【ZiDongHua 之人文化天下收錄關(guān)鍵詞：對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)  法與自動(dòng)化  自動(dòng)化決策  智能決策 算法 GDPR  通用數(shù)據(jù)保護(hù)條例 歐盟】

德國(guó)征信機(jī)構(gòu)自動(dòng)化評(píng)分引發(fā)訴訟

——歐洲法院關(guān)于自動(dòng)化決策首案的里程碑意義淺析

在算法時(shí)代，自動(dòng)化分析和各種形式的評(píng)分可能會(huì)變得更加普遍，人們的日常生活也受到了此類(lèi)自動(dòng)化決策的深刻影響，其中尤為突出的是個(gè)人信用評(píng)分服務(wù)。個(gè)人信用評(píng)分較低的消費(fèi)者可能寸步難行：他們沒(méi)有辦法獲得銀行貸款，無(wú)法租賃房屋，也不能在購(gòu)物中選擇分期付款。

終于，在自動(dòng)化決策技術(shù)問(wèn)世幾十年后，數(shù)據(jù)主體免受自動(dòng)化決策約束權(quán)案件在歐洲法院首次得到審議。今年初，歐洲法院第一分庭就OQ訴德國(guó)黑森州一案舉行了聽(tīng)證會(huì)，歐洲法院對(duì)本案的裁決有望于今年9月至12月之間作出。此案被稱(chēng)為歐洲法院關(guān)于自動(dòng)化決策的具有里程碑意義的首個(gè)案件。

征信機(jī)構(gòu)的個(gè)人信用自動(dòng)化評(píng)分被起訴

本案是原告OQ(數(shù)據(jù)主體)針對(duì)SCHUFA(德國(guó)通用信用權(quán)益保護(hù)協(xié)會(huì))對(duì)其做出的個(gè)人信用評(píng)分提起的訴訟。SCHUFA是一家德國(guó)私人征信機(jī)構(gòu)，旨在通過(guò)數(shù)學(xué)統(tǒng)計(jì)方法，基于一個(gè)人的某些特征來(lái)預(yù)測(cè)其未來(lái)的行為，為其客戶(hù)提供個(gè)人信用評(píng)分。

SCHUFA在向其第三方客戶(hù)提供OQ的信用評(píng)分后，OQ被拒絕授信。因此，OQ要求SCHUFA向她提供SCHUFA存儲(chǔ)其數(shù)據(jù)的有關(guān)信息，并刪除那些她認(rèn)為不正確的數(shù)據(jù)。隨后，SCHUFA通知OQ她的信用評(píng)分是85.96%，并大致介紹了得出該評(píng)分的主要計(jì)算過(guò)程。但是，SCHUFA并沒(méi)有透露哪些信息被納入計(jì)算范圍及其所占的權(quán)重。SCHUFA稱(chēng)，出于商業(yè)與行業(yè)秘密的保護(hù)，SCHUFA沒(méi)有義務(wù)透露此類(lèi)具體計(jì)算方法。此外，SCHUFA還強(qiáng)調(diào)，它只向其客戶(hù)提供了評(píng)分信息，而不是是否授信的最終決定。

2018年10月18日，OQ向被告黑森州的數(shù)據(jù)保護(hù)和信息自由專(zhuān)員(HBDI)提出投訴，要求HBDI命令SCHUFA允許她訪問(wèn)和刪除SCHUFA存儲(chǔ)的其個(gè)人信用數(shù)據(jù)。OQ認(rèn)為，SCHUFA有義務(wù)披露其計(jì)算個(gè)人信用評(píng)分的具體方法以及其數(shù)據(jù)處理的意義和結(jié)果。HBDI拒絕對(duì)SCHUFA采取進(jìn)一步行動(dòng)，因?yàn)镠BDI認(rèn)為，SCHUFA對(duì)信用評(píng)分的計(jì)算符合德國(guó)聯(lián)邦《數(shù)據(jù)保護(hù)法》第31條的具體要求。

最終，威斯巴登行政法院中止了OQ提起的行政訴訟，并將此問(wèn)題提交給歐洲法院進(jìn)行初步裁決。

GDPR(歐盟《通用數(shù)據(jù)保護(hù)條例》)第22條(自動(dòng)化決策)第1款規(guī)定，數(shù)據(jù)主體有權(quán)反對(duì)完全基于自動(dòng)化處理(包括用戶(hù)畫(huà)像)對(duì)其做出的決策。

本案圍繞此條款所產(chǎn)生的爭(zhēng)議展開(kāi)。

GDPR是否對(duì)自動(dòng)化決策作出禁止性規(guī)定

本案爭(zhēng)議核心，是對(duì)GDPR第22條(自動(dòng)化決策)第1款的理解。GDPR第　22條(自動(dòng)化決策)規(guī)定：

1.數(shù)據(jù)主體有權(quán)反對(duì)此類(lèi)決策：完全依靠自動(dòng)化處理(包括繪制用戶(hù)畫(huà)像)對(duì)數(shù)據(jù)主體做出具有法律影響或類(lèi)似嚴(yán)重影響的決策。

2.當(dāng)決策存在如下情形時(shí)，第1款不適用：(a)當(dāng)決策對(duì)于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的;(b)當(dāng)決策是歐盟或成員國(guó)的法律所授權(quán)的，控制者是決策的主體，并且已經(jīng)制定了恰當(dāng)?shù)拇胧┍ＷC數(shù)據(jù)主體的權(quán)利、自由與正當(dāng)利益;(c)當(dāng)決策建立在數(shù)據(jù)主體的明確同意基礎(chǔ)之上。

3.在第2段所規(guī)定的(a)和(c)點(diǎn)的情形中，數(shù)據(jù)控制者應(yīng)當(dāng)采取適當(dāng)措施保障數(shù)據(jù)主體的權(quán)利、自由、正當(dāng)利益，以及數(shù)據(jù)主體對(duì)控制者進(jìn)行人工干涉，以便表達(dá)其觀點(diǎn)和對(duì)決策進(jìn)行異議的基本權(quán)利。

4.第2段所規(guī)定的決策的基礎(chǔ)不適用于本法第9(1)條所規(guī)定的特定類(lèi)型的個(gè)人數(shù)據(jù)，除非符合第9(2)條(a)點(diǎn)或(g)點(diǎn)的規(guī)定，并且已經(jīng)采取了保護(hù)數(shù)據(jù)主體權(quán)利、自由與正當(dāng)利益的措施。

要適用GDPR第22條第1款，必須同時(shí)滿(mǎn)足以下三個(gè)要求：1、已作出決策;2、決策制定完全基于自動(dòng)化處理或分析;3、對(duì)數(shù)據(jù)主體具有法律效力或類(lèi)似的重大效力。

在口頭聽(tīng)證會(huì)中，法院主要提問(wèn)并探討了關(guān)于“決策”一詞的概念外延和第22條第1款的性質(zhì)。

聽(tīng)證會(huì)中歐洲法院的提問(wèn)及各方的回答

從聽(tīng)證會(huì)法官的評(píng)論和提問(wèn)中，我們發(fā)現(xiàn)，歐洲法院似乎傾向于對(duì)“決策”進(jìn)行較為寬泛的解釋?zhuān)?ldquo;決策”包括信用評(píng)分這類(lèi)預(yù)備決策行為，將第22條第1款解釋為對(duì)自動(dòng)化決策的禁止性規(guī)定。

GDPR第22條的性質(zhì)：是一項(xiàng)對(duì)自動(dòng)化決策的禁令嗎?

GDPR第22條第1款的性質(zhì)一直爭(zhēng)論不休。關(guān)鍵問(wèn)題在于，該條款是否包含原則上禁止自動(dòng)化決策的規(guī)定。這一觀點(diǎn)得到了歐洲數(shù)據(jù)保護(hù)委員會(huì)(European　Data　Protection　Board)的支持，即第22條第1款規(guī)定了對(duì)自動(dòng)化決策原則上的禁止，但要遵守第2款中的例外情況。歐洲法院法官Thomas　von　Danwitz在聽(tīng)證會(huì)上的評(píng)論及提問(wèn)表明，他似乎也將傾向于將GDPR第22條第1款解釋為對(duì)自動(dòng)化決策原則上的禁止。在聽(tīng)證會(huì)期間，沒(méi)有任何一方反對(duì)這一觀點(diǎn)，這表明雙方在此達(dá)成共識(shí)?；蛟S在將來(lái)，歐洲法院也會(huì)正式將GDPR第22條第1款解釋為對(duì)自動(dòng)化決策原則上的禁止。

如何解釋GDPR第22條第1款中的“決策”一詞?

被告黑森州的數(shù)據(jù)保護(hù)和信息自由專(zhuān)員(HBDI)在聽(tīng)證會(huì)上辯稱(chēng)，個(gè)人信用評(píng)分的計(jì)算本身不是GDPR第22條意義上的“決策”。HBDI認(rèn)為，GDPR第22條第1款僅適用于已經(jīng)作出的“決策”而非信用評(píng)分計(jì)算等決策預(yù)備行為。SCHUFA認(rèn)為應(yīng)將GDPR第22條的起草歷史也考慮在內(nèi)，GDPR的最初提案并不包含“決策”一詞，而是使用了概念外延更廣的“措施”一詞。因此，GDPR第22條不適用于SCHUFA。

在口頭聽(tīng)證會(huì)上，Thomas　von　Danwitz法官提到，“決策”的概念不一定要用行政法的術(shù)語(yǔ)來(lái)解釋。他還認(rèn)為建立信用評(píng)分確實(shí)是GDPR第22條第1款意義上的“決策”，因?yàn)樵u(píng)分已經(jīng)作出并分配給特定個(gè)人。

數(shù)據(jù)控制者是否有義務(wù)主動(dòng)告知數(shù)據(jù)主體與自動(dòng)化決策相關(guān)的信息?

從Thomas　von　Danwitz法官在口頭聽(tīng)證會(huì)上發(fā)表的評(píng)論及提問(wèn)來(lái)看，他似乎認(rèn)為GDPR第71條規(guī)定了數(shù)據(jù)控制者有義務(wù)主動(dòng)告知數(shù)據(jù)主體與自動(dòng)化決策相關(guān)的信息。在聽(tīng)證會(huì)上，von　Danwitz法官引用了德文版本的GDPR序言第71條，該條指出，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者就可能對(duì)數(shù)據(jù)主體造成法律或類(lèi)似重大影響的自動(dòng)化決策的相關(guān)事宜作出解釋。他指出在任何情況下都必須有GDPR第22條第3款提到的適當(dāng)保障措施，要求數(shù)據(jù)控制者向數(shù)據(jù)主體提供與決策相關(guān)的具體信息。

代理總檢察長(zhǎng)Priit　Pikamae的意見(jiàn)

總檢察長(zhǎng)的意見(jiàn)對(duì)法院沒(méi)有約束力，其作用是以完全獨(dú)立的方式向法院提出案件的法律解決方案。Pikamae的意見(jiàn)主要是：

數(shù)據(jù)主體不僅有權(quán)從數(shù)據(jù)控制者處確認(rèn)自己的個(gè)人數(shù)據(jù)是否正在被處理，還有權(quán)獲得其他相關(guān)信息。

根據(jù)GDPR第15條，數(shù)據(jù)主體還有權(quán)了解評(píng)分過(guò)程中是否存在自動(dòng)化決策(包括用戶(hù)畫(huà)像分析)，決策所涉邏輯以及此類(lèi)處理對(duì)于數(shù)據(jù)主體預(yù)期后果的有效信息。

Pikamae認(rèn)為，提供15條中“與所涉邏輯相關(guān)的有效信息”的義務(wù)必須被理解為詳細(xì)地向數(shù)據(jù)主體解釋計(jì)算評(píng)分所使用的具體方法和產(chǎn)生某一評(píng)分的原因。一般來(lái)說(shuō)，數(shù)據(jù)控制者應(yīng)向當(dāng)事人提供的基本信息包括，決策過(guò)程中考慮到的因素及其它們各自在總體水平中的權(quán)重占比，這也有助于當(dāng)事人對(duì)GDPR意義上的任何“決策”提出質(zhì)疑，真正享有不被僅基于自動(dòng)化處理(包括用戶(hù)畫(huà)像)的決策所受制的權(quán)利。

自動(dòng)生成個(gè)人信用評(píng)分構(gòu)成GDPR第22條第1款中繪制用戶(hù)畫(huà)像行為。

Pikamae認(rèn)為，GDPR第22條第1款應(yīng)被解釋為：自動(dòng)生成個(gè)人信用評(píng)分(也即對(duì)個(gè)人未來(lái)償還貸款的能力的估值)，已經(jīng)構(gòu)成完全基于自動(dòng)化處理的決策。因?yàn)槿绻摴乐凳峭ㄟ^(guò)與該人有關(guān)的個(gè)人數(shù)據(jù)確定的，并由數(shù)據(jù)控制者傳送給第三方控制者，而后者在決定與該人的合同關(guān)系的建立、實(shí)施或終止時(shí)將該估值作為重要考量因素，那么該決策也符合了“對(duì)數(shù)據(jù)主體具有法律效力或類(lèi)似的重大效力”的內(nèi)含。

判決或有利于對(duì)公民基本權(quán)利的保護(hù)

本案的核心焦點(diǎn)在于對(duì)GDPR第22條第1款的解釋?zhuān)阂皇撬饺苏餍艡C(jī)構(gòu)對(duì)數(shù)據(jù)主體做出對(duì)其未來(lái)償還貸款的能力的估值(即信用評(píng)分行為)，是否屬于本條款意義上的“決策”;二是此條款是對(duì)自動(dòng)化決策的一般性禁令，還是只有數(shù)據(jù)主體積極援引權(quán)利才可以被適用的規(guī)定。

從聽(tīng)證會(huì)上歐洲法院的法官的評(píng)論和提問(wèn)，以及總檢察長(zhǎng)在會(huì)后發(fā)表的意見(jiàn)可以看出，法院更傾向于將評(píng)分行為認(rèn)定為GDPR第22條第1款中的自動(dòng)化決策，總檢察長(zhǎng)就此指出，此類(lèi)行為可被進(jìn)一步歸類(lèi)于其中的用戶(hù)畫(huà)像的繪制行為。因此，原告OQ的訴求或許能夠在未來(lái)的裁決中得到支持。同時(shí)，法院似乎也更傾向于將本條款認(rèn)定為原則上的禁止性規(guī)定，并認(rèn)為數(shù)據(jù)控制者有義務(wù)主動(dòng)向數(shù)據(jù)主體解釋與自動(dòng)化決策相關(guān)的信息。這有利于對(duì)公民基本權(quán)利的保護(hù)。

雖然GDPR條款中沒(méi)有明確規(guī)定數(shù)據(jù)控制者對(duì)自動(dòng)化決策進(jìn)行解釋的義務(wù)，但此義務(wù)是對(duì)GDPR進(jìn)行系統(tǒng)解釋后所要求的，特別考慮到GDPR第71條(指“數(shù)據(jù)主體有權(quán)獲得數(shù)據(jù)控制者對(duì)基于此類(lèi)評(píng)估所達(dá)成決策的解釋”)、GDPR第5(1)(a)條(與數(shù)據(jù)主體相關(guān)的合法性、公平性和透明度)和GDPR第12(1)條(數(shù)據(jù)控制者須以簡(jiǎn)潔、透明、可理解和易于訪問(wèn)的形式向數(shù)據(jù)主體提供信息)。

同時(shí)，基于對(duì)歐盟二級(jí)法律(GDPR)的解釋不得違背歐盟基本法(歐盟基本權(quán)利憲章)的原則，我們將歐盟基本權(quán)利憲章納入考量。其第8(2)條規(guī)定，處理個(gè)人數(shù)據(jù)必須是出于特定目的。然而，與此原則相反，很多數(shù)據(jù)控制者的用戶(hù)畫(huà)像行為往往是出于其他目的而對(duì)個(gè)人數(shù)據(jù)進(jìn)行收集。因此，此類(lèi)行為在GDPR中也須被理解為原則上的禁止。因?yàn)橛脩?hù)畫(huà)像有可能被濫用并導(dǎo)致歧視，阻止個(gè)人獲得就業(yè)、信貸和保險(xiǎn)的機(jī)會(huì)，或?qū)е缕潆y以購(gòu)買(mǎi)風(fēng)險(xiǎn)或成本過(guò)高的金融產(chǎn)品。

但是，我們也會(huì)發(fā)現(xiàn)GDPR的立法者所遺留的潛在問(wèn)題。在通過(guò)機(jī)器自學(xué)和挖掘大型數(shù)據(jù)集的過(guò)程中，任何完全不需要人工控制來(lái)做出的決策都被認(rèn)為是完全自動(dòng)化的。這就是為什么GDPR第22條第1款的適用還要求自動(dòng)化決策對(duì)數(shù)據(jù)主體的影響不是“微不足道”的，而必須是“重大效力”，否則自學(xué)型算法將沒(méi)有原材料用于發(fā)展，技術(shù)的進(jìn)步將受到影響。

在未來(lái)，隨著自學(xué)算法、自動(dòng)化分析的飛速發(fā)展、在社會(huì)各領(lǐng)域的應(yīng)用和普及，對(duì)自動(dòng)化決策的限制顯然會(huì)成為重要的議題。而在這樣的背景下，如何既能保障公民個(gè)人與數(shù)據(jù)相關(guān)的基本權(quán)利，又能盡量減少對(duì)此類(lèi)技術(shù)發(fā)展的阻礙，顯然是值得深入探討的話(huà)題。

(作者單位：對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院)