(一)算法备案的复合型制度功能算法备案具有一系列制度性功能,我们将其称为复合型制度功能,举其要者,有:1. 获取算法信息,提升监管机构治理效能构建算法治理体系需要立法机构及监管机构掌握算法运用现状及动态,对各类算法风险进行科学评估,以建立分级分类的算法治理体系。
[53] 《马克思恩格斯选集》(第2卷),人民出版社2012年版,第267页。此一解释进路绝非如某些批评者所言,是一种固执的法律实证主义思想[26]。
杨登杰,法学博士,北京航空航天大学法学院副教授。有人可能批评这样的操作框架不够细致,缺乏法律安定性。[15]从19世纪后半叶到20世纪中叶,只有要求国家不干预的防御权才被认为是有法律意义的基本权利。一方面,这类批评夸大了具体法益衡量的法律安定性问题。当然,只诉诸《宪法》条文文义,不能无懈可击地证成基本权利私人间效力,还得进一步走到文本深处或背后,在宪法理论层面探求基本权利的价值内涵。
以体用关系而言,第二层意义涉及体,即基础。在这里,概念的使用不同于主观权利与客观法的一般区分[17]。欧盟第29条工作组在其发布的数据保护影响评估(DPLA)中指明,上述评估旨在描述数据处理的过程,评估其必要性和合比例性,并通过评估对数据处理行为可能产生的风险加以管理。
[37]Hartmut Maurer, Staatsrecht, C.H.Beck 1999, S.285.[38]郑智航:《平衡论视角下个人免受自动化决策的法律保护》,载《政法论坛》2022年第4期,第99页。但法律对算法的规制不能仅停留于工具层面,而是必须以人的主体性为核心和基础。[15]张欣:《免受自动化决策约束权的制度逻辑与本土构建》,载《华东政法大学学报》2021年第5期,第34页。即使未直接处于上述行为法依据的辐射领域,只要公权机关基于个人信息处理进行算法决策,也至少应有行政法规的授权依据。
(一)程序控制和主体赋权的缺陷算法规制的一般径路主要有算法公开、个人数据赋权与反算法歧视。[53]张凌寒:《算法权力的兴起、异化及法律规制》,载《法商研究》2019年第4期,第73页。
但后者认为人类智慧不仅在于得出问题解决的结果,还在于决定解决路径,即问题是通过某种创造性方式还是只是通过惯常方式解决,而这点在弱人工智能观念看来是机器难以习得的。[12]唐林垚:《脱离算法自动化决策权的虚幻承诺》,载《东方法学》2020年第6期,第20—22页。[62]宋华健:《反思与重塑:个人信息算法自动化决策的规制逻辑》,载《西北民族大学学报(哲学社会科学版)》2021年第6期,第104页。之所以要求这种允许性保留(Erlaubnisvorbehalt),首先在于法治国原则下的权利保障。
从条文表述来看,GDPR第22条是赋予了信息主体拒绝算法自动化决策的权利,信息主体事后可针对算法偏误或不公进行主动干预,并拒绝承认其效力。也因此,美国《算法问责法案》采取自我评估和政府评估的双轨制。不安装就不予核发或审验道路运输证,作为决策承受者的相对人在此并无拒绝的可能。[22]但是,即便参照GDPR赋予了数据主体一种全周期和成体系的个人算法权利体系,在应对算法决策时还是会出现重大遗漏。
[4]张凌寒:《算法权力的兴起、异化及法律规制》,载《法商研究》2019年第4期,第66页。(一)免受自动化决策:权利抑或禁令的争论从条文构造看,《个人信息保护法》第24条是对欧盟《通用数据保护条例》(以下简称GDPR)第22条的借鉴。
无论是赋予个人体系性的数据权利,还是科以数据处理者算法公开、算法解释和算法评估的义务,抑或是探求公权机关适用算法决策的实体界限,其最终的目标都是为确保人的主体性和自治性,使其不致因新兴技术的适用而被蚕食,也不致使法治约束公权的目的因人工智能时代的到来而落空。英美法语境中的价值判断从其意涵来看,又对应欧陆法中的判断余地和效果裁量中的狭义自由裁量,[46]二者作为算法决策禁区的理由也因此互有重合。
这种赋能效果又端赖于算法在深度学习,结构性嵌入社会权力运作系统,并对社会生活无孔不入地进行干预以及对人类行为予以普遍性支配等方面表现出的巨大优势。[11]德国《联邦数据法》及英国《数据保护法(草案)》就因上述考虑都采用了禁令模式。造成这一缺漏的原因主要有二:一是常规算法规制路径的影响。但它却无法以数学模型收集所有与裁量相关的信息,因此在个案处理能力上是有限的。一方面,鉴于算法的高度复杂性,倚赖传统的边界划定和治理模式已不完全可行,必须从技术层面对算法设计、部署、运行的全流程予以动态评估,以预先识别、跟踪并纠偏算法内置或潜在的偏误,增加算法运行系统的稳健性和可控性。[19]算法公开被认为是对抗算法黑箱的核心方式,其目标是借由算法解释来破除算法的不透明和由此产生的偏见、歧视和操控。
其次,本条虽然规定了个人免受自动化决策约束权,但个人有权拒绝的究竟只是个人信息处理者仅通过自动化决策的方式作出决定还是自动化决策的结果,条文同样语焉不详。既然是以GDPR为蓝本,那么其对个人权益产生重大影响的解释同样可为我们所参考。
因为法律适用不尽然都是演绎和涵摄,还必须适用直觉或法感这些软性的裁判因子,在涉及文化脉络时,更是攸关隐形知识或无意识,这些无疑是机器所不具备的。为避免限制泛化,欧盟第29条工作组还在《有关GDPR自动化个人决策和识别分析的准则》对其予以进一步限定,即只有明确获得法律授权,出于公共利益、风险防控或者确保控制者提供服务的安全性和可靠性等目的,在已经制定了恰当措施保证数据主体的权利、自由与正当利益基础上,免受自动化决策约束权才会被限制适用。
[59]我国个人信息保护法以GDPR为蓝本,同样在第55条规定了类似的个人信息影响评估,需要评估的事项就包含利用个人信息进行自动化决策。[24]王锡锌:《行政机关处理个人信息活动的合法性分析框架》,载《比较法研究》2022年第3期,第92页。
具体到公共机构适用算法决策,如果只是倚赖《个人信息保护法》第24条单薄的赋权规定,而缺乏对算法决策边界的规范,无疑会因规范缺漏而放纵算法技术与公共权力不断结合,并使个人的主体性因受算法操控而被蚕食。所采取的保护措施是否合法、有效并与风险程度相适应。其二,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。但因考虑到将告知同意适用于公职履行会影响乃至破坏国家的执法能力,《个人信息保护法》已将国家机关为履行法定职责或法定义务所必需的行为从同意原则的适用中豁免,即使是告知义务也被缩减为有限度的告知,即有法律、行政法规规定应当保密或者不需要告知情形的,可以不向个人告知。
[25]赵宏:《告知同意在政府履职行为中的适用与限制》,载《环球法律评论》2022年第2期,第44页。[31]现实中人们的观点常常在上述两种倾向中拉扯,但这也恰恰说明,不作统一规定而是要求立法者在具体立法中权衡,甚至确保效能与权利保护可以相互支援而非彼此排挤,或许才能避免算法时代的法律和公共决策出现量子飞跃般的体系断裂和模式移转。
[60]例如,加拿大《自动化决策指令》中以风险影响等级而将自动化决策划分为可逆和短暂性影响,可逆和短期性影响,难以逆转且持续性影响以及不可逆转且永久性影响4个等级,并分别确立评估指标体系。我国行政处罚法、行政强制法亦将涉及人身自由的处罚和强制措施的创设权保留给法律。
此外,如果允许公共机构适用算法予以决策,就应同时科以其采取妥善措施确保数据主体的权利与正当利益的义务。但被告人认为法院依据COMPAS评估结果对其量刑处理侵犯了他获得个性化判决的权利,而且COMPAS报告仅提供与特定群体相关的数据,因此同样侵犯了其基于精确信息被量刑的权利。
除非有压倒性合法理由凌驾于数据主体利益或者自由权利之上,否则也有权拒绝数据处理(包括用户画像)(第21条),这种事先告知并征得同意的处理方式本质上正是告知同意原则的思路延伸。由此来看,《个人信息保护法》虽对算法决策有了一定的规范基础,但这些规范不仅质效单薄,其中还隐含着未对公共决策适用算法设置实质界限的重大缺漏。因为算法结果过于倚重聚类数据,算法技术提供的也是标准化处理,这种处理方式既与法官的裁量权存在龃龉,同样会影响当事人获得个性化裁判的权利。四、公共决策适用算法的界限缺失与背后原因由上述分析可知,因为采取的是赋权模式,我国公共决策适用算法技术在源头处并未受到实质性限制。
相比只是概括性授权的简单法律保留,加重的法律保留同样对立法者的权限进行了限定,由此避免将某些事项直接交由法律规定,却对其不加任何限制所导致的立法滥权。这也意味着包括生命权、人身自由在内的自由权应受到更高程度的保护,立法者在将攸关这些基本权利的公共决策交由算法时也会受到更严格的约束,而在不能确保上述权利获得充分保障时,完全的算法决策更应被明确禁止。
权限控制主要依赖由法律优先和法律保留所构成的依法律行政原则。典型的德日公法已从过去的侵害保留进阶到重要事项保留,这也意味着基本权利是否属于法律保留事项已不再依据其类型区分,只要行政决定攸关基本权利就都处于法律保留的覆盖范围,有所区别的只是授权法的规范强度。
这种思路又延续了法律规制技术的典型思考:如果某项技术应用可能带来无法估量且难以逆转的风险,在道德与伦理层面也受到一致批判,就应为法律所完全禁止,例如基因编辑技术。[27]1.GDPR中隐含的加重法律保留法律保留应作为公权机关适用算法决策的界限又可参考GDPR。