自动化|唐林垚:“脱离算法自动化决策权”的虚幻承诺( 八 )


在第13至15条规则圆满性难以为继的情况下 , 毋宁以GDPR第35条数据控制者和处理者的“数据保护影响评估义务”作为其事中和事后补强:当用户侧写可能对数据主体的权利和自由带来高风险时 , 数据控制者或处理者必须在“充分考虑数据处理性质、范围、语境和目的的基础上” , 评估自动化决策将对个人数据保护造成的影响 。 第35条对事中和事后算法可解释性要求的补充体现在三个方面:其一 , 数据保护影响评估要求对数据处理的可能操作和计划目的进行系统性描述 , 形成文字的系统性描述以数据控制者所追求的正当利益为主要内容;其二 , 数据控制者必须对数据的搜集和处理的必要性与相称性进行阐述 , 即用户侧写应以数据控制者的正当利益为限 , 未经数据主体同意不得牺牲其权利;其三 , 当数据主体的正当权利和数据控制者的正当利益存在此消彼长的张力时 , 数据控制者必须在数据保护影响评估中表明可以采取的应急性风险应对措施 , 包括但不限于GDPR已经规定的法律保障、安全措施和激励机制 。 从条文结合可以产生的效果来看 , 第13至15条主要是要求数据控制者和处理者就事前数据挖掘的信息来源、典型特征和分类办法以及算法程序的运作机理、代码逻辑和预期效果进行事前解释 , 第35条则是要求其就事中的系统偏差、运行故障和矫正机制予以说明 , 这实际上只是在最低限度实现了算法可解释性的显化 , 并且由于事后解释的要求仍然孱弱 , 数据主体行使“获解释权”最多只能得到一个看似将人工智能载体的硬件、软件和数据处理之间的相互作用如何导致自动化决策之间因果关系阐明的解释 。 如果心怀善意 , 数据控制者或处理者给出的是“自以为正确的解释” 。 如果别有用心 , 解释和说理的方式将完全取决于拟实现的经济或政治目标 。 在这个意义上 , GDPR第13至15条与35条的结合 , 勉强构建了多重弱化但相对全面的“获解释权” 。
【自动化|唐林垚:“脱离算法自动化决策权”的虚幻承诺】2.“被遗忘权”的上位条款:GDPR第21条