自動化決策的算法解釋權

　　如果說網絡立法1.0時代美國《千禧年數字版權法》建立的安全港制度，旨在保護以信息網絡傳播權為主要服務內容的網際網路企業，那麼網絡立法2.0時代則開啟了以個人數據和個人信息為重要保護對象的用戶權利時代。在這個圍繞數據收集、加工、利用和分發為核心的世界數據工廠中，網絡企業利益和個人利益的此消彼長既可能影響私法主體的個體利益，也可能影響不特定群體的利益，甚至會觸及作為社會基本行為規範邊界的法律制度。因此，一些早期網絡立法中不被重視的內容才在人工智慧技術圖景日漸擴大的版圖上再次顯露出來，並彰顯了越來越強的重要性。自動化決策的算法解釋權正是其中之一。

　　目前自動化決策算法的主要應用場景有：定製信息的推送、顧問型服務（如智能投顧、機器人醫生）、自動化駕駛汽車、搜尋引擎服務等。儘管法律本體論專家正在努力將規範約束植入機器人的開發協議或計算機晶片之中，但客觀情況是，法律對產品型算法和服務型算法採取了完全不同的責任構成要求。換言之，在具有實體基礎依歸或載體的算法責任事件中，人們過於依賴現行的產品侵權責任的立法，而沒有充分考慮自動化決策算法本身的侵權責任。儘管機器人醫生未必在接入網際網路的狀態下進行工作，但其所用以訓練的數據集和執行具體手術的深度學習算法，可以很容易地同步該領域最新的線上、線下研究成果。因此，建立在技術中立原則基礎上的網絡1.0立法，主要是一種責任免除型而非責任構成型立法，意圖促進當時正處於萌芽和發展期的網際網路企業。然而，隨著時間的推移，不僅資本大舉進入該行業，人工智慧技術的發展也令算法服務的相對人在服務中越來越處於客體化和被邊緣化的地位。算法解釋權可看作人類為捍衛人的自我決定權，對抗數據控制者和處理者的一種努力。

　　與網絡立法1.0時代的接入、傳輸、轉發服務所引起的間接侵權不同，網絡立法2.0時代，算法服務提供者更多地以直接侵權行為主體的面目出現。算法服務提供者需要從網絡用戶的個人信息、行為軌跡，甚至投訴過程中，全方位將用戶作為機器學習的樣本、大數據的來源、人機互動的模仿對象和虛擬社會構建的現實場景。在設計、製造和完善算法的過程中，在構建獨立於現實經濟社會之外的虛擬經濟社會時，需要近距離觀察、研究、追蹤、分析，甚至是監測（如各種傳感器、衛星遙感技術、攝像頭等物聯網技術）用戶的全場景的活動。這些數據的碎片共同構成了以自動學習算法為代表的智能工業熔爐的燃料，以甄別、預測、激發用戶需求，從而為用戶定製服務或拒絕服務。用戶在服務中的主動權也不斷被弱化。可見，上述代表性算法服務（產品）都可看作一種廣義的算法技術為核心的服務合同。由此，算法服務提供者便具有了合同法上的從給付義務和附隨義務。

　　出於保護企業商業秘密和減輕負擔的角度，不可能要求提供算法服務的企業對所有算法均進行解釋。因此，歐盟對自動化決策的算法解釋權作出了限制。該制度最早見於歐盟《數據保護指令》第15條，由於該條僅規範特定類型的算法，而訴訟中爭議最大的是決策是否純粹由機器（人）做出。因此，該條款既沒有在歐洲法院受到太多重視，更鮮有被歐洲之外法律制度借鑑。隨著深度學習技術的廣泛應用，自動化決策場景增多，引發的爭議也日趨激烈。

　　歐盟《一般數據保護條例》在多個條款中規定了自動化決策算法的問題，包括「鑑於」的第71條（以下簡稱「第71條」），正文的第13條、第14條和第22條。作為同樣以「自動化決定」為標題的條款，第22條在第15條的基礎上沒有增加實質性的內容，只是補充了明示同意作為不受自動化決定的例外；並在第15條數據主體有權表達觀點之外，增加了對決定提出異議的權利，將二者概括為獲得人為幹預的權利。這主要是機器學習算法的動態學習程度輸出結果不確定，人類難以有效監督，而人工標籤等歧視性輸入變量，也有導致算法偏見潛在風險。可見，算法解釋權本質是一種基於基本人權而衍生的意志自決權和受到公平對待的權利。有學者僅以第71條來理解算法解釋權，也有學者將正式條文的第13條第2款f項和第14條第2款g項的算法邏輯、數據處理重要性和後果的告知義務看作解釋權，還有學者把第22條解讀為反自動化決策權。誠然，這幾個與自動化決策算法有關的條文具有一定聯繫，其區別於非自動化決策的算法，但它們也有顯著不同。

　　《一般數據保護條例》第13條和第14條的算法邏輯、數據處理重要性和後果的告知義務，是一種未產生不公平後果的一般性的、為保護知情權的說明義務。而第71條和第22條則是基於評估結果做出決定的保障措施及其例外條款。第71條和第22條均以將對數據主體產生法律後果或類似重大影響作為前提，並包含了該決定對雙方合同的達成和履行的必要性原則，或決定經過數據主體明示同意的隱性條件。可見，第71條承擔的更多是保護數據主體的權利的立法職能，而第22條則為自動化決策算法設置了必要性和同意的例外條款。從二者的關係來看，根據第71條，即使在例外條款存在時，數據主體依然享有解釋權，僅應受該決定的約束。如果將第71條第2段看成對算法透明原則進行事先規定的話，則第71條第1段所指的，對評估後作出的決定做出解釋的算法解釋權，其實是內含於對抗自動化決定算法的「適當的防範措施」之一，是與明確告知相關信息並告知其有要求人工幹預、表達觀點、異議權相併列的一種請求說明的權利。

　　它不同於算法透明原則項下的知情權。根據美國計算機協會2017年公布的算法治理七項原則，知情權是應該披露算法設計、執行、使用過程中可能存在的偏見和可能造成的潛在危害。顯然，它未必與自動化決策和以個人敏感信息評估為前提的決定有關。而該解釋權不僅是一種被動性防禦的權利，可視為與表達觀點、提出異議並列的權利，從而成為獲得人為幹預等替代選擇的基礎。若按這個邏輯進行解釋，可將算法解釋權看成一種對合同履行行為符合雙方締約目的或合同基礎的說明義務。由此，作為提供算法服務的一方主體，根據《民法典》第496條，對於對方有重大利害關係的條款，除參考歐盟《一般數據保護條例》第13條、第14條進行告知外，還負有法定的說明義務，否則對方可以主張該條款不構成合同的內容。故算法解釋權兼具算法服務者說明義務與數據主體自決權的雙重屬性。

　　《個人信息保護法（草案）》第25條未規定例外條款，這可能使算法提供者失去了在對方提出異議時，根據必要性原則和明示同意進行抗辯的可能性。更為重要的是，第25條將限縮了解釋權的適用場景，僅規定了產生重大影響，未規定產生法律效力，且將證明是否重大的舉證負擔分配給了數據主體。這對於數據主體行使解釋權十分不利。第54條要求信息處理者對自動化決策進行事前風險評估，並對處理情況進行記錄，這是一種事前的行政性的算法風險評估措施，只能從算法設計角度起到一定的預防性作用，但不能與個人的具體解釋權的權利請求相結合，仍難以實質上成為主張算法服務提供者進行人工幹預，或提供不針對個人特徵的選項的條件。儘管第25條第2款規定了算法服務提供者進行商業營銷、信息推送時，提供無個人特徵選項的義務，但信息推送服務以外的人工幹預可能性很難通過對該款的擴張解釋，或根據第54條的算法評估來實現。

 

　　（作者單位：北京化工大學法律系）