如果说网络立法1.0时代美国《千禧年数字版权法》建立的安全港制度,旨在保护以信息网络传播权为主要服务内容的互联网企业,那么网络立法2.0时代则开启了以个人数据和个人信息为重要保护对象的用户权利时代。在这个围绕数据收集、加工、利用和分发为核心的世界数据工厂中,网络企业利益和个人利益的此消彼长既可能影响私法主体的个体利益,也可能影响不特定群体的利益,甚至会触及作为社会基本行为规范边界的法律制度。因此,一些早期网络立法中不被重视的内容才在人工智能技术图景日渐扩大的版图上再次显露出来,并彰显了越来越强的重要性。自动化决策的算法解释权正是其中之一。
目前自动化决策算法的主要应用场景有:定制信息的推送、顾问型服务(如智能投顾、机器人医生)、自动化驾驶汽车、搜索引擎服务等。尽管法律本体论专家正在努力将规范约束植入机器人的开发协议或计算机芯片之中,但客观情况是,法律对产品型算法和服务型算法采取了完全不同的责任构成要求。换言之,在具有实体基础依归或载体的算法责任事件中,人们过于依赖现行的产品侵权责任的立法,而没有充分考虑自动化决策算法本身的侵权责任。尽管机器人医生未必在接入互联网的状态下进行工作,但其所用以训练的数据集和执行具体手术的深度学习算法,可以很容易地同步该领域最新的线上、线下研究成果。因此,建立在技术中立原则基础上的网络1.0立法,主要是一种责任免除型而非责任构成型立法,意图促进当时正处于萌芽和发展期的互联网企业。然而,随着时间的推移,不仅资本大举进入该行业,人工智能技术的发展也令算法服务的相对人在服务中越来越处于客体化和被边缘化的地位。算法解释权可看作人类为捍卫人的自我决定权,对抗数据控制者和处理者的一种努力。
与网络立法1.0时代的接入、传输、转发服务所引起的间接侵权不同,网络立法2.0时代,算法服务提供者更多地以直接侵权行为主体的面目出现。算法服务提供者需要从网络用户的个人信息、行为轨迹,甚至投诉过程中,全方位将用户作为机器学习的样本、大数据的来源、人机交互的模仿对象和虚拟社会构建的现实场景。在设计、制造和完善算法的过程中,在构建独立于现实经济社会之外的虚拟经济社会时,需要近距离观察、研究、追踪、分析,甚至是监测(如各种传感器、卫星遥感技术、摄像头等物联网技术)用户的全场景的活动。这些数据的碎片共同构成了以自动学习算法为代表的智能工业熔炉的燃料,以甄别、预测、激发用户需求,从而为用户定制服务或拒绝服务。用户在服务中的主动权也不断被弱化。可见,上述代表性算法服务(产品)都可看作一种广义的算法技术为核心的服务合同。由此,算法服务提供者便具有了合同法上的从给付义务和附随义务。
出于保护企业商业秘密和减轻负担的角度,不可能要求提供算法服务的企业对所有算法均进行解释。因此,欧盟对自动化决策的算法解释权作出了限制。该制度最早见于欧盟《数据保护指令》第15条,由于该条仅规范特定类型的算法,而诉讼中争议最大的是决策是否纯粹由机器(人)做出。因此,该条款既没有在欧洲法院受到太多重视,更鲜有被欧洲之外法律制度借鉴。随着深度学习技术的广泛应用,自动化决策场景增多,引发的争议也日趋激烈。
欧盟《一般数据保护条例》在多个条款中规定了自动化决策算法的问题,包括“鉴于”的第71条(以下简称“第71条”),正文的第13条、第14条和第22条。作为同样以“自动化决定”为标题的条款,第22条在第15条的基础上没有增加实质性的内容,只是补充了明示同意作为不受自动化决定的例外;并在第15条数据主体有权表达观点之外,增加了对决定提出异议的权利,将二者概括为获得人为干预的权利。这主要是机器学习算法的动态学习程度输出结果不确定,人类难以有效监督,而人工标签等歧视性输入变量,也有导致算法偏见潜在风险。可见,算法解释权本质是一种基于基本人权而衍生的意志自决权和受到公平对待的权利。有学者仅以第71条来理解算法解释权,也有学者将正式条文的第13条第2款f项和第14条第2款g项的算法逻辑、数据处理重要性和后果的告知义务看作解释权,还有学者把第22条解读为反自动化决策权。诚然,这几个与自动化决策算法有关的条文具有一定联系,其区别于非自动化决策的算法,但它们也有显著不同。
《一般数据保护条例》第13条和第14条的算法逻辑、数据处理重要性和后果的告知义务,是一种未产生不公平后果的一般性的、为保护知情权的说明义务。而第71条和第22条则是基于评估结果做出决定的保障措施及其例外条款。第71条和第22条均以将对数据主体产生法律后果或类似重大影响作为前提,并包含了该决定对双方合同的达成和履行的必要性原则,或决定经过数据主体明示同意的隐性条件。可见,第71条承担的更多是保护数据主体的权利的立法职能,而第22条则为自动化决策算法设置了必要性和同意的例外条款。从二者的关系来看,根据第71条,即使在例外条款存在时,数据主体依然享有解释权,仅应受该决定的约束。如果将第71条第2段看成对算法透明原则进行事先规定的话,则第71条第1段所指的,对评估后作出的决定做出解释的算法解释权,其实是内含于对抗自动化决定算法的“适当的防范措施”之一,是与明确告知相关信息并告知其有要求人工干预、表达观点、异议权相并列的一种请求说明的权利。
它不同于算法透明原则项下的知情权。根据美国计算机协会2017年公布的算法治理七项原则,知情权是应该披露算法设计、执行、使用过程中可能存在的偏见和可能造成的潜在危害。显然,它未必与自动化决策和以个人敏感信息评估为前提的决定有关。而该解释权不仅是一种被动性防御的权利,可视为与表达观点、提出异议并列的权利,从而成为获得人为干预等替代选择的基础。若按这个逻辑进行解释,可将算法解释权看成一种对合同履行行为符合双方缔约目的或合同基础的说明义务。由此,作为提供算法服务的一方主体,根据《民法典》第496条,对于对方有重大利害关系的条款,除参考欧盟《一般数据保护条例》第13条、第14条进行告知外,还负有法定的说明义务,否则对方可以主张该条款不构成合同的内容。故算法解释权兼具算法服务者说明义务与数据主体自决权的双重属性。
《个人信息保护法(草案)》第25条未规定例外条款,这可能使算法提供者失去了在对方提出异议时,根据必要性原则和明示同意进行抗辩的可能性。更为重要的是,第25条将限缩了解释权的适用场景,仅规定了产生重大影响,未规定产生法律效力,且将证明是否重大的举证负担分配给了数据主体。这对于数据主体行使解释权十分不利。第54条要求信息处理者对自动化决策进行事前风险评估,并对处理情况进行记录,这是一种事前的行政性的算法风险评估措施,只能从算法设计角度起到一定的预防性作用,但不能与个人的具体解释权的权利请求相结合,仍难以实质上成为主张算法服务提供者进行人工干预,或提供不针对个人特征的选项的条件。尽管第25条第2款规定了算法服务提供者进行商业营销、信息推送时,提供无个人特征选项的义务,但信息推送服务以外的人工干预可能性很难通过对该款的扩张解释,或根据第54条的算法评估来实现。
(作者单位:北京化工大学法律系)
评论排行