自动化决策中个人拒绝权的制度困境与应对

王怀勇,朱俊达

(西南政法大学 数字经济与法治研究中心,重庆 401120)

人类文明的发展始终伴随着技术的迭代升级,自动化机器早已不再局限于体力劳动的替代,而是逐渐向接替人类脑力劳动的方向变迁。如今,大数据、人工智能等关键词深入人心,以自动化决策技术为核心的相关服务正逐渐嵌入生活的方方面面。为了有效应对自动化决策带来的风险,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)在自动化决策场景下新设个人拒绝权。这一权利与欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)第22条规定的免受自动化决策约束权有着异曲同工之妙。在国内,学者将其称为反对自动化决策权、脱离自动化决策约束权、免受自动化决策权或者自动化决策的拒绝权等。①参见唐林垚:《“脱离算法自动化决策权”的虚幻承诺》,载《东方法学》2020年第6期,第18页;张欣:《免受自动化决策约束权的制度逻辑与本土构建》,载《华东政法大学学报》2021年第5期,第28页;杨立新、赵鑫:《利用个人信息自动化决策的知情同意规则及保障——以个性化广告为视角解读〈个人信息保护法〉第24条规定》,载《法律适用》2021年第10期,第64页。虽然上述概念在细节上可能并不完全等同,但是所指称的内涵基本一致,即“向个人提供便捷的拒绝方式”“有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。

一、自动化决策中个人拒绝权的制度现状

(一)自动化决策中个人拒绝权的行使要件

《个人信息保护法》第24条作为自动化决策专条,根据自动化决策的内容不同,对适用个人拒绝权的自动化决策进行了立法划分,分为信息推送类决策以及非信息推送类决策。其中,信息推送类决策行为既包括向个人进行信息推送,又包括向个人进行商业营销。此外,自动化决策的现实运用场景众多,实践中,根据自动化决策的结果不同,还可以将其分为利益赋予型决策与利益辅助型决策,前者如赋予信贷额度、提供应聘机会等,后者如智能规划路线、智能投顾等。结合上述类型划分,《个人信息保护法》第24条构造了不同的权利行使条件。

1.实施主体

个人拒绝权的实施主体应符合该法第2条对于个人信息保护范围的限定,即不得侵犯“自然人的个人信息权益”。从应然层面来看,法律对个人信息的保护旨在避免专属于自然人的人身自由、人格尊严等人格权益受到侵害,因此,将法人和非法人组织纳入个人信息保护范畴既不现实,又无必要。①参见龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第9页。个人拒绝权实施的主体为自动化决策的直接对象,即信息推送、商业营销的接受者以及接受相关自动化决策服务的用户等。另外,根据《儿童个人信息网络保护规定》的规定,对于未满14周岁的未成年人,个人拒绝权应由其监护人行使。儿童监护人应正确履行监护职责,行使针对儿童个人信息的知情同意权、更正权、删除权等。

2.拒绝对象

根据《个人信息保护法》第24条的规定,推送接收方有权拒绝推销信息中针对个人的内容,并非推销信息本身,因为该款规定并不反对广告行为。易言之,个人有权拒绝自动化的定向广告而无权拒绝一般性广告。对于非信息推送类决策中的拒绝对象,结合域内外立法经验,一般来说有两种立法方式:一是自动化决策的结果,二是自动化决策这一整体行为。我国立法似乎采取了后一种规定,即当自动化决策结果对个人权益产生重大影响时,赋予个人拒绝个人信息处理者使用仅基于自动化的决策形式,即“个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。另外,个人拒绝自动化决策并不意味着其与个人信息处理者之间永久性地终结服务关系,从维护个人利益的角度考虑,决策对象有再次接受非自动化决策的可能。

3.实施方式

根据《个人信息保护法》第24条的规定,对于信息推送类决策,个人信息处理者应该同时提供个性化和非个性化的选项,或者提供便捷的拒绝方式。因此,如果个人主张拒绝权,仅需要进入个人信息处理者事先架设好的相关页面,直接点击相应选项即可,无须获得个人信息处理者的进一步批准。对于非信息推送类决策,则需要在个人信息主体满足自动化决策结果对其产生重大影响这一必要条件时,才能主张拒绝权。在权利行使过程中,本条规则还对个人拒绝权的行权便利性予以强调,即“个人信息处理者应提供便捷的拒绝方式”。以微信为例,在《个人信息保护法》出台之前,微信提供了关闭个性化推荐广告的途径,但用户需要进行繁琐的11步操作才可实现目的。①关闭微信个性化广告的原步骤为:(1)打开“设置”;(2)点击“关于微信”;(3)点击下方小字“隐私保护指引”;(4)滑动“隐私保护指引”至文档中部找到“其他”;(5)选择“隐私政策”;(6)滑动“隐私政策”页面找到“引言”;(7)在“引言”中选择“广告”;(8)在“广告”中找到“管理”;(9)滑动“管理”页面找到“个性化推荐广告”;(10)点击“已开启”按钮;(11)点击“确认关闭”。并且,关闭选项仅生效一段时间,时间届满之后,个性化推荐广告会再次自动开启,而现在关闭个性化推荐广告的步骤已下降至4步且所有步骤皆进行了简化。②现在关闭微信个性化广告的步骤为:(1)打开“设置”;(2)点击“隐私”栏的“个人信息与权限”;(3)点击“个性化广告管理“;(4)点击关闭个性化广告。这便是该条规定运用于实践的生动写照。除此以外,对于便捷的现实要求,不仅需要关注权利行使流程的便利性,更需要强调用户拒绝的永久性,应用软件不得为用户拒绝权的行使设定“有效日期”。

(二)个人拒绝权与其他权利的相互联动

1.内部协作:个人拒绝权在自动化决策规范内的演绎

《个人信息保护法》第24条针对自动化决策行为进行了制度设计。该条强调个人信息处理者须保证决策的透明性,即个人信息处理者在进行自动化决策时应遵守“算法透明”的总体原则,不得进行“大数据杀熟”等算法歧视行为。此外,个人信息处理者在落实算法透明原则时,还需要对国家安全、社会秩序以及私主体权利三方面进行考量。③参见沈伟伟:《算法透明原则的迷思——算法规制理论的批判》,载《环球法律评论》2019年第6期,第27页。该条第3款赋予个人对自动化决策的知情权,确立了有限制的“算法解释权”。④参见龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第108页。为了打通自动化决策体系内互动的逻辑关系,需要厘清自动化决策体系内部原则性条款与具体性规范之间的关系,以及权利之间的关系。

一方面,算法解释权需要与本条第1款规定的算法透明原则加以区分。首先,算法透明原则适用于所有的自动化决策行为,而算法解释权具有“重大影响”这一前置条件。虽然《个人信息保护法》并未对算法解释的范畴进行限定,但是设置了严格的行权前提,即须在自动化决策的决定对个人产生重大影响时才可以主张。其次,算法透明原则追求算法的简要说明⑤参见徐凤:《人工智能算法黑箱的法律规制——以智能投顾为例展开》,载《东方法学》2019年第6期,第83页。,而算法解释权无论是解释内容的详细度、深刻度、与具体个人信息的关联度以及可理解性等,都更甚于算法透明原则。最后,算法透明原则蕴藏于自动化决策的事前设计、事中运行以及事后决策这一完整周期中,是个人信息处理者应当遵循的义务;算法解释权作为个人的权利,算法控制者应在个人接受服务时主动告知数据主体。

另一方面,算法解释权与个人拒绝权存在紧密关联。算法解释权便于个人对算法决策是否公平、公正提出质疑,是实现算法正义的重要途径。⑥参见解正山:《算法决策规制——以算法“解释权”为中心》,载《现代法学》2020年第1期,第188页。从指向性来看,“获解释权”面向过程,而“脱离自动化决策权”面向结果。⑦参见唐林垚:《“脱离算法自动化决策权”的虚幻承诺》,载《东方法学》2020年第6期,第27页。当个人行使拒绝权时,一般会对自动化决策结果产生疑问并要求个人信息处理者进行解释。如果通过了解相关算法决策的逻辑,产生了对结果的认可,个人就不会行使个人拒绝权。就此而言,算法解释权可以起到一定的筛选作用,降低个人拒绝权的行使需求,起到为个人信息处理者降低运营成本的作用。

2.外部支持:个人拒绝权与一般性权利的交互

在自动化决策开始前,《个人信息保护法》第13条对个人信息处理的合法性基础进行了规定,包括取得个人同意等。在个人信息处理者想要征求个人同意而对隐私保护政策进行陈述和展示时,需要符合本法第17条的告知规则,即以显著易懂、准确真实的方式向对方告知其基本信息、处理目的、方式等法定内容。个人信息处理的启动一般以“告知—同意”为基础,即个人可以直接拒绝个人信息处理者的信息处理行为。这些规定有助于在自动化决策之前为个人提供必要的信息并创建合理预期,赋予用户对自动化决策事前拒绝的权利。可以说,《个人信息保护法》从一般性规定、具体性列举、个体性权利三个维度建构了个人对于自动化决策的事前同意机制。

在自动化决策过程中,作为与算法透明原则互相呼应的条款,个人可以主张本法第45条、第46条规定的个人信息查阅权与个人信息更正权。个人信息处理者则应根据第8条的规定,保证个人信息的准确性和完整性,根据个人的请求予以认真回复。在个人拒绝权行使过程中,亦可主张上述权利用以排除决策结果错误的原因。在查阅的个人信息范围方面,不仅应包括处理者直接获取的信息,而且应涵盖借助大数据技术并通过海量数据集合而解析出的信息。事实上,此类个人信息更为关键,因为算法分析是根据个人的既往活动来预测未来行为,通过筛选诸多变量寻找可靠预测结果的组合,以此生成大量预测因子,并以一种非线性和高度交互的方式进行组合。①See Obermeyer Ziad & Ezekiel J. Emanuel, Predicting the Future-Big Data, Machine Learning, and Clinical Medicine, 375 The New England Journal of Medicine 1216, 1217(2016).以此方式识别出的信息不能排除失准的可能,正是自动化决策的这一特性加剧了决策结果的不稳定性。如果处理者认为个人拒绝权的行使不符合要求,应根据第50条的规定详细说明理由。在行使个人拒绝权后,如果认为相关处理结果依然未能达到预期,个人可以进一步依据第15条、第47条规定撤回同意,要求个人信息处理者删除个人信息,退出自动化决策程序。为了消弭上述权利和制度之间因存在一般与特殊、抽象与具体关系而产生的不和谐因素,需要进一步疏通自动化决策特殊规则与个人信息处理一般规则的内在逻辑。

首先,算法透明原则源于《个人信息保护法》第17条规定并高于该规定,应对二者作出一定区分。我国并未单独赋予个人信息处理者事前对于自动化决策的同意权,一旦个人同意相关主体处理其个人信息,则暗含个人对自动化决策程序的同意。但是,必须考虑到自动化决策透明度的要求以及自动化决策的特殊性和风险程度,个人信息处理者在履行告知义务时,如果需要进行自动化决策,应一并对自动化决策相关内容及运用领域加以告知,不得以“个人信息处理”一词笼统概括所有的信息处理行为。

其次,需要厘清《个人信息保护法》第24条“获得说明”与第48条获得个人信息处理规则“解释说明”间的关系。在一般场景下,个人仅有权要求说明个人信息处理的基本规则。该说明在通常情况下仅为格式文本,并面对所有接受服务的客群,其本质为一种“公告”。例如,微信对个性化广告的工作原理进行了一般化的说明。①微信在个性化广告管理页面载明了工作原理:在广告投放过程中,微信广告可能会基于你注册腾讯服务时填写的信息及你使用腾讯服务时产生的行为数据等信息,推测你可能感兴趣的内容。在投放流程中,广告主提供广告内容并选定希望触达的目标群体类型,由微信广告系统自动化地将广告投放给该类型的人群。只有在自动化决策决定对个人产生重大影响时,个人才可主张算法解释权。在满足相应条件后,自动化决策对象才有权获得更为丰富的决策信息,例如,自动化决策作出时依据的个人信息具体内容、信息来源以及可行的救济途径等。同时,为了警惕说明行为流于形式,需要考虑说明内容的易读性。因为向几乎等同于“算法文盲”的数据主体披露源代码或者工作原理的复杂数学解释几乎没有实际意义,用简明的自然语言解释算法决策相关信息才是关键所在。②参见解正山:《算法决策规制——以算法“解释权”为中心》,载《现代法学》2020年第1期,第187页。

最后,个人拒绝权不宜泛化成第44条规定的一般性拒绝个人信息处理的权利。③参见江必新主编:《中华人民共和国个人信息保护法条文解读与法律适用》,中国法制出版社2021年版,第89页。《个人信息保护法》第24条规定的个人拒绝权具有严格的前置性条件,该条规范仅约束完全通过自动化决策得出,并且会对个人权益产生重大影响的决定;而《个人信息保护法》第44条针对个人进行一般性赋权,适用于所有个人信息处理程序。实际上,两项规则在适用结果上也有明显不同。个人主张第44条的拒绝权后,事实上将不能直接参与个人信息处理者对其个人信息的处理程序,相当于拒绝接受该处理者依靠此个人信息处理程序提供的一切服务;第24条规定的个人拒绝权仅仅排斥个人信息处理者提供的自动化决策服务,依旧具有作为其他非自动化决策对象的资格。

二、自动化决策中个人拒绝权的制度困境

(一)个人拒绝权的接续机制不详

以互联网消费信贷场景为例,假设借款人输入相应信息后,系统经自动化决策认定其不符合授信条件而未能获得贷款。此时,借款人接受该决策结果就无法获得贷款,而拒绝自动化决策后依旧面临无法获得贷款的窘境。因此,沿着《个人信息保护法》第24条的脉络考察主张个人拒绝权后的衔接机制实属必要。在利益赋予型决策中,个人一般会认为未获应得之利益属于自动化决策的“失灵”情形,从而主张个人拒绝权,例如,未获得授信额度、未获得应聘机会以及系统拒绝提供购票服务等。在此类自动化决策中,个人行使个人拒绝权后需要获得个人信息处理者或者服务提供者的后续回应。在利益辅助型决策中,个人接受自动化决策系统提供的便捷服务,该结果并不当然对个人权益造成影响,但个人在接受服务的过程中,其权益可能会受到损失,如自动路线规划错误、自动化病情诊断错误等。由于消费者掌握着是否接受利益辅助型决策结果的主动权,不要个人信息处理者的双向配合,就可以直接以不接受此服务的方式对结果“拒绝了之”。④需要注意的是,此处个人对于自动化决策的“拒绝”实质上是直接放弃接受相关产品或者服务的机会,与《个人信息保护法》第24条的个人拒绝权具有本质区别。一方面,此种“拒绝”并不满足《个人信息保护法》第24条规定的相关要件;另一方面,从行权目的看,个人拒绝权蕴含着想要继续寻求使用此种产品或者接受服务的可能性,而此种“拒绝”表达了个人对接受相关服务之资格的直接放弃。

在利益赋予型决策中,自动化决策的决定将直接导致个人无法获得相应利益,然而该利益的获取必须经过个人信息处理者或服务商的配合及批准,因此,若无可行的衔接机制,将导致个人拒绝权成为“一纸空文”。《个人信息保护法》第24条规定个人有权拒绝仅通过自动化决策的方式作出决定,但并未明确赋予消费者请求人工决策的权利,也没有设定个人信息处理者进行人工复核的义务,导致个人拒绝权与后期个人撤回同意、删除权之间存在“权利真空”。在此情形下,个人无法获得妥适救济,只得放弃继续寻求获得信息处理者提供服务的机会。此等情形类似于不同意个人信息处理者的隐私条款,便完全无法享受其服务一般,个人身处其中只有深深的无力感。

以互联网信贷为例,其本身就是借助互联网“动态的连接、开放的平台、流动的网络自组织、交融的内容—关系—终端网络”而发展起来的创新性信贷形式①参见盛学军:《互联网信贷监管新规的源起与逻辑》,载《政法论丛》2021年第1期,第93页。,从获取客户、资质审核到信用风险评估和授信放贷皆依赖算法技术进行。对于该类纯粹由大数据和算法技术孕育的产物,一旦个人拒绝自动化决策而要求进行人工审核,将极大增加个人信息处理者的运营成本。除此之外,在业已存在自动化决策结果的情况下,人工决策的准确性并不能得到有效保证。自动化决策依托算法机制,其算力相较于自然人决策呈几何倍数膨胀。在决策结果上,除了人工决策会不自主加入认知偏见以外,更极端的是,自然人总是容易信服算法的缜密思维和理性逻辑,因此决策会自然而然地倾向于同自动化决策保持一致,原本正确的判断最终被计算机扭转,导致失误叠加的“自反性悖论”。②参见唐林垚:《“脱离算法自动化决策权”的虚幻承诺》,载《东方法学》2020年第6期,第29页。

(二)“重大影响”的判定标准不明

《个人信息保护法》第24条将“决定对个人权益有重大影响”作为非推送营销类决策对象的程度要件,却并未对“重大影响”一词进行具体界定。类似地,GDPR第22条亦规定,在自动化决策之决定对个体产生法律后果或者类似重大影响时,数据主体有权不受该决定的限制。相较于GDPR第22条,《个人信息保护法》仅使用了“重大影响”一词,限缩了使用场景,并且将是否重大的举证负担分配给了数据主体。从文义看,法律后果似乎不一定都对个人具有“重大影响”,因此,相应的法律后果必须达到重大影响的程度才能作为个人主张拒绝权的条件。然而,“重大”一词难以描述清楚,产生重大影响的判断标准也具有相当程度的主观性③参见蔡星月:《算法决策权的异化及其矫正》,载《政法论坛》2021年第5期,第34页。,很难在“重大”和“非重大”之间划出清晰的界限。④See Céline Castets-Renard,Accountability of Algorithms in the GDPR and Beyond: A European Legal Framework on Automated Decisionmaking, 30 Fordham Intellectual Property, Media & Entertainment Law Journal 91, 122(2019).在强制性具体规则缺失的情况下,如果个人事后主张拒绝权,个人信息处理者可轻易以该结果对个人不具有重大影响为由,拒绝“个人拒绝权”或者拒绝个人要求再次进行人工复核的申请。

虽然《个人信息保护法》将自动化决策分为信息推送类决策与非信息推送类决策两种类型,个人对推送营销类决策具有无限拒绝权,不以决策结果对个人产生重大影响为前置条件。但如果依《个人信息保护法》第24条之规定,信息推送类决策的对象并没有要求个人信息处理者对其自动化决策程序及结果进行说明的权利。一般来说,定向广告和推送不会对个人的权利、利益或者机会造成重大影响,却也无法排除其造成重大影响的可能。部分定向广告针对极易受到攻击的群体,例如,对经济困难的个人而言,如果经常看到在线赌博广告,便可能接受这些广告提供的服务,进而陷入更深的债务困境。①SeeArticle 29 Data Protection Working Party, Guidelines on Automated Individual Decision-making and Profiling for the Purposes of Regulation 2016/679, 2017, p.11.此类决策结果一旦对个人造成重大影响,可依据《个人信息保护法》第24条第3款请求个人信息处理者进行说明。在信息推送类决策满足第3款规定的条件时,个人可以从第2款迁移至第3款进行权利主张。这一解释已逐渐被立法者采纳,如2022年3月1日起施行的《互联网信息服务算法推荐管理规定》第17条第3款便规定,算法推荐服务提供者应用算法对用户权益造成重大影响的,应当依法予以说明并承担相应责任,这一规则便可视为对《个人信息保护法》第24条的呼应与补充。

《个人信息保护法》第24条所称“重大影响”明确指向通过自动化决策方式作出的“决定”,而既非自动化决策所处的场景对个人具有重大影响,亦非自动化决策处理的个人信息类型对个人具有重大性、敏感性。例如,不得单纯依据决策是发生于金融领域抑或医疗领域即认定决策结果对个人具有重大影响,亦不能凭借决策收集了个人的金融信息或者健康信息便判断该决策对个人具有重大影响,而是需要审慎考察决策的结果对个人权益是否达到实质上重大影响的程度,以避免现实中个人拒绝权被滥用。

(三)个人拒绝权的适用除外规定缺失

数据资源的流动性和可获取性是大数据应用和产业发展的基础,含有直接身份信息的个人信息是开展各种社会活动必不可少的要素②参见金耀:《个人信息去身份的法理基础与规范重塑》,载《法学评论》2017年第3期,第124页。,自动化决策系统等个人信息处理技术则是高效利用个人信息的必要工具。法律的终极目标,不全在保护个人之自由与权利,整个社会的发展与人类之生存,也需要同时兼顾。③参见梁上上:《利益衡量论》,北京大学出版社2021年版,第89页。如果个人拒绝权的适用门槛畸高而豁免门槛过低,则可能导致个人拒绝权在实际中处于睡眠状态;若其适用门槛过低而豁免条件宽松,则将造成权利被滥用,“受到经营成本和商主体趋利性的约束,互联网环境中的合作几乎无法达成”④徐玖玖:《数据交易适用除外制度的规则构造》,载《电子政务》2021年第1期,第95页。,最终只能造成个人权益与公共利益两败俱伤的后果。因此,探讨设立个人拒绝权的适用除外制度,对于促进个人拒绝权的真正实现而言必不可少。

本文所称的个人拒绝权适用除外制度是指,在满足一定法定条件的前提下,个人不得对个人信息处理者所进行的自动化决策主张个人拒绝权。如今,《个人信息保护法》第24条并未对自动化决策个人拒绝权的适用除外情形作出规定,仅在该法第13条对所有个人信息处理活动作出了一般性的规定,用以认定个人信息处理行为合法时对“同意”要件的豁免。《个人信息保护法》第13条在常见的个人同意情形外,规定在特殊情形下不取得个人同意亦可开展信息处理活动的情形,具体包括订立或履行合同所必需、履行法定职责或法定义务所必需、应对公共卫生事件以及紧急情况下为保护个人生命健康和财产安全所必需、在合理范围内为公共利益实施新闻报道以及舆论监督、在合理范围内处理个人已公开的信息等,但这一规定无法完全适用于自动化决策情形的个人拒绝权。首先,该规定之目的在于为处理个人信息提供合法性依据,并非为了规范自动化拒绝权的行使。其次,两项规则在关注角度上有差异。《个人信息保护法》第13条认为分析和处理个人已公开的信息无须获得个人同意,这一规定着眼于个人信息的来源,在立法取向上与个人拒绝权抵牾,因为个人拒绝权关注决策结果对个体产生的影响,而非决策信息的来源,不能认为个人无权拒绝依据公开的个人信息所进行的自动化决策。最后,从二者的风险程度来看,自动化决策是个人信息处理的高阶形态,这一过程可能对个人利益甚至公共利益造成更大程度或者更大范围的侵害,理应作出更加严格且具体的制度安排。可以说,我国暂未建构起个人拒绝权的适用除外制度,如果对个人利益过度保护,可能导致个体利益在一定程度上挤占社会公共利益的发展空间。

三、自动化决策中个人拒绝权的优化逻辑

(一)多层级立法的互补化

一方面,各部门根据执法需要,针对自动化决策具体场景的特征,可以分别设置操作性更强、更为具体的法律规则,不断充实个人拒绝权的内涵。另一方面,针对《个人信息保护法》第24条的不足,可以进一步作出符合我国实践的补充。例如,对于“重大影响”的界定还处于较为模糊的状态,如何对其进行界定,于实践而言有着重要的指导意义。除了通过正式法律文件的形式对个人拒绝权进行规范,还可以进一步借用行业标准等软法力量,将较为技术性的内容交由监管部门、社会组织、市场主体通过协商等参与性更强的方式加以建构。目前,《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第7.5条细致地规定了个性化展示行为,其中,在向个人信息主体推送信息服务的过程中使用个性化展示的,应提供简单直观的退出或者关闭个性化展示模式的选项;当个人信息主体选择退出或者关闭个性化展示时,应提供删除或者匿名化定向推送活动所基于的个人信息的选项;使用个性化展示的,宜建立个人信息主体的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。此种规定便可起到明晰个人拒绝权适用要件的作用,从而减少实践中可能出现的法律解释矛盾。

(二)权利塑造的立体化

个人拒绝权并非对抗自动化决策的万能权利,其适用有着严格的条件和阶段限制,并且总是随着自动化决策运行阶段的推进而与其他权利紧密相连。因此,需要打破孤立视角和扁平思维,构造立体性的个人拒绝权。一方面,在权利结构的内外两个层面上,既要完善个人拒绝权的内部结构,又要强化个人拒绝权在行使过程中的外部权利保障。在个人拒绝权的内部,实质上又包含了两个层级:第一层级是权利自身的逻辑自洽,即个人拒绝权在构成要件上的完备;第二层级是个人拒绝权与“算法解释权”等特殊权利在《个人信息保护法》第24条内的演绎。外部层面则是指个人拒绝权与其他一般权利在整个自动化决策场景中的互动。另一方面,在权利构造的纵横两个维度上,要进一步明确个人拒绝权在主张后的权利接续机制,填充个人拒绝权与删除权之间的空白区域。如果法律未能明确相应的接续机制,尤其是针对利益赋予型决策对象而言,个人拒绝权终将沦为立法上的点缀,只能起到《个人信息保护法》构建的权利体系在形式上保持完备的作用罢了。

(三)利益衡量的具体化

个人拒绝权的制度设计需要关注实践中不同主体的利益需求,避免制度设计与现实差距太大而无法落地。如果一项制度全然不考虑实际情况与市场接受程度,要么会因为市场抵制而无法发挥效用,要么会因为过度干预而产生消极影响,进而背离立法初衷。个人拒绝权在一定程度上是对决策对象的倾斜考虑,而如何保持个人权益与公共利益的平衡,则是个人拒绝权相关制度需要进一步考量的问题。个人拒绝权的利益衡量途径主要表现为一般性权利赋予和特殊性权利克减相互协调。在合同必要性、当事人同意等情形中,或者为了国家安全、公共利益、司法程序以及他人权利和自由之目的,可以考虑在立法中规定个人拒绝权的排除适用情形。值得注意的是,当决策对象无法行使个人拒绝权时,其权益可能处于危险状态,因此需要注重借助权利间的相互联动为个人提供保障。

四、自动化决策中个人拒绝权制度的具体完善

(一)明确赋予个人请求人工干预的权利

关于衔接机制,《个人信息保护法》第24条所规定的“个人有权拒绝仅通过自动化决策的方式作出决定”存在三种可能解释:(1)个人在拒绝自动化决策程序的基础上另有请求个人信息处理者进行人工干预的权利;(2)当个人行使拒绝权之后,无须个人主张,而是要求个人信息处理者承担径行人工二次审查与决策的义务;(3)《个人信息保护法》对产生重大影响的自动化决策决定采取一般性禁止的态度,即此类决策结果直接获得法律的否定性评价。第三种解释方法对个人的保护力度最强,使个人信息处理者负担了最重的义务。在这种解释下,自动化决策结果不产生法律效力,因此也就无所谓衔接机制。同样地,GDPR第22条第1款规定的“数据主体有权不受该决定的限制”亦出现了解释上的分歧,其既可以被解释为一项禁令,又可以被解释为一种反对权,这两种解释因数据主体是否需要采取措施以限制自动化决策而有所不同。①See Sandra Wachter, Brent Mittelstadt & Luciano Floridi,Why a Right to Explanation of Automated Decision-making Does Not Exist in the General Data Protection Regulation, 7 International Data Privacy Law 76, 94(2017).如果将其解释为一般性禁止条款,即直接禁止进行对主体产生法律影响或者类似重大影响的自动化决策,自动保护个人免受此类处理可能产生的潜在影响。从体系解释的角度来看,若GDPR第22条第1款对特定自动化决策进行禁止,则只有满足该条第2款规定的情形并提供本条第3款要求的保障措施,自动化决策才能得到GDPR的授权。②欧盟GDPR第22条第2款规定了免受自动化决策约束权的适用除外场景:(1)数据主体和控制者达成合同或合同要求的必要条件;(2)欧盟或成员国法律所授权,该法案约束数据控制者并提供了保障数据主体的权利、自由和合法利益;(3)数据主体明确同意。第3款规定了适用除外规则下数据个体的权利保障:数据控制者应采取适当措施保障数据主体的权利、自由和合法利益,至少保障数据主体能够人为干预数据控制者并能表达观点且有权质疑结果。

现行《个人信息保护法》并没有类似GDPR第22条第2款的例外规定,如果将第24条第3款认定为一般性禁止,将可能严重制约我国相关行业的发展。即使添加了例外规定,也不宜将其认定为一种禁止性条款。因为第24条第3款在“有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”之前,还以相同的语词结构规定了“有权要求个人信息处理者予以说明”。后者明显应为法律对个人的赋权行为,为了保持法律文本和语义的内在一致性,前者也应该被解释为对个人的赋权行为。上述分析否定了将第24条第3款作为禁止性规定的解释途径,亦即第三种解释方法于我国《个人信息保护法》行不通。另两种解释方法实质上皆肯定了《个人信息保护法》为拒绝权设置衔接机制的必要性,二者的核心区别在于,衔接机制是由个人主张权利来启动,还是直接由个人信息处理者通过履行义务来完成。从成本效率角度进行分析,如果个人信息处理者为每一项被拒绝的自动化决策主动进行人工决策,将极大增加个人信息处理者的成本;相反,如果将其设置为权利,由于对于“重大影响”的判断具有一定主观性,由个人自行判断是否主张“请求人工干预的权利”,将节省大量人力成本,从而避免不必要的资源耗费。当然,我国立法在此基础上可以考虑借鉴域外立法模式,直接禁止一部分对个人利益将产生至关重要影响的决定使用自动化决策技术。

自动化决策拥有决策效率上的明显优势,虽然一般情况下决策结果的准确性高,但并不应该因此而否定人工决策的科学性与可行性。首先,人类人格的具体特征无法被参数化,这些都超出了任何自动化决策系统的感知范围。①See Maria Kanellopoulou-Βotti et al, The Right to Human Intervention: Law, Ethics and Artificial Intelligence, Computer Ethics-Philosophical Enquiry (CEPE) Proceedings (May 28, 2019), https: //digitalcommons.odu.edu/ cepe_proceedings/vol2019/iss1/8.其次,机器决策与人类决策在体系结构上是相异的,算法的计算架构并非以某种方式跟随人脑的认知过程,其更类似于回归分析,而非人类神经元的运作形态。②See Aziz Z. Huq, A Right to Human Decision, 103 Virginia Law Review 611, 637(2020).因此,以人工方式进行决策可能得出不同于自动化决策的结果。不可否认的是,在进行人工审查时,人类倾向于相信自动化决策的结果,但工作人员对自动化决策进行重新评估及修改决策的意愿,在很大程度上取决于其对最终决策结果的责任。③See Maja Brkan, Do Algorithms Rule the World? Algorithmic Decision-making and Data Protection in the Framework of the GDPR and Beyond, 27 International Journal of Law and Information Technology 91, 108(2019).因此,可以从法律上设定工作人员因未适当履行人工干预义务而应承担的法律责任以及其对最终结果正确性的责任,这将激励工作人员进行更仔细和严格的审查。虽然请求人工干预作为拒绝权的衔接机制由决策对象行使,但个人信息处理者亦须为个人行使权利提供方便途径,例如,直接在app相应页面设置用户申请进行人工干预权的超链接。同时,在人工对个人信息进行决策处理的过程中,应对个人信息作隐名化处理,保证决策公平以及用户的个人信息不被泄露。

(二)细化“重大影响”的具体指向

《个人信息保护法草案(一次审议稿)》曾将相应内容表述为:“个人认为自动化决策对其权益造成重大影响的……有权拒绝个人信息处理者……”对此,有学者认为,个人信息处理者的说明义务对应的是客观重大影响,而非信息主体主观认识的重大影响。④参见韩旭至:《个人信息保护中告知同意的困境与出路——兼论〈个人信息保护法(草案)〉相关条款》,载《经贸法律评论》2021年第1期,第54页。《个人信息保护法》将其修改为“通过自动化决策方式作出对个人权益有重大影响的决定”,可见,我国将个人主观意识上的“重大影响”转换为客观上的“重大影响”,一定程度上避免了适用上的模糊性。但实践中自动化决策对数据主体是否产生重大影响,仍然存在主观化和场景化的差异,因此,在立法中明确基础判断规则和衡量基准仍颇为必要,对避免权利被不当架空具有积极功用。⑤参见张欣:《免受自动化决策约束权的制度逻辑与本土构建》,载《华东政法大学学报》2021年第5期,第38页。

以一般理性人的视角,对个人生命、健康、安全及财产造成影响皆属重大。另有学者认为,个体如果因自动化决策算法而未能缔结合同,应认定遭受了重大影响;当继续性合同因自动化决策算法的结果而被要求终止时,数据主体也可以行使算法结果拒绝权。①参见林洹民:《个人对抗商业自动决策算法的私权设计》,载《清华法学》2020年第4期,第133-134页。合同缔结机会丧失应为客观标准,应归属“重大影响”之范畴。从上文分析可知,将人工干预权纳入个人主动行使的权利范畴更为合宜,因此即便通过法律列举的方式将丧失信贷机会纳入“重大影响”之列,若个人被拒绝授信之后认为该决定并不会产生事实上的重大影响,其可能不再请求人工干预;相反,如果该决定确给个人带来显著影响,决策对象可依法律规定主张拒绝权并请求另行非自动化决策。直接将部分决定纳入重大影响范畴的立法态度,亦可指引个人信息处理者在这些法定场景下主动为用户设置行使人工干预权的通道。通过法律提供适度倾斜性的保护措施,给予决策对象更多主动权,是弥合个人与个人信息处理者之间实力悬殊的重要举措。

我国立法在认定自动化决策决定的重大影响时,首先,可以将法律影响纳入“重大影响”的概念内涵,将法律影响视为对个人权益造成的重大影响,具体体现为变更个人权利、义务或者责任以及丧失合同缔结机会、中止正在履约的合同等。其次,对于其他类型的重大影响,立法中应明确该决策结果可能影响或改变个人的经济境况、行为、机会或者选择。在具体的立法释义中,可以采取“概括+列举”的模式,既对“重大影响”进行一般性界定,又列举具有代表性的情形。针对法律列举出来的情形,如果个人信息处理者没有相反证据证明该结果对特定个人不具有重大影响,应推定该决策决定将对个人产生重大影响,个人信息处理者须给予行使权利之便利条件。一般来说,重大影响由对主体造成的负面后果而产生②See PaulVoigt & Axel von dem Bussche, The EU General Data Protection Regulation(GDPR): A Practical Guide, Springer, 2017, p.182.,但也不能排除对个人产生的积极影响。自动化决策结果产生重大影响的时间,不仅应着眼于该影响已经发生,还需要扩展到决定作出之后到对决策对象产生影响之前,只要合理确信自动化决策结果将对个人产生重大影响,个人便可以主张个人拒绝权。

(三)完善个人拒绝权的除外规定

为了应对突发事件或者紧急情况、调适个人利益与公共利益的冲突,我国应在《个人信息保护法》第24条的基础上,对个人拒绝权的适用设立必要的除外情形,肯定个人信息处理者获得必要豁免的可能。对此,可以考虑借鉴GDPR第22条第2款,从合同履行所必需、当事人明确同意和其他法律授权方面进行考量。

从合同必要性规定来看,由于个人拒绝权的除外适用将造成个人权利克减,因此在对必要性进行规定时,需要法律作出更为明确清楚的指引,防止个人信息处理者在其隐私政策中通过编排合同必要性条款排除个人拒绝权。具体而言,在对履行合同的必要性进行考察时,不仅应评估自动化决策系统在相关活动中是否具有合理性,以及自动化决策系统在合同缔结、履行方面是否发挥着本质性作用,而且要审查在个人信息处理效益相同的情况下,自动化决策是否是对个人侵害最小的选择。个人信息处理效益应聚焦个人信息处理者正当利益以及决策对象合法权益的双重内涵,防止片面追逐自身利益最大化而损害决策对象的权益。当然,从社会整体利益的角度考量,在具体设置合同必要性条件时,亦不宜将“必要性”的要求限制得太窄。对合同必要性的认定太过严苛,可能排除大量自动化决策的运行,既会对算法技术的发展产生妨碍,亦不利于我国企业在国际市场上的竞争。

另外,是否引入GDPR新增的“当事人同意”这一适用除外情形以及如何认定同意这一要件,依旧是需要综合探讨的问题。考虑到个人利益、个人信息处理者利益之间的平衡,欧盟在本次立法中规定当事人明确同意时不得主张免除自动化决策的约束。然而,众所周知,以告知义务为重心的制度设计模式无法保障知情权的落实①参见万方:《隐私政策中的告知同意原则及其异化》,载《法律科学》2019年第2期,第63页。,“知情同意”机制在现实中难以完全发挥其应有的作用,甚至可能为个人信息处理者提供便利。尤其在网络空间,对数据处理的同意可能会变成一个空洞的形式化过程,从而导致“谬误”。②See Lilian Mitrou, The General Data Protection Regulation: A Law for the Digital Age, in Tatiana-Eleni Synodinou, Philippe Jougleux,Christiana Markou & Thalia Prastitou eds., EU Internet Law: Regulation and Enforcement, Springer, 2017, p.36.因此,“当事人同意”的规定如何确保个人的真实意志得到体现,将是一个实践难题。如果将其引入我国立法,不仅需要同意这一单独形式要件,还应对同意行为规定实质性标准,即数据主体在同意前需要了解数据处理过程以及理解同意此项操作对其产生的风险。③See Rolf H. Weber & Dominic N. Staiger, New Liability Patterns in the Digital Era, in Tatiana-Eleni Synodinou, Philippe Jougleux,Christiana Markou & Thalia Prastitou eds., EU Internet Law: Regulation and Enforcement, Springer, 2017, p.212-213.与欧盟立法不同的是,《个人信息保护法》并未要求个人信息处理者对自动化决策单独征求个人同意。因此,为了避免个人信息处理者通过抽象条款取得个人对包含自动化决策在内的所有个人信息处理程序的概括授权,个人信息处理者应针对自动化决策向个人提供单独征求同意的页面,并明确说明自动化决策与一般个人信息处理的区别和风险。同时,“法律规定的其他情形”为一必要的开放性条款,目的是使法秩序可以根据客观环境的变化灵活调整规则。④参见林洹民:《个人对抗商业自动决策算法的私权设计》,载《清华法学》2020年第4期,第138页。对此,可以参照《个人信息保护法》第44条的立法模式,设置法律、行政法规特殊规定的优先适用规则。⑤《个人信息保护法》第44条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”此种优先适用规则一般以实现公共利益为目标,如《个人信息保护法》第13条规定的应对公共卫生事件、为公共利益实施新闻报道等。

在《个人信息保护法》第24条的规则引导下,个人拒绝权的适用除外制度旨在排除个人对自动化决策的拒绝,但其仍有权对决策结果提出异议。依据《个人信息保护法》第45条规定的个人信息查阅复制权、第46条规定的个人信息更正补充权,个人有权在获悉决策结果后对决策所需的个人信息进行查阅,若相关个人信息有误或缺失,有提出更正、补充相应个人信息的权利,在此过程中应保持个人信息处理者方面有人工参与。待个人信息处理者修正数据后,个人有权再次请求个人信息处理者进行决策。另外,个人拒绝权的适用除外制度并不排除个人请求自动化决策者进行说明的权利,个人依旧可以根据《个人信息保护法》第24条之规定请求个人信息处理者对自动化决策进行解释说明。现行个人拒绝权的联动保障机制只能依靠对《个人信息保护法》进行全文搜索,并通过法律解释的手段将其结合在一起,相关权利之间的联系并不直观紧密。在我国进一步对个人拒绝权进行完善和细化时,可以考虑借鉴域外立法例,将对个人拒绝权的保障直接规定在个人拒绝权条款项下,加强规则的明确性,为个人提供更为清晰的指引。

结语

在如今“机器崛起”的时代,自动化决策技术的运用广度是衡量数字经济发展水平的重要面向。自动化决策中个人拒绝权的设立赋予人类相当程度的自主权,不仅在微观层面有助于维护信息主体的权利及合法利益,更是宏观意义上维系现代社会人类文明内核的重要法治力量。在我国,个人拒绝权仍处于新生阶段,需要不断进行完善。一方面,需要从解释论的角度对个人拒绝权的规范文本进行分析,理清《个人信息保护法》体系内个人拒绝权与其他权利可能产生的制度交叉和矛盾之处。另一方面,需要从立法论的视角探寻依旧存在的立法不足,并有针对性地提出应对之策。需要说明的是,制度完善仅仅是个人拒绝权在现实生活中得以被切实行使的第一步,对其进行塑造依然是一项未竟的工程。此项权利的接力变迁与完备将交给法律适用的实践场域,从而助力缩小自动化决策背景下决策者与决策对象间的实力鸿沟,维持实质公平,促进吾人之社会生活。