对外经济贸易大学法学院:赵煦雅 赵婧帆 吴桐|德国征信机构自动化评分引发诉讼 ——欧洲法院关于自动化决策首案的里程碑意义浅析
【ZiDongHua 之人文化天下收录关键词:对外经济贸易大学 法与自动化 自动化决策 智能决策 算法 GDPR 通用数据保护条例 欧盟】
德国征信机构自动化评分引发诉讼
——欧洲法院关于自动化决策首案的里程碑意义浅析
在算法时代,自动化分析和各种形式的评分可能会变得更加普遍,人们的日常生活也受到了此类自动化决策的深刻影响,其中尤为突出的是个人信用评分服务。个人信用评分较低的消费者可能寸步难行:他们没有办法获得银行贷款,无法租赁房屋,也不能在购物中选择分期付款。
终于,在自动化决策技术问世几十年后,数据主体免受自动化决策约束权案件在欧洲法院首次得到审议。今年初,欧洲法院第一分庭就OQ诉德国黑森州一案举行了听证会,欧洲法院对本案的裁决有望于今年9月至12月之间作出。此案被称为欧洲法院关于自动化决策的具有里程碑意义的首个案件。
征信机构的个人信用自动化评分被起诉
本案是原告OQ(数据主体)针对SCHUFA(德国通用信用权益保护协会)对其做出的个人信用评分提起的诉讼。SCHUFA是一家德国私人征信机构,旨在通过数学统计方法,基于一个人的某些特征来预测其未来的行为,为其客户提供个人信用评分。
SCHUFA在向其第三方客户提供OQ的信用评分后,OQ被拒绝授信。因此,OQ要求SCHUFA向她提供SCHUFA存储其数据的有关信息,并删除那些她认为不正确的数据。随后,SCHUFA通知OQ她的信用评分是85.96%,并大致介绍了得出该评分的主要计算过程。但是,SCHUFA并没有透露哪些信息被纳入计算范围及其所占的权重。SCHUFA称,出于商业与行业秘密的保护,SCHUFA没有义务透露此类具体计算方法。此外,SCHUFA还强调,它只向其客户提供了评分信息,而不是是否授信的最终决定。
2018年10月18日,OQ向被告黑森州的数据保护和信息自由专员(HBDI)提出投诉,要求HBDI命令SCHUFA允许她访问和删除SCHUFA存储的其个人信用数据。OQ认为,SCHUFA有义务披露其计算个人信用评分的具体方法以及其数据处理的意义和结果。HBDI拒绝对SCHUFA采取进一步行动,因为HBDI认为,SCHUFA对信用评分的计算符合德国联邦《数据保护法》第31条的具体要求。
最终,威斯巴登行政法院中止了OQ提起的行政诉讼,并将此问题提交给欧洲法院进行初步裁决。
GDPR(欧盟《通用数据保护条例》)第22条(自动化决策)第1款规定,数据主体有权反对完全基于自动化处理(包括用户画像)对其做出的决策。
本案围绕此条款所产生的争议展开。
GDPR是否对自动化决策作出禁止性规定
本案争议核心,是对GDPR第22条(自动化决策)第1款的理解。GDPR第 22条(自动化决策)规定:
1.数据主体有权反对此类决策:完全依靠自动化处理(包括绘制用户画像)对数据主体做出具有法律影响或类似严重影响的决策。
2.当决策存在如下情形时,第1款不适用:(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的;(b)当决策是欧盟或成员国的法律所授权的,控制者是决策的主体,并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益;(c)当决策建立在数据主体的明确同意基础之上。
3.在第2段所规定的(a)和(c)点的情形中,数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。
4.第2段所规定的决策的基础不适用于本法第9(1)条所规定的特定类型的个人数据,除非符合第9(2)条(a)点或(g)点的规定,并且已经采取了保护数据主体权利、自由与正当利益的措施。
要适用GDPR第22条第1款,必须同时满足以下三个要求:1、已作出决策;2、决策制定完全基于自动化处理或分析;3、对数据主体具有法律效力或类似的重大效力。
在口头听证会中,法院主要提问并探讨了关于“决策”一词的概念外延和第22条第1款的性质。
听证会中欧洲法院的提问及各方的回答
从听证会法官的评论和提问中,我们发现,欧洲法院似乎倾向于对“决策”进行较为宽泛的解释,“决策”包括信用评分这类预备决策行为,将第22条第1款解释为对自动化决策的禁止性规定。
GDPR第22条的性质:是一项对自动化决策的禁令吗?
GDPR第22条第1款的性质一直争论不休。关键问题在于,该条款是否包含原则上禁止自动化决策的规定。这一观点得到了欧洲数据保护委员会(European Data Protection Board)的支持,即第22条第1款规定了对自动化决策原则上的禁止,但要遵守第2款中的例外情况。欧洲法院法官Thomas von Danwitz在听证会上的评论及提问表明,他似乎也将倾向于将GDPR第22条第1款解释为对自动化决策原则上的禁止。在听证会期间,没有任何一方反对这一观点,这表明双方在此达成共识。或许在将来,欧洲法院也会正式将GDPR第22条第1款解释为对自动化决策原则上的禁止。
如何解释GDPR第22条第1款中的“决策”一词?
被告黑森州的数据保护和信息自由专员(HBDI)在听证会上辩称,个人信用评分的计算本身不是GDPR第22条意义上的“决策”。HBDI认为,GDPR第22条第1款仅适用于已经作出的“决策”而非信用评分计算等决策预备行为。SCHUFA认为应将GDPR第22条的起草历史也考虑在内,GDPR的最初提案并不包含“决策”一词,而是使用了概念外延更广的“措施”一词。因此,GDPR第22条不适用于SCHUFA。
在口头听证会上,Thomas von Danwitz法官提到,“决策”的概念不一定要用行政法的术语来解释。他还认为建立信用评分确实是GDPR第22条第1款意义上的“决策”,因为评分已经作出并分配给特定个人。
数据控制者是否有义务主动告知数据主体与自动化决策相关的信息?
从Thomas von Danwitz法官在口头听证会上发表的评论及提问来看,他似乎认为GDPR第71条规定了数据控制者有义务主动告知数据主体与自动化决策相关的信息。在听证会上,von Danwitz法官引用了德文版本的GDPR序言第71条,该条指出,数据主体有权要求数据控制者就可能对数据主体造成法律或类似重大影响的自动化决策的相关事宜作出解释。他指出在任何情况下都必须有GDPR第22条第3款提到的适当保障措施,要求数据控制者向数据主体提供与决策相关的具体信息。
代理总检察长Priit Pikamae的意见
总检察长的意见对法院没有约束力,其作用是以完全独立的方式向法院提出案件的法律解决方案。Pikamae的意见主要是:
数据主体不仅有权从数据控制者处确认自己的个人数据是否正在被处理,还有权获得其他相关信息。
根据GDPR第15条,数据主体还有权了解评分过程中是否存在自动化决策(包括用户画像分析),决策所涉逻辑以及此类处理对于数据主体预期后果的有效信息。
Pikamae认为,提供15条中“与所涉逻辑相关的有效信息”的义务必须被理解为详细地向数据主体解释计算评分所使用的具体方法和产生某一评分的原因。一般来说,数据控制者应向当事人提供的基本信息包括,决策过程中考虑到的因素及其它们各自在总体水平中的权重占比,这也有助于当事人对GDPR意义上的任何“决策”提出质疑,真正享有不被仅基于自动化处理(包括用户画像)的决策所受制的权利。
自动生成个人信用评分构成GDPR第22条第1款中绘制用户画像行为。
Pikamae认为,GDPR第22条第1款应被解释为:自动生成个人信用评分(也即对个人未来偿还贷款的能力的估值),已经构成完全基于自动化处理的决策。因为如果该估值是通过与该人有关的个人数据确定的,并由数据控制者传送给第三方控制者,而后者在决定与该人的合同关系的建立、实施或终止时将该估值作为重要考量因素,那么该决策也符合了“对数据主体具有法律效力或类似的重大效力”的内含。
判决或有利于对公民基本权利的保护
本案的核心焦点在于对GDPR第22条第1款的解释:一是私人征信机构对数据主体做出对其未来偿还贷款的能力的估值(即信用评分行为),是否属于本条款意义上的“决策”;二是此条款是对自动化决策的一般性禁令,还是只有数据主体积极援引权利才可以被适用的规定。
从听证会上欧洲法院的法官的评论和提问,以及总检察长在会后发表的意见可以看出,法院更倾向于将评分行为认定为GDPR第22条第1款中的自动化决策,总检察长就此指出,此类行为可被进一步归类于其中的用户画像的绘制行为。因此,原告OQ的诉求或许能够在未来的裁决中得到支持。同时,法院似乎也更倾向于将本条款认定为原则上的禁止性规定,并认为数据控制者有义务主动向数据主体解释与自动化决策相关的信息。这有利于对公民基本权利的保护。
虽然GDPR条款中没有明确规定数据控制者对自动化决策进行解释的义务,但此义务是对GDPR进行系统解释后所要求的,特别考虑到GDPR第71条(指“数据主体有权获得数据控制者对基于此类评估所达成决策的解释”)、GDPR第5(1)(a)条(与数据主体相关的合法性、公平性和透明度)和GDPR第12(1)条(数据控制者须以简洁、透明、可理解和易于访问的形式向数据主体提供信息)。
同时,基于对欧盟二级法律(GDPR)的解释不得违背欧盟基本法(欧盟基本权利宪章)的原则,我们将欧盟基本权利宪章纳入考量。其第8(2)条规定,处理个人数据必须是出于特定目的。然而,与此原则相反,很多数据控制者的用户画像行为往往是出于其他目的而对个人数据进行收集。因此,此类行为在GDPR中也须被理解为原则上的禁止。因为用户画像有可能被滥用并导致歧视,阻止个人获得就业、信贷和保险的机会,或导致其难以购买风险或成本过高的金融产品。
但是,我们也会发现GDPR的立法者所遗留的潜在问题。在通过机器自学和挖掘大型数据集的过程中,任何完全不需要人工控制来做出的决策都被认为是完全自动化的。这就是为什么GDPR第22条第1款的适用还要求自动化决策对数据主体的影响不是“微不足道”的,而必须是“重大效力”,否则自学型算法将没有原材料用于发展,技术的进步将受到影响。
在未来,随着自学算法、自动化分析的飞速发展、在社会各领域的应用和普及,对自动化决策的限制显然会成为重要的议题。而在这样的背景下,如何既能保障公民个人与数据相关的基本权利,又能尽量减少对此类技术发展的阻碍,显然是值得深入探讨的话题。
(作者单位:对外经济贸易大学法学院)
评论排行