石佳友 曾 佳
自1969年美國通過《國家環(huán)境政策法案》以來①,影響評估作為一種工具被普遍運(yùn)用于多個領(lǐng)域,包括環(huán)境、量刑、人權(quán)、警務(wù)技術(shù)、監(jiān)控,以及隱私保護(hù)、數(shù)據(jù)保護(hù)和算法決策等。②影響評估設(shè)計目標(biāo)在于讓項目開發(fā)人員在各種決策實施之前,使用他們的專業(yè)知識來評估項目在未來可能產(chǎn)生的影響,以達(dá)到消除或減輕任何預(yù)期的有害影響而不是事后糾正的目的。[1]
2021年11月1日生效實施的《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)是我國第一部在個人信息保護(hù)領(lǐng)域的綜合性立法,其第55條明確提出了個人信息處理者在開展個人信息處理活動前應(yīng)進(jìn)行個人信息保護(hù)影響評估。據(jù)此,個人信息處理者如何開展個人信息保護(hù)影響評估,成為個人信息保護(hù)的又一要點。
《個人信息保護(hù)法》第55條規(guī)定的個人信息保護(hù)影響評估制度被認(rèn)為借鑒自歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)第35條規(guī)定的數(shù)據(jù)保護(hù)影響評估制度(Data Protection Impact Assessment,DPIA),與此相類似,國際上較為普遍運(yùn)用的還有隱私影響評估(Privacy Impact Assessment,PIA)③和算法影響評估(Algorithmic Impact Assessment,AIA)④。有觀點認(rèn)為,數(shù)據(jù)保護(hù)影響評估由隱私影響評估演化而來,是為適應(yīng)大數(shù)據(jù)、人工智能等新興技術(shù)的發(fā)展而對評估主體、評估對象等方面進(jìn)行擴(kuò)展和調(diào)整的結(jié)果。而數(shù)據(jù)保護(hù)影響評估與算法影響評估雖然有制度范圍、廣度的差別,但在大多數(shù)語境下指向內(nèi)涵相同。[2]另一種觀點認(rèn)為,數(shù)據(jù)保護(hù)影響評估與算法影響評估的制度設(shè)計存在諸多不同之處,構(gòu)成相輔相成、互為補(bǔ)充的關(guān)系。[3]還有文獻(xiàn)對此未加以區(qū)分,默認(rèn)將這些被冠以不同名稱的影響評估作為相同的制度。[4]
由此可見,當(dāng)前數(shù)據(jù)處理領(lǐng)域被普遍運(yùn)用的幾種影響評估制度定位較為模糊。本文擬在對比隱私影響評估、數(shù)據(jù)保護(hù)影響評估、算法影響評估各自制度目的、規(guī)范功能、核心機(jī)理的基礎(chǔ)上,明確《個人信息保護(hù)法》第55條個人信息保護(hù)影響評估的制度定位,挖掘提煉我國個人信息保護(hù)影響評估制度的薄弱點,并探尋更具效率和效能的實現(xiàn)方案,促進(jìn)其功能的有效發(fā)揮。
隱私保護(hù)一直是人們關(guān)注的主要話題,人工智能、大數(shù)據(jù)等新興技術(shù)的發(fā)展極大地增強(qiáng)了入侵隱私的能力,使得隱私獲取性更高、隱私侵犯方式隱蔽性更強(qiáng)。[5]因此查明造成隱私受侵害因素方法的需求更加迫切。一旦項目或者行為開始實施,再識別隱私風(fēng)險將會花費更高的成本且非常困難。對于風(fēng)險的識別應(yīng)在項目的設(shè)計和實施之前進(jìn)行,或至少在設(shè)計和實施的同時進(jìn)行,這類活動通常被稱為“隱私影響評估”。隱私影響評估肇始于20世紀(jì)70年代,于20世紀(jì)90年代在世界各地興起,隨后被應(yīng)用于政府服務(wù)領(lǐng)域,如1996年美國國稅局發(fā)布隱私影響評估報告⑤,1999年安大略省管理委員會秘書處發(fā)布隱私影響評估指南,要求省政府部門在新信息技術(shù)和互聯(lián)網(wǎng)技術(shù)項目的提案中應(yīng)用隱私影響評估。隨后,新西蘭、澳大利亞、英國、美國、歐盟等多個國家和地區(qū)相繼建立起針對信息技術(shù)項目、電子信息系統(tǒng)的隱私影響評估制度。[6]
一般認(rèn)為隱私影響評估是“評估提案對隱私影響的系統(tǒng)過程”⑥。隱私影響評估作為風(fēng)險管理工具,旨在使組織在系統(tǒng)開發(fā)及運(yùn)用的整個生命周期中,徹底地分析特定項目或系統(tǒng)將如何影響相關(guān)個人的隱私,幫助組織妥善識別和考慮處理行為可能帶來的隱私風(fēng)險,并確定最有效的解決方法。⑦一個有效的隱私影響評估使得組織在早期階段識別和解決潛在的問題,減少相關(guān)成本和可能發(fā)生的聲譽(yù)損害。不同于其他風(fēng)險管理策略,隱私影響評估具有如下關(guān)鍵特征:隱私影響評估是依托于單個項目,而非針對一個組織進(jìn)行的評估(即隱私影響評估不同于組織隱私策略);隱私影響評估是在項目規(guī)劃之前或與之并行進(jìn)行,本質(zhì)上具有預(yù)期性、前瞻性,而不是回溯性(即隱私影響評估不同于隱私審核);隱私影響評估對象廣泛,包括個人行為隱私、通信隱私以及信息隱私等(即隱私影響評估不同于一個純粹的數(shù)據(jù)隱私影響評估);隱私影響評估考量因素廣泛,不僅考慮主辦機(jī)構(gòu)以及主辦機(jī)構(gòu)的戰(zhàn)略合作伙伴的利益,還考慮受影響的群體的利益(即隱私影響評估不同于內(nèi)部成本/效益分析或內(nèi)部風(fēng)險評估);隱私影響評估面向解決方案,不僅是隱私問題分析,而且著重于消除或降低風(fēng)險。[7]
長期以來,隱私負(fù)面影響的暴露所帶來的壓力累積,迫使組織和立法機(jī)構(gòu)采取行動。對于公眾來說,隱私影響評估作為一個在政治上代表處于弱勢的“公眾利益”的技術(shù),無法與企業(yè)和政府主導(dǎo)的潮流相抗衡。只有提高公眾對侵犯隱私的信息技術(shù)爆炸式增長以及企業(yè)和政府機(jī)構(gòu)通過數(shù)據(jù)、算法聚集的巨大權(quán)力的認(rèn)識,才能促進(jìn)風(fēng)險管理工具的運(yùn)用。面對在技術(shù)和系統(tǒng)上的大量投資無法獲得回報的風(fēng)險,信息處理者不得不反思如何更好地維護(hù)自己的利益。由此隱私影響評估被用作風(fēng)險管理工具,以識別可以避免或減輕的項目中侵犯隱私的風(fēng)險。
《通用數(shù)據(jù)保護(hù)條例》第35條要求私營和公共部門在進(jìn)行數(shù)據(jù)處理前都必須遵守進(jìn)行數(shù)據(jù)保護(hù)影響評估的要求。對于違反第35條的行為,《通用數(shù)據(jù)保護(hù)條例》第83(4)條規(guī)定了高額的行政罰款,以督促數(shù)據(jù)處理者對數(shù)據(jù)保護(hù)影響評估義務(wù)的遵守。2017年4月4日,第29條數(shù)據(jù)保護(hù)工作組——現(xiàn)為歐洲數(shù)據(jù)保護(hù)委員會——通過《數(shù)據(jù)保護(hù)影響評估指南》(以下簡稱《指南》),闡明了對保證第35條有效實施至關(guān)重要的若干要素,印證了數(shù)據(jù)保護(hù)影響評估是《通用數(shù)據(jù)保護(hù)條例》實施過程中的熱點問題之一。
《通用數(shù)據(jù)保護(hù)條例》第35條要求數(shù)據(jù)控制者在考慮數(shù)據(jù)處理性質(zhì)、范圍、情境、目的之后,如認(rèn)為數(shù)據(jù)處理,特別是采用新技術(shù)的處理,很可能會對自然人的權(quán)利與自由帶來高風(fēng)險時,應(yīng)在處理前開展數(shù)據(jù)保護(hù)影響評估,督促數(shù)據(jù)控制者主動考慮風(fēng)險并提出降低風(fēng)險的方案。該條第3款還提出了三項應(yīng)當(dāng)進(jìn)行數(shù)據(jù)保護(hù)影響評估的具體情形,包括自動化數(shù)據(jù)處理決策對自然人產(chǎn)生法律影響或類似重大影響;對特定類別的數(shù)據(jù)進(jìn)行大規(guī)模處理,或處理與刑事犯罪和刑事起訴相關(guān)的個人數(shù)據(jù);對公開區(qū)域進(jìn)行大規(guī)模、系統(tǒng)性監(jiān)控。
第35條與《通用數(shù)據(jù)保護(hù)條例》第24、25、36條形成體系上的照應(yīng)。第24條提出了應(yīng)對數(shù)據(jù)處理風(fēng)險的一般性規(guī)定,要求數(shù)據(jù)控制者考慮到個人數(shù)據(jù)處理的性質(zhì)、范圍、情境、目的,以及對自然人權(quán)利和自由的不同程度和大小的風(fēng)險,采取合適的技術(shù)和組織方面的措施,以保證數(shù)據(jù)處理符合《通用數(shù)據(jù)保護(hù)條例》的規(guī)定,并且應(yīng)當(dāng)及時評估和更新前述措施,確保措施與數(shù)據(jù)處理的風(fēng)險合乎比例。第25條設(shè)計和默認(rèn)數(shù)據(jù)保護(hù)的規(guī)則確立了在制定數(shù)據(jù)處理的計劃和實際處理數(shù)據(jù)期間采取某些行動的必要性,解釋了為何須在處理個人資料之前進(jìn)行數(shù)據(jù)保護(hù)影響評估。數(shù)據(jù)保護(hù)影響評估將確保個人數(shù)據(jù)被處理時,自然人的權(quán)利和自由被納入考量,通過技術(shù)、程序等方面的設(shè)計消除或減輕風(fēng)險。此外,第36條明確,如數(shù)據(jù)保護(hù)影響評估表明,數(shù)據(jù)控制者不采取額外措施,數(shù)據(jù)處理將引發(fā)較高風(fēng)險的,數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理開始前,征求數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的意見?!锻ㄓ脭?shù)據(jù)保護(hù)條例》生效后作出的處罰第一案中,學(xué)校采用人臉識別技術(shù)作為學(xué)生考勤的工具,學(xué)校事先未就數(shù)據(jù)處理行為對數(shù)據(jù)主體的權(quán)利和自由產(chǎn)生的影響作出評估,也未提出相應(yīng)的風(fēng)險應(yīng)對措施,因而被認(rèn)定構(gòu)成對第35、36條中關(guān)于數(shù)據(jù)保護(hù)影響評估和事先征求意見規(guī)定的違反。⑧
根據(jù)《通用數(shù)據(jù)保護(hù)條例》的要求和《指南》的解釋,一個完整的數(shù)據(jù)保護(hù)影響評估過程大概包含如下步驟:首先是確定實施數(shù)據(jù)保護(hù)影響評估的必要性,數(shù)據(jù)處理操作超過“高風(fēng)險”閾值是觸發(fā)數(shù)據(jù)保護(hù)影響評估的前提;其次數(shù)據(jù)控制者需要系統(tǒng)地描述數(shù)據(jù)處理的目的,識別哪些數(shù)據(jù)正在或?qū)⒃谖磥肀惶幚?,并為這種處理提供理由;接下來數(shù)據(jù)控制者還需進(jìn)行與目的相關(guān)的處理操作的必要性和相稱性的評估,即評估數(shù)據(jù)處理是否依據(jù)《通用數(shù)據(jù)保護(hù)條例》“合法、公平和透明”“目的限制”“數(shù)據(jù)最小化” “存儲限制”等的規(guī)定。上述流程的鋪墊主要是為了識別數(shù)據(jù)處理可能對自然人權(quán)利和自由造成的每一種風(fēng)險,評估風(fēng)險的來源、性質(zhì)、特殊性和嚴(yán)重性,同時考慮處理的范圍、背景和目的以及風(fēng)險的來源;接下來則是確定可以消除或減輕前一步中發(fā)現(xiàn)的風(fēng)險的補(bǔ)救措施,將風(fēng)險實現(xiàn)的概率最小化;在適當(dāng)?shù)臅r候征求數(shù)據(jù)保護(hù)官、數(shù)據(jù)主體或其代表的意見;生成一份關(guān)于數(shù)據(jù)保護(hù)影響評估的報告,并監(jiān)控處理過程是否符合風(fēng)險的變化。[8]
《指南》極為強(qiáng)調(diào)數(shù)據(jù)保護(hù)影響評估的靈活性和動態(tài)性,提供了數(shù)據(jù)保護(hù)影響評估步驟的最低要求,數(shù)據(jù)控制者可以自由選擇他們認(rèn)為最合適的方法。具體體現(xiàn)為:第一,根據(jù)《通用數(shù)據(jù)保護(hù)條例》第35(1)條,對于實施數(shù)據(jù)保護(hù)影響評估的要求并非強(qiáng)制性的,僅適用于高風(fēng)險數(shù)據(jù)處理活動?!吨改稀诽峁┝艘环莞唢L(fēng)險數(shù)據(jù)處理活動清單,給出了關(guān)于“高風(fēng)險”的一系列標(biāo)準(zhǔn),如處理敏感數(shù)據(jù)、向域外轉(zhuǎn)移數(shù)據(jù)、超出數(shù)據(jù)主體合理預(yù)期的數(shù)據(jù)集的匹配和組合等。⑨一般認(rèn)為,處理過程符合的標(biāo)準(zhǔn)越多,就越有可能對數(shù)據(jù)主體的權(quán)利和自由構(gòu)成高風(fēng)險。《指南》明確表示,這些標(biāo)準(zhǔn)只是提供一個參考,是否構(gòu)成高風(fēng)險,仍然要考慮具體情境。⑩一份事無巨細(xì)的高風(fēng)險清單最終可能成為一種僵化的行政負(fù)擔(dān),這也是第29條數(shù)據(jù)保護(hù)工作組堅持要求數(shù)據(jù)控制者在評估處理計劃時證明并按照《通用數(shù)據(jù)保護(hù)條例》第30條記錄其選擇的必要性和科學(xué)性的原因。[9]第二,考慮到技術(shù)發(fā)展速度非常迅猛,即使在某一特定時刻沒有實施數(shù)據(jù)保護(hù)影響評估,但這可能在一段時間后發(fā)生變化。如果實施了數(shù)據(jù)保護(hù)影響評估,數(shù)據(jù)控制者將更好地了解其業(yè)務(wù)模式是否符合歐盟數(shù)據(jù)保護(hù)立法,并可以根據(jù)這些信息規(guī)劃未來的發(fā)展。執(zhí)行數(shù)據(jù)保護(hù)影響評估的決定應(yīng)該始終根據(jù)具體情況作出,需要考慮當(dāng)前數(shù)據(jù)處理的性質(zhì)、企業(yè)的財務(wù)狀況、未來的計劃和發(fā)展方向等多種因素。第三,是否尋求數(shù)據(jù)保護(hù)官和數(shù)據(jù)主體或其代表的意見也非強(qiáng)制性,而是在“適當(dāng)情況下”咨詢即可。關(guān)于誰將在適當(dāng)或不適當(dāng)?shù)那闆r下決定征求意見,什么樣的處理需要公眾參與,這些問題并未明確。《指南》僅提供參與的可選形式(如調(diào)查問卷),以及要求記錄不咨詢和不遵循咨詢結(jié)果的任何決定并提供合理理由。這一流程在一定程度上遵循了透明原則,有助于建立數(shù)據(jù)主體、數(shù)據(jù)保護(hù)部門和公眾對數(shù)據(jù)控制者的信任。第四,《指南》提出了對數(shù)據(jù)保護(hù)影響評估更動態(tài)的要求,數(shù)據(jù)保護(hù)影響評估作為一個持續(xù)的過程,在項目的整個生命周期內(nèi)更新,至少每3年應(yīng)該重新評估或修訂一次。這個持續(xù)的過程包括評估風(fēng)險、部署風(fēng)險緩解措施、通過監(jiān)測記錄其有效性,并將這些信息反饋到風(fēng)險評估中。
數(shù)據(jù)保護(hù)影響評估的名稱不同于隱私和數(shù)據(jù)保護(hù)領(lǐng)域已有的隱私影響評估,那么數(shù)據(jù)保護(hù)影響評估和隱私影響評估之間是否存在本質(zhì)區(qū)別。理論上對這一問題存在觀點分歧,一個原因可能是“隱私”和“數(shù)據(jù)”之間的區(qū)分。在相當(dāng)長的時期內(nèi),個人信息歸屬于隱私權(quán)的框架,被視為是隱私權(quán)在信息時代所發(fā)展出的新維度。[10]直到《通用數(shù)據(jù)保護(hù)條例》以“個人信息保護(hù)權(quán)”的概念替代了隱私權(quán),把個人信息保護(hù)權(quán)作為一項獨立的基本權(quán)利及民事權(quán)利,與隱私權(quán)相區(qū)分。[11]從本質(zhì)上說,“隱私”保護(hù)的是個人的私生活安寧,而不僅是個人數(shù)據(jù)的處理;“數(shù)據(jù)保護(hù)”涵蓋了所有個人信息的處理,超出了“隱私”的范圍,權(quán)利內(nèi)容也比隱私權(quán)更廣泛。一些學(xué)者對隱私本身范圍的界定非常廣泛,確定了八種基本的隱私類型——身體隱私、智力隱私、空間隱私、決策隱私、通信隱私、關(guān)聯(lián)隱私、專有隱私和行為隱私,并將第九種隱私類型——信息隱私疊加在一起,與這八種基本類型重疊但不一致。[12]隱私影響評估重點關(guān)注涉及個人身份信息的隱私風(fēng)險。數(shù)據(jù)保護(hù)影響評估可能涵蓋隱私之外的權(quán)利,但隱私是數(shù)據(jù)保護(hù)影響評估捍衛(wèi)的主要權(quán)利之一。由此,隱私影響評估和數(shù)據(jù)保護(hù)影響評估的保護(hù)范圍存在重疊或者說大致相同?!吨改稀诽貏e指出,隱私影響評估一詞通常用于其他背景,但與數(shù)據(jù)保護(hù)影響評估指的是同一個概念。此外,《指南》規(guī)定,如果計劃進(jìn)行伴隨高風(fēng)險的數(shù)據(jù)處理,數(shù)據(jù)控制者必須選擇附錄中給出的數(shù)據(jù)保護(hù)影響評估示例方法。而附錄給出的例子幾乎完全來自已有的隱私影響評估框架。
《通用數(shù)據(jù)保護(hù)條例》第35條規(guī)定的評估目標(biāo)——“自然人的權(quán)利和自由”,連接了歐盟《基本權(quán)利憲章》等一般法律框架所賦予的權(quán)利,相當(dāng)明確地闡明了《通用數(shù)據(jù)保護(hù)條例》要給予自然人的廣泛保護(hù)。因此,《通用數(shù)據(jù)保護(hù)條例》下的數(shù)據(jù)保護(hù)影響評估在本質(zhì)上提供全面的隱私和數(shù)據(jù)保護(hù),也被稱為對隱私影響評估的改進(jìn),可將其作為隱私影響評估的升級版,因為其目的不僅是保護(hù)隱私權(quán),還包括其他基本權(quán)利。
近年來,人工智能自動化決策系統(tǒng)的使用呈指數(shù)級增長。政府機(jī)構(gòu)在許多領(lǐng)域越來越依賴算法,例如交通管理、移民篩選、社會服務(wù)分配等。私營企業(yè)也已經(jīng)將人工智能整合到招聘流程、貸款管理等業(yè)務(wù)中。許多曾經(jīng)由人類做出的決定現(xiàn)在正逐漸地交給人工智能系統(tǒng)。自動化決策系統(tǒng)的日益普遍加劇了人類的偏見、不公平和歧視。例如,美國法院用于評估被告再次犯罪可能性的案例管理和決策支持系統(tǒng)被報道高估了黑人再犯的可能性。?亞馬遜開發(fā)的基于人工智能的招聘系統(tǒng),偏愛使用那些男性工程師簡歷上更常見的詞匯來篩選求職者,這反映了男性在科技行業(yè)的主導(dǎo)地位以及對女性的偏見。?除了歧視性的招聘算法,算法損害還體現(xiàn)在不明原因的拒絕貸款,以及不安全的醫(yī)療診斷設(shè)備。它們代表了三種常見的算法傷害——歧視、程序不公和身體傷害。自動化決策系統(tǒng)可能會對個人的基本權(quán)利產(chǎn)生直接影響,如言論自由、隱私、平等和自治等。
人工智能系統(tǒng)將決策權(quán)力從民主程序轉(zhuǎn)移到程序員身上,日益塑造我們的生活環(huán)境,鑒于其帶來巨大的潛在危害,確保某種形式的算法監(jiān)督至關(guān)重要。法律學(xué)者、政策制定者積極尋求可能的監(jiān)管回應(yīng),包括反歧視法、行政法和侵權(quán)法中已有的補(bǔ)救措施等。其他領(lǐng)域的學(xué)者也在努力尋求建立更公平、更易理解和可審查的算法體系,并倡導(dǎo)公眾參與算法治理。但由于算法的動態(tài)性,以及缺乏透明度、可預(yù)見性和可解釋性,導(dǎo)致了監(jiān)督的困難。正是在這一背景下,近年來得到青睞的一種監(jiān)管方法是要求使用自動化決策的主體進(jìn)行算法影響評估。算法影響評估要求在算法設(shè)計、部署與運(yùn)行期間,算法治理的相關(guān)利益主體如政府、平臺、社會公眾與第三方力量,對算法可能造成的風(fēng)險及其對社會的影響進(jìn)行充分的評估。其主要有兩個目標(biāo):一是引導(dǎo)構(gòu)建系統(tǒng)的主體在復(fù)雜項目實施之前盡早地考慮實施細(xì)節(jié)和潛在影響,從而在風(fēng)險無法糾正之前采取行動。在項目開發(fā)中越早考慮社會價值,最終結(jié)果就越有可能反映這些社會價值。二是建立和保存在項目實施期間作出的決定及其理由的文件,這有利于對這些決定更好地問責(zé),并為未來的政策制定提供有用的信息,也讓公眾了解建立算法模型的機(jī)構(gòu)是如何做出決策的。
將強(qiáng)制性影響評估作為一種工具,以促進(jìn)對人工智能和其他自動決策系統(tǒng)的監(jiān)督,是最新的立法趨勢。2016年,《負(fù)責(zé)任算法的原則和算法的社會影響聲明》報告列出了五項指導(dǎo)性的原則——責(zé)任、可解釋性、準(zhǔn)確性、可審計性和公平性,并描述了算法影響評估的大概形態(tài),將推動影響評估作為“負(fù)責(zé)任的人工智能”或“人工智能道德”的一部分。[13]為了加強(qiáng)對人工智能系統(tǒng)的監(jiān)督和問責(zé),美國參議院和眾議院于2019年向國會提交了《算法問責(zé)法案》。用提案人之一參議員懷登的話來說,該法案背后的意圖是要求公司定期評估其工具的準(zhǔn)確性、公平性、是否包含偏見和歧視?!端惴▎栘?zé)法案》要求所有實體對其高風(fēng)險自動決策系統(tǒng)進(jìn)行影響評估,以評估系統(tǒng)的設(shè)計過程和培訓(xùn)數(shù)據(jù)對“準(zhǔn)確性、公平、偏見、歧視、隱私和安全”的影響,并將報告提交給聯(lián)邦貿(mào)易委員會。該法案還規(guī)定,在合理的情況下,應(yīng)與外部第三方,包括獨立審計員和獨立技術(shù)專家合作進(jìn)行影響評估。記錄通過影響評估發(fā)現(xiàn)的任何偏見或威脅。企業(yè)被要求以“及時的方式”“合理地處理”任何確定的問題。?算法影響評估作為一個循環(huán)和多層次的過程而非靜態(tài)陳述[14],不僅解釋算法背后的邏輯和推理,更要證明決定是正確、合法和公正的。
有學(xué)者認(rèn)為應(yīng)將《通用數(shù)據(jù)保護(hù)條例》第35條“每當(dāng)數(shù)據(jù)處理可能對自然人的權(quán)利和自由造成高風(fēng)險時都要執(zhí)行數(shù)據(jù)保護(hù)影響評估”的要求在適用時理解為包含算法影響評估。一些歐盟成員國政府也將《通用數(shù)據(jù)保護(hù)條例》理解為另一個算法影響評估版本。英國信息專員辦公室發(fā)布的人工智能審計框架草案表示,《通用數(shù)據(jù)保護(hù)條例》的“問責(zé)原則”要求所有的自動化處理都要進(jìn)行算法影響評估。?算法影響評估可以說是進(jìn)入自動化決策時代后,在算法遁入社會生活背景下對數(shù)據(jù)保護(hù)影響評估的發(fā)展,而數(shù)據(jù)保護(hù)影響評估與算法影響評估在價值取向與底層邏輯方面仍存在區(qū)別,具體而言:數(shù)據(jù)保護(hù)影響評估更加關(guān)注對個人權(quán)利的保護(hù)。數(shù)據(jù)保護(hù)影響評估作為一種風(fēng)險管理形式,目標(biāo)在于對個人“權(quán)利和自由的風(fēng)險”的評估,是建立適當(dāng)措施以保障個人權(quán)利的一個重要方面。數(shù)據(jù)保護(hù)影響評估要求數(shù)據(jù)處理者導(dǎo)入《通用數(shù)據(jù)保護(hù)條例》中規(guī)定的各種個人權(quán)利,采取適當(dāng)措施保護(hù)個人權(quán)利,個人有權(quán)了解數(shù)據(jù)處理的“重要性和預(yù)期后果”,質(zhì)疑決策和表達(dá)觀點。數(shù)據(jù)保護(hù)影響評估將這些個人權(quán)利作為風(fēng)險管理戰(zhàn)略的一部分來實施,旨在實現(xiàn)個人正當(dāng)程序權(quán)利。算法影響評估更多聚焦于社會公共利益,要求數(shù)據(jù)處理者考慮不公平、錯誤、偏見和歧視的風(fēng)險,并提出減輕這些風(fēng)險的具體方法。算法影響評估要求對算法如何影響特定類別的個人或特定地點的群體層面進(jìn)行分析,除了考慮個人權(quán)利保護(hù)之外,還關(guān)注道德和社會影響,識別和減輕超出個人影響的社會危害,不僅致力于根除對特定個人的歧視,還注重緩解對邊緣化群體的歧視。在透明度上,數(shù)據(jù)保護(hù)影響評估的官方指南僅建議公開而不強(qiáng)制公開,且在公開范圍上也限于摘要,而算法影響評估強(qiáng)制披露所有的評估內(nèi)容。數(shù)據(jù)保護(hù)影響評估傾向于關(guān)注數(shù)據(jù)質(zhì)量和數(shù)據(jù)安全,忽略了更廣泛的社會和法律影響。算法影響評估明確地將重點放在公共空間背景下的集體監(jiān)控上,將填補(bǔ)《通用數(shù)據(jù)保護(hù)條例》當(dāng)前評估機(jī)制的空白。因此,算法影響評估程序超越了對隱私或個人數(shù)據(jù)保護(hù)的考慮,而轉(zhuǎn)向更廣泛的社會公共利益,可能會解決一些學(xué)者對數(shù)據(jù)保護(hù)影響評估側(cè)重于個人權(quán)利而排斥群體的擔(dān)憂。
《個人信息保護(hù)法》第55條規(guī)定的個人信息保護(hù)影響評估制度,系基于風(fēng)險預(yù)防理念,事先評估個人信息處理活動是否合法、正當(dāng)、必要,識別其可能對個人權(quán)益產(chǎn)生的重大影響并進(jìn)行早期干預(yù),動態(tài)應(yīng)對風(fēng)險變化,有針對性地及時采取措施最小化風(fēng)險的過程。根據(jù)第55條,應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估的法定情形,包括處理敏感個人信息,進(jìn)行自動化決策,委托處理、對外提供、公開個人信息以及向境外提供個人信息,最后以“其他對個人權(quán)益有重大影響的個人信息處理活動”進(jìn)行兜底。隨著相關(guān)產(chǎn)業(yè)的迅猛發(fā)展,兜底條款可以基于新的產(chǎn)業(yè)發(fā)展實踐狀況,為應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估的新情形預(yù)留空間。此外,在《信息安全技術(shù) 個人信息安全規(guī)范》《個人金融信息保護(hù)技術(shù)規(guī)范》《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》等國家標(biāo)準(zhǔn)、文件中也列舉了推薦個人信息處理者進(jìn)行個人信息保護(hù)影響評估的具體情形,如“基于不同業(yè)務(wù)目的將所收集個人信息進(jìn)行匯聚融合”“產(chǎn)品或服務(wù)發(fā)布前,或業(yè)務(wù)功能發(fā)生重大變化”“法律法規(guī)有新的要求時,或在業(yè)務(wù)模式、信息系統(tǒng)、運(yùn)行環(huán)境發(fā)生重大變更”“發(fā)生個人信息安全事件后”等,這也為準(zhǔn)確理解“其他對個人權(quán)益有重大影響的個人信息處理活動”提供了指引和參照。
《個人信息保護(hù)法》第56條規(guī)定了個人信息保護(hù)影響評估的內(nèi)容和保存記錄要求。根據(jù)第56條規(guī)定的個人信息保護(hù)影響評估應(yīng)當(dāng)包括的內(nèi)容來看,主要是為了保證個人信息的處理目的、處理方式等符合合法、正當(dāng)、必要的原則,其指向的是對個人權(quán)益有重大影響及安全風(fēng)險的個人信息處理活動。根據(jù)《信息安全技術(shù) 個人信息安全影響評估指南》第5.5.1段,對個人權(quán)益的影響可能包括限制個人自主決定權(quán)、引發(fā)差別性待遇、個人名譽(yù)受損或遭受精神壓力、人身財產(chǎn)受損等方面。在具體開展個人信息保護(hù)影響評估時,個人信息處理者需要結(jié)合個人信息處理活動全生命周期對個人權(quán)益可能造成的影響綜合分析,評估針對個人信息處理活動所采取的安全保護(hù)措施是否有效并與風(fēng)險相適應(yīng)。可以發(fā)現(xiàn)我國個人信息保護(hù)影響評估在評估對象、手段、目標(biāo)等方面與數(shù)據(jù)保護(hù)影響評估一脈相承,主要關(guān)注的是個人權(quán)益。
算法是發(fā)揮沉默的數(shù)據(jù)價值的關(guān)鍵,自動化決策不斷影響人們的互動方式,人類已經(jīng)步入“算法社會”。[15]在當(dāng)前背景下,我國目前的個人信息保護(hù)影響評估在一定程度上忽視了算法評估制度更加關(guān)注社會公共利益的價值意蘊(yùn)。目前個人信息保護(hù)影響評估在評估范圍方面太有限,主要涉及對個人信息權(quán)益的影響。隨著新興通信技術(shù)的發(fā)展,可能不僅會帶來個人權(quán)益保護(hù)方面的挑戰(zhàn),還會引發(fā)道德問題,如人的尊嚴(yán)、自由、民主、人權(quán)保護(hù)、多元主義、不歧視、正義、團(tuán)結(jié)和性別平等等。影響的范圍應(yīng)該擴(kuò)展到其他權(quán)利和價值。應(yīng)充分發(fā)揮個人信息保護(hù)影響評估方法論的功能,個人信息處理者在《個人信息保護(hù)法》第55條規(guī)定的法定情形外,也可以運(yùn)用個人信息保護(hù)影響評估的基本原理和方法,對具體場景中個人信息處理活動可能對歧視、偏見、安全等關(guān)涉社會群體的因素進(jìn)行分析,并在此基礎(chǔ)上采取相應(yīng)的風(fēng)險應(yīng)對措施,不斷提升算法治理水平。個人信息處理者可以參考《信息安全技術(shù) 個人信息安全影響評估指南》,除了個人權(quán)益,還可從引發(fā)差別性待遇維度考慮個人信息處理活動對社會群體造成的影響,比如泄露隱私信息造成的歧視,對應(yīng)聘者、獲取服務(wù)者的歧視性篩選,個人福利、資格、權(quán)利方面的差別對待等。
影響評估是風(fēng)險管理的重要手段,風(fēng)險管理也是影響評估的關(guān)鍵部分。個人信息處理風(fēng)險可能來自組織內(nèi)部的漏洞或項目本身的設(shè)計和實施,也可能來自外部威脅。個人信息保護(hù)影響評估在避免或管理風(fēng)險方面具有優(yōu)勢,是整體風(fēng)險管理策略的重要組成部分。要想使影響評估有效,應(yīng)在個人信息處理者作出關(guān)于如何滿足目標(biāo)的關(guān)鍵選擇時及早介入,在能夠真正影響信息處理發(fā)展的階段進(jìn)行?!秱€人信息保護(hù)法》第55條要求個人信息處理者應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估。影響評估的啟動較為關(guān)鍵,如果在不符合評估理由的情況下進(jìn)行,有限的資源會被不必要地使用。如果不能將評估集中在關(guān)鍵問題上,就有可能導(dǎo)致無法實現(xiàn)其功能。雖然第55條列舉了應(yīng)當(dāng)進(jìn)行影響評估的情形,在實際抉擇時需要衡量個人信息保護(hù)需求的實際情況,了解當(dāng)前風(fēng)險狀態(tài),查看新項目是否符合信息保護(hù)要求。
影響評估的規(guī)模和范圍取決于處理信息的重要性,收集、使用或披露個人信息的程度,影響評估預(yù)算,執(zhí)行影響評估所需的時間等因素。信息規(guī)模越廣泛,影響評估就應(yīng)該越全面。相反,如果一項處理的影響范圍相對有限,可能只需要一個簡略的個人信息保護(hù)影響評估。影響評估是一項資源密集型的工作,個人信息處理者應(yīng)該考慮影響評估的目標(biāo)、規(guī)模和范圍,以與所識別的風(fēng)險相稱的方式進(jìn)行。如果風(fēng)險不顯著,那么影響評估的規(guī)模和范圍可能是有限的。如果風(fēng)險很大,那么影響評估應(yīng)該更詳細(xì)。隨著處理進(jìn)程的發(fā)展、問題更加明朗,評估規(guī)模和范圍可以隨時進(jìn)行更新和補(bǔ)充。
域外大多數(shù)指導(dǎo)文件給予處理者相當(dāng)大的自由裁量權(quán),以決定是否需要進(jìn)行影響評估和影響評估的規(guī)模與范圍。影響評估是靈活和動態(tài)的,也就是說,沒有一種方法適合所有的情況。英國信息專員辦公室表示:“由于組織的規(guī)模差異很大,它們的活動侵犯權(quán)益的程度以及處理問題的經(jīng)驗不同,使得很難寫出一份‘一刀切’的指南。”?影響評估的深度和內(nèi)容應(yīng)與所收集信息的性質(zhì)以及系統(tǒng)的復(fù)雜性相適應(yīng)。英國的影響評估手冊提供了“小規(guī)模”影響評估(small-scale assessment)和“全面”影響評估(full-scale assessment)兩種模板,加拿大影響評估政策將“初步”評估(preliminary assessment)和“全面”評估(comprehensive assessment)區(qū)分開來。這值得我國個人信息影響評估制度借鑒,即基于影響廣度、深度確定評估框架體系,推動評估的場景化和精準(zhǔn)化。
信息主體在信息處理過程中可能面臨的風(fēng)險包括被收集的信息超出目標(biāo)所需、缺乏透明度、缺乏刪除機(jī)制、秘密收集信息、知情不充分、信息被不當(dāng)分享、信息儲存超過必要時間等。信息的使用或披露環(huán)境可能會隨著時間的推移而變化,導(dǎo)致信息在人們不知情的情況下被用于不同的目的。在進(jìn)行個人信息處理之前,處理者需要進(jìn)行信息保護(hù)分析,考慮所收集信息的數(shù)量和類型,確定存在哪些風(fēng)險,以及如何降低這些風(fēng)險。描述設(shè)計選擇的過程、處理的目的,以及在設(shè)計過程中如何嵌入信息保護(hù)要求。描述可能用于保護(hù)個人信息的各種措施,例如是否加密某些信息?是否實施了訪問控制?是否尋找信息收集范圍更小的途徑?說明為何收集和存儲特定個人信息是必要的,僅說明一般用途并不足夠,需要進(jìn)行具體詳細(xì)的解釋。例如僅聲明收集姓名、出生日期和生物特征等是為了核實個人身份是不夠的,還需解釋必須通過收集這些信息才能達(dá)到核實身份的目的。信息處理者需要確保處理行為符合法律、行政法規(guī)及其他政策文件的規(guī)定;目的合法、正當(dāng)、必要;處理行為不侵犯人權(quán);采用適當(dāng)?shù)摹⒆钌俑蓴_的手段。信息收集最小化、目的合法正當(dāng)、流程透明是影響評估需要確保的關(guān)鍵目標(biāo)。信息處理建立在明確的同意基礎(chǔ)上,尊重信息主體的知情權(quán),確保信息主體及時被告知有關(guān)收集其信息的事宜;保證信息主體查閱、更正及刪除的權(quán)利;確保信息在信息主體提出異議時不再被處理;確保處理的機(jī)密性和安全性,防止未經(jīng)授權(quán)的訪問及意外丟失;信息的保留時間應(yīng)與保留的目的或其他法律要求相一致。
影響評估流程的一個關(guān)鍵部分是決定采取哪些解決方案。識別風(fēng)險后,處理者應(yīng)該確定可以采取什么行動來應(yīng)對風(fēng)險。影響評估的目的不是完全消除對個人信息權(quán)益的影響,而是在實施有益的信息處理活動的同時將影響降低到可接受的水平。解決方案的確定需要考慮對信息權(quán)益的影響是否與項目的目標(biāo)相稱,平衡信息處理需求與對個人的影響。消除、降低風(fēng)險的可能方案包括:決定不收集或存儲特定類型的信息;嚴(yán)格控制信息的儲存期并保證信息的安全銷毀;實施適當(dāng)?shù)募夹g(shù)安全措施;匿名化、脫敏化信息;確保員工經(jīng)過適當(dāng)培訓(xùn),并有能力意識到潛在的風(fēng)險,為員工提供關(guān)于如何使用處理系統(tǒng)以及如何在適當(dāng)情況下共享信息的指導(dǎo);采取措施確保個人充分了解其信息的使用方式,并為個人提供便捷的尋求幫助途徑;制定信息共享協(xié)議,明確將共享哪些信息、如何共享以及與誰共享等。
《個人信息保護(hù)法》第56條第2款規(guī)定個人信息處理者應(yīng)當(dāng)形成個人信息保護(hù)影響評估報告,這是個人信息處理者進(jìn)行個人信息保護(hù)影響評估后形成的過程性和結(jié)論性文檔。評估報告應(yīng)當(dāng)包括評估對象、評估依據(jù)、評估人員、評估方法等評估基本事項,實施個人信息保護(hù)影響評估的過程性記錄,以及安全風(fēng)險分析結(jié)果、風(fēng)險處置措施、風(fēng)險處置效果等。記錄影響評估的詳細(xì)信息是必要的,包括處理風(fēng)險和解決方案,可以用來向利益相關(guān)者保證信息處理已經(jīng)過全面評估,在關(guān)鍵時刻向決策者提供信息。影響評估報告具有充當(dāng)處理者記憶的價值,可以成為解釋處理細(xì)節(jié)的重要資源。影響評估報告應(yīng)包括對信息處理計劃的概述,解釋為何開展信息處理,以及該處理行為將如何影響信息安全;記錄信息處理及其后端基礎(chǔ)設(shè)施的全面詳細(xì)信息。報告應(yīng)描述如何識別風(fēng)險,以及解釋針對風(fēng)險已采取或?qū)⒉扇〉拇胧┖捅澈蟮脑?,并確定誰負(fù)責(zé)批準(zhǔn)和實施解決方案。影響評估記錄應(yīng)該隨著處理進(jìn)展審核和更新,以反映處理者采取的舉措是否與處于不斷變化中的風(fēng)險水平相稱,這應(yīng)在信息處理的整個過程中持續(xù),甚至擴(kuò)展到處理過程之后,因為隨時可能會出現(xiàn)新問題。
總體來說,個人信息保護(hù)影響評估注重具有成本效益的解決方案,因為在設(shè)計階段將個人信息保護(hù)納入項目、政策、技術(shù)中,比在技術(shù)部署或政策頒布后嘗試進(jìn)行成本更高的改造更具有成本效益和效率。影響評估為個人信息處理者創(chuàng)造了一個機(jī)會,以預(yù)測和解決新舉措的可能影響,提前識別風(fēng)險,并確定解決措施,在功能設(shè)計中盡量減少對個人信息權(quán)益的影響或找到威脅更小的替代方案。
個人信息保護(hù)影響評估制度借鑒自數(shù)據(jù)保護(hù)影響評估,它們最大的缺點在于沒有向公眾強(qiáng)制披露的機(jī)制。面向公眾的信息披露能夠以市場反饋的形式(不去選擇個人信息保護(hù)水平不佳的處理者)和長期監(jiān)管反饋的形式(制定法律以防止不良行為)監(jiān)督個人信息處理。因此公開披露是影響評估的一個基本要素。由于未能強(qiáng)制要求公開披露,我國個人信息保護(hù)影響評估未能觸發(fā)這兩種機(jī)制,而這兩種機(jī)制是有效合作治理機(jī)制的重要組成部分。由此帶來較大的弊端:在如何保護(hù)個人權(quán)利,以及如何解決算法的不公平、偏見和歧視等相關(guān)問題不為公眾所知時,公共監(jiān)督缺位,難以確保個人信息保護(hù)影響評估風(fēng)險預(yù)防工具朝著公共利益的方向發(fā)展。
影響評估包括評估系統(tǒng)開發(fā)過程的研究、設(shè)計和培訓(xùn)數(shù)據(jù),其主要優(yōu)點是積極促進(jìn)關(guān)鍵領(lǐng)域的信息公開,提高數(shù)據(jù)處理和決策過程的透明度。在沒有影響評估的情況下,政府機(jī)構(gòu)或公眾獲取這些信息將更加困難。但我國《個人信息保護(hù)法》框架下進(jìn)行的個人信息保護(hù)影響評估的透明度仍然有限,不能充分響應(yīng)基于個人信息處理系統(tǒng)的動態(tài)特性,以及沒有建立強(qiáng)制性的披露要求。隨著個人信息體量的暴增,數(shù)據(jù)處理越來越依賴于算法,可以說,算法已經(jīng)成為當(dāng)前數(shù)據(jù)處理的最主要力量。[16]人工智能系統(tǒng)的主要特征之一是其復(fù)雜性和學(xué)習(xí)與進(jìn)化的能力,機(jī)器學(xué)習(xí)使系統(tǒng)能夠不斷改進(jìn)和調(diào)整。因此,主要依靠事前評估沒有充分考慮到基于人工智能系統(tǒng)的動態(tài)性質(zhì),不足以促進(jìn)透明度?!秱€人信息保護(hù)法》并不要求受監(jiān)管實體公布其影響評估的結(jié)果,而透明度的缺乏剝奪了共享信息、公眾影響決策過程的機(jī)會。此外,自動決策的黑箱性質(zhì)可能會排除傳統(tǒng)的正當(dāng)程序形式,如通知和聽證。如果信息主體不具有獲得信息、提出質(zhì)疑的權(quán)利,個人很難理解系統(tǒng)對其作出的決策,從而無法糾正錯誤信息,不能充分保障正當(dāng)程序。
影響評估方案具有改善組織行為,促進(jìn)信息共享,并激勵信息處理者預(yù)先考慮其處理行為對個人和公眾安全的益處,但其所能發(fā)揮的監(jiān)督功能仍不充分,帶來了監(jiān)督與問責(zé)的障礙,未能促進(jìn)充分的問責(zé)制。特別是影響評估并不要求受監(jiān)管實體向公眾披露影響評估的所有內(nèi)容,也沒有提供其他方式讓公眾了解具體行為的發(fā)生,提供的透明度有限,不充分保障正當(dāng)程序,個人沒有被通知或表達(dá)意見的權(quán)利。因此,影響評估工具未能促進(jìn)充分的公眾監(jiān)督和提供糾正錯誤決定的適當(dāng)機(jī)會。為提高監(jiān)管潛力,需要對現(xiàn)有的影響評估框架進(jìn)行一些改進(jìn)。要在個人信息保護(hù)影響評估中有效問責(zé),僅依靠自我評估是不夠的,有必要讓影響評估接受多方主體的客觀監(jiān)督和審查。
為避免個人信息保護(hù)影響評估流于形式,需要保證公眾理解數(shù)據(jù)處理流程,能夠挑戰(zhàn)這些流程和糾正不當(dāng)決策,這依賴于透明度、正當(dāng)程序、公眾審查等要素。個人信息保護(hù)影響評估制度的有效落實,僅依靠個人信息處理者的自我評估尚不充足,需要對現(xiàn)有的影響評估框架加強(qiáng)監(jiān)督。
我國個人信息保護(hù)影響評估制度中協(xié)同治理架構(gòu)設(shè)計存在不足,并未強(qiáng)制性地要求公共機(jī)構(gòu)、社會或者數(shù)據(jù)安全領(lǐng)域的專家實施獨立監(jiān)督。這種制度設(shè)計雖然體現(xiàn)了對個人信息處理質(zhì)量和安全的重視,但對協(xié)同治理實踐的關(guān)注不夠,對社會和經(jīng)濟(jì)影響的評估亦有所欠缺。個人信息影響評估需要團(tuán)隊合作,充分吸納各領(lǐng)域?qū)<业募寄埽⒚鞔_鼓勵外部利益相關(guān)者參與個人信息影響評估過程。與個人信息保護(hù)影響評估制度相比,算法影響評估制度不僅要求設(shè)計者、部署者和運(yùn)行者對算法設(shè)計和相關(guān)數(shù)據(jù)展開系統(tǒng)評估,而且還要求在評估過程中納入外部問責(zé)和審計力量,全面踐行協(xié)同治理理念,相比較而言具有更為完善的治理架構(gòu)。個人信息保護(hù)影響評估是一個更大的監(jiān)管生態(tài)系統(tǒng)中的一部分,與監(jiān)管工具包中的其他工具相互作用,不能將其理解為獨立的機(jī)制。當(dāng)它與其他監(jiān)管工具協(xié)調(diào)合作而非單獨部署時,才能發(fā)揮最佳功能。比如在實踐中,影響評估框架依賴于專業(yè)知識和信息。因此,技術(shù)公司在評估中不可避免會有一定的實際裁量權(quán);為提高監(jiān)管的效率,與企業(yè)的合作是必要的。個人信息保護(hù)影響評估治理策略應(yīng)摒棄單一治理模式,充分整合政府機(jī)構(gòu)、社會公眾、行業(yè)代表、外部專家等多元力量進(jìn)行聯(lián)動治理。
個人信息保護(hù)影響評估旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個人信息處理過程中對個人合法權(quán)益造成不利影響的風(fēng)險,是個人信息處理者履行個人信息保護(hù)法定義務(wù)及承擔(dān)社會責(zé)任的重要體現(xiàn),由此公開形成的個人信息保護(hù)影響評估報告具有多重功能。一是降低信息差距。公眾審查對有效的影響評估至關(guān)重要,在信息差距下,為了保持有意義的公眾監(jiān)督并支持正當(dāng)程序的理念,個人信息處理的公共屬性要求處理者公布影響評估。雖然這種強(qiáng)制性的公布不會完全消除信息差距,但通過告知公眾數(shù)據(jù)處理的目標(biāo)、決策做法、可能的風(fēng)險,能夠盡量減少這種差距。二是幫助個人進(jìn)行對比。對不公平和歧視的風(fēng)險進(jìn)行必要的影響評估分析,與個人申訴、表達(dá)觀點和干預(yù)的權(quán)利之間存在聯(lián)系。個人要想有效地行使對個人信息處理提出異議的權(quán)利,需要知道自己受到的待遇是否與其他處境相似的人相同。要使《個人信息保護(hù)法》規(guī)定的一系列個人權(quán)利有意義,個人不僅需要知道關(guān)于特定決策的信息,還需要知道算法對待群體的方式,以及偏向和歧視的傾向。三是為外部意見輸入提供通道。公布影響評估的某些方面可能會引導(dǎo)公眾辯論,獲得外部意見輸入,了解系統(tǒng)的開發(fā)、培訓(xùn)或監(jiān)控方式,鼓勵民間社會和公民組織采取行動。四是構(gòu)成個人信息處理者的自我承諾。一旦處理者公開了其影響評估,它就有義務(wù)按照影響評估的要求行事,根據(jù)影響評估中披露的細(xì)節(jié)對他們采取的行為負(fù)責(zé),可以獲得公眾對信息處理合法性的認(rèn)可。
有觀點以商業(yè)秘密為由反對強(qiáng)制公布。[17]《通用數(shù)據(jù)保護(hù)條例》提案的最初文本要求在影響評估過程中與數(shù)據(jù)主體進(jìn)行協(xié)商。?這段文字后來被刪除,因為“主動尋求數(shù)據(jù)主體的意見對數(shù)據(jù)控制者來說是不成比例的負(fù)擔(dān)”?。因此,在《通用數(shù)據(jù)保護(hù)條例》的最終文本中,與數(shù)據(jù)主體或其代表進(jìn)行磋商只需“在適當(dāng)情況下”進(jìn)行。即使需要公眾參與,也必須“不妨礙對商業(yè)或公共利益的保護(hù)或處理作業(yè)的安全”?。在數(shù)據(jù)保護(hù)影響評估中,雖然立法和相關(guān)指南推薦數(shù)據(jù)控制者對評估結(jié)果予以公布,但并不強(qiáng)求其公布評估文件和流程信息,可以僅公布核心概要。?根據(jù)《通用數(shù)據(jù)保護(hù)條例》框架,僅僅是對平臺商業(yè)利益保護(hù)的損害就可以提供一些不予披露的理由。采用默認(rèn)披露規(guī)則來平衡個人信息處理者與公眾的利益,同時允許個人信息處理者在需要對專有信息保密時申請例外豁免可能是更佳的選擇。可能會有觀點認(rèn)為,考慮到個人信息處理的動態(tài)特性,以及利益相關(guān)者有機(jī)會在事后尋求救濟(jì),決策前的公眾參與并不那么重要。然而,在現(xiàn)實中,公眾的參與無論是事前還是事后都是不可或缺的。在數(shù)據(jù)和算法治理實踐中,一定程度的公眾參與和公開披露已被廣泛視為構(gòu)成有效治理的核心要素,個人信息處理的公開披露制度可以有效彌補(bǔ)個人信息保護(hù)影響評估制度的不足。
讓數(shù)據(jù)處理、自動化決策系統(tǒng)接受監(jiān)督是促進(jìn)信任的重要目標(biāo)和工具。個人信息保護(hù)影響評估本身不足以促進(jìn)有效的監(jiān)督和問責(zé),應(yīng)該附加外部監(jiān)督的客觀機(jī)制。影響評估本身的監(jiān)督和問責(zé)力度不充分,將自我評估與外部和獨立的監(jiān)督機(jī)制結(jié)合起來可能是更好的解決辦法。在內(nèi)部監(jiān)督和一些外部投入的情況下,將有助于個人信息處理者發(fā)現(xiàn)問題并提出解決方案,使影響評估具體落實。
1.部門監(jiān)管
影響評估專注于數(shù)據(jù)處理系統(tǒng)的開發(fā)過程,包括自動決策系統(tǒng)的設(shè)計和培訓(xùn)數(shù)據(jù),以及對準(zhǔn)確性、公平、偏見、歧視、隱私和安全的影響。評估必須包括以下參數(shù):系統(tǒng)的描述、對系統(tǒng)的相對效益和成本的評估、系統(tǒng)風(fēng)險的評估,以及可采取的降低風(fēng)險的措施。雖然增加了透明度,但評估結(jié)果的公布仍由個人信息處理者自行決定。這就是為什么影響評估促進(jìn)公眾審查的能力受到了制約。算法影響評估最強(qiáng)大和最具革命性的方面之一是賦予了美國聯(lián)邦貿(mào)易委員會廣泛執(zhí)法權(quán)力。《算法問責(zé)法案》授權(quán)聯(lián)邦貿(mào)易委員會發(fā)布和執(zhí)行規(guī)定,要求涉及的實體完成影響評估,并及時處理影響評估的結(jié)果,有權(quán)強(qiáng)制執(zhí)行。任何違規(guī)行為將被視為“根據(jù)《聯(lián)邦貿(mào)易委員會法》第18(a)(1)(B)條的不公平或欺騙性行為”。作為對聯(lián)邦貿(mào)易委員會執(zhí)法權(quán)力的補(bǔ)充,《算法問責(zé)法案》將授權(quán)州檢察長對違法實體提起民事訴訟?!锻ㄓ脭?shù)據(jù)保護(hù)條例》賦予相關(guān)監(jiān)管機(jī)構(gòu)廣泛的執(zhí)法權(quán)力。這些獨立的主管機(jī)構(gòu)被賦予了廣泛的監(jiān)測、咨詢和調(diào)查權(quán),包括發(fā)出警告或訓(xùn)斥數(shù)據(jù)控制者;監(jiān)督數(shù)據(jù)控制者遵守數(shù)據(jù)對象行使權(quán)利的請求,例如解釋權(quán)、罰款。不僅如此,《通用數(shù)據(jù)保護(hù)條例》還明確規(guī)定,各成員國應(yīng)賦予監(jiān)管機(jī)構(gòu)權(quán)力,使其能夠?qū)⑷魏吻謾?quán)行為提請司法機(jī)關(guān)注意,并啟動法律程序以執(zhí)行《通用數(shù)據(jù)保護(hù)條例》的規(guī)定。[18]這些機(jī)制可被視為監(jiān)督受管制實體決策過程的一種手段。
《算法問責(zé)法案》和《通用數(shù)據(jù)保護(hù)條例》都是試圖利用影響評估優(yōu)勢對人工智能和其他自動化決策系統(tǒng)等數(shù)據(jù)處理工具實現(xiàn)有意義監(jiān)督的范例。但上述舉措并未針對特定行業(yè)和風(fēng)險等級進(jìn)行異質(zhì)化監(jiān)管。面對目前大數(shù)據(jù)產(chǎn)業(yè)的普及,執(zhí)法者在監(jiān)管方面資源有限,過多依靠政府部門監(jiān)管不利于通過公私合作降低治理成本和吸收外部第三方專業(yè)知識。因此,考慮到單一的監(jiān)管機(jī)制可能不足以靈活地適應(yīng)信息處理系統(tǒng)的多樣性,用一套規(guī)則來妥當(dāng)?shù)乇O(jiān)管所有相關(guān)行業(yè)比較困難,政策制定者和執(zhí)法者可能難以根據(jù)管制活動、公共政策目標(biāo)和外部性等因素來考慮必要的監(jiān)督水平。政策制定者根據(jù)特定領(lǐng)域的異質(zhì)性來開展監(jiān)督能更好保證政府監(jiān)督的效能。
2.公眾參與
在環(huán)境法領(lǐng)域,公眾意見是評估過程中的一個關(guān)鍵因素,為公眾提供提出意見和反饋的機(jī)會,被認(rèn)為是確保全面透明度的關(guān)鍵。在許多情況下,這些群體擁有有關(guān)環(huán)境和生態(tài)相互作用的寶貴知識,對開發(fā)人員和政府來說十分有益。例如,《美國國家環(huán)境政策法案》第240條是采用環(huán)境影響評估概念的主要立法之一,它要求有關(guān)機(jī)構(gòu)必須給予公眾參與的機(jī)會。?這種強(qiáng)制性的評論過程,使得個人和公民社會團(tuán)體能夠參與決策過程,從而使數(shù)據(jù)處理系統(tǒng)的黑箱變得更加透明。除此之外,它還可以加強(qiáng)決策過程的合法性,讓公眾更容易接受個人信息處理的結(jié)果,即使這個結(jié)果與他們自己的偏好不一致;使公眾參與到?jīng)Q策過程中來,可以提高觀點的多元度,擴(kuò)大個人信息處理者所考慮問題的范圍;激發(fā)信息交流,提高評估質(zhì)量,減少錯誤決策的機(jī)會;促進(jìn)公眾更深入地理解個人信息處理過程,并對所涉及的利害關(guān)系有更清晰的認(rèn)識,從而影響公眾對決策的態(tài)度;降低個人信息處理者使用評估工具來促進(jìn)特定利益集團(tuán)的利益的風(fēng)險,這在現(xiàn)實背景下尤為重要。在部署個人信息處理之前,公眾可以通過代表委員會的形式參與監(jiān)督,要求個人信息處理者或監(jiān)管機(jī)構(gòu)為公眾參與提供資金,并提供專門技術(shù)知識或獲得專門技術(shù)知識的渠道。它不僅需要外部技術(shù)專家的參與,還需要法律和倫理學(xué)專家的參與,為公眾提供智力支持。
3.內(nèi)部控制機(jī)制
影響評估的一個關(guān)鍵優(yōu)勢是其影響信息處理者內(nèi)部組織行為的能力。通過要求處理者進(jìn)行內(nèi)部檢查,影響評估促使編碼人員和設(shè)計人員進(jìn)行更深層次的分析,仔細(xì)調(diào)查可能存在的錯誤和不確定因素,并實施必要的步驟來糾正它們。影響評估的內(nèi)在性和靈活性將被監(jiān)管實體的注意力從單純的合規(guī)轉(zhuǎn)向了問題的解決和改進(jìn)。此外,內(nèi)部檢查可以阻止私營企業(yè)開發(fā)無法承受公眾監(jiān)督和辯論的處理系統(tǒng)。所有這些都將有助于促進(jìn)和改進(jìn)個人信息處理的發(fā)展和實施?;谛畔⑻幚硐到y(tǒng)的動態(tài)性,處理和決策過程可能會隨著時間而改變,因此需要強(qiáng)制性的定期影響評估。這意味著將在事前(在數(shù)據(jù)輸入系統(tǒng)之前)以及事后(通常在處理系統(tǒng)實施之后)進(jìn)行影響評估,這將增加透明度和公眾審查空間。周期性評估更適合處理系統(tǒng)不斷進(jìn)化的性質(zhì)。補(bǔ)充評估應(yīng)每隔幾個月或每年進(jìn)行一次,以反映輸入系統(tǒng)的數(shù)據(jù)的不斷變化以及法律的動態(tài)性要求。因此,處理者應(yīng)定期評估自己的信息處理系統(tǒng)。不同的行業(yè)表現(xiàn)出不同程度的活力,因此具體評估頻率因行業(yè)而異,需要不同的評估時間框架。
4.第三方審計
雖然可以對影響評估框架進(jìn)行定制,以更好地滿足個人信息處理的需要和屬性,但它們不能單獨作為促進(jìn)問責(zé)的手段,而是應(yīng)該被納入一個更廣泛的問責(zé)計劃,以確保內(nèi)部檢查和外部監(jiān)督。影響評估的優(yōu)勢在于其依賴于信息處理者的內(nèi)部流程,以保持用戶的參與度和品牌認(rèn)知度。自我評估機(jī)制特別適合于技術(shù)迅速變化的環(huán)境。此外,它們在很大程度上依賴于處理者自己的報告和評估,而這些報告和評估往往具有處理者的個人利益色彩。個人行使權(quán)利在緩解個人信息處理系統(tǒng)影響公眾自由和獲取信息利益方面的力量有限,許多個人可能缺乏必要的激勵或資源來行使其權(quán)利。而且,個人目標(biāo)和公共目標(biāo)可能相互沖突,個別解釋不太可能引發(fā)市場機(jī)制或公眾監(jiān)督。因此,有必要讓個人信息處理者接受更高層次的外部客觀審查,比如第三方審計。有學(xué)者將審計定義為一種獨立評估信息處理是否符合“適用的法規(guī)、標(biāo)準(zhǔn)、指南、計劃、規(guī)范和程序”的方法。?外部審計不能保證數(shù)據(jù)處理的完全透明,也不能完全彌補(bǔ)信息差距,但它仍然作為一種額外的監(jiān)督機(jī)制用于驗證處理決策,以防止不當(dāng)使用、歧視和對社會的負(fù)面影響。這種外部和客觀的審計制度應(yīng)該確保對處理系統(tǒng)進(jìn)行獨立、持續(xù)的監(jiān)督,最終將更好地保護(hù)公共利益。
影響評估是建立數(shù)據(jù)處理、算法問責(zé)制的關(guān)鍵工具。在個人信息保護(hù)影響評估流程下,個人信息處理者必須證明個人信息處理的必要性,決策的合理性和合比例性。隨著信息處理系統(tǒng)的廣泛應(yīng)用,出于對歧視性、偏見和安全的擔(dān)憂,影響評估作為風(fēng)險管理工具,是促進(jìn)對個人信息處理者的公眾監(jiān)督的有力工具。盡管影響評估方案具有突出的優(yōu)勢,但仍存在透明度有限、正當(dāng)程序不足、公眾審查空間有限的問題,在許多方面帶來了新的監(jiān)管挑戰(zhàn),僅依靠個人信息處理者進(jìn)行自我評估并不足夠,需要更多元的內(nèi)外部客觀監(jiān)督與審查予以補(bǔ)強(qiáng)。影響評估應(yīng)被納入更廣泛的協(xié)同治理架構(gòu),以確保公眾信任。結(jié)合內(nèi)部和外部監(jiān)督機(jī)制可能不足以完全克服個人信息保護(hù)影響評估工具面臨的挑戰(zhàn),但有助于改進(jìn)對個人信息處理系統(tǒng)的監(jiān)督。
注釋
①National Environmental Policy Act of 1969.
② E-Government Act of 2002;Commission Regulation 2016/679 of Apr.27,2016;General Data Protection Regulation,2016 O.J.(L 119) 1.
③E-Government Act of 2002;Privacy Impact Assessment(PIA)Guide.
④ Government of Canada,Directive on Automated Decision-Making;Washington House Bill 1655.
⑤ Internal Revenue Service,IRS Privacy Impact Assessment,Version 1.3,Washington,DC,17 December 1996.www.cio.gov/documents/PIA_for_it_irs_model.pdf.
⑥ Office of the New Zealand Privacy Commissioner,Privacy Impact Assessment Handbook,March 2002.
⑦ Roger Clarke,Privacy Impact Assessment in Australian Contexts,https://elaw.murdoch.edu.au/archives/elaw-15-1-2008.html.
⑧ 騰訊研究院:《GDPR生效后的第一張人臉識別罰單》,https://baijiahao.baidu.com/s?id=1648104332133048007.
⑨ DPIA Guidelines (n1) 7,10.
⑩ DPIA Guidelines (n 15) 7-10.
? Julia Angwin et al.,Machine Bias,Propublica (May 23,2016),https://www.propublica.org/article/machine-bias-risk-assessments-in-criminalsentencing [https://perma.cc/EUW3-NPLY].
? Jeffrey Dastin,Amazon Scraps Secret Al Recruiting Tool that Showed Bias Against Women,Reuters(Oct.10,2018),https://www.reuters.com/article/us-amazon-com-jobs-automation-insight/amazonscraps-secret-ai-recruiting-tool-that-showed-biasagainst-women-idUSKCN1MK08G [https://perma.cc/N4YF-6AMG].
? S.1108,Algorithmic Accountability Act of 2019.
? Commission Regulation 2016/679 of Apr.27,2016.
? ICO,PIA Handbook,op.cit.,p.2.
? General Data Protection Regulation),art.33(4),COM(2012) 0011 final (Apr.5,2016),https://eur-lex.europa.eu/legal-content/EN/TXT/? uri=CELEX%3A52012PC0011[https://perma.cc/H5PS-Z2KS].
? Report on the Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data (General Data Protection Regulation) (COM(2012)0011 -C7-0025/2012 -2012/0011(COD)),PARL.EUR.Doc.PE501.927v05-00(2013),http://www.europarl.europa.eu/sides/getDoc.do?pubRef=_//EP//TEXT+REPORT+A7-2013-0402+0+DOC+XML+VO//EN [https://perma.cc/6257-WT7E.
? Commission Regulation 2016/679,supra note 24,art.35(9).
? DPIA Guidelines(n1)17.
? National Environmental Policy Act of 1969,42 U.S.C.§§4321-70(2018).
? Joshua A.Kroll et al.Accountable Algorithms,165 U.PA.L.REV.660-661(2017).