返回上一页 文章阅读 登录

吕炳斌:论个人信息处理者的算法说明义务

更新时间:2021-11-04 13:18:01
作者: 吕炳斌  

   摘 要:告知同意系个人信息保护的基本要求和核心规范。告知中的“明示”要求和充分性要求均蕴含着说明义务。在应用算法的自动化决策场合,个人信息处理者也应承担相应的“算法说明义务”。算法说明义务在理论上具有正当性,不仅共享着个人信息处理者的说明义务的正当理论,还具有若干额外的补强理由,但同时也面临一些抵触性的理由;这些理由相互作用,决定了算法说明义务的限度。算法说明义务的目的在于保障个人知情,该义务指向关于算法技术及其应用方面的有用信息,但无需涵盖算法的技术细节和复杂的数学解释。为弥补算法说明义务的不足,可辅之以算法问责制,对算法进行协同治理。

  

   关键词:个人信息处理;算法决策;告知同意;说明义务;算法说明义务

  

  

  

   一、问题的提出

  

   告知同意系个人信息保护的基本要求,并作为核心规范被纳入《中华人民共和国民法典》(以下简称《民法典》)之中。其中,“告知”又处于前置地位,是个人信息保护的首要规范要求。网络服务商、数据企业等个人信息处理者①必须满足“公开处理信息的规则”和“明示处理信息的目的、方式和范围”这两项前提条件,这是《民法典》第1035条明文施加的告知义务,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第7条也对此进行了重申。这两项条件看似明确,实则由于法律规范的高度抽象性,存在许多有待解释的问题。比如,立法者有意区分使用“公开”和“明示”,“公开”的内涵相对清晰,“明示”具有什么特殊内涵和规范要求却值得探讨。“明示”的规范要求中是否存在说明义务?说明的程度是否又意味着充分说明?又如,处理信息的方式属于“明示”的内容,其中是否包括自动化决策的算法?为聚焦讨论对象,本文将以应用算法的自动化决策(后文将之简称为“算法决策”)为视角,分析和明确个人信息处理者的算法说明义务及其限度。

  

   随着大数据和人工智能技术的发展,算法决策正在兴起。基于个人信息处理,绘制自然人的人格画像,进行个人性格、行为偏好、身份特质等个人特征分析,将之用于定向广告、精准营销、保险评估、贷款管理等不同领域,正在逐渐普遍。数字化的个人信用评分系统也在不断发展。可以说,一个“空前规模的‘评分社会或者说等级化的‘排序社会”正在形成季卫东:《数据、隐私以及人工智能时代的宪法创新》,载《南大法学》2020年第1期,第3页。。

  

   在上述背景下,算法决策场合中个人信息处理者的说明义务成为一个非常值得研究的时代命题。个人信息保护问题在广泛应用算法决策的大数据技术背景下也更为突出,学者也已提出算法解释权的概念并对之展开了探讨解正山:《算法决策规制——以算法“解释权”为中心》,载《现代法学》2020年第1期,第179-193页;张欣:《算法解释权与算法治理路径研究》,载《中外法学》2019年第6期,第1425-1445页;张凌寒:《商业自动化决策的算法解释权研究》,载《法律科学》2018年第3期,第65-74页,等。。就我国现有法律而言,立法者未采纳“个人信息权”一词,相应地,个人是否享有“算法解释权”这种“权利”也会产生争议。然而,如下文将详细展开,尽管我国个人信息保护规范在整体上未使用权利化表达,却确立了相应的义务性规则,其中蕴含着“算法说明义务”。为跳出权利和权益之争,在学术研究上也可切换视角,从义务角度展开研究,使用“算法说明义务”的概念。如果说个人是否享有“算法解释权”存在争议,个人信息处理者的算法说明义务在我国法下却实实在在地存在。本文将首先从规范分析上论证算法说明义务,认为该项义务扎根于个人信息处理者的首要义务和基本义务即告知义务,孕育并脱胎于后者。其次,在规范证成之后,本文将从理论上为算法说明义务作正当性证成。最后,本文将探讨和明确算法说明义务的范围及其限度。

  

   二、算法说明义务的规范推演路径

  

   (一)从个人信息处理者的告知义务到说明义务

  

   我国个人信息保护方面的立法未采纳“个人信息权”的权利化表达,但明确规定了信息处理者的相应义务。个人信息处理者的首要义务是告知义务。并且,比起可以存在“法律、行政法规另有规定的除外”的同意要求《民法典》第1035条第1款第1项。,告知义务不仅是个人信息处理者必须满足的前提条件,还具有普适性,是通常情况下个人信息处理者必须满足的义务。

  

   依據《民法典》第1035条第1款第2、3项确立的基本规则,个人信息处理者必须满足“公开处理信息的规则”和“明示处理信息的目的、方式和范围”的前提要件。其实,这种告知义务中包含着说明义务。该条款的第2、3项分别以“公开”和“明示”开头,也体现了立法者对告知义务的程度要求存在区别。处理信息的规则只要公开即可。即使规则中信息混杂、用语晦涩、令人费解,前述公开要求已经得到满足。然而,对于“处理信息的目的、方式和范围”这些重要事项,仅仅包含在规则之中予以公开尚且不够,其告知需要达到“明示”的程度要求。

  

   个人信息处理者的说明义务正是蕴含在法律上的“明示”要求之中。在文义上,“明示”中的“明”的一种主要含义是明白、清楚,而“示”字也含有表明之意新华辞书社:《新华字典》,商务印书馆1971年版,第301、393页。。由此,“明示”的含义应该是明白、清楚地表明某些信息内容,使别人知道。“明白、清楚地表明”蕴含着说明之意。其实,“明”字在日常使用中也有说明之意。使对方明白、清楚,应该通过解释说明的手段来实现。因此,从文义上可以解释得出,《民法典》第1035条中的“明示”一词意味着该条确立了个人信息处理者的说明义务。

  

   此外,告知的充分性要求也蕴含着说明义务。告知义务不是一种形式要求,而是一种实质要求,其中包含着充分性要求。如此方能实现告知义务的宗旨,促进用户的知情同意。我国立法机构部分工作人员编写的民法典释义书藉在解读《民法典》第1035条时,也认为“只有让信息主体充分知悉和了解个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能影响,才可以保护信息主体的意思判断是自主、真实和合理的”,并在阐述时将该条中的“明示”一词替换为“用通俗易懂、简洁明了的语言说明”黄薇主编:《中华人民共和国民法典人格权编解读》,中国法制出版社2020年版,第218页。。其中不仅提出了告知的“充分性”要求,也明确地提出了说明要求。其实,这两点是相通的,充分告知也意味着信息处理者应当将相关内容说明清楚。

  

   为避免“告而不知”,使知情同意沦为空话,在“告知”的规范要求中应当内含着说明的成分。说明义务的存在,有助于缩小从“告知”到“知情”之间的间距。诚然,告知义务、说明义务的判断包含着充分性、合理性等不确定概念。何为合理的方式、合理的充分程度在实践中难免发生分歧。对此,判斷的基准应当是通常理性人标准,在网络空间即为普通网络用户标准吕炳斌:《个人信息保护的“同意”困境及其出路》,载《法商研究》2021年第2期,第95页。。网络服务商、数据企业在收集个人信息时,应当将其目的、方式和范围明确地向用户告知说明,以通常用户能够理解为准。

  

   (二)从个人信息处理者的说明义务到算法说明义务

  

   在基于个人信息处理的算法决策场合,个人信息实际上是通过算法的方式予以处理和分析的,信息处理者也应当有相应的说明义务。本文将之称为“算法说明义务”,而不是迎合学理上的“算法解释权”,从而使用“算法解释义务”一词。这主要是为了保持本文术语使用的一致性和连贯性。说明的基本含义是“解说明白”,和解释的涵义几乎相同。因此,本文所谓算法说明义务亦可谓算法解释义务,与学者所谓“算法解释权”相对应。算法说明义务的存在意在保护个人权益。个人需要获得关于算法决策的解释说明,意味着决策对个人将会产生或者已经产生实质性影响。对个人有实质性影响的决策一般也是基于个人信息的处理,在信用评分、刑事量刑等典型情形皆是如此。因此,算法说明义务可谓一般意义上的个人信息处理者说明义务在算法决策场合的推演。

  

   至于算法说明义务的定义,此处只能先笼统地将之概括为关于利用个人信息进行自动化决策的算法进行说明的义务,具体内涵尚待下文探讨算法说明义务的范围和限度之后再行明确。

  

   (三)算法说明义务在《个人信息保护法》实施后的双重规范依据

  

   在《民法典》中,个人信息处理者的说明义务源于其明确规定的告知义务,算法说明义务的渊源也正是告知义务。《个人信息保护法》进一步确立了算法决策相关的说明义务。《个人信息保护法》第24条第1款前半句规定“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正”,第3款规定“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”《个人信息保护法》第24条。此条第1款规定的透明度原则其实也蕴含着算法说明义务,第3款确立了一种应要求的说明义务、事后的说明义务。对此条款,本文有两点评价:第一,该条是否赋予了个人以“算法解释权”仍然可能存在争议。该条在体系上位于“个人信息处理规则”一章,而不是位于集中规定个人权利的“个人在个人信息处理活动中的权利”一章。在如此体系安排之下,个人是否享有“算法解释权”难免产生分歧。但毋庸置疑的是,个人信息处理者需要履行算法说明义务。正是因为权利和权益都对应着义务,并且权利和权益都要通过对方履行义务来实现,研究义务对法律的实施而言更为重要。第二,即使承认该条款规定了所谓“算法解释权”,这也是一种非常有限的“解释权”,一方面在时间上仅针对作出决定后的解释说明,另一方面又有着“重大影响”的条件限制,适用范围极为有限。而本文提出和论证的“算法说明义务”的范围将可囊括事前说明和事后说明,且不拘泥于“重大影响”的条件限制,其范围广于《个人信息保护法》第24条的规定。因此,在《个人信息保护法》出台后,更有必要提倡使用“算法说明义务”这一含义较广的术语,如果提倡使用“算法解释权”的术语,则可能仅仅指向前述第24条规定的有限版本。

  

本文认为,在我国《个人信息保护法》出台并实施后,算法说明义务将有两处规范依据:其一是《民法典》确立、《个人信息保护法》予以强化的个人信息处理者的告知义务;其二是《个人信息保护法》引入的自动化决策的透明度原则和特定条件下的事后说明义务。这种双重规范依据与欧盟法律极为类似。欧盟《通用数据保护条例》(GDPR)也没有专门规定“算法解释权”。欧洲学者就“算法解释权”是否存在曾展开激烈争论See Sandra Wachter, Brent Mittelstadt, Luciano Floridi,Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/129449.html
文章来源:现代法学 2021年4期
收藏