商業自動化決策規制的私法困境及其完善路徑

王東方

（北京航空航天大學法學院，北京市 100191）

自動化決策在商業決策中發揮著越來越重要的作用，但相關自動化決策工具在改善商業決策的同時，也日益引發人們對算法偏見或者隱私侵害的擔憂。因為自動化決策遵循的是技術邏輯，相關自動化決策技術內在具有專業性、自主性、隱蔽性等特點，被決策主體通常很難知悉自己是否被自動化決策，很難理解機器學習模型如何對復雜的個人數據進行組合以及如何將輸入特征映射為輸出結果。商業決策主體借助其與被決策主體間的信息不對稱，很容易開展算法歧視、隱私侵害等活動。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第十三條規定，個人信息處理者處理相關個人信息時需取得信息主體的同意（事前告知義務）；第二十四條規定，個人有權要求個人信息處理者就對個人權益有重大影響的自動化決策予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定（事后說明義務和自動化決策結果拒絕權）。通過上述梳理可知，對于自動化決策，《個人信息保護法》是以事前告知義務、事后說明義務和自動化決策結果拒絕權為核心構建的規范體系，但該規范體系僅僅停留于自動化決策的一般邏輯（框架層面），并未深入至自動化決策的具體邏輯（算法層面）。從本質上看，商業自動化決策的規制可分為兩個方面，即一般邏輯（框架層面）與具體邏輯（算法層面），而自動化決策的規制不應僅僅依托于私法規范停留在自動化決策的框架層面，更應關注自動化決策的算法層面，實現商業自動化決策規制的公私法協作。

一、邏輯起點：被決策主體是否享有算法解釋權

依據通常邏輯，因為商業自動化決策存在算法黑箱，而商業決策主體必然知悉算法運作，所以如果賦予被決策主體算法解釋權，則商業決策主體與被決策主體間的信息不對稱便可有效消除。事實真的如此嗎？盡管有關算法解釋權的論述已相當繁多，但無論從比較法還是從可行性上看，被決策主體都不應被賦予算法解釋權。

（一）比較法視角下算法解釋權質疑

對算法解釋權的討論，最初興起于歐盟的《一般數據保護條例》（General Data Protection Regulation，GDPR）。首先，GDPR 序言第七十一條規定：“在任何情況下，針對此種處理行為都應設有適當的保障措施，包括向數據主體提供詳細的信息，以及要求進行人工干預的權利，表達數據主體觀點的權利，要求對評估后作出的決定進行解釋的權利，以及對決定提出質疑的權利。”基于此，有學者認為歐盟GDPR通過該條創設了算法解釋權。[1]然而，此種觀點實為對該條的誤讀。事實上，GDPR從沒有創設所謂的算法解釋權。一方面，就文意理解而言，GDPR 序言第七十一條確實提及“要求對評估后作出的決定進行解釋的權利”。但是，就體系理解而言，該權利被置于序言之中，而序言對歐盟各成員國并沒有法律約束力。因此，不能僅僅通過該條便得出GDPR 賦予了被決策者算法解釋權。另一方面，從歷史解釋的角度看，2012年公布的GDPR（草案）第二十條第五項確實規定了“個人請求解釋算法的權利”，但歐盟議會最終在2014年提交的版本中刪除了這項權利。[2]由此可知，歐盟議會在GDPR立法過程中確實希望數據控制者能解釋其自動做出的決定，但在GDPR立法的政治談判中最終沒有達成一致。立法者之所以將“解釋”一詞放在不具約束力的第七十一條，很大程度上是希望最終的解釋由歐盟法院在未來的某個時間給出。[3]至于何時給出或者能否給出，尚不明確。此外，2017年歐洲數據保護機構在《關于自動個人決策和分析的指南》中亦明確指出，應該找到簡單的方法，告訴數據主體背后的理由或達成決定所依賴的標準，但不是對所使用算法做復雜解釋或披露完整算法。[4]

其次，GDPR第十三條、第十四條、第十五條規定，控制者在獲取個人數據（在必要的情況下，出于證實處理過程公正和透明的需要）和處理個人數據時，應向數據主體提供如下信息：自動化決策機制、涉及的邏輯程序、對數據主體的重要意義和設想結果。有學者認為，該條實則確立了算法解釋權。[5]但該觀點是不正確的。因為即使被決策主體享有算法解釋權，那么該權利也應是一項請求權，[6]而GDPR第十三條、第十四條、第十五條所規定的告知事項是在自動化決策前商業決策主體應向被決策主體主動提供的，并不需要被決策主體的請求。若如有些學者所言，將上述內容定性為算法解釋權的具體內容，[7]則被決策主體的知情同意將可能無法實現。因為自動化決策針對的是個人數據處理，個人數據處理需取得數據主體的同意，而同意的有效實現取決于數據處理者與數據主體的意思表示是否合致。如果將商業決策主體應主動告知的事項轉化為被決策主體請求告知的事項，則被決策主體知情表示的充分性便無法保障。這相當于免除了商業決策主體的先合同義務，以及被決策主體同意后商業決策主體應承擔的締約過失責任。顯然，這并不符合誠實信用與公平原則。綜上，無論是GDPR序言的第七十一條還是GDPR正文的第十三條、第十四條、第十五條，都未創設所謂的算法解釋權。

（二）可行性視角下算法解釋權質疑

域外確實無比較法借鑒，但這是否就意味著算法解釋權不具有可行性？答案顯然是否定的。若想創設算法解釋權，就必須滿足技術可行性與效果可行性兩個方面的要求。

首先，關于算法解釋權的技術可行性。因為商業自動化決策是以機器學習尤其是深度學習為核心的，且自動算法依賴于不同用戶的實時、海量數據，所以其多存在于擁有事實“權力”的網絡平臺、金融機構等商業主體之中。從本質上看，深度學習是一種擁有自主學習能力的動態算法，該種算法會在初始算法模型基礎上不斷吸收新的原始數據和反饋數據，并自主生成更復雜的算法模型。算法設計者也無法解釋自己設計的算法模型可生成的結果。[8]因此，區別于傳統算法，自動化決策算法不僅具有自動性還具有自主性。申言之，自動化決策算法使用的多是描述優化參數或預期目標的算法，但并不給出需要遵循的一系列規則；而傳統算法則是自上而下的基于規則的指令，確切地告訴計算機做什么、怎么做。例如銀行并非基于靜止的標準來確定申請人是否具有獲得貸款的資格，而是通過算法的連續迭代不斷優化信用評分模型，并提升預測能力。[9]在這一過程中，銀行的數據科學家甚至也無法解釋信用評分標準是如何通過深度學習確定的。因此，盡管追求可解釋性是我們信賴的思維模式，但因為自動化決策算法本身具有自主性特點，其結果很大程度上是不可解釋的。恰如有學者所言，要求所有算法都必須滿足可解釋性是一項不可能完成的任務。[10]

其次，關于算法解釋權的效果可行性。就世界范圍而言，凡支持算法解釋權的學者都始終秉持這樣一種觀點，即為證明涉及機器學習或由機器學習模型構成的決策過程是合理的，參與決策過程的個人需要解釋機器學習模型是如何工作的。[11]從形式邏輯上看，該觀點并無問題，但由該觀點的底層邏輯可知，其實質是以忽略數據主體知識的有限性為前提進行的觀點預設。通常而言，普通人并不具有理解算法運作的專業知識，也不具有深入了解算法具體運作的可能。例如，當面臨不公平自動化決策結果時，普通人所知道的僅僅是自己被商業自動化決策不公平對待，至于自動化決策算法如何進行的不公平對待，即使得到商業決策主體的完整源數據，多數情況下被決策主體也并不當然理解其中的原因。因此，即使賦予被決策主體算法解釋權，即使商業決策主體愿意向被決策主體提供相關自動化決策算法的源數據，被決策主體也很難理解算法的具體運行規則以及算法是如何侵害其利益的。

二、商業自動化決策規制的私法框架及其困境

商業自動化決策中被決策主體不享有算法解釋權。商業自動化決策規制的私法框架是以告知同意規則-事前告知義務、個人信息處理知情權-事后說明義務和自動化決策結果拒絕權為核心構建的規范體系。但這種規范體系以保障被決策主體知情為邏輯起點，不能有效解決自動化決策中存在的算法黑箱問題。此外，無論是私法規制框架內的事前告知義務、事后說明義務還是自動化決策結果拒絕權，都存在適用困境的問題，需予以妥善解決。

（一）商業自動化決策規制的私法框架

1.告知同意規則-事前告知義務

法律行為的要旨是根據行為人意志發生相應的法律效果。[12]因此，意思表示是法律行為的核心，而法律效果的有效產生需以意思表示的自由為前提。以本質而言，商業自動化決策屬于針對被決策主體之個人信息的信息處理行為。《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十五條規定，處理個人信息應征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外。根據該條可知，商業決策主體對相關個人信息進行自動化決策時需取得被決策主體的同意。但是，對被決策主體同意這一意思表示的自由應如何保障呢？《個人信息保護法》第十七條規定：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：......”。由此可知，被決策主體同意的自由是通過商業決策主體之法定告知義務來實現的。

需要說明的是，商業決策主體在自動化決策前主動履行告知義務的目的并不是保障被決策主體的知情權，因為此時的被決策主體未做出同意的意思表示，商業決策主體與被決策主體之間并未達成任何法律關系。因此，商業決策主體告知什么或者不告知什么，均應由其在法律規定的限度內自主決定。但是，如果商業決策主體告知的內容未能達到使被決策主體知情的程度，進而限制了被決策主體同意的意思表示自由，則商業決策主體在被決策主體同意后需承擔相應的締約過失責任。因此，事前告知義務的最終目的是確保被決策主體同意的自由，該義務的履行雖然以實現被決策主體的知情為目的，但目的絕不是保障被決策主體的知情權。進而言之，事前告知義務的功能在于滿足被決策主體對自動化決策的風險預期，從而保證被決策主體同意的自由。

2.個人信息處理知情權-事后說明義務

《個人信息保護法》第二十四條規定：“通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明。”基于該條可知，被決策主體并非對任何自動化決策結果都有權請求商業決策主體予以說明，其僅限于“對個人權益有重大影響”的決定。需要明確的是，此時的商業決策主體已經與被決策主體就信息處理達成合意（至少是形式上無瑕疵）。如果肯定被決策主體享有算法解釋權，則被決策主體必然可基于算法解釋權請求商業決策主體就自動化決策的具體過程做出說明，而商業決策主體便需通過提供自動化決策的閾值或權重設置等方式實現被決策主體對其個人信息處理情況的知悉。

但正如前所述，因知識的局限性，且商業決策主體的商業秘密同樣需要保護，被決策主體不可能享有算法解釋權。進而言之，被決策主體不可能基于算法解釋權請求商業決策主體予以說明。若被決策主體不享有算法解釋權，卻有權要求商業決策主體對自動化決策結果予以說明，那么該主張的請求權基礎是什么呢？從商業決策主體之事后說明義務上看，該說明義務指向的是商業自動化決策后被決策主體對自動化決策過程的知情，具體包括是否存在算法歧視、是否存在差異化定價等。在民事權利體系的概念清單里，除可實現被決策主體對其個人信息處理知情的算法解釋權外，還有一項權利承擔著同樣的功能，即知情權。知情權本是一項公法性權利，但在民事領域得到廣泛的拓撲，具體到個人信息保護領域則表現為個人信息處理知情權。例如《個人信息保護法》第四十四條規定：“個人對其個人信息的處理享有知情權。”從該權利的性質上看，個人信息處理知情權應是一項請求權，而商業決策主體所應承擔的說明義務是以被決策主體對該權利的主動行使為前提的。因此，被決策主體可基于個人信息處理知情權就對其個人權益有重大影響的自動化決策結果請求商業決策主體予以說明。但商業決策主體此時負有的是事后說明義務，與事前應主動履行的法定告知義務有明顯區別。

3.自動化決策結果拒絕權

《個人信息保護法》第二十四條第三款規定：“通過自動化決策方式作出對個人權益有重大影響的決定，個人有權拒絕，......個人信息處理者僅通過自動化決策的方式作出決定”。通過該條可知，被決策主體并非享有絕對的自動化決策結果拒絕權，其應受“對個人權益有重大影響”和“僅通過自動化決策的方式作出”的雙重限制。自動化決策結果拒絕權不同于自動化決策應用拒絕權。自動化決策應用拒絕權應存在于自動化決策前。但因為自動化決策應用具有技術正當性，所以被決策主體事實上并不享有該權利。而自動化決策結果拒絕權存在于自動化決策后，是對自動化決策結果的拒絕，并非對自動化決策應用的拒絕。在這里，盡管有學者認為，被決策主體享有“免受自動化決策約束權”，[13]即自動化決策應用拒絕權，但該觀點實則基于個體本位，過分強調被決策主體的自治和自決，忽略了被決策主體的非理性可能導致的社會整體利益減損。

盧曼[14]認為，風險來自對自身決定的可能缺陷進行歸因，而危險則來自對受波及者的外部決定之缺陷進行歸因。因此，嚴格意義上說，任何自動化決策技術的應用都存在侵害個人信息權益的危險（外部）或者風險（內部）。其中，來自外部的危險主要是由自動化決策算法被歧視性編寫帶來的；來自內部的風險主要是由自動化決策技術本身的未知缺陷引發的。商業自動化決策的規制主要防范來自外部的危險。從公平角度看，因為任何自動化決策都存在算法代碼被不正當編寫的外部危險，所以任何人對自動化決策的結果似乎都應享有自動化決策結果拒絕權。但從社會整體效益的角度看，因為自動化決策具有技術正當性，具有促進社會進步的積極作用，所以如果任何情形下被決策主體都享有自動化決策結果拒絕權，則被決策主體對自動化決策的感性不信任可能使其習慣性地拒絕任何自動化決策結果，即使該自動化決策結果是正確的。該非理性行為將可能導致以自動化決策技術為基點的互聯網企業無法運作，顯然不利于提高效率與創新。而如果僅將自動化決策結果拒絕權限制在“對個人權益有重大影響”和“僅通過自動化決策的方式作出”的范圍之內，則社會利益實現與被決策主體權益保護的張力就會有所緩和，可有效實現社會利益的最大化。而該雙重限制的底層邏輯是：商業決策主體在通過自動化決策應用就對個人產生重大影響事項進行決策時，自動化決策應只具有工具價值，而不具有獨立價值。若商業決策主體僅通過自動化決策的方式就對個人產生重大影響事項進行決策，則被決策主體的合法權益并不能得到有效保障。

（二）商業自動化決策規制的私法困境

1.私法規范無法規制算法黑箱

從本質上看，自動化決策系統的體系結構由界面、信息和模型三個層次構成，[15]界面層主要實現信息的展示和相關信息的收集，是自動化決策系統的基礎；信息層與模型層后置于界面層，屬于技術層。界面層的主要功能是信息的儲存、清洗與分類；信息層與模型層的主要功能是建模和決策，算法黑箱主要存在于信息層與模型層。從應然的規范預設看，因為界面層主要實現信息的展示和相關信息的收集，商業決策主體通過事前告知義務可有效滿足被決策主體對自動化決策的風險預期，實現其同意之意思表示自由。而模型層則是以信息層為基礎進行建模、分析并形成最終的決策結果，商業決策主體通過事后說明義務和自動化決策結果拒絕權可有效解決決策過程中可能存在的算法侵害問題。但私法規范是否能夠有效實現規范的預設目標，或在多大程度上能實現預設目標，需要從實然的效果層面上進行深入分析。就界面層而言，因為該層主要涉及被決策主體對自己信息權益的處分，所以通過商業決策主體事前充分的告知義務確實可有效保障被決策主體對自動化決策的風險預期，進而實現其同意的意思表示自由。但就信息層和模型層而言，因為此兩層屬于自動化決策的技術層，隱藏于內部，并不會對外界顯露，所以即使自動化決策的一般邏輯已經被商業決策主體事前告知，但算法設計者在編程時仍可能有意或無意將自身偏見、社會風氣、制度體制以及文化差異嵌入算法之中，[16]而被決策主體事實上根本無法知悉具體的自動化決策算法是否存在不利于自身的情況。因此，即使被決策主體享有個人信息處理知情權，該權利也僅僅是自動化決策后的請求權，并不能實現在自動化決策前對算法的完全知情。換言之，現行的私法規制方案并不能穿透到技術層。

2.私法規范的解釋困境

私法規范不能穿透到技術層對自動化決策的算法進行規制，并不意味著私法規范無存在的必要。因為被決策主體不僅對自動化決策結果享有拒絕權，還對個人信息處理享有知情權，同時對自身信息的收集、處理也享有自決權益，需要私法規范予以保障。若否定私法規范的價值，則被決策主體的相關信息權益便無法得到保障。現行私法規范存在的問題主要體現在以下幾個方面。首先，雖然充分的事前告知義務確實可有效保障數據主體同意意思表示的自由，但對于何為充分的事前告知義務，沒有權威的定義。《個人信息保護法》第十七條雖然采用有限列舉的方式規定，個人信息處理者應告知個人信息的處理目的、處理方式、處理的個人信息種類、保存期限等，但該條規定的告知范圍是否可保障自動化決策前被決策主體同意的自由？如果不能，告知義務的范圍應如何確定？其次，被決策主體基于個人信息處理知情權可請求商業決策主體對自動化決策結果予以說明，但該說明義務的內容應包括哪些方面，如何在不損害商業決策主體之合法權益的前提下滿足該權利要求？最后，自動化決策結果拒絕權雖然可有效解決算法侵害的問題，但該權利的行使需受“對個人權益有重大影響”與“僅通過自動化決策的方式作出”的雙重限制，那么何為“對個人權益有重大影響”？在商業決策主體與被決策主體具有實質地位不平等的情況下，被決策主體如何知悉決策結果是否僅通過自動化決策做出？這些問題需在私法層面進行完善。

三、商業自動化決策規制的完善路徑

個人信息保護法預設的私法規制框架并不能有效解決算法黑箱所可能引發的侵害問題，商業自動化決策需公私法協同規制。具體而言，私法層面應著眼于自動化決策的一般邏輯（框架層面），細化數據主體事前告知義務和事后說明義務的范圍，明確自動化決策結果拒絕權的適用情形；公法層面應著眼于自動化決策的具體邏輯（算法層面）進行穿透式監管，即通過算法備案-實質審查和算法備案-動態監管的方式解決算法黑箱可能帶來的侵害問題。

（一）私法層面：完善自動化決策規制的私法規范

商業決策主體事前告知義務的完善是以保障被決策主體同意之意思表示自由為導向的；事后說明義務的完善是以有效保障被決策主體之個人信息處理知情權為導向的；自動化決策結果拒絕權的完善是以細化該權利的適用情形為導向的。

1.明確事前告知義務范圍

在目的論視角下，商業決策主體告知義務的履行是為了確保被決策主體知悉信息處理的真實情況，以滿足其對商業自動化決策進行了風險評估的需要，進而保證其意思表示的自由。因此，《個人信息保護法》第十七條規定，商業決策主體在自動化決策前應以顯著方式、清晰易懂的語言真實、準確、完整地向數據主體告知自動化決策的目的、種類和個人數據的保存期限等內容。①但是，該告知義務的內容并不能滿足被決策主體對自動化決策進行風險評估的需要。首先，商業自動化決策是一種專業的信息處理行為，一般人很難清晰了解其內在規則。其次，被決策主體囿于知識的有限性，即使商業決策主體向其告知自動化決策的一般邏輯規則，也并不當然知悉自動化決策可能帶來的風險。從比較法上看，歐盟GDPR第十三條第二項5款規定，控制者應當在獲取個人數據時為數據主體提供確保合理與透明處理所必需的進一步信息——存在的自動化決策，包括第二十二條第一項和第四項所規定的用戶畫像，以及此類情形下與相關邏輯、相關處理對數據主體預期影響有關的有效信息。由此可知，在歐盟，商業決策主體不僅應告知存在自動化決策，而且應就自動化決策的相關邏輯以及預期后果進行說明。

在我國，《民法典》第一千零三十五條規定，處理個人信息的，應當公開個人信息的處理規則。根據該條可知，《民法典》所確定的商業決策主體之事前告知義務的范圍應包括處理規則。但《個人信息保護法》第十七條所規定的事前告知義務的范圍卻并不包含處理規則。從《個人信息保護法》與《民法典》的關系上看，《個人信息保護法》屬于《民法典》的特別法，可以對《民法典》做出補充和例外規定，對其一般性規定進行變通和突破，但不能違背其所確立的合法正當必要等基本原則。[17]雖然《個人信息保護法》的事前告知義務未包括處理規則，但商業決策主體仍應向被決策主體告知信息處理規則。因此，在自動化決策前，商業決策主體不僅應向被決策主體主動告知自動化決策的一般邏輯，還應主動告知該自動化決策所可能引發的風險。但法律不強人所難，商業決策主體所告知的風險應是一般理性人所能預料到的風險，并不包括任何不可預知的風險。

2.明確事后說明義務范圍

《個人信息保護法》第四十八條規定：“個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。”根據該條規定，個人有權要求個人信息處理者進行的解釋說明應發生在個人信息處理后。因為在個人信息處理前，個人與信息處理主體未達成個人信息處理的合意，沒有權利要求信息處理者對信息處理規則進行解釋說明。當然，信息處理主體也會進行事前說明，但該說明只是信息處理主體之法定告知義務的體現。在事后說明義務范圍方面，被決策主體因為不享有算法解釋權，不能基于算法解釋權請求商業決策主體對自動化決策的具體邏輯（算法層）進行解釋。因此，商業決策主體的事后說明義務應圍繞自動化決策的一般邏輯展開。具體而言，事后說明義務應在事前告知義務一般邏輯的基礎上，對影響被決策主體權益的相關信息進行具體說明。例如，銀行借貸申請的標準是月收入水平不低于1萬元，年齡不大于50歲，而申請人的月收入水平為8 000元，年齡為38 歲。當銀行通過自動化決策拒絕申請人的申請后，申請人可請求銀行對決策結果進行說明，此時銀行的說明理由便僅需“月收入水平不符”。至于銀行自動化決策的閾值設置以及該閾值如何計算得出，這涉及自動化決策的算法層，銀行不需要向申請人說明。這是因為在商業自動化決策中，相關標準、閾值的設定屬于商業決策主體的商業秘密，對于該類信息，商業決策主體不需向被決策主體說明。

3.細化自動化決策結果拒絕權的適用

自動化決策結果拒絕權的適用受“對個人權益有重大影響”與“僅通過自動化決策的方式作出”的雙重限制。首先，對“對個人權益有重大影響”的理解不應基于被決策主體的主觀視角，而應從一般理性人的客觀視角去判斷，即算法結果是否嚴重改變了被決策主體的利益狀態。[2]其次，“對個人權益有重大影響”具體可表現為是否有害于被決策主體的生命、身體、自由、財產或其他重大利益。[18]因此，商業自動化決策結果與被決策主體重大利益的關系可分為以下三種情形：其一，自動化決策結果直接影響被決策主體的利益狀態，例如通過自動化決策算法選聘雇員；其二，自動化決策結果間接影響被決策主體的利益狀態，例如被決策主體申請貸款能否被批準需基于對其信用信息的評估，此時其信用信息便構成與自身重大利益相關；其三，自動化決策結果不直接或間接影響被決策主體的利益狀態，就意味著自動化決策結果不與被決策主體的重大利益相關。在“僅通過自動化決策的方式作出”方面，因為商業決策主體與被決策主體具有實質上的地位不平等，被決策主體通常面對的并不是普通的私人主體，而是強大的、組織化的信息處理機構，所以對于自動化決策結果是否僅通過自動化決策的方式做出，被決策主體通常并不知悉。因此，一種可行的方案是：應將是否“僅通過自動化決策的方式作出”納入商業決策主體事前告知義務的范圍，由商業決策主體主動予以告知。該方案的合理之處在于，“僅通過自動化決策的方式作出”不僅適用自動化決策結果拒絕權的條件，也構成被決策主體進行事前風險評估的重要因素。而商業決策主體的事前主動告知，不僅可保障被決策主體在自動化決策前同意的自由，也可為自動化決策結果拒絕權的行使提供便利。

（二）公法層面：商業自動化決策的公法規制

商業自動化決策規制的公法層面應著眼于自動化決策的具體邏輯（算法層面）進行穿透式監管，即通過算法備案-實質審查和算法備案-動態監管的方式解決算法黑箱可能帶來的侵害問題。

1.算法備案-實質審查

算法透明目前已成為打開算法黑箱的根本規制手段，透明可能會矯正任何算法過程中的錯誤，由此提升效率。[19]但算法應該向誰透明？可以肯定的是，算法不能向自動化決策的相對人透明，因為自動化決策算法本身屬于商業決策主體的商業秘密，同時被決策主體也存在知識有限性的障礙。因此，商業自動化決策算法的透明應是對監管機構的透明，而非對被決策主體的透明。[20]有鑒于此，2021年9月17日國家互聯網信息辦公室等九部門聯合發布的《關于印發＜關于加強互聯網信息服務算法綜合治理的指導意見＞的通知》指出：“有序推進算法備案工作。建立算法備案制度，梳理算法備案基本情況，健全算法分級分類體系，明確算法備案范圍，有序開展備案工作。積極做好備案指導幫助，主動公布備案情況，接受社會監督。”隨后，2022年1月4日國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局針對算法推薦服務聯合發布的《互聯網信息服務算法推薦管理規定》第二十四條明確規定：“具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內通過互聯網信息服務算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息，履行備案手續。”基于上述規定可知，在公法層面，我國目前對自動化決策的規制實質上是算法備案制。但僅依靠備案制不能有效解決算法可能對用戶產生的侵害問題。因為商業決策主體進行算法備案的具體內容均由其自主提供，若監管機構僅對備案算法進行形式審查，則并不能實現對該類算法的有效監管。因此，監管機構應對備案算法進行實質審查。首先，因為算法模型的所有規則并非都是事先精確指定的，有時需保持必要的模糊性與隨機性，所以對算法可問責性以及算法缺陷和偏差的甄別便成為算法治理的主要內容。[21]而標準化可以為人工智能產品的設計者提供清晰指引，確保系統生成可靠、完整且不可篡改的確鑿記錄，[22]并成為算法評估以及溯源驗證的重要依據。因此，行政機關可根據不同場景建立適當的算法技術標準和技術規范。這不僅有利于算法的規范治理，也便于監管機構對備案算法的實質審查。其次，監管機構需建立專業技術評估隊伍，深入分析備案算法的機制機理，對備案算法進行深度的評估、測試、驗證（包括是否存在軟件設計缺陷，是否存在算法歧視，訓練數據的選取是否科學等），以期在事前實現風險預防。

2.算法備案-動態監管

商業自動化決策作為一種技術設計，在實踐中不僅有被篡改的可能，也存在異化的風險，監管機構應加強對商業自動化決策的動態監管。就算法異化而言，這是一種技術風險，具有偶發性。因此，商業決策主體必然應對自動化決策算法定期進行風險評估和漏洞檢測，并形成自檢記錄。監管機構應不定期對自動化決策進行外部監管。例如《互聯網信息服務算法推薦管理規定》第二十八條規定：“網信部門會同電信、公安、市場監管等有關部門對算法推薦服務依法開展安全評估和監督檢查工作，對發現的問題及時提出整改意見并限期整改。”從監管內容上看，監管機構不僅應對商業決策主體是否定期自檢進行監督，還應對運行中的自動化決策算法進行穿透式審查，以發現其是否存在算法缺陷、算法漏洞或者算法異化。就算法篡改而言，因為算法是由計算機工程師通過代碼編寫而成的，自動化決策算法在運行過程中仍存在被商業決策主體修改或調整的風險。因此，監管機構應對運行中的自動化決策算法進行監管，以審查其是否存在不公平、不公正篡改編寫等情形。具體而言，監管機構可對運行中的自動化決策開展算法評估，并將評估結果與備案內容進行對比，若兩者不一致，則商業決策主體需說明理由。此外，監管機構還應暢通用戶舉報途徑，對舉報集中的商業自動化決策算法的數據使用、應用場景、影響效果等情況進行及時監管。

四、結語

從本質上看，商業自動化決策的規范可分為兩個層次，即一般邏輯（框架層面）與具體邏輯（算法層面）。商業自動化決策的私法規制框架是以告知同意規則-事前告知義務、個人信息處理知情權-事后說明義務和自動化決策結果拒絕權為核心的規范架構。但從實然層面上看，該私法規制框架具有雙重困境：其一，私法規范設計并不能有效穿透算法層；其二，規范本身亦存在解釋困境。商業自動化決策規范需公私法協同構建。在私法層面，首先，在自動化決策前，應明確商業決策主體之告知義務的范圍，確保數據主體同意之意思表示自由，即商業決策主體應在事前告知義務一般邏輯的基礎上，對影響被決策主體權益的相關信息進行具體說明。其次，在自動化決策后，應明確商業決策主體之說明義務的范圍，即商業決策主體應在事前告知義務一般邏輯的基礎上，對影響被決策主體權益的相關信息進行具體說明。最后，應細化自動化決策結果拒絕權的適用情形。具體而言，自動化決策結果拒絕權的行使需受“對個人權益有重大影響”與“僅通過自動化決策的方式作出”的雙重限制。其中，是否“對個人權益有重大影響”的判斷標準為是否嚴重改變了被決策主體的利益狀態；而是否“僅通過自動化決策的方式作出”則需納入商業決策主體的事前告知義務范圍，由商業決策主體主動予以告知。在公法層面，首先，商業決策主體應主動對自動化決策進行算法備案，監管機構應對備案算法進行實質審查。具體而言，一方面，行政機關可根據不同場景建立適當的算法技術標準和技術規范；另一方面，監管機構需建立專業技術評估隊伍，深入分析備案算法的機制機理，對備案算法進行深度的評估、測試、驗證以期在事前預防風險。其次，監管機構應對自動化決策算法的應用場景、影響效果、數據使用等情況進行動態監管，防止算法篡改和算法異化引發的風險。具體而言，一方面，監管機構不僅應對商業決策主體是否定期自檢進行監督，還應對運行中的自動化決策算法進行穿透式審查，以發現其是否存在算法缺陷、算法漏洞或者算法異化；另一方面，監管機構還應暢通用戶舉報途徑，對舉報集中的商業自動化決策算法的數據使用、應用場景、影響效果等情況進行及時監管。

注釋：

①《個人信息保護法》第十七條規定：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯系方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規定權利的方式和程序；（四）法律、行政法規規定應當告知的其他事項。”