【ZiDongHua 之人文化天下收錄關(guān)鍵詞：對外經(jīng)濟貿(mào)易大學  法與自動化  自動化決策  智能決策 算法 GDPR  通用數(shù)據(jù)保護條例 歐盟】

德國征信機構(gòu)自動化評分引發(fā)訴訟

——歐洲法院關(guān)于自動化決策首案的里程碑意義淺析

在算法時代，自動化分析和各種形式的評分可能會變得更加普遍，人們的日常生活也受到了此類自動化決策的深刻影響，其中尤為突出的是個人信用評分服務(wù)。個人信用評分較低的消費者可能寸步難行：他們沒有辦法獲得銀行貸款，無法租賃房屋，也不能在購物中選擇分期付款。

終于，在自動化決策技術(shù)問世幾十年后，數(shù)據(jù)主體免受自動化決策約束權(quán)案件在歐洲法院首次得到審議。今年初，歐洲法院第一分庭就OQ訴德國黑森州一案舉行了聽證會，歐洲法院對本案的裁決有望于今年9月至12月之間作出。此案被稱為歐洲法院關(guān)于自動化決策的具有里程碑意義的首個案件。

征信機構(gòu)的個人信用自動化評分被起訴

本案是原告OQ(數(shù)據(jù)主體)針對SCHUFA(德國通用信用權(quán)益保護協(xié)會)對其做出的個人信用評分提起的訴訟。SCHUFA是一家德國私人征信機構(gòu)，旨在通過數(shù)學統(tǒng)計方法，基于一個人的某些特征來預(yù)測其未來的行為，為其客戶提供個人信用評分。

SCHUFA在向其第三方客戶提供OQ的信用評分后，OQ被拒絕授信。因此，OQ要求SCHUFA向她提供SCHUFA存儲其數(shù)據(jù)的有關(guān)信息，并刪除那些她認為不正確的數(shù)據(jù)。隨后，SCHUFA通知OQ她的信用評分是85.96%，并大致介紹了得出該評分的主要計算過程。但是，SCHUFA并沒有透露哪些信息被納入計算范圍及其所占的權(quán)重。SCHUFA稱，出于商業(yè)與行業(yè)秘密的保護，SCHUFA沒有義務(wù)透露此類具體計算方法。此外，SCHUFA還強調(diào)，它只向其客戶提供了評分信息，而不是是否授信的最終決定。

2018年10月18日，OQ向被告黑森州的數(shù)據(jù)保護和信息自由專員(HBDI)提出投訴，要求HBDI命令SCHUFA允許她訪問和刪除SCHUFA存儲的其個人信用數(shù)據(jù)。OQ認為，SCHUFA有義務(wù)披露其計算個人信用評分的具體方法以及其數(shù)據(jù)處理的意義和結(jié)果。HBDI拒絕對SCHUFA采取進一步行動，因為HBDI認為，SCHUFA對信用評分的計算符合德國聯(lián)邦《數(shù)據(jù)保護法》第31條的具體要求。

最終，威斯巴登行政法院中止了OQ提起的行政訴訟，并將此問題提交給歐洲法院進行初步裁決。

GDPR(歐盟《通用數(shù)據(jù)保護條例》)第22條(自動化決策)第1款規(guī)定，數(shù)據(jù)主體有權(quán)反對完全基于自動化處理(包括用戶畫像)對其做出的決策。

本案圍繞此條款所產(chǎn)生的爭議展開。

GDPR是否對自動化決策作出禁止性規(guī)定

本案爭議核心，是對GDPR第22條(自動化決策)第1款的理解。GDPR第　22條(自動化決策)規(guī)定：

1.數(shù)據(jù)主體有權(quán)反對此類決策：完全依靠自動化處理(包括繪制用戶畫像)對數(shù)據(jù)主體做出具有法律影響或類似嚴重影響的決策。

2.當決策存在如下情形時，第1款不適用：(a)當決策對于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的;(b)當決策是歐盟或成員國的法律所授權(quán)的，控制者是決策的主體，并且已經(jīng)制定了恰當?shù)拇胧┍ＷC數(shù)據(jù)主體的權(quán)利、自由與正當利益;(c)當決策建立在數(shù)據(jù)主體的明確同意基礎(chǔ)之上。

3.在第2段所規(guī)定的(a)和(c)點的情形中，數(shù)據(jù)控制者應(yīng)當采取適當措施保障數(shù)據(jù)主體的權(quán)利、自由、正當利益，以及數(shù)據(jù)主體對控制者進行人工干涉，以便表達其觀點和對決策進行異議的基本權(quán)利。

4.第2段所規(guī)定的決策的基礎(chǔ)不適用于本法第9(1)條所規(guī)定的特定類型的個人數(shù)據(jù)，除非符合第9(2)條(a)點或(g)點的規(guī)定，并且已經(jīng)采取了保護數(shù)據(jù)主體權(quán)利、自由與正當利益的措施。

要適用GDPR第22條第1款，必須同時滿足以下三個要求：1、已作出決策;2、決策制定完全基于自動化處理或分析;3、對數(shù)據(jù)主體具有法律效力或類似的重大效力。

在口頭聽證會中，法院主要提問并探討了關(guān)于“決策”一詞的概念外延和第22條第1款的性質(zhì)。

聽證會中歐洲法院的提問及各方的回答

從聽證會法官的評論和提問中，我們發(fā)現(xiàn)，歐洲法院似乎傾向于對“決策”進行較為寬泛的解釋，“決策”包括信用評分這類預(yù)備決策行為，將第22條第1款解釋為對自動化決策的禁止性規(guī)定。

GDPR第22條的性質(zhì)：是一項對自動化決策的禁令嗎?

GDPR第22條第1款的性質(zhì)一直爭論不休。關(guān)鍵問題在于，該條款是否包含原則上禁止自動化決策的規(guī)定。這一觀點得到了歐洲數(shù)據(jù)保護委員會(European　Data　Protection　Board)的支持，即第22條第1款規(guī)定了對自動化決策原則上的禁止，但要遵守第2款中的例外情況。歐洲法院法官Thomas　von　Danwitz在聽證會上的評論及提問表明，他似乎也將傾向于將GDPR第22條第1款解釋為對自動化決策原則上的禁止。在聽證會期間，沒有任何一方反對這一觀點，這表明雙方在此達成共識?；蛟S在將來，歐洲法院也會正式將GDPR第22條第1款解釋為對自動化決策原則上的禁止。

如何解釋GDPR第22條第1款中的“決策”一詞?

被告黑森州的數(shù)據(jù)保護和信息自由專員(HBDI)在聽證會上辯稱，個人信用評分的計算本身不是GDPR第22條意義上的“決策”。HBDI認為，GDPR第22條第1款僅適用于已經(jīng)作出的“決策”而非信用評分計算等決策預(yù)備行為。SCHUFA認為應(yīng)將GDPR第22條的起草歷史也考慮在內(nèi)，GDPR的最初提案并不包含“決策”一詞，而是使用了概念外延更廣的“措施”一詞。因此，GDPR第22條不適用于SCHUFA。

在口頭聽證會上，Thomas　von　Danwitz法官提到，“決策”的概念不一定要用行政法的術(shù)語來解釋。他還認為建立信用評分確實是GDPR第22條第1款意義上的“決策”，因為評分已經(jīng)作出并分配給特定個人。

數(shù)據(jù)控制者是否有義務(wù)主動告知數(shù)據(jù)主體與自動化決策相關(guān)的信息?

從Thomas　von　Danwitz法官在口頭聽證會上發(fā)表的評論及提問來看，他似乎認為GDPR第71條規(guī)定了數(shù)據(jù)控制者有義務(wù)主動告知數(shù)據(jù)主體與自動化決策相關(guān)的信息。在聽證會上，von　Danwitz法官引用了德文版本的GDPR序言第71條，該條指出，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者就可能對數(shù)據(jù)主體造成法律或類似重大影響的自動化決策的相關(guān)事宜作出解釋。他指出在任何情況下都必須有GDPR第22條第3款提到的適當保障措施，要求數(shù)據(jù)控制者向數(shù)據(jù)主體提供與決策相關(guān)的具體信息。

代理總檢察長Priit　Pikamae的意見

總檢察長的意見對法院沒有約束力，其作用是以完全獨立的方式向法院提出案件的法律解決方案。Pikamae的意見主要是：

數(shù)據(jù)主體不僅有權(quán)從數(shù)據(jù)控制者處確認自己的個人數(shù)據(jù)是否正在被處理，還有權(quán)獲得其他相關(guān)信息。

根據(jù)GDPR第15條，數(shù)據(jù)主體還有權(quán)了解評分過程中是否存在自動化決策(包括用戶畫像分析)，決策所涉邏輯以及此類處理對于數(shù)據(jù)主體預(yù)期后果的有效信息。

Pikamae認為，提供15條中“與所涉邏輯相關(guān)的有效信息”的義務(wù)必須被理解為詳細地向數(shù)據(jù)主體解釋計算評分所使用的具體方法和產(chǎn)生某一評分的原因。一般來說，數(shù)據(jù)控制者應(yīng)向當事人提供的基本信息包括，決策過程中考慮到的因素及其它們各自在總體水平中的權(quán)重占比，這也有助于當事人對GDPR意義上的任何“決策”提出質(zhì)疑，真正享有不被僅基于自動化處理(包括用戶畫像)的決策所受制的權(quán)利。

自動生成個人信用評分構(gòu)成GDPR第22條第1款中繪制用戶畫像行為。

Pikamae認為，GDPR第22條第1款應(yīng)被解釋為：自動生成個人信用評分(也即對個人未來償還貸款的能力的估值)，已經(jīng)構(gòu)成完全基于自動化處理的決策。因為如果該估值是通過與該人有關(guān)的個人數(shù)據(jù)確定的，并由數(shù)據(jù)控制者傳送給第三方控制者，而后者在決定與該人的合同關(guān)系的建立、實施或終止時將該估值作為重要考量因素，那么該決策也符合了“對數(shù)據(jù)主體具有法律效力或類似的重大效力”的內(nèi)含。

判決或有利于對公民基本權(quán)利的保護

本案的核心焦點在于對GDPR第22條第1款的解釋：一是私人征信機構(gòu)對數(shù)據(jù)主體做出對其未來償還貸款的能力的估值(即信用評分行為)，是否屬于本條款意義上的“決策”;二是此條款是對自動化決策的一般性禁令，還是只有數(shù)據(jù)主體積極援引權(quán)利才可以被適用的規(guī)定。

從聽證會上歐洲法院的法官的評論和提問，以及總檢察長在會后發(fā)表的意見可以看出，法院更傾向于將評分行為認定為GDPR第22條第1款中的自動化決策，總檢察長就此指出，此類行為可被進一步歸類于其中的用戶畫像的繪制行為。因此，原告OQ的訴求或許能夠在未來的裁決中得到支持。同時，法院似乎也更傾向于將本條款認定為原則上的禁止性規(guī)定，并認為數(shù)據(jù)控制者有義務(wù)主動向數(shù)據(jù)主體解釋與自動化決策相關(guān)的信息。這有利于對公民基本權(quán)利的保護。

雖然GDPR條款中沒有明確規(guī)定數(shù)據(jù)控制者對自動化決策進行解釋的義務(wù)，但此義務(wù)是對GDPR進行系統(tǒng)解釋后所要求的，特別考慮到GDPR第71條(指“數(shù)據(jù)主體有權(quán)獲得數(shù)據(jù)控制者對基于此類評估所達成決策的解釋”)、GDPR第5(1)(a)條(與數(shù)據(jù)主體相關(guān)的合法性、公平性和透明度)和GDPR第12(1)條(數(shù)據(jù)控制者須以簡潔、透明、可理解和易于訪問的形式向數(shù)據(jù)主體提供信息)。

同時，基于對歐盟二級法律(GDPR)的解釋不得違背歐盟基本法(歐盟基本權(quán)利憲章)的原則，我們將歐盟基本權(quán)利憲章納入考量。其第8(2)條規(guī)定，處理個人數(shù)據(jù)必須是出于特定目的。然而，與此原則相反，很多數(shù)據(jù)控制者的用戶畫像行為往往是出于其他目的而對個人數(shù)據(jù)進行收集。因此，此類行為在GDPR中也須被理解為原則上的禁止。因為用戶畫像有可能被濫用并導致歧視，阻止個人獲得就業(yè)、信貸和保險的機會，或?qū)е缕潆y以購買風險或成本過高的金融產(chǎn)品。

但是，我們也會發(fā)現(xiàn)GDPR的立法者所遺留的潛在問題。在通過機器自學和挖掘大型數(shù)據(jù)集的過程中，任何完全不需要人工控制來做出的決策都被認為是完全自動化的。這就是為什么GDPR第22條第1款的適用還要求自動化決策對數(shù)據(jù)主體的影響不是“微不足道”的，而必須是“重大效力”，否則自學型算法將沒有原材料用于發(fā)展，技術(shù)的進步將受到影響。

在未來，隨著自學算法、自動化分析的飛速發(fā)展、在社會各領(lǐng)域的應(yīng)用和普及，對自動化決策的限制顯然會成為重要的議題。而在這樣的背景下，如何既能保障公民個人與數(shù)據(jù)相關(guān)的基本權(quán)利，又能盡量減少對此類技術(shù)發(fā)展的阻礙，顯然是值得深入探討的話題。

(作者單位：對外經(jīng)濟貿(mào)易大學法學院)