域外观察 | GDPR赋予了数据主体算法解释权吗？

设想一个场景，银行B通过各种方式收集了P的个人信息（包括但不限于P主动向银行提交的），并将这些信息以数据形式输入到算法中，银行B将根据得分来决定是否授予P申请的贷款。最终P并未获得贷款，银行B也仅以短信的方式告知P，“根据我们的评估，您不符合获得此种贷款的相应资格”。如果P拥有一般理解的解释权，首先，银行B应当向P说明，其评估结论是来自于算法，即“根据XX系统的评估”；其次，P可以要求银行B说明这个系统是如何运行的，为什么自己的申请被拒绝；最后，P可以要求银行B以人工方式重新评估。在最小的意义上，解释权是一种“被告知的权利（right to be informed）”，即获得实现社会生存及参与所需的基本信息的权利。

简单来讲，我们将解释权理解为，自动化决策所包含的内在逻辑以可理解的方式解释给数据主体，并由此衍生出的对抗自动化决策的相应措施。这一简单定义之下必然包含更多问题，（1）向谁解释？是解释给特定权益受到影响的数据主体，还是自动化决策的所有对象？由前一个问题引发，（2）什么时候解释？是决策之前给予解释？还是事后给予解释？以及（3）怎样解释？是系统性解释还是特定决策解释？前者包含自动化决策系统的运行逻辑、预见性后果和一般功能，后者则特定环境下特定主体的影响因子，以及参照群体的具体特征等。（4）采取何种措施？如对算法决策中特定考量因素的解释是否是一种保护措施？这些问题往往彼此对应，如系统性解释往往对应着事前解释，特定决策解释则是事后的、个案的解释，两种解释对于数据控制者产生的影响不同。由于解释权所涉及的议题过多，在提出之时就产生许多争论，GDPR也采用了模糊化的立法方案，并未对其进行准确界定。

GDPR可能涉及解释权的地方有三处：（1）针对自动化决策系统的保护措施（第22条（3）项及序言第71条）；（2）提示性义务（第13-14条及序言第60-62条）；（3）访问权（第15条及序言第63条）。如上所述，尽管GDPR未明确“解释权”的表述，但这三处可能构成解释权的法律基础，也部分回答了前文所提到的四个问题。

从针对自动化决策的保护措施来看，第22条（3）项明确，“在第2段所规定的（a）和（c）点的情形中，数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益，以及数据主体对控制者进行人工干涉，以便表达其观点和对决策进行异议的基本权利。”此处并不要求数据控制者向被决策主体提供“解释”，但“适当措施（safeguards）”存在一定的解释空间。值得注意的是，序言第71条中“对于（自动化）决策的解释”是有关解释权的唯一直接描述，根据此条，适当措施包括“向数据主体提供具体信息，有权获得人工干预，以表达自身观点，获得评估后决定的解释，以对决策表达异议”。事实上，如果GDPR序言具有法律约束力，那么此条实际上赋予了数据主体事后解释权，即被决策主体有权要求数据控制者就特定决策提供解释。但由于序言部分仅具备参考价值，序言第71条不能作为解释权的法律基础。

数据控制者的提示性义务规定在第13-14条，其表述方式都是“数据控制者应当向数据主体提供如下信息”，根据第13条（2）f及第14条（2）g项，这些信息包括——“自动化决策的存在，包括第22（1）和（4）条所规定的用户画像，以及在此类情形下，对于相关逻辑、包括此类处理对于数据主体所产生预期后果的有效信息”。第13条2项明确了提供此类信息的时间节点，即数据控制者“获取个人数据”之时，因此在逻辑上第13条的规定是一种提示（notification），它发生在决策行为之前，是一种事前解释。第14条的规定未在时间节点上做出提示，具有一定的模糊性，从第13条（2）f及第14条（2）g项“预见性后果（envisaged consequences）”的表述来看，所告知的仅是一种预期后果，如果实际结果已经发生则无解释的必要，因此也宜被认定为事前解释，且从第13、14条的关系来看，其性质都应被认定为是“提示性义务”。

最有可能作为解释权法律基础的是第15条，与前面两处规定不同的是，第15条是赋予数据主体的权利，GDPR将其定义为访问权（right of access）。第15条（1）h项与第13条（2）f、第14条（2）g项并无不同，换言之，第15条赋予了数据主体主动获取相关信息的权利，是从义务到权利的视角转变。问题在于，第15条并未明确此种权利行使的时间节点，理论上只要数据主体愿意，在任何时候都可以要求数据控制者提供相应信息。相反意见认为，如果寻求解释的一致性，“预见性后果”的表述所产生的时间问题依然存在，而“自动化决策的存在”也暗示了同样的问题（如果是事后解释则也无需说明自动化决策的存在了）。因此，我们可以说第13-15条只是提供了一种预期性的、事前的解释。此外，从《1995年数据保护指令》相关规定的执行情况来看，其所规定的访问权也限制在对系统性功能的解释，因此也是一种事前解释，从历史解释的角度来看，GDPR也并不包含对特定决策的事后解释。

GDPR第15条（1）h项所规定的访问权本身也存在许多其他模糊之处，其文本极大地限制了此项规定的解释范围，事实上导致其难以适用。第一，对于什么是“自动化决策”，是要根据第22条（1）项来判定，但此项规定将这一概念界定为“仅依靠自动化处理得出的决策”。换言之，只要存在人工处理，无论是否由自动化处理预先决定，都无法适用第15条（1）h项所规定的访问权，则数据控制者只要做出相应调整，就无需担心数据主体能依法提出相应的访问请求（例如前例中，P是否能够获得贷款由某系统根据其信用得分预先决定，但B可以在决策的最终阶段实现人工介入）。第二，对于第21条（1）项中 “法律效果（legal effect）”的界定也并不清晰，严格来说，对于受到自动化决策影响的数据主体，其法律状态（如法律权利的行使）并不一定受到影响，尽管P最终未获得银行贷款，但法律上并不存在P应当获得贷款的权利，而如果依据第21条（1）项中“或以其他相似方式对他/她产生影响”，则数据主体需要证明自动化决策对自身利益的影响达到了规定中的程度，更不用说在自动化决策对数据主体产生间接影响的案例中，个体需要承担更高的举证责任。