自动化|唐林垚:“脱离算法自动化决策权”的虚幻承诺( 三 )


(二)规则演进与责任豁免
相较于DPID第15条 , GDPR第22条的进步主要体现在以下三个方面:
其一 , GDPR第22条对于特别敏感的个人数据给予了更多关注 。 第22条第4款规定 , 数据主体有权脱离依据涉及种族、民族历史、政治观念、工会、基因、自然人健康和性生活取向等数据形成的自动化决策 。 当且仅当数据控制者取得数据主体的明确同意或为实现公共利益所必须的法定许可时 , 才能不受干扰地处理此类敏感信息 。 由此可见 , GDPR在个人数据类型化处理方面 , 具有比DPID更高的“颗粒度” 。
其二 , GDPR第22条拓展了“脱离自动化决策权”的行权范围 , 将未成年人的个人数据纳入特别保护对象 。 GDPR序言第38条指出 , 对未成年人个人数据的具体保护“尤其应适用于可能供机器学习模型生成用户侧写的数据” 。 序言第71条规定 , 基于用户侧写的自动化决策不作用于未成年人 。 相较之下 , DPID并未就未成年人数据保护作出相关规定 , 也难从相关条款中推定未成年人是否应当享有“脱离自动化决策权” 。 对未成年人个人数据予以特殊保护 , 彰显出法律顺应市场需求与时俱进:随着互联网低龄时代的到来 , 九零后逐渐成为被舆论抛弃的“后浪” , 零零后甚至一零后接过泛娱乐时代的大旗称雄网络 。 研究报告表明 , 零零后在餐饮、颜值经济等领域已经成为消费主力 。 数据控制者深谙“得零零后者得天下”“营销要从娃娃抓起”“先入为主培养消费习惯”的道理 , 在巨大商业利益的诱惑下 , 社交媒体、电商平台、视频网站对未成年数据趋之若鹜 , 竞相获取新生代个体的浏览历史、个人轨迹、消费记录、点赞和收藏列表等——精准针对未成年人的内容推送和价值观引导接踵而至 , 个中风险不言而喻 。
其三 , GDPR第22条拓展了“脱离自动化决策权”的适用范围 , 不再局限于DPID第15条“用户侧写完全由自动化处理实现”的行权限制 。 依照GDPR第22条“有权不成为自动化决策支配对象 , 包括用户侧写”的表述 , 似乎“自动化决策和用户侧写”共同构成了“脱离自动化决策权”的适用场景 。 也即是说 , 自动化决策无论是否以用户侧写实现 , 均可以引发数据主体行使“脱离自动化决策权” 。 反过来 , 用户侧写无论最终是否形成自动化决策 , 也终将受到GDPR第22条的约束 。 多名学者对此表达了异议 , 例如 , 门德萨和拜格雷夫认为 , 上述理解方式“违背了第22条的基本原理和立法背景 , 原文中的‘包括(including)’应当被解释为‘涉及(involving)’” 。 布尔坎认为 , 现今自动化决策必然涉及用户侧写 , 因此围绕第22条的争议可谓毫无必要 。 在笔者看来 , 反对派观点的学者至少犯了两个方面的错误:(1)未能深入考察自动化决策从最初基于数据库编码的计算机自动化 , 到近来基于机器学习的算法自动化 , 再到未来基于神经网络的超级自动化的跃迁过程 , 理所当然地认为自动化决策就是机器学习模型依照特定算法进行用户侧写形成的决策 。 实际上 , 自动化决策若由计算机检索数据库编码作出 , 就根本不涉及用户侧写的过程;若由神经网络的实现 , 用户侧写只是超级自动化决策的一个环节 。 (2)将GDPR第22条视为DPID第15条的单纯延续 , 未能深究措辞变化背后可能蕴藏的政策转向 。 概括适用到局部适用的条件变化 , 使得本来共同构成DPID第15条必要条件的自动化决策和用户侧写 , 在GDPR第22条中转变为充分条件 。 这也从正面证实了 , DPID第15条仅允许数据主体在基于机器学习模型的算法自动化情形中行使“脱离自动化决策权” , 而GDPR第22条可以同时适用于基于数据库编码的计算机自动化、基于机器学习的算法自动化乃至基于神经网络的超级自动化的所有情形 , 权利的适用范围被大大拓宽 。
遗憾的是 , 虽有上述大刀阔斧的修改 , 自GDPR生效至今 , 丝毫未见“脱离自动化决策权”的复苏迹象 。 作为一项值得被保护的法律权利 , 为何“脱离自动化决策权”经常被遗忘、极少被行使、几乎与现实相“脱离”?这个问题的答案首先在于GDPR第22条相对于DPID第15条并未发生实质性修改的“适用条件”——数据主体有权请求脱离的 , 必须是“完全依靠自动化处理”产生的决策 , 这无疑极大地提高了“脱离自动化决策权”的适用门槛 。 无论是基于数据库编码的计算机自动化、还是基于机器学习的算法自动化 , 最低限度的人工介入实为不可避免 , 无论是出于维护机器运转之必须、还是确保数据结构化处理的一致性、亦或是确认机器学习模型未脱离“算法代码的缰绳” 。 针对适用门槛的权威解释长期缺位 , 进一步加剧了法条本身的模糊性 , 使得各参与方只能完全依照字面理解来调整自身的行为——既然一丁点自然人参与的“蛛丝马迹”便能推翻数据主体对GDPR第22条的信赖利益 , “脱离自动化决策权”被完全架空的结果并不出人意料 。