王莹:算法侵害类型化研究与法律应对
针对人脸识别算法乱象,我国《个保法》第26条虽引入了利益衡量思维,要求“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识,所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,取得个人单独同意的除外”,但对比GDPR可知,该规定既未采用例外授权许可形式,也未引入比例原则及要求提供安全保障措施,规定显然更加宽松。
通过对算法侵害类型进行部门法场景化分析,我们发现,现行法律框架可以将算法歧视、算法操纵、算法错误等纳入电子商务法、反不正当竞争法、侵权法的框架加以规制与救济,但对于算法标签与算法归化,则不存在对应的法律资源与解决方案。
三、算法侵害的数据法规制路径分析
2018年5月生效的GDPR开创了大数据时代个人数据保护制度的先河,引入了关于个人数据处理的一般原则、数据主体权利、数据处理者义务等的规定,并且针对日益加剧的数据画像及自动决策风险设置了自动决策相关条款,赋予了数据主体对完全自动决策的反对权与解释权,为个人防御算法时代的算法侵害提供了权利武器与平等装备,在很大程度上起到了弥合传统场景式部门法规制对算法侵害的应对不足与规制裂缝的作用。
(一)数据处理的一般原则:源头数据规制路径
GDPR引入关于个人数据处理的合法、公正和透明性原则,目的限制原则,数据最小化原则,准确性原则,限期保存原则,完整性与保密原则这六项原则,从源头端对算法对个人数据的处理进行规制。
1.合法、公正和透明性原则[GDPR第5条1(a)]
算法自动决策对个人数据的处理须符合该原则的要求,做到合法、公正、透明。例如,在对经济状况不佳的消费者进行风险归类并向其推销不合理的高风险金融产品时,即使获得了数据主体的同意或符合第6条所规定的其它合法性要求,这种数据处理也因可能导致消费者接受不合理的高风险金融产品而违反公正性原则。可见,数据处理的合法、公正和透明性原则能够从数据合规角度防治此类算法侵害。
2.目的限制原则、数据最小化原则[GDPR第5条1(b)(c)]
目的限制原则要求对个人数据的收集应当有具体、清晰与正当的目的,对个人数据的处理不应当违反此类目的。数据最小化原则要求,就实现数据处理目的而言,对个人数据的处理应当是适当、相关和必要的。上述原则禁止数据控制者超出其声明目的而扩张性地进行数据收集与再利用,这有助于从数据源头端限制对算法的过度使用与滥用。
3.准确性原则[GDPR第5条1(d)]
准确性原则要求个人数据应当是准确的,如有必要,须及时更新,且必须采取所有步骤,以保证不准确的个人数据能够被删除或及时得到更正。根据欧盟《第29条工作组个人自动决策指南》(下文简称“第29条工作组指南”),数据控制者需要考虑数据画像全流程的正确性问题,包括以下阶段的正确性,(28)即数据收集、数据分析、建立个人数据画像以及适用数据画像作出影响个人的决策。如果在自动决策或画像过程中所使用的数据发生错误,那么,所得出的任何决策及画像都将是有缺陷的。例如,基于过期的数据或者基于对外部数据的错误解析而作出决策,会导致对个人健康、信用或保险风险的错误预测或陈述。即使原始数据记录正确,数据组也可能因欠缺代表性或者分析逻辑而包含隐藏的偏见。数据控制者有必要采取稳固措施来验证和确保那些被再利用与间接获取的数据的正确性与时效性。准确性原则能够保证算法所处理的数据(包括训练数据与真实数据)的真实性与准确性,降低算法侵害的可能性。
4.限期保存原则[GDPR第5条1(e)]
机器学习算法被用来处理大量信息,通过信息处理,在信息之间建立关联,以进行综合性的、私密的个人画像,因此,数据控制者往往倾向于搜集大量数据并长期保存,以便于进行算法学习。GDPR的数据最小化原则与限期保存原则将数据画像等自动化处理对个人的消极影响降至最低,能够避免个人数据被超期保存或永久存档,避免个人数据被算法反复处理、分析,被用于不同的风险评估,形成电子身份印记并被算法放大,最终减少算法标签等算法侵害。
5.完整性与保密原则[GDPR第5条1(f)]
完整性与保密原则通过要求数据控制者采取合理的技术或组织手段,保障个人数据的安全,包括防御未授权或非法的处理,防御意外损失、销毁或损害,这能够从源头端降低算法侵害的可能性。
上述GDPR的数据处理原则开创了从数据源头端规范算法应用与遏制算法权力的制度先河,为个人对抗商业与公共领域对算法的不当应用提供了超越传统隐私法、反歧视法、侵权法、宪法及人权法的新型法律文本依据。关于荷兰政府部门算法系统的SyRI案是一起GDPR生效后的实验性案例,该案检验了GDPR对公共机构算法应用的规制效果。(29)荷兰社会事务部于2014年创建了一个名为系统风险指数的算法系统SyRI(System Risk Indicator),用以筛查具有高社会福利欺诈风险的人群。荷兰议会立法允许该系统运用17种政府数据(包括税务记录、土地注册档案、车辆登记信息等)进行风险评估。该算法在鹿特丹等四个城市的应用结果显示,低收入人群与移民聚居的社区具有高社会福利欺诈风险。2018年,该系统将1000多个家庭或个人标记为具有高社会福利欺诈风险,使得这部分人被政府加强监控、取消社会福利甚至罚款的概率大为增加。在问题被媒体披露以后,SyRI算法遭到那些被标记为具有高风险的人的集体抵制。荷兰社会事务部也被民权团体诉至法院,该案成为限制政府算法权力的实验性案例,引起了全球关注。尽管荷兰政府利用技术性手段解决欺诈问题是合法的,但SyRI算法因收集整个社区的海量数据而侵犯了欧盟人权法所保障的私人生活不受侵犯的权利,与GDPR规定的合法、公正和透明性原则及数据最小化原则相悖,同时,将低收入人群评估为具有高社会福利欺诈风险,有算法歧视之嫌。
(二)数据赋权:个人数据赋权的规制路径
GDPR采取赋予数据主体权利的进路,在第12条至第22条赋予了数据主体获取数据处理相关信息的权利、对个人数据的访问权、对个人数据的更正权、对个人数据的删除权(被遗忘权)、限制处理权、数据携带权、一般反对权和反对自动化处理的权利。更正权与删除权不仅适用于输入的个人数据(用以建立画像的数据),也适用于输出的个人数据(数据画像本身或者对个人作出的评估分数)。(30)赋予数据主体更正权,就是赋予数据主体对错误的、不充分的个人数据进行更正的权利,此与数据处理的准确性原则相呼应,保证了源头数据的正确性,有助于减少算法侵害的发生概率。赋予数据主体删除权,即在对个人数据的保存就实现其被收集或处理的相关目的而言不再必要时,或者在数据主体撤回同意时,或者在已经存在非法的个人数据处理时,数据主体具有要求控制者删除相关个人数据的权利,此与限期保存原则类似,可以避免个人数据被算法反复处理、分析,免于个人数据被用于不同的风险评估,能够降低算法标签侵害的发生概率。
1.免于/反对完全自动决策的权利
GDPR第22条(31)引入完全自动决策专门条款,赋予数据主体一般性的免于完全自动决策的权利,规定除因订立或履行合同所必需、存在法律授权或明确同意外,数据主体有权利不受仅依赖自动决策(包括数据画像)所作出的、对个人产生法律影响或类似重要影响的决定的制约。GDPR第IV章一般性地禁止完全自动决策,以回应完全自动化处理对个人权利与自由的潜在风险。(32)
GDPR区分了完全自动决策与有人工介入的自动决策,对完全自动决策采取一般性禁止的立场。即使在订立合同所必需的或数据主体同意的例外场合,在进行自动决策时,数据控制者也须采取保障措施,向数据主体提供人为干预、表达观点及质疑决策的权利与机会,避免个人沦为被算法决策操纵的对象,这体现了GDPR对信息算法时代个人自决权的尊重,这也是旨在在配置解释权之外引入一个更广泛的算法问责机制。(33)正如相关比较法研究(34)所揭示的那样,欧盟及其成员国坚持将数据保护及“人在回路(human in the loop)”作为一项基本性权利,并丰富完善权利细节,同时将算法规制糅合于拓展数据主体权利、限制数据控制者权限的数据保护机制之中,体现了强调人性尊严、个人自治权利的法律文化传统与立法政策。GDPR引入一般性的反对完全自动化决策的权利,限缩了完全自动化决策的应用空间,能够防止数据控制者以“完全的算法决策不受人为控制”为由来逃避对算法侵害的追责。尤其是对处于传统法律规制真空区域的算法操纵、算法标签等算法侵害而言,GDPR对一般性禁止的引入,成了一道稀缺而有效的法律屏障。
2.算法解释权及相关权利
GDPR序言第71条规定,“数据主体应有免于受制于自动化处理手段对其个人进行精准评价以及对其产生法律效果或重要影响的情况……在任何情况下,这些数据处理应当有适当的保障措施,包括获得人为干预、表达观点、对评估后作出决策的解释权利以及对决策质疑的权利”。尽管立法序言条款仅具有辅助阐述条款含义的目的,并不具有被直接适用的效力,(35)但与该条相呼应,正文第13条、第14条、第15条也规定了数据主体在第22条(1)、(4)规定的情形下具有获知自动决策通知、自动决策涉及的逻辑、自动化处理的重要性及后续影响的权利。尽管不乏争议,但学界多数意见仍认为,上述规定创立了对算法的解释权或准解释权。(36)
(1)第13条和第14条规定的知情权
爱思想关键词小程序