Lee Andrew Bygrave:自动化决策的法律规制
数字技术的迅猛发展对数字时代的法治建设提出了新的挑战。437ccm必赢国际特于2022年9月举办“数字与法治”系列论坛,本届论坛的主题为“全球视野下的隐私与数据保护法”,邀请了日本、欧洲、美国的知名学者与中国学者共同探讨这一核心主题。
2022年9月22日,437ccm必赢国际“数字与法治”系列论坛第三讲由挪威奥斯陆大学私法系法学教授、挪威计算机与法律研究中心主任Lee Andrew Bygrave主讲,他以“自动化决策的法律规制”为主题开展了一场两小时的精彩线上学术讲座。讲座由437ccm必赢国际胡凌副教授主持,校内外近四百名师生参与其中,活动反响热烈。
本文以文字实录的方式呈现讲座核心要点。
Lee Andrew Bygrave:
在2016年通过的欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)中,与自动化决策相关的是第22条。这一规定源于1995年通过的欧盟《数据保护指令》(Data Protection Directive,以下简称DPD)第15条,该条赋予了个体在一定条件下不受制于完全的自动化决策的权利。
欧盟委员会从两个角度说明了制定DPD第15条的原因:其一,数据主体有权参与关涉其重大利益的决策,而允许机器基于相关数据直接作出决策无疑剥夺了这一权利;其二,人类决策者可能会过于重视机器决策的结果,以至于抛弃了自主作出判断的责任。然而,看似客观正确的机器决策实际上可能是“垃圾输入,垃圾输出”(Garbage in, garbage out)。由于自动化技术在上世纪末尚未普及,DPD第15条最终被搁置,未能获得普遍的理解与适用,在实践中往往被规避,对欧洲以外地区的影响也十分有限。
GDPR第22条冗长且复杂。第22条第1款规定:“如果决策结果具有法律效力,或者会对个体产生类似于法律效力的重要影响,那么数据主体有权拒绝完全的自动化决策。”这一权利会受到三方面的限制。第一个限制是指,第22条第2款规定了第22条第1款适用的三种例外情况:例外一,自动化决策是数据主体与数据控制者之间签订或履行合同所必需的。例外二,数据控制者所在的联盟或成员国法律授权其进行自动化决策,而且相关法律规定了保护数据主体的权利、自由与合法利益的适当措施。例外三,自动化决策基于数据主体的明确同意。第二个限制是指,第22条第3款对第22条第2款进行限制,规定在上述三种例外情况下,数据控制者仍应采取适当措施,以维护数据主体的权利、自由与合法利益,使其至少有权获得数据控制者的人为干预、表达自身观点并对决定提出异议。第三个限制是指,第22条第4款又对第22条第2款进行了第二重限制,第22条第2款中的自动化决策不得基于第9条第1款定义的敏感信息,除非已经取得明确同意,或者涉及立法规定的重大公共利益。
下面举例介绍关于GDPR第22条的讨论。
首先,第22条第1款规定的是一种权利,还是一条禁令?如果是一种权利,那么在数据主体拒绝前,自动化决策是被允许的;如果是一条禁令,那么自动化决策从一开始就是不能进行的。欧洲数据保护委员会(European Data Protection Board)认为这一款是以权利形式表述的禁令。
其次,“完全的自动化决策”意味着什么?在一些情况下,人类决策者可能会完全依赖自动化决策的建议,沦为机器上的一个齿轮。
再次,GDPR第22条是否仅仅适用于DPD第15条处理的数据画像问题?不仅如此,第22条还可以适用于自动化决策的其他场景。
最后,第22条第3款规定的“适当措施”指的是什么?是否包括个体要求决策者作出解释的权利?
总之,由于存在多层限制条件,GDPR第22条在司法适用中会面临一定的困难。不过需要强调的是,第22条保障了数据主体要求人工干预决策的权利。GDPR第22条不会像DPD第15条那样被闲置。
有趣的是,一些法院会直接主张自动化决策侵犯基本人权,从而避开GDPR第22条的适用问题。比如,荷兰海牙地区法院在2020年的一个判决中认为,荷兰政府为打击税收和社会保障领域的欺诈行为而建立的自动化风险指示系统违反了《欧洲人权公约》第8条。可见,谈到自动化决策的规制时,我们不仅需要考虑GDPR第22条,还要关注有关基本权利的规定,以及有关反歧视的规定,等等。
GDPR还会影响到欧盟之外的国家和地区。我们将这类现象称为“布鲁塞尔效应”,即欧盟的立法框架会辐射到其他国家及地区。产生这一效应的主要原因有二:其一,作为各种技术相关领域立法的先行者,欧盟提出的规范框架相当全面且详细;其二,欧盟通常会要求相关的市场参与者遵守其制定的标准。此外,还需要关注“斯特拉斯堡效应”,即欧洲委员会(Council of Europe)的影响。相比于GDPR第22条,2018年修订的《个人数据处理中的个人保护公约》(The Convention for the Protection of Individuals with regard to Processing of Personal Data)第9条更便于理解。
下面举几个其他国家的具体例子。
英国政府虽然声称第22条可能会阻碍人工智能技术创新,但是在最新的法案中还是基本保留了GDPR的框架和标准,只是进行了一些澄清说明。
中国《个人信息保护法》第24条在很大程度上借鉴了GDPR第22条的观念,但在表述上有所不同。
美国《加州消费者隐私法案》(California Consumer Privacy Act)和《加州隐私权法案》(California Privacy Rights Act)都不包含类似于GDPR第22条的规定,但是加州总检察长有权对企业使用自动化决策采取监管措施。
提问一:
请问该如何理解GDPR第22条第1款中的“类似于法律效力的重大影响”?
Lee Andrew Bygrave:
法律效力会改变某个人的法律地位,进而导致权利或责任的变化。而类似于法律效力的影响肯定不能是微不足道或者纯粹主观的,比如情感上受到干扰。这种影响需要是具体的,得到社会共识的,如中国《个人信息保护法》中不合理的差异化定价。
提问二:
如今,大数据与自动化决策会被应用于刑事侦查和诉讼,这关涉到嫌疑人的生命和自由。我们是应该对其进行更严格的限制,还是应该减少限制以提高刑事侦查效率?
Lee Andrew Bygrave:
我们的确应当建立更加严格的责任制度,以保障个体免受不公正的对待。GDPR主要处理民事问题,与之相对的还有专门针对大数据自动化执法的规定。此外,作为补充,我们还有刑事程序法,以及国际层面关于获得公正审判这一基本人权的规定。
提问三:
请问该如何平衡自动化决策的透明度和商业秘密的保护?
Lee Andrew Bygrave:
GDPR第63条提及,数据主体在行使相关权利时,不应侵犯他人的商业秘密与知识产权。不过,欧盟在关于商业秘密的立法文件中又规定,保护商业秘密不应凌驾于个体的数据权利之上。可见,这里存在一个艰难的平衡,需要法院在具体情境中作出判断。
主讲人简介:
Lee Andrew Bygrave教授曾为众多机构担任技术监管专家顾问,其中包括欧盟委员会、北欧部长理事会、互联网名称与数字地址分配机构和挪威政府。Bygrave教授在数据保护法领域发表了大量论文,他是2020年由牛津大学出版社出版的《欧盟<一般数据保护条例>评注》一书的共同编辑和共同作者。他的数据保护学术成果得到了欧盟法院的认可。