东岳论丛

参考文献

①参见林洹民：《自动决策算法的风险识别与区分规制》,《比较法研究》,2022年第2期；杨立新，赵鑫：《利用个人信息自动化决策的知情同意规则及保障——以个性化广告为视角解读〈个人信息保护法〉第24条规定》,《法律适用》,2021年第10期；张凌寒：《商业自动化决策的算法解释权研究》,《法律科学》,2018年第3期。

②参见王苑：《完全自动化决策拒绝权之正当性及其实现路径——以〈个人信息保护法〉第24条第3款为中心》,《法学家》,2022年第5期。

③OECD Revised Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (2013),http://oecd.org/sti/ieconomy/oecd_privacy_framework.pdf.

①张恩典：《算法影响评估制度的反思与建构》,《电子政务》,2021年第11期。

②Directive on Automated Decision-Making,art.6.1,Government of Canada,https://www.tbs-sct.canada.ca/pol/doc-eng.aspx?id=32592.

③Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679,WP248rev.01,October 4,2017.

④Directive on Automated Decision-Making,art.6.5.1,Government of Canada,https://www.tbs-sct.canada.ca/pol/doc-eng.aspx?id=32592.

⑤两种类型的算法影响评估制度比较研究参见张恩典：《算法影响评估制度的反思与建构》,《电子政务》,2021年第11期。

⑥张欣：《算法影响评估制度的构建机理与中国方案》,《法商研究》,2021年第2期。求评估报告披露为主要特点，主要依赖于相关主体的自我合规。与之形成鲜明对比的，是“开放反思型”的算法影响评估制度①。该类型制度主要有两方面特征：其一，在启动上具有周期性、动态性。例如，加拿大《自动化决策指令》规定，相关主体应当在生产任何自动化决策系统之前完成算法影响评估，并且当系统功能或自动化系统的范围发生变化时要更新算法影响评估②。欧盟W29特别工作小组颁布的《关于数据保护影响评估(DPIA)和确定处理是否“可能导致高风险”的指南》也指出，“数据影响评估是一个持续的过程，而不是一次性的实践”,在风险发生变化时，要定期审查数据影响评估③。其二，“开放反思型”的算法影响评估制度普遍要求向社会披露评估报告。例如，加拿大《自动化决策指令》要求相关主体应当以可访问的格式发布算法影响评估的最终结果④。对比可见，“开放反思型”的算法影响评估制度更具优势。一方面，周期性、动态性的评估要求，使得对算法影响的把握更加全面，同时也能够在一定程度上缓解算法不可解释的问题；另一方面，通过评估报告的强制披露，算法应用主体能够吸收多元主体的意见，提高技术应用水平，提高透明度，也有利于保护个人信息主体的算法解释权益⑤。综上，应当在风险分级策略下，结合“开放反思”的思路，对目前的算法影响评估制度进行优化。第一，对不同风险等级下的自动化决策开展不同程度的评估，对于风险等级高的自动化决策主体应当进行更加严苛的评估。第二，算法主体应进行动态的、“端到端”的、全生命周期式的评估。即在算法主体准备应用某种算法技术进行自动化决策时就开展评估工作，以确定风险等级及对个人信息主体可能产生的影响；在自动化处理过程中，如果遇风险变更或影响变化情况应当重新进行评估；在决策结果作出后，还应当对该结果产生的影响及相关运行情况再次评估⑥。第三，设置评估报告的强制披露机制。在具体设计上，可借鉴加拿大的做法，在“政府开放门户”网站中提供评估报告的在线获取途径，当然，其中如果涉及商业秘密，甚至是国家秘密，则可采取一定的保密措施；风险等级较高的自动化决策应用的算法影响评估报告应有相关专家参与；除技术领域专家，还应咨询法律服务专家，以确定并解决因开发、采购或使用自动化决策系统而产生的法律风险。总之，算法风险评估制度应当以风险分级策略为指引，改变目前封闭、固式的规则设定，转向动态、全生命周期、透明的开放式风险评估，更加准确地为自动化决策定级，保护个人信息主体权利。四、结论自动化决策与个人信息保护存在天然冲突，我国《个保法》第24条赋予个人信息主体以算法解释权和自动化决策拒绝权，这是缓解冲突的有效方式。但是，该规则的模糊性导致其适用效果大打折扣。实际上，无论是算法解释权还是自动化决策拒绝权，本质上都是为了降低自动化决策给个人信息主体制造的风险。因此，以风险等级为导向，根据自动化决策应用所涉利益、影响范围及程度等因素，利用“开放反思型”的算法风险评估制度将其划分为不同的风险等级，将有助于明确《个保法》第24条所涉权利的适用前提、适用时间，及适用方式等问题，也更有利于对个人信息主体的权益保护。更重要的是，风险分级下的自动化决策规制策略不仅能够保护个人信息安全，而且能够兼顾人工智能的发展，促进多方利益协调，有助于实现真正的“可信任的人工智能”。

①②Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC (General Data Protection Regulation),art.6(1),OJ L 119,4.5.2016,p.1.

①Singapore Personal Data Protection Commission,Discussion Paper on Artificial Intelligence (AI) and Personal Data—Fostering Responsible Development and Adoption of AI,p.9 (June 5,2018),https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Resource-for-Organisation/AI/Discussion-Paper-on-AI-and-PD-050618.pdf.

①Louise Matsakis,“What Does A Fair Algorithm Look Like?”,Wired,2018(11).

②王苑：《完全自动化决策拒绝权之正当性及其实现路径——以〈个人信息保护法〉第24条第3款为中心》,《法学家》,2022年第5期；万方：《算法治理应聚焦解决的关键性问题》,《理论探索》,2022年第2期。

③同样持分级规制观点的可参见郑智航：《平衡论视角下个人免受自动化决策的法律保护》,《政法论丛》,2022年第4期。该文作者的分级依据是，自动化决策对具体权利和社会利益的影响程度，与本文“风险分级”的分级依据内涵一致。

④Abhijit Ahaskar,“Why a Risk-Based Approach to AI Regulation Is Critical for Future Implementations”,http://www.spiceworks.com/tech/artifical-intelligence/articles/ai-regulation-best-qpproach/.

⑤Michelle Toh,“‘Serious Concerns’:Top Companies Raise Alarm over Europe’S Proposed AI Law”,https://edition.cnn.com/2023/06/30/tech/eu-companies-risks-ai-law-intl-hnk/index.html.

①Procedure 2021/0106/COD,Document 52021PC0206,https://eur-lex.europa.eu/legal-content/en/HIS/?uri=CELEX:52021PC0206#:～:text=COM%20%282021%29%20206%3A%20Proposal%20for%20a%20REGULATION%20OF,INTELLIGENCE%20ACT%29%20AND%20AMENDING%20CERTAIN%20UNION%20LEGISLATIVE%20ACTS.

(3)Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC(General Data Protection Regulation),recital 39&art. 5(1)(c),OJ L 119,4. 5. 2016,p. 1.

(4)王玮，曹京，程赓，李雪莹：《降低自动化决策对个人信息安全影响的研究》，《信息通信技术与政策》，2022年第8期。

(5)Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC(General Data Protection Regulation),art. 12,OJ L 119,4. 5. 2016,p. 1.

(6)参见沈伟伟：《算法透明原则的迷思——算法规制理论的批判》，《环球法律评论》，2019年第6期。

(7)叶丹妮，陈旭：《从GPT-4的臆造现象看AIGC深度合成的法律风险和合规思路》，法治周末网，http：//www. legalweekly. cn/qyyf/2023-03/30/content_8839050. html,2023年4月5日。

(2)Article 29 Data Protection Working Party Guidelines on Automated individual decision-making a Profiling for the purposes of Regulation 2016/679,WP251,February 6,2018,Exhibit 5,p. 21.

(3)林洹民：《〈个人信息保护法〉中的算法解释权：兼顾公私场景的区分规范策略》，《法治研究》，2022年第5期。

(4)张凌寒：《商业自动化决策的算法解释权研究》，《法律科学》，2018年第3期。

(5)张欣：《算法解释权与算法治理路径研究》，《中外法学》，2016年第6期。

(6)张恩典：《大数据时代的算法解释权：背景、逻辑与构造》，《法学论坛》，2019年第4期。

(7)Fred H. Cate et al．，“Machine Learning with Personal Data:Is Data Protection Law Smart Enough to Meet the Challenge？”,International Data Privacy Law,2017(7).

(2)Proposal for a Regulation of the European Parliament and of the Council Laying down Harmonized Rules on Artificial Intelligence(Artificial Intelligence Act)and Amending Certain Union Legislative Acts,art. 5,COM(2021)206 final,Apr. 21,2021,https：//artificialintelligenceact. eu/the-act/．

(3)Article 29 Data Protection Working Party Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679(17/EN WP 251,February 6,2018),Exhibit 5,p. 21.