来源:《中国社会科学文摘》2023年第3期P122—P123
作者单位:清华大学法学院,原题《完全自动化决策拒绝权之正当性及其实现路径——以〈个人信息保护法〉第24条第3款为中心》,摘自《法学家》2022年5期,刘鹏摘
《个人信息保护法》第24条第3款明确了完全自动化决策拒绝权的请求权基础,学界既有研究以他山之石作为基点的探讨较多,尤其偏重于立法论层面,缺乏对我国法上该条款的规范意蕴和实现路径的系统梳理。有必要对该权利的内涵和外延进行廓清,并对其实现路径进行理论证成。
PART.1
拒绝完全自动化决策权的适用要件和法律效果
(一)适用要件
根据《个人信息保护法》第24条第3款的文义,拒绝完全自动化决策权的行使需满足两项前提,分别是:仅通过自动化决策的方式作出决定;对个人权益有重大影响。
1.必须是仅通过自动化决策的方式作出决定。
第一,自动化决策的范围和边界。《个人信息保护法》第73条“自动化决策”的范围,大致等同于欧盟法上的画像。而《欧盟一般数据保护条例》上第22条第1款的适用范围包括画像但不限于此,因此,有两种情形可以被归入欧盟法上的自动化决策范畴,但并非我国法上的自动化决策。
第二,“仅通过自动化决策的方式”意味着没有处理者参与其中对决定的内容进行评估。仅通过自动化决策的方式即完全自动化决策,该要件的触发对该条的适用至关重要。从逻辑上区分完全自动化决策和混合决策似乎是可能的,但实际上两者之间的界限相当模糊。判断是完全自动化决策还是混合决策,除了从形式外观上明确是否有信息处理者参与决策过程之外,还必须确认参与的实质效果,处理者应该有权力和能力改变决定,必须确保处理者对决策的监督和判断都是有意义的,而不仅仅是一种象征性的姿态。
第三,对“决定”的理解。一方面,“作出决定”与“作出的决定”文义不同,前者侧重于作出决定这一动作,强调了动态性;而后者则强调了作出了决定这一静态的结果,显然,《个人信息保护法》第24条第3款明确表达为“作出决定”。
2.该决定需对个人权益有重大影响。
首先,重大影响的判定,应当结合场景进行分析,并考虑个人信息保护影响评估,如考虑信息主体身份、信息处理者的“权威”和“能力”,信息性质和类别等,更为全面、综合地考虑影响之程度,而不能仅简单地从量化损失的角度予以认定。
其次,是否构成重大影响的标准发生了从主观到客观的转变,除了考虑客观上的多数人的观点,也应兼顾信息主体自身对重要影响的态度和情绪,也即主客观相结合的考量。同时,还需要考虑信息主体的身份特质,比如信息主体是否是未成年人,其脆弱性可能会导致更容易受到特别影响。
最后,我国《个人信息保护法》第24条第1款明确禁止了“大数据杀熟”。大数据杀熟的影响一般而言是金钱上的,但“不合理的”“歧视性的”等限制性定语明确了对“大数据杀熟”并非一般禁止,而是必须达到了不合理的和歧视性的程度的时候。因此,《个人信息保护法》第24条第1款中的“大数据杀熟”情形,当然属于该条第3款中的“对个人权益有重大影响”。
(二)法律效果
立法并未将拒绝完全自动化决策权限于事后救济,因此,对“有权拒绝……作出决定”可以分为事前拒绝、事中拒绝及事后拒绝三个阶段,并导致三种不同的法律效果。
其一,在完全自动化决策开始前已对采用完全自动化决策的方式处理个人信息知情,拒绝意味着处理行为不得发生。此种情形下,拒绝完全自动化决策的行为的发生和第44条的拒绝对个人信息进行处理实际上发生法规竞合,第24条第3款及第44条均可以成为请求权基础。
其二,在完全自动化决策过程中知道了采用的处理方式是完全自动化决策的方式(比如因疏忽大意的过失之前未了解)。在此情形下,拒绝首先意味着处理必须暂时停止,如果在处理者进行解释说明后,信息主体作出了明确的可继续处理的意思表示,那么该处理行为仍可继续;但如果信息主体依然拒绝完全自动化决策的处理方式,那么继续进行处理的前提是信息处理者必须进行实质意义上的人为的干预。
其三,在决定已作出后,方了解到该决定是基于完全自动化决策的方式所作出,在这种情形下的拒绝直接可以令该决定不发生法律效力。
分阶段分析拒绝权在不同情形下的作用和法效果,对于理解拒绝完全自动化决策权的权利性质有重要的意义。从解释论上,第24条第3款的拒绝完全自动化决策权应当被解释为请求权,实质是赋予个人要求对自动化决策进行人工干预的权利。显然,信息主体一旦对完全自动化决策知情,即可自主决定是否拒绝,该拒绝一旦作出,对信息处理者即产生两个层面的法律后果:一是“不为”的层面,如果该处理并未开始,则不应开始;二是“为”的层面,如果处理已经开始,作为相对方的信息处理者应立即停止该行为,并经信息主体的要求进行人工干预。
PART.2
拒绝完全自动化决策权与其他信息主体权利的关系
如何协调和厘定拒绝完全自动化决策权与同条同款的说明权的关系,以及与其他个人在个人信息处理活动中的权利的关系,是在权利行使时必须考虑的问题。
(一)与第24条第3款要求说明权的关系
要求说明权与拒绝完全自动化决策权规定在同条同款,即第24条第3款中的“个人有权要求个人信息处理者予以说明”,“通过自动化决策方式作出对个人权益有重大影响的决定”是两项权利的共同前提。但两者的关系需要详究。首先,要求说明权不是拒绝权的前置权利,相反,要求说明权和拒绝权是并列的权利,二者可以同时行使,也可以单独行使。当然,信息主体行使拒绝权不受要求说明权的约束。其次,与拒绝完全自动化决策不同的是,第24条第3款的要求说明权是一种受限的“解释权”,在实践上仅针对作出决定后的解释说明。
因此,如果一项“完全自动化决策的决定对信息主体产生重大影响”,信息主体以第24条第3款作为请求权基础,可寻求两种不同的保护模式:一是通过要求说明权,要求信息处理者对决策过程作出解释,信息主体有权知道某一特定过程的存在,并了解其逻辑、意义和后果;二是通过拒绝权使该决定不发生法律效力。
(二)与个人在个人信息处理活动中的权利的关系
1.与第44条拒绝权的关系。个人信息处理活动包括了个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,其范围显然远大于利用个人信息自动化决策。因此,第24条第3款的拒绝权是第44条拒绝权在自动化决策场景下的体现,两者存在一定的竞合关系。第44条的拒绝权是对任一处理行为的拒绝,而第24条的拒绝权是在法定条件下对完全自动化决策的行为或决定结果的拒绝。
2.与第44条知情权的关系。知情权,是指个人在其个人信息处理中享有知悉相关情况的权利。知情权在自动化决策中体现为要求说明权,只是要求说明权适用范围较为狭窄,因此拒绝自动化决策权与知情权的关系,可参照与要求说明权的关系。
3.与第47条删除权的关系。完全自动化决策拒绝权的法律效果,可能符合启动删除权的法定情形。具言之,完全自动化决策事前、事中、事后的拒绝,会导致处理行为的不发生、行为的暂停、决定的不发生效力,信息处理者若未通过混合决策的方式另行处理,则处理目的可能无法实现(第47条第1款第1项)或个人信息处理者停止提供产品或服务(即终止处理,第47条第1款第2项)。
拒绝完全自动化决策权是一项“个人参与”的权利,可被视为被动的“人在环路”。我国的拒绝完全自动化决策权,必须解释为一项分阶段、分场景的拒绝权,而非仅仅事后才能行权,这样才能保障信息主体在环路中的全面个人参与。一方面,通过信息主体对完全自动化决策的拒绝可能导致的处理无法开始、暂停或决定无法律效力等法律后果,对信息处理者起到一种震慑作用,使得信息处理者会审慎选择通过完全自动化决策的方式对个人进行决定;另一方面,信息主体行使拒绝权的法律后果还包括了要求处理者人工干预。虽然略有迂回,但拒绝完全自动化决策权其实可以起到类似的“人在环路”的效果,保障信息主体不被视为客体来对待。
转自:“中国学派”微信公众号
如有侵权,请联系本站删除!
