域外观察 | GDPR赋予了数据主体算法解释权吗?
设想一个场景,银行B通过各种方式收集了P的个人信息(包括但不限于P主动向银行提交的),并将这些信息以数据形式输入到算法中,银行B将根据得分来决定是否授予P申请的贷款。最终P并未获得贷款,银行B也仅以短信的方式告知P,“根据我们的评估,您不符合获得此种贷款的相应资格”。如果P拥有一般理解的解释权,首先,银行B应当向P说明,其评估结论是来自于算法,即“根据XX系统的评估”;其次,P可以要求银行B说明这个系统是如何运行的,为什么自己的申请被拒绝;最后,P可以要求银行B以人工方式重新评估。在最小的意义上,解释权是一种“被告知的权利(right to be informed)”,即获得实现社会生存及参与所需的基本信息的权利。
简单来讲,我们将解释权理解为,自动化决策所包含的内在逻辑以可理解的方式解释给数据主体,并由此衍生出的对抗自动化决策的相应措施。这一简单定义之下必然包含更多问题,(1)向谁解释?是解释给特定权益受到影响的数据主体,还是自动化决策的所有对象?由前一个问题引发,(2)什么时候解释?是决策之前给予解释?还是事后给予解释?以及(3)怎样解释?是系统性解释还是特定决策解释?前者包含自动化决策系统的运行逻辑、预见性后果和一般功能,后者则特定环境下特定主体的影响因子,以及参照群体的具体特征等。(4)采取何种措施?如对算法决策中特定考量因素的解释是否是一种保护措施?这些问题往往彼此对应,如系统性解释往往对应着事前解释,特定决策解释则是事后的、个案的解释,两种解释对于数据控制者产生的影响不同。由于解释权所涉及的议题过多,在提出之时就产生许多争论,GDPR也采用了模糊化的立法方案,并未对其进行准确界定。
GDPR可能涉及解释权的地方有三处:(1)针对自动化决策系统的保护措施(第22条(3)项及序言第71条);(2)提示性义务(第13-14条及序言第60-62条);(3)访问权(第15条及序言第63条)。如上所述,尽管GDPR未明确“解释权”的表述,但这三处可能构成解释权的法律基础,也部分回答了前文所提到的四个问题。
从针对自动化决策的保护措施来看,第22条(3)项明确,“在第2段所规定的(a)和(c)点的情形中,数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。”此处并不要求数据控制者向被决策主体提供“解释”,但“适当措施(safeguards)”存在一定的解释空间。值得注意的是,序言第71条中“对于(自动化)决策的解释”是有关解释权的唯一直接描述,根据此条,适当措施包括“向数据主体提供具体信息,有权获得人工干预,以表达自身观点,获得评估后决定的解释,以对决策表达异议”。事实上,如果GDPR序言具有法律约束力,那么此条实际上赋予了数据主体事后解释权,即被决策主体有权要求数据控制者就特定决策提供解释。但由于序言部分仅具备参考价值,序言第71条不能作为解释权的法律基础。
数据控制者的提示性义务规定在第13-14条,其表述方式都是“数据控制者应当向数据主体提供如下信息”,根据第13条(2)f及第14条(2)g项,这些信息包括——“自动化决策的存在,包括第22(1)和(4)条所规定的用户画像,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体所产生预期后果的有效信息”。第13条2项明确了提供此类信息的时间节点,即数据控制者“获取个人数据”之时,因此在逻辑上第13条的规定是一种提示(notification),它发生在决策行为之前,是一种事前解释。第14条的规定未在时间节点上做出提示,具有一定的模糊性,从第13条(2)f及第14条(2)g项“预见性后果(envisaged consequences)”的表述来看,所告知的仅是一种预期后果,如果实际结果已经发生则无解释的必要,因此也宜被认定为事前解释,且从第13、14条的关系来看,其性质都应被认定为是“提示性义务”。
最有可能作为解释权法律基础的是第15条,与前面两处规定不同的是,第15条是赋予数据主体的权利,GDPR将其定义为访问权(right of access)。第15条(1)h项与第13条(2)f、第14条(2)g项并无不同,换言之,第15条赋予了数据主体主动获取相关信息的权利,是从义务到权利的视角转变。问题在于,第15条并未明确此种权利行使的时间节点,理论上只要数据主体愿意,在任何时候都可以要求数据控制者提供相应信息。相反意见认为,如果寻求解释的一致性,“预见性后果”的表述所产生的时间问题依然存在,而“自动化决策的存在”也暗示了同样的问题(如果是事后解释则也无需说明自动化决策的存在了)。因此,我们可以说第13-15条只是提供了一种预期性的、事前的解释。此外,从《1995年数据保护指令》相关规定的执行情况来看,其所规定的访问权也限制在对系统性功能的解释,因此也是一种事前解释,从历史解释的角度来看,GDPR也并不包含对特定决策的事后解释。
GDPR第15条(1)h项所规定的访问权本身也存在许多其他模糊之处,其文本极大地限制了此项规定的解释范围,事实上导致其难以适用。第一,对于什么是“自动化决策”,是要根据第22条(1)项来判定,但此项规定将这一概念界定为“仅依靠自动化处理得出的决策”。换言之,只要存在人工处理,无论是否由自动化处理预先决定,都无法适用第15条(1)h项所规定的访问权,则数据控制者只要做出相应调整,就无需担心数据主体能依法提出相应的访问请求(例如前例中,P是否能够获得贷款由某系统根据其信用得分预先决定,但B可以在决策的最终阶段实现人工介入)。第二,对于第21条(1)项中 “法律效果(legal effect)”的界定也并不清晰,严格来说,对于受到自动化决策影响的数据主体,其法律状态(如法律权利的行使)并不一定受到影响,尽管P最终未获得银行贷款,但法律上并不存在P应当获得贷款的权利,而如果依据第21条(1)项中“或以其他相似方式对他/她产生影响”,则数据主体需要证明自动化决策对自身利益的影响达到了规定中的程度,更不用说在自动化决策对数据主体产生间接影响的案例中,个体需要承担更高的举证责任。
参考文献:
1.Katrin Blasek, Do data subjects have a right to detailed disclosure of how an automated decision has been made (‘right to explanation’)? at https://eulawlive.com/op-ed-do-data-subjects-have-a-right-to-detailed-disclosure-of-how-an-automated-decision-has-been-made-right-to-explanation-by-katrin-blasek/
2. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation, International Data Privacy Law, 2017, at SSRN: https://ssrn.com/abstract=2903469 or http://dx.doi.org/10.2139/ssrn.2903469
3. Margot E. Kaminski, The Right to Explanation, Explained, Berkeley Technology Law Journal, Vol.34:189, 2019, at https://scholar.law.colorado.edu/faculty-articles/1227.
4. 丁晓东译,GDPR中文版,网址:https://www.tisi.org/502
月度热点 | 国际ICT立法跟踪5月热点域外观察 | 新西兰信息专员办公室发布《生成式人工智能指南》要求AI企业遵守《隐私法》域外观察 | 欧盟委员会根据《数字服务法》指定第一批超大型在线平台和搜索引擎域外观察 | OECD发布《人工智能语言模型》报告域外观察 | 欧洲议会关于“通用人工智能”的观察动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)动态观察 | 主要国家和地区AIGC监管动态汇总月度热点 | 国际ICT立法跟踪4月热点中心活动 | 网络空间治理“三人谈”:“吃瓜”要有度 底线不能丢域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用