公共決策適用算法技術(shù)的規(guī)范分析與實(shí)體邊界

文/趙宏

公共決策的算法化對(duì)國(guó)家治理有明顯賦能。但算法與公共決策的結(jié)合具有復(fù)雜的多效性，其可以促進(jìn)行政決策、監(jiān)管和執(zhí)法能力的升級(jí)，同時(shí)又不可避免地引發(fā)過度侵蝕個(gè)人權(quán)利的問題。如果我們不加防備地允許算法進(jìn)入所有的決策領(lǐng)域，僅靠事中的算法解釋或者事后的追責(zé)機(jī)制，根本無法避免個(gè)人被算法霸權(quán)所奴役和壓制。

公共決策適用算法的典型問題

在算法加持下，國(guó)家權(quán)力的作用范圍不再受物理世界中空間和時(shí)間的限制，其可以借由信息的互聯(lián)互通，在極短時(shí)間內(nèi)覆蓋社會(huì)生活中的每個(gè)人，并涵蓋其生活的每個(gè)位置和時(shí)刻。這也更易引發(fā)群體性、規(guī)模化的，而非傳統(tǒng)單體性、單向度的權(quán)利侵犯。傳統(tǒng)法治用以約束公權(quán)力的主要方式在于權(quán)限控制、程序控制和后果控制，即事前、事中和事后的法律控制。但引入算法決策后，因固有認(rèn)識(shí)認(rèn)為算法只是改變了工具，因此對(duì)其準(zhǔn)入往往不做任何防備，也未設(shè)置任何門檻，這就使很多攸關(guān)個(gè)人權(quán)利的事項(xiàng)未經(jīng)事先評(píng)估和民主決議就輕易交由算法決斷。被傳統(tǒng)法治奉為圭臬的正當(dāng)法律程序原則同樣因?yàn)樗惴ǖ倪m用而被架空。徒留空殼的還有事后救濟(jì)和追責(zé)權(quán)利。由于透明度不足以及缺乏明確的責(zé)任人，在算法出現(xiàn)偏誤、歧視等不公結(jié)果時(shí)，當(dāng)事人的救濟(jì)權(quán)利同樣無法得到充分保障。

《個(gè)人信息保護(hù)法》中算法決策規(guī)范與適用問題

《個(gè)人信息保護(hù)法》對(duì)算法決策的規(guī)定僅有第24條、第55條和第73條三條。第24條作為自動(dòng)化決策的核心規(guī)范，共有三款，其中可直接適用于公共機(jī)構(gòu)的有兩款。這兩款規(guī)定為公共機(jī)構(gòu)適用算法決策設(shè)定了“予以說明”以及“保證決策的透明度和結(jié)果公平、公正”的義務(wù)，同樣賦予個(gè)人要求說明和拒絕僅通過自動(dòng)化決策的方式作出決定的權(quán)利。但要知道上述規(guī)定在多大程度上構(gòu)成對(duì)公共機(jī)構(gòu)適用算法決策的拘束，這種拘束又存在何種欠缺，仍需對(duì)條文進(jìn)行細(xì)致分析。

（一）免受自動(dòng)化決策：權(quán)利抑或禁令的爭(zhēng)論 從條文構(gòu)造看，《個(gè)人信息保護(hù)法》第24條是對(duì)歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱“GDPR”）第22條的借鑒。但GDPR對(duì)自動(dòng)化決策的立場(chǎng)，到底應(yīng)理解為是對(duì)自動(dòng)化決策的一般禁令還是對(duì)個(gè)人免受自動(dòng)化決策的賦權(quán)，一直存有爭(zhēng)議。這也構(gòu)成了評(píng)析《個(gè)人信息保護(hù)法》第24條規(guī)定的背景。

（二）《個(gè)人信息保護(hù)法》第24條的規(guī)定與問題 從《個(gè)人信息保護(hù)法》第24條的規(guī)定來看，我國(guó)在處理自動(dòng)化決策的問題上選擇了相對(duì)持中的權(quán)利立場(chǎng)，即并未普遍性禁止自動(dòng)化決策在私人領(lǐng)域和公共領(lǐng)域的適用，但賦予個(gè)人“要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定”的權(quán)利，同時(shí)附加“個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正”的要求。從條文規(guī)定來看，這種“免受自動(dòng)化決策約束權(quán)”在行權(quán)時(shí)又須滿足以下要件：其一，決定必須是僅通過自動(dòng)化決策的方式作出；其二，必須是對(duì)個(gè)人權(quán)益有重大影響的決定；其三，個(gè)人必須就自動(dòng)化決策對(duì)其權(quán)益有重大影響負(fù)擔(dān)舉證責(zé)任。相對(duì)嚴(yán)苛的行權(quán)限制使賦權(quán)模式對(duì)算法決策的約束效果受限。除此之外，《個(gè)人信息保護(hù)法》的這一條文尚有不少含混之處。

公共決策適用算法的界限缺失與背后原因

因?yàn)椴扇〉氖琴x權(quán)模式，我國(guó)公共決策適用算法技術(shù)在源頭處并未受到實(shí)質(zhì)性限制。公共決策仍舊可以暢行無阻地適用算法，其可能遭遇的障礙只有信息主體事后的免受自動(dòng)化決策約束權(quán)。但免受自動(dòng)化決策約束權(quán)本質(zhì)上只是事后階段的控制，并無法覆蓋事前的風(fēng)險(xiǎn)預(yù)警和事中的有效阻擊。而且此項(xiàng)權(quán)利在行權(quán)時(shí)不僅面臨規(guī)范要件上的約束，還會(huì)受到數(shù)據(jù)主體可能怠于行權(quán)或者力量薄弱的現(xiàn)實(shí)因素的掣肘。由此來看，《個(gè)人信息保護(hù)法》雖對(duì)算法決策有了一定的規(guī)范基礎(chǔ)，但這些規(guī)范不僅質(zhì)效單薄，而且其中還隱含著未對(duì)公共決策適用算法設(shè)置實(shí)質(zhì)界限的重大缺漏。造成這一缺漏的原因主要有二：一是常規(guī)算法規(guī)制路徑的影響；二是《個(gè)人信息保護(hù)法》“一體化調(diào)整”模式的問題。算法規(guī)制的一般徑路主要有算法公開、個(gè)人數(shù)據(jù)賦權(quán)與反算法歧視。但上述規(guī)制路徑是否可解決算法技術(shù)適用于公共決策的問題卻值得懷疑。其關(guān)鍵就在于，算法公開、反算法歧視甚至個(gè)人的數(shù)據(jù)賦權(quán)，都是內(nèi)嵌在針對(duì)算法的正當(dāng)程序中的。這種內(nèi)嵌于正當(dāng)程序中的算法規(guī)制本質(zhì)上仍舊是針對(duì)算法的程序性控制。無論是作為表象的程序控制還是內(nèi)嵌其中的實(shí)體賦權(quán)，所缺失的都是在源頭處對(duì)算法進(jìn)入公共決策的嚴(yán)格把控。而且，《個(gè)人信息保護(hù)法》第24條主要以算法技術(shù)適用于私人生活和商業(yè)領(lǐng)域?yàn)榛A(chǔ)構(gòu)建，并未考慮算法技術(shù)適用于私人領(lǐng)域與公共領(lǐng)域的區(qū)別。就信息處理而言，私人機(jī)構(gòu)處理個(gè)人信息由“告知同意”這一核心原則來調(diào)控，其目標(biāo)是通過賦予個(gè)人對(duì)自身數(shù)據(jù)的控制權(quán)，來避免他人對(duì)其數(shù)據(jù)人格的貶損和抑制。但因考慮到將告知同意適用于公職履行會(huì)影響乃至破壞國(guó)家的執(zhí)法能力，《個(gè)人信息保護(hù)法》已將國(guó)家機(jī)關(guān)“為履行法定職責(zé)或法定義務(wù)所必需”的行為從同意原則的適用中豁免，即使是告知義務(wù)也被縮減為“有限度的告知”。這同樣說明，以其為思路衍生出的對(duì)當(dāng)事人的全周期數(shù)據(jù)賦權(quán)，尤其是允許其事先知情和拒絕的做法，并無法有效規(guī)制公共機(jī)構(gòu)的算法決策。

法律保留作為邊界劃定的思考框架及其考慮因素

為避免個(gè)人尊嚴(yán)的保護(hù)被完全淹沒在追求技術(shù)福利的目標(biāo)之下，對(duì)公共決策適用算法設(shè)置界限無疑是必需的。

（一）法律保留作為形式合法性依據(jù)

傳統(tǒng)法治用以確定公共機(jī)構(gòu)尤其是行政機(jī)關(guān)權(quán)力邊界的首要原則是法律保留。法律保留決定著行政機(jī)關(guān)采取某種措施介入社會(huì)的容許性，其邏輯是將國(guó)家的基礎(chǔ)決定都交由最具民主正當(dāng)性的議會(huì)，由此使立法在保障基本權(quán)利、控制行政權(quán)上發(fā)揮核心作用。

1. GDPR中隱含的加重法律保留

GDPR第22條第2款規(guī)定的免受自動(dòng)化決策約束權(quán)的例外之一是，決策是由數(shù)據(jù)控制者所應(yīng)遵守的歐盟或成員國(guó)法律授權(quán)的，該法律提供了保護(hù)數(shù)據(jù)主體權(quán)利、自由和合法權(quán)益的適當(dāng)措施。GDPR規(guī)定，公共機(jī)構(gòu)要完全訴諸算法進(jìn)行決策就必須要有“法律授權(quán)依據(jù)”，且其目的是出于“公共利益、風(fēng)險(xiǎn)防控或者確?？刂普咛峁┓?wù)的安全性和可靠性等”，適用前提是其“已制定了恰當(dāng)措施保證數(shù)據(jù)主體的權(quán)利、自由與正當(dāng)利益”。如果我們將算法適用于私人機(jī)構(gòu)和公共機(jī)構(gòu)作區(qū)別對(duì)待，認(rèn)為對(duì)公共機(jī)構(gòu)應(yīng)為禁令模式，唯有符合法律規(guī)定的豁免情形時(shí)才會(huì)被允許，那么GDPR的上述規(guī)定就完全可被理解為算法決策的法律保留。

2. 原則與例外的關(guān)系模式

將法律保留作為算法適用于公共決策的界限意味著，立法對(duì)此的立場(chǎng)是原則禁止和例外允許，規(guī)范模式也相應(yīng)表現(xiàn)為“原則與例外”的關(guān)系模式。除GDPR外，此類關(guān)系模式的典型還有德國(guó)《聯(lián)邦行政程序法》中有關(guān)“全自動(dòng)化行政”的規(guī)定。要求有具體的規(guī)范授權(quán)也意味著，立法者有義務(wù)在行政效能與權(quán)利保護(hù)之間進(jìn)行權(quán)衡，并在個(gè)別法中單獨(dú)明確何種事項(xiàng)在何種程度上可委托給算法。這種并非進(jìn)行統(tǒng)一規(guī)定，而是交由立法者個(gè)別處理的模式，同樣是為因應(yīng)算法技術(shù)的動(dòng)態(tài)發(fā)展和人類對(duì)人工智能的認(rèn)識(shí)更新。

3. 法律保留中被放寬的“法律”

法律保留中的“法律”應(yīng)為立法機(jī)關(guān)制定的法律，由此才能貫徹立法約束行政的原則意涵。但值得注意的是，無論是GDPR中的“決策是由數(shù)據(jù)控制者所應(yīng)遵守的歐盟或成員國(guó)的法律授權(quán)”，還是德國(guó)《聯(lián)邦行政程序法》中的全自動(dòng)化行政行為必須要有規(guī)范依據(jù)，都對(duì)作為允許性保留前提的法律作了放寬處理。這種放寬處理的立場(chǎng)同樣體現(xiàn)在我國(guó)《個(gè)人信息保護(hù)法》中。該法第13條在列舉個(gè)人信息處理的合法性根據(jù)時(shí)，將第七項(xiàng)“法律、行政法規(guī)規(guī)定的其他情形”作為兜底。這也意味著，對(duì)個(gè)人信息的處理除該條明確列舉的情形以外，都必須要有“法律、行政法規(guī)”的明確授權(quán)。在法律之外，同樣允許行政法規(guī)進(jìn)行授權(quán)，可說是對(duì)法律保留中的法律作了擴(kuò)張?zhí)幚怼?/p>

4. 加重的法律保留作為適用類型

鑒于公權(quán)機(jī)關(guān)將決策權(quán)拱手讓與算法可能導(dǎo)致的法治被架空、權(quán)利受克減，以及個(gè)人主體性被蠶食的巨大風(fēng)險(xiǎn)，對(duì)于公共決策完全的算法化不僅要有法律的授權(quán)依據(jù)，對(duì)于授權(quán)所追求的目的、滿足的前提和使用的方式，法律也應(yīng)予以詳盡規(guī)定，即加重的法律保留應(yīng)該成為具體立法的首要選擇。

（二）法律授權(quán)時(shí)的考慮因素

法律規(guī)范在例外授權(quán)時(shí)應(yīng)考慮哪些因素，既可參考傳統(tǒng)的法律保留原則，也應(yīng)納入算法決策的特點(diǎn)。這些考慮因素不僅攸關(guān)法律是否應(yīng)作出授權(quán)決定，亦會(huì)決定授權(quán)法嚴(yán)苛還是寬松的規(guī)范強(qiáng)度。

1. 基本權(quán)利的保障

即使行政將決策工具替換為算法，但只要決定觸及個(gè)人基本權(quán)利，就仍舊要接受法律保留的約束。但何種基本權(quán)利要有嚴(yán)格的法律授權(quán)，何種基本權(quán)利可交由法律之下的其他規(guī)范處理，各國(guó)規(guī)定不一。若論嚴(yán)格意義上的法律保留，我國(guó)的立場(chǎng)仍較為保守，主要涉及的只是基本權(quán)利中的自由權(quán)和財(cái)產(chǎn)權(quán)。這也意味著包括生命權(quán)、人身自由在內(nèi)的自由權(quán)應(yīng)受到更高程度的保護(hù)，立法者在將攸關(guān)這些基本權(quán)利的公共決策交由算法時(shí)也會(huì)受到更嚴(yán)格的約束，而在不能確保上述權(quán)利獲得充分保障時(shí)，完全的算法決策更應(yīng)被明確禁止。

2. 風(fēng)險(xiǎn)可控性與分級(jí)保護(hù)

亦有國(guó)家是從算法決策可能引發(fā)的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)的可控性出發(fā)，結(jié)合具體場(chǎng)景適用分級(jí)保護(hù)和監(jiān)管的模式。2019年加拿大頒布的《自動(dòng)化決策指令》就是這種分級(jí)保護(hù)機(jī)制的典型。加拿大的分級(jí)保護(hù)提供了一種根據(jù)技術(shù)引發(fā)的風(fēng)險(xiǎn)大小和強(qiáng)度以及是否可逆等因素，考慮是否能夠授權(quán)的思路。

3. 價(jià)值判斷和自由裁量作為決策禁區(qū)

在應(yīng)用清單的考量中有一項(xiàng)是設(shè)置算法應(yīng)用于公共決策的禁區(qū)，這種考量又落實(shí)于美國(guó)2016年的“盧米斯案”（State v. Loomis）判決和德國(guó)《聯(lián)邦行政程序法》中，因此同樣可成為法律授權(quán)的禁止性規(guī)定。

盧米斯案提煉出了算法適用于刑事司法這類特殊公共決策的首要實(shí)體邊界：若某項(xiàng)公共決策涉及利益沖突和價(jià)值判斷，就不能全部交由算法處理。這一認(rèn)識(shí)目前已被廣泛接受，價(jià)值判斷也因此成為公共決策算法化的實(shí)體禁區(qū)。其原因在于，價(jià)值判斷是一項(xiàng)依賴生活經(jīng)驗(yàn)和決策預(yù)警的工作，由于社會(huì)環(huán)境無法全面數(shù)字化和符碼化，算法往往無法領(lǐng)會(huì)和處理解決價(jià)值沖突所需要的人類情感和體悟，算法也并不具有人類因文明傳承和生活經(jīng)驗(yàn)所產(chǎn)生的對(duì)他人的同理和同情。除價(jià)值判斷外，公權(quán)機(jī)關(guān)是否享有裁量權(quán)成為權(quán)衡算法可否用于行政任務(wù)的另一參考。對(duì)于高度不確定的、需要更多依賴人類裁量才能完成的任務(wù)，不能交由算法處理，這一點(diǎn)同樣為德國(guó)《聯(lián)邦行政程序法》所明確規(guī)定。盡管從技術(shù)理性角度，自動(dòng)化決策似乎可減少裁量的隨意性，提高其一致性和客觀性，避免人工因倉促或粗心所犯下的典型錯(cuò)誤，但它卻無法以數(shù)學(xué)模型收集所有與裁量相關(guān)的信息，因此在個(gè)案處理能力上是有限的。尤其在法律適用階段，決定的得出很多情況下都倚賴語義確定與解釋以及價(jià)值權(quán)衡，機(jī)器顯然無法勝任此項(xiàng)工作，其在沖突目標(biāo)的選擇和權(quán)益的分配上也會(huì)面臨巨大困難。

4. 算法類型和所涉數(shù)據(jù)作為其他考量

除算法所影響的權(quán)利類型、影響程度以及風(fēng)險(xiǎn)等級(jí)外，算法類型、所涉數(shù)據(jù)等也都可成為法規(guī)范能否允許公共決策適用算法的考慮因素。

算法影響評(píng)估作為劃定實(shí)體界限的程序性保障

如果我們將法律保留中的“法律支配”進(jìn)一步引申為“人民支配”，那么在現(xiàn)行法尚未對(duì)公權(quán)機(jī)關(guān)可否適用算法作出某項(xiàng)決策予以規(guī)定前，事先吸納公眾參與并作出具有實(shí)質(zhì)影響力的算法評(píng)估，同樣是有助于劃定決策邊界的預(yù)防性手段，也是法律保留的程序性保障。

我國(guó)《個(gè)人信息保護(hù)法》以GDPR為藍(lán)本，在第55條規(guī)定了類似的個(gè)人信息影響評(píng)估，需要評(píng)估的事項(xiàng)就包含“利用個(gè)人信息進(jìn)行自動(dòng)化決策”。再依據(jù)第56條，此類影響評(píng)估又包含：“個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)?！睂?duì)照美國(guó)《算法問責(zé)法案》以及歐盟GDPR，我們?nèi)詴?huì)發(fā)現(xiàn)，盡管《個(gè)人信息保護(hù)法》規(guī)定了對(duì)自動(dòng)化決策的影響評(píng)估，但這種粗放的算法評(píng)估還存在明顯缺漏。首先，《個(gè)人信息保護(hù)法》第55條僅列明個(gè)人信息處理者有義務(wù)在事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄，但這種個(gè)人數(shù)據(jù)影響評(píng)估能否在源頭處阻卻公權(quán)機(jī)關(guān)適用某項(xiàng)自動(dòng)化決策，從規(guī)范中卻未可知。其次，相較于美國(guó)《算法問責(zé)法案》以及加拿大《自動(dòng)化決策指令》中相對(duì)明確的算法評(píng)估技術(shù)框架和指標(biāo)體系，我國(guó)雖規(guī)定了個(gè)人信息影響評(píng)估，但評(píng)估內(nèi)容卻未具體化。最后，算法評(píng)估不僅是預(yù)防性手段，同樣也是問責(zé)制的構(gòu)成之一。應(yīng)在算法設(shè)計(jì)者、部署者和運(yùn)行者自我評(píng)估的基礎(chǔ)上，納入外部問責(zé)和審計(jì)力量，但這一要求在《個(gè)人信息保護(hù)法》中同樣缺失。

結(jié)語

無論是賦予個(gè)人體系性的數(shù)據(jù)權(quán)利，還是科以數(shù)據(jù)處理者算法公開、算法解釋和算法評(píng)估的義務(wù)，抑或是探求公權(quán)機(jī)關(guān)適用算法決策的實(shí)體界限，其最終的目標(biāo)都是確保人的主體性和自治性，使其不致因新興技術(shù)的適用而被蠶食，也不致使法治約束公權(quán)的目的因人工智能時(shí)代的到來而落空。