论文部分内容阅读
摘 要:告知同意系个人信息保护的基本要求和核心规范。告知中的“明示”要求和充分性要求均蕴含着说明义务。在应用算法的自动化决策场合,个人信息处理者也应承担相应的“算法说明义务”。算法说明义务在理论上具有正当性,不仅共享着个人信息处理者的说明义务的正当理论,还具有若干额外的补强理由,但同时也面临一些抵触性的理由;这些理由相互作用,决定了算法说明义务的限度。算法说明义务的目的在于保障个人知情,该义务指向关于算法技术及其应用方面的有用信息,但无需涵盖算法的技术细节和复杂的数学解释。为弥补算法说明义务的不足,可辅之以算法问责制,对算法进行协同治理。
关键词:个人信息处理;算法决策;告知同意;说明义务;算法说明义务
中图分类号:DF52 文献标志码:A
文章编号:1001-2397(2021)04-0089-13
DOI:10.3969/j.issn.1001-2397.2021.04.08
一、问题的提出
告知同意系个人信息保护的基本要求,并作为核心规范被纳入《中华人民共和国民法典》(以下简称《民法典》)之中。其中,“告知”又处于前置地位,是个人信息保护的首要规范要求。网络服务商、数据企业等个人信息处理者①必须满足“公开处理信息的规则”和“明示处理信息的目的、方式和范围”这两项前提条件,这是《民法典》第1035条明文施加的告知义务,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第7条也对此进行了重申。这两项条件看似明确,实则由于法律规范的高度抽象性,存在许多有待解释的问题。比如,立法者有意区分使用“公开”和“明示”,“公开”的内涵相对清晰,“明示”具有什么特殊内涵和规范要求却值得探讨。“明示”的规范要求中是否存在说明义务?说明的程度是否又意味着充分说明?又如,处理信息的方式属于“明示”的内容,其中是否包括自动化决策的算法?为聚焦讨论对象,本文将以应用算法的自动化决策(后文将之简称为“算法决策”)为视角,分析和明确个人信息处理者的算法说明义务及其限度。
随着大数据和人工智能技术的发展,算法决策正在兴起。基于个人信息处理,绘制自然人的人格画像,进行个人性格、行为偏好、身份特质等个人特征分析,将之用于定向广告、精准营销、保险评估、贷款管理等不同领域,正在逐渐普遍。数字化的个人信用评分系统也在不断发展。可以说,一个“空前规模的‘评分社会’或者说等级化的‘排序社会’”正在形成季卫东:《数据、隐私以及人工智能时代的宪法创新》,载《南大法学》2020年第1期,第3页。。
在上述背景下,算法决策场合中个人信息处理者的说明义务成为一个非常值得研究的时代命题。个人信息保护问题在广泛应用算法决策的大数据技术背景下也更为突出,学者也已提出算法解释权的概念并对之展开了探讨解正山:《算法决策规制——以算法“解释权”为中心》,载《现代法学》2020年第1期,第179-193页;张欣:《算法解释权与算法治理路径研究》,载《中外法学》2019年第6期,第1425-1445页;张凌寒:《商业自动化决策的算法解释权研究》,载《法律科学》2018年第3期,第65-74页,等。。就我国现有法律而言,立法者未采纳“个人信息权”一词,相应地,个人是否享有“算法解释权”这种“权利”也会产生争议。然而,如下文将详细展开,尽管我国个人信息保护规范在整体上未使用权利化表达,却确立了相应的义务性规则,其中蕴含着“算法说明义务”。为跳出权利和权益之争,在学术研究上也可切换视角,从义务角度展开研究,使用“算法说明义务”的概念。如果说个人是否享有“算法解释权”存在争议,个人信息处理者的算法说明义务在我国法下却实实在在地存在。本文将首先从规范分析上论证算法说明义务,认为该项义务扎根于个人信息处理者的首要义务和基本义务即告知义务,孕育并脱胎于后者。其次,在规范证成之后,本文将从理论上为算法说明义务作正当性证成。最后,本文将探讨和明确算法说明义务的范围及其限度。
二、算法说明义务的规范推演路径
(一)从个人信息处理者的告知义务到说明义务
我国个人信息保护方面的立法未采纳“个人信息权”的权利化表达,但明确规定了信息处理者的相应义务。个人信息处理者的首要义务是告知义务。并且,比起可以存在“法律、行政法规另有规定的除外”的同意要求《民法典》第1035条第1款第1项。,告知义务不仅是个人信息处理者必须满足的前提条件,还具有普适性,是通常情况下个人信息处理者必须满足的义务。
依據《民法典》第1035条第1款第2、3项确立的基本规则,个人信息处理者必须满足“公开处理信息的规则”和“明示处理信息的目的、方式和范围”的前提要件。其实,这种告知义务中包含着说明义务。该条款的第2、3项分别以“公开”和“明示”开头,也体现了立法者对告知义务的程度要求存在区别。处理信息的规则只要公开即可。即使规则中信息混杂、用语晦涩、令人费解,前述公开要求已经得到满足。然而,对于“处理信息的目的、方式和范围”这些重要事项,仅仅包含在规则之中予以公开尚且不够,其告知需要达到“明示”的程度要求。
个人信息处理者的说明义务正是蕴含在法律上的“明示”要求之中。在文义上,“明示”中的“明”的一种主要含义是明白、清楚,而“示”字也含有表明之意新华辞书社:《新华字典》,商务印书馆1971年版,第301、393页。。由此,“明示”的含义应该是明白、清楚地表明某些信息内容,使别人知道。“明白、清楚地表明”蕴含着说明之意。其实,“明”字在日常使用中也有说明之意。使对方明白、清楚,应该通过解释说明的手段来实现。因此,从文义上可以解释得出,《民法典》第1035条中的“明示”一词意味着该条确立了个人信息处理者的说明义务。
此外,告知的充分性要求也蕴含着说明义务。告知义务不是一种形式要求,而是一种实质要求,其中包含着充分性要求。如此方能实现告知义务的宗旨,促进用户的知情同意。我国立法机构部分工作人员编写的民法典释义书藉在解读《民法典》第1035条时,也认为“只有让信息主体充分知悉和了解个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能影响,才可以保护信息主体的意思判断是自主、真实和合理的”,并在阐述时将该条中的“明示”一词替换为“用通俗易懂、简洁明了的语言说明”黄薇主编:《中华人民共和国民法典人格权编解读》,中国法制出版社2020年版,第218页。。其中不仅提出了告知的“充分性”要求,也明确地提出了说明要求。其实,这两点是相通的,充分告知也意味着信息处理者应当将相关内容说明清楚。 为避免“告而不知”,使知情同意沦为空话,在“告知”的规范要求中应当内含着说明的成分。说明义务的存在,有助于缩小从“告知”到“知情”之间的间距。诚然,告知义务、说明义务的判断包含着充分性、合理性等不确定概念。何为合理的方式、合理的充分程度在实践中难免发生分歧。对此,判斷的基准应当是通常理性人标准,在网络空间即为普通网络用户标准吕炳斌:《个人信息保护的“同意”困境及其出路》,载《法商研究》2021年第2期,第95页。。网络服务商、数据企业在收集个人信息时,应当将其目的、方式和范围明确地向用户告知说明,以通常用户能够理解为准。
(二)从个人信息处理者的说明义务到算法说明义务
在基于个人信息处理的算法决策场合,个人信息实际上是通过算法的方式予以处理和分析的,信息处理者也应当有相应的说明义务。本文将之称为“算法说明义务”,而不是迎合学理上的“算法解释权”,从而使用“算法解释义务”一词。这主要是为了保持本文术语使用的一致性和连贯性。说明的基本含义是“解说明白”,和解释的涵义几乎相同。因此,本文所谓算法说明义务亦可谓算法解释义务,与学者所谓“算法解释权”相对应。算法说明义务的存在意在保护个人权益。个人需要获得关于算法决策的解释说明,意味着决策对个人将会产生或者已经产生实质性影响。对个人有实质性影响的决策一般也是基于个人信息的处理,在信用评分、刑事量刑等典型情形皆是如此。因此,算法说明义务可谓一般意义上的个人信息处理者说明义务在算法决策场合的推演。
至于算法说明义务的定义,此处只能先笼统地将之概括为关于利用个人信息进行自动化决策的算法进行说明的义务,具体内涵尚待下文探讨算法说明义务的范围和限度之后再行明确。
(三)算法说明义务在《个人信息保护法》实施后的双重规范依据
在《民法典》中,个人信息处理者的说明义务源于其明确规定的告知义务,算法说明义务的渊源也正是告知义务。《个人信息保护法》进一步确立了算法决策相关的说明义务。《个人信息保护法》第24条第1款前半句规定“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正”,第3款规定“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”《个人信息保护法》第24条。此条第1款规定的透明度原则其实也蕴含着算法说明义务,第3款确立了一种应要求的说明义务、事后的说明义务。对此条款,本文有两点评价:第一,该条是否赋予了个人以“算法解释权”仍然可能存在争议。该条在体系上位于“个人信息处理规则”一章,而不是位于集中规定个人权利的“个人在个人信息处理活动中的权利”一章。在如此体系安排之下,个人是否享有“算法解释权”难免产生分歧。但毋庸置疑的是,个人信息处理者需要履行算法说明义务。正是因为权利和权益都对应着义务,并且权利和权益都要通过对方履行义务来实现,研究义务对法律的实施而言更为重要。第二,即使承认该条款规定了所谓“算法解释权”,这也是一种非常有限的“解释权”,一方面在时间上仅针对作出决定后的解释说明,另一方面又有着“重大影响”的条件限制,适用范围极为有限。而本文提出和论证的“算法说明义务”的范围将可囊括事前说明和事后说明,且不拘泥于“重大影响”的条件限制,其范围广于《个人信息保护法》第24条的规定。因此,在《个人信息保护法》出台后,更有必要提倡使用“算法说明义务”这一含义较广的术语,如果提倡使用“算法解释权”的术语,则可能仅仅指向前述第24条规定的有限版本。
本文认为,在我国《个人信息保护法》出台并实施后,算法说明义务将有两处规范依据:其一是《民法典》确立、《个人信息保护法》予以强化的个人信息处理者的告知义务;其二是《个人信息保护法》引入的自动化决策的透明度原则和特定条件下的事后说明义务。这种双重规范依据与欧盟法律极为类似。欧盟《通用数据保护条例》(GDPR)也没有专门规定“算法解释权”。欧洲学者就“算法解释权”是否存在曾展开激烈争论See Sandra Wachter, Brent Mittelstadt, Luciano Floridi,Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, 7(4) International Data Privacy Law 76-99 (2017); Gianclaudio Malgieri, Giovanni Comande,Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, 7(4) International Data Privacy Law 243-265 (2017).。欧盟官方咨议机构发布的相关适用指南认可了“算法解释权”,其主要是依据GDPR中有关个人知情权以及个人针对自动化决策的保障措施的规定进行解释See Article 29 Data Protection Working Party,Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, 6 February 2018, p.27, p.31.,也类似地存在双重法律依据。
从适用范围上看,从告知义务中推导得出的算法说明义务可适用于算法决策的全过程,即可包括事前的说明义务,也可包括事后的说明义务;而从个人针对自动化决策的保障措施条款中解释得出的算法说明义务,仅为一种事后的说明义务。两者的范围大小有别,前者大于后者,并可包含后者。尽管后者将更为明确,但算法说明义务的法律渊源和法律依据并不限于后者,还可源于更广泛意义上的告知义务。并且,基于《个人信息保护法》第24条规定的针对自动化决策的事后说明义务存在较高门槛要求,该条包含的算法说明义务的适用范围非常有限。更为广泛意义上的算法说明义务还是需要从个人信息处理者的告知义务和说明义务去推导,这可能也是欧洲专家在GDPR专门规定个人针对自动化决策的保障措施条款的前提下,仍然需要从知情权条款去推导算法解释权的原因所在。概言之,在我国,算法说明义务不应当限于决策生成之后的解释说明,而应当囊括事前和事后的不同阶段,两者可以分别存在不同的规范依据。 (二)算法说明义务的说明范围及其限度
算法说明义务的说明范围及其限度其实是一个问题,可归结为:信息处理者需要就哪些事项进行说明?回答这一问题时,自然也会明确信息处理者不需要就哪些事项进行说明。
在比较法上,算法说明义务的范围和限度也是个棘手的问题,在个人数据保护领域较为领先的欧盟也缺乏明确的答案。欧洲学者近年来展开的“算法解释权”之争,其中不仅涉及该项权利是否存在,也涉及该项权利的范围和限度问题。如前提及,欧盟官方咨议机构发布的相关适用指南认可了“算法解释权”,但对于自然人如何行使这些权利,该指南却语焉不详。在比较法经验不足的情况下,我们还是需要根据算法说明义务的基本原理去明确和限定其范围。
首先需要分析和明确的问题是,算法说明的对象是限于一般意义上的系统功能,还是可以包括对特定决定的算法决策过程所作的解释说明?与之相关,可进一步澄清和明确算法说明义务是事前的说明义务抑或是事后的说明义务。事前解释侧重于解释系统功能,而无法就一个特定决定的理由依据进行说明。事后解释的内容则可囊括系统功能和特定决定的理由依据See Sandra Wachter, Brent Mittelstadt, Luciano Floridi,Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, 7(4) International Data Privacy Law 76, 78 (2017).。比如,就采用算法决策的信用评分系统而言,个人信息处理者在事前能解释和说明的是系统的一般逻辑、使用的数据类型、算法决策的目的以及预期用途;事后解释则可进一步说明一个特定的评分是如何形成的,这就需要结合信息主体的个体情况对其数据和权重进行说明。可见,事后解释是一种更倾向于个体主义的解释,也将会透露出更多的有助于理解算法决策的信息,具有一定优势,应予肯定。从个人信息保护立场出发,透明度原则应当贯穿于个人信息的使用、分析等不同阶段,以使个人获得算法决策的准确性、有效性和不歧视的保障Tal Z. Zarsky,Transparent Predictions,2013 University of Illinois Law Review 1503,1548 (2013).。
我国《个人信息保护法》第24条关于个人针对自动化决策的保障措施条款中规定的算法说明义务针对的是已经作出决定的自动化决策,是一种事后说明。尽管事后说明对于保护个人信息权益而言非常重要,但同样不能忽视事前说明的重要性。我国法律对“个人信息的处理”进行了极为广义的界定,不限于狭义上的加工处理,还包括收集、提供、公开等,并且法律没有进行穷尽列举。相应地,个人信息处理的告知义务和说明义务也可贯穿于个人信息“处理”的全过程。因此,我国法下的个人信息处理者的说明义务不限于事后说明,也包括加工处理、使用中的说明,还可以是事前对系统功能等事项的说明。相应地,算法说明义务既包括事后说明,也包括事前说明,既涉及面向特定对象、就特定决策进行的解释说明,也涉及就一般意义上的系统功能等事项的说明。只有这种覆盖个人信息处理全阶段的说明义务,才能充分保障个人在算法决策中的权益。
其次,从技术角度而言,算法的解释说明到底应该解释到什么程度?复杂的数学解释往往超出了普通人的理解能力,既不必要,也不可行。欧盟的态度也是如此,信息处理者只需提供关于算法逻辑的有用信息。至于何为有用信息,这一判断具有事实依赖性,法律上难以形成明确的标准。欧盟指南在附件中也只是提供了一份“良好做法建议”,建议个人信息处理者以明白易懂的方式向自然人提供诸如以下信息:在生成用户画像和分析决策过程中已经或将要使用的数据类别;这些数据类型具有相关性的原因;自动化决策中使用的用户画像是如何生成的,包括自动化决策中使用的统计信息;为何此画像与自动化决策相关以及如何将其用于针对某个自然人的决策Article 29 Data Protection Working Party,Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, 6 February 2018, p.31.。笔者认为,在算法解释说明的技术层面,重点不应该放在算法的具体技术细节,而应该是整体方案、技术本质、基本逻辑、主要参数、大致权重和潜在风险等关键信息。但是,只是笼统地披露整体方案和技术本质尚无济于事,不能满足算法说明义务的程度要求。比如,我国最为著名的信用评分系统——芝麻信用——公开披露的算法是“运用云计算及机器学习等技术,通过逻辑回归、决策树、随机森林等模型算法,对各维度数据进行综合处理和评估”参见芝麻信用网站关于“芝麻分”的介绍,https://www.zmxy.com.cn/#/detail/1-2,2021年7月20日访问。,这就显得不足。什么是逻辑回归、决策树和随机森林?这些术语根本不便普通人理解和知情,“综合处理和评估”更是模糊且笼统的表述。个人信息处理者的披露说明应不限于此,算法技术的基本逻辑和主要参数应可披露,技术的潜在风险也可加以说明,这并不会对信息处理者带来过多的成本,也不会影响其对算法的商业秘密保护。毕竟,商业秘密保护的是秘密点,这些模型算法的基本逻辑和主要参数很难落入商业秘密保护范畴。只是披露基本逻辑和主要參数,而不披露具体的参数和权重,也很难被用户用于博弈,造成滥用,也不会影响产业竞争和技术发展。其实,个人通过广泛检索,还是可以弄清逻辑回归、决策树和随机森林等模型算法的基本逻辑的,但会面临较高的查找和学习成本。既然信息处理者可以以较低成本披露这些算法的基本逻辑,就应当基于告知义务的基本宗旨,予以披露,以便促进个人知情。此外,技术层面的算法披露的一个障碍是一般的自然人未必能够理解,这就要求在风险和敏感度较高的决策领域,使用人类可以解释和理解的技术方案和决策方法,从而规避不可控制的风险。 最后是算法说明的范围限于算法本身,还是包括算法的应用?其实,技术本身是无害的,对个人权益造成侵害的往往是算法应用,而不是算法本身。因此,算法说明的重点之一应当是算法的具体应用方式。比如,算法决策的结果是用于信用评分、工作评估、定向广告还是其他用途?在应用过程中,是否存在人工干预?如果存在,人工干预的程度如何?决策结果是否可以受到重新审查?其条件和程序如何?当然,从算法应用着手进行解释,仍然难以回避对算法技术方案的解释,两者应当相辅相成。同样以国内最为著名的芝麻信用评分为例,其在算法应用方面仅仅说明了“较高的芝麻分可以帮助用户获得更高效、更优质的服务”参见芝麻信用网站关于“芝麻分”的介绍,https://www.zmxy.com.cn/#/detail/1-2,2021年7月20日访问。,这也显得不够。这些评分到底作何用途,会对个人产生什么影响,应当予以较为清晰的说明。
(三)算法说明义务“有限版”的有益补充
个人信息保护原则上奉行私法自治。当私法自治存在不足时,则需动用公私法协同规制的方案。在算法决策场合,这也是由算法本身的特征决定的。算法风险高度分散、形态多样,充满着很多不确定性,需要构建从不同的风险链条节点介入、由不同主体参与的规制谱系苏宇:《算法规制的谱系》,载《中国法学》2020年第3期,第177-184页。。
算法说明可以打开“算法黑箱”,最大程度地促使关于算法的基本逻辑、主要参数、大致权重、具体用途及潜在风险等关键信息和有用信息的披露,以最大程度地保障个人知情。为此目的,这些信息应当以通常理性人可以理解的方式进行说明。另一方面,具体的技术细节和复杂的数学解释往往超出了普通大众的理解能力,通常也超出了保障个人知情同意的需要。有关具体参数和权重的技术细节还可能构成商业秘密保护的秘密点,因此,一些“算法黑箱”可能无法被彻底打破。前文也已论及,要求算法的彻底公开和完全披露也不尽合理。故而,出于商业秘密保护等限制因素,算法说明义务难免存在不足。如果算法决策可能存在的歧视和偏见恰好是由算法中的秘密点造成的,出于保护商业秘密的考虑而放弃对算法的监督,并不合理。此时,以第三方审计和监督的方式进行的算法问责制成为一个替补的合理选择,这既可以避免算法中的秘密点的公开,也可以促使算法受到专业人士的监督和控制,化解算法中的秘密点的潜在风险和危机。当然,算法问责制也存在外部监督成本较高、有效性也未必得到保障等问题。也正是因为如此,本文提倡的首要算法治理措施是算法说明义务。一般而言,算法的基本逻辑、主要参数、大致权重、具体用途及潜在风险等关键信息的披露可以确保个人的知情同意,也可以基本保障算法的透明度原则。当算法说明义务无法充分实现算法治理的目标、无法确定受决策的个人是否得到公平合理的对待时,才需要第三方审计和监督的介入。
在比较法上,欧盟倾向于以个人数据权利为基础开展算法治理,美国则倾向于通过算法审计和问责机制促进算法治理张欣:《算法解释权与算法治理路径研究》,载《中外法学》2019年第6期,第1425页。。两种模式各具优劣。中国可以汲取不同模式的优势,打造出算法治理的升级版和优化版。在方法论上,算法解释权或算法说明义务主要采取个体主义方法论,而算法问责制主要采取整体主义方法论。在算法说明义务之外,辅之以算法问责制,实际上是选择个体主义和整体主义兼具的算法治理之道。包括算法治理在内的社会治理均要从整体和个体两方面入手,方能不偏不倚,实现综合治理、协同治理。
五、结论
在应用算法的个人信息自动化决策场合,个人信息处理者(同时也是算法决策者)需要承担相应的说明义务,本文将之称为算法说明义务。这在规范上和理论上均可得到解释和证成,但同时也面临着障碍。因此,算法说明义务有一定限度。算法说明义务的目的在于提供算法的有用信息,主要包括技術和应用两大方面。在技术上,可以说明的是系统功能、技术本质、整体方案、基本逻辑、主要参数及大致权重、使用的数据类别和范围、数据的相关性、自动化决策的用户画像如何生成等有用信息。可不予说明的是算法的技术细节、具体运算方式、详细的参数和权重;动态化、智能化的人工智能神经网络层数和决策参数更是无需说明,在事实上也无法说明。在算法应用上,应当说明的是算法的用途和目的、算法决策可能存在的不足和风险、是否存在人工干预、对决策结果进行重新审查的条件和程序等信息。算法说明义务既包括事前说明,也包括面向特定对象、就特定决策进行的事后说明。该义务主要围绕算法这种个人信息的处理方式而展开,同时涉及个人信息处理的目的和范围,与一般意义上的信息处理者的说明义务在本质上具有一致性,可谓一脉相承。
本文从义务角度研究个人信息保护规范不仅具有学术上的转向作用,也具有重要的实践意义。我国学界对个人信息是权利还是权益存在理论争议。其实,无论是权利,还是权益,都存在对应的义务,违反义务才会产生法律责任。明确义务的内涵和范围,对法律的实施至关重要。因此,在理论上继续探讨个人信息权利(权益)的性质和地位之余,加强个人信息的保护义务研究,可深化对个人信息保护规范的理解,促进法律规则的实施。
本文责任编辑:林士平
关键词:个人信息处理;算法决策;告知同意;说明义务;算法说明义务
中图分类号:DF52 文献标志码:A
文章编号:1001-2397(2021)04-0089-13
DOI:10.3969/j.issn.1001-2397.2021.04.08
一、问题的提出
告知同意系个人信息保护的基本要求,并作为核心规范被纳入《中华人民共和国民法典》(以下简称《民法典》)之中。其中,“告知”又处于前置地位,是个人信息保护的首要规范要求。网络服务商、数据企业等个人信息处理者①必须满足“公开处理信息的规则”和“明示处理信息的目的、方式和范围”这两项前提条件,这是《民法典》第1035条明文施加的告知义务,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第7条也对此进行了重申。这两项条件看似明确,实则由于法律规范的高度抽象性,存在许多有待解释的问题。比如,立法者有意区分使用“公开”和“明示”,“公开”的内涵相对清晰,“明示”具有什么特殊内涵和规范要求却值得探讨。“明示”的规范要求中是否存在说明义务?说明的程度是否又意味着充分说明?又如,处理信息的方式属于“明示”的内容,其中是否包括自动化决策的算法?为聚焦讨论对象,本文将以应用算法的自动化决策(后文将之简称为“算法决策”)为视角,分析和明确个人信息处理者的算法说明义务及其限度。
随着大数据和人工智能技术的发展,算法决策正在兴起。基于个人信息处理,绘制自然人的人格画像,进行个人性格、行为偏好、身份特质等个人特征分析,将之用于定向广告、精准营销、保险评估、贷款管理等不同领域,正在逐渐普遍。数字化的个人信用评分系统也在不断发展。可以说,一个“空前规模的‘评分社会’或者说等级化的‘排序社会’”正在形成季卫东:《数据、隐私以及人工智能时代的宪法创新》,载《南大法学》2020年第1期,第3页。。
在上述背景下,算法决策场合中个人信息处理者的说明义务成为一个非常值得研究的时代命题。个人信息保护问题在广泛应用算法决策的大数据技术背景下也更为突出,学者也已提出算法解释权的概念并对之展开了探讨解正山:《算法决策规制——以算法“解释权”为中心》,载《现代法学》2020年第1期,第179-193页;张欣:《算法解释权与算法治理路径研究》,载《中外法学》2019年第6期,第1425-1445页;张凌寒:《商业自动化决策的算法解释权研究》,载《法律科学》2018年第3期,第65-74页,等。。就我国现有法律而言,立法者未采纳“个人信息权”一词,相应地,个人是否享有“算法解释权”这种“权利”也会产生争议。然而,如下文将详细展开,尽管我国个人信息保护规范在整体上未使用权利化表达,却确立了相应的义务性规则,其中蕴含着“算法说明义务”。为跳出权利和权益之争,在学术研究上也可切换视角,从义务角度展开研究,使用“算法说明义务”的概念。如果说个人是否享有“算法解释权”存在争议,个人信息处理者的算法说明义务在我国法下却实实在在地存在。本文将首先从规范分析上论证算法说明义务,认为该项义务扎根于个人信息处理者的首要义务和基本义务即告知义务,孕育并脱胎于后者。其次,在规范证成之后,本文将从理论上为算法说明义务作正当性证成。最后,本文将探讨和明确算法说明义务的范围及其限度。
二、算法说明义务的规范推演路径
(一)从个人信息处理者的告知义务到说明义务
我国个人信息保护方面的立法未采纳“个人信息权”的权利化表达,但明确规定了信息处理者的相应义务。个人信息处理者的首要义务是告知义务。并且,比起可以存在“法律、行政法规另有规定的除外”的同意要求《民法典》第1035条第1款第1项。,告知义务不仅是个人信息处理者必须满足的前提条件,还具有普适性,是通常情况下个人信息处理者必须满足的义务。
依據《民法典》第1035条第1款第2、3项确立的基本规则,个人信息处理者必须满足“公开处理信息的规则”和“明示处理信息的目的、方式和范围”的前提要件。其实,这种告知义务中包含着说明义务。该条款的第2、3项分别以“公开”和“明示”开头,也体现了立法者对告知义务的程度要求存在区别。处理信息的规则只要公开即可。即使规则中信息混杂、用语晦涩、令人费解,前述公开要求已经得到满足。然而,对于“处理信息的目的、方式和范围”这些重要事项,仅仅包含在规则之中予以公开尚且不够,其告知需要达到“明示”的程度要求。
个人信息处理者的说明义务正是蕴含在法律上的“明示”要求之中。在文义上,“明示”中的“明”的一种主要含义是明白、清楚,而“示”字也含有表明之意新华辞书社:《新华字典》,商务印书馆1971年版,第301、393页。。由此,“明示”的含义应该是明白、清楚地表明某些信息内容,使别人知道。“明白、清楚地表明”蕴含着说明之意。其实,“明”字在日常使用中也有说明之意。使对方明白、清楚,应该通过解释说明的手段来实现。因此,从文义上可以解释得出,《民法典》第1035条中的“明示”一词意味着该条确立了个人信息处理者的说明义务。
此外,告知的充分性要求也蕴含着说明义务。告知义务不是一种形式要求,而是一种实质要求,其中包含着充分性要求。如此方能实现告知义务的宗旨,促进用户的知情同意。我国立法机构部分工作人员编写的民法典释义书藉在解读《民法典》第1035条时,也认为“只有让信息主体充分知悉和了解个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能影响,才可以保护信息主体的意思判断是自主、真实和合理的”,并在阐述时将该条中的“明示”一词替换为“用通俗易懂、简洁明了的语言说明”黄薇主编:《中华人民共和国民法典人格权编解读》,中国法制出版社2020年版,第218页。。其中不仅提出了告知的“充分性”要求,也明确地提出了说明要求。其实,这两点是相通的,充分告知也意味着信息处理者应当将相关内容说明清楚。 为避免“告而不知”,使知情同意沦为空话,在“告知”的规范要求中应当内含着说明的成分。说明义务的存在,有助于缩小从“告知”到“知情”之间的间距。诚然,告知义务、说明义务的判断包含着充分性、合理性等不确定概念。何为合理的方式、合理的充分程度在实践中难免发生分歧。对此,判斷的基准应当是通常理性人标准,在网络空间即为普通网络用户标准吕炳斌:《个人信息保护的“同意”困境及其出路》,载《法商研究》2021年第2期,第95页。。网络服务商、数据企业在收集个人信息时,应当将其目的、方式和范围明确地向用户告知说明,以通常用户能够理解为准。
(二)从个人信息处理者的说明义务到算法说明义务
在基于个人信息处理的算法决策场合,个人信息实际上是通过算法的方式予以处理和分析的,信息处理者也应当有相应的说明义务。本文将之称为“算法说明义务”,而不是迎合学理上的“算法解释权”,从而使用“算法解释义务”一词。这主要是为了保持本文术语使用的一致性和连贯性。说明的基本含义是“解说明白”,和解释的涵义几乎相同。因此,本文所谓算法说明义务亦可谓算法解释义务,与学者所谓“算法解释权”相对应。算法说明义务的存在意在保护个人权益。个人需要获得关于算法决策的解释说明,意味着决策对个人将会产生或者已经产生实质性影响。对个人有实质性影响的决策一般也是基于个人信息的处理,在信用评分、刑事量刑等典型情形皆是如此。因此,算法说明义务可谓一般意义上的个人信息处理者说明义务在算法决策场合的推演。
至于算法说明义务的定义,此处只能先笼统地将之概括为关于利用个人信息进行自动化决策的算法进行说明的义务,具体内涵尚待下文探讨算法说明义务的范围和限度之后再行明确。
(三)算法说明义务在《个人信息保护法》实施后的双重规范依据
在《民法典》中,个人信息处理者的说明义务源于其明确规定的告知义务,算法说明义务的渊源也正是告知义务。《个人信息保护法》进一步确立了算法决策相关的说明义务。《个人信息保护法》第24条第1款前半句规定“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正”,第3款规定“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”《个人信息保护法》第24条。此条第1款规定的透明度原则其实也蕴含着算法说明义务,第3款确立了一种应要求的说明义务、事后的说明义务。对此条款,本文有两点评价:第一,该条是否赋予了个人以“算法解释权”仍然可能存在争议。该条在体系上位于“个人信息处理规则”一章,而不是位于集中规定个人权利的“个人在个人信息处理活动中的权利”一章。在如此体系安排之下,个人是否享有“算法解释权”难免产生分歧。但毋庸置疑的是,个人信息处理者需要履行算法说明义务。正是因为权利和权益都对应着义务,并且权利和权益都要通过对方履行义务来实现,研究义务对法律的实施而言更为重要。第二,即使承认该条款规定了所谓“算法解释权”,这也是一种非常有限的“解释权”,一方面在时间上仅针对作出决定后的解释说明,另一方面又有着“重大影响”的条件限制,适用范围极为有限。而本文提出和论证的“算法说明义务”的范围将可囊括事前说明和事后说明,且不拘泥于“重大影响”的条件限制,其范围广于《个人信息保护法》第24条的规定。因此,在《个人信息保护法》出台后,更有必要提倡使用“算法说明义务”这一含义较广的术语,如果提倡使用“算法解释权”的术语,则可能仅仅指向前述第24条规定的有限版本。
本文认为,在我国《个人信息保护法》出台并实施后,算法说明义务将有两处规范依据:其一是《民法典》确立、《个人信息保护法》予以强化的个人信息处理者的告知义务;其二是《个人信息保护法》引入的自动化决策的透明度原则和特定条件下的事后说明义务。这种双重规范依据与欧盟法律极为类似。欧盟《通用数据保护条例》(GDPR)也没有专门规定“算法解释权”。欧洲学者就“算法解释权”是否存在曾展开激烈争论See Sandra Wachter, Brent Mittelstadt, Luciano Floridi,Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, 7(4) International Data Privacy Law 76-99 (2017); Gianclaudio Malgieri, Giovanni Comande,Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, 7(4) International Data Privacy Law 243-265 (2017).。欧盟官方咨议机构发布的相关适用指南认可了“算法解释权”,其主要是依据GDPR中有关个人知情权以及个人针对自动化决策的保障措施的规定进行解释See Article 29 Data Protection Working Party,Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, 6 February 2018, p.27, p.31.,也类似地存在双重法律依据。
从适用范围上看,从告知义务中推导得出的算法说明义务可适用于算法决策的全过程,即可包括事前的说明义务,也可包括事后的说明义务;而从个人针对自动化决策的保障措施条款中解释得出的算法说明义务,仅为一种事后的说明义务。两者的范围大小有别,前者大于后者,并可包含后者。尽管后者将更为明确,但算法说明义务的法律渊源和法律依据并不限于后者,还可源于更广泛意义上的告知义务。并且,基于《个人信息保护法》第24条规定的针对自动化决策的事后说明义务存在较高门槛要求,该条包含的算法说明义务的适用范围非常有限。更为广泛意义上的算法说明义务还是需要从个人信息处理者的告知义务和说明义务去推导,这可能也是欧洲专家在GDPR专门规定个人针对自动化决策的保障措施条款的前提下,仍然需要从知情权条款去推导算法解释权的原因所在。概言之,在我国,算法说明义务不应当限于决策生成之后的解释说明,而应当囊括事前和事后的不同阶段,两者可以分别存在不同的规范依据。 (二)算法说明义务的说明范围及其限度
算法说明义务的说明范围及其限度其实是一个问题,可归结为:信息处理者需要就哪些事项进行说明?回答这一问题时,自然也会明确信息处理者不需要就哪些事项进行说明。
在比较法上,算法说明义务的范围和限度也是个棘手的问题,在个人数据保护领域较为领先的欧盟也缺乏明确的答案。欧洲学者近年来展开的“算法解释权”之争,其中不仅涉及该项权利是否存在,也涉及该项权利的范围和限度问题。如前提及,欧盟官方咨议机构发布的相关适用指南认可了“算法解释权”,但对于自然人如何行使这些权利,该指南却语焉不详。在比较法经验不足的情况下,我们还是需要根据算法说明义务的基本原理去明确和限定其范围。
首先需要分析和明确的问题是,算法说明的对象是限于一般意义上的系统功能,还是可以包括对特定决定的算法决策过程所作的解释说明?与之相关,可进一步澄清和明确算法说明义务是事前的说明义务抑或是事后的说明义务。事前解释侧重于解释系统功能,而无法就一个特定决定的理由依据进行说明。事后解释的内容则可囊括系统功能和特定决定的理由依据See Sandra Wachter, Brent Mittelstadt, Luciano Floridi,Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, 7(4) International Data Privacy Law 76, 78 (2017).。比如,就采用算法决策的信用评分系统而言,个人信息处理者在事前能解释和说明的是系统的一般逻辑、使用的数据类型、算法决策的目的以及预期用途;事后解释则可进一步说明一个特定的评分是如何形成的,这就需要结合信息主体的个体情况对其数据和权重进行说明。可见,事后解释是一种更倾向于个体主义的解释,也将会透露出更多的有助于理解算法决策的信息,具有一定优势,应予肯定。从个人信息保护立场出发,透明度原则应当贯穿于个人信息的使用、分析等不同阶段,以使个人获得算法决策的准确性、有效性和不歧视的保障Tal Z. Zarsky,Transparent Predictions,2013 University of Illinois Law Review 1503,1548 (2013).。
我国《个人信息保护法》第24条关于个人针对自动化决策的保障措施条款中规定的算法说明义务针对的是已经作出决定的自动化决策,是一种事后说明。尽管事后说明对于保护个人信息权益而言非常重要,但同样不能忽视事前说明的重要性。我国法律对“个人信息的处理”进行了极为广义的界定,不限于狭义上的加工处理,还包括收集、提供、公开等,并且法律没有进行穷尽列举。相应地,个人信息处理的告知义务和说明义务也可贯穿于个人信息“处理”的全过程。因此,我国法下的个人信息处理者的说明义务不限于事后说明,也包括加工处理、使用中的说明,还可以是事前对系统功能等事项的说明。相应地,算法说明义务既包括事后说明,也包括事前说明,既涉及面向特定对象、就特定决策进行的解释说明,也涉及就一般意义上的系统功能等事项的说明。只有这种覆盖个人信息处理全阶段的说明义务,才能充分保障个人在算法决策中的权益。
其次,从技术角度而言,算法的解释说明到底应该解释到什么程度?复杂的数学解释往往超出了普通人的理解能力,既不必要,也不可行。欧盟的态度也是如此,信息处理者只需提供关于算法逻辑的有用信息。至于何为有用信息,这一判断具有事实依赖性,法律上难以形成明确的标准。欧盟指南在附件中也只是提供了一份“良好做法建议”,建议个人信息处理者以明白易懂的方式向自然人提供诸如以下信息:在生成用户画像和分析决策过程中已经或将要使用的数据类别;这些数据类型具有相关性的原因;自动化决策中使用的用户画像是如何生成的,包括自动化决策中使用的统计信息;为何此画像与自动化决策相关以及如何将其用于针对某个自然人的决策Article 29 Data Protection Working Party,Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, 6 February 2018, p.31.。笔者认为,在算法解释说明的技术层面,重点不应该放在算法的具体技术细节,而应该是整体方案、技术本质、基本逻辑、主要参数、大致权重和潜在风险等关键信息。但是,只是笼统地披露整体方案和技术本质尚无济于事,不能满足算法说明义务的程度要求。比如,我国最为著名的信用评分系统——芝麻信用——公开披露的算法是“运用云计算及机器学习等技术,通过逻辑回归、决策树、随机森林等模型算法,对各维度数据进行综合处理和评估”参见芝麻信用网站关于“芝麻分”的介绍,https://www.zmxy.com.cn/#/detail/1-2,2021年7月20日访问。,这就显得不足。什么是逻辑回归、决策树和随机森林?这些术语根本不便普通人理解和知情,“综合处理和评估”更是模糊且笼统的表述。个人信息处理者的披露说明应不限于此,算法技术的基本逻辑和主要参数应可披露,技术的潜在风险也可加以说明,这并不会对信息处理者带来过多的成本,也不会影响其对算法的商业秘密保护。毕竟,商业秘密保护的是秘密点,这些模型算法的基本逻辑和主要参数很难落入商业秘密保护范畴。只是披露基本逻辑和主要參数,而不披露具体的参数和权重,也很难被用户用于博弈,造成滥用,也不会影响产业竞争和技术发展。其实,个人通过广泛检索,还是可以弄清逻辑回归、决策树和随机森林等模型算法的基本逻辑的,但会面临较高的查找和学习成本。既然信息处理者可以以较低成本披露这些算法的基本逻辑,就应当基于告知义务的基本宗旨,予以披露,以便促进个人知情。此外,技术层面的算法披露的一个障碍是一般的自然人未必能够理解,这就要求在风险和敏感度较高的决策领域,使用人类可以解释和理解的技术方案和决策方法,从而规避不可控制的风险。 最后是算法说明的范围限于算法本身,还是包括算法的应用?其实,技术本身是无害的,对个人权益造成侵害的往往是算法应用,而不是算法本身。因此,算法说明的重点之一应当是算法的具体应用方式。比如,算法决策的结果是用于信用评分、工作评估、定向广告还是其他用途?在应用过程中,是否存在人工干预?如果存在,人工干预的程度如何?决策结果是否可以受到重新审查?其条件和程序如何?当然,从算法应用着手进行解释,仍然难以回避对算法技术方案的解释,两者应当相辅相成。同样以国内最为著名的芝麻信用评分为例,其在算法应用方面仅仅说明了“较高的芝麻分可以帮助用户获得更高效、更优质的服务”参见芝麻信用网站关于“芝麻分”的介绍,https://www.zmxy.com.cn/#/detail/1-2,2021年7月20日访问。,这也显得不够。这些评分到底作何用途,会对个人产生什么影响,应当予以较为清晰的说明。
(三)算法说明义务“有限版”的有益补充
个人信息保护原则上奉行私法自治。当私法自治存在不足时,则需动用公私法协同规制的方案。在算法决策场合,这也是由算法本身的特征决定的。算法风险高度分散、形态多样,充满着很多不确定性,需要构建从不同的风险链条节点介入、由不同主体参与的规制谱系苏宇:《算法规制的谱系》,载《中国法学》2020年第3期,第177-184页。。
算法说明可以打开“算法黑箱”,最大程度地促使关于算法的基本逻辑、主要参数、大致权重、具体用途及潜在风险等关键信息和有用信息的披露,以最大程度地保障个人知情。为此目的,这些信息应当以通常理性人可以理解的方式进行说明。另一方面,具体的技术细节和复杂的数学解释往往超出了普通大众的理解能力,通常也超出了保障个人知情同意的需要。有关具体参数和权重的技术细节还可能构成商业秘密保护的秘密点,因此,一些“算法黑箱”可能无法被彻底打破。前文也已论及,要求算法的彻底公开和完全披露也不尽合理。故而,出于商业秘密保护等限制因素,算法说明义务难免存在不足。如果算法决策可能存在的歧视和偏见恰好是由算法中的秘密点造成的,出于保护商业秘密的考虑而放弃对算法的监督,并不合理。此时,以第三方审计和监督的方式进行的算法问责制成为一个替补的合理选择,这既可以避免算法中的秘密点的公开,也可以促使算法受到专业人士的监督和控制,化解算法中的秘密点的潜在风险和危机。当然,算法问责制也存在外部监督成本较高、有效性也未必得到保障等问题。也正是因为如此,本文提倡的首要算法治理措施是算法说明义务。一般而言,算法的基本逻辑、主要参数、大致权重、具体用途及潜在风险等关键信息的披露可以确保个人的知情同意,也可以基本保障算法的透明度原则。当算法说明义务无法充分实现算法治理的目标、无法确定受决策的个人是否得到公平合理的对待时,才需要第三方审计和监督的介入。
在比较法上,欧盟倾向于以个人数据权利为基础开展算法治理,美国则倾向于通过算法审计和问责机制促进算法治理张欣:《算法解释权与算法治理路径研究》,载《中外法学》2019年第6期,第1425页。。两种模式各具优劣。中国可以汲取不同模式的优势,打造出算法治理的升级版和优化版。在方法论上,算法解释权或算法说明义务主要采取个体主义方法论,而算法问责制主要采取整体主义方法论。在算法说明义务之外,辅之以算法问责制,实际上是选择个体主义和整体主义兼具的算法治理之道。包括算法治理在内的社会治理均要从整体和个体两方面入手,方能不偏不倚,实现综合治理、协同治理。
五、结论
在应用算法的个人信息自动化决策场合,个人信息处理者(同时也是算法决策者)需要承担相应的说明义务,本文将之称为算法说明义务。这在规范上和理论上均可得到解释和证成,但同时也面临着障碍。因此,算法说明义务有一定限度。算法说明义务的目的在于提供算法的有用信息,主要包括技術和应用两大方面。在技术上,可以说明的是系统功能、技术本质、整体方案、基本逻辑、主要参数及大致权重、使用的数据类别和范围、数据的相关性、自动化决策的用户画像如何生成等有用信息。可不予说明的是算法的技术细节、具体运算方式、详细的参数和权重;动态化、智能化的人工智能神经网络层数和决策参数更是无需说明,在事实上也无法说明。在算法应用上,应当说明的是算法的用途和目的、算法决策可能存在的不足和风险、是否存在人工干预、对决策结果进行重新审查的条件和程序等信息。算法说明义务既包括事前说明,也包括面向特定对象、就特定决策进行的事后说明。该义务主要围绕算法这种个人信息的处理方式而展开,同时涉及个人信息处理的目的和范围,与一般意义上的信息处理者的说明义务在本质上具有一致性,可谓一脉相承。
本文从义务角度研究个人信息保护规范不仅具有学术上的转向作用,也具有重要的实践意义。我国学界对个人信息是权利还是权益存在理论争议。其实,无论是权利,还是权益,都存在对应的义务,违反义务才会产生法律责任。明确义务的内涵和范围,对法律的实施至关重要。因此,在理论上继续探讨个人信息权利(权益)的性质和地位之余,加强个人信息的保护义务研究,可深化对个人信息保护规范的理解,促进法律规则的实施。
本文责任编辑:林士平