自动化|唐林垚:“脱离算法自动化决策权”的虚幻承诺


自动化|唐林垚:“脱离算法自动化决策权”的虚幻承诺文章插图
唐林垚 中国社会科学院法学研究所助理研究员 , 法学博士、博士后 。
内容摘要
欧盟《通用数据保护条例》(GDPR)第22条应作权利而非禁令解 , 由此产生的“脱离自动化决策权”存在与“更正权”竞合之表象、与“获解释权”补强之曲解以及与“被遗忘权”混同之误判 。 界定该权利应把握两条主线:(1)GDPR序言第71条赋予数据主体的三种基本权利乃相互并列而非互为因果;(2)权利内涵随技术发展嬗变 , 在基于数据库编码的计算机自动化场景为脱离数据采集 , 在基于机器学习的算法自动化场景为脱离用户侧写 , 在基于神经网络的超级自动化场景为脱离平台交互 。 破除权利失语的关键在于适用条件去场景化以及自甘风险式的豁免进路让位于实现公共利益所必须的法定许可 。 若不囿于既定框架 , 陈情权和离线权的重构思路各有合理之处 , 但应防范可能产生过高的社会成本 。
自动化决策是与自然人决策相对立的概念 , 意指利用计算机技术(1980-2000)、算法程序(2000-2020)、深度学习或神经网络(2020+)替代自然人处理关键数据 , 凭借其自动生成对数据主体具有法律效果的决策的行为 。 欧盟《通用数据保护条例》(下简称GDPR)第22条第1款允许数据主体“脱离自动化决策” , 国内主流学者将其翻译为“反对自动化决策”或“不受自动化处理的决定的限制” , 但依照原文“有权不成为自动化决策支配对象(not to be subject to a decision based solely on automated processing)”之表述 , 将其译为“脱离自动化决策”更为妥当 。 第22条第1款虽然在文义上赋予了数据主体脱离完全依靠自动化处理对其做出的具有法律后果决策的权利 , 可是具体该如何脱离、能够脱离到何种程度 , 仅凭第22条无从知晓 。
我国虽未进行相关法律移植 , 但在实践中以行胜于言的方式 , 一定程度上实现了上述“脱离自动化决策权”的精神内涵 。 一个贴切的例子是:政府部门允许个人在健康码的结果同实际情况不符时 , 拨打12345热线发起纠错申请 , 经县级防控指挥部核实确认后 , 即可修改风险判定结果 。 该实例向我们充分展示了三个深刻的现实:其一 , 在疫情防控常态化的背景之下 , 数据主体与自动化决策“脱钩”将寸步难行 , 即便行使了“脱离自动化决策权” , 也不过是对不公正结果的暂时纠偏 , 不能、也不可能完全脱离自动化决策;其二 , 即便效果有限 , “脱离自动化决策权”也是一种值得保护的法律权利 , 因为无论自动化技术有多么先进 , 出错在所难免 , 此时 , 适当的人工介入乃数据主体脱离自动化决策失误的补救之道;其三 , “脱离自动化决策权”是一种颇为特殊的权利 , 有着不同于一般请求权的行使要件和适用场景 。 例如 , GDPR第16条规定了数据主体的“更正权” , 允许数据主体在不违反处理目的的前提下 , 完善或更正不充分的个人数据 。 我国网络安全法也有类似的规定 , 且被最新颁布的民法典所吸纳 , 成为人格权编中的重要条款 。 似乎 , 拨打12345发起健康码纠错申请 , 是当事人在行使法定的更正权 。 对此 , 需要厘清的是 , 无论是欧盟还是我国 , 数据主体行使更正权可以更正的对象 , 只能是个人数据而非数据经自动化处理后产生的决策结果 , 两者有着指向性的区别 。 就行权拟取得的法律效果而言 , “更正权”甚至算不上最低程度的“脱离自动化决策权” 。
在自动化应用结构性嵌入社会运营的大趋势下 , “脱离自动化决策权”绝非请求人工介入、修改决策结果这么简单 , 否则GDPR第22条大费周章、甚至有些迂回曲折的立法尝试将毫无必要 。 “脱离自动化决策权”的内涵和外延究竟是什么?与GDPR保障数据主体的其他权利有何关联和区别?正确理解“脱离自动化决策权”背后的核心价值与理论基础 , 将对我国未来人工智能立法带来重要启示 。


推荐阅读