摘要:随着算法时代的到来,算法自动化决策越来越普遍。但由于算法具有黑箱性、不确定性与复杂性等特征,数据主体面临着决策不公的问题。《欧盟数据保护通用条例》(General Data Protection Regulation,GDPR)和欧盟《人工智能法案》(AI Act,AIA)为算法解释权提供了法律基础,赋予数据主体要求数据控制者对算法自动化决策过程进行解释的权利。尽管如此,GDPR关于算法解释权的适用范围及解释内容的规定仍模糊不清,并且这种模糊性在AIA中并没有得到改善,因此,在适用GDPR中出现的问题仍有可能出现在AIA的适用过程中,并且,AIA没有采取措施来平衡数据主体的算法解释权与欧盟或成员国立法者可能对该权利施加的过度限制,这也会在一定程度上阻碍算法解释权的适用。
一、算法解释权的法律基础
(一)GDPR关于算法解释权的规定
GDPR中并未明确规定算法解释权,有关法律学者主要采取两种方法来推定存在算法解释权,第一种方法需结合序言第71条来看第22条1要求数据控制者采取的一系列保障措施,推定存在算法解释权。第二种方法则依赖于GDPR第13条、第14条和第15条规定的通知义务和数据访问权,来推定算法解释权的存在。
1.基于自动化决策保障措施的算法解释权
GDPR第22条第3款规定了针对自动化决策的保障措施:“数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。”但是,该条款并未提及算法解释权,而是假设如果所作决策符合第22条第2款第a项(对于订立或履行合同是必要的)或第22条第2款第c项(经数据主体的明确同意)规定的条件,那么数据主体对自动化决策享有人为干预、表达观点和进行异议的基本权利。序言第71条则明确提到了算法解释权:“接受自动化决策的主体享有适当的保障,包括控制者向数据主体提供具体信息、人工干预、表达其观点、获得对评估后做出的决策进行解释和对决策进行异议的权利。”因此,将二者结合来看,可以推定存在算法解释权。
2.基于通知义务和数据访问权的算法解释权
GDPR第13条和第14条规定了数据控制者向数据主体或第三方收集数据时的通知义务,第15条规定了数据主体的访问权,并且第15条第1款第(h)项与第13条的措辞相同:“数据主体有权访问个人数据和获知如下信息——存在自动化的决策,包括第22条第1款和第4款所规定的数据分析,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。”
可以说,根据GDPR第13条、第14条和第15条的规定,数据主体有权要求数据控制者提供与决策相关的有效信息,为算法解释权提供了更明确的法律基础。
(二)AIA关于算法解释权的规定
AIA旨在通过统一的法律监管框架,以基于风险识别分析的方法,为不同类型的人工智能系统提出不同的要求和义务,确保基于人工智能的商品和服务在高度保护健康、安全、公民基本权利和保障公共利益的前提下,促进人工智能规范化的开发、使用和营销。AIA确立了人工智能系统风险的分类规则,对高风险人工智能系统,法案为其设定了各种透明度要求。该法案第86条2明确规定了个人决策解释权,即任何受到部署者根据附件三所列高风险人工智能系统(第2项所列系统除外)的输出结果所做的决策影响的人,如果认为该决策对其健康、安全和基本权利产生了不利影响,并产生了法律效力或类似的重大影响,应有权要求部署者就人工智能系统在决策程序中的作用和所做决策的主要内容做出明确而有意义的解释。
二、算法解释权的适用范围
关于算法解释权的一个最关键的问题是其适用范围,即具体在什么情况下可以行使解释权?GDPR和AIA在这一点上采取了截然不同的方法。AIA将算法解释权的适用范围限定为特定的人工智能系统,而GDPR则提供了一系列标准,人工智能系统必须符合这些标准才能落入其适用范围。在SCHUFA案3中,欧盟法院提出了三重测试来评估GDPR第22条的适用范围,这些标准是:1. 已作出决策;2.决策必须完全基于自动化处理,包括画像;3.决策必须对数据主体产生法律影响,或类似地对其产生重大影响。
(一)已作出决策
1.GDPR中的决策
GDPR没有明确规定“决策”的概念,在实践中,由于多个操作均可能对数据主体产生影响,因此欧盟法院认为决策应具有广泛的范围。在SCHUFA案中这一点得到了突出体现,SCHUFA公司向银行提供个人的信用评分,银行依据这些评分做出关于个人信用状况的决策。本质上来说,由于SCHUFA并没有直接对数据主体的信用状况做出决策,如果不将SCHUFA公司的工作纳入GDPR第22条的适用范围,数据主体将无法有效地行使GDPR第15条(1)(h)项下的算法解释权。因此,欧盟法院裁定,只要在决策者不依赖其他信息的情况下作出决策就能纳入GDPR第22条意义上的“决策”范围。
2.AIA中的决策
AIA中的算法解释权也关注决策,根据AIA第86条(1)项,决策指的是根据高风险人工智能系统的输出做出的决策,因此,个人只能向部署者请求解释。根据附件III第5(b)点,信用评估系统也属于算法解释权的适用范围,并且不能根据第6条(3)项被豁免,因为它们会对自然人进行画像。从这个角度来看,像SCHUFA这样的公司也可能被纳入AIA算法解释权的适用范围。
(二)决策必须完全基于自动化处理,包括画像
1.GDPR中的完全自动化决策
根据GDPR第22条,解释权仅适用于完全自动化的决策过程,但GDPR没有明确指出完全自动化决策是什么,因此,有学者指出,如果在决策过程中仅在象征意义上有人的参与,也会导致第22条无法适用。并且在这种情况下,人类仍要承担基于人工智能系统作出的有问题决策的法律和道德责任。
此外,GDPR第15条使用了“在此类情形下”这一措辞,此类情形指的是一般的自动化决策,还是第22条第(1)项和第(4)项意义上的完全自动化决策存在分歧,如果是后者,GDPR第15条将仅适用于完全自动化决策的情况。
2.AIA中的完全自动化决策
AIA的算法解释权并不要求没有人为干预,相反,AIA要求部署者根据AIA第14条对人工智能系统进行人为监督,但这种要求并不是行使AIA第86条算法解释权的条件。
在这方面,GDPR和AIA提供了两种不同但相似的机制,来区分人工智能系统是否受算法解释权约束。GDPR通过人类在决策过程中的实质性参与程度来限制算法解释权的适用范围。然而,在AIA的情况下,欧盟立法者则更关注系统本身,而不考虑人类在决策过程中所发挥的作用,为算法解释权提供了一个更明确稳定的适用范围。
(三)决策必须对数据主体产生法律影响,或类似地对其产生重大影响
GDPR和AIA都要求,数据主体行使算法解释权的要件之一是决策对其必须是有影响的。关于GDPR要求的重大影响,欧洲数据保护委员会(European Data Protection Board,EDPB)发布的指南指出,法律影响包括任何影响人的法律权利的后果,例如结社自由、选举权或采取法律行动。重大影响则是任何“显著影响数据主体的情况、行为或选择”的情况。从司法实践来看,这种影响并不要求数据主体实际遭受了损失。
AIA第86条同样要求决策具有法律影响或类似的重大影响,并且这种影响由数据主体自己评估,这使得决策需要具有法律影响或重大影响的要求在一定程度上变得毫无意义。
三、算法解释权的内容
(一)GDPR算法解释权的内容
不需要解释算法公式。GDPR规定的算法解释权不需要揭示产生决策的全部底层系统,只需要对底层系统进行全面且相关的描述。EDPB发布的指南指出,数据控制者需要提供与决策相关的信息,无需提供人工智能系统运作的复杂算法。
应为一般性解释还是具体性解释存在模糊。关于解释的内容是系统整体的一般性描述,还是对特定决策的具体性描述,存在一些混淆。虽然GDPR要求提供关于特定决策的具体性解释,但在司法实践中,法院并不总是倾向于裁定数据控制者提供具体的解释。并且,数据控制者提供的解释也并不能帮助数据主体了解所作决策的所有细节。
解释的内容常与解释所要实现的目的联系在一起。不同类型的信息披露对实现特定的目的所发挥的作用大小不一样,因此,法院通常会根据算法解释权所要实现的目的来确定数据控制者提供信息的类型。
(二)AIA算法解释权的内容
AIA的要求与GDPR类似,对解释内容的理解亦存在分歧。根据第86条第1款,部署者需要提供“人工智能系统在决策程序中的作用和所做决策的主要内容的明确而有意义的解释”。AIA对“人工智能系统的作用”的关注以及使用“主要内容”一词,可以理解为仅要求披露系统整体的一般性解释,也可以理解为仅披露系统所依赖的主要参数的总权重。
四、GDPR和AIA对权利和利益的平衡
GDPR和AIA采取了多种方式以平衡数据主体的权利和数据控制者的利益,但AIA并未采取措施平衡数据主体的算法解释权和欧盟或成员国立法者可能施加的过度限制。
(一)GDPR中的平衡
GDPR提供了许多方式来平衡个人数据处理过程中所涉及的不同权利、自由和利益。如前所述,算法解释权适用于自动化决策对数据主体产生法律影响或类似重大影响的情况,监管机构已经通过限定算法解释权的适用范围预先进行了一些平衡,并且通过限定算法解释权的解释内容进一步保护了数据控制者的利益。
此外,在司法裁判中,法院也为平衡双方主体间的权利和利益做出了努力。由于自动化决策已经渗透到社会的方方面面,数据主体可以基于多项权利和自由来行使解释权,数据控制者也能以对人工智能系统进行过度解释会损害其商业利益,包括商业秘密、商业声誉等为由进行反驳,并且该理由在许多地区的法院都得到了支持。
(二)AIA中的平衡
与GDPR类似,AIA的立法者通过将算法解释权的适用范围限制在高风险人工智能系统中,预先进行了一定的平衡,并且AIA第86条也适用于对人“产生法律效果或类似重大影响”的个人决策,这也是一种平衡。由于评估影响的权利掌握在数据主体手中,因此能够为数据主体提供更高水平地保障。
但是,AIA第86条第(2)项也规定了例外情况,即如果欧盟或成员国法律中对解释权的行使进行了限制,那么应该从其规定。然而,AIA并未作出额外规定来避免数据主体受到欧盟或成员国立法者施加的过度限制。
五、结论
随着算法解释权的大量讨论,它已在实践中逐步发展为一个完整的法律权利,并且这一权利在AIA中的表述也更加明确。然而,GDPR对算法解释权规定的模糊性在AIA中并没有改善。一方面,AIA关于需要解释的信息的表述与GDPR的表述具有高度一致性,因此,在GDPR实施过程中遇到的问题,同样会出现在AIA的实施过程中。另一方面,GDPR通过多个条款隐含地促进了解释权与其他权利和利益之间的平衡行为。相比之下,AIA没有在算法解释权与欧盟或成员国法律规定的例外之间作出平衡,决策主体必须在AIA本身之外寻求补救措施,以保护其解释权不受欧盟或成员国立法者施加的过度限制。
总的来说,与GDPR相比,AIA为算法解释权提供了一个更加明确的法律基础,但关于算法解释权适用范围及解释范围的模糊性问题并没有得到改善,在一定程度上将阻碍算法解释权的适用及发展。
上滑查看注释
1GDPR第 22条 自动化决策
1.数据主体有权反对此类决策:完全依靠自动化处理(包括绘制用户画像)对数据主体做出具有法律影响或类似严重影响的决策。
2.当决策存在如下情形时,第1款不适用:
(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的;
(b)当决策是欧盟或成员国的法律所授权的,控制者是决策的主体,并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益;或者
(c)当决策建立在数据主体的明确同意基础之上。
3.在第2段所规定的(a)和(c)点的情形中,数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。
4.第2段所规定的决策的基础不适用于本法第9(1)条所规定的特定类型的个人数据,除非符合第9(2)条(a)点或(g)点的规定,并且已经采取了保护数据主体权利、自由与正当利益的措施。
2.第86条 个体决策的解释权
1.任何受到部署者根据附件三所列高风险人工智能系统(第2项所列系统除外)的输出结果所做的决策影响的人,如果认为该决策对其健康、安全和基本权利产生了不利影响,并产生了法律效力或类似的重大影响,应有权要求部署者就人工智能系统在决策程序中的作用和所做决策的主要内容做出明确而有意义的解释。
2.第1段不适用于根据欧盟法律或国家法律对第1段规定的义务有例外或限制的人工智能系统的使用。
3.本条仅在第1段所述的权利尚未在欧盟法律中做出规定的程度上适用。
3.SCHUFA案:SCHUFA是德国的一家私人征信机构,主要通过数学统计方法为客户提供个人信用评分。SCHUFA向银行提供了OQ的信用评分,银行根据该评分对OQ的个人信用状况进行评价。法院最终判决认为SCHUFA公司的行为属于GDPR第22条规定的自动化决策的范畴,符合该条的适用条件。
整理者:刘聪睿
文章来源:https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4996173
参考文献:Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation
内容转自:新金融法
