自動(dòng)化決策中個(gè)人拒絕權(quán)的制度困境與應(yīng)對(duì)

2023-10-16 11:50:26王懷勇朱俊達(dá)

西南政法大學(xué)學(xué)報(bào) 2023年1期

王懷勇,朱俊達(dá)

(西南政法大學(xué) 數(shù)字經(jīng)濟(jì)與法治研究中心,重慶 401120)

人類文明的發(fā)展始終伴隨著技術(shù)的迭代升級(jí),自動(dòng)化機(jī)器早已不再局限于體力勞動(dòng)的替代,而是逐漸向接替人類腦力勞動(dòng)的方向變遷。如今,大數(shù)據(jù)、人工智能等關(guān)鍵詞深入人心,以自動(dòng)化決策技術(shù)為核心的相關(guān)服務(wù)正逐漸嵌入生活的方方面面。為了有效應(yīng)對(duì)自動(dòng)化決策帶來(lái)的風(fēng)險(xiǎn),《中華人民共和國(guó)個(gè)人信息保護(hù)法》(簡(jiǎn)稱《個(gè)人信息保護(hù)法》)在自動(dòng)化決策場(chǎng)景下新設(shè)個(gè)人拒絕權(quán)。這一權(quán)利與歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡(jiǎn)稱GDPR)第22條規(guī)定的免受自動(dòng)化決策約束權(quán)有著異曲同工之妙。在國(guó)內(nèi),學(xué)者將其稱為反對(duì)自動(dòng)化決策權(quán)、脫離自動(dòng)化決策約束權(quán)、免受自動(dòng)化決策權(quán)或者自動(dòng)化決策的拒絕權(quán)等。①參見(jiàn)唐林垚:《“脫離算法自動(dòng)化決策權(quán)”的虛幻承諾》,載《東方法學(xué)》2020年第6期,第18頁(yè);張欣:《免受自動(dòng)化決策約束權(quán)的制度邏輯與本土構(gòu)建》,載《華東政法大學(xué)學(xué)報(bào)》2021年第5期,第28頁(yè);楊立新、趙鑫:《利用個(gè)人信息自動(dòng)化決策的知情同意規(guī)則及保障——以個(gè)性化廣告為視角解讀〈個(gè)人信息保護(hù)法〉第24條規(guī)定》,載《法律適用》2021年第10期,第64頁(yè)。雖然上述概念在細(xì)節(jié)上可能并不完全等同,但是所指稱的內(nèi)涵基本一致,即“向個(gè)人提供便捷的拒絕方式”“有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定”。

一、自動(dòng)化決策中個(gè)人拒絕權(quán)的制度現(xiàn)狀

(一)自動(dòng)化決策中個(gè)人拒絕權(quán)的行使要件

《個(gè)人信息保護(hù)法》第24條作為自動(dòng)化決策專條,根據(jù)自動(dòng)化決策的內(nèi)容不同,對(duì)適用個(gè)人拒絕權(quán)的自動(dòng)化決策進(jìn)行了立法劃分,分為信息推送類決策以及非信息推送類決策。其中,信息推送類決策行為既包括向個(gè)人進(jìn)行信息推送,又包括向個(gè)人進(jìn)行商業(yè)營(yíng)銷。此外,自動(dòng)化決策的現(xiàn)實(shí)運(yùn)用場(chǎng)景眾多,實(shí)踐中,根據(jù)自動(dòng)化決策的結(jié)果不同,還可以將其分為利益賦予型決策與利益輔助型決策,前者如賦予信貸額度、提供應(yīng)聘機(jī)會(huì)等,后者如智能規(guī)劃路線、智能投顧等。結(jié)合上述類型劃分,《個(gè)人信息保護(hù)法》第24條構(gòu)造了不同的權(quán)利行使條件。

1.實(shí)施主體

個(gè)人拒絕權(quán)的實(shí)施主體應(yīng)符合該法第2條對(duì)于個(gè)人信息保護(hù)范圍的限定,即不得侵犯“自然人的個(gè)人信息權(quán)益”。從應(yīng)然層面來(lái)看,法律對(duì)個(gè)人信息的保護(hù)旨在避免專屬于自然人的人身自由、人格尊嚴(yán)等人格權(quán)益受到侵害,因此,將法人和非法人組織納入個(gè)人信息保護(hù)范疇既不現(xiàn)實(shí),又無(wú)必要。①參見(jiàn)龍衛(wèi)球主編:《中華人民共和國(guó)個(gè)人信息保護(hù)法釋義》,中國(guó)法制出版社2021年版,第9頁(yè)。個(gè)人拒絕權(quán)實(shí)施的主體為自動(dòng)化決策的直接對(duì)象,即信息推送、商業(yè)營(yíng)銷的接受者以及接受相關(guān)自動(dòng)化決策服務(wù)的用戶等。另外,根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的規(guī)定,對(duì)于未滿14周歲的未成年人,個(gè)人拒絕權(quán)應(yīng)由其監(jiān)護(hù)人行使。兒童監(jiān)護(hù)人應(yīng)正確履行監(jiān)護(hù)職責(zé),行使針對(duì)兒童個(gè)人信息的知情同意權(quán)、更正權(quán)、刪除權(quán)等。

2.拒絕對(duì)象

根據(jù)《個(gè)人信息保護(hù)法》第24條的規(guī)定,推送接收方有權(quán)拒絕推銷信息中針對(duì)個(gè)人的內(nèi)容,并非推銷信息本身,因?yàn)樵摽钜?guī)定并不反對(duì)廣告行為。易言之,個(gè)人有權(quán)拒絕自動(dòng)化的定向廣告而無(wú)權(quán)拒絕一般性廣告。對(duì)于非信息推送類決策中的拒絕對(duì)象,結(jié)合域內(nèi)外立法經(jīng)驗(yàn),一般來(lái)說(shuō)有兩種立法方式:一是自動(dòng)化決策的結(jié)果,二是自動(dòng)化決策這一整體行為。我國(guó)立法似乎采取了后一種規(guī)定,即當(dāng)自動(dòng)化決策結(jié)果對(duì)個(gè)人權(quán)益產(chǎn)生重大影響時(shí),賦予個(gè)人拒絕個(gè)人信息處理者使用僅基于自動(dòng)化的決策形式,即“個(gè)人有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定”。另外,個(gè)人拒絕自動(dòng)化決策并不意味著其與個(gè)人信息處理者之間永久性地終結(jié)服務(wù)關(guān)系,從維護(hù)個(gè)人利益的角度考慮,決策對(duì)象有再次接受非自動(dòng)化決策的可能。

3.實(shí)施方式

根據(jù)《個(gè)人信息保護(hù)法》第24條的規(guī)定,對(duì)于信息推送類決策,個(gè)人信息處理者應(yīng)該同時(shí)提供個(gè)性化和非個(gè)性化的選項(xiàng),或者提供便捷的拒絕方式。因此,如果個(gè)人主張拒絕權(quán),僅需要進(jìn)入個(gè)人信息處理者事先架設(shè)好的相關(guān)頁(yè)面,直接點(diǎn)擊相應(yīng)選項(xiàng)即可,無(wú)須獲得個(gè)人信息處理者的進(jìn)一步批準(zhǔn)。對(duì)于非信息推送類決策,則需要在個(gè)人信息主體滿足自動(dòng)化決策結(jié)果對(duì)其產(chǎn)生重大影響這一必要條件時(shí),才能主張拒絕權(quán)。在權(quán)利行使過(guò)程中,本條規(guī)則還對(duì)個(gè)人拒絕權(quán)的行權(quán)便利性予以強(qiáng)調(diào),即“個(gè)人信息處理者應(yīng)提供便捷的拒絕方式”。以微信為例,在《個(gè)人信息保護(hù)法》出臺(tái)之前,微信提供了關(guān)閉個(gè)性化推薦廣告的途徑,但用戶需要進(jìn)行繁瑣的11步操作才可實(shí)現(xiàn)目的。①關(guān)閉微信個(gè)性化廣告的原步驟為:(1)打開(kāi)“設(shè)置”;(2)點(diǎn)擊“關(guān)于微信”;(3)點(diǎn)擊下方小字“隱私保護(hù)指引”;(4)滑動(dòng)“隱私保護(hù)指引”至文檔中部找到“其他”;(5)選擇“隱私政策”;(6)滑動(dòng)“隱私政策”頁(yè)面找到“引言”;(7)在“引言”中選擇“廣告”;(8)在“廣告”中找到“管理”;(9)滑動(dòng)“管理”頁(yè)面找到“個(gè)性化推薦廣告”;(10)點(diǎn)擊“已開(kāi)啟”按鈕;(11)點(diǎn)擊“確認(rèn)關(guān)閉”。并且,關(guān)閉選項(xiàng)僅生效一段時(shí)間,時(shí)間屆滿之后,個(gè)性化推薦廣告會(huì)再次自動(dòng)開(kāi)啟,而現(xiàn)在關(guān)閉個(gè)性化推薦廣告的步驟已下降至4步且所有步驟皆進(jìn)行了簡(jiǎn)化。②現(xiàn)在關(guān)閉微信個(gè)性化廣告的步驟為:(1)打開(kāi)“設(shè)置”;(2)點(diǎn)擊“隱私”欄的“個(gè)人信息與權(quán)限”;(3)點(diǎn)擊“個(gè)性化廣告管理“;(4)點(diǎn)擊關(guān)閉個(gè)性化廣告。這便是該條規(guī)定運(yùn)用于實(shí)踐的生動(dòng)寫(xiě)照。除此以外,對(duì)于便捷的現(xiàn)實(shí)要求,不僅需要關(guān)注權(quán)利行使流程的便利性,更需要強(qiáng)調(diào)用戶拒絕的永久性,應(yīng)用軟件不得為用戶拒絕權(quán)的行使設(shè)定“有效日期”。

(二)個(gè)人拒絕權(quán)與其他權(quán)利的相互聯(lián)動(dòng)

1.內(nèi)部協(xié)作:個(gè)人拒絕權(quán)在自動(dòng)化決策規(guī)范內(nèi)的演繹

《個(gè)人信息保護(hù)法》第24條針對(duì)自動(dòng)化決策行為進(jìn)行了制度設(shè)計(jì)。該條強(qiáng)調(diào)個(gè)人信息處理者須保證決策的透明性,即個(gè)人信息處理者在進(jìn)行自動(dòng)化決策時(shí)應(yīng)遵守“算法透明”的總體原則,不得進(jìn)行“大數(shù)據(jù)殺熟”等算法歧視行為。此外,個(gè)人信息處理者在落實(shí)算法透明原則時(shí),還需要對(duì)國(guó)家安全、社會(huì)秩序以及私主體權(quán)利三方面進(jìn)行考量。③參見(jiàn)沈偉偉:《算法透明原則的迷思——算法規(guī)制理論的批判》,載《環(huán)球法律評(píng)論》2019年第6期,第27頁(yè)。該條第3款賦予個(gè)人對(duì)自動(dòng)化決策的知情權(quán),確立了有限制的“算法解釋權(quán)”。④參見(jiàn)龍衛(wèi)球主編:《中華人民共和國(guó)個(gè)人信息保護(hù)法釋義》,中國(guó)法制出版社2021年版,第108頁(yè)。為了打通自動(dòng)化決策體系內(nèi)互動(dòng)的邏輯關(guān)系,需要厘清自動(dòng)化決策體系內(nèi)部原則性條款與具體性規(guī)范之間的關(guān)系,以及權(quán)利之間的關(guān)系。

一方面,算法解釋權(quán)需要與本條第1款規(guī)定的算法透明原則加以區(qū)分。首先,算法透明原則適用于所有的自動(dòng)化決策行為,而算法解釋權(quán)具有“重大影響”這一前置條件。雖然《個(gè)人信息保護(hù)法》并未對(duì)算法解釋的范疇進(jìn)行限定,但是設(shè)置了嚴(yán)格的行權(quán)前提,即須在自動(dòng)化決策的決定對(duì)個(gè)人產(chǎn)生重大影響時(shí)才可以主張。其次,算法透明原則追求算法的簡(jiǎn)要說(shuō)明⑤參見(jiàn)徐鳳:《人工智能算法黑箱的法律規(guī)制——以智能投顧為例展開(kāi)》,載《東方法學(xué)》2019年第6期,第83頁(yè)。,而算法解釋權(quán)無(wú)論是解釋內(nèi)容的詳細(xì)度、深刻度、與具體個(gè)人信息的關(guān)聯(lián)度以及可理解性等,都更甚于算法透明原則。最后,算法透明原則蘊(yùn)藏于自動(dòng)化決策的事前設(shè)計(jì)、事中運(yùn)行以及事后決策這一完整周期中,是個(gè)人信息處理者應(yīng)當(dāng)遵循的義務(wù);算法解釋權(quán)作為個(gè)人的權(quán)利,算法控制者應(yīng)在個(gè)人接受服務(wù)時(shí)主動(dòng)告知數(shù)據(jù)主體。

另一方面,算法解釋權(quán)與個(gè)人拒絕權(quán)存在緊密關(guān)聯(lián)。算法解釋權(quán)便于個(gè)人對(duì)算法決策是否公平、公正提出質(zhì)疑,是實(shí)現(xiàn)算法正義的重要途徑。⑥參見(jiàn)解正山:《算法決策規(guī)制——以算法“解釋權(quán)”為中心》,載《現(xiàn)代法學(xué)》2020年第1期,第188頁(yè)。從指向性來(lái)看,“獲解釋權(quán)”面向過(guò)程,而“脫離自動(dòng)化決策權(quán)”面向結(jié)果。⑦參見(jiàn)唐林垚:《“脫離算法自動(dòng)化決策權(quán)”的虛幻承諾》,載《東方法學(xué)》2020年第6期,第27頁(yè)。當(dāng)個(gè)人行使拒絕權(quán)時(shí),一般會(huì)對(duì)自動(dòng)化決策結(jié)果產(chǎn)生疑問(wèn)并要求個(gè)人信息處理者進(jìn)行解釋。如果通過(guò)了解相關(guān)算法決策的邏輯,產(chǎn)生了對(duì)結(jié)果的認(rèn)可,個(gè)人就不會(huì)行使個(gè)人拒絕權(quán)。就此而言,算法解釋權(quán)可以起到一定的篩選作用,降低個(gè)人拒絕權(quán)的行使需求,起到為個(gè)人信息處理者降低運(yùn)營(yíng)成本的作用。

2.外部支持:個(gè)人拒絕權(quán)與一般性權(quán)利的交互

在自動(dòng)化決策開(kāi)始前,《個(gè)人信息保護(hù)法》第13條對(duì)個(gè)人信息處理的合法性基礎(chǔ)進(jìn)行了規(guī)定,包括取得個(gè)人同意等。在個(gè)人信息處理者想要征求個(gè)人同意而對(duì)隱私保護(hù)政策進(jìn)行陳述和展示時(shí),需要符合本法第17條的告知規(guī)則,即以顯著易懂、準(zhǔn)確真實(shí)的方式向?qū)Ψ礁嬷浠拘畔?、處理目的、方式等法定?nèi)容。個(gè)人信息處理的啟動(dòng)一般以“告知—同意”為基礎(chǔ),即個(gè)人可以直接拒絕個(gè)人信息處理者的信息處理行為。這些規(guī)定有助于在自動(dòng)化決策之前為個(gè)人提供必要的信息并創(chuàng)建合理預(yù)期,賦予用戶對(duì)自動(dòng)化決策事前拒絕的權(quán)利?？梢哉f(shuō),《個(gè)人信息保護(hù)法》從一般性規(guī)定、具體性列舉、個(gè)體性權(quán)利三個(gè)維度建構(gòu)了個(gè)人對(duì)于自動(dòng)化決策的事前同意機(jī)制。

在自動(dòng)化決策過(guò)程中,作為與算法透明原則互相呼應(yīng)的條款,個(gè)人可以主張本法第45條、第46條規(guī)定的個(gè)人信息查閱權(quán)與個(gè)人信息更正權(quán)。個(gè)人信息處理者則應(yīng)根據(jù)第8條的規(guī)定,保證個(gè)人信息的準(zhǔn)確性和完整性,根據(jù)個(gè)人的請(qǐng)求予以認(rèn)真回復(fù)。在個(gè)人拒絕權(quán)行使過(guò)程中,亦可主張上述權(quán)利用以排除決策結(jié)果錯(cuò)誤的原因。在查閱的個(gè)人信息范圍方面,不僅應(yīng)包括處理者直接獲取的信息,而且應(yīng)涵蓋借助大數(shù)據(jù)技術(shù)并通過(guò)海量數(shù)據(jù)集合而解析出的信息。事實(shí)上,此類個(gè)人信息更為關(guān)鍵,因?yàn)樗惴ǚ治鍪歉鶕?jù)個(gè)人的既往活動(dòng)來(lái)預(yù)測(cè)未來(lái)行為,通過(guò)篩選諸多變量尋找可靠預(yù)測(cè)結(jié)果的組合,以此生成大量預(yù)測(cè)因子,并以一種非線性和高度交互的方式進(jìn)行組合。①See Obermeyer Ziad & Ezekiel J. Emanuel, Predicting the Future-Big Data, Machine Learning, and Clinical Medicine, 375 The New England Journal of Medicine 1216, 1217(2016).以此方式識(shí)別出的信息不能排除失準(zhǔn)的可能,正是自動(dòng)化決策的這一特性加劇了決策結(jié)果的不穩(wěn)定性。如果處理者認(rèn)為個(gè)人拒絕權(quán)的行使不符合要求,應(yīng)根據(jù)第50條的規(guī)定詳細(xì)說(shuō)明理由。在行使個(gè)人拒絕權(quán)后,如果認(rèn)為相關(guān)處理結(jié)果依然未能達(dá)到預(yù)期,個(gè)人可以進(jìn)一步依據(jù)第15條、第47條規(guī)定撤回同意,要求個(gè)人信息處理者刪除個(gè)人信息,退出自動(dòng)化決策程序。為了消弭上述權(quán)利和制度之間因存在一般與特殊、抽象與具體關(guān)系而產(chǎn)生的不和諧因素,需要進(jìn)一步疏通自動(dòng)化決策特殊規(guī)則與個(gè)人信息處理一般規(guī)則的內(nèi)在邏輯。

首先,算法透明原則源于《個(gè)人信息保護(hù)法》第17條規(guī)定并高于該規(guī)定,應(yīng)對(duì)二者作出一定區(qū)分。我國(guó)并未單獨(dú)賦予個(gè)人信息處理者事前對(duì)于自動(dòng)化決策的同意權(quán),一旦個(gè)人同意相關(guān)主體處理其個(gè)人信息,則暗含個(gè)人對(duì)自動(dòng)化決策程序的同意。但是,必須考慮到自動(dòng)化決策透明度的要求以及自動(dòng)化決策的特殊性和風(fēng)險(xiǎn)程度,個(gè)人信息處理者在履行告知義務(wù)時(shí),如果需要進(jìn)行自動(dòng)化決策,應(yīng)一并對(duì)自動(dòng)化決策相關(guān)內(nèi)容及運(yùn)用領(lǐng)域加以告知,不得以“個(gè)人信息處理”一詞籠統(tǒng)概括所有的信息處理行為。

其次,需要厘清《個(gè)人信息保護(hù)法》第24條“獲得說(shuō)明”與第48條獲得個(gè)人信息處理規(guī)則“解釋說(shuō)明”間的關(guān)系。在一般場(chǎng)景下,個(gè)人僅有權(quán)要求說(shuō)明個(gè)人信息處理的基本規(guī)則。該說(shuō)明在通常情況下僅為格式文本,并面對(duì)所有接受服務(wù)的客群,其本質(zhì)為一種“公告”。例如,微信對(duì)個(gè)性化廣告的工作原理進(jìn)行了一般化的說(shuō)明。①微信在個(gè)性化廣告管理頁(yè)面載明了工作原理:在廣告投放過(guò)程中,微信廣告可能會(huì)基于你注冊(cè)騰訊服務(wù)時(shí)填寫(xiě)的信息及你使用騰訊服務(wù)時(shí)產(chǎn)生的行為數(shù)據(jù)等信息,推測(cè)你可能感興趣的內(nèi)容。在投放流程中,廣告主提供廣告內(nèi)容并選定希望觸達(dá)的目標(biāo)群體類型,由微信廣告系統(tǒng)自動(dòng)化地將廣告投放給該類型的人群。只有在自動(dòng)化決策決定對(duì)個(gè)人產(chǎn)生重大影響時(shí),個(gè)人才可主張算法解釋權(quán)。在滿足相應(yīng)條件后,自動(dòng)化決策對(duì)象才有權(quán)獲得更為豐富的決策信息,例如,自動(dòng)化決策作出時(shí)依據(jù)的個(gè)人信息具體內(nèi)容、信息來(lái)源以及可行的救濟(jì)途徑等。同時(shí),為了警惕說(shuō)明行為流于形式,需要考慮說(shuō)明內(nèi)容的易讀性。因?yàn)橄驇缀醯韧凇八惴ㄎ拿ぁ钡臄?shù)據(jù)主體披露源代碼或者工作原理的復(fù)雜數(shù)學(xué)解釋幾乎沒(méi)有實(shí)際意義,用簡(jiǎn)明的自然語(yǔ)言解釋算法決策相關(guān)信息才是關(guān)鍵所在。②參見(jiàn)解正山:《算法決策規(guī)制——以算法“解釋權(quán)”為中心》,載《現(xiàn)代法學(xué)》2020年第1期,第187頁(yè)。

最后,個(gè)人拒絕權(quán)不宜泛化成第44條規(guī)定的一般性拒絕個(gè)人信息處理的權(quán)利。③參見(jiàn)江必新主編:《中華人民共和國(guó)個(gè)人信息保護(hù)法條文解讀與法律適用》,中國(guó)法制出版社2021年版,第89頁(yè)?！秱€(gè)人信息保護(hù)法》第24條規(guī)定的個(gè)人拒絕權(quán)具有嚴(yán)格的前置性條件,該條規(guī)范僅約束完全通過(guò)自動(dòng)化決策得出,并且會(huì)對(duì)個(gè)人權(quán)益產(chǎn)生重大影響的決定;而《個(gè)人信息保護(hù)法》第44條針對(duì)個(gè)人進(jìn)行一般性賦權(quán),適用于所有個(gè)人信息處理程序。實(shí)際上,兩項(xiàng)規(guī)則在適用結(jié)果上也有明顯不同。個(gè)人主張第44條的拒絕權(quán)后,事實(shí)上將不能直接參與個(gè)人信息處理者對(duì)其個(gè)人信息的處理程序,相當(dāng)于拒絕接受該處理者依靠此個(gè)人信息處理程序提供的一切服務(wù);第24條規(guī)定的個(gè)人拒絕權(quán)僅僅排斥個(gè)人信息處理者提供的自動(dòng)化決策服務(wù),依舊具有作為其他非自動(dòng)化決策對(duì)象的資格。

二、自動(dòng)化決策中個(gè)人拒絕權(quán)的制度困境

(一)個(gè)人拒絕權(quán)的接續(xù)機(jī)制不詳

以互聯(lián)網(wǎng)消費(fèi)信貸場(chǎng)景為例,假設(shè)借款人輸入相應(yīng)信息后,系統(tǒng)經(jīng)自動(dòng)化決策認(rèn)定其不符合授信條件而未能獲得貸款。此時(shí),借款人接受該決策結(jié)果就無(wú)法獲得貸款,而拒絕自動(dòng)化決策后依舊面臨無(wú)法獲得貸款的窘境。因此,沿著《個(gè)人信息保護(hù)法》第24條的脈絡(luò)考察主張個(gè)人拒絕權(quán)后的銜接機(jī)制實(shí)屬必要。在利益賦予型決策中,個(gè)人一般會(huì)認(rèn)為未獲應(yīng)得之利益屬于自動(dòng)化決策的“失靈”情形,從而主張個(gè)人拒絕權(quán),例如,未獲得授信額度、未獲得應(yīng)聘機(jī)會(huì)以及系統(tǒng)拒絕提供購(gòu)票服務(wù)等。在此類自動(dòng)化決策中,個(gè)人行使個(gè)人拒絕權(quán)后需要獲得個(gè)人信息處理者或者服務(wù)提供者的后續(xù)回應(yīng)。在利益輔助型決策中,個(gè)人接受自動(dòng)化決策系統(tǒng)提供的便捷服務(wù),該結(jié)果并不當(dāng)然對(duì)個(gè)人權(quán)益造成影響,但個(gè)人在接受服務(wù)的過(guò)程中,其權(quán)益可能會(huì)受到損失,如自動(dòng)路線規(guī)劃錯(cuò)誤、自動(dòng)化病情診斷錯(cuò)誤等。由于消費(fèi)者掌握著是否接受利益輔助型決策結(jié)果的主動(dòng)權(quán),不要個(gè)人信息處理者的雙向配合,就可以直接以不接受此服務(wù)的方式對(duì)結(jié)果“拒絕了之”。④需要注意的是,此處個(gè)人對(duì)于自動(dòng)化決策的“拒絕”實(shí)質(zhì)上是直接放棄接受相關(guān)產(chǎn)品或者服務(wù)的機(jī)會(huì),與《個(gè)人信息保護(hù)法》第24條的個(gè)人拒絕權(quán)具有本質(zhì)區(qū)別。一方面,此種“拒絕”并不滿足《個(gè)人信息保護(hù)法》第24條規(guī)定的相關(guān)要件;另一方面,從行權(quán)目的看,個(gè)人拒絕權(quán)蘊(yùn)含著想要繼續(xù)尋求使用此種產(chǎn)品或者接受服務(wù)的可能性,而此種“拒絕”表達(dá)了個(gè)人對(duì)接受相關(guān)服務(wù)之資格的直接放棄。

在利益賦予型決策中,自動(dòng)化決策的決定將直接導(dǎo)致個(gè)人無(wú)法獲得相應(yīng)利益,然而該利益的獲取必須經(jīng)過(guò)個(gè)人信息處理者或服務(wù)商的配合及批準(zhǔn),因此,若無(wú)可行的銜接機(jī)制,將導(dǎo)致個(gè)人拒絕權(quán)成為“一紙空文”?！秱€(gè)人信息保護(hù)法》第24條規(guī)定個(gè)人有權(quán)拒絕僅通過(guò)自動(dòng)化決策的方式作出決定,但并未明確賦予消費(fèi)者請(qǐng)求人工決策的權(quán)利,也沒(méi)有設(shè)定個(gè)人信息處理者進(jìn)行人工復(fù)核的義務(wù),導(dǎo)致個(gè)人拒絕權(quán)與后期個(gè)人撤回同意、刪除權(quán)之間存在“權(quán)利真空”。在此情形下,個(gè)人無(wú)法獲得妥適救濟(jì),只得放棄繼續(xù)尋求獲得信息處理者提供服務(wù)的機(jī)會(huì)。此等情形類似于不同意個(gè)人信息處理者的隱私條款,便完全無(wú)法享受其服務(wù)一般,個(gè)人身處其中只有深深的無(wú)力感。

以互聯(lián)網(wǎng)信貸為例,其本身就是借助互聯(lián)網(wǎng)“動(dòng)態(tài)的連接、開(kāi)放的平臺(tái)、流動(dòng)的網(wǎng)絡(luò)自組織、交融的內(nèi)容—關(guān)系—終端網(wǎng)絡(luò)”而發(fā)展起來(lái)的創(chuàng)新性信貸形式①參見(jiàn)盛學(xué)軍:《互聯(lián)網(wǎng)信貸監(jiān)管新規(guī)的源起與邏輯》,載《政法論叢》2021年第1期,第93頁(yè)。,從獲取客戶、資質(zhì)審核到信用風(fēng)險(xiǎn)評(píng)估和授信放貸皆依賴算法技術(shù)進(jìn)行。對(duì)于該類純粹由大數(shù)據(jù)和算法技術(shù)孕育的產(chǎn)物,一旦個(gè)人拒絕自動(dòng)化決策而要求進(jìn)行人工審核,將極大增加個(gè)人信息處理者的運(yùn)營(yíng)成本。除此之外,在業(yè)已存在自動(dòng)化決策結(jié)果的情況下,人工決策的準(zhǔn)確性并不能得到有效保證。自動(dòng)化決策依托算法機(jī)制,其算力相較于自然人決策呈幾何倍數(shù)膨脹。在決策結(jié)果上,除了人工決策會(huì)不自主加入認(rèn)知偏見(jiàn)以外,更極端的是,自然人總是容易信服算法的縝密思維和理性邏輯,因此決策會(huì)自然而然地傾向于同自動(dòng)化決策保持一致,原本正確的判斷最終被計(jì)算機(jī)扭轉(zhuǎn),導(dǎo)致失誤疊加的“自反性悖論”。②參見(jiàn)唐林垚:《“脫離算法自動(dòng)化決策權(quán)”的虛幻承諾》,載《東方法學(xué)》2020年第6期,第29頁(yè)。

(二)“重大影響”的判定標(biāo)準(zhǔn)不明

《個(gè)人信息保護(hù)法》第24條將“決定對(duì)個(gè)人權(quán)益有重大影響”作為非推送營(yíng)銷類決策對(duì)象的程度要件,卻并未對(duì)“重大影響”一詞進(jìn)行具體界定。類似地,GDPR第22條亦規(guī)定,在自動(dòng)化決策之決定對(duì)個(gè)體產(chǎn)生法律后果或者類似重大影響時(shí),數(shù)據(jù)主體有權(quán)不受該決定的限制。相較于GDPR第22條,《個(gè)人信息保護(hù)法》僅使用了“重大影響”一詞,限縮了使用場(chǎng)景,并且將是否重大的舉證負(fù)擔(dān)分配給了數(shù)據(jù)主體。從文義看,法律后果似乎不一定都對(duì)個(gè)人具有“重大影響”,因此,相應(yīng)的法律后果必須達(dá)到重大影響的程度才能作為個(gè)人主張拒絕權(quán)的條件。然而,“重大”一詞難以描述清楚,產(chǎn)生重大影響的判斷標(biāo)準(zhǔn)也具有相當(dāng)程度的主觀性③參見(jiàn)蔡星月:《算法決策權(quán)的異化及其矯正》,載《政法論壇》2021年第5期,第34頁(yè)。,很難在“重大”和“非重大”之間劃出清晰的界限。④See Céline Castets-Renard,Accountability of Algorithms in the GDPR and Beyond: A European Legal Framework on Automated Decisionmaking, 30 Fordham Intellectual Property, Media & Entertainment Law Journal 91, 122(2019).在強(qiáng)制性具體規(guī)則缺失的情況下,如果個(gè)人事后主張拒絕權(quán),個(gè)人信息處理者可輕易以該結(jié)果對(duì)個(gè)人不具有重大影響為由,拒絕“個(gè)人拒絕權(quán)”或者拒絕個(gè)人要求再次進(jìn)行人工復(fù)核的申請(qǐng)。

雖然《個(gè)人信息保護(hù)法》將自動(dòng)化決策分為信息推送類決策與非信息推送類決策兩種類型,個(gè)人對(duì)推送營(yíng)銷類決策具有無(wú)限拒絕權(quán),不以決策結(jié)果對(duì)個(gè)人產(chǎn)生重大影響為前置條件。但如果依《個(gè)人信息保護(hù)法》第24條之規(guī)定,信息推送類決策的對(duì)象并沒(méi)有要求個(gè)人信息處理者對(duì)其自動(dòng)化決策程序及結(jié)果進(jìn)行說(shuō)明的權(quán)利。一般來(lái)說(shuō),定向廣告和推送不會(huì)對(duì)個(gè)人的權(quán)利、利益或者機(jī)會(huì)造成重大影響,卻也無(wú)法排除其造成重大影響的可能。部分定向廣告針對(duì)極易受到攻擊的群體,例如,對(duì)經(jīng)濟(jì)困難的個(gè)人而言,如果經(jīng)?？吹皆诰€賭博廣告,便可能接受這些廣告提供的服務(wù),進(jìn)而陷入更深的債務(wù)困境。①SeeArticle 29 Data Protection Working Party, Guidelines on Automated Individual Decision-making and Profiling for the Purposes of Regulation 2016/679, 2017, p.11.此類決策結(jié)果一旦對(duì)個(gè)人造成重大影響,可依據(jù)《個(gè)人信息保護(hù)法》第24條第3款請(qǐng)求個(gè)人信息處理者進(jìn)行說(shuō)明。在信息推送類決策滿足第3款規(guī)定的條件時(shí),個(gè)人可以從第2款遷移至第3款進(jìn)行權(quán)利主張。這一解釋已逐漸被立法者采納,如2022年3月1日起施行的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》第17條第3款便規(guī)定,算法推薦服務(wù)提供者應(yīng)用算法對(duì)用戶權(quán)益造成重大影響的,應(yīng)當(dāng)依法予以說(shuō)明并承擔(dān)相應(yīng)責(zé)任,這一規(guī)則便可視為對(duì)《個(gè)人信息保護(hù)法》第24條的呼應(yīng)與補(bǔ)充。

《個(gè)人信息保護(hù)法》第24條所稱“重大影響”明確指向通過(guò)自動(dòng)化決策方式作出的“決定”,而既非自動(dòng)化決策所處的場(chǎng)景對(duì)個(gè)人具有重大影響,亦非自動(dòng)化決策處理的個(gè)人信息類型對(duì)個(gè)人具有重大性、敏感性。例如,不得單純依據(jù)決策是發(fā)生于金融領(lǐng)域抑或醫(yī)療領(lǐng)域即認(rèn)定決策結(jié)果對(duì)個(gè)人具有重大影響,亦不能憑借決策收集了個(gè)人的金融信息或者健康信息便判斷該決策對(duì)個(gè)人具有重大影響,而是需要審慎考察決策的結(jié)果對(duì)個(gè)人權(quán)益是否達(dá)到實(shí)質(zhì)上重大影響的程度,以避免現(xiàn)實(shí)中個(gè)人拒絕權(quán)被濫用。

(三)個(gè)人拒絕權(quán)的適用除外規(guī)定缺失

數(shù)據(jù)資源的流動(dòng)性和可獲取性是大數(shù)據(jù)應(yīng)用和產(chǎn)業(yè)發(fā)展的基礎(chǔ),含有直接身份信息的個(gè)人信息是開(kāi)展各種社會(huì)活動(dòng)必不可少的要素②參見(jiàn)金耀:《個(gè)人信息去身份的法理基礎(chǔ)與規(guī)范重塑》,載《法學(xué)評(píng)論》2017年第3期,第124頁(yè)。,自動(dòng)化決策系統(tǒng)等個(gè)人信息處理技術(shù)則是高效利用個(gè)人信息的必要工具。法律的終極目標(biāo),不全在保護(hù)個(gè)人之自由與權(quán)利,整個(gè)社會(huì)的發(fā)展與人類之生存,也需要同時(shí)兼顧。③參見(jiàn)梁上上:《利益衡量論》,北京大學(xué)出版社2021年版,第89頁(yè)。如果個(gè)人拒絕權(quán)的適用門(mén)檻畸高而豁免門(mén)檻過(guò)低,則可能導(dǎo)致個(gè)人拒絕權(quán)在實(shí)際中處于睡眠狀態(tài);若其適用門(mén)檻過(guò)低而豁免條件寬松,則將造成權(quán)利被濫用,“受到經(jīng)營(yíng)成本和商主體趨利性的約束,互聯(lián)網(wǎng)環(huán)境中的合作幾乎無(wú)法達(dá)成”④徐玖玖:《數(shù)據(jù)交易適用除外制度的規(guī)則構(gòu)造》,載《電子政務(wù)》2021年第1期,第95頁(yè)。,最終只能造成個(gè)人權(quán)益與公共利益兩敗俱傷的后果。因此,探討設(shè)立個(gè)人拒絕權(quán)的適用除外制度,對(duì)于促進(jìn)個(gè)人拒絕權(quán)的真正實(shí)現(xiàn)而言必不可少。

本文所稱的個(gè)人拒絕權(quán)適用除外制度是指,在滿足一定法定條件的前提下,個(gè)人不得對(duì)個(gè)人信息處理者所進(jìn)行的自動(dòng)化決策主張個(gè)人拒絕權(quán)。如今,《個(gè)人信息保護(hù)法》第24條并未對(duì)自動(dòng)化決策個(gè)人拒絕權(quán)的適用除外情形作出規(guī)定,僅在該法第13條對(duì)所有個(gè)人信息處理活動(dòng)作出了一般性的規(guī)定,用以認(rèn)定個(gè)人信息處理行為合法時(shí)對(duì)“同意”要件的豁免。《個(gè)人信息保護(hù)法》第13條在常見(jiàn)的個(gè)人同意情形外,規(guī)定在特殊情形下不取得個(gè)人同意亦可開(kāi)展信息處理活動(dòng)的情形,具體包括訂立或履行合同所必需、履行法定職責(zé)或法定義務(wù)所必需、應(yīng)對(duì)公共衛(wèi)生事件以及緊急情況下為保護(hù)個(gè)人生命健康和財(cái)產(chǎn)安全所必需、在合理范圍內(nèi)為公共利益實(shí)施新聞報(bào)道以及輿論監(jiān)督、在合理范圍內(nèi)處理個(gè)人已公開(kāi)的信息等,但這一規(guī)定無(wú)法完全適用于自動(dòng)化決策情形的個(gè)人拒絕權(quán)。首先,該規(guī)定之目的在于為處理個(gè)人信息提供合法性依據(jù),并非為了規(guī)范自動(dòng)化拒絕權(quán)的行使。其次,兩項(xiàng)規(guī)則在關(guān)注角度上有差異?！秱€(gè)人信息保護(hù)法》第13條認(rèn)為分析和處理個(gè)人已公開(kāi)的信息無(wú)須獲得個(gè)人同意,這一規(guī)定著眼于個(gè)人信息的來(lái)源,在立法取向上與個(gè)人拒絕權(quán)抵牾,因?yàn)閭€(gè)人拒絕權(quán)關(guān)注決策結(jié)果對(duì)個(gè)體產(chǎn)生的影響,而非決策信息的來(lái)源,不能認(rèn)為個(gè)人無(wú)權(quán)拒絕依據(jù)公開(kāi)的個(gè)人信息所進(jìn)行的自動(dòng)化決策。最后,從二者的風(fēng)險(xiǎn)程度來(lái)看,自動(dòng)化決策是個(gè)人信息處理的高階形態(tài),這一過(guò)程可能對(duì)個(gè)人利益甚至公共利益造成更大程度或者更大范圍的侵害,理應(yīng)作出更加嚴(yán)格且具體的制度安排?？梢哉f(shuō),我國(guó)暫未建構(gòu)起個(gè)人拒絕權(quán)的適用除外制度,如果對(duì)個(gè)人利益過(guò)度保護(hù),可能導(dǎo)致個(gè)體利益在一定程度上擠占社會(huì)公共利益的發(fā)展空間。

三、自動(dòng)化決策中個(gè)人拒絕權(quán)的優(yōu)化邏輯

(一)多層級(jí)立法的互補(bǔ)化

一方面,各部門(mén)根據(jù)執(zhí)法需要,針對(duì)自動(dòng)化決策具體場(chǎng)景的特征,可以分別設(shè)置操作性更強(qiáng)、更為具體的法律規(guī)則,不斷充實(shí)個(gè)人拒絕權(quán)的內(nèi)涵。另一方面,針對(duì)《個(gè)人信息保護(hù)法》第24條的不足,可以進(jìn)一步作出符合我國(guó)實(shí)踐的補(bǔ)充。例如,對(duì)于“重大影響”的界定還處于較為模糊的狀態(tài),如何對(duì)其進(jìn)行界定,于實(shí)踐而言有著重要的指導(dǎo)意義。除了通過(guò)正式法律文件的形式對(duì)個(gè)人拒絕權(quán)進(jìn)行規(guī)范,還可以進(jìn)一步借用行業(yè)標(biāo)準(zhǔn)等軟法力量,將較為技術(shù)性的內(nèi)容交由監(jiān)管部門(mén)、社會(huì)組織、市場(chǎng)主體通過(guò)協(xié)商等參與性更強(qiáng)的方式加以建構(gòu)。目前,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273—2020)第7.5條細(xì)致地規(guī)定了個(gè)性化展示行為,其中,在向個(gè)人信息主體推送信息服務(wù)的過(guò)程中使用個(gè)性化展示的,應(yīng)提供簡(jiǎn)單直觀的退出或者關(guān)閉個(gè)性化展示模式的選項(xiàng);當(dāng)個(gè)人信息主體選擇退出或者關(guān)閉個(gè)性化展示時(shí),應(yīng)提供刪除或者匿名化定向推送活動(dòng)所基于的個(gè)人信息的選項(xiàng);使用個(gè)性化展示的,宜建立個(gè)人信息主體的自主控制機(jī)制,保障個(gè)人信息主體調(diào)控個(gè)性化展示相關(guān)程度的能力。此種規(guī)定便可起到明晰個(gè)人拒絕權(quán)適用要件的作用,從而減少實(shí)踐中可能出現(xiàn)的法律解釋矛盾。

(二)權(quán)利塑造的立體化

個(gè)人拒絕權(quán)并非對(duì)抗自動(dòng)化決策的萬(wàn)能權(quán)利,其適用有著嚴(yán)格的條件和階段限制,并且總是隨著自動(dòng)化決策運(yùn)行階段的推進(jìn)而與其他權(quán)利緊密相連。因此,需要打破孤立視角和扁平思維,構(gòu)造立體性的個(gè)人拒絕權(quán)。一方面,在權(quán)利結(jié)構(gòu)的內(nèi)外兩個(gè)層面上,既要完善個(gè)人拒絕權(quán)的內(nèi)部結(jié)構(gòu),又要強(qiáng)化個(gè)人拒絕權(quán)在行使過(guò)程中的外部權(quán)利保障。在個(gè)人拒絕權(quán)的內(nèi)部,實(shí)質(zhì)上又包含了兩個(gè)層級(jí):第一層級(jí)是權(quán)利自身的邏輯自洽,即個(gè)人拒絕權(quán)在構(gòu)成要件上的完備;第二層級(jí)是個(gè)人拒絕權(quán)與“算法解釋權(quán)”等特殊權(quán)利在《個(gè)人信息保護(hù)法》第24條內(nèi)的演繹。外部層面則是指?jìng)€(gè)人拒絕權(quán)與其他一般權(quán)利在整個(gè)自動(dòng)化決策場(chǎng)景中的互動(dòng)。另一方面,在權(quán)利構(gòu)造的縱橫兩個(gè)維度上,要進(jìn)一步明確個(gè)人拒絕權(quán)在主張后的權(quán)利接續(xù)機(jī)制,填充個(gè)人拒絕權(quán)與刪除權(quán)之間的空白區(qū)域。如果法律未能明確相應(yīng)的接續(xù)機(jī)制,尤其是針對(duì)利益賦予型決策對(duì)象而言,個(gè)人拒絕權(quán)終將淪為立法上的點(diǎn)綴,只能起到《個(gè)人信息保護(hù)法》構(gòu)建的權(quán)利體系在形式上保持完備的作用罷了。

(三)利益衡量的具體化

個(gè)人拒絕權(quán)的制度設(shè)計(jì)需要關(guān)注實(shí)踐中不同主體的利益需求,避免制度設(shè)計(jì)與現(xiàn)實(shí)差距太大而無(wú)法落地。如果一項(xiàng)制度全然不考慮實(shí)際情況與市場(chǎng)接受程度,要么會(huì)因?yàn)槭袌?chǎng)抵制而無(wú)法發(fā)揮效用,要么會(huì)因?yàn)檫^(guò)度干預(yù)而產(chǎn)生消極影響,進(jìn)而背離立法初衷。個(gè)人拒絕權(quán)在一定程度上是對(duì)決策對(duì)象的傾斜考慮,而如何保持個(gè)人權(quán)益與公共利益的平衡,則是個(gè)人拒絕權(quán)相關(guān)制度需要進(jìn)一步考量的問(wèn)題。個(gè)人拒絕權(quán)的利益衡量途徑主要表現(xiàn)為一般性權(quán)利賦予和特殊性權(quán)利克減相互協(xié)調(diào)。在合同必要性、當(dāng)事人同意等情形中,或者為了國(guó)家安全、公共利益、司法程序以及他人權(quán)利和自由之目的,可以考慮在立法中規(guī)定個(gè)人拒絕權(quán)的排除適用情形。值得注意的是,當(dāng)決策對(duì)象無(wú)法行使個(gè)人拒絕權(quán)時(shí),其權(quán)益可能處于危險(xiǎn)狀態(tài),因此需要注重借助權(quán)利間的相互聯(lián)動(dòng)為個(gè)人提供保障。

四、自動(dòng)化決策中個(gè)人拒絕權(quán)制度的具體完善

(一)明確賦予個(gè)人請(qǐng)求人工干預(yù)的權(quán)利

關(guān)于銜接機(jī)制,《個(gè)人信息保護(hù)法》第24條所規(guī)定的“個(gè)人有權(quán)拒絕僅通過(guò)自動(dòng)化決策的方式作出決定”存在三種可能解釋:(1)個(gè)人在拒絕自動(dòng)化決策程序的基礎(chǔ)上另有請(qǐng)求個(gè)人信息處理者進(jìn)行人工干預(yù)的權(quán)利;(2)當(dāng)個(gè)人行使拒絕權(quán)之后,無(wú)須個(gè)人主張,而是要求個(gè)人信息處理者承擔(dān)徑行人工二次審查與決策的義務(wù);(3)《個(gè)人信息保護(hù)法》對(duì)產(chǎn)生重大影響的自動(dòng)化決策決定采取一般性禁止的態(tài)度,即此類決策結(jié)果直接獲得法律的否定性評(píng)價(jià)。第三種解釋方法對(duì)個(gè)人的保護(hù)力度最強(qiáng),使個(gè)人信息處理者負(fù)擔(dān)了最重的義務(wù)。在這種解釋下,自動(dòng)化決策結(jié)果不產(chǎn)生法律效力,因此也就無(wú)所謂銜接機(jī)制。同樣地,GDPR第22條第1款規(guī)定的“數(shù)據(jù)主體有權(quán)不受該決定的限制”亦出現(xiàn)了解釋上的分歧,其既可以被解釋為一項(xiàng)禁令,又可以被解釋為一種反對(duì)權(quán),這兩種解釋因數(shù)據(jù)主體是否需要采取措施以限制自動(dòng)化決策而有所不同。①See Sandra Wachter, Brent Mittelstadt & Luciano Floridi,Why a Right to Explanation of Automated Decision-making Does Not Exist in the General Data Protection Regulation, 7 International Data Privacy Law 76, 94(2017).如果將其解釋為一般性禁止條款,即直接禁止進(jìn)行對(duì)主體產(chǎn)生法律影響或者類似重大影響的自動(dòng)化決策,自動(dòng)保護(hù)個(gè)人免受此類處理可能產(chǎn)生的潛在影響。從體系解釋的角度來(lái)看,若GDPR第22條第1款對(duì)特定自動(dòng)化決策進(jìn)行禁止,則只有滿足該條第2款規(guī)定的情形并提供本條第3款要求的保障措施,自動(dòng)化決策才能得到GDPR的授權(quán)。②歐盟GDPR第22條第2款規(guī)定了免受自動(dòng)化決策約束權(quán)的適用除外場(chǎng)景:(1)數(shù)據(jù)主體和控制者達(dá)成合同或合同要求的必要條件;(2)歐盟或成員國(guó)法律所授權(quán),該法案約束數(shù)據(jù)控制者并提供了保障數(shù)據(jù)主體的權(quán)利、自由和合法利益;(3)數(shù)據(jù)主體明確同意。第3款規(guī)定了適用除外規(guī)則下數(shù)據(jù)個(gè)體的權(quán)利保障:數(shù)據(jù)控制者應(yīng)采取適當(dāng)措施保障數(shù)據(jù)主體的權(quán)利、自由和合法利益,至少保障數(shù)據(jù)主體能夠人為干預(yù)數(shù)據(jù)控制者并能表達(dá)觀點(diǎn)且有權(quán)質(zhì)疑結(jié)果。

現(xiàn)行《個(gè)人信息保護(hù)法》并沒(méi)有類似GDPR第22條第2款的例外規(guī)定,如果將第24條第3款認(rèn)定為一般性禁止,將可能嚴(yán)重制約我國(guó)相關(guān)行業(yè)的發(fā)展。即使添加了例外規(guī)定,也不宜將其認(rèn)定為一種禁止性條款。因?yàn)榈?4條第3款在“有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定”之前,還以相同的語(yǔ)詞結(jié)構(gòu)規(guī)定了“有權(quán)要求個(gè)人信息處理者予以說(shuō)明”。后者明顯應(yīng)為法律對(duì)個(gè)人的賦權(quán)行為,為了保持法律文本和語(yǔ)義的內(nèi)在一致性,前者也應(yīng)該被解釋為對(duì)個(gè)人的賦權(quán)行為。上述分析否定了將第24條第3款作為禁止性規(guī)定的解釋途徑,亦即第三種解釋方法于我國(guó)《個(gè)人信息保護(hù)法》行不通。另兩種解釋方法實(shí)質(zhì)上皆肯定了《個(gè)人信息保護(hù)法》為拒絕權(quán)設(shè)置銜接機(jī)制的必要性,二者的核心區(qū)別在于,銜接機(jī)制是由個(gè)人主張權(quán)利來(lái)啟動(dòng),還是直接由個(gè)人信息處理者通過(guò)履行義務(wù)來(lái)完成。從成本效率角度進(jìn)行分析,如果個(gè)人信息處理者為每一項(xiàng)被拒絕的自動(dòng)化決策主動(dòng)進(jìn)行人工決策,將極大增加個(gè)人信息處理者的成本;相反,如果將其設(shè)置為權(quán)利,由于對(duì)于“重大影響”的判斷具有一定主觀性,由個(gè)人自行判斷是否主張“請(qǐng)求人工干預(yù)的權(quán)利”,將節(jié)省大量人力成本,從而避免不必要的資源耗費(fèi)。當(dāng)然,我國(guó)立法在此基礎(chǔ)上可以考慮借鑒域外立法模式,直接禁止一部分對(duì)個(gè)人利益將產(chǎn)生至關(guān)重要影響的決定使用自動(dòng)化決策技術(shù)。

自動(dòng)化決策擁有決策效率上的明顯優(yōu)勢(shì),雖然一般情況下決策結(jié)果的準(zhǔn)確性高,但并不應(yīng)該因此而否定人工決策的科學(xué)性與可行性。首先,人類人格的具體特征無(wú)法被參數(shù)化,這些都超出了任何自動(dòng)化決策系統(tǒng)的感知范圍。①See Maria Kanellopoulou-Βotti et al, The Right to Human Intervention: Law, Ethics and Artificial Intelligence, Computer Ethics-Philosophical Enquiry (CEPE) Proceedings (May 28, 2019), https: //digitalcommons.odu.edu/ cepe_proceedings/vol2019/iss1/8.其次,機(jī)器決策與人類決策在體系結(jié)構(gòu)上是相異的,算法的計(jì)算架構(gòu)并非以某種方式跟隨人腦的認(rèn)知過(guò)程,其更類似于回歸分析,而非人類神經(jīng)元的運(yùn)作形態(tài)。②See Aziz Z. Huq, A Right to Human Decision, 103 Virginia Law Review 611, 637(2020).因此,以人工方式進(jìn)行決策可能得出不同于自動(dòng)化決策的結(jié)果。不可否認(rèn)的是,在進(jìn)行人工審查時(shí),人類傾向于相信自動(dòng)化決策的結(jié)果,但工作人員對(duì)自動(dòng)化決策進(jìn)行重新評(píng)估及修改決策的意愿,在很大程度上取決于其對(duì)最終決策結(jié)果的責(zé)任。③See Maja Brkan, Do Algorithms Rule the World? Algorithmic Decision-making and Data Protection in the Framework of the GDPR and Beyond, 27 International Journal of Law and Information Technology 91, 108(2019).因此,可以從法律上設(shè)定工作人員因未適當(dāng)履行人工干預(yù)義務(wù)而應(yīng)承擔(dān)的法律責(zé)任以及其對(duì)最終結(jié)果正確性的責(zé)任,這將激勵(lì)工作人員進(jìn)行更仔細(xì)和嚴(yán)格的審查。雖然請(qǐng)求人工干預(yù)作為拒絕權(quán)的銜接機(jī)制由決策對(duì)象行使,但個(gè)人信息處理者亦須為個(gè)人行使權(quán)利提供方便途徑,例如,直接在app相應(yīng)頁(yè)面設(shè)置用戶申請(qǐng)進(jìn)行人工干預(yù)權(quán)的超鏈接。同時(shí),在人工對(duì)個(gè)人信息進(jìn)行決策處理的過(guò)程中,應(yīng)對(duì)個(gè)人信息作隱名化處理,保證決策公平以及用戶的個(gè)人信息不被泄露。

(二)細(xì)化“重大影響”的具體指向

《個(gè)人信息保護(hù)法草案(一次審議稿)》曾將相應(yīng)內(nèi)容表述為:“個(gè)人認(rèn)為自動(dòng)化決策對(duì)其權(quán)益造成重大影響的……有權(quán)拒絕個(gè)人信息處理者……”對(duì)此,有學(xué)者認(rèn)為,個(gè)人信息處理者的說(shuō)明義務(wù)對(duì)應(yīng)的是客觀重大影響,而非信息主體主觀認(rèn)識(shí)的重大影響。④參見(jiàn)韓旭至:《個(gè)人信息保護(hù)中告知同意的困境與出路——兼論〈個(gè)人信息保護(hù)法(草案)〉相關(guān)條款》,載《經(jīng)貿(mào)法律評(píng)論》2021年第1期,第54頁(yè)。《個(gè)人信息保護(hù)法》將其修改為“通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定”,可見(jiàn),我國(guó)將個(gè)人主觀意識(shí)上的“重大影響”轉(zhuǎn)換為客觀上的“重大影響”,一定程度上避免了適用上的模糊性。但實(shí)踐中自動(dòng)化決策對(duì)數(shù)據(jù)主體是否產(chǎn)生重大影響,仍然存在主觀化和場(chǎng)景化的差異,因此,在立法中明確基礎(chǔ)判斷規(guī)則和衡量基準(zhǔn)仍頗為必要,對(duì)避免權(quán)利被不當(dāng)架空具有積極功用。⑤參見(jiàn)張欣:《免受自動(dòng)化決策約束權(quán)的制度邏輯與本土構(gòu)建》,載《華東政法大學(xué)學(xué)報(bào)》2021年第5期,第38頁(yè)。

以一般理性人的視角,對(duì)個(gè)人生命、健康、安全及財(cái)產(chǎn)造成影響皆屬重大。另有學(xué)者認(rèn)為,個(gè)體如果因自動(dòng)化決策算法而未能締結(jié)合同,應(yīng)認(rèn)定遭受了重大影響;當(dāng)繼續(xù)性合同因自動(dòng)化決策算法的結(jié)果而被要求終止時(shí),數(shù)據(jù)主體也可以行使算法結(jié)果拒絕權(quán)。①參見(jiàn)林洹民:《個(gè)人對(duì)抗商業(yè)自動(dòng)決策算法的私權(quán)設(shè)計(jì)》,載《清華法學(xué)》2020年第4期,第133-134頁(yè)。合同締結(jié)機(jī)會(huì)喪失應(yīng)為客觀標(biāo)準(zhǔn),應(yīng)歸屬“重大影響”之范疇。從上文分析可知,將人工干預(yù)權(quán)納入個(gè)人主動(dòng)行使的權(quán)利范疇更為合宜,因此即便通過(guò)法律列舉的方式將喪失信貸機(jī)會(huì)納入“重大影響”之列,若個(gè)人被拒絕授信之后認(rèn)為該決定并不會(huì)產(chǎn)生事實(shí)上的重大影響,其可能不再請(qǐng)求人工干預(yù);相反,如果該決定確給個(gè)人帶來(lái)顯著影響,決策對(duì)象可依法律規(guī)定主張拒絕權(quán)并請(qǐng)求另行非自動(dòng)化決策。直接將部分決定納入重大影響范疇的立法態(tài)度,亦可指引個(gè)人信息處理者在這些法定場(chǎng)景下主動(dòng)為用戶設(shè)置行使人工干預(yù)權(quán)的通道。通過(guò)法律提供適度傾斜性的保護(hù)措施,給予決策對(duì)象更多主動(dòng)權(quán),是彌合個(gè)人與個(gè)人信息處理者之間實(shí)力懸殊的重要舉措。

我國(guó)立法在認(rèn)定自動(dòng)化決策決定的重大影響時(shí),首先,可以將法律影響納入“重大影響”的概念內(nèi)涵,將法律影響視為對(duì)個(gè)人權(quán)益造成的重大影響,具體體現(xiàn)為變更個(gè)人權(quán)利、義務(wù)或者責(zé)任以及喪失合同締結(jié)機(jī)會(huì)、中止正在履約的合同等。其次,對(duì)于其他類型的重大影響,立法中應(yīng)明確該決策結(jié)果可能影響或改變個(gè)人的經(jīng)濟(jì)境況、行為、機(jī)會(huì)或者選擇。在具體的立法釋義中,可以采取“概括+列舉”的模式,既對(duì)“重大影響”進(jìn)行一般性界定,又列舉具有代表性的情形。針對(duì)法律列舉出來(lái)的情形,如果個(gè)人信息處理者沒(méi)有相反證據(jù)證明該結(jié)果對(duì)特定個(gè)人不具有重大影響,應(yīng)推定該決策決定將對(duì)個(gè)人產(chǎn)生重大影響,個(gè)人信息處理者須給予行使權(quán)利之便利條件。一般來(lái)說(shuō),重大影響由對(duì)主體造成的負(fù)面后果而產(chǎn)生②See PaulVoigt & Axel von dem Bussche, The EU General Data Protection Regulation(GDPR): A Practical Guide, Springer, 2017, p.182.,但也不能排除對(duì)個(gè)人產(chǎn)生的積極影響。自動(dòng)化決策結(jié)果產(chǎn)生重大影響的時(shí)間,不僅應(yīng)著眼于該影響已經(jīng)發(fā)生,還需要擴(kuò)展到?jīng)Q定作出之后到對(duì)決策對(duì)象產(chǎn)生影響之前,只要合理確信自動(dòng)化決策結(jié)果將對(duì)個(gè)人產(chǎn)生重大影響,個(gè)人便可以主張個(gè)人拒絕權(quán)。

(三)完善個(gè)人拒絕權(quán)的除外規(guī)定

為了應(yīng)對(duì)突發(fā)事件或者緊急情況、調(diào)適個(gè)人利益與公共利益的沖突,我國(guó)應(yīng)在《個(gè)人信息保護(hù)法》第24條的基礎(chǔ)上,對(duì)個(gè)人拒絕權(quán)的適用設(shè)立必要的除外情形,肯定個(gè)人信息處理者獲得必要豁免的可能。對(duì)此,可以考慮借鑒GDPR第22條第2款,從合同履行所必需、當(dāng)事人明確同意和其他法律授權(quán)方面進(jìn)行考量。

從合同必要性規(guī)定來(lái)看,由于個(gè)人拒絕權(quán)的除外適用將造成個(gè)人權(quán)利克減,因此在對(duì)必要性進(jìn)行規(guī)定時(shí),需要法律作出更為明確清楚的指引,防止個(gè)人信息處理者在其隱私政策中通過(guò)編排合同必要性條款排除個(gè)人拒絕權(quán)。具體而言,在對(duì)履行合同的必要性進(jìn)行考察時(shí),不僅應(yīng)評(píng)估自動(dòng)化決策系統(tǒng)在相關(guān)活動(dòng)中是否具有合理性,以及自動(dòng)化決策系統(tǒng)在合同締結(jié)、履行方面是否發(fā)揮著本質(zhì)性作用,而且要審查在個(gè)人信息處理效益相同的情況下,自動(dòng)化決策是否是對(duì)個(gè)人侵害最小的選擇。個(gè)人信息處理效益應(yīng)聚焦個(gè)人信息處理者正當(dāng)利益以及決策對(duì)象合法權(quán)益的雙重內(nèi)涵,防止片面追逐自身利益最大化而損害決策對(duì)象的權(quán)益。當(dāng)然,從社會(huì)整體利益的角度考量,在具體設(shè)置合同必要性條件時(shí),亦不宜將“必要性”的要求限制得太窄。對(duì)合同必要性的認(rèn)定太過(guò)嚴(yán)苛,可能排除大量自動(dòng)化決策的運(yùn)行,既會(huì)對(duì)算法技術(shù)的發(fā)展產(chǎn)生妨礙,亦不利于我國(guó)企業(yè)在國(guó)際市場(chǎng)上的競(jìng)爭(zhēng)。

另外,是否引入GDPR新增的“當(dāng)事人同意”這一適用除外情形以及如何認(rèn)定同意這一要件,依舊是需要綜合探討的問(wèn)題?？紤]到個(gè)人利益、個(gè)人信息處理者利益之間的平衡,歐盟在本次立法中規(guī)定當(dāng)事人明確同意時(shí)不得主張免除自動(dòng)化決策的約束。然而,眾所周知,以告知義務(wù)為重心的制度設(shè)計(jì)模式無(wú)法保障知情權(quán)的落實(shí)①參見(jiàn)萬(wàn)方:《隱私政策中的告知同意原則及其異化》,載《法律科學(xué)》2019年第2期,第63頁(yè)。,“知情同意”機(jī)制在現(xiàn)實(shí)中難以完全發(fā)揮其應(yīng)有的作用,甚至可能為個(gè)人信息處理者提供便利。尤其在網(wǎng)絡(luò)空間,對(duì)數(shù)據(jù)處理的同意可能會(huì)變成一個(gè)空洞的形式化過(guò)程,從而導(dǎo)致“謬誤”。②See Lilian Mitrou, The General Data Protection Regulation: A Law for the Digital Age, in Tatiana-Eleni Synodinou, Philippe Jougleux,Christiana Markou & Thalia Prastitou eds., EU Internet Law: Regulation and Enforcement, Springer, 2017, p.36.因此,“當(dāng)事人同意”的規(guī)定如何確保個(gè)人的真實(shí)意志得到體現(xiàn),將是一個(gè)實(shí)踐難題。如果將其引入我國(guó)立法,不僅需要同意這一單獨(dú)形式要件,還應(yīng)對(duì)同意行為規(guī)定實(shí)質(zhì)性標(biāo)準(zhǔn),即數(shù)據(jù)主體在同意前需要了解數(shù)據(jù)處理過(guò)程以及理解同意此項(xiàng)操作對(duì)其產(chǎn)生的風(fēng)險(xiǎn)。③See Rolf H. Weber & Dominic N. Staiger, New Liability Patterns in the Digital Era, in Tatiana-Eleni Synodinou, Philippe Jougleux,Christiana Markou & Thalia Prastitou eds., EU Internet Law: Regulation and Enforcement, Springer, 2017, p.212-213.與歐盟立法不同的是,《個(gè)人信息保護(hù)法》并未要求個(gè)人信息處理者對(duì)自動(dòng)化決策單獨(dú)征求個(gè)人同意。因此,為了避免個(gè)人信息處理者通過(guò)抽象條款取得個(gè)人對(duì)包含自動(dòng)化決策在內(nèi)的所有個(gè)人信息處理程序的概括授權(quán),個(gè)人信息處理者應(yīng)針對(duì)自動(dòng)化決策向個(gè)人提供單獨(dú)征求同意的頁(yè)面,并明確說(shuō)明自動(dòng)化決策與一般個(gè)人信息處理的區(qū)別和風(fēng)險(xiǎn)。同時(shí),“法律規(guī)定的其他情形”為一必要的開(kāi)放性條款,目的是使法秩序可以根據(jù)客觀環(huán)境的變化靈活調(diào)整規(guī)則。④參見(jiàn)林洹民:《個(gè)人對(duì)抗商業(yè)自動(dòng)決策算法的私權(quán)設(shè)計(jì)》,載《清華法學(xué)》2020年第4期,第138頁(yè)。對(duì)此,可以參照《個(gè)人信息保護(hù)法》第44條的立法模式,設(shè)置法律、行政法規(guī)特殊規(guī)定的優(yōu)先適用規(guī)則。⑤《個(gè)人信息保護(hù)法》第44條規(guī)定:“個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理;法律、行政法規(guī)另有規(guī)定的除外。”此種優(yōu)先適用規(guī)則一般以實(shí)現(xiàn)公共利益為目標(biāo),如《個(gè)人信息保護(hù)法》第13條規(guī)定的應(yīng)對(duì)公共衛(wèi)生事件、為公共利益實(shí)施新聞報(bào)道等。

在《個(gè)人信息保護(hù)法》第24條的規(guī)則引導(dǎo)下,個(gè)人拒絕權(quán)的適用除外制度旨在排除個(gè)人對(duì)自動(dòng)化決策的拒絕,但其仍有權(quán)對(duì)決策結(jié)果提出異議。依據(jù)《個(gè)人信息保護(hù)法》第45條規(guī)定的個(gè)人信息查閱復(fù)制權(quán)、第46條規(guī)定的個(gè)人信息更正補(bǔ)充權(quán),個(gè)人有權(quán)在獲悉決策結(jié)果后對(duì)決策所需的個(gè)人信息進(jìn)行查閱,若相關(guān)個(gè)人信息有誤或缺失,有提出更正、補(bǔ)充相應(yīng)個(gè)人信息的權(quán)利,在此過(guò)程中應(yīng)保持個(gè)人信息處理者方面有人工參與。待個(gè)人信息處理者修正數(shù)據(jù)后,個(gè)人有權(quán)再次請(qǐng)求個(gè)人信息處理者進(jìn)行決策。另外,個(gè)人拒絕權(quán)的適用除外制度并不排除個(gè)人請(qǐng)求自動(dòng)化決策者進(jìn)行說(shuō)明的權(quán)利,個(gè)人依舊可以根據(jù)《個(gè)人信息保護(hù)法》第24條之規(guī)定請(qǐng)求個(gè)人信息處理者對(duì)自動(dòng)化決策進(jìn)行解釋說(shuō)明。現(xiàn)行個(gè)人拒絕權(quán)的聯(lián)動(dòng)保障機(jī)制只能依靠對(duì)《個(gè)人信息保護(hù)法》進(jìn)行全文搜索,并通過(guò)法律解釋的手段將其結(jié)合在一起,相關(guān)權(quán)利之間的聯(lián)系并不直觀緊密。在我國(guó)進(jìn)一步對(duì)個(gè)人拒絕權(quán)進(jìn)行完善和細(xì)化時(shí),可以考慮借鑒域外立法例,將對(duì)個(gè)人拒絕權(quán)的保障直接規(guī)定在個(gè)人拒絕權(quán)條款項(xiàng)下,加強(qiáng)規(guī)則的明確性,為個(gè)人提供更為清晰的指引。

結(jié)語(yǔ)

在如今“機(jī)器崛起”的時(shí)代,自動(dòng)化決策技術(shù)的運(yùn)用廣度是衡量數(shù)字經(jīng)濟(jì)發(fā)展水平的重要面向。自動(dòng)化決策中個(gè)人拒絕權(quán)的設(shè)立賦予人類相當(dāng)程度的自主權(quán),不僅在微觀層面有助于維護(hù)信息主體的權(quán)利及合法利益,更是宏觀意義上維系現(xiàn)代社會(huì)人類文明內(nèi)核的重要法治力量。在我國(guó),個(gè)人拒絕權(quán)仍處于新生階段,需要不斷進(jìn)行完善。一方面,需要從解釋論的角度對(duì)個(gè)人拒絕權(quán)的規(guī)范文本進(jìn)行分析,理清《個(gè)人信息保護(hù)法》體系內(nèi)個(gè)人拒絕權(quán)與其他權(quán)利可能產(chǎn)生的制度交叉和矛盾之處。另一方面,需要從立法論的視角探尋依舊存在的立法不足,并有針對(duì)性地提出應(yīng)對(duì)之策。需要說(shuō)明的是,制度完善僅僅是個(gè)人拒絕權(quán)在現(xiàn)實(shí)生活中得以被切實(shí)行使的第一步,對(duì)其進(jìn)行塑造依然是一項(xiàng)未竟的工程。此項(xiàng)權(quán)利的接力變遷與完備將交給法律適用的實(shí)踐場(chǎng)域,從而助力縮小自動(dòng)化決策背景下決策者與決策對(duì)象間的實(shí)力鴻溝,維持實(shí)質(zhì)公平,促進(jìn)吾人之社會(huì)生活。