胡巧莉 劉征峰

內(nèi)容提要:從民法視角觀察，個人信息應(yīng)作為法益保護(hù)。針對自動化決策的算法解釋實(shí)際上是人格權(quán)衍生的非獨(dú)立請求權(quán)，無需單獨(dú)創(chuàng)設(shè)一項(xiàng)算法解釋權(quán)。算法解釋在合同領(lǐng)域中可被納入保護(hù)義務(wù)的范疇，在侵權(quán)領(lǐng)域中則具有過錯評價的功能，當(dāng)個人信息處理者無法解釋或拒絕解釋時，可推定其存在過錯。為保護(hù)個人信息處理者的商業(yè)秘密，減輕其解釋負(fù)擔(dān)，《個人信息保護(hù)法》第24條第3款所規(guī)定的算法解釋應(yīng)區(qū)分為事前解釋與事后解釋兩種類型，兩者在要件構(gòu)造與解釋程度上存在區(qū)別。事前解釋應(yīng)限定于“可能產(chǎn)生重大影響”的敏感個人信息處理場合，事后解釋則發(fā)生在“對個人權(quán)益已經(jīng)產(chǎn)生重大影響”的自動化決策場合。事前解釋義務(wù)的程度應(yīng)低于事后解釋義務(wù)，二者分別對應(yīng)對系統(tǒng)功能的抽象解釋和對具體決策的詳細(xì)解釋。因重大影響產(chǎn)生實(shí)際損害后，個人信息主體可通過主張違約或侵權(quán)損害賠償責(zé)任實(shí)現(xiàn)救濟(jì)。對事前解釋義務(wù)的意定免除若違反《民法典》第497條或第506條應(yīng)為無效，但事后解釋義務(wù)及其衍生的損害賠償請求權(quán)可被免除。

在利用個人信息的自動化決策場合，難免在信息剖析時因“歧視性”因素而作出對個人存在重大影響或產(chǎn)生法律效力的決策。(1)See Bart Custers et al.ed.,Discrimination and Privacy in the Information Society: Data Mining and Profiling in Large Databases,Springer,2012,p.138.規(guī)制算法的方式是將存在實(shí)質(zhì)性歧視、隱私風(fēng)險以及其他重大影響的決策結(jié)果納入法律調(diào)整的范圍，如個人信息主體可要求作出“算法解釋”。(2)參見鄭智航、徐昭曦：《大數(shù)據(jù)時代算法歧視的法律規(guī)制與司法審查———以美國法律實(shí)踐為例》，載《比較法研究》2019年第4期。域外法上對“算法解釋”的討論聚焦于“算法解釋(權(quán))”的規(guī)范依據(jù)與權(quán)利性質(zhì)。(3)See Sandra Wachter et al.,Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation,7 International Data Privacy Law 76,77-81(2017); Paul Vogel,A“Right to Explanation”for Algorithmic Decisions?,in Amedeo Santosuosso,Giulia Pinotti ed.,Data-Driven Decision Making.Law,Ethics,Robotics,Health,Pavia University Press,2020,pp.49-52.歐盟以《一般數(shù)據(jù)保護(hù)條例》(下文簡稱GDPR)第22條和序言第71條為依據(jù)，保障個人有權(quán)不受對其產(chǎn)生法律效力或者類似重大影響的自動化決策之約束。為維護(hù)市場交易語境下的數(shù)據(jù)公平(或稱免于受欺詐或不公平對待)，美國以《信貸機(jī)會均等法》(The Equal Credit Opportunity Act)和《公平信用報告法》(Fair Credit Reporting Act)作為“算法解釋(權(quán))”的主要規(guī)范依據(jù)，專門規(guī)定了貸方需就不利的算法評分向消費(fèi)者解釋的義務(wù)。

我國立法文本中未出現(xiàn)“算法解釋(權(quán))”這樣的表達(dá)，但根據(jù)《個人信息保護(hù)法》第24條第3款的規(guī)定，個人信息主體有權(quán)要求個人信息處理者說明對其權(quán)益有重大影響的自動化決策，并享有相應(yīng)的拒絕權(quán)。值得探討的是，該款規(guī)定隱含的“算法解釋”在民法上究竟屬于何種性質(zhì)，又可產(chǎn)生何種法律效果。我國學(xué)界對“算法解釋”是否為一項(xiàng)獨(dú)立的民事權(quán)利存在爭論，肯定者認(rèn)為個體賦權(quán)式的治理模式可為個人信息提供更強(qiáng)保護(hù)，(4)參見張凌寒：《商業(yè)自動化決策的算法解釋權(quán)研究》，載《法律科學(xué)(西北政法大學(xué)學(xué)報)》2018年第3期；張恩典：《大數(shù)據(jù)時代的算法解釋權(quán):背景、邏輯與構(gòu)造》，載《法學(xué)論壇》2019年第4期；解正山：《算法決策規(guī)制——以算法“解釋權(quán)”為中心》，載《現(xiàn)代法學(xué)》2020年第1期。并由此形成完整的個人信息權(quán)利體系。否定者則認(rèn)為個人信息僅需作為利益保護(hù)，算法解釋的功能可被現(xiàn)有的法律制度涵蓋，創(chuàng)設(shè)算法解釋權(quán)易形成保護(hù)功能的堆疊。(5)參見賈章范：《論算法解釋權(quán)不是一項(xiàng)法律權(quán)利——兼評〈個人信息保護(hù)法(草案)〉第二十五條》，載《電子知識產(chǎn)權(quán)》2020年第12期；辛巧巧：《算法解釋權(quán)質(zhì)疑》，載《求是學(xué)刊》2021年第3期。兩種相反的觀點(diǎn)雖各有理由，但未能就民法體系中如何理解算法解釋作出圓滿的回應(yīng)。無論采何種規(guī)范模式，核心是如何在主觀權(quán)利體系中厘清“算法解釋”的保護(hù)目的與體系價值。

本文以利用個人信息的自動化決策為研究對象，首先從“算法解釋”保護(hù)的個人信息權(quán)益的法律評價出發(fā)，判斷算法解釋能否被人格權(quán)中的個人信息保護(hù)(《民法典》第1032條至第1039條)、消費(fèi)者知情權(quán)(《消費(fèi)者權(quán)益保護(hù)法》第8條、第14條以及《個人信息保護(hù)法》第44條)、合同保護(hù)義務(wù)、侵權(quán)責(zé)任等民法保護(hù)模式的規(guī)范功能所涵括，明晰其性質(zhì)與定位。在此基礎(chǔ)上，嘗試在民法體系中對算法解釋進(jìn)行類型區(qū)分，重點(diǎn)分析類型區(qū)分的實(shí)益以及不同類型算法解釋的規(guī)范構(gòu)造。

一、人格權(quán)體系中的算法解釋

《個人信息保護(hù)法》第24條規(guī)定了利用個人信息的自動化決策和相應(yīng)的“算法解釋”義務(wù)。算法解釋作為保護(hù)個人信息權(quán)益的方式，其體系定位與規(guī)范性質(zhì)尚未明確，關(guān)鍵在于目前的民法體系中是否已經(jīng)存在可以承載“算法解釋”的規(guī)范制度。因此，首先，需要先明確個人信息權(quán)益的性質(zhì)，再判斷算法解釋的體系位置是處于“個人信息保護(hù)體系”還是人格權(quán)保護(hù)體系，其性質(zhì)為獨(dú)立權(quán)利還是請求權(quán)。其次，基于算法解釋的規(guī)范目的，自動化決策對個人權(quán)益的重大影響產(chǎn)生的時間不同，需區(qū)分不同的算法解釋類型。

(一)作為非獨(dú)立請求權(quán)的算法解釋

《民法典》規(guī)定自然人的個人信息受法律保護(hù)，列明了個人信息處理中需遵循的原則和違反相應(yīng)義務(wù)時需承擔(dān)的責(zé)任?！秱€人信息保護(hù)法》對個人信息保護(hù)作出了更為詳盡的規(guī)定，但均未言明“個人信息權(quán)”的存在，僅出現(xiàn)“個人信息權(quán)益”的表達(dá)。個人信息屬于人格要素，與人格權(quán)的保護(hù)內(nèi)容存在交叉，若重復(fù)性地創(chuàng)設(shè)獨(dú)立的“個人信息權(quán)”，則會與人格權(quán)的保護(hù)體系產(chǎn)生疊合。(6)參見鄭曉劍：《個人信息的民法定位及保護(hù)模式》，載《法學(xué)》2021年第3期；程嘯：《論我國民法典中個人信息權(quán)益的性質(zhì)》，載《政治與法律》2020年第8期。立法政策對個人信息保護(hù)采行為規(guī)制模式，正是由于個人信息權(quán)益尚未達(dá)致“權(quán)利的分配密度”(Zuweisungsdichte)。(7)Vgl.Schwab/L?hnig,Einführung in das Zivilrecht,20.Aufl.,2016,Rdn.263.行為規(guī)制模式將個人信息視為一項(xiàng)法益，規(guī)制信息處理行為，既可避免權(quán)利泛化，亦可緩解與個人信息利用與保護(hù)之間的緊張關(guān)系。(8)參見黃薇主編：《中華人民共和國民法典人格權(quán)編釋義》，法律出版社2020年版，第196頁。因此，個人信息法益可置于人格權(quán)規(guī)范體系下予以保護(hù)，盡管《個人信息保護(hù)法》第四章“個人在個人信息處理活動中的權(quán)利”中使用了“權(quán)利”，但其僅為技術(shù)意義上的表達(dá)，與《民法典》第五章“民事權(quán)利”中具體列舉的生命權(quán)、身體權(quán)等權(quán)利的性質(zhì)并不相同，將其理解為保護(hù)個人信息法益的請求權(quán)更為適宜。

在明確了個人信息權(quán)益屬于人格權(quán)保護(hù)體系的法益后，作為其保護(hù)方式的“算法解釋”，亦應(yīng)當(dāng)被置于人格權(quán)保護(hù)體系的范疇進(jìn)行性質(zhì)界定。對于“算法解釋”的關(guān)鍵爭議在于《個人信息保護(hù)法》第24條第3款是否創(chuàng)設(shè)了“算法解釋權(quán)”。支持的觀點(diǎn)認(rèn)為目前的法律資源不敷適用，應(yīng)配置獨(dú)立的算法解釋權(quán)，用以平衡自動化決策使用者與相對人不對稱的權(quán)力關(guān)系。(9)參見前引〔4〕，張凌寒文；前引〔4〕，解正山文。只有通過賦權(quán)才能增強(qiáng)算法透明性，以破解“算法黑箱”的方式達(dá)到提高算法可責(zé)性的目的。(10)參見姜野、李擁軍：《破解算法黑箱：算法解釋權(quán)的功能證成與適用路徑——以社會信用體系建設(shè)為場景》，載《福建師范大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2019年第4期；許可、朱悅：《算法解釋權(quán)：科技與法律的雙重視角》，載《蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2020年第2期。否定的觀點(diǎn)認(rèn)為算法解釋的功能可通過其他規(guī)制手段實(shí)現(xiàn)，(11)參見前引〔5〕，辛巧巧文。創(chuàng)設(shè)權(quán)利的救濟(jì)效果有限，會對商業(yè)秘密、國家利益和市場競爭秩序造成不良影響，徒增裁判成本。(12)參見前引〔5〕，賈章范文；李天助：《算法解釋權(quán)檢視——對屬性、構(gòu)造及本土化的再思》，載《貴州師范大學(xué)學(xué)報(社會科學(xué)版)》2021年第5期。深思之，支持算法解釋“權(quán)利化”的觀點(diǎn)未從民法體系的視角去觀察算法解釋的定位。算法解釋所保護(hù)的法益可以被人格權(quán)規(guī)范體系所涵蓋，在合同與侵權(quán)領(lǐng)域表現(xiàn)為不同的保護(hù)手段與規(guī)范功能。至于商業(yè)秘密，其僅構(gòu)成對算法解釋說明義務(wù)的限制，不能絕對地拒絕算法解釋請求權(quán)的適用。(13)參見呂炳斌：《論個人信息處理者的算法說明義務(wù)》，載《現(xiàn)代法學(xué)》2021年第4期。

域外法上，學(xué)者們以GDPR第22條及序言第71條為核心對算法解釋的規(guī)范模式展開了討論。有觀點(diǎn)認(rèn)為即便序言在歐盟法律下并不具有拘束力，但為了引導(dǎo)數(shù)據(jù)主體依據(jù)GDPR行使權(quán)利，至少應(yīng)保障其從功能角度獲得解釋的利益。(14)See Bryan Casey et al.,Rethinking Explainable Machines: The GDPR’s“Right to Explanation”Debate and the Rise of Algorithmic Audits in Enterprise,34 Berkeley Technology Law 143,159-161(2019).相反觀點(diǎn)則認(rèn)為GDPR第22條并未明文規(guī)定“算法解釋權(quán)”，序言第71條雖提及“算法解釋權(quán)”(the right to obtain an explanation of the decision)，但其未處于正式文本中，不可創(chuàng)設(shè)權(quán)利類型。(15)參見前引〔3〕，Sandra Wachter等文，第79-80頁。亦有觀點(diǎn)主張“算法解釋權(quán)”可能引發(fā)新的“透明性謬誤”，通過被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、隱私保護(hù)等即可使算法更加注重個體利益保護(hù)。(16)See Lilian Edwards,Michael Veale,Slave to the Algorithm: Why a Right to An Explanation Is Probably Not the Remedy You Are Looking for，16 Duke Law & Technology Review 18,19-20(2017-2018).不同成員國對算法解釋的規(guī)范模式并未與GDPR完全保持一致。德國、比利時并未肯認(rèn)GDPR序言第71條所提及的“算法解釋權(quán)”。(17)See Gianclaudio Malgieri,Automated Decision-making in the EU Member States: The Right to Explanation and other“Suitable Safeguards”in the National Legislations,35 Computer Law & Security Review 1,8-13(2019).可能的原因在于，基于算法自動化決策所作出的歧視性結(jié)果可由其他法律規(guī)范進(jìn)行規(guī)制。如德國《一般平等待遇法》不僅將損害賠償作為救濟(jì)方式，而且將救濟(jì)方式擴(kuò)展至可能對契約自由作根本性否定的強(qiáng)制締約。(18)參見劉征峰：《從“反歧視原則”進(jìn)入民事交易關(guān)系觀察當(dāng)代民法理念的革新》，載《法制與社會發(fā)展》2017年第1期?！叭绻缫曅袨楸憩F(xiàn)為拒絕訂立合同，在只有通過訂立合同才能排除妨礙的情況下，排除妨礙的外延中實(shí)際上包含了強(qiáng)制締約這一方式?！?19)Haberl,Antidiskriminierungsrecht und Sanktionenssystem: Die Konkretisierung gemeinschaftsrechtlicher Mindestvorgaben,GPR 6(2009)，202，202-209.在英國與愛爾蘭的《數(shù)據(jù)保護(hù)法》中，雖不能直接看出“算法解釋權(quán)”，但其均要求數(shù)據(jù)控制者闡明算法分析的過程。(20)See UK Data Protection Act 2018，Chapter 2,Section 14; Irish Data Protection Act 2018，Part 3,Chapter 3,Article 57.法國和匈牙利的相關(guān)法令將“算法解釋權(quán)”納入了規(guī)范范疇，只是在行使的具體要求上略有不同。(21)參見前引〔17〕，Gianclaudio Malgieri文，第21-22頁。甚者，意大利最高上訴法院在判決中直接將“算法是否透明”作為個人信息處理中的“個人同意”是否有效的關(guān)鍵因素。若算法不透明則個人信息主體作出的“同意”歸于無效，對利用算法進(jìn)行自動化決策的手段進(jìn)行嚴(yán)格規(guī)制。(22)See Giorgia Bincoletto,Italy Supreme Court of Cassation on Automated Decision Making: Invalid Consent if an Algorithm is Not Transparent,7 European Data Protection Law Review 248,248-249(2021).

還有學(xué)者傾向于將概念限縮，不稱其為“解釋權(quán)”(right to explanation)而稱其為“知情權(quán)”(right to be informed)，認(rèn)為知情內(nèi)容包括算法系統(tǒng)功能與具體的自動化決策。(23)參見前引〔14〕，Bryan Casey等文，第161頁。但知情權(quán)對應(yīng)的是個人信息處理者的事前告知義務(wù)，披露的時間為收集信息時、處理個人信息前，不包括處理個人信息并作出決策后的情形。(24)See Isak Mendoza,Lee A.Bygrave,The Right Not to Be Subject to Automated Decisions Based on Profiling,in Synodinou et al.ed.,EU Internet Law: Regulation and Enforcement,Springer,2017,p.93.在內(nèi)容上，知情權(quán)旨在披露個人信息處理的主體、目的、內(nèi)容、方式以及享有的訪問權(quán)等權(quán)利，(25)See GDPR Article 13、Article 14；我國《個人信息保護(hù)法》第17條。不包括對具體自動化決策結(jié)果的解釋。我國《個人信息保護(hù)法》第44條規(guī)定個人對其個人信息的處理享有知情權(quán)，并未言明知情的具體內(nèi)容。第17條對告知義務(wù)內(nèi)容的規(guī)定亦不包含針對個人的具體自動化決策。

因此，算法解釋并不等同于算法透明原則項(xiàng)下的知情權(quán)。知情權(quán)的內(nèi)容較算法解釋更為狹窄，不要求“重大影響”作為要件，亦不包含復(fù)雜的事后解釋類型。若不對事前與事后進(jìn)行區(qū)分，統(tǒng)一以知情權(quán)保護(hù)，將會忽略對個人信息處理者商業(yè)秘密的保護(hù)和解釋負(fù)擔(dān)的關(guān)注。在規(guī)范效果上，算法解釋不僅具備與告知義務(wù)類似的事前防御性效果，還有事后救濟(jì)的功能，具體表現(xiàn)為合同領(lǐng)域中義務(wù)不履行責(zé)任的判斷和侵權(quán)責(zé)任領(lǐng)域中過錯的評價。無論是《消費(fèi)者權(quán)益保護(hù)法》中的消費(fèi)者知情權(quán)，還是《個人信息保護(hù)法》中的個人信息主體的知情權(quán)，均無法完全囊括算法解釋的規(guī)范功能。

綜上所述，判斷“算法解釋(權(quán))”是否存在，不應(yīng)拘泥于立法文本的形式表達(dá)，應(yīng)當(dāng)充分結(jié)合背后的規(guī)范目的和價值考量。從《民法典》所采的立場來看，作為一般人格權(quán)條款的第990條第2款以“其他人格權(quán)益”保護(hù)一般人格權(quán)，與該條第1款所規(guī)定的具體人格權(quán)相區(qū)分。(26)參見朱曉峰：《論一般人格權(quán)條款與具體人格權(quán)條款的規(guī)范適用關(guān)系》，載《比較法研究》2021年第3期。個人信息保護(hù)的諸多內(nèi)涵可被納入具體人格權(quán)與一般人格權(quán)益的保護(hù)范疇。因此，在不存在獨(dú)立的個人信息權(quán)的前提下，算法解釋作為保護(hù)個人信息權(quán)益的方式，既不是作為個人信息權(quán)的權(quán)能，也不是作為獨(dú)立的算法解釋權(quán)，其民法性質(zhì)為保護(hù)個人信息法益的非獨(dú)立請求權(quán)。(27)“請求權(quán)有獨(dú)立請求權(quán)與非獨(dú)立請求權(quán)之分，獨(dú)立的請求權(quán)不依賴于其他權(quán)利而獨(dú)自存在，本身即屬于一種權(quán)利，而非獨(dú)立請求權(quán)則是為實(shí)現(xiàn)其他的權(quán)利服務(wù)的。”參見〔德〕卡爾·拉倫茨：《德國民法通論》(上冊)，王曉曄等譯，法律出版社2013年版，第325頁。

進(jìn)一步而言，算法解釋是依附于人格權(quán)保護(hù)體系、為實(shí)現(xiàn)人格利益保護(hù)而服務(wù)的非獨(dú)立請求權(quán)。《個人信息保護(hù)法》第24條第3款和第48條規(guī)定的解釋義務(wù)以及第44條所規(guī)定的“知情權(quán)”存在保護(hù)內(nèi)容上的重合之處，均構(gòu)成個人信息主體在個人信息處理中要求事前知情或者事后解釋的權(quán)益保護(hù)手段。對于《個人信息保護(hù)法》與《民法典》之間的適用關(guān)系，合理的模式應(yīng)為《民法典》人格權(quán)編僅對個人信息保護(hù)作出原則性和轉(zhuǎn)介性的規(guī)定，《個人信息保護(hù)法》對具體問題作出更為細(xì)致的規(guī)范。在《個人信息保護(hù)法》中沒有明文規(guī)定時，才可適用《民法典》中的一般條款。(28)參見王苑：《個人信息保護(hù)在民法中的表達(dá)——兼論民法與個人信息保護(hù)法之關(guān)系》，載《華東政法大學(xué)學(xué)報》2021年第2期；石佳友：《個人信息保護(hù)的私法維度——兼論〈民法典〉與〈個人信息保護(hù)法〉的關(guān)系》，載《比較法研究》2021年第5期。

(二)非獨(dú)立請求權(quán)性質(zhì)下的類型區(qū)分實(shí)益

正如前文所言，若不對算法解釋進(jìn)行事前事后的區(qū)分，可能導(dǎo)致其與知情權(quán)的混淆和對事后救濟(jì)功能的忽視。個人信息屬于人格要素，而保護(hù)人格權(quán)的方式在事前和事后有所區(qū)別，損害產(chǎn)生的事前表現(xiàn)為防御型請求權(quán)，損害產(chǎn)生的事后表現(xiàn)為救濟(jì)型請求權(quán)。因此，值得探討的是：算法解釋作為人格權(quán)保護(hù)項(xiàng)下的非獨(dú)立請求權(quán)，是否應(yīng)參照人格權(quán)保護(hù)方式因事前事后的差異而區(qū)分不同的類型。

GDPR未對算法解釋的性質(zhì)屬于事前解釋還是事后解釋作出明確規(guī)定。(29)參見前引〔3〕，Sandra Wachter等文，第82頁。事前解釋發(fā)生于算法提供者基于用戶同意開始收集個人信息后、自動化決策作出前，決策系統(tǒng)的規(guī)則設(shè)計(jì)可能對個人信息主體權(quán)益產(chǎn)生重大影響。事前解釋提供的信息為系統(tǒng)功能，例如可能被考慮的數(shù)據(jù)類型及特征或決策樹的分級標(biāo)準(zhǔn)等，未具體到個人信息主體。(30)參見前引〔3〕，Sandra Wachter等文，第78頁。事后解釋則發(fā)生在自動化決策已經(jīng)作出，且對個人信息主體的個人權(quán)益產(chǎn)生了重大影響的情形。事后解釋的內(nèi)容既包括系統(tǒng)功能也包括針對個人的具體決策，如某一特定主體被采納的信息類型、個案中納入自動化決策的因素和權(quán)重、對權(quán)益產(chǎn)生的重大影響等。(31)參見前引〔17〕，Gianclaudio Malgieri文，第22-23頁。

與合同法上的保護(hù)義務(wù)以及侵權(quán)責(zé)任領(lǐng)域的交往安全義務(wù)相類似，只有當(dāng)個人信息主體與個人信息處理者進(jìn)入到一定程度的特別結(jié)合關(guān)系中，才可對其施加解釋義務(wù)的負(fù)擔(dān)，不可在尚未開始收集個人信息時即要求作出事前解釋。但我國《個人信息保護(hù)法》第24條第3款忽略了事前解釋與事后解釋在保護(hù)目的和解釋內(nèi)容上的區(qū)別。本文認(rèn)為，應(yīng)作事前解釋和事后解釋的類型區(qū)分，區(qū)分的實(shí)益如下：

首先，事前解釋的功能無法被《個人信息保護(hù)法》第17條的事前告知義務(wù)所涵蓋，該條第1款第2項(xiàng)規(guī)定，個人信息處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個人信息主體告知個人信息的處理目的、處理方式、處理的個人信息種類、保存期限。其中的處理方式僅意味著選擇人為還是自動化決策，(32)參見程嘯：《個人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第179頁。并不要求具體解釋算法系統(tǒng)功能以及算法運(yùn)行規(guī)則?！秱€人信息保護(hù)法》第48條規(guī)定個人信息主體可要求個人信息處理者解釋說明的 “個人信息處理規(guī)則”，與第17條的“處理的方式”亦不相同。

有學(xué)者提出“算法說明義務(wù)”這一概念，認(rèn)為從告知義務(wù)中可推導(dǎo)出“算法說明義務(wù)”，其適用于算法決策的全過程，以避免陷入算法解釋是否為獨(dú)立權(quán)利類型的爭議。算法解釋僅包括自動化決策已經(jīng)對個人權(quán)益產(chǎn)生重大影響的事后解釋，而“算法說明義務(wù)”則不拘泥于“重大影響”這一條件。(33)參見前引〔13〕，呂炳斌文。該觀點(diǎn)存在以下可供商榷之處：第一，“算法說明義務(wù)”是一個較為模糊的概念，其簡單地將“告知義務(wù)”與“算法說明義務(wù)”等同，但無論是《個人信息保護(hù)法》第7條、第14條還是第17條均無法解釋“算法說明義務(wù)”的具體內(nèi)涵。第二，通過模糊概念規(guī)避算法解釋的性質(zhì)分析存在不妥。如前文所述，算法解釋的性質(zhì)應(yīng)為人格權(quán)保護(hù)體系中的非獨(dú)立請求權(quán)?！秱€人信息保護(hù)法》第24條第3款不僅包括事后解釋，亦包括自動化決策作出前的事前解釋。事前解釋與事后解釋在適用要件上有所區(qū)別，前者僅要求“可能的重大影響”，后者要求“已經(jīng)產(chǎn)生重大影響”。第三，前文已述，《個人信息保護(hù)法》第17條規(guī)定的告知義務(wù)僅為事前告知義務(wù)，若將“告知義務(wù)”與“算法說明義務(wù)”等同，則“算法說明義務(wù)”無法包含事后說明的類型。第四，若“算法說明義務(wù)”無需要求“重大影響”這一要件，會過度增加個人信息處理者的解釋負(fù)擔(dān)，不利于個人信息的流通。因此，通過“算法說明義務(wù)”無法否定算法解釋存在事前解釋和事后解釋兩種類型。

其次，事前解釋注重防御性的保護(hù)，目的在于避免抽象的重大影響轉(zhuǎn)化為針對個人的重大影響；事后解釋則注重對已經(jīng)發(fā)生的重大影響作出解釋，并在重大影響轉(zhuǎn)化為損害后對義務(wù)違反及過錯要件進(jìn)行評價。事前解釋作為防御性請求權(quán)，可以為損害實(shí)際產(chǎn)生前的個人信息主體提供預(yù)防性的保護(hù)，尤其是以敏感個人信息為對象的處理行為。這與《民法典》第997條規(guī)定的防御性請求權(quán)的規(guī)范功能相似。該條的根本目的在于為人格權(quán)保護(hù)提供高效、便捷的預(yù)防性保護(hù)措施。(34)參見程嘯：《論我國民法典中的人格權(quán)禁令制度》，載《比較法研究》2021年第3期。對于自動化決策中個人權(quán)益的保護(hù)亦應(yīng)如此。雖然此時損害尚未發(fā)生，但損害賠償帶來的負(fù)擔(dān)不僅僅發(fā)生在具體加害人與受害人之間，還會造成額外的社會支出，預(yù)防損害能夠以最低成本產(chǎn)生最大收益。(35)參見朱巖：《侵權(quán)責(zé)任法通論·總論》，法律出版社2011年版，第107頁；〔奧〕海爾姆特·庫齊奧：《侵權(quán)責(zé)任法的基本問題(第一卷)：德語國家的視角》，朱巖譯，北京大學(xué)出版社2017年版，第78-80頁。不過，事前解釋的適用場景需作限縮，否則會對個人信息處理者造成過重的解釋負(fù)擔(dān)。

再者，區(qū)分事前解釋與事后解釋更有利于實(shí)現(xiàn)對商業(yè)秘密的保護(hù)。在自動化決策作出前，個人權(quán)益尚未受到重大影響，應(yīng)基于比例原則承認(rèn)商業(yè)秘密對解釋請求權(quán)的一般性抗辯?！昂戏ā⒄?dāng)、必要原則”已成為個人信息處理的基本原則(《個人信息保護(hù)法》第5條)，是比例原則在民法中的體現(xiàn)，有益于彌補(bǔ)數(shù)字時代意思自治與契約自由的缺陷。(36)參見劉權(quán)：《論個人信息處理的合法、正當(dāng)、必要原則》，載《法學(xué)家》2021年第5期。比例原則的適用不應(yīng)局限于個人信息處理者的處理行為，還應(yīng)包括對個人信息主體算法解釋請求權(quán)的限制。例如，作為框架權(quán)的一般人格權(quán)的效力弱于具體人格權(quán)，只有通過利益權(quán)衡，才能認(rèn)定是否存在侵害這些權(quán)益的行為。在進(jìn)行利益權(quán)衡時，必須考慮到其他人與此相沖突的權(quán)益。(37)參見〔德〕迪特爾·梅迪庫斯：《德國民法總論》，邵建東譯，法律出版社2013年版，第107頁?；谌烁駲?quán)所衍生的非獨(dú)立請求權(quán)更應(yīng)如此，當(dāng)事前解釋與他人的商業(yè)秘密產(chǎn)生沖突時，由于此時對個人信息主體權(quán)益的重大影響尚未實(shí)際產(chǎn)生，故個人信息處理者的商業(yè)秘密應(yīng)優(yōu)先受到保護(hù)。

正如GDPR序言第63條所指明的，個人信息權(quán)利的行使不應(yīng)對其他主體的合法權(quán)益產(chǎn)生不利影響，尤其是商業(yè)秘密、知識產(chǎn)權(quán)以及軟件版權(quán)。(38)See GDPR Recital 63 sentence 5.實(shí)踐中，多數(shù)個人信息處理者在拒絕作出解釋時給出的理由為“保護(hù)商業(yè)秘密”。如在“盧米斯案”中，上訴法院因“商業(yè)秘密保護(hù)”而拒絕了被告所提出的“打開再犯風(fēng)險評估算法”的請求。(39)See State v.Loomis.881 N.W.2d 749(Wis.2016).在“SCHUFA案”中，當(dāng)事人因較低的自動化信貸評分而失去了借貸機(jī)會，但其在申請?jiān)u估公司公開計(jì)算評分的算法規(guī)則時，同樣被法院以保護(hù)商業(yè)秘密的理由而駁回。(40)Vgl.BGHZ 200,38.算法本身具有客觀性，且往往蘊(yùn)含著商業(yè)秘密，這已成為增強(qiáng)算法問責(zé)制和透明度的主要障礙之一。(41)See Sonia K.Katyal,Private Accountability in the Age of Artificial Intelligence,66 U.C.L.A.Law Review 54,54-59(2019).有觀點(diǎn)認(rèn)為，只有在算法解釋涉及公共利益的情形下才可考慮進(jìn)行公開。(42)See Campbell v Frisbee[2002]EMLR 31；Guido Noto La Diega,Against the Dehumanisation of Decision-Making-Algorithmic Decisions at The Crossroads of Intellectual Property,Data Protection,and Freedom of Information,9 Journal of Intellectual Property,Information Technology and Electronic Commerce Law 3,13(2018).

我國《個人信息保護(hù)法》第48條未對解釋說明的限度、個人信息處理者的抗辯事由作出規(guī)范。在實(shí)踐中，如果缺乏法律的明確規(guī)定，平衡算法解釋與商業(yè)秘密將會面臨較大的困境。(43)See Gianclaudio Malgieri,Trade Secrets v Personal Data: A Possible Solution for Balancing Rights,6 International Data Privacy Law 102,102-106(2016)；前引〔42〕，Guido Noto La Diega文，第14-18頁。商業(yè)秘密保護(hù)有效地在算法中創(chuàng)造了一種不需要公開的財(cái)產(chǎn)權(quán)益，但這并非意味著只要進(jìn)行算法解釋就會不利于商業(yè)秘密的保護(hù)。首先，算法解釋的內(nèi)容并非均屬于商業(yè)秘密的范疇。復(fù)雜的代碼與運(yùn)算模型對于非專業(yè)人員而言并無解釋的實(shí)質(zhì)效果，只有將算法解釋與具體的決策結(jié)果相聯(lián)系，才能夠達(dá)到個人信息主體主張解釋的目的。其次，算法解釋所尋求的是“有法律意義的信息”，通過對解釋對象和解釋內(nèi)容的限制可以規(guī)避侵害商業(yè)秘密的風(fēng)險。在解釋對象上，可針對某些特定群體進(jìn)行小范圍的公開解釋。在解釋內(nèi)容上，無需對核心算法進(jìn)行公開解釋，但至少應(yīng)當(dāng)公開影響算法決策過程的決定性因素及一般操作模式。(44)參見前引〔3〕,Paul Vogel文，第54-55頁。在解釋條件上，限于法律明確規(guī)定的情形或者僅在個案中向單個數(shù)據(jù)主體披露。(45)參見前引〔4〕，解正山文。因此，將可能涉及商業(yè)秘密的解釋內(nèi)容限制在事后解釋的范疇則可避免對個人信息處理者商業(yè)秘密的過度妨害。

綜上所述，應(yīng)以對個人權(quán)益的重大影響或損害實(shí)際發(fā)生的時間為節(jié)點(diǎn)，對算法解釋的類型作出區(qū)分，分為收集信息后決策作出前可能產(chǎn)生重大影響的事前解釋與決策作出后并產(chǎn)生重大影響的事后解釋兩種類型。類似于合同締結(jié)前后雙方當(dāng)事人所承擔(dān)的保護(hù)義務(wù)內(nèi)容與程度的差異，事前解釋的義務(wù)低于事后解釋，以平衡個人信息主體的合法權(quán)益與個人信息處理者的商業(yè)秘密保護(hù)等利益。

二、事前的算法解釋與基于同意的義務(wù)免除

根據(jù)《個人信息保護(hù)法》第24條第3款的規(guī)定，算法解釋需遵循的規(guī)范要件有二：第一，自動化決策?！秱€人信息保護(hù)法》第24條第3款中“拒絕”所指向的是“僅通過自動化決策的方式作出決定”，不包括摻雜人工干預(yù)的自動化決策結(jié)果。第二，該決策對個人權(quán)益有重大影響。個人權(quán)益并不限于個人信息權(quán)益，亦包括《民法典》總則編第5章所規(guī)定的其他民事權(quán)利，如生命權(quán)、身體權(quán)、健康權(quán)、財(cái)產(chǎn)權(quán)等。因此，在事前解釋與事后解釋中，自動化決策方式與個人權(quán)益是兩者的共同要件，但兩者對“重大影響”的判斷并不相同。

(一)敏感個人信息處理中對重大影響的推定

事前解釋中的“重大影響”為“可能的重大影響”。對于“重大影響”這一要件，《個人信息保護(hù)法》第24條第3款與GDPR第22條的規(guī)范表述并不相同。GDPR第22條將數(shù)據(jù)主體不受自動化決策限制的要件列為“對數(shù)據(jù)主體產(chǎn)生法律效力或?qū)ζ湓斐深愃频闹卮笥绊憽?，從文義結(jié)構(gòu)上看，產(chǎn)生法律效力應(yīng)屬于“重大影響”的一種具體表現(xiàn)。我國《個人信息保護(hù)法》第24條第3款僅要求“重大影響”，但從規(guī)范目的而言，“重大影響”應(yīng)包含產(chǎn)生法律效力這一種表現(xiàn)形式。

遍閱《民法典》，并無“重大影響”這樣的表達(dá)，與此類似的僅有《民法典》第496條中的“重大利害關(guān)系”?！爸卮罄﹃P(guān)系”的認(rèn)定可參考《消費(fèi)者權(quán)益保護(hù)法》第26條第1款，如商品或者服務(wù)的數(shù)量和質(zhì)量、價款或者費(fèi)用、履行期限和方式、安全注意事項(xiàng)和風(fēng)險提示、民事責(zé)任等內(nèi)容屬于與消費(fèi)者有重大利害關(guān)系的范疇。通常認(rèn)為，《民法典》第470條規(guī)定的合同一般條款均屬于與當(dāng)事人有重大利害關(guān)系的條款。(46)參見最高人民法院民法典貫徹實(shí)施工作領(lǐng)導(dǎo)小組主編：《中華人民共和國民法典合同編理解與適用》[一]，人民法院出版社2020年版，第246頁。具體到個人信息保護(hù)領(lǐng)域，若個人信息處理者基于同意而實(shí)施個人信息處理行為，“重大利害關(guān)系”不僅表現(xiàn)為同意范圍內(nèi)的事項(xiàng)，而且包括可能對個人信息主體的民事權(quán)利產(chǎn)生重大影響的內(nèi)容。若個人信息處理者基于訂立合同必需而實(shí)施信息處理行為，“重大利害關(guān)系”則主要表現(xiàn)為合同這一基礎(chǔ)關(guān)系所構(gòu)建的權(quán)利義務(wù)關(guān)系。抽象而言，“重大利害關(guān)系”涵括任何對個人信息主體民事權(quán)益產(chǎn)生影響的內(nèi)容。這樣的理解也進(jìn)一步回應(yīng)了“重大影響”應(yīng)該包含“產(chǎn)生法律效力”的解釋。

《個人信息保護(hù)法》第55條及第56條對于個人信息保護(hù)影響評估作出了規(guī)范，要求個人信息處理者在事前應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估，評估的內(nèi)容包含“對個人權(quán)益的影響及安全風(fēng)險”。具體而言，《信息安全技術(shù)個人信息安全影響評估指南》(GB/T 39335—2020)第5.5.1對個人權(quán)益維度進(jìn)行了細(xì)化。對個人權(quán)益的影響可分為以下四類：第一，限制個人自主決定權(quán)，例如無法選擇拒絕個性化廣告的推送，被蓄意推送影響個人價值觀判斷的資訊等。第二，引發(fā)差別性待遇，例如因疾病、婚史、學(xué)籍等信息泄露造成的針對個人權(quán)利的歧視。第三，使個人名譽(yù)受損或遭受精神壓力，例如被他人冒用身份、監(jiān)視追蹤等。第四，人身財(cái)產(chǎn)受損，例如引發(fā)人身傷害、遭受詐騙、勒索等。這些可能對個人權(quán)益產(chǎn)生重大影響的內(nèi)容與《個人信息保護(hù)法》第28條中的“人格尊嚴(yán)受到侵害、人身財(cái)產(chǎn)安全受到危害”高度吻合。因此，在事前解釋中，通過個人信息的敏感度即可推定對個人權(quán)益的重大影響。

從《個人信息保護(hù)法》第28條至第30條的規(guī)定可以明顯看出法律對敏感個人信息的特殊保護(hù)。敏感個人信息是一旦泄露或者非法使用則容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個人信息(《個人信息保護(hù)法》第28條)，在個人信息處理過程中容易對個人權(quán)益產(chǎn)生重大影響?；诖?，個人信息處理者處理敏感個人信息的，應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響，但在一般個人信息的處理中，并未要求個人信息處理者事前告知自動化決策對個人權(quán)益的影響。損害尚未實(shí)際發(fā)生時，對個人信息主體的保護(hù)力度應(yīng)低于損害實(shí)際發(fā)生的時候。因此，需通過區(qū)分個人信息的類型對事前解釋作出限制，事前解釋的對象應(yīng)限于對敏感個人信息的處理行為。非敏感的個人信息一般不會引起對個人權(quán)益的重大影響，且在事前難以證明。若將非敏感的個人信息的處理納入事前解釋的范疇，會對個人信息處理者課加過重的解釋負(fù)擔(dān)。

在符合上述要件后，事前解釋的具體內(nèi)容不僅包括《個人信息保護(hù)法》第17條的內(nèi)容，亦應(yīng)包括向個人信息主體披露自動化決策適用的邏輯和可能的一般性后果。(47)See GDPR Article 13(2)(f)、Article14(2)(g).但個人信息處理者僅需作抽象解釋，并不具體到與相對人有關(guān)的自動化決策結(jié)果。(48)參見前引〔10〕，姜野、李擁軍文。歐洲法院對算法解釋的內(nèi)容采取了較為謹(jǐn)慎的態(tài)度，其指出責(zé)任主體僅需對一般性的信息以可理解的方式作出解釋。(49)See YS v Minister voor Immigratie,Integratie en Asiel(C-141/12)and Minister voor Immigratie,Integratie en Asiel v M,S(C-372/12),ECJ judgment of 17/07/2014 para.50 et seq.事前解釋的目的在于幫助個人信息主體了解預(yù)期或未來的自動化決策，以便在知情的基礎(chǔ)上決定是否允許自己的個人信息被處理、評估自動化處理的合理性或者行使更正權(quán)、反對權(quán)等請求權(quán)。(50)See Sandra Wachter et al.,Counterfactual Explanations without Opening the Black Box: Automated Decisions and the GPDR,31 Harvard Journal of Law & Technology 841,865-867(2018).通過對系統(tǒng)功能等抽象內(nèi)容的解釋，已經(jīng)足夠達(dá)到相應(yīng)的防御效果。(51)See Antoni Roig,Safeguards for the Right not to be Subject to a Decision Based Solely on Automated Processing(Article 22 GDPR),8 European Journal of Law and Technology 1,3(2017).

(二)個人同意與解釋義務(wù)的免除

若個人信息主體事前同意免除個人信息處理者的算法解釋義務(wù)，會對該義務(wù)產(chǎn)生何種影響？免除算法解釋義務(wù)的事前同意與《個人信息保護(hù)法》第13條第1款第1項(xiàng)中規(guī)定的“取得個人的同意”并非等同的概念。前者同意的內(nèi)容為免除將來的算法解釋義務(wù)，是對責(zé)任的免除；而后者僅同意個人信息處理者對個人信息的處理行為，并非對責(zé)任的免除。對于何種情形下能夠免除個人信息處理者的解釋義務(wù)，目前并無細(xì)致的研究，僅有學(xué)者就免除告知義務(wù)主張應(yīng)當(dāng)以個人信息是否直接向信息主體收集作為區(qū)分標(biāo)準(zhǔn)。(52)參見程嘯：《論個人信息處理者的告知義務(wù)》，載《上海政法學(xué)院學(xué)報(法治論叢)》2021年第5期。但這與解釋義務(wù)的免除并不相同，事前告知義務(wù)的內(nèi)容僅可被事前算法解釋所涵括，忽視了事后解釋的類型。無論是告知義務(wù)的免除還是解釋義務(wù)的免除，均屬于對個人信息主體權(quán)益的處分，在適用情形上可參考類似的規(guī)范。

《個人信息保護(hù)法》第24條第3款未對算法解釋請求權(quán)的行使設(shè)置例外。GDPR第22條第2款設(shè)置了3項(xiàng)例外情形，第一項(xiàng)是“該決定為訂立、履行個人作為一方當(dāng)事人的合同所必需”，合同作為雙方當(dāng)事人分配風(fēng)險的工具，若該自動化決策系雙方經(jīng)過自由磋商而訂入合同且合同不存在無效情形，則可視為對抗解釋義務(wù)的事由。第二項(xiàng)是“該決定是由歐盟或其成員國的法律授權(quán)作出的，且該歐盟或其成員國的法律不僅約束控制者，并且明確了保護(hù)數(shù)據(jù)主體權(quán)利、自由和合法利益的適當(dāng)措施由聯(lián)盟或成員國的法律規(guī)定”，此種例外情形是指存在明確的法律授權(quán)保障該自動化決策的實(shí)施，置于我國法律規(guī)范的語境下類似于“法律、行政法規(guī)規(guī)定的其他情形”。如果該自動化決策的決定系為履行法定職責(zé)或者法定義務(wù)所必需，除非該法定職責(zé)或者義務(wù)包含無需針對自動化決策作出解釋的內(nèi)容，一般不允許其直接對抗解釋義務(wù)。但我國《個人信息保護(hù)法》第13條第1款第4、5項(xiàng)的內(nèi)容系基于保護(hù)公共利益的目的而設(shè)置，公共利益的保護(hù)可通過限制個人信息處理者的信息處理行為而實(shí)現(xiàn)，限制個人信息處理者的算法解釋義務(wù)并不能達(dá)到此種規(guī)范目的，因此無需將其作為免除解釋義務(wù)的場合處理。第三項(xiàng)是“該決定基于個人信息主體的明確同意”，此處的“明確同意”與個人信息保護(hù)中的“告知—同意”規(guī)則并不相同?！案嬷狻币?guī)則僅針對《個人信息保護(hù)法》第17條的告知事項(xiàng)，并不包含解釋義務(wù)中所指向的算法規(guī)則與具體決策結(jié)果之間的關(guān)聯(lián)?！懊鞔_同意”的實(shí)質(zhì)為個人信息主體明知自動化所作出的決定可能會或者已經(jīng)對個人權(quán)益產(chǎn)生重大影響仍愿意接受該種結(jié)果的發(fā)生。

關(guān)鍵在于，個人信息主體通過事前同意免除解釋義務(wù)是否有效。個人同意系屬于私主體對自己個人信息權(quán)益的處分，(53)參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學(xué)》2021年第1期。對于個人信息保護(hù)中個人信息主體的“同意”的性質(zhì)，學(xué)界存在諸多爭議，大致為“法律行為許可說”(54)參見劉召成：《人格商業(yè)化利用權(quán)的教義學(xué)構(gòu)造》，載《清華法學(xué)》2014年第3期?！靶磐惺跈?quán)行為說”(55)參見丁曉東：《個人信息權(quán)利的反思與重塑——論個人信息保護(hù)的適用、前提與法益基礎(chǔ)》，載《中外法學(xué)》2020年第2期?！俺掷m(xù)性代理行為說”(56)See Jennifer Barrigar et al.,Let’s Not Get Psyched Out of Privacy: Reflections on Withdrawing Consent to the Collection,Use and Disclosure of Personal Information,44 Canadian Business Law Journal 54,60(2006).等。從民法的角度而言，“同意”的性質(zhì)應(yīng)當(dāng)區(qū)分合同與侵權(quán)不同的場合而定。在合同領(lǐng)域，同意可能成為合同中給付內(nèi)容的一部分。在侵權(quán)領(lǐng)域，同意或可作為免責(zé)事由(受害人同意)免除個人信息處理主體的責(zé)任(發(fā)生在事后解釋的情形下)。(57)參見前引〔53〕，萬方文。

通過事前同意免除解釋義務(wù)的方式分為三種，其一為個人信息處理者提供格式條款排除其解釋義務(wù)，其二為個人信息主體與個人信息處理者磋商達(dá)成免除解釋義務(wù)的約定，其三為個人信息主體單方免除個人信息處理者的解釋義務(wù)。第一種方式較為常見，典型情形為網(wǎng)絡(luò)平臺設(shè)置格式條款，如“用戶若同意上述內(nèi)容，則本平臺無需對自動化決策所作出的決定承擔(dān)解釋責(zé)任”。個人信息主體僅有是否接受免除解釋義務(wù)的選擇空間，并無磋商余地。但格式化條款可能因排除個人信息主體的主要權(quán)利而無效。根據(jù)網(wǎng)絡(luò)平臺對自身解釋義務(wù)減輕或免除的不同程度，分別可能符合《民法典》第497條第2項(xiàng)或第3項(xiàng)，即個人信息處理者通過格式條款不合理地免除或者減輕其責(zé)任、加重對方責(zé)任、限制對方主要權(quán)利和信息處理者直接排除對方主要權(quán)利的情形。個人信息主體對個人信息處理者所享有的算法解釋請求權(quán)是否屬于“主要權(quán)利”？前文雖否定獨(dú)立的算法解釋權(quán)，但算法解釋在合同領(lǐng)域中可輔助主權(quán)利的實(shí)現(xiàn)，對該義務(wù)的違反會造成利用個人信息提供服務(wù)這一主給付義務(wù)的不適當(dāng)履行。因此，對算法解釋的保護(hù)應(yīng)納入該條所規(guī)定的“主要權(quán)利”的范疇。第二種方式是個人信息處理者與個人信息主體通過磋商達(dá)成免除解釋義務(wù)的約定。解釋義務(wù)產(chǎn)生的前提是對個人權(quán)益的重大影響，若此種影響已經(jīng)足以造成對方人身損害或者屬于因故意或重大過失造成對方財(cái)產(chǎn)損失的，則因違反《民法典》第506條而歸于無效。第三種方式是個人信息主體直接單方免除其解釋義務(wù)，其無效的情形與第二種方式相同。

事前同意免除解釋義務(wù)，是否需要嚴(yán)格限定于“明確同意”的情形？若個人信息主體默示同意，是否發(fā)揮相應(yīng)的免除效果？在意思表示的概念中，應(yīng)區(qū)分兩個方面：作為行動的意思表示以及作為客觀邏輯的意義構(gòu)造的意思表示。只有某一舉動本身是被意愿的，才存在一項(xiàng)民法意義上的具有法律重要性的“行動”。(58)參見〔德〕卡爾·拉倫茨：《法律行為解釋之方法——兼論意思表示理論》，范雪飛、吳訓(xùn)祥譯，法律出版社2018年版，第36-37頁。設(shè)置為明確同意的意義在于，自動化決策可能對個人權(quán)益產(chǎn)生重大影響，若被免于解釋，個人信息主體的同意實(shí)際上是對相關(guān)合同責(zé)任或侵權(quán)責(zé)任的豁免，意思表示必須清楚且確定，以避免引起權(quán)利義務(wù)關(guān)系的爭議。對于默示的意思表示，由于在個人信息處理中存在個人信息主體知情權(quán)與個人信息處理者告知義務(wù)的斷層，同意的意思表示本就存在不自由的空間，(59)參見前引〔53〕，萬方文；武騰：《最小必要原則在平臺處理個人信息實(shí)踐中的適用》，載《法學(xué)研究》2021年第6期。若允許默示同意，則難以避免個人信息主體作出含有效力瑕疵的意思表示。

因此，個人信息處理者的解釋義務(wù)不可輕易被事前免除，若自動化決策可能對個人信息主體的權(quán)益產(chǎn)生重大影響，個人信息處理者需對自動化決策的相關(guān)內(nèi)容作出清晰、通俗的解釋。《個人信息保護(hù)法》第24條第3款并未規(guī)定違反該事前解釋義務(wù)的民事責(zé)任，需具體分析：若雙方將解釋義務(wù)訂入合同約定，則依照是否違反合同義務(wù)界定民事責(zé)任；在無合同約定的場合，個人信息主體可拒絕個人信息處理者僅依據(jù)自動化決策作出決定。而事后所產(chǎn)生的解釋義務(wù)以及損害賠償義務(wù)可被免除，原因在于當(dāng)事人可對自己已經(jīng)產(chǎn)生的算法解釋請求權(quán)及損害賠償請求權(quán)予以處分，與事前免除的效果存在本質(zhì)區(qū)別。

三、事后解釋在救濟(jì)體系中的功能與損害賠償

事后解釋中的關(guān)鍵要件是“已經(jīng)對個人權(quán)益產(chǎn)生實(shí)際的重大影響”，且無論是一般個人信息還是敏感個人信息，只要符合該要件即可要求事后解釋。原因在于，重大影響或者損害已經(jīng)實(shí)際產(chǎn)生，既不會對個人信息處理者造成過重的解釋負(fù)擔(dān)，亦有正當(dāng)理由反駁以商業(yè)秘密為抗辯。至于何種結(jié)果構(gòu)成“重大影響”，需在合同或侵權(quán)等不同場域分別判斷。在重大影響已經(jīng)實(shí)際產(chǎn)生的情況下，事后解釋并不能發(fā)揮完全的救濟(jì)效果，需輔之損害賠償責(zé)任。

(一)事后解釋中的重大影響

事后解釋中重大影響的典型一般為不當(dāng)處理個人信息，導(dǎo)致個人在工作機(jī)會、金融安排等方面遭受負(fù)面影響。(60)See Christopher Kuner et al.,The EU General Data Protection Regulation(GDPR)A Commentary,Oxford University Press,2020,p.523,666.一方面包括自動化決策對個人信息主體的法律地位或合同權(quán)利等產(chǎn)生影響，如合同撤銷、社會福利喪失、被拒絕給予公民身份等；另一方面也包括個人的法律權(quán)利或義務(wù)未因自動化決策而改變，但是該決策對個人的境遇、行為或選擇產(chǎn)生顯著影響，或?qū)е缕湟蚱缫暠慌懦谀撤N機(jī)會之外(如金融服務(wù)、就業(yè)或者教育機(jī)會喪失)。(61)See A29WP: A29 WP,Guidelines on Automated Individual Decision-Making and Profiling for the Purposes of Regulation 2016/679,17/EN.WP 251rev.01(Feb.6,2018).但根據(jù)《個人信息保護(hù)法》第24條第3款的文義，“重大影響”并未限定于不利影響的層面，即便是產(chǎn)生有利的重大影響，個人信息主體仍有選擇是否接受的自由。

鑒于上述討論，何種行為可被評價為“對個人權(quán)益已經(jīng)產(chǎn)生重大影響”乃問題的核心。個人權(quán)益的認(rèn)定與影響是否重大存在直接的關(guān)聯(lián)，該問題可轉(zhuǎn)化為如何認(rèn)定構(gòu)成重大影響的個人權(quán)益。在合同關(guān)系中，個人信息處理對個人權(quán)益產(chǎn)生重大影響的典型表現(xiàn)為個人信息處理的格式條款，網(wǎng)絡(luò)平臺多基于此聲明有權(quán)對個人信息進(jìn)行收集、存儲、使用等。因此，對《民法典》第497條中“主要權(quán)利”的判斷可資借鑒，但何為“主要權(quán)利”，需要根據(jù)合同性質(zhì)本身確定，不僅僅關(guān)注雙方當(dāng)事人簽訂合同的內(nèi)容，而應(yīng)就合同本身的性質(zhì)來考察。(62)參見前引〔46〕，最高人民法院民法典貫徹實(shí)施工作領(lǐng)導(dǎo)小組主編書，第253頁?！爸饕獧?quán)利”不可簡單地解釋為法律規(guī)定的權(quán)利，或由法院基于公平原則進(jìn)行自由裁量所認(rèn)定的權(quán)利。(63)參見楊顯濱：《網(wǎng)絡(luò)平臺個人信息處理格式條款的效力認(rèn)定》，載《政治與法律》2021年第4期。因此，“對個人權(quán)益已經(jīng)產(chǎn)生重大影響”在合同領(lǐng)域表現(xiàn)為違反主給付義務(wù)以及違反其他給付義務(wù)導(dǎo)致個人權(quán)益遭受損害，在侵權(quán)領(lǐng)域表現(xiàn)為對個人信息主體主要權(quán)利造成損害。

由于此時影響已經(jīng)實(shí)際產(chǎn)生，對于影響程度的判斷相較于事前解釋中對重大影響的推定更為容易且準(zhǔn)確。依據(jù)《信息安全技術(shù)個人信息安全影響評估指南》(GB/T 39335—2020)中所提供的個人權(quán)益影響程度判定準(zhǔn)則，可以個人信息主體所遭受的困擾程度、付出的成本、生理疾病、財(cái)產(chǎn)權(quán)益損害、信用名譽(yù)損害等作為標(biāo)準(zhǔn)判斷影響的嚴(yán)重程度。若該自動化決策行為使得個人信息主體遭受詐騙、信用評分和名譽(yù)受損、失去工作機(jī)會、產(chǎn)生生理疾病等，則可被評價為對個人權(quán)益產(chǎn)生了重大影響。當(dāng)然，這些情況在限制個人自主決定權(quán)、引發(fā)差別性待遇、人身財(cái)產(chǎn)受損等不同場景中存在不同的表現(xiàn)，需具體判斷。若只是對個人信息主體造成了精神上的厭煩與惱怒情緒，則僅被評價為低程度的影響，不符合要求事后解釋的要件。

在事后解釋中，算法控制者應(yīng)當(dāng)向個人信息主體披露的信息不限于算法系統(tǒng)功能的一般性事前解釋，而應(yīng)對具體的算法決策結(jié)果予以說明，如基礎(chǔ)性數(shù)據(jù)、算法規(guī)則、決策結(jié)果三者之間的關(guān)聯(lián)性。(64)See GDPR Article 15(1)(h).可能面臨的困境在于，打開“算法黑箱”不可避免地涉及對定義代碼和算法規(guī)則的專業(yè)解釋，高維機(jī)器學(xué)習(xí)人類解釋風(fēng)格在技術(shù)素養(yǎng)方面的差異造成了算法透明度的一大障礙。(65)See Bryce Goodman,Seth Flaxman,European Union Regulations on Algorithmic Decision-Making and a Right to Explanation,38 AI Magazine 50,55(2017).此時需要由該自動化決策所涉及的具體領(lǐng)域的專業(yè)人士作出闡釋，如醫(yī)療服務(wù)者可以解釋手術(shù)與輻射治療的差異，對每個技術(shù)細(xì)節(jié)進(jìn)行解釋，(66)See Tae Wan Kim,Bryan R.Routledge,Informational Privacy,A Right to Explanation,and Interpretable AI,in 2018 IEEE Symposium on Privacy-Aware Computing(PAC),IEEE,2018,pp.64-74.以輔助判斷決策作出的正當(dāng)性。

(二)損害賠償認(rèn)定中的算法解釋

事后履行解釋義務(wù)所發(fā)揮的效果弱于事前解釋的防御效果，需要輔之以拒絕、刪除，以及合同和侵權(quán)領(lǐng)域的損害賠償責(zé)任?！秱€人信息保護(hù)法》第24條第3款賦予了個人信息主體對僅通過自動化決策作出決定予以拒絕的請求權(quán)，主張拒絕的要件應(yīng)為該決定對個人權(quán)益產(chǎn)生了重大影響。因此，個人信息主體有權(quán)要求個人信息處理者予以解釋說明，在個人信息處理者違反解釋義務(wù)時，個人信息主體可主張拒絕僅受該自動化決策結(jié)果約束，亦可根據(jù)《個人信息保護(hù)法》第47條第1款第4項(xiàng)的規(guī)定主張刪除。但“拒絕+刪除”的處理模式僅能面向?qū)懋a(chǎn)生保護(hù)效力，并不能有效救濟(jì)已經(jīng)遭受重大影響的個人權(quán)益。

存在重大影響但未造成實(shí)際損害的情形下，個人信息主體僅可主張算法解釋，存在重大影響且損害已經(jīng)實(shí)際發(fā)生的情形則需在主張算法解釋后，在個人信息處理者未對該行為作出合理解釋的情況下才能主張損害賠償。是否能夠輔之以合同或者侵權(quán)責(zé)任意義上的損害賠償請求權(quán)，關(guān)鍵在于判斷重大影響的結(jié)果是否能夠被評價為法律意義上的損害。(67)參見王澤鑒：《損害賠償》，北京大學(xué)出版社2017年版，第62頁。依《個人信息保護(hù)法》第24條第1款的規(guī)定，個人信息處理者不得對個人在交易價格等交易條件上實(shí)行不合理的差別待遇。此種差別待遇構(gòu)成價格歧視，在合同關(guān)系領(lǐng)域可能構(gòu)成欺詐或者顯失公平，其損害的是個人信息主體的財(cái)產(chǎn)權(quán)益。但該條第2款所提及的信息推送、商業(yè)營銷等針對個人特征的選項(xiàng)若未采取濫用市場支配地位、故意悖俗地使用算法造成排除、限制競爭或者損害消費(fèi)者福利等行為時，不可被直接認(rèn)定為對個人信息主體構(gòu)成了損害。因此，是否能夠主張合同或者侵權(quán)責(zé)任上的損害賠償請求權(quán)，需根據(jù)《民法典》第584條或第1182條至1185條的規(guī)定具體判斷。

“未合理履行算法解釋義務(wù)”這一行為在合同法上與侵權(quán)法上的評價存在區(qū)別。在傳統(tǒng)民法中，侵權(quán)行為與違約行為均為債的發(fā)生原因，前者產(chǎn)生法定之債，后者產(chǎn)生意定之債。(68)參見程嘯：《侵權(quán)責(zé)任法》(第3版)，法律出版社2021年版，第79頁。從用戶角度出發(fā)，數(shù)據(jù)活動關(guān)系人可通過用戶協(xié)議(個人信息授權(quán)合同)的方式建立數(shù)據(jù)收集、利用的債之關(guān)系。(69)參見龍衛(wèi)球：《數(shù)據(jù)新型財(cái)產(chǎn)權(quán)構(gòu)建及其體系研究》，載《政法論壇》2017 年第4期。如在定制信息推送、智能投顧、搜索引擎等典型場合，算法提供者的主給付義務(wù)在于為個人提供上述核心服務(wù)功能，而算法解釋旨在避免算法決策對當(dāng)事人的個人權(quán)益產(chǎn)生重大影響，可被合同關(guān)系中的保護(hù)義務(wù)所涵蓋。(70)對于“給付義務(wù)—保護(hù)義務(wù)”這一分類，參見張家勇：《合同法與侵權(quán)法中間領(lǐng)域調(diào)整模式研究——以制度互動的實(shí)證分析為中心》，北京大學(xué)出版社2016年版，第199-200頁。算法解釋義務(wù)在合同領(lǐng)域表現(xiàn)為對合同履行行為符合雙方締約目的的解釋義務(wù)。若個人信息處理者未能解釋對個人權(quán)益產(chǎn)生重大影響的自動化決策條款或者自動化決策結(jié)果，則分別導(dǎo)致該條款未被訂入合同或個人信息處理者承擔(dān)相應(yīng)違約責(zé)任的后果。有觀點(diǎn)認(rèn)為算法服務(wù)提供者的算法解釋屬于合同法上的從給付義務(wù)與附隨義務(wù)，(71)參見魯春雅：《自動化決策的算法解釋權(quán)——以合同義務(wù)為視角》，載《中國社會科學(xué)報》2020年12月23日，第4版。實(shí)際上也是承認(rèn)算法解釋作為合同義務(wù)保護(hù)當(dāng)事人合法權(quán)益的本質(zhì)。

因此，當(dāng)個人信息處理者與個人信息主體處于合同關(guān)系中時，“未合理履行算法解釋義務(wù)”應(yīng)被評價為債務(wù)不履行。當(dāng)事人將“自動化決策決定對個人權(quán)益產(chǎn)生重大影響則可要求個人信息處理者作出解釋”訂入合同條款并不能將解釋義務(wù)的性質(zhì)劃定為合同的主給付義務(wù)。原因在于，合同的主給付義務(wù)內(nèi)容為個人信息主體按要求提供相關(guān)個人信息并獲得服務(wù)，個人信息處理者依據(jù)個人信息主體提供的個人信息作出自動化決策并提供服務(wù)。但算法解釋義務(wù)與主給付義務(wù)內(nèi)容密切相關(guān)，其性質(zhì)為合同保護(hù)義務(wù)，對該義務(wù)的違反亦構(gòu)成主給付義務(wù)的不適當(dāng)履行，個人信息主體可據(jù)此主張違約損害賠償。

在個人信息處理者與個人信息主體并未進(jìn)入合同這一特別結(jié)合關(guān)系時，“未合理履行算法解釋義務(wù)”不可被評價為侵權(quán)法上的“侵權(quán)行為”，而應(yīng)被評價為“過錯”。對于侵權(quán)請求權(quán)中“過錯”要件的舉證需通過算法解釋輔助說明，如個人信息處理者無法解釋或者拒絕解釋則應(yīng)推定個人信息處理者存在過錯。侵權(quán)行為所違反的是法定義務(wù)、絕對義務(wù)，(72)絕對義務(wù)是指個人具有與不定數(shù)目的人或其他所有人有關(guān)的義務(wù)。參見〔奧〕凱爾森：《法與國家的一般理論》，沈宗靈譯，商務(wù)印書館2013年版，第140頁。侵害的對象一般為絕對權(quán)。算法解釋義務(wù)作為人格權(quán)所衍生的非獨(dú)立性請求權(quán)，并不具有絕對義務(wù)的性質(zhì)。違反算法解釋義務(wù)本身并非侵權(quán)行為，對個人權(quán)益造成重大不利影響的個人信息處理才屬于個人信息保護(hù)中的侵權(quán)行為。需要注意的是，《個人信息保護(hù)法》第24條第3款所規(guī)定的“個人權(quán)益”并不僅限于個人信息權(quán)益，亦包括其他權(quán)益。典型如算法處理個人信息過程中對個體的信用評級造成重大不利影響，侵害了信用權(quán)(《民法典》第1029條)。因此，應(yīng)將“未合理履行算法解釋義務(wù)”評價為過錯，但需要厘清的是歸責(zé)原則為一般的過錯責(zé)任原則還是過錯推定責(zé)任，這與舉證責(zé)任的分配以及不利后果的承擔(dān)密切相關(guān)。

本文從民法體系出發(fā)，將個人信息處理關(guān)系限定在采用自動化決策的非公務(wù)機(jī)關(guān)與個人信息主體之間。在此種關(guān)系類型中，雙方當(dāng)事人在舉證責(zé)任和訴訟能力上的差異主要是由“自動化決策技術(shù)”造成的，若采用一般過錯歸責(zé)原則，鑒于自動化決策技術(shù)中蘊(yùn)藏的算法復(fù)雜性，可能會對個人信息主體課加過重的舉證負(fù)擔(dān)，(73)有法院認(rèn)為：“從收集證據(jù)的資金、技術(shù)等成本上看，作為普通人的龐理鵬根本不具備對東航、趣拿公司內(nèi)部數(shù)據(jù)信息管理是否存在漏洞等情況進(jìn)行舉證證明的能力?！北本┦械谝恢屑壢嗣穹ㄔ?2017)京01民終509號民事判決書。因此應(yīng)采過錯推定原則。(74)參見葉名怡：《個人信息的侵權(quán)法保護(hù)》，載《法學(xué)研究》2018年第4期。《個人信息保護(hù)法》第69條第1款規(guī)定了個人信息權(quán)益致害以過錯推定原則歸責(zé)，(75)參見前引〔32〕，程嘯書，第506頁。處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任，目的在于維持權(quán)益保護(hù)與產(chǎn)業(yè)發(fā)展的平衡。(76)參見謝鴻飛：《個人信息泄露侵權(quán)責(zé)任構(gòu)成中的“損害”——兼論風(fēng)險社會中損害的觀念化》，載《國家檢察官學(xué)院學(xué)報》2021年第5期。雖然個人信息侵權(quán)中的損害具有無形性、潛伏性、未知性等諸多與傳統(tǒng)侵權(quán)場域不同的特殊性，(77)參見田野：《風(fēng)險作為損害：大數(shù)據(jù)時代侵權(quán)“損害”概念的革新》，載《政治與法律》2021年第10期。但在自動化決策處理個人信息的場合，關(guān)鍵在于證明算法規(guī)則具有合理性且未對個人權(quán)益產(chǎn)生重大不利影響，以算法解釋作為評價個人信息處理者過錯的衡量標(biāo)準(zhǔn)?！安荒茏C明自己沒有過錯的”不僅包括個人信息處理者履行解釋義務(wù)后無法證明決策結(jié)果合理性的情形，亦包括個人信息處理者拒絕履行算法解釋義務(wù)的情形，拒絕解釋視為放棄舉證而直接負(fù)擔(dān)不利后果。

值得討論的是，是否需對敏感個人信息與非敏感個人信息的歸責(zé)原則作區(qū)分處理。有觀點(diǎn)認(rèn)為處理敏感個人信息應(yīng)適用無過錯責(zé)任，處理非敏感個人信息適用過錯推定責(zé)任，原因在于敏感個人信息的處理行為開啟了危險源，處理者對處理行為具有控制力，應(yīng)承擔(dān)更嚴(yán)格的責(zé)任。(78)參見程嘯：《侵害個人信息權(quán)益的侵權(quán)責(zé)任》，載《中國法律評論》2021年第5期。在本文的語境下，個人信息處理為私主體之間的關(guān)系，并不包括公務(wù)機(jī)關(guān)，雙方對于危險控制的差異在于算法技術(shù)的控制權(quán)，采用過錯推定責(zé)任已經(jīng)對個人信息處理者設(shè)定了自律機(jī)制，以增強(qiáng)其處理過程中的責(zé)任心。(79)參見申衛(wèi)星：《論個人信息保護(hù)與利用的平衡》，載《中國法律評論》2021年第5期。對敏感個人信息與非敏感個人信息的區(qū)別保護(hù)可通過調(diào)整算法解釋義務(wù)即舉證責(zé)任的方式實(shí)現(xiàn)。在敏感個人信息處理的場合，個人信息處理者的舉證責(zé)任更重，原因在于敏感個人信息相較于一般個人信息更容易在處理過程中受到侵害，對算法規(guī)則設(shè)計(jì)的合理性要求更高。若在敏感個人信息處理中適用無過錯原則，相當(dāng)于將處理敏感個人信息的行為直接視為危險責(zé)任，既是對算法解釋義務(wù)作為過錯評價功能的忽視，亦不利于解決個人信息流通與個人信息保護(hù)之間的利益沖突。綜上，若個人信息處理者拒絕履行解釋義務(wù)或者履行解釋義務(wù)后并不能證明其無過錯，則損害賠償?shù)牟焕蠊善涑袚?dān)。至于損害賠償?shù)姆秶?，依《個人信息保護(hù)法》第69條第2款具體確定，賠償范圍包括財(cái)產(chǎn)損害與精神損害。

四、結(jié) 論

現(xiàn)代性正以前所未有的方式，把我們拋離了所有類型的社會秩序的軌道，從而形成了其生活形態(tài)。這一點(diǎn)在技術(shù)方面表現(xiàn)得尤為顯著，并逐漸滲透至其他領(lǐng)域，引發(fā)信任與風(fēng)險的緊張關(guān)系。(80)參見〔英〕安東尼·吉登斯：《現(xiàn)代性的后果》，田禾譯，譯林出版社2011年版，第4-8頁。個人信息應(yīng)作為人格中純粹的一部分，不可簡單地淪為促進(jìn)他人增益或者實(shí)現(xiàn)社會目的的手段。從民法體系的視角觀察，算法解釋背后所保護(hù)的個人信息權(quán)益應(yīng)為人格權(quán)益，算法解釋請求權(quán)的本質(zhì)是為人格權(quán)服務(wù)的非獨(dú)立請求權(quán)。在合同關(guān)系領(lǐng)域，算法解釋可納入合同保護(hù)義務(wù)的范疇以助于主給付義務(wù)的履行，個人信息處理者可能因違反解釋義務(wù)承擔(dān)相應(yīng)的違約責(zé)任。在侵權(quán)領(lǐng)域，算法解釋則作為過錯評價的要素發(fā)揮作用，即自動化決策對個人權(quán)益產(chǎn)生重大影響可否被評價為侵權(quán)行為，需以個人信息處理者履行算法解釋義務(wù)的結(jié)果作為輔助判斷的標(biāo)準(zhǔn)。

為緩解個人信息權(quán)益保護(hù)與個人信息利用之間的緊張關(guān)系，算法解釋應(yīng)區(qū)分為事前解釋與事后解釋兩種類型。事前解釋僅適用于敏感個人信息的自動化決策場合，因?yàn)樵谑虑盁o法對一般個人信息是否產(chǎn)生重大影響作出準(zhǔn)確的判斷，而敏感個人信息的處理基于其個人信息類型的敏感度即可推定出可能會對個人權(quán)益產(chǎn)生重大影響。重大影響實(shí)際產(chǎn)生后的事后解釋則無需區(qū)分個人信息的敏感程度。此時若產(chǎn)生了損害，單純的事后解釋與“拒絕+刪除”模式并不能發(fā)揮全面的救濟(jì)功能，需輔助以合同法或者侵權(quán)責(zé)任上的損害賠償責(zé)任。是否承擔(dān)合同損害賠償責(zé)任取決于是否違反合同義務(wù)。在侵權(quán)損害賠償中，若個人信息處理者無法解釋或者拒絕解釋則推定其存在過錯并承擔(dān)不利后果。