GDPR中是否存在算法解释权?
2022/12/20 0:00:34 数据法盟
每天两块钱,实时获取全球数据合规风险预警
Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation
为什么《一般数据保护条例》中不存在自动化决策的算法解释权Sandra Wachter & Brent Mittelstadt & Luciano FloridiInternational Data Privacy Law, 2017
/01/作者介绍
Sandra WachterWachter是牛津大学互联网研究所的副教授和高级研究员,研究重点是人工智能、大数据和互联网监管的法律和伦理问题。
Brent MittelstadtMittelstadt是牛津大学互联网研究所的数据伦理研究员,英国科学院博士后研究员,阿兰·图灵研究所的研究员。
Luciano Floridi
Floridi是牛津大学信息哲学和伦理学教授,牛津大学互联网研究所主任,牛津大学圣十字学院理事,阿兰·图灵研究所的研究员和华盛顿特区美国大学经济系的兼职教授。
/02/背景
人工智能、大数据等崭新的信息技术不断地改变着人们的互动方式,随着算法时代的来临,算法自动化决策越来越普遍。作为数据转化为价值的数字经济时代的引擎,算法以远超人类的生产效率完成复杂的任务,并在此过程中产生实质性的社会经济利益。
但是由于算法具有黑箱性、不确定性与复杂性,算法在便利社会、推动经济发展的同时也使个体面临算法决策不公的问题。因此各国法律都引入算法解释权加以应对。算法解释权要求数据管理者对算法自动化决策过程进行解释,有助于提高算法、人工智能、机器等自动化系统的可归责性和透明度,进一步实现算法公正。
/03/摘要
自2016年欧盟正式批准《一般数据保护条例》(General Data Protection Regulation,简称GDPR)以来,人们普遍认为GDPR规定了对自动化决策的算法解释权。然而,本文认为此类算法解释权的合法行和可行性仍值得商榷。与其他特定情形下的自动化决策的算法解释权不同,《一般数据保护条例》规定数据控制者应当为数据主体提供重要但有限的信息(第13-15条),这些信息涉及相关逻辑、自动化决策的重要性和预期后果,可以称之为数据主体的知情权。此外由于第22条规定的“拒绝自动化决策权利”(所谓的“解释权”源自该条)具有模糊性并且适用范围有限,也导致该条例无法对数据主体提供有效保护。这些问题表明,GDPR缺乏精确的语言、定义清晰的权利和针对自动化决策的保障措施。因此,本文提出立法建议,以实现自动化决策的透明化和问责制。
/04/ 文章结构
/05/主要内容
一、算法解释权的分类
第一部分讨论了算法解释权的两种分类。
从解释的程度,算法解释权可以分为系统解释和个案解释。其中系统解释要求自动化决策者解释自动决策系统的逻辑、意义、预期后果和一般功能,如系统的需求规范、决策树、预定义模型、标准和分类结构。个案解释要求自动化决策者解释算法决策的基本原理、原因,以及限定自动决策的个别情况,如特征权重、机器定义的案例限定决策规则、有关引用或配置文件组的信息。
从解释的时间,算法解释权可以分为事前解释和事后解释。其中事前解释要求自动化决策者进行算法决策前的解释。在逻辑上只能解决系统功能的问题,因为在做出决策之前,无法知道个案决策原理。事后解释要求自动化决策者进行算法决策后的解释。事后解释可以说明系统功能和个案决策的基本原理。以信用评分系统为例,在做出决策之前(事前决策),系统提供者可以告知数据主体系统功能,包括一般逻辑(例如所考虑的数据和功能类型、决策树中的类别)、目的、意义(信用评分的分配),以及预期后果(例如,被贷款人可以使用信用评分来评估信用价值,从而影响利率等信贷条件)。在作出决策后(事后决策),系统提供者可以向数据主体提供系统功能的解释、个案决策的逻辑和具体情况,例如他的信用评分、在个案中考虑的数据或特征,以及特征在决策树或模型中的权重。
二、算法解释权的”法律依据“
第二部分阐述了作者认为《一般数据保护条例》没有规定算法解释权的原因。
在GDPR中可能存在三种自动化决策算法解释权的法律依据,包括:第22条第3款“自动化决策的保障措施”(Recitals第71条);第13-14条“通知义务”(Recitals第60条-62条);第15条“访问权”(Recitals第63条)。作者分别对三种可能的“法律依据”进行了驳斥。
(一)基于自动化决策保障措施的算法解释权
GDPR第22条规定了数据主体“拒绝自动化决策的权利”。
首先,GDPR第22条第3款规定了针对自动化决策的保障措施:“数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,数据主体有权对控制者进行干预,表达其观点并对决策提出异议。”但是,该条款并没有提及算法解释权,而是假设如果所作决策符合第22条第2款第a项(订立或履行合同)或第22条第2款第c项(经明确同意)规定的条件,那么数据主体对自动化决策享有人为干预、表达观点和进行异议的基本权利,但并未规定对所作决策享有算法解释权。
Recitals第71条中明确提到了算法解释权:“接受自动化决策的主体享有适当的保障,包括控制者向数据主体提供具体信息、人工干预、表达其观点、获得对评估后做出的决策进行解释和对决策进行异议的权利。”但是,作者认为“Recitals”的作用仅限于解释法律条款,而并没有法律效力,其本身不能构成新的规则。
因此,根据目前第22条的法律保障措施,数据主体将不会被授予具有法律约束力的事后解释权。
(二)基于通知义务的算法解释权
GDPR第13条和第14条规定了数据控制者向数据主体或第三方收集数据时的通知义务。这些条款被援引为事后解释个案决策权利的法律依据。有学者建议将第13-14条中的“通知义务”与22条第3款中规定的保障措施结合起来,授予事后解释自动化决策的权利。这种说法是错误的,原因有二:
首先,第13条第2款f项和第14条第2款g项明确要求对系统功能进行事前解释,即通知义务先于决策,要求数据控制者在收集处理数据时履行通知义务,由此可见,第13条-第14条只规定了事前解释,而不能作为事后解释个案决策的证据。
其次,该主张将第13条第2款f项、第14条第2款g项与第22条第3款中的保障措施联系起来。但是,GDPR中没有规定此类联系,并且这些条款不涉及自动化决策的保障措施。因此,认为第13-14条中关于自动化决策的通知义务与第22条之间具有假定联系是不合理的。此外,该主张还将第13-14条法定通知义务与Recitals第71条规定的拒绝自动化权利混为一谈。
综上所述,认为第13-14条规定了个案决策的事后解释权是不正确的,这种观点未能区分决策前数据管理者的法定通知义务和决策后数据主体的非法定解释权。
(三)基于访问权的算法解释权
GDPR第15条规定了数据主体的访问权,第15条第1款第h项与第13条的措辞相同:“数据主体有权有权访问个人数据和获知如下信息——存在自动化的决策,包括第 22条第1款和第4款所规定的数据分析,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。”因此,可以认为访问权同样只包含对访问系统功能的事前解释。
首先,该条规定没有授予事后解释的权利。“预期后果”是面向未来的,这表明数据控制者必须在这种处理发生之前通知数据主体自动决策的可能后果,“预期”一词局限于对系统功能的事前解释,例如关于系统的一般用途,或其做出的决策类型所预期的影响类型。
其次,该条规定只涉及系统解释。与第13条至第14条中的通知义务一样,无论数据主体何时主张访问权,GDPR只授予了数据主体对系统功能的解释,而不包括个案决策的理由和情况,原因在于第15条对于数据控制者必须披露的信息类型并没有进行具体列举。《1995 年数据保护指令》规定的访问权也支持这一主张,即由于重大利益和例外情况的存在,解释的适用范围和内容都受到限制。如第41条“访问权受到商业秘密和知识产权的限制”。此外,法国、德国、奥地利等国家的有关规定也只涉及对系统功能的解释,而不必披露“确切权重、具体特征”等。
三、具体决策的算法解释权
第三部分提出了在实践中如何实现对具体决策的解释。
虽然GDPR不会引入对具体自动化决策进行解释的有效权利,但鉴于这种权利是提高自动化决策的透明度的理想机制,可以设想四种主要措施,在实践中对具体自动化决策进行解释:
(1)在《一般数据保护条例》之外,成员国自行制定相关政策要求,授予具体决策的算法解释权;
(2)在GDPR第22条和Recitals第71条的基础上,数据控制者自愿对具体决策进行解释作为“合适保护”;
(3)对自动化决策的保障措施进行扩张解释,以明确对个案决策的算法解释权;
(4)明确访问权是具体自动化决策解释权的法律基础,将数据控制者需要披露的信息具体化。
作者认为第(3)项和第(4)项是最合理的措施。
关于第三项措施,第22条第3款规定:“数据控制者在履行合同或获得明确同意的情况下作出自动决策,数据主体可以对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。”成员国在根据《1995年保护指令》进行规定时,已经将数据主体提出异议的权利解释为迫使数据控制者做出新决策的权利。在这种情况下,结合《欧洲人权公约》第6条和第13条以及《欧盟基本权利宪章》第47条中规定的公平审判和有效补救权利,进一步支持数据主体对具体决策享有解释权的论点,因为如果不解释算法的工作原理,这两项权利就很难得以实施。
关于第四项措施,《1995年指令》访问权的实施表明,成员国和国家法院有必要解释含糊的规定。在解释自动化个人决策中的“涉及逻辑”时,对数据控制者的要求还没有形成共识。奥地利的判例表明,“所涉及的逻辑”的范围很广,足以包括在解释系统功能的同时解释具体决策的理由等要素,因此GDPR的访问权仍需要进行类似的解释。鉴于指令和GDPR中都提到了“涉及的逻辑”,未来对访问权的法律解释可能会确立对具体化决策的算法解释权。
此外,作者进一步论述了对基于访问权和保障措施所产生的算法解释权的限制,其中主要的限制是自动化决策必须具有“法律影响或类似严重影响”,决策“完全倚靠自动化处理”(第22条第1款)。也就是说任何人工参与的决策都可能意味着它不是“自动化决策”,而这一定义将会带来极大的不确定性,目前尚不清楚未来GDPR中的这一条款将如何解释。同时如果一项决策没有法律影响或者类似严重影响,第22条就不能适用。举例来说,数据主体如果没有被雇佣或获得信贷申请批准的法律权利,因此通过自动化程序拒绝面试或信贷的情况就不属于这些类别。此类案件可能被认为具有“类似严重的影响”。然而“类似严重”一词本身很模糊,需要解释,其严重程度可以因数据主体的认知而不同。此外在实践中,证明处理对数据主体有严重影响可能会给数据主体带来负担。因此构成严重影响的外部标准也需要进行解释。
除了上述对解释权的限制外,还有一些对自动化决策保障措施(第22条第3款)的特别限制。对第22条第3款的限制取决于第22条是被解释为禁止权还是拒绝权。《一般数据保护条例》第22条第1款规定:“数据主体有权反对此类决策:完全依靠自动化处理——包括用户画像——对对数据主体做出具有法律影响或类似严重影响的决策。”禁止自动化决策权和拒绝自动决策权,为数据主体和数据控制者的利益提供了截然不同的保护。如果解释为禁止,意味着在满足第22条第2款规定的三项要求之一(签订或履行合同的必要、法律授权或明确同意)之前,数据控制者将不允许进行自动化决策,数据主体不需要采取行动来阻止自动化决策,而是受到默认的保护,监管机构将承担执行第22条的责任,确保自动化决策是合法进行的,并可以对非法决策的情况进行处罚和罚款。如果第22条被解释为拒绝权,只有在数据主体积极反对的情况下才不能进行自动化决策,并且必须证明决策不符合第22条第2款a-c项的规定。由此可以看出将第22条解释为禁止时可以更有力地保护数据主体的利益。
四、结论
最后作者认为未来可以通过修改GDPR或者由成员国立法,弥补在保护数据主体免受自动化决策影响方面的不足之处。
1.在《一般数据保护条例》第22条第3款中明确规定算法解释权。如果解释权是如Recitals第71条所述,它应该被明确地添加到GDPR具有法律约束力的条款中。
2.阐明第15条中“存在自动化的决策”的含义,“数据分析,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息”的含义。特别是解释第15条中核心概念的含义。
3.阐明第22条第1款的含义,以表明何时决策“完全倚靠自动化处理”。
4.阐明第22条第1款的含义,以表明什么是自动化决策的“法律影响或类似严重影响”。
5.阐明第22条第2款第a项中“签订或履行合同所必要”的含义。
6.明确第22条第2款应解释为禁止自动决策。
7.基于商业秘密的限制,引入外部审计机制对自动化决策的具体决策理由进行审查,或向数据控制者提出内部审计要求。
8.进一步研究除了算法解释权以外,能够完善算法问责制的其他解决措施。
■________________
审核:黄昊
编辑:张白荟
联系微信:heguilvshi领取优惠券,加入会员
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:11535782@qq.com
源网页 http://weixin.100md.com
返回 数据法盟 返回首页 返回百拇医药