估本身不足以促進有效的監(jiān)督和問責,應(yīng)該附加外部監(jiān)督的客觀機制。影響評估本身的監(jiān)督和問責力度不充分,將自我評估與外部和獨立的監(jiān)督機制結(jié)合起來可能是更好的解決辦法。在內(nèi)部監(jiān)督和一些外部投入的情況下,將有助于個人信息處理者發(fā)現(xiàn)問題并提出解決方案,使影響評估具體落實。
1.部門監(jiān)管
影響評估專注于數(shù)據(jù)處理系統(tǒng)的開發(fā)過程,包括自動決策系統(tǒng)的設(shè)計和培訓(xùn)數(shù)據(jù),以及對準確性、公平、偏見、歧視、隱私和安全的影響。評估必須包括以下參數(shù):系統(tǒng)的描述、對系統(tǒng)的相對效益和成本的評估、系統(tǒng)風險的評估,以及可采取的降低風險的措施。雖然增加了透明度,但評估結(jié)果的公布仍由個人信息處理者自行決定。這就是為什么影響評估促進公眾審查的能力受到了制約。算法影響評估最強大和最具革命性的方面之一是賦予了美國聯(lián)邦貿(mào)易委員會廣泛執(zhí)法權(quán)力。《算法問責法案》授權(quán)聯(lián)邦貿(mào)易委員會發(fā)布和執(zhí)行規(guī)定,要求涉及的實體完成影響評估,并及時處理影響評估的結(jié)果,有權(quán)強制執(zhí)行。任何違規(guī)行為將被視為“根據(jù)《聯(lián)邦貿(mào)易委員會法》第18(a)(1)(B)條的不公平或欺騙性行為”。作為對聯(lián)邦貿(mào)易委員會執(zhí)法權(quán)力的補充,《算法問責法案》將授權(quán)州檢察長對違法實體提起民事訴訟。《通用數(shù)據(jù)保護條例》賦予相關(guān)監(jiān)管機構(gòu)廣泛的執(zhí)法權(quán)力。這些獨立的主管機構(gòu)被賦予了廣泛的監(jiān)測、咨詢和調(diào)查權(quán),包括發(fā)出警告或訓(xùn)斥數(shù)據(jù)控制者;監(jiān)督數(shù)據(jù)控制者遵守數(shù)據(jù)對象行使權(quán)利的請求,例如解釋權(quán)、罰款。不僅如此,《通用數(shù)據(jù)保護條例》還明確規(guī)定,各成員國應(yīng)賦予監(jiān)管機構(gòu)權(quán)力,使其能夠?qū)⑷魏吻謾?quán)行為提請司法機關(guān)注意,并啟動法律程序以執(zhí)行《通用數(shù)據(jù)保護條例》的規(guī)定。[18]這些機制可被視為監(jiān)督受管制實體決策過程的一種手段。
《算法問責法案》和《通用數(shù)據(jù)保護條例》都是試圖利用影響評估優(yōu)勢對人工智能和其他自動化決策系統(tǒng)等數(shù)據(jù)處理工具實現(xiàn)有意義監(jiān)督的范例。但上述舉措并未針對特定行業(yè)和風險等級進行異質(zhì)化監(jiān)管。面對目前大數(shù)據(jù)產(chǎn)業(yè)的普及,執(zhí)法者在監(jiān)管方面資源有限,過多依靠政府部門監(jiān)管不利于通過公私合作降低治理成本和吸收外部第三方專業(yè)知識。因此,考慮到單一的監(jiān)管機制可能不足以靈活地適應(yīng)信息處理系統(tǒng)的多樣性,用一套規(guī)則來妥當?shù)乇O(jiān)管所有相關(guān)行業(yè)比較困難,政策制定者和執(zhí)法者可能難以根據(jù)管制活動、公共政策目標和外部性等因素來考慮必要的監(jiān)督水平。政策制定者根據(jù)特定領(lǐng)域的異質(zhì)性來開展監(jiān)督能更好保證政府監(jiān)督的效能。
2.公眾參與
在環(huán)境法領(lǐng)域,公眾意見是評估過程中的一個關(guān)鍵因素,為公眾提供提出意見和反饋的機會,被認為是確保全面透明度的關(guān)鍵。在許多情況下,這些群體擁有有關(guān)環(huán)境和生態(tài)相互作用的寶貴知識,對開發(fā)人員和政府來說十分有益。例如,《美國國家環(huán)境政策法案》第240條是采用環(huán)境影響評估概念的主要立法之一,它要求有關(guān)機構(gòu)必須給予公眾參與的機會。?這種強制性的評論過程,使得個人和公民社會團體能夠參與決策過程,從而使數(shù)據(jù)處理系統(tǒng)的黑箱變得更加透明。除此之外,它還可以加強決策過程的合法性,讓公眾更容易接受個人信息處理的結(jié)果,即使這個結(jié)果與他們自己的偏好不一致;使公眾參與到?jīng)Q策過程中來,可以提高觀點的多元度,擴大個人信息處理者所考慮問題的范圍;激發(fā)信息交流,提高評估質(zhì)量,減少錯誤決策的機會;促進公眾更深入地理解個人信息處理過程,并對所涉及的利害關(guān)系有更清晰的認識,從而影響公眾對決策的態(tài)度;降低個人信息處理者使用評估工具來促進特定利益集團的利益的風險,這在現(xiàn)實背景下尤為重要。在部署個人信息處理之前,公眾可以通過代表委員會的形式參與監(jiān)督,要求個人信息處理者或監(jiān)管機構(gòu)為公眾參與提供資金,并提供專門技術(shù)知識或獲得專門技術(shù)知識的渠道。它不僅需要外部技術(shù)專家的參與,還需要法律和倫理學(xué)專家的參與,為公眾提供智力支持。
3.內(nèi)部控制機制
影響評估的一個關(guān)鍵優(yōu)勢是其影響信息處理者內(nèi)部組織行為的能力。通過要求處理者進行內(nèi)部檢查,影響評估促使編碼人員和設(shè)計人員進行更深層次的分析,仔細調(diào)查可能存在的錯誤和不確定因素,并實施必要的步驟來糾正它們。影響評估的內(nèi)在性和靈活性將被監(jiān)管實體的注意力從單純的合規(guī)轉(zhuǎn)向了問題的解決和改進。此外,內(nèi)部檢查可以阻止私營企業(yè)開發(fā)無法承受公眾監(jiān)督和辯論的處理系統(tǒng)。所有這些都將有助于促進和改進個人信息處理的發(fā)展和實施。基于信息處理系統(tǒng)的動態(tài)性,處理和決策過程可能會隨著時間而改變,因此需要強制性的定期影響評估。這意味著將在事前(在數(shù)據(jù)輸入系統(tǒng)之前)以及事后(通常在處理系統(tǒng)實施之后)進行影響評估,這將增加透明度和公眾審查空間。周期性評估更適合處理系統(tǒng)不斷進化的性質(zhì)。補充評估應(yīng)每隔幾個月或每年進行一次,以反映輸入系統(tǒng)的數(shù)據(jù)的不斷變化以及法律的動態(tài)性要求。因此,處理者應(yīng)定期評估自己的信息處理系統(tǒng)。不同的行業(yè)表現(xiàn)出不同程度的活力,因此具體評估頻率因行業(yè)而異,需要不同的評估時間框架。
4.第三方審計
雖然可以對影響評估框架進行定制,以更好地滿足個人信息處理的需要和屬性,但它們不能單獨作為促進問責的手段,而是應(yīng)該被納入一個更廣泛的問責計劃,以確保內(nèi)部檢查和外部監(jiān)督。影響評估的優(yōu)勢在于其依賴于信息處理者的內(nèi)部流程,以保持用戶的參與度和品牌認知度。自我評估機制特別適合于技術(shù)迅速變化的環(huán)境。此外,它們在很大程度上依賴于處理者自己的報告和評估,而這些報告和評估往往具有處理者的個人利益色彩。個人行使權(quán)利在緩解個人信息處理系統(tǒng)影響公眾自由和獲取信息利益方面的力量有限,許多個人可能缺乏必要的激勵或資源來行使其權(quán)利。而且,個人目標和公共目標可能相互沖突,個別解釋不太可能引發(fā)市場機制或公眾監(jiān)督。因此,有必要讓個人信息處理者接受更高層次的外部客觀審查,比如第三方審計。有學(xué)者將審計定義為一種獨立評估信息處理是否符合“適用的法規(guī)、標準、指南、計劃、規(guī)范和程序”的方法。?外部審計不能保證數(shù)據(jù)處理的完全透明,也不能完全彌補信息差距,但它仍然作為一種額外的監(jiān)督機制用于驗證處理決策,以防止不當使用、歧視和對社會的負面影響。這種外部和客觀的審計制度應(yīng)該確保對處理系統(tǒng)進行獨立、持續(xù)的監(jiān)督,最終將更好地保護公共利益。
影響評估是建立數(shù)據(jù)處理、算法問責制的關(guān)鍵工具。在個人信息保護影響評估流程下,個人信息處理者必須證明個人信息處理的必要性,決策的合理性和合比例性。隨著信息處理系統(tǒng)的廣泛應(yīng)用,出于對歧視性、偏見和安全的擔憂,影響評估作為風險管理工具,是促進對個人信息處理者的公眾監(jiān)督的有力工具。盡管影響評估方案具有突出的優(yōu)勢,但仍存在透明度有限、正當程序不足、公眾審查空間有限的問題,在許多方面帶來了新的監(jiān)管挑戰(zhàn),僅依靠個人信息處理者進行自我評估并不足夠,需要更多元的內(nèi)外部客觀監(jiān)督與審查予以補強。影響評估應(yīng)被納入更廣泛的協(xié)同治理架構(gòu),以確保公眾信任。結(jié)合內(nèi)部和外部監(jiān)督機制可能不足以完全克服個人信息保護影響評估工具面臨的挑戰(zhàn),但有助于改進對個人信息處理系統(tǒng)的監(jiān)督。
注釋
①National Environmental Policy Act of 1969.
② E-Government Act of 2002;Commission Regulation 2016/679 of Apr.27,2016;General Data Protection Regulation,2016 O.J.(L 119) 1.
③E-Government Act of 2002;Privacy Impact Assessment(PIA)Guide.
④ Government of Canada,Directive on Automated Decision-Making;Washington House Bill 1655.
⑤ Internal Revenue Service,IRS Privacy Impact Assessment,Version 1.3,Washington,DC,17 December 1996.www.cio.gov/documents/PIA_for_it_irs_model.pdf.
⑥ Office of the New Zealand Privacy Commissioner,Privacy Impact Assessment Handbook,March 2002.
⑦ Roger Clarke,Privacy Impact Assessment in Australian Contexts,https://elaw.murdoch.edu.au/archives/elaw-15-1-2008.html.
⑧ 騰訊研究院:《GDPR生效后的第一張人臉識別罰單》,https://baijiahao.baidu.com/s?id=1648104332133048007.
⑨ DPIA Guidelines (n1) 7,10.
⑩ DPIA Guidelines (n 15) 7-10.
? Julia Angwin et al.,Machine Bias,Propublica (May 23,2016),https://www.propublica.org/article/machine-bias-risk-assessments-in-criminalsentencing [https://perma.cc/EUW3-NPLY].
? Jeffrey Dastin,Amazon Scraps Secret Al Recruiting Tool that Showed Bias Against Women,Reuters(Oct.10,2018),https://www.reuters.com/article/us-amazon-com-jobs-automation-insight/amazonscraps-secret-ai-recruiting-tool-that-showed-biasagainst-women-idUSKCN1MK08G [https://perma.cc/N4YF-6AMG].
? S.1108,Algorithmic Accountability Act of 2019.
? Commission Regulation 2016/679 of Apr.27,2016.
? ICO,PIA Handbook,op.cit.,p.2.
? General Data Protection Regulation),art.33(4),COM(2012) 0011 final (Apr.5,2016),https://eur-lex.europa.eu/legal-content/EN/TXT/? uri=CELEX%3A52012PC0011[https://perma.cc/H5PS-Z2KS].
? Report on the Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data (General Data Protection Regulation) (COM(2012)0011 -C7-0025/2012 -2012/0011(COD)),PARL.EUR.Doc.PE501.927v05-00(2013),http://www.europarl.europa.eu/sides/getDoc.do?pubRef=_//EP//TEXT+REPORT+A7-2013-0402+0+DOC+XML+VO//EN [https://perma.cc/6257-WT7E.
? Commission Regulation 2016/679,supra note 24,art.35(9).
? DPIA Guidelines(n1)17.
? National Environmental Policy Act of 1969,42 U.S.C.§§4321-70(2018).
? Joshua A.Kroll et al.Accountable Algorithms,165 U.PA.L.REV.660-661(2017).