自动化|唐林垚:“脱离算法自动化决策权”的虚幻承诺( 六 )


但是 , 从GDPR第13至15条引申出来的“获解释权”完全局限于数据的搜集和处理阶段 , 如此“事前解释”只能肤浅地让数据主体得知自己个人数据的处理概况和潜在影响 , 并不能让数据主体真正知晓最终形成的自动化决策与其当下际遇之间的因果关联 。 很明显 , 处于信息极度弱势地位的数据主体 , 主动行使“获解释权”的理想预期 , 是要获得其在承受自动化决策阶段的事中和事后解释 , 而GDPR对此语焉不详 。 在此种背景下 , 部分学者将GDPR第22条视为同第13至15条的衔接 , 补足了事中和事后“获解释权”的法律真空 。
诚然 , GDPR字面规定的“获解释权”确实存在事前、事中和事后脱节 , 导致权利难以覆盖自动化决策全过程的问题 , 但是 , 衔接断裂的问题完全可以通过直接补充规定的方式予以修复 , 实在没有必要在距离13至15条“至少7条开外的”第22条中以如此晦涩、隐蔽的方式对事中和事后的“获解释权”进行界定 。 欧盟立法者之所以不在GDPR中建立完整的“获解释权”链条 , 极有可能源于两个层面的思考和顾虑 。 其一 , 批评者们看到的是一个设定一项“获解释权”就可以让自动化决策可解释的世界 , 而这种理想愿景同当今技术运作的现实情况存在巨大鸿沟 。 尤其是在事中和事后阶段 , 随着机器学习模型的日益复杂、卷积神经网络的广泛适用、数据搜集源头的交汇重叠 , 要真正就自动化决策的运作原理与裁判机制作出详细且外行人也能理解的解释 , 可谓难上加难 。 事前的各类解释或许有助于数据主体作出是否同意自动化决策的判断 , 但考虑到人工智能是以技术手段对自然人的深度仿生 , 以预期效果为导向的、事中和事后的因果关联尝试极易将物质表象的经验规律同内在直觉的感性判断混淆起来 , 最终只能得到故弄玄虚、毫无根据的假设而非解释 。 其二 , 算法可解释性的合规要求 , 必然伴随相当可观的合规成本 。 “获解释权”的规定越是完整无遗漏 , 身处信息弱势地位的数据主体前期缔约和谈判的成本就越低 , 但因此增加的其他成本则完全由数据控制者或处理者概括承受 。 长期以来 , 对于此类成本转嫁是否合理的争论从未平息 。 一方面 , 正如上文所指出的那样 , 数据控制者针对自动化决策进行的事中和事后解释极有可能属于徒劳无功的解释 , 经常是“解释了也是白解释”;另一方面 , 完整意义上的“获解释权”至少在一定程度上有助于消弭算法歧视、降低数据控制者和数据主体之间的信息不对称 。 对于此类“或有或无”的法律规则 , 现代法经济学给我们的教义是:应当衡量法律实施的成本与潜在社会收益之间孰轻孰重 , 即那些看似公平的原则是否同时也是那些符合效率的原则 。 在全球人工智能竞争白热化的阶段 , 说服各国政府和跨国大型公司建立事前、事中和事后的“获解释权”闭环实属痴人说梦 。
(二)“脱离自动化决策权”不与“被遗忘权”混同
在“脱离自动化决策权”难同“获解释权”等量齐观的情况下 , 另有一些学者试图将GDPR第22条视为“被遗忘权”相关条款的延伸乃至重复 。 因为在历史上 , “被遗忘权”的创设同“脱离自动化决策权”的发展有着千丝万缕的联系 。
在2010年Google Spain v. Costeja Gonzalez案中(以下简称谷歌案) , 原告要求被告谷歌公司删除12年前因为房屋网络拍卖而在搜索引擎中陈列的、已经过时的个人信息 。 欧盟法院在裁判时 , 从DPID中推导出了数据主体应当享有的“被遗忘权” , 依据是第6条“个人数据的处理应当适当、相关、同被处理(以及进一步处理)的目的吻合 , 在必要时进行更新以保证准确性”以及第12条允许数据主体“更正、擦除以及屏蔽不符合DPID所规定的处理的数据” 。 2013年欧盟《信息安全技术公共及商用服务信息系统个人信息保护指南》吸收了欧盟法院的判决和DPID的前述规定 , 直截了当地建议:“当数据主体有正当理由要求删除其个人数据时 , 应及时删除个人数据 。 ”GDPR第17条对“被遗忘权”进行了直接规定:“数据主体有权要求数据控制者擦除关于其个人数据的权利 。 ”


推荐阅读