自动化|唐林垚:“脱离算法自动化决策权”的虚幻承诺( 四 )


“脱离自动化决策权”的式微 , 还源于过于宽松的豁免条件 。 DPID第15条规定 , 数据主体主动要求并同意接受自动化决策服务时 , 将受到类似“禁止反言原则”的约束;在签订合同时 , 只要数据控制者或处理者采取了合适的措施来维护数据主体的合法权益 , 那么纯粹自动化决策的效力将不受挑战 。 GDPR实际上扩大了DPID的豁免范围 , 在第22条第2款中明确规定了“脱离自动化决策权”不适用的三种情形——当事人同意、法律授权以及合同约定 。 在上述三种豁免情形之外 , GDPR第4款额外增加了需要和其他法条相互参照的行权限制条件 。 第22条第3款虽然对豁免条件进行了适当限缩 , 要求“数据控制者应当采取充分措施保障数据主体的权利、自由和正当利益 , 允许数据主体对数据控制者进行人工干涉 , 以便表达其观点和对决策表达异议的基本权利” 。 但是深究该款措辞不难看出 , 在豁免情形中 , 数据控制者依法应当保障数据主体的 , 只是“数据主体进行人工干涉”而非“数据主体请求数据控制者进行人工干涉”的权利 , 并且 , 数据主体进行人工干涉是为了表达其观点和对决策表达异议 , 具有“反对权”而非“脱离自动化决策权”的外观 。 易言之 , “脱离自动化决策权”豁免条件生效 , 只需以对反对权的保障作为前提 , 而反对权已在GDPR第21条中得以单独规定:“出于公共利益、官方权威、控制者或第三方追求正当利益所进行的数据处理 , 包括根据相关规定进行的用户侧写 , 数据主体有权随时反对 。 ”第22条第3款对第21条的简单重复并未实质性提高数据控制者的豁免门槛 。
(三)“权利”与“禁令”的实质之争
在适用条件苛刻、豁免门槛过低的双重制约下 , “脱离自动化决策权”赋予数据主体的权利在法律上并非以“可执行的状态”存在 , 数据执法机关在实践中也很难将第22条作为切实可行的执法依据 。 实践中 , 对GDPR第22条的内在属性的认识割裂 , 在立法者和执法者之间渐次成型:立法者认为自己为数据主体创设了一种在特定情形中可以行使的权利 , 但执法者只将其视为针对特定类型自动化决策的禁令 。 与GDPR相对应的《欧盟执法指令》(下简称LED)第11条针对特殊类型的自动化决策连续使用了三个“禁止” , 显然是将GDPR第22条视为一条禁令 , 招来了多数成员国的质疑 。 从执法者的角度来看 , 禁令思维确实更易于执法活动的开展 , 也在表面上维护了GDPR与LED的和谐统一 。 但此种“为了执行而执行”的粗浅认识罔顾了欧盟立法者在个人数据保护方面的大局观 , 强行以LED第11条的规定去统合GDPR第22条的实现方式反倒会破坏欧盟整体数据保护框架的一致性 。
在笔者看来 , 以权利思维而非禁令思维理解GDPR第22条 , 至少有三点好处:其一 , 承认GDPR第22条为数据主体可以行使的“脱离自动化决策权” , 同第22条的字面表述相吻合 , 同时也符合立法者以法律规则“钳制”自动化决策过程的主观想象;其二 , 权利思维契合当下自动化决策被广泛应用于私营和公共部门的现实 , 对特定类型的自动化决策不宜一概禁止而应当考察其应用场景;其三 , 权利思维更符合辩证法所崇尚的自然科学观 , 即自动化决策完全可以给社会整体带来可观的利益 , 而非总是因外部性扩散催生社会成本 。 总而言之 , 以禁令思维理解GDPR第22条的做法过于简单 , 这其实是LED其他条款也或多或少存在的共性问题 , 反映出人工智能领域立法者与执法者难以消磨的思维偏差以及由此产生的释法断层——可解释的法律不可执行、可执行的法律不合解释;如何尽可能缩小两者之间的差距 , 是在规则的应然和实然争辩之外 , 值得学术界和实务界上下求索的基础问题 。
作为一项披着禁令外衣的权利 , “脱离自动化决策权”本质上是一项请求权 , 是自动化决策关系中数据主体请求数据控制者“为或不为一定行为的权利” , 数据主体不能对自动化决策的权利标的进行直接支配 , 而只能请求数据主体予以配合 。 由此引出了本文的关键问题 , “脱离自动化决策权”究竟赋予了数据主体哪些请求数据控制者“为什么”与“不为什么”的权利?


推荐阅读