文章插图
一
从DPID到GDPR：历史沿革与理论争议
“脱离自动化决策权”并非GDPR首创 ， 始见于1995年欧盟《个人数据保护指令》（下简称DPID）第15条第1款：“数据主体享有免受基于用户侧写的完全自动化决策的权利” 。 该权利的行使以两个必要条件为前提：（1）自动化决策必须对数据主体造成具有法律后果的重大影响；（2）用户侧写完全由自动化处理实现 。
（一）DPID第15条的历史遗留问题
DPID是GDPR的前身 ， 两者前后间隔23年 ， 在此期间 ， 有两个事实需要注意 。 其一 ， 自动化决策实现了技术层面的飞跃 ， 逐步改变了探讨“脱离自动化决策权”的语境 。 在制定DPID并推行的20世纪90年代 ， 自动化决策主要指基于数据库编码的计算机自动化 ， 即利用计算机替代自然人实现唯手熟尔的重复性基础工作和流程性工作 。 2000年之后 ， 基于数据库编码的计算机自动化逐渐让位于基于机器学习的算法自动化 ， 其实质是作为编程理论典范的透过规则本原寻求逻辑 。 大数据加持机器学习模型 ， 在范围不确定的环境中进行规律挖掘或模式识别 ， 替代自然人实现温故而知新的基础性预测工作与规范性鉴别工作 。 GDPR自2018年5月开始生效 ， 基于机器学习的算法自动化正逐步向基于神经网络的超级自动化迈进 。 随着数据平台的开源共享以及机器学习模型的重叠交互 ， 今天的自动化决策已经渐次突破立普斯基所称“自然人可以、机器人不行”的推理和演绎的智能上限 ， 其获得识辨特定时期的法律和社会运行宏观规律、以超乎常人的洞察力来提供制度解决方案或进行价值判断的奇点临近 。 在这个阶段 ， 自动化决策将是“以任何信息技术设备为载体、以持续控制形式干预和引导日常社会互动的高度自主的精细化治理秩序” 。 括而言之 ， 虽然用语均是“自动化决策” ， 但DPID的自动化决策概念仅仅涵盖了基于数据库编码的计算机自动化和基于机器学习的算法自动化 ， 而GDPR的自动化决策概念囊括了迄今为止所有的自动化类型 。 这是笔者研究“脱离自动化决策权”需要顾及的权利适用范围变化 。 DPID和GDPR“脱离自动化决策权”的微妙差异如图一所示 。
文章插图
图一DPID和GDPR“脱离自动化决策权”之差异
其二 ， 在DPID的整个生命周期内 ， 第15条几乎完全处于休眠状态 ， 但GDPR第22条依旧毅然决然地承袭了DPID第15条的规定 ， 欧盟部长委员会于2018年通过的《关于个人数据处理的现代化保护公约》第9条也吸收了DPID第15条的相关规定 。 这或许意味着 ， 在基于机器学习的算法自动化和基于神经网络的超级自动化大行其道的场景中 ， “脱离自动化决策权”更有适用和推广的必要 。 此前 ， “脱离自动化决策权”一直被戏称为DPID中的“二等权利” ， 因为在欧盟法院和各成员国法院的审判实践中 ， 对抗双方从未就该权利的行使方式和法律效果展开有实质意义的辩论：“脱离自动化决策之诉”客观存在 ， 但是双方总是聚焦于有争议的决策是否完全由自动化处理作出 。 例如 ， 德国联邦法院在SCHUFA案中裁定 ， 资信考察系统输出的信用评价不属于DPID第15条所界定的完全无人工介入的自动化决策范畴 ， 因为银行对其客户的信用评价实由自然人在自动化决策的“辅助”下完成；法国最高法院认为 ， 执法者采取算法自动化系统进行裁决辅助 ， 也不受DPID第15条的约束 。 前欧盟个体保障局在工作报告中指出 ， DPID第15条不是针对数据保护可以推而广之的一般性原则 ， 而是针对特定自动化用户侧写的例外原则 。 伴随早期立法尝试铩羽而归的新问题是 ， GDPR第22条相对于DPID第15条的修改 ， 能否让“脱离自动化决策权”焕发新的活力呢？

• 「央广网评」扫码点餐 技术进步不能脱离人性化服务
• 脱离华为后的新荣耀：与高通合作研发新的5G手机
• 初探 iOS 自动化工具——快捷指令
• 央行推出“硬钱包”，首次脱离手机支付，网友：再见了微信支付宝
• 喜从天降！脱离华为后荣耀与高通恢复合作，可用骁龙5G芯片
• 自动化盈利：靠「知乎好物推荐」月入过万
• 工作|好书·书摘丨“自动化”真的是AI独立完成的吗？
• 截胡华为鸿蒙OS! 小米6成功脱离安卓：用上全新的国产系统
• 生产全自动化！未来无人机是植物育种家，农民将何去何从？
• 五大自动化测试的Python框架