文/付昊
摘要:目前我国对算法自动化决策中个人信息保护的规定主要集中于《个人信息保护法》,但其仅勾勒了基本原则框架,相关条文的内涵界定和法律适用仍然存在许多迷思,亟待进一步理解和区分。为有效保护个体的合法权益,算法自动化决策的规制仍需要回归私法寻求制度供给,并于具体场景中明确理论建构和法律适用。《民法典》人格权、合同、侵权责任编中有关法律规范为算法自动化决策提供了良好的规制基础,形成了事前定性、事中规制、事后救济的私法规制逻辑。另外,为在私法轨道上推进算法自动化决策全方位、动态性规范化,还需要规制算法自动化决策的设计和运行,创设个人信息保护请求权与个人信息侵权责任,实现更有效的保护。
关键词:算法自动化决策;私法规制;个人信息权益;个人同意;侵权责任
信息爆炸时代已然来临。元宇宙、人工智能、5G技术和物联网正渗透并充斥于我们的日常生产生活之中。随着海量数据和高效算法的涌现,自动化决策系统在金融、政务、医疗、农业等各个领域中得到越来越广泛的应用,成为数据社会的基础设施之一。随着技术不断进步和应用场景的拓展,它们的重要性也将逐渐凸显。所谓算法自动化决策,是指在没有人工参与的情况下通过计算机程序利用获取的个人信息自动分析和评估个人的基本状况并进行决策的活动。相较于传统人工决策方式,算法能够根据已知的数据和有关规则,对未知的数据进行过更为准确、可靠的预测,进而作出或者辅助个人作出更加科学、准确的决策。例如在金融投资方面,算法可以根据市场趋势和历史数据,对未来的股票走势、货币汇率等进行预测,帮助个人在投资决策上更加准确、理性;在健康管理方面,通过采集各种指标数据和现代医学理论,结合算法分析,可以预测个体的健康状况,提供更加合理和科学的医疗建议;在交通出行上,算法可以分析历史交通数据、道路状况和车辆密度等,预测最佳路径和时间,提供出行建议,帮助个人更加高效地完成出行任务。但借助于算法的自动化决策也可能产生许多负面问题。例如,算法可以根据个人的历史行为和性格偏好,精确地预测哪些信息最符合个人的需求,然后提供有针对性的推荐,这极易导致个人获取信息的空间渠道被极大压缩,困囿于“信息茧房”的境地。再如,在日常生活中,存在着各种层次不穷的“大数据杀熟”现象,即个人信息处理者利用用户的消费习惯、行为特征等因素,对其实施不合理的差别待遇,如不公平的交易价格等,这样的情况屡见不鲜。惟其如此,在后信息时代如何确保个人信息处理者的自动化决策行为合法、合规,并保证其结果公平、公正,已经成为一项重要的议题。
为规避上述算法自动化决策带来的痼疾和风险,作为我国个人信息领域重要立法的《个人信息保护法》对个人信息处理者利用个人信息进行自动化决策应当遵循的基本规则进行了规定,但其只是勾勒出了基本框架,仍有一些问题的探究未尽其述,解决之道尚付阙如。
本文置于“数据泄露”“大数据杀熟”“信息茧房”“社会分选”等不当自动化决策造成的个人信息侵权日益泛滥的时代大背景下,结合《民法典》人格权、合同、侵权责任编中有关自动化决策的法律规范基础及域外比较法经验,剖析规制自动化决策私法规范的全过程架构,探讨现行私法规范的适用路径及理论、现实难题,以期对有效实现算法自动化决策的私法规制有所助益。
规制算法自动化决策,首先应当明晰其保护的权益性质为何,在具体实践中应当如何区分。我国《民法典》人格权编规定,自然人的个人信息受法律保护,并描述了在算法自动化决策中应遵守的原则、违反相关义务所应承担的责任,而《个人信息保护法》又予以进一步具体化。然而,这些法律文件都没有明确承认“个人信息权”的存在,而只出现了“个人信息权益”的表述。对此,有必要进行进一步理论探究。
在人格权法视角下一般认为,算法自动化保护的法益性质是个人信息权益,而对个人信息权益的性质,学界有所争议,大致可分为单一权益说和权益集合说两大类。笔者更赞同单一权益说。其一,个人信息权益属于人格权益的亚分类,有别于姓名权、肖像权、隐私权等其他具体人格权,个人信息权益旨在保护自然人以个人信息为内容的利益,防止因不当算法自动化决策导致人身权益、财产权益受到损害或人格尊严、人身自由受到侵害的风险。其中,个人信息权益的核心权能即为个人享有个人信息处理知情与自决的权利,具体表现为决定权、查询权、复制权、可携带权、修改权、解释说明权等。当个人信息权益受到侵害时,无论是否造成实质性损害或加害人是否有过错,受害人均可获得人格权请求权救济,包括要求停止侵害、排除妨碍、消除危险等;若造成了实质性损害,个人有权要求侵权人承担损害赔偿责任。其二,作为人格要素之一,个人信息在保护内容上与人格权存在重叠。因此,如果重复设立独立的“个人信息权”的话,就会与人格权保护体系产生叠加,稍显赘余。因此,个人信息法益在人格权规范体系下也可获得相应保护,而在《个人信息保护法》第四章“个人在个人信息处理活动中的权利”中虽然使用了“权利”的术语,但其仅为技术性表达,有别于《民法典》总则编第五章“民事权利”中具体列举的姓名权、肖像权、隐私权等具有实质内容之权利的性质,将其理解为保护个人信息法益的请求权更为适宜。
在明确规制算法自动化决策保护的法益性质后,问题在于在实践中的具体场景中应当如何判断行为所侵害的客体究竟是隐私权还是个人信息权益。目前司法实务的主流观点认为,区分个人信息是否为私密信息是该问题的前提和关键所在。如若判定一项信息属于私密信息,则行为侵害的客体法益为隐私权,可以使用人格权禁令等人格权请求权进行救济,反之私密信息侵害的客体法益为个人信息权益。而对于前述二者的判断,不能由立法者和司法者加以臆断,确立具体的定量标准,而应该置于社会环境和社会一般经验法则之下,依据社会公众内心的感知来衡量,以此形成对个人人格具有重要意义的私密信息的筛选机制。另外,笔者认为,就个人信息权益与隐私权而言还有以下几点区别:其一,保护内容不同。隐私权保护的范围主要是个人私密的活动和个人的私密信息;个人信息权益则主要保护个人对一切个人信息的支配和自主决定。其二,保护范围不同。隐私权保护的主要是平等主体之间的关系,而个人信息权益既涉及平等主体之间的关系,也涉及平等主体与不平等主体之间的关系。其三,规则适用不同。根据《民法典》第1034条第3款的规定,其“没有规定”并非指隐私权规则优先于个人信息保护规则适用,也不是两套规则适用于不同关系主体之间。相反,它指的是当需要保护信息主体维护其隐私权、不受到模糊处理的期望时,应适用隐私权规则;而当需要应对某些处理行为可能造成的隐私泄露等问题时,则应适用个人信息保护规则。因此,两种规则也可以根据情况同时适用。
继人格权法律规范对规制算法自动化决策所保护的法益性质作了定性判断之后,则进入了合同法进路的事中规制阶段。合同法律规范对算法自动化决策的规制主要以个人同意为出发点展开。
个人信息处理者利用个人信息进行自动化决策的实质是个人信息处理行为,依据《个人信息保护法》与《民法典》的规定原则上应当取得个人的同意,换言之,个人同意是个人信息处理者进行自动化决策的合法性基础。但问题在于,此种情形下个人信息处理者与个人之间成立何种法律关系?这首先需要界定个人同意的性质,对此学者略有争议,主要有合同履行行为说、违法阻却事由说、意思通知说、意思表示说等主张。笔者赞同意思表示说的立场,认为算法自动化决策中的个人信息处理,旨在追求特定的私法上的效果,也是个人行使个人信息自决权的重要体现。需要辨清的是,在算法自动化决策中,即使认为算法存在黑箱性、复杂性,但不能因此认为作出意思表示的主体是算法,算法只是个人信息处理者的工具和手段,个人信息处理者对算法具有支配控制力,进行自动化决策的主体应为个人信息处理者。并且个人信息处理者就处理个人信息向个人作出的提示条款在性质上应当属于要约,个人同意行为构成承诺,双方之间成立独立的个人信息许可使用合同关系,此种合同通常体现为隐私协议或者隐私政策,即个人信息处理者通过网络服务协议或者网络隐私政策中的格式条款,取得处理个人信息的授权,从而在当事人之间成立包含个人信息许可使用内容的合同。
如前所述,算法自动化决策中相对方之间形成了合同法律关系,个人信息处理者利用个人信息进行不当自动化决策可能违反其与个人之间的合同关系,此时个人有权依法请求个人信息处理者承担违约责任。因此通过《民法典》中合同编相关法律规范可以对算法自动化决策形成一定规制,究其优势有下几点:首先,《个人信息保护法》中“同意”和“撤回同意”为合同法适用提供了空间。同意是当事人意思表示的载体,是私权处分的重要表现,与合同法不可分割。而同意撤回则指的是使之前经“同意”获得的授权许可归于消灭的行为,实际上是一种解决已授权事项的私法手段。其次,合同法规制相较于侵权法救济更加简单高效,避免举证困难、实际损害难定、诉讼成本高等现实问题。最后,合同规制既是行业惯例又是必要选择。通过合同将互联网经济中当事人双方的权利义务关系等内容加以明确的方式,符合用户认知和心理预期,遂逐渐形成稳定的行业惯例,故一般会优先选择用合同关系规制可能发生的算法侵害。
但不可置否,通过此种进路规制也有其局限,有必要借鉴比较法经验进一步完善。
围绕以个人同意为核心的算法规制,国际社会和主要国际组织早已有了部署和规划。2019年5月,欧盟议会公布了《有关提供数字内容和服务的合同交易指令》,指令中载明了在遵循《一般数据保护条例》中关于数据权利的规定下,其适用于平台向消费者提供数字服务或承诺提供数字内容的所有合同。这是继《一般数据保护条例》赋予个人数据权利后,通过与传统民法相衔接,运用合同法律规范规制不当自动化决策行为的重要体现。另外,《一般数据保护条例》在立法价值上与合同法有千丝万缕的关系,它赋予用户知情同意权的同时要求必须达到明示同意才能发生效力,并在第7条有关同意的条件中还为用户保留了在任何时候撤回其同意的权利。从而实现了在尽可能做到的程度上对平台严格控制,预防算法侵权。
2018年美国的《加州消费者隐私法案》对算法自动化决策也进行了一定的规制,主要表现在以下几个方面:其一,信息透明和公示。法案规定,消费者有权了解数据控制者是否对其信息进行算法决策及其使用情况,以及对这种决策必要性的合理解释。其二,算法透明和公开。数据控制者需要向消费者提供算法的基本原理、输入数据和结果等信息,以便消费者理解可能的决策结果以及可能导致其的后果。其三,指责机制。法案要求数据控制者对其使用算法进行审计,以确保算法不歧视或达成不当的决策。如果数据控制者不能证明其算法做出的决策是合理的或不会导致歧视,那么可能会面临指控或民事诉讼。其四,数据删除。如果数据控制者根据算法自动化决策作出决策,并且这些决策可能对消费者的利益产生不良影响,则消费者有权要求删除相关数据。
准此而言,欧盟和美国都规定了“告知同意”原则、同意撤回方式等,但也有所迥异。欧盟更重视数据主体的权利,注重数据保护的防范措施,避免个人数据被滥用,有逐渐向私法规制的合同法进路靠拢的趋势。而美国的隐私保护法规依赖于以行业为基础的自律机制,主要采取自我监管和自我约束的机制,强调对数据利用的透明性和公开性。另外,美国的隐私保护法规相对疏松,仅仅限定了一些行业和地区,而缺乏全国性的规范,也没有明确规定数据安全的标准。但美国历来十分重视意思表示在私法领域中的地位,合同法规制在美国的个人信息保护法律体系中扮演着不可或缺的角色。
如前所述,构建合同法规制能够用以预防妨害发生和救济轻微损害。而侵权法的使命则是为轻微损害之外的各类损害提供充分周全的救济,下文对此详尽论述。
我国现有的个人信息保护立法对算法决策侵害的救济主要是通过课予个人信息处理者公法责任同时赋予权利主体个人信息权,只有个别条文提及平台的民事责任。与此同时,司法实践对算法自动化决策致害的侵权法律适用也面临窘境。不难发现,我国通过侵权法实现对算法自动化决策的损害进行救济仍然存在许多空白和不足,亟待完善。放眼域外,国际社会和主要国际组织也面临既有侵权法救济方式捉襟见肘的窘境。私法方面,欧盟颁布的《通用数据保护条例》(GDPR)规定了算法自动化决策需要透明、可解释、可控和可反驳等要求,以保护个人数据的隐私权和权益。此外,GDPR还规定了对与数据处理有关的损害赔偿的责任和救济机制。然而,GDPR并没有明确规定如何对侵权行为进行审查和惩罚,这成为落实GDPR相关规定的困难所在。欧洲理事会集体签署的《欧洲人权公约》则明确规定了保护人权和公民自由的原则和条款。人权法院也表明算法自动化决策可能会涉及到此类重要问题,如人权保护、歧视、不平等待遇等。然而依据现实情况,对这类问题只能作出一般性的推论,而不是专门性的规定。此外,在其他多个私法领域如隐私保护法、著作权法等也存在与算法自动化决策的侵权行为有所关联的法律法规。然而,这些法律对于如何对侵权行为及其后果进行检查和惩罚,并没有形成共识,且实际适用性和约束性较弱,难以对算法决策的侵权行为进行有效的规制和救济。
由此端视,算法自动化决策的事后救济不排除公法手段的参与,但为实现个体私权的救济,侵权法律规范必须直面算法侵权所造成的损害,为受害人提供明晰而充分的事后救济。依照《民法典》和《个人信息保护法》的规定,构成侵害个人信息权益的民事责任,应当具备违法行为、损害后果、过错、因果关系要件。前二者的界定与适用基本无争议,焦点主要在后二者,下文侧重对此进行详述解构。
依照《民法典》和《个人信息保护法》的规定,构成侵害个人信息权益的民事责任,应当具备违法行为、损害后果、过错、因果关系要件。前二者的界定与适用基本无异议,争议焦点主要在于后二者,下文侧重对此进行详述解析。
1. 归责原则的确立
即使认为算法具有黑箱性,也应严格按照因果关系、归责原则来确定其法律责任。对于应当采取何种归责原则的理论学说,基本有过错责任说、无过错责任说、区分说三种,而我国《个人信息保护法》采取了过错推定责任。笔者认为,在适用算法侵权责任时,需要同时考虑算法的技术特性、使用者的行为以及被侵权人的权益等多方面因素,不能简单地断言一种归责原则是最优选择。一般来说,对于普通的算法决策错误,可以适用过错原则确定责任。但对于一些复杂的机器学习或人工智能算法,其透明度、可解释性和容错性往往较差,因此适用无过错责任原则可能更合适。此外,对于一些高风险的算法应用场景,例如医疗领域或自动驾驶领域,可能需要适用过错推定责任原则,即算法使用者需要承担严格的责任,除非能够证明自己采取了合理、谨慎的措施来防范风险。总体而言,在适用责任原则时,需要权衡各方利益,确保被侵权人的权益得以保护的同时,也不能过度限制算法的发展并保证法律的适用效果与合理性。
2. 因果关系的认定
针对因果关系的认定与证明,大致可以分为两类情况。第一类为成立损害赔偿责任的情况,需要根据相当因果关系说来确定违法行为与损害事实之间是否存在引起与被引起的关系。具体而言,对于实施了不当自动化决策行为的侵权行为,需要考虑其是否能够引起对个人信息权益造成损害的后果。而对于第二类情况,即成立以停止侵害等为责任方式的人格权请求权的民事责任,无需存在侵害个人信息权造成实际损害的客观事实,只需依据行为是否具有违法性来认定其是否具有因果关系,严格的因果关系证明并非必要。
3. 产品责任的质疑
另外,一种传统的讨论是算法不当自动化决策责任问题在侵权法上如何定性的问题。传统观点认为,自动化决策行为致人损害的责任应当适用或者类推适用产品责任。但笔者持不同意见。首先,算法不符合产品责任中产品的定义,并非有体物,也不具有销售的目的。其次,个人信息处理者也并非产品责任的适格承担主体。再次,认定算法具有产品责任所要求存在的缺陷较为牵强。最后,难以确定产品责任中的因果关系。产品责任的前提是产品本身有缺陷,然而产品责任可能并不囊括所有造成侵害的情况,因为不当自动化决策造成的损害可能是由于算法模型的缺陷,或者是由于输入数据的错误或偏差所致。惟其如此,在算法不当自动化决策责任机制方面,还需要更加成熟的规则构建,在第四部分将详尽论述。
如前所述,算法的复杂性、黑箱性、专业性等技术特征使算法自动化决策的私法规制面临严峻考验,对此有必要在检视传统合同法与侵权法的框架基础上,结合算法技术性特征和个人信息保护法律规范,优化算法自动化决策的规制进路。
对算法自动化决策技术的事中规制,是合同法对算法自动化决策发展所带来的新风险的积极回应,这不仅是司法机关在判断个人信息处理的合理性时需要考虑的因素,也是侵权法行使事后救济功能的参考模式。与人的决策相比,算法决策有着本质的不同,存在着巨大的不确定性,因此,在传统决策时代适用的知情权、参与权、异议权等合同权利的保护对于决策的使用者和数据主体来说就会产生适用难题。对此有必要与个人信息保护法律规范相结合,规范算法自动化决策的设计与运行。
在算法开发阶段,订立并遵守配置的合同协议,确保在合同法律规范和个人信息保护法律规范的框架下开发算法。具体而言,协议类型有:其一,数据转移协议。该协议应明确说明数据所有权、使用范围、共享数据规定、数据加密和安全等问题。此外,这个协议中必须载明授权将数据移交给第三方机构的情境。其二,数据使用协议。为了确保符合法律规定,数据使用协议应该明确规定数据使用的目的、范围及任何数据使用的合法性限制,确保数据的安全,并限制使用数据的方式。此外,在协议中必须做好约定协议终止、数据返还及删除等处理细节。其三,保密协议。开发者应该签署保密协议或非披露协议,以保护用户数据的隐私和机密性。保密协议应明确说明哪些数据应被视为机密信息,定义违反协议的范围、经济赔偿规定以及具体实施细节。其四,合规协议。为了确保开发、收集和处理用户数据的合法性和合规性,必须签署合规协议,确保其遵守相关的隐私保护和数据保护法律和法规,如GDPR、CCPA和其他相关法律和法规。此协议应规定双方将遵守的法规、法律要求以及其他相关规定,确保合法性。其五,合规审查。在协议的制定、实施和终止过程中,开发者应该考虑将确保合规性作为一项重要内容,并不断审查和更新合规标准。在合同中,可以约定内部审计和合规审查的相关权限和责任等细节。
在算法输入阶段,遵循个人信息保护法的基本准则,实行严密的审查机制,保障输入样本数据的准确性和公平性。如前所述,算法自动化决策可能关于强化和放大潜在的社会不平等,产生系统性的歧视和偏见。因此可以从输入数据样本为切入点进行规制:首先,收集个人信息应当遵循合法、正当、必要的原则,明确告知其使用目的和范围,并取得个人的同意,并严格按照收集的目的使用数据。其次,对于信息收集的过程要遵循“知情同意原则”,告知数据被使用的目的和范围,保障个人信息在使用中的合法性和正当性,确保其不被还想披露或非法利用。再次,建立严格的算法审查机制,对算法的设计、测试、评价等各个环节依法透明、公正、公开地进行监督,提高输入样本的准确性和公平性。最后,在个人信息处理时遵循公平性原则,确保算法不携带任何的种族、性别、宗教、地域等不合法偏见和歧视。
在算法运行阶段,增加算法自动化决策过程的透明度,在合同协议中约定相关信息披露义务的履行。算法由于存在黑箱性、复杂性和专业性,难以理解和审查。特别是在涉及重要决策的场景下,算法的不透明性会导致公平性和公正性等问题,引发社会问题。对此,可以从以下几方面着手规定算法自动化决策者的相关信息披露义务:其一,公开数据集和算法模型。为了让公众更好地了解和评估算法的决策过程,许多国家和地区要求公开数据集和算法模型。例如,欧盟颁布了《通用数据保护条例》,规定个人数据必须经过公开透明的处理过程,而美国则颁布了《红线法案》,禁止在房屋租售或贷款方面使用具有歧视性的算法模型。其二,提供解释和反驳机制。在算法自动化决策过程中,如果个人认为其被不公正地评估或歧视,应该提供解释和反驳机制。例如,美国加州颁布的《消费者隐私法案》,要求公司提供消费者请求个人数据并评估其机器学习模型的机会,从而保护消费者的权益。其三,进行透明度审计。政府或者机构可以聘请第三方审计机构对算法的透明度和信息披露情况进行检查和审计。透明度审计意味着审计人员能够对算法代码和数据、算法模型和算法决策的过程进行检查和分析,以确保算法的公平性、公正性、透明度和合规性等。
传统的法律价值理论认为,限制市场机制会在一定程度上牺牲效率。但是,限制市场机制实施对个人的保护,实际上并没有降低效率:如果目标不是个人,谈论效率是没有意义的,而以牺牲个人为代价实现的效率不可能是真正的效率。将市场机制置于对个人的保护之下,并不意味着民法拒绝考虑效率;民法所提出的只是一个不以财产为中心的新的效率概念。作出这种区分是很重要的,因为文明的发展不断改变着人类的价值偏好,这不可避免地导致了不同时期和文化传统对什么是真正的利润最大化的不同看法。根据传统的以财产为基础的民法哲学,效率意味着更大的生产能力和经济效率,这被理解为通过市场机制追求人类财富的最大化。然而,当市场的逻辑被应用到极致时,人类对财富的追求不可避免地屈服于市场规则的强大力量。对此,马克思·韦伯将人对财富的追求喻为“披在肩上的一件可以随时甩掉的轻飘飘的斗篷”,然而结局注定斗篷将变成一只铁的牢笼。
准此而言,在后信息时代浪潮下个人信息权益保护与个人信息合理利用之间的利益衡平实质也是上述人权主义与效率主义的冲突。为了避免泛市场化和资本对人的异化,笔者认为,应当减少受制于商业交易和经济效益逻辑,从个人本位的民法价值基础出发,以个人信息的保护为基准合理限定自动化决策活动在《民法典》和《个人信息保护法》中的适用范围,构建“个人信息保护请求权”,设立个人信息侵权责任。理由如下:
其一,个人信息保护请求权对于用户和相关个体有其独特价值,有确立必要。个人信息保护请求权不同于合同请求权、人格权请求权等传统民法上的请求权。为了保护个人信息权益,我国制定了《个人信息保护法》,其中规定了个人在个人信息处理活动中所享有的权利,包括知情权、查阅权、复制权、转移权、更正权、补充权、删除权,以及拒绝权和请求说明权。但这些权利均没有财产属性或者人身性质的内容,而是为了保护个人的知情权、决定权、限制或者拒绝权而设定的程序性权利,当然终极目的是为了保护个人的相关人权、宪法上的某些基本权利和自由以及民法上的人格权,如人身和财产安全、通信自由与秘密、人格尊严、隐私和名誉等。全国人大法工委对《个人信息保护法》的释义为:之所以在“个人信息权益”之外,又使用“个人在个人信息处理活动中的权利”一词,主要是考虑“国际社会相关立法和我国《网络安全法》《民法典》均赋予个人对其个人信息处理的知情权、决定权,作为保障个人信息权益的方式”。故而,赋予用户或者相关个体获得保护的权利不仅具有工具层面的必要性,更具有规范层面的正当性,彰显技术时代尊重个体主体性、自治性和人格尊严的光辉。
其二,如前所述,个人信息侵权责任不同于产品责任等传统侵权责任类型,应该专门作为特殊侵权责任的一种新类型予以规定。算法的应用虽可能产生数据泄露、社会分选、算法错误等后果,但难以直接对他人人身、财产法益造成危险或者侵害,在侵权责任体系中较为特殊。损害系侵权责任的共同要素,但不可置否的是,对于涉及个人信息的算法侵权行为,新的损害表现形式溢出了传统损害表现形式以外,侵权法必须有选择地将其确认为新的特殊侵权责任类型。王泽鉴先生曾指出侵权法的两大传统功能系事后救济功能与预防功能。因此设立不当自动化决策侵权责任的另一个关键问题是,如何减轻损害和管控风险,以快速应对算法侵权的复杂性,并使救济措施更加灵活高效。另一个值得关注的问题是,算法的技术性特征及其普遍应用使得算法侵权更容易、更广泛、更多样、更隐蔽,在法律上更难确定,由此带来的损害范围更广、影响时间更长。侵权法与算法技术的发展相差悬殊,也对不当自动化决策侵权行为的认定与规制制造了更大的鸿沟。
当下,利用算法进行自动化决策的技术方兴未艾,深入且广泛地嵌入社会生活的公私领域,给我们的社会生活带来了前所未有的深刻变革。随着信息技术发展的日新月异和数字化、网络化、智能化加速推进,我们希冀算法能够超越人类的局限和极限作出更高质量的决策,从而更好地服务于人类。但是与此同时我们也需要清醒地认识到算法的广泛应用正在导致个人主体性不断的丧失,并且让不公平的结构性现象逐渐得以固化,同时也导致传统决策治理框架频繁失效,由其造成的权益侵害层出不穷,严重扰乱了人们的生产生活和社会秩序。
私法规范作为保护和救济公民个体的主要手段,应当对因算法自动化决策所带来的新的法律风险作出回应。一方面,我们要在充分理解现行实证法和传统法学理论在规制算法自动化决策方面的举措和局限性的基础上,提出新的理论构想;另一方面,除了对算法自动化决策过程进行规制,还应当关注算法的研发、输入、运行阶段的每一个环节可能引发的道德风险和法律风险,并配置相应的规范措施。同时,侵权责任法在私法规制中具有重要的事前威慑性作用和事后填补性作用,也可以作为事前规制的有效补充。
算法自动化决策是数字时代产物,如何有效规范算法自动化决策行为进而实现对个人权益的充分保护,也是后信息时代的重大课题,私法作为基本法律应紧随社会发展,在变迁运作中一步步窥探和拓宽规则边界,任重而道远。
[1] 程啸:《个人信息保护法理解与适用》,中国法制出版社,2021年版。
[2] 丁晓东:《基于信任的自动化决策:算法解释权的原理反思与制度重构》,载《中国法学》2022年第1期。
[3] 王利明:《〈个人信息保护法〉的亮点与创新》,载《重庆邮电大学学报》(社会科学版)2021年第6期。
[4] 王叶刚:《个人信息处理者算法自动化决策致害的民事责任——以<个人信息保护法>第24条为中心》,载《中国人民大学学报》2022年第6期。
[5] 程啸:《论我国民法典中个人信息权益的性质》,载《政治与法律》2020年第8期。
[6] 程啸:《论我国个人信息保护法中的个人信息处理规则》载《清华法学》2021年第3期。
[7] 王苑:《私法视域下的个人信息权益论》,载《法治研究》2022年第5期。
[8] 杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版。
[9] 张新宝、葛鑫:《个人信息保护法(专家建议稿)及立法理由书》,中国人民大学出版社2021年版。
[10] 张新宝:《论个人信息权益的构造》,载《中外法学》2021年第5期。
[11] 王锡锌:《个人信息权益的三层构造及保护机制》,载《现代法学》2021年第5期。
[12] 王利明、程啸、朱虎:《中华人民共和国民法典人格权编释义》,中国法制出版社2020年版。
[13] 刘召成:《人格权法上同意撤回权的规范表达》,载《法学》2022年第3期。
[14] 张平华:《人格权行为:基本类型与立法问题》,载《经贸法律评论》2019年第5期。
[15] 王叶刚:《论网络隐私政策的效力——以个人信息保护为中心》,载《比较法研究》2020年第1期。
[16] 陆青:《个人信息保护中“同意”规则的规范构造》,载《武汉大学学报(哲学社会科学版)》2019年第5期。
[17] 陈甦、谢鸿飞:《民法典评注人格权编》,中国法制出版社2020年版。
[18] 阮神裕:《民法典视角下个人信息的侵权法保护——以事实不确定性及其解决为中心》,载《法学家》2020年第4期。
[19] 王锡锌:《国家保护视野中的个人信息权利束》载《中国社会科学》2021年第11期。
[20] 李永军:《民法学教程(第二版)》,中国政法大学出版社2023年版。
[21] 程啸:《侵权责任法》(第三版),法律出版社2021年版。
[22] 江溯:《自动化决策、刑事司法与算法规制——由卢米斯案引发的思考》,载《东方法学》,2020年第3期。
[23] [德]马克思·韦伯:《新教伦理与资本主义精神》,于晓、陈维纲等译,三联书店1987年版。
[24] 杨合庆:《中华人民共和国个人信息保护法释义》,法律出版社2022年版。
[25] 王泽鉴:《侵权行为法:基本理论·一般侵权行为》,中国政法大学出版社2001年7月第1版。
[26] Vgl.Schwab/Löhnig,Einführung in das Zivilrecht,20.Aufl.,2016,Rdn.263.
[27] Michal S.Gal. “Algorithms as llegal Agreements”.Berkeley Technology Law Journal,2019.
[28] James Q. Whitman,“The Two Western Cultures of Privacy:Dignity Versus Liberty”,Yale Law Journal,2004.
[29] Cfr. , P . Barcellona , I Soggetti e le Norme , Milano, 1984.
[30] Gerhard Wagner,Produkthaftung für autonome Systeme,Working Paper No.3 desForschungsinstituts für Recht und digitale Transformation,2019.
浙江国傲(长三角一体化示范区)律师事务所
地址:嘉兴市嘉善县晋阳东路818号国开商会大厦1号楼5层西侧
总台电话:0573-84888387
