歐盟個人數據保護法上的反自動化決策權研究

張建文 李錦華

摘 要：在大數據時代，信息成為一項重要的社會資源，如何開發和利用數據是現代社會無可回避的問題。個人數據本文中個人數據與個人信息作同一概念理解，不加以明確區分。保護法隨著科學技術和數據產業的發展備受關注。其中，歐盟對個人數據立法的研究和相關法律的規定較為成熟，其賦予了數據主體多種數據權利。最新成果體現在2016年的《一般數據保護條例》（GDPR），其規定的反自動化決策權也成為了理論和實務界的焦點。但對于反自動化決策權的研究尚需進一步深入，包括明晰反自動化決策權的概念和理論基礎、反自動化決策權的權利架構及反自動化決策權對我國個人信息保護立法的啟示等。希望通過對反自動化決策權的研究，為我國未來個人信息保護立法提供借鑒。

關鍵詞：個人數據保護法;一般數據保護條例;信息自決;反自動化決策權

中圖分類號：D913

文獻標識碼：A

文章編號：1673-8268（2019）02-0023-07

一、反自動化決策權概述

（一）反自動化決策釋義

自動化決策指建立在自動化基礎上的決策。它建立在整理收集人們大量個人數據的基礎之上，同時研究人的決策行為，使之能夠適合不同階層、不同行為方式的決策者需要[1]。在大數據時代，數據的整理分析可以大幅降低風險，提高決策的效率和正確性、最優性。如今，許多決策都不是由人工參與直接做出，而是通過算法后臺程序運作自動做出。在自動化決策普及率越來越高的時代，人工決策將從決策鏈中逐步淘汰，因為人工決策速度慢、犯錯率高，綜合考慮多種因素的能力較算法低。社會各領域越來越多地依靠自動化決策系統進行風險評估和機會分配。自動化決策技術能夠更好地將現代大數據分析的科學技術水平與分析預測未來行為的期待結合起來，從而做出符合未來發展趨勢的最優決策結果。然而，在算法不公開不透明的程序運作中，錯誤的信息或者涉及隱私的信息可能會被濫用，從而導致不公平不公正的決策結果，給個人帶來損害，甚至是災難性的后果。同時，當自動化決策中參入不公平或不正當的偏見因素或錯誤信息時，它們的預測功能將失去價值。即這種“黑箱”模式的自動化決策的泛濫將給整個社會帶來危險。而且，當無辜的人被視為危險恐怖分子或不講信用、工作表現差的人時，人們不僅對造成這種誤解的結果沒有申訴救濟的途徑，甚至可能對這一情況都一無所知。

自動化決策作為使用價值極高的決策手段，我們應該將其放在何種位置？依靠自動化系統做出的應當是什么樣的決策？對于自動化的決策我們如何進行審查和質疑？如果自動化決策出現了算法歧視、算法錯誤導致經濟損失或人格利益受損時，自動化決策的相對人是否可以得到救濟？通過何種途徑獲得救濟？又應當如何確定自動化決策造成損害的責任主體？如今將計算機算法程序當作擋箭牌的情況很多，有很多類似“都是計算機的問題，我們也沒有辦法……”的托辭。面對這種不作為推卸責任的做法，我們沒有任何預設的可質疑路徑。計算機算法盡管犯錯率極低，但是出現錯誤也是十分正常的事情，因為算法最初就是由人類設計，很可能出現人類常常會犯的錯誤和偏見，也無法完全掌握與該事項相關的所有信息，因為世界上不存在十全十美的事物，所以沒有人能夠要求算法達到百分之百正確。因此，為自動化決策的相對人提供一種救濟權利，包括提出質詢、要求解釋的權利，可以通過指定一個專門的負責人處理質詢事件，該負責人有權對算法決策結果正確與否做出判斷，同時也有糾正錯誤算法的權利，這對于保護自動化決策相對人具有重要意義[2]。如果算法決策不容置疑，或者沒有合適的途徑進行異議，那么它的存在就不僅不能稱為一種進步，而且完全可能形成新型的“專制暴政”。

綜上所述，由于自動化決策已經在我們現代社會扎根發展壯大，成為社會中的一部分，因此自動化決策帶來的歧視、不公平和不公正現象以及算法錯誤造成的經濟損失或人格利益受損等問題不容忽視。針對這些算法決策設計一套可質詢程序是當務之急。而解決這些問題的前提是自動化決策的相對人擁有拒絕被算法自動化處理的權利，有權對自動化處理的決策提出質疑，并就遭受的損失提出賠償請求等救濟的權利，即賦予自動化決策的相對人以反自動化決策權。

（二）反自動化決策的意義與價值

反自動化決策是數據主體對個人數據自主控制的必然要求。反自動化決策的立法構想在于允許自然人對提供給數據處理者經過匿名化處理的個人數據進行再次利用后所形成的算法程序（該算法程序所作的自動化決策行為對自身產生重大影響時）提出意見，包括有關要求以易于理解的形式傳達有關的數據信息，有權視情況提出修改或刪除信息的要求，并在相關請求遭到拒絕時尋求救濟參見歐盟系列條約第108號《有關個人數據自動化處理之個人保護公約》第8條。[3]。根據《有關個人數據自動化處理之個人保護公約》第1條規定可知，該公約的目的是為了保障個人的權利和基本自由受到尊重，強調特別是對個人數據進行自動化處理時，應當充分保護個人的隱私權。由此可知，賦予數據主體反自動化決策權的目的在于尊重個人自由和尊嚴，減少自動化處理給個人可能帶來的不利影響。反自動化決策權賦予了數據主體對個人數據較大強度的控制力，個人數據可依照數據主體的自由意志、自主決定是否被自動化處理，即使是經過數據主體同意所進行的自動化處理，數據主體仍然可以對該自動化處理結果進行確認、異議，根據情況要求修改或者刪除。

一方面，考慮到反自動化決策個人信息處理涉及傳統隱私和數據保護問題之深層原因在于社會要求保障人權，尤其是不歧視、言論自由和信息自由的人權要求，在高度強調人文精神的現代社會里，需要更廣泛地考慮人權的需求。但是自動化決策具有過度依賴數據的缺點，自動化決策所依靠的數據來自廣泛獲取的個人數據，而這些數據可能本身就包含個人或社會成見，導致基于偏見數據所做出的自動化決策結果不公平地歧視個人或群體，干擾個人權利，導致人們被排除在社會生活的某個領域之外，使個人無法享受某些服務或福利待遇。2018年，第40屆數據保護與隱私專員國際大會《人工智能倫理與數據保護宣言》中主張，人工智能發展需要道德和人權的考慮進行補充，應當充分尊重人權、保護個人數據和隱私權以及人的尊嚴不受侵害，考慮到自動化決策系統對隱私權和數據保護權的挑戰，應當保證個人能夠控制和理解自動化決策系統。

另一方面，反自動化決策權的規定可以從側面要求自動化決策系統的所有相關人員，為了自動化決策結果不違反法律規定或造成損害從而引起數據主體尋求法律保護，而更加積極主動地采取安全保障措施，包括在原始數據收集時盡可能保證數據的真實準確，在分析整理數據形成算法程序時保證設計者的個人偏見不帶入系統，主動監管自動化處理系統作出決策的全過程，在發生決策錯誤或其他不公平不公正的結果時，能夠準確定位到具體出錯環節，明確應當承擔責任的主體等。反自動化決策權有利于保障人權，保護個人數據安全、隱私以及人的尊嚴不受侵害。

二、反自動化決策的理論基礎

最早使用“個人信息自決權”概念的是德國學者施太姆勒，他認為人們有權自由、自主地決定是否讓自己以外的其他人獲悉自己的所思所想所為，這項權利屬于德國關于人的自由發展權的范疇。在德國的“人口普查案”的判決書中，法庭使用了“信息自決”的概念，承認了自然人有權決定其信息是否被公開或使用。對于德國聯邦憲法法院來說，個人的自決是指：在面對某種可能性的時候，個人有作出從事或者放棄決定的自由，并且依照此決定而行為[4]。該案對立法、司法、學術研究產生了重大影響，判決中的信息自決概念被廣泛引用[5]，為歐盟和其他國家及地區個人數據保護立法提供了法學理論和判例上的支撐。康德也說過，每一個理性存在的人是他自身的目的而不是工具，所有的行動都是以自身存在為出發點[6]。個人有自主能力對自己的行為經過思考而作出選擇。信息自決權在我國臺灣地區也獲得了一定發展。臺灣司法院于2005年出臺的第603號解釋認定強制公民按捺指紋的規定違反了憲法要求保障的基本人權[7]。該司法院解釋與德國人口普查案中論證信息自決的原理基本一致[8]。我國憲法雖未明確將其列為一項公民的基本權利，但也有學者（如王利明教授）主張將個人信息權作為一種具體人格權進行規范，法律應尊重個人對其信息的控制[9]70。我國《憲法》第38條所確立的人格尊嚴不受侵犯條款可以成為信息自決權的正當性基礎[9]72。

自決權是一項自己決定如何向世界展示自我的權利。在個人信息保護中，自決權體現為個人有權自行決定是否將個人信息轉移或進一步使用。即個人信息自決權指信息主體擁有是否披露個人信息以及所披露個人信息的范圍、時間、方式、對象等的權利。因此，想要獲取個人信息必須獲得信息主體的同意。個人信息自決權中自我決定的對象是與個人相關的信息[10]。因此，信息自決在于保障個人對自身信息的控制，更多時候是為了防止個人信息在毫不知情的情況下被不當利用。王澤鑒先生也曾指出，現在的隱私權法律體系已經轉變為“以個人信息自主權為中心的法律體系”[11]。因此，為促進信息的自由流動和保護公民的人格利益，自然人除了有權決定其個人信息是否以及在何種程度、范圍內被收集、使用和處理，還有權以平等主體身份參與到個人信息的自動化處理決策過程中[12]。

三、GDPR中反自動化決策的權利架構

（一）反自動化決策權的適用前提

自動化決策作為大數據時代促進經濟發展、促進數據高速流通、保障數據分析精準高效的數據處理手段，不論是消費頁面定點投放的廣告，微博、新浪新聞的推送服務，還是網易云音樂的個性化推薦，無時無刻不在影響著我們的生活，給我們的生活帶來了快捷精準的個性化服務，從而減少了用戶的搜索成本，提高了效率。生活中絕大多數的自動化決策處理行為，不會給人們造成或產生太大的不利影響。自動化決策不僅能夠提高個人數據的商業價值，而且能為人們提供優質服務。因此，如果不對反自動化決策權的使用范圍進行限定，將給數據處理者帶來極大的成本負擔，同時造成資源浪費（時間、人力、司法資源等），不利于以數據為核心的產業發展，從而阻礙數字經濟的發展。歐盟《通用數據保護條例》（general data protection regulation，GDPR）第22條規定：“對于僅基于自動化數據處理的決策，包括特征分析，若其產生的法律效力涉及數據主體，或對他/她有類似的重要影響，則他/她有權不成為此決策的對象。”因此，從GDPR的規定可以看出，數據主體反自動化決策的權利是在該自動化決策的行為產生的法律效力涉及自身或產生類似重要影響時方可行使的權利。比如當這些自動化決策損害人們獲得信貸、工作、住房和其他重要利益時，人們有權利拒絕被自動化決策模式處理，即擁有反自動化決策的權利，人們至少有權對自動化決策處理結果提出自己的意見[13]。

（二）反自動化決策權的主體

反自動化決策權權利主體的確認直接決定了誰享有該項新型數據權利。根據歐盟GDPR序言第14條[14]和第1條第2款[14]規定可以得知，GDPR的保護對象是自然人，其重點保障自然人的基本權利和自由。因此，GDPR所要保護的主體是自然人，即GDPR所規定的數據權利的主體是自然人。

按照傳統民法理論對于自然人的研究以及世界各國民事立法對自然人的規定可以得知，自然人一般是指基于出生的事實存在于世的人。WP29工作小組也在意見中指出，在各成員國現行民法典對自然人的定義下，“個人數據因此在原則上是關于已識別或可識別的在世的人的數據” [15]。GDPR序言（27）規定：“本條例不適用于死者的個人數據。成員國可以為死者個人數據的處理行為制定規則。”[14]沒有生命的死者不屬于自然人的范疇。所以，死者無法成為反自動化決策權的主體。對于法人的權利主體資格，雖然GDPR沒有直接排除適用，但從其第4條關于個人數據的定義以及立法目的可以看出，法人也無法成為反自動化決策權的權利主體。

同時，GDPR第8條規定兒童數據處理需由父母同意。處理低于16歲（其他成員國可以規定其他年齡但不得低于13歲）兒童數據時，必須獲得其父母或監護人的同意。反自動化決策權用其他方式表達即為不同意被自動化決策處理，不接受自動化決策的約束。GDPR規定兒童行使同意權利的年齡限制是考慮到兒童心智、知識和經驗等方面不夠成熟，不能夠作出正確合理的意思表示。因此考慮個人數據保護的立法目的，對于低于16歲（其他成員國規定低于13歲）的兒童的反自動化決策權由其父母或法定監護人代為行使。

（三）反自動化決策權的客體

GDPR第22條規定：“數據主體有權反對此類決策：完全依靠自動化處理——包括用戶畫像對數據主體作出具有法律影響或類似重大影響的決策。”GDPR將用戶畫像作為典型的自動化決策類型進行特別舉例強調，具體指任何以評估個人的特定方面為目的，對個人數據進行自動化處理的形式，包括對工作表現能力、經濟狀況、信用狀況、健康狀態、個人喜好、忠誠度、地理位置、消費趨向等進行分析和預測。因此，反自動化決策權的客體是自動化決策的結果。根據歐盟法律規定的有權反對的“自動化決策”須滿足以下三個特征：一是該決策只能是以自動化處理方式進行，即決策不是由人工參與直接做出的，而是通過算法后臺程序運作自動做出的決策結果;二是該自動化處理的決策是對于個人特定方面的分析和預測，而不是其他與個人無關的內容和事項，個人特定方面包括但不限于經濟條件、健康狀態、信用度等;三是自動化處理的決策結果應當對個人有法律效果或其他類似重大影響[16]。

（四）反自動化決策權的內容

一是GDPR第22條第1款規定，未經同意或履行合同或法律其他規定所作出的自動化決策，數據主體有權不受限制。數據主體有權不受對其自身產生法律效果或其他類似重大影響的自動化決策的限制。

二是GDPR第22條第3款規定，即使基于數據主體同意或履行合同需要或法律的其他規定所形成的自動化決策結果，數據控制者仍舊應當采取適當的措施保護數據主體的自由權利和正當化利益，同時數據主體至少擁有對自動化決策系統的使用者進行人為干預的權利，可以表達自己的觀點或提出質疑。因此，即使是經過數據主體同意的自動化決策，數據主體仍然有權采取對該自動化決策提出質疑或反對意見等人為干預的方式行使反自動化決策權。

（五）反自動化決策與其他權利的關系

1.反自動化決策權與拒絕權

GDPR第21條規定了拒絕權。即在關于他/她的特定情形下，任何有關他/她的個人數據處理和分析，數據主體擁有拒絕權。數據主體有權拒絕任何與之相關的個人數據處理。這一規定是為了保障數據主體對自身信息的絕對控制權，切實落實個人信息自決的理念，保障個人數據的安全、尊嚴和隱私等權益。

而反自動化決策權作為拒絕權中的一種，內涵和外延都沒有拒絕權寬。反自動化決策權僅在該自動化決策對其產生法律效果或其他類似影響時可以提出質詢或不受限制，而拒絕權可以在源頭就扼制數據收集及進一步使用的可能。自動化決策建立在收集整理分析大量個人數據的基礎之上[1]。從根本上看，自動化決策作出的過程，除了最初原始數據樣本收集的海量數據中包含有未經處理的可識別到個人的數據（收集時已然應獲得數據處理合法的依據），經過無數個同類的個人數據整理并經過匿名化處理后形成一個類別的集合（結論報告），原則上無法識別到個人。基于這些數據運作的自動化處理過程，也不會直接識別到個人，這類數據的進一步利用不需要獲得數據主體的同意或其他合法處理依據。根據前文所述可知，反自動化決策權僅在自動化決策對權利主體產生了法律效果或其他重大影響時得以行使并獲得救濟。例如，由于自動化決策的算法程序的基礎數據錯誤、設計者的觀點偏見、程序本身的技術缺陷等造成的歧視、不公平不公正或其他錯誤決定，導致自動化決策的相對人的生活、工作、經濟等利益受到損失時，可以對該決策提出質疑，要求自動化決策的使用者進行解釋，并在受到非法損害時請求賠償等。

因此，反自動化決策權更側重于救濟，賦予數據主體在特定情形（對自身產生法律效果或其他類似重大影響時）獲得救濟。而拒絕權是強烈體現以人為核心的價值觀，能夠從源頭切實保障個人自主決定權，體現數據主體對個人數據強烈的控制力。

2.反自動化決策權與其他權利和自由

在信息爆炸時代，大數據的整理分析可以大幅度降低風險，提高決策的效率、正確性與最優性。自動化決策是適應數字時代高效快捷的經濟發展需求和保障企業、政府或其他組織作出最優決策的手段之一，不僅可以減少人力、物力和時間成本，同時可以降低決策失誤，減少人為偏見影響。但是，反自動化決策權的行使必然會與其他權利和自由發生沖突。原則上，數據主體對于自動化處理的決策結果沒有干涉的權利，因為個人數據的立法目的是為了保護個人數據，即可識別或可能識別個人的數據。自動化決策的數據均要求經過匿名化等去識別性的措施處理，無法定位到具體個人。因此自動化決策處理不需要獲得主體同意即可合法進行，除非該自動化決策結果對相對人產生了法律后果或類似重要影響，否則反自動化決策權沒有可適用余地。反自動化決策權是數字經濟發展中鼓勵以數據為發展核心的企業充分挖掘個人數據的商業價值，發掘個人數據對國家安全與公共利益的重要價值與以人為核心的個人信息保護法律體系構建之間的矛盾、沖突的調節器，能夠使多方利益沖突達到相對和諧平衡狀態，實現共贏發展。

四、GDPR中支撐反自動化決策權的制度規范

（一）同意的制度規范

同意的概念在西方首先是在政治領域使用，但是不僅僅局限于政治領域，在其他領域例如商業領域、醫療領域和家庭生活領域。也存在涉及個人同意或集體同意的問題。當前許多國家已然將同意作為個人數據處理的合法要件之一，GDPR更是規定了當前最為嚴格的同意規范。同意不僅體現了數據主體對自身相關的個人數據的控制權，更是個人數據處理的合法依據。GDPR第22條規定了僅三種例外情形下，自動化決策方屬合法行為，數據主體沒有提出反對自動化決策的權利。即如果不符合以下三個條件之一，該自動化處理行為即為違法行為：一是數據主體與數據控制者的合同簽訂或履行合同所必要的;二是歐盟或成員國的法律所授權的;三是數據主體的明確同意。前面兩種情形屬于特殊情形，數據主體的同意是大多數自動化決策合法的依據。同時，GDPR第22條第3款規定，即使在第一種和第二種情形下，數據控制者仍應當保障數據主體對控制者進行干涉、表達其觀點和對決策進行異議的權利。因此，即使在數據主體同意其對用戶畫像等進行自動化決策的情形下，數據主體仍然有提出異議、發表意見的權利。盡管同意只是在當前絕大多數個人信息保護法律規范下處理個人信息的若干合法理由之一，但無疑是最具全球性的合法標準，并且最有可能使用戶產生信任。可以認為，同意是基于對行為的事實、含義和后果的清楚理解并作出的選擇，是權利主體基于自由意志所做的許可允諾的意思表示。同意能夠體現尊重和保護數據主體相關數據權利的時代要求。

（二）匿名化制度規范

根據前文所述，GDPR中將用戶畫像作為典型的自動化處理進行舉例。根據GDPR的解釋，“用戶畫像”指為了分析個人特定方面信息從而預測未來行為而對個人數據進行的自動化處理，尤其是為了評估個人的信用度、工作能力、行為表現、興趣偏好、健康狀態等特定方面的情況而進行的數據處理。即自動化決策的結果與個人的相關性依舊強烈。匿名化處理是數據控制者進一步利用數據所應當采取的安全技術手段，以保護數據主體的合法權益。“匿名化就是去除數據中個人標識符的過程”[17]，目的在于切斷數據與個人之間的聯系，使之不具有“可識別性”，確保個人數據不能關聯到某個已識別或可識別的自然人，有利于規制數據處理者，防止數據的進一步處理侵犯主體權益，保障數據主體的人格尊嚴、隱私等。因此，進行自動化決策的前提應當是對個人數據進行匿名化處理。如果沒有采取有效的匿名化處理技術（或其他可以消除數據的可識別或可能識別的性質的技術手段），切斷信息中“可識別”或“可能識別”的聯系，該自動化處理的決策結果就不符合法律法規的要求，即該數據處理行為不具有合法性，數據主體有權提出異議，要求修改刪除和賠償損失。

（三）禁止或限制特殊個人的數據處理制度規范

GDPR中明確禁止對個人敏感數據進行自動化處理。對于敏感數據的類型各國沒有同一標準和范圍，但是具有重疊部分。普遍認為種族、政治觀點、宗教信仰、健康、生物數據、基因數據和與性相關的數據為敏感數據。對于這些敏感數據原則上限制處理。在自動化決策處理中，對敏感數據進行處理的前提是獲得數據主體的明確同意或基于法律規定的其他合法依據。但是系統總是在無意識的情況下自動收集處理個人信息，難以自動判定是否屬于敏感數據而不進行自動化處理，因此基于自動化處理方式下的決策很可能會有侵犯隱私的風險[18]。

五、GDPR中反自動化決策權的啟示

“個人信息權是一種新興權利。”[19]歐盟地區有關個人數據保護的立法不論是法律體系的完備還是規定主體權利的新穎，在全球范圍內是數一數二的，歐盟個人數據保護歷年發展的立法規范是世界各國各區域個人信息保護立法的借鑒對象。因此，GDPR規定的反自動化決策權對于我國未來的個人信息保護立法具有重要的啟示和借鑒價值。

首先，個人信息保護立法的最根本目的在于保障人權。立法者應當堅持以人為核心的價值觀構建個人信息保護法律體系，“以保護個人信息之上的人權保障，實現個人信息保護法制的體系化”[20]。

其次，明確賦予自動化決策相對人以反自動化決策權。尊重個人言論自由、信息自由等相關權利，賦予個人對自身產生影響的自動化決策提出異議的權利，包括提出質詢、要求解釋、甚至不受限制的權利，從法律上最大限度地保障個人對自身信息的控制。

最后，在反自動化決策權利受到法律明文保護的基礎上，進行反自動化決策的制度建設。從多方面保障反自動化決策權的行使。例如引入算法解釋。算法解釋指的是，當自動化決策的具體決定對相對人產生了法律上或其他類似的重要影響，相對人對該自動化決策使用人提出質疑，要求對自動化決策的結果進行具體解釋的權利[21]68。算法解釋權包含了自動化決策相關者之間的博弈[22]，同時也是信息不對稱的矯正工具，是意思自治的必然要求[21]69。算法解釋請求權的引入，賦予相對人對自身有重大影響的自動化決策的結果提出質疑并要求解釋的權利，為信息主體提供一個合理的救濟路徑，平衡多方的利益需求。還可以通過建立問責制，確保對自動化決策潛在的影響和后果保持時刻關注，促進利益相關者（例如個人、監管部門和其他第三方）對自動化決策系統進行監控、監管、定期評估、定期審查參見《人工智能倫理與數據保護宣言》中的責任原則。。

保障自動化決策的全過程均有利益相關人的參與和監督，使自動化決策過程對參與者透明化，確保決策導致的錯誤、歧視等問題都能夠準確定位到具體的出錯環節，找到對該自動化決策結果負責的主體，以期解決自動化決策帶來的問責機制弱化問題，切實保障反自動化決策權得以行使，保護數據主體的合法權益。

參考文獻：

[1]?李勃，王端.科學決策辭典[M].北京：經濟管理出版社，1995：103.

[2] 瑟格·阿比特博，吉爾·多維克.算法小時代：從數學到生活的歷變[M].任軼，譯.北京：人民郵電出版社，2017：104-111.

[3] 個人數據保護：歐盟指令及成員國法律、經合組織指導方針[M].陳飛，譯.北京：法律出版社，2006：161.

[4] 謝遠揚.個人信息的私法保護[M].北京：中國法制出版社，2016：103.

[5] 賀栩栩.比較法上的個人數據信息自決權[J].比較法研究，2013（2）：65.

[6] 朱偉.知情同意：困難和出路[J].哲學動態，2008（2）：42.

[7] 謝永志.個人數據保護立法研究[M].北京：人民法院出版社，2013：118.

[8] 楊芳.個人信息自決權理論及其檢討——兼論個人信息保護法之客體[J].比較法研究，2015（6）：23.

[9] 王利明.論個人信息權的法律保護——以個人信息與隱私權的界分為中心[J].現代法學，2013（4）.

[10]蕭奕弘.論個人資料保護法的法制性問題[J].成大法學，2012（23）：149.

[11]王澤鑒.人格權的具體化及其保護范圍·隱私權篇（中）[J].比較法研究，2009（1）：10.

[12]閆靜.信息自決權理論下的檔案隱私保護路徑探析[J].檔案學研究，2016（1）：81.

[13]弗蘭克·帕斯奎爾.黑箱社會：控制金錢和信息的數據法則[M].趙亞男，譯.北京：中信出版社，2015：213.

[14]Official Journal of the European Union. General Data Protection Regulation[EB/OL].[2018-09-05].https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/？uri=CELEX：32016R0679&from=EN.

[15]Article 29 Data Protection Working Party， Opinion 4/2007 on the concept of personal data [EB/OL].[2018-09-05].http：//ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf.

[16]鄒茜.歐盟個人數據處理中自動化個人決策法律規制研究[D].重慶：西南政法大學，2017：17.

[17]張晨原.數據匿名化處理的法律規制[J].重慶郵電大學學報（社會科學版），2017（6）：53.

[18]吳燦銘，王震環.電子商務與網絡營銷實用教程[M].北京：清華大學出版社，2016：259.

[19]閔豐錦.個人信息權保護的法律界限研究[J].重慶郵電大學學報（社會科學版），2018（4）：56.

[20]楊翱宇.我國個人信息保護的立法實踐與路徑走向[J].重慶郵電大學學報（社會科學版），2017（6）：50.

[21]張凌寒：商業自動化決策的算法解釋權研究[J].法律科學（西北政法大學學報），2018（3）.

[22]賈章范.法經濟學視角下算法解釋請求權的制度構建[J].黑龍江省政法管理干部學院學報，2018（4）：76.