金融科技場景下引入自動化決策拒絕權的風險化解與制度構建

摘" "要：個人金融信息作為金融科技場景中最不可或缺的基礎資源，是金融科技創新發展的核心驅動力。金融自動化決策程序的應用內嵌復雜的現實風險，為個人金融信息保護帶來挑戰。自動化決策拒絕權作為一項新興權利，為金融信息主體提供擺脫自動化決策程序做出不利結果的權利基礎，同時推動金融科技治理法治化進程。在金融科技場景下，引入自動化決策拒絕權能實現個人金融信息保護和自動化決策規制正當性;與此同時，也面臨著權利連續機制不詳、適用標準不清、例外規定缺失等程序性風險。為了化解自動化決策拒絕權在實踐適用中可能出現的難題，應從立法層面明確自動化決策拒絕權的連續機制、細化“重大影響”標準的認定，設計權利的例外規定，完善自動化決策拒絕權適用的權利保障體系以實現金融科技場景中個人金融信息保護的風險化解。

關鍵詞：金融科技;自動化決策拒絕權;個人金融信息;算法治理

DOI：10.3969/j.issn.1003-9031.2024.08.006

中圖分類號：F830.2;D912.1" " " "文獻標識碼：A" " "文章編號：1003-9031（2024）08-0073-15

一、引言

我國“十四五”規劃明確要求“穩妥發展金融科技，加快金融機構數字化轉型”。所謂金融科技（FinTech），是指以技術賦能金融模式創新，最終達到金融服務降本增效的目標。隨著人工智能、云計算、大數據等新興技術的發展，以算法技術為核心的自動化決策程序嵌入金融科技平臺，初步實現了新興技術下科技與金融的強結合，為推動智能化普惠金融進程和金融行業高質量發展做出了重要貢獻。然而，自動化決策程序的運行勢必要對金融消費者的個人金融信息進行大量收集和處理，在金融科技平臺企業對信息的控制占據優勢地位時，個人金融信息保護制度“大廈”亟待構建。歐盟為糾偏自動化決策所帶來的信息保護隱憂，賦予個人脫離算法的選擇權和控制權，即自動化決策拒絕權，該權利起源于歐盟《個人數據保護指令》（DPID），在《通用數據保護條例》（GDPR）中延續并加強。我國《個人信息保護法》第24條第3款為自動化決策拒絕權確立提供了權利基礎，目的在于加強個人對信息的控制，為治理自動化決策技術尋求新的路徑。但該條款規定較為籠統導致權利連續機制不詳、適用標準不清、例外規定缺失等一系列立法缺憾。因此，亟需對該項權利進行具體設計，防止法律規定束之高閣。

自動化決策拒絕權作為一項新興權利，同樣面臨著風險和挑戰。但制度的落地無法一蹴而就，根據場景對權利進行解構并對制度進行優化成為當下最優的方案。金融科技場景下的個人金融信息保護問題一直是學界研究的熱點問題，同樣也是自動化決策技術應用最為廣泛的場景之一。個人金融信息保護問題一直困擾著參與金融市場的信息主體，自動化決策拒絕權為信息主體擺脫金融科技場景下自動化決策程序做出不利結果提供權利基礎。盡管目前引入自動化決策拒絕權能夠應對傳統金融領域面臨的信息保護難題，但該權利落實仍面臨諸多程序性風險，學界對其研究多從個人信息保護體系中進行權利構建，對于如何付諸實踐的論證和結論稍顯薄弱。因此，為了實現自動化決策拒絕權在金融科技場景下的應用，僅憑借現行制度規范遠遠不夠，必須結合場景治理需求針對性地提出制度構建設想。

二、自動化決策拒絕權：源起、內涵及我國規范現狀

不管是歐盟GDPR還是我國《個人信息保護法》均將自動化決策拒絕權與算法解釋權一并規定，導致部分學者認為拒絕權僅是對解釋權的補強，更有學者單從權利效果異同出發認為自動化決策拒絕權所達到的效果相當于信息主體擦除個人信息并以此為由將拒絕權等同于被遺忘權（唐林垚，2020）。以上兩種觀點明顯是對自動化決策拒絕權的誤解，針對目前學界對自動化決策拒絕權的權利性質和功能的模糊認識，確有必要就我國規范意旨結合比較法進行研究，探求該項權利背后的功能價值。

（一）自動化決策拒絕權的源起

對自動化決策拒絕權的探索可以追溯到20世紀70年代的法國《第78—17號計算機、文件和自由法》，該法第10條規定應當禁止采取完全自動化決策程序并以目標主體畫像或個性化評估為依據做出的司法決定。該條規定體現自動化決策程序誕生之初立法者包容審慎的態度，采取全面禁止的方式對完全自動化決策程序在司法領域應用的限制，以“人高于一切”的態度強化對個體尊嚴的保護。同一時期，歐盟協調各成員國制定個人數據保護法以應對飛速發展的計算機自動化處理技術帶來的挑戰，提出要保障“保密權”和“知情權”兩大數據權利，為后續個人數據權利的制定奠定了立法基礎（梅傲和謝冰姿，2022）。緊接著，歐盟委員會于1990年起草了《關于個人數據處理中的個人保護的指令（草案）》，提出了個人數據處理過程中可以提出反對的權利概念，目的在于通過賦予個人反對他人處理其數據的權利實現對個人隱私的保障。又于1995年頒布了DPID，規定成員國應當賦予主體免受可能對其產生法律效力或重大影響的完全自動化決策約束的權利，旨在保護數據主體參與對其有重要影響的決策形成過程的權益。該項規定首次從立法層面確立了自動化決策拒絕權，認可了個體對自動化決策程序可以選擇拒絕的權利。

隨著人工智能時代的到來，商業場景中為實現“點對點”的運營已經使得精準化、個性化的人物畫像建模技術從設備到用戶、從靜態到動態、從評估到預測的三維躍遷性變革（馬長山，2019）。全新的以算法程序為實現基礎的自動化決策程序威脅著人類的獨立性和自主性地位（趙宏田，2020）。人類的人格尊嚴和主體價值受到更為復雜化、系統化的挑戰，DPID已經無法滿足個人掌控其數據的意愿，因此展開了進一步的探索。歐盟委員會于2012年正式提出了GDPR草案并于2016年通過，對主體免受自動化決策的各項權利規則進行了修改和完善，在DPID的基礎上增加了權利行使的場景并細化了行權規則。第一，增加自動化決策拒絕權的行使場景。數據主體在科學、歷史研究和數據統計等場景下均可行使自動化決策拒絕權。第二，細化自動化決策拒絕權的告知義務及同意規則。一方面，數據處理者在任何情況下都要遵守告知義務且必須采取符合“明確引起注意”和“區別于其他信息清晰呈現”兩大要求的告知方式。另一方面，數據處理者在收集前必須明確通知數據主體并取得其授權。第三，明確自動化決策拒絕權行使后的法律效果。一方面，數據處理者無法再對數據主體行使自動化決策拒絕權所涉數據進行任何處理。另一方面，數據處理者違反規定的數據處理行為將會處以更高額的罰款。由此，自動化決策拒絕權的合法獨立地位和權利體系架構被正式確立，在全球范圍內，德國、英國、荷蘭、法國、匈牙利等國紛紛展開自動化決策拒絕權的立法工作。

（二）自動化決策拒絕權的內涵

自動化決策拒絕權，在GDPR第22條第1款原文表述為“有權免受基于自動化決策做出的決定（not to be subject to a decision based solely on automated processing）”在國內又被稱為“免受自動化決策約束權”“脫離自動化決策權”“個人數據反對權”等。權利行使的模式為：數據處理者在處理數據前必須履行告知義務，由數據主體根據自身個人意愿判斷并作出同意或拒絕的意思表示，數據處理者必須尊重其個人選擇履行配合義務。因此，該權利本質上是一項賦予數據主體可以拒絕其數據被處理的請求權，將其譯為自動化決策拒絕權更為妥當。

對于自動化決策拒絕權的理解可以從權利主體、權利客體、義務主體、權利邊界四個方面進行解構。自動化決策拒絕權的權利主體是數據主體，即產生數據的個人用戶。自動化決策拒絕權脫胎于DPID，該指令僅保護自然人關于個人數據的權利和自由，因此法人與非法人組織并不包含在權利主體范圍內。此外，處理兒童（未滿14周歲的未成年人）數據時，包含自動化決策拒絕權在內的各項數據權利由其監護人代為行使。在權利客體方面，自動化決策拒絕權指向的對象是“自動化決策這一整體行為”還是“基于自動化決策程序作出的結果”尚有一定的爭議，綜合目前的研究成果認為“結果說”是最為兼顧公平和效率并不阻礙創新發展的觀點（齊延平和朱家豪，2023）。在義務主體方面，自動化決策拒絕權的義務主體通常為數據處理者。為了實現權利，數據處理者主要承擔事前告知義務和事后配合義務，前者要求數據處理者在處理數據前必須以足夠明顯的方式告知數據主體其所擁有的拒絕權的內容，后者要求數據處理者在數據主體行使拒絕權后立即停止數據處理并按數據主體要求采取刪除等措施。就權利邊界而言，任何權利都有其行使范圍，自動化決策拒絕權也有對應的限制條件和抗辯事由。數據處理者僅在以下四種場景下可以不受數據主體自動化決策拒絕權限制：一是基于公共利益的需要;二是基于法律的授權規定;三是使用自動化決策是合同實現所必要的;四是事先經由數據主體全體同意。

在權利的基本要素外，還需要考慮到自動化決策拒絕權與其他權利的相互聯動才能確保權利的實現。數據處理者必須保證自動化決策遵循算法透明原則，即對自動化決策進行一般化說明，幫助數據主體實現查閱、更正、刪除等權利，也便于數據主體行使算法解釋權對自動化決策程序的公正性提出質疑。

（三）我國對自動化決策拒絕權的現行規范與實踐探索

對于個人信息保護方面的立法，歐盟和美國一直處于領先地位，尤其是歐盟GDPR的出臺在世界范圍內都具備強影響力，我國在相關領域的立法和研究難免有借鑒和本土化思考（文銘和易永豪，2020）。但總體上，我國在自動化決策拒絕權的立法和研究上并沒有跟跑，而是基于自身國情和需求進行制度設計（刁勝先和徐云燕，2021）。在《民法典》第1035—1039條中對個人信息權益保護做出規定，但在賦權條款中并未直接進行自動化決策拒絕權相關規定。個人對處理其信息的拒絕行為是基于個人信息權益整體保障的需要而非某一項權利，其性質、效果等都有別于GDPR的賦權模式。在《網絡安全法》第43條中規定個人具有要求網絡運營者更正或刪除其信息的權利，并未明確拒絕權;在第47—48條中規定網絡運營者負有在發現禁止傳播的信息時及時作出停止傳輸或消除等措施的安全保障義務，該義務履行所達到的效果與GDPR拒絕權類似，但具有被動性、防御性的特征。在2020年實施的《個人信息保護國家標準》（GB/T 35273—2020）第7.7條中明確了信息系統自動決策機制的使用注意事項;在第8條中規定個人具有要求查詢、刪除、更正其信息或撤回對其信息的授權同意等權利，其中雖未明確拒絕權，但“撤回授權同意”這一行為也起到了拒絕的效果，只不過該拒絕并非一項權利，而是“撤回授權同意”后的應有結果。直到2021年實施的《個人信息保護法》正式明確自動化決策拒絕權，確立了其獨立權利地位。但由于該條款內容較為原則，且設置了“對個人權益有重大影響”的條件，也為該項權利的落實留下需要完善的空間。

金融科技飛速發展，人工智能技術的廣泛應用使得金融服務領域的服務模式、產品類型、業務流程效率遠超傳統金融服務模式，越來越多的金融機構搭建起金融科技平臺，開始布局金融場景下的自動化決策技術。但目前金融行業的科技革新與應用仍處于探索期，個人金融信息作為金融數字化、網絡化、智能化的基礎資源正面臨多方面的風險挑戰，同時自動化決策拒絕權并未全面落地，金融科技場景下的個人金融信息保護問題尚待解決。

三、金融科技場景下個人金融信息保護的現狀與問題

個人金融信息的保護在金融科技不斷革新的進程上面臨著較大法律風險，信息的泄露和濫用已經成為金融信息主體喪失個人權益保障的一大痼疾，金融消費者對其個人金融信息的控制力愈發薄弱。權利的缺位呼吁著上層制度的完善，強化對個人金融信息權益的保障成為一項緊迫且重大的課題。金融科技場景下個人金融信息的風險化解和制度構建首先要厘清這一概念的底層邏輯、立法現狀和現實問題。

（一）金融科技場景下個人金融信息的構成維度

隨著科技不斷賦能普惠金融高質量發展，個人金融信息這一概念在金融科技場景下逐漸受到廣泛關注。從目前政策文件多次對個人金融信息概念的調整來看，大都傾向于將其納入個人信息的范疇。然而，由于個人信息的認定高度依賴場景，其概念和范圍隨著場景的不同而不同（高志宏，2023）。因此，確有必要對金融科技場景下個人金融信息的構成元素重新審視，并對其內涵和屬性進行闡釋，為個人金融信息保護存在的法律風險解構奠定基礎。

1.個人金融信息的內涵厘定

金融科技平臺離不開金融大數據的支持，“數據”和“信息”之間的關系界定成為個人金融信息內涵厘定的前提。我國《民法典》在人格權中對個人信息保護進行規定，而將“數據”與網絡虛擬財產并列規定，對二者做了區分理解。《網絡安全法》和《數據安全法》同樣對“數據”和“信息”進行制度上的區分，但數據作為信息的載體，信息構成數據的內容，二者在利用和流通的過程中密不可分（王利明，2019）。尤其是在金融科技平臺中，金融服務過程中收集和處理信息的同時也是對數據做出一系列的集合以形成數據流。因此，對“數據”和“信息”的內涵認識不應固守語義規范，應當結合場景進行重新審視，這一觀點在立法中早有體現。在《個人信息保護法》中規定只要能以電子或其他方式記錄已識別或可識別自然人有關的各種信息均屬于個人信息，其中“各種信息”應當包含“數據”，即某一數據中包含能夠識別自然人的信息，便屬于個人信息的范疇。若機械地將數據排除在《個人信息保護法》規制對象外，將會極大限縮法律的適用范圍。

個人金融信息需要符合哪些構成要素才能被劃定為個人信息范疇是其內涵厘定的關鍵問題。目前大多數國家均采取個人信息或非個人信息的二元法律保護機制，即只有被劃定為個人信息范疇的信息才能受到個人信息保護法律法規的管束。《個人信息保護法》對個人信息進行了嚴格的界定和保護，而對于非個人信息以及匿名化的個人信息則鼓勵進入數據要素市場進行交易和流通（丁曉東，2022）。個人信息必須符合“識別”和“相關”兩個要件，所謂“識別”是指某一特定主體能夠高概率通過該信息對應到信息主體的行為過程，所謂“相關”是指某一信息內容直接或間接指向對應的信息主體的身份或活動軌跡。因此，個人金融信息也必須符合“識別”和“相關”兩個要件才能被視為個人信息受到保護，否則就會被認定為非個人信息，則相關主體對該類信息的收集和處理無須承擔法律責任。綜上所述，個人金融信息的內涵可以理解為金融機構在金融管理與服務過程中利用金融科技平臺所收集和處理的，與信息主體有關并已識別或可識別信息主體的各種信息集合。

2.個人金融信息的屬性闡釋

個人金融信息具有人格屬性。個人信息能夠被用于識別、標識特定自然人特征，具有評價個體和社會認同的功能。在此意義上，個人信息具有表征自然人人格屬性的能力，因此具有人格屬性并且個人信息中的人格權益應當受到重視與保護。在金融科技場景下，金融機構通過金融科技平臺不斷向信息主體收集相關信息促進個人信息不斷向個人金融信息轉化，個人金融信息作為個人信息的一種，同樣具備可識別性，所包含的征信、貸款、財務等方面的信息也能夠作為信息主體人格和社會評價判斷的依據，因此具備人格屬性。人格權也被稱為受尊重權，與人格尊嚴息息相關，具有人身專屬性，如同個人隱私一般，不允許被他人隨意控制、泄露或不當利用。我國《民法典》以人本位從保障人的尊嚴出發將人格權獨立成編，形成了體系性的保護模式。個人金融信息包含自然人的姓名、住址、財產、征信、貸款等信息均涉及人的自由和尊嚴，尤其是個人的征信信息，很大程度上影響著自然人的信用評價，應受到更為嚴格的保護。

個人金融信息具有財產屬性。一方面，個人信息具有財產屬性來源于數據特性。隨著財產權理論傳統概念的轉變，財產從有形財產延伸出了無形財產，擺脫了“財產必有物”的傳統觀念。《民法典》將數據和網絡虛擬財產的保護做了創新規定，認可了無形財產的法律地位。數據作為金融市場關鍵的流通要素，其財產價值尤為重要。歐盟GDPR采取以數據的形式對個人信息展開保護，這也說明其認可了數據和信息之間緊密聯系，此種聯系來源于信息在轉化為數據的過程中包含了信息所承載的信息主體的各項權益，由此個人信息便具備了財產屬性。另一方面，個人信息具有天然的財產基因。個人信息天然具備有效性、稀缺性、可控性和流通性的特點，是目前數字社會具有交換價值的稀缺性資源（彭誠信，2021）。個人金融信息的財產屬性更強于其他個人信息，在實踐中部分金融機構已經將個人金融信息作為商品在數據交易平臺中進行流通，此外，金融科技平臺可以利用個人金融信息的可預期性推算人類的行為習慣和用戶偏好，以改進金融服務決策的準確性。

（二）個人金融信息保護的立法現狀

個人金融信息是金融機構日常業務工作中積累的一項重要基礎數據，也是金融機構客戶個人隱私的重要內容。金融機構保護個人金融信息的義務肇始于英美法系中對銀行應保護客戶隱私權的規定。隨著我國金融行業的不斷發展，個人金融信息保護也逐步受到重視。在金融行業發展初期，個人金融信息保護意識逐步建立與發展。早在2011年中國人民銀行便發布《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》，明確個人金融信息的內涵與外延并初步確立個人金融信息收集和處理過程中應當遵循的數據保護要求。在金融行業發展中期，通過加強數據管理實現對個人金融信息的進一步保護。2013年國務院頒布《征信業管理條例》，對征信業務予以規范，規定信息主體的知情權和同意權并加強信息主體金融信用信息的管理。2018年原中國銀行保險監督管理委員會頒布《銀行業金融機構數據治理指引》，要求銀行業金融機構加強數據治理并建立數據安全策略與標準。在金融行業發展后期，對個人金融信息的保護與立法接軌。《民法典》《數據安全法》《個人信息保護法》相繼頒布，設計諸多規定分別對個人信息保護做出了更為嚴格的保護，進一步提升了個人信息保護的法律地位。

個人金融信息因其存儲時間有限、多數信息敏感、主體權利延伸等特殊性，部分國家或地區對其采取了更為審慎的專門立法模式進行保護，引導不同行業規范處理個人金融信息。我國就個人金融信息并未采取統一的立法模式，除了個人信息保護的條款可以適用于個人金融信息保護外，僅針對個人金融信息保護的規定散見于《消費者權益保護法》《網絡安全法》《證券法》等法律之中，而關于具體權利內容的規定則更多在行政法規、部門規章或規范性文件中得以體現，如《征信業管理條例》《證券基金經營機構信息技術管理辦法》等。這一立法現狀也造成我國個人金融信息保護缺乏統一、系統的規定，各行業已形成各自的規范群，而各行業對個人金融信息的重視程度和保護力度參差不齊，真正明確具體保護規則的規范性文件效力層級普遍過低。

（三）個人金融信息保護的問題解構

盡管目前在理論研究和應用實踐層面均對個人金融信息的保護路徑進行了大量探索，然而金融科技場景下自動化決策程序的普遍應用導致個人金融信息保護陷入困境。所謂自動化決策程序，是指基于人工智能技術對數據進行自動化處理，通過算法程序評估及預測并給出結論的過程。算法程序本身的不透明決策過程和歧視性結論等不利因素對目前個人金融信息保護造成的不足之處尤為明顯，主要體現在知情同意原則落實不完善、權利救濟模式單一且低效以及風險防控治理機制缺位三個方面。

1.知情同意原則落實不完善

知情同意原則旨在賦予信息主體獲悉并同意他人收集或處理其信息的權利。我國也構建了以知情同意原則為核心的個人信息保護體系，但由于自動化決策技術在金融科技場景的應用，算法程序本身的不透明性導致知情同意原則落實困難。一方面，告知義務落實困難。知情同意原則要求信息處理者在收集或處理信息前必須告知信息主體其目的、方式和用途等內容，由于算法程序具有技術門檻導致信息主體和信息處理者之間存在地位懸殊、認知局限等因素，信息主體的知情權難以得到有效保障。另一方面，同意規則落實困難。同意規則要求信息處理者處理個人信息應當取得信息主體的同意，并且該同意應當由個人在充分知情的前提下自愿、明確作出。金融科技平臺在追求金融服務效率的情況下，通常選擇通過格式條款或者隱私條款的方式取得收集、處理個人金融信息的權限。但格式條款或隱私條款沒有任何平等協商和修改條款內容的余地，因而信息主體的“同意”往往是在迫不得已的情況下作出的，不符合本人的真實意愿。此外，處于弱勢地位的信息主體對專業性強、復雜性高的算法程序難以理解，也很難投入時間、精力去通讀了解晦澀難懂的個人信息收集政策。基于以上原因，知情同意原則在自動化決策程序普遍應用于金融領域的場景下存在難以落實的現實困境。

2.事前的風險防控機制缺位

目前針對個人金融信息的保護仍以行業監管為主，但金融機構對個人金融信息的管理能力較為薄弱，主要體現在以下三個方面：第一，組織機構不健全。金融機構大都未設置專門的個人金融信息管理崗位，反而將管理義務分散到各個部門，導致責任分化甚至缺位（劉靜，2024）。第二，個人金融信息使用全過程監管機制不健全。金融機構對個人金融信息在各個環節的處理和流通監管力度往往不夠，導致信息安全監測困難。第三，缺乏對技術外包人員的管控機制。自動化決策程序往往需要專業性的團隊設計并開發，對于程序運行過程中個人金融信息泄露等事故責任的分配往往未明確，金融機構自身的監管薄弱點導致事前的風險防控機制無法起到良好效用，是造成個人金融信息風險發生的重要原因。此外，行業監管的滯后也歸因于科技的飛速發展，自動化決策程序在金融領域的應用也帶來了諸多監管挑戰。一方面，金融機構必須對各種自動化決策程序技術原理足夠了解，才能在程序運行過程中評估其潛在風險。另一方面，傳統審慎的監管理念顯然已經落后于時代的發展，不足以面對個人金融信息安全風險，事前的風險防控機制成為時代所需（姜婷婷，2022）。如何完善風險防控機制使其具備前瞻性并適應金融新業態監管技術要求是亟待解決的重要問題。

3.權利救濟模式單一且低效

傳統規則對于個人金融信息糾紛的解決途徑主要規定了投訴、和解、調解、仲裁和訴訟幾種。但這幾種救濟模式無一例外都側重于事后的救濟而非事前預防，往往會導致信息主體處于十分被動的局面。如在金融信息泄露或濫用案件中，信息主體通常采取訴訟手段進行救濟，首先面臨的是舉證責任的難題，金融機構收集到個人金融信息后，通過自動化決策程序進行運算，由于程序的不透明性，信息主體往往無法知曉其權利在哪個環節受到侵害，更無法鎖定責任人，根據“誰主張，誰舉證”的一般規則，信息主體想通過訴訟途徑來獲得救濟很可能會面臨投訴無門的困境。其次面臨的是反制能力的弱化，無論是在侵權期間還是侵權后，信息主體對自己個人金融信息的控制能力較弱，由于算法自動化決策程序的專業性和復雜性，其決策過程及原因都難以被理解，更不要說作為普通公民的信息主體。正是因為自動化決策過程的不透明性導致信息主體的反制能力弱化，信息主體在救濟過程中都無法正確地行使權利對自身權益進行維護，甚至對自動化決策程序中違法處理信息的行為都難以認識到。此外，無論是投訴、和解、調解、仲裁和訴訟這幾種常規的救濟手段，都需要信息主體消耗很長時間和精力去應對。隨著技術的革新和發展，自動化決策糾紛案件量不斷增加，救濟的難度大且周期長，個人金融信息，尤其是敏感金融信息，關乎信息主體各項權益，單一且低效的傳統救濟手段已無法適應當下信息流通環境。

四、金融科技場景下引入自動化決策拒絕權的正當性與風險性

自動化決策拒絕權的治理邏輯是在一般情況下允許信息處理者使用自動化決策程序處理信息，但當該技術對個人權益造成重大影響且信息主體積極行使拒絕權時，處理者便會被禁止采取自動化決策程序，意在通過“原則允許+例外禁止”的方式保護個體信息權益及決策自主性。將自動化決策拒絕權付諸實踐，不僅僅要看到其為保護信息主體權益與實現競爭市場良善發展的設計初衷，也要正視現行法律規范中自動化決策拒絕權面臨的制度困境所帶來的程序性風險。

（一）金融科技場景下引入自動化決策拒絕權的正當性

自動化決策拒絕權對保障金融科技場景下個人尊嚴和個人權益以及對正處于形成中的自動化決策場景化規則均具有獨立且統領的作用，立法原意是為了實現對個人信息自主決策權利的保護以及自動化決策程序的規制。與此同時，自動化決策拒絕權還具有實現個人信息事前風險防控和彌補事后救濟措施的不足雙重功能，在金融科技場景下引入自動化決策拒絕權具有制度上的正當性。

1.知情同意原則落實的保障

《個人信息保護法》第24條不僅為自動化決策拒絕權提供了權利的形式框架和直接法律淵源，同時也設計了權利實現的諸多配套制度，尤其是對知情同意原則落實提供了制度保障措施。一方面，該條強調信息處理者必須遵守算法透明原則，要保障自動化決策程序的公開、透明以及結果的公平、公正。如上文所述，知情同意原則落實困難的根本原因是算法程序的不透明性，即信息主體知情權的喪失歸因于其無從得知自動化決策程序的運行過程。算法透明原則不僅要求信息處理者實現自動化決策全過程的透明，還要求其必須對決策程序和結果作簡要說明（徐鳳，2019）。另一方面，該條設置算法解釋權實現信息主體對自動化決策程序知情更全面的保障，所謂算法解釋權，是指信息主體有權要求信息處理者對自動化決策程序進行必要的解釋說明，以便對是否行使自動化決策拒絕權做出正確選擇。相較于算法透明原則的全過程透明要求，算法解釋權僅在自動化決策程序做出的決定對個人權益有重大影響的前提下發生，但算法解釋權無論是解釋的范疇，還是解釋內容的完整度、詳細度、可理解度以及同個人信息之間的關聯度都要遠超于算法透明原則的要求。正是由于算法透明原則和算法解釋權的雙重保障，信息主體的知情權才得以保障，進而幫助信息主體做出是否同意信息被處理的判斷。正因如此，即便是同意規則因為各種原因沒能準確落實，信息主體還有機會行使自動化決策拒絕權拒絕信息處理者采用自動化決策程序做出對其個人權益有重大影響的決定。

2.事前風險防控的制度選擇

自動化決策程序是一系列復雜、專業、動態的數據處理過程，每一個環節都可能對信息主體的個人權益產生不利影響和法律風險，僅僅依靠行業監管和事后的私力救濟遠遠不夠。自動化決策拒絕權賦予信息主體能夠在事前階段獲取必要的信息并對自動化決策建立一定合理預期，讓信息主體實時跟進并確認自動化決策程序處理相關信息并根據個人意愿行使權利從而達到人為干預自動化決策過程的效果。自動化決策拒絕權并不是一項孤立的權利，而是一套多層次、立體化的權利體系。正是因為信息主體擁有自動化決策拒絕權，信息處理者收集或處理信息必須符合各項程序性要求以此來實現法律意義上的合規。第一，信息處理者必須履行告知義務，應當告知信息主體自動化決策程序的存在和后續結果。第二，信息處理者必須遵守算法透明原則，應當以通俗易懂的方式告知自動化決策程序的原理和標準。第三，信息處理者必須應信息主體要求履行算法解釋義務并提供便捷的拒絕方式。當所采用自動化決策程序做出的決定對信息主體的個人權益有重大影響時，信息主體有權要求信息處理者對自動化決策程序的原理、信息處理的根據等內容進行解釋，同時信息處理者需告知并為信息主體提供便捷的拒絕方式。綜上所述，聯動化的行權理念以及科學的配套措施讓自動化決策拒絕權為信息主體干預自動化決策程序處理信息過程提供持續支持，賦予信息主體自動化決策拒絕權是實現事前風險防控的制度選擇。

3.救濟措施彌補的基本訴求

以往的個人信息侵權案件大都需要信息主體采取事后救濟的方式挽回自己的人格尊嚴或經濟損失，但這一救濟途徑顯然面臨著成本高、效率低等弊端。隨著人們對自身人格尊嚴及個人權益保護的愈發重視，呼吁制度層面賦予其更多救濟權利的訴求也逐步得到回應。自動化決策拒絕權賦予了信息主體對不公正的自動化決策結果進行人工干預的權利，目的是讓信息主體免受自動化決策程序錯誤判斷并提前阻止其個人權益被侵害。自動化決策拒絕權不僅實現事前風險防控，也將原本局限于事后的救濟措施提前至自動化決策過程中。一方面，基于算法透明原則和算法解釋權，信息主體有權實時了解自動化決策處理信息的過程，當其認為自身個人權益可能或已經受到侵害時，有權向信息處理者發出變更、刪除、限制處理等指令進行人為干預或補救。另一方面，基于自動化決策拒絕權，信息主體有權對自動化決策程序所得出的結果提出異議，信息處理者必須采取適當安保措施人工介入，防止損害結果進一步擴大。總的來說，自動化決策拒絕權賦予了信息主體提前實現救濟的可能，且該救濟途徑相較于傳統的司法救濟途徑來說更為直接。賦予個體私權以對抗自動化決策引發的不公正、不合理從而提升個體對其信息權益的控制和救濟能力（林洹民，2020），得以彌補傳統救濟措施的不足之處。

（二）金融科技場景下引入自動化決策拒絕權的風險性

自動化決策決絕權的引入具有落實知情同意原則、提供事前風險防控、彌補救濟措施等現實需要，但由于立法規則的模糊性導致該權利適用面臨著權利聯系機制不詳、適用標準不清、例外規定缺失等程序性風險。尤其是在金融科技這類涉及利益平衡的行權場景下，行權規則和條款適用性的不足更加明顯。

1.權利實現的連續機制不詳

自動化決策拒絕權賦予了信息主體有機會能夠拒絕自動化決策程序做出的決定，但卻并未賦予信息主體繼續請求人工決策的權利，也沒有設定信息處理者對自動化決策進行人工決策的義務，導致自動化決策拒絕權與后期信息主體行使撤回同意或刪除權之間存在權利“鴻溝”。這就意味著信息主體為了防止自動化決策程序做出的決定損害其個人權益做出拒絕的指令，也就在一定程度上喪失了繼續尋求信息處理者提供服務的機會，這類似于“隱私條款”的設置理念，即不同意條款的規定即意味著無法獲得相應的服務。顯然，這不是立法者設置自動化決策決絕權所希望達到的效果，造成這一局面的原因即是權利實現的連續機制的缺位。尤其在金融科技場景下，金融機構利用互聯網、算法等技術創新了信貸服務形式，從客戶獲取與拓展、貸款資質審核、個人信用評估和授信放貸簽約均通過自動化決策程序實現。隨著金融機構業務量的激增，如果客戶一旦行使自動化決策拒絕權，人工決策的程序也難以開展。一方面，金融機構依托自動化決策強大的算法和算力，其工作效率相較于人工決策呈幾何倍增長，大量的人工決策效率低下且極大增加運營成本。另一方面，在決策結果的準確性上，雖然同樣是人為設計的自動化決策程序也避免不了算法歧視因素，但人工決策受到認知偏見的影響更大。此外，自動化決策的思維和邏輯更為縝密和理性這一觀點深入人心，即便是人工決策也會自然而然地傾向于自動化決策程序所得出的結果。因此，由于沒有設置權利實現的連續機制，將可能會導致自動化決策拒絕權成為“一紙空文”。

2.“重大影響”的標準不清

《個人信息保護法》第24條規定只有在自動化決策程序的決定對信息主體的個人權益有重大影響時，信息主體才能夠行使自動化決策拒絕權。類似地，歐盟GDPR同樣規定個人對自動化決策產生的不利法律后果或類似重大影響有權拒絕。相比之下，《個人信息保護法》將權利適用場景限縮在“重大影響”，縮小了自動化決策拒絕權的行使范圍，并將舉證責任劃分給了信息主體。然而，法律并未對“重大影響”的標準進行規定，導致法律后果是否達到“重大”程度沒有明確的界限。在強制性具體規則缺失的情形下，信息處理者可以輕易以法律后果對個人權益并未達到“重大影響”為由，反駁信息主體提出的自動化決策拒絕權。在金融科技場景下，個人金融信息對個人權益的重要性不言而喻，并且金融信息的泄露和濫用在多數侵權案件中都引發嚴重甚至難以挽回的法律后果。對于金融信息主體而言，金融科技尤其是自動化決策技術的創新和應用對信息主體帶來的強制授權、過度索權或超范圍收集并處理信息都有可能造成嚴重的法律風險。但這并不意味著只要自動化決策發生在金融領域即認定決策結果對信息主體來說具有重大影響，更不能認為自動化決策程序收集了個人金融信息就判定決策對信息主體產生重大影響，必須審慎考察決策結果是否對信息主體個人權益產生重大影響，防止自動化決策拒絕權不受濫用的同時也促進金融科技的規范發展。

3.權利適用的例外規定缺失

所謂的例外規定，也被稱為權利的限制性規定，是指在滿足一定的條件下，權利人不允許行使權利的規定。現如今金融科技平臺發展迅速，信息資源的流動性和可獲取性是其發展的動力來源，帶有個人身份信息的金融信息是金融機構開展各項業務不可缺少的要素。能夠高效利用個人信息的自動化決策程序成為金融行業必不可少的工具，科技的革新對個人金融信息保護帶來更多挑戰和法律風險。法律制度設計的終極目標是在保護個人自由和權利的同時兼顧整個社會的發展和全人類的生存（梁上上，2021）。如果自動化決策拒絕權行使條件過于嚴苛，將可能導致該項權利處于“沉睡”狀態難以被啟用;如果自動化決策拒絕權行使條件過于寬松，將可能導致該項權利被濫用，最終導致個人權益和公共利益兩敗俱傷。因此，例外規定的設置并非為了限制自動化決策拒絕權的行使，反而是促進權利規范適用的良善制度。《個人信息保護法》并未對自動化決策拒絕權的例外情形做出直接規定，僅在13條中規定信息處理者在特定情形下可以不經過信息主體同意開展信息處理活動，但該規定只能被視為是對“同意”要件的豁免而非對自動化決策拒絕權。首先，制度目的不同。第13條的規定目的是為信息處理者處理未被“同意”的信息提供合法性基礎，而非為了限制自動化決策拒絕權。其次，制度取向不同。第13條更側重于信息處理者所處理信息的來源的合法性，而自動化決策拒絕權更側重于自動化決策結果對信息主體的影響。最后，風險程度不同。第13條所規定的特定情形包括履行合同或法定職責、緊急事件下保護個人生命健康或財產安全以及實現公共利益等情形，信息處理者迫不得已處理未被“同意”的信息。在此情形下，即便是信息主體個人權益會受到影響，但因公共利益的需要具有合法性。自動化決策是個人信息處理的高階形態，這一過程可能對個人權益造成更大程度和更大范圍的風險。鑒于此，由于自動化決策拒絕權例外規定的缺失，很可能導致個人權益過度保護擠占公共利益發展的空間。

五、金融科技場景下自動化決策拒絕權的風險化解與制度構建

自動化決策拒絕權的引入能夠化解金融科技場景下個人金融信息保護風險，但同時也帶來新的制度挑戰，在現行制度的基礎上如何構建完善的權利保障體系是目前應當首要解決的關鍵問題。為此，必須深入自動化決策運行邏輯和形成機理，通過場景化治理尋找風險化解和制度構建的著力點。

（一）明確自動化決策拒絕權的連續機制

關于自動化決策拒絕權的連續機制的設計，在《個人信息保護法》第24條第3款“信息主體在自動化決策做出的決定對個人權益有重大影響時有權拒絕該決定”規定的基礎上主要有三條可解釋的路徑：第一條路徑是信息主體行使自動化決策拒絕權后，不允許信息處理者再對相同信息進行任何決策行為，包括自動化決策和人工決策;第二條路徑是信息主體行使自動化決策拒絕權后，無須信息主體繼續主張任何權利，信息處理者必須承擔人工決策的義務;第三條路徑是信息主體行使自動化決策拒絕權之后有權繼續要求信息處理者對自動化決策進行人工干預并作出正當決定。第一條路徑采取了禁令路徑，一旦信息主體行使自動化決策拒絕權，自動化決策程序做出的決定不再對該信息主體產生法律效力，因此也無所謂連續機制。相比之下，第二、三條路徑則并未采取禁令路徑，信息主體行使自動化決策拒絕權后，需要有連續機制保障信息主體權益得以繼續實現。歐盟GDPR第22條第1款對自動化決策拒絕權進行設計后，在第3款設計了人工干預權、表達權和異議權等從權利為信息主體提供人工干預決策的連續性程序救濟，有效填補了權利保障體系的空缺。我國《個人信息保護法》并沒有類似GDPR第22條第3款連續機制的規定，僅采取賦權的模式規定信息主體有權要求信息處理者予以說明以及有權拒絕自動化決策程序做出的決定。鑒于此，我國并未對自動化決策拒絕權的連續機制做出設計，并且也并未采取禁令路徑，而是采取賦權路徑設計自動化決策拒絕權，第一條路徑顯然不適用于我國的現行法律制度。第二、三條路徑均肯定了設置連續機制的必要性，兩條路徑的區別在于連續機制是由信息主體啟動還是信息處理者啟動。從權利行使的成本和效率兩個角度進行分析，信息處理者在信息主體行使完自動化決策拒絕權后均要介入并進行人工決策，將會極大增加信息處理者的成本并嚴重影響其經營效率;相反，信息處理者在信息主體行使完自動化決策拒絕權后僅負有停止再繼續處理其信息的義務，由信息主體根據自身情況自行主張“請求信息處理者人工干預的權利”，這將會節省大量的成本，也防止公共資源被過度浪費。可見，第三條路徑似乎是最符合我國立法實踐的權利模式，但這僅僅只是理論層面的分析，連續機制如何設計才能在實踐中發揮最大制度價值還需要結合場景具體分析。

自動化決策在金融業發揮重要的作用，其在決策準確性以及決策效率上具有明顯的優勢，但這并不能據此否定人工決策的科學性和可行性。一方面，人類人格尊嚴無法被參數化，即便是算法程序有強大的深度學習能力，也不在其感知范圍內。另一方面，自動化決策與人工決策在認知上仍有差異，算法程序更多是模仿人類的神經元運作形態并跟隨人類的認知過程。因此，人工決策很有可能會做出與自動化決策不同的結果，這也重申了人工決策的價值所在。但隨著金融業務量的劇增，傳統的人工決策效率低下，很難促進金融服務質效的提升，唯有依賴自動化決策程序才能實現金融行業降本增效的成果。基于此，在與金融科技相類似的場景下，設計自動化決策拒絕權的連續機制就不得不考慮人工決策的成本問題，必須在權利保障和行業高效發展之間找到平衡點。此時，由信息主體行使“要求信息處理者人工干預并作出正當決定”的請求權，信息處理者在接到信息主體拒絕權后只要主動中斷自動化決策進程并等待信息主體下一步請求即可。這一路徑在飛速發展的金融行業中能夠真正實現制度的公平、效率。誠然，在政府決策、司法決策等場景下，采用自動化決策做出的決定很可能嚴重危害到個體的生命健康或生產經營，此時人工決策的必要性不容忽視，必須由信息處理者主動進行干預才能降低法律風險。

（二）細化“重大影響”標準的具體指向

在細化“重大影響”標準之前，首先，要明確對“重大影響”標準的判斷應當是基于主觀還是客觀的問題。在《個人信息保護法草案》中將自動化決策拒絕權相關條款規定為“個人認為通過自動化決策方式作出對個人權益有重大影響……有權拒絕……自動化決策的方式作出決定”，對“重大影響”標準采用了主觀判斷的立法態度。但大部分學者認為每個信息主體所理解的“重大影響”均不相同，其標準仍應以一般理性人的視角從客觀進行判斷而非采取主觀判斷。據此，《個人信息保護法》做出了相應的修改，將基于個人主觀意識判斷的“重大影響”變更為客觀因素推定的“重大影響”，在一定程度上避免了規則適用時的標準模糊問題。其次，要明確“重大影響”標準的具體指向。歐盟GDPR第22條第1款將“法律及近似重大影響”作為行權的前置條件，所謂“法律影響”是指對導致個人的法律權利或法律地位發生改變的處理活動;“近似重大影響”實際上是對“重大影響”的實質性擴展。結合我國個人信息保護的實踐基礎，可以推斷出“重大影響”標準具體指向兩個方面：一是將“法律影響”包含進“重大影響”的范疇內。當自動化決策做出的決定影響信息主體的法律權利或法律地位時，信息主體得以行使自動化決策拒絕權維護自身的權益，法律權利或法律地位來源于制定法的規定以及已生效合同;二是拓展“重大影響”的范疇，所拓展范疇的限度應當近似于產生“法律影響”的臨界標準。具體而言，自動化決策的過程和結果均可能對信息主體的個人權益產生不利影響。從過程的角度而言，自動化決策未經授權將信息主體的信息在不同網站、平臺或設備上進行投送，雖然尚未在結果層面造成不利影響，但對信息主體產生的潛在影響不可忽視。從結果的角度而言，自動化決策做出的決定對信息主體的影響不僅要考慮已經發生的影響，還需要考慮潛在的影響（張欣，2017）。最后，由于實踐中場景化的差異，“重大影響”標準仍不夠清晰，在規則中根據不同場景判斷規則和衡量基準尤為重要。

根據一般理性人標準，只要是對個人的生命健康、財產安全造成的影響均屬于“重大影響”。基于此，信息主體因自動化決策導致其在金融活動中喪失簽約機會或財產損失的，均可以認定為“重大影響”。一方面，將法律影響視為對個人造成重大影響。如自動化決策對信息主體的信用信息評估的結果不利導致合同無法締結，應當認定對信息主體產生重大影響;當該不利結果導致連續性合同被終止或合同權利、義務、責任變更時，信息主體也得以行使自動化決策拒絕權。另一方面，自動化決策結果可能影響個人經濟狀況、機會、選擇時，也應當認定為“重大影響”。如自動化決策對信息主體的信用信息評估的結果不利導致其喪失信貸機會。畢竟，個體在生產經營過程中的信用信息是締結合同或獲得信貸機會的評判標準，信用信息的交流共享可以助力市場主體提高風險控制、促進交易達成以及做出最優決策，自動化決策對信用信息的評估對于信息主體從事經營活動尤為重要，給予其一定的救濟措施也是填補個人與金融機構之間實力懸殊和促進市場經營有序發展的制度保障。

（三）制定自動化決策拒絕權的例外規定

為了實現個人權益和公共利益之間的平衡，權利賦予的同時一定會制定例外規定以實現更好應對突發性事件或緊急情況。如歐盟GDPR第22條第2款對自動化決策拒絕權的例外規定進行了設計：一是信息處理者采取自動化決策程序是合同目的實現之必需;二是信息主體明確在合同中同意采取自動化決策程序;三是法律明確允許在某一特定場景下使用自動化決策程序。我國《個人信息保護法》并未制定自動化決策拒絕權的例外規定，導致無論何時信息主體的個人權益只要受到重大影響均可行使權利阻止信息處理者采用自動化決策程序，這不利于行業的創新發展以及公共利益的實現。因此，我國應在現有法律規定的基礎之上，考慮為自動化決策拒絕權制定例外規定，在賦予信息主體拒絕自動化決策決定的同時也兼顧信息處理者獲得必要豁免的可能。對此，可以借鑒GDPR第22條第2款的規定結合具體場景進行制度的設計。

從合同必要性規定出發，當采用自動化決策程序屬于合同目的實現的必要條件時，自動化決策拒絕權的適用將與合同的履行相矛盾，信息主體便不具備行使該權利的正當性。此時，由于自動化決策拒絕權被限制適用導致信息主體的權利被克減，法律必須審慎給出明確且清晰的指引，防止信息處理者在其隱私條款中編排必要性條款從而排除信息主體的權利。一方面，通過評估自動化決策程序在實現合同目的中是否具有合理性以及合同締約或履行過程中是否發揮實質性作用來對合同必要性進行考察，只有當自動化決策程序是合同目的實現的必要條件并在合同締約或履行過程中發揮實質作用時，才認定構成合同必要性條件。另一方面，在信息處理者正當利益與信息主體個人權益相同的情況下，評估采用自動化決策程序是否是對信息主體侵害最小的選擇，防止信息處理者片面追求自身利益而侵害信息主體的個人權益。從社會整體利益角度看，現不宜將合同必要性認定設置得太過苛刻，過分地排除自動化決策程序不利于國際市場競爭，尤其是金融市場。

從“當事人同意”規定出發，只要當事人明確同意自動化決策程序的使用即喪失自動化決策拒絕權。這一規定在歐盟GDPR中亦有體現，但在實踐中該規定難以落實，原因在于以告知義務為核心的制度設計難以保證知情權的落實，知情同意原則目前仍難以發揮應有的作用。因此，我國引入該規則，必須確保個人的真實意志得到體現。一方面，信息處理者必須針對自動化決策程序的應用提供單獨征求同意的頁面，并清晰、詳細告知自動化決策與人工決策之間的區別和風險，避免信息處理者采用抽象條款獲得信息主體對包括自動化決策程序在內的所有信息處理程序的概括授權。另一方面，應當設置開放性條款，如“法律規定的其他情形”，當發生突發性事件或緊急情況時，能夠根據客觀情況的改變靈活調整規則的適用。

自動化決策拒絕權的例外規定僅僅只是排除信息主體對自動化決策程序的拒絕，但并不排除《個人信息保護法》賦予的其他權利的實現。信息主體仍能夠行使個人信息查閱復制權、更正補充權，即信息主體有權對其個人信息進行查閱，若發現信息錯誤或缺失，有權要求人工介入對錯誤之處進行更正或對缺失部分進行補充，修改完畢后信息主體仍可以請求信息處理者進行決策。此外，信息處理者仍需要遵守算法透明原則保證信息收集和處理的透明、公開并履行一定的說明義務。對于自動化決策拒絕權的例外規定，我國可以參考域外立法，將其設置在自動化決策拒絕權條款項下，為個人提供更清晰的規范指引。

六、結語

自動化決策技術在金融科技場景中的應用不斷對個人金融信息保護發起挑戰，金融信息風險尤為需要重視。自動化決策拒絕權的權利確立賦予了信息主體一定程度的信息自決權，不僅有助于個體及時維護自身權益，還能夠有效實現自動化決策程序的合規。就自動化決策拒絕權而言，我國對該權利的制度設計仍處于新生階段，還需要逐步結合實際進行制度完善。歐盟GDPR不僅在個人隱私權保護方面規定成熟，并且在自動化決策規制方面也有著精妙的制度設計，為我國金融領域實現個人金融信息保護和自動化決策規制提供了可借鑒的制度經驗。個人信息法律保護的立法進程本就是一個系統并且逐步完善的過程，自動化決策拒絕權在某種程度上解決了個人金融信息保護面臨的諸多現實問題，但也帶來新的法律問題，權利連續機制不詳、適用標準不清、例外規定缺失等程序性風險正是目前面臨的制度問題。制度的不完善也導致個人金融信息面臨新一輪的危機，本文從制度完善角度針對性給出了問題解決的對策，并結合金融科技場景為個人金融信息保護模式提供進一步完善的新思路。但需要說明的是，制度的完善僅僅只是自動化決策拒絕權在實踐中能夠有效施行的第一步，對權利的塑造和制度的探索仍是一項未盡的工程。未來，還需要針對個人金融信息保護出臺專門性的法律，結合金融科技場景系統規制金融信息主體的自動化決策拒絕權，以及人工干預權、異議權等的配套權利，精心打造算法時代新型金融信息權利譜系，真實實現國家經濟安全、金融信息安全、個人信息權益保護多重目標，彰顯科技賦能金融的多元價值。

（責任編輯：孟潔）

參考文獻：

[1]刁勝先，徐云燕.對歐盟GDPR反對權的本土主義反思與建議[J].科技與法律（中英文），2021（5）：45-54.

[2]丁曉東.論個人信息概念的不確定性及其法律應對[J].比較法研究，2022（5）：46-60.

[3]高志宏.數字經濟時代個人信息的識別標準及規范續造[J].社會科學輯刊，2023（2）：68-77.

[4]姜婷婷.行為監管視角下個人金融信息保護問題研究[J].金融論壇，2022，27（6）：74-80.

[5]梁上上.利益衡量論[M].北京：北京大學出版社，2021.

[6]劉靜.金融監管中的行為助推：理論追溯及實踐探索[J].海南金融，2024（1）：35-44.

[7]林洹民.個人對抗商業自動決策算法的私權設計[J].清華法學，2020，14（4）：125-139.

[8]馬長山.智慧社會背景下的“第四代人權”及其保障[J].中國法學，2019（5）：5-24.

[9]梅傲，謝冰姿.個人數據反對權的歐盟范式及中國方案[J].德國研究，2022，37（6）：99-117+124.

[10]彭誠信.論個人信息的雙重法律屬性[J].清華法學，2021，15（6）：78-97.

[11]齊延平，朱家豪.完全自動化決策拒絕權的雙重功能及實現路徑[J].國家檢察官學院學報，2023，31（6）：157-174.

[12]唐林垚.“脫離算法自動化決策權”的虛幻承諾[J].東方法學，2020（6）：18-33.

[13]王華，馬曉芳.“機器代人”還是“創新聚人”？——數字金融發展對傳統金融業就業的影響[J].海南金融，2024（2）：58-75.

[14]王利明.數據共享與個人信息保護[J].現代法學，2019，41（1）：45-57.

[15]文銘，易永豪.論被遺忘權的本土化移植[J].重慶郵電大學學報（社會科學版），2020，32（6）：79-88.

[16]徐鳳.人工智能算法黑箱的法律規制——以智能投顧為例展開[J].東方法學，2019（6）：78-86.

[17]張欣.免受自動化決策約束權的制度邏輯與本土構建[J].華東政法大學學報，2021，24（5）：27-40.

[18]趙宏田.用戶畫像方法論與工程化解決方案[M].北京：機械工業出版社，2020.

作者簡介：徐偉琨（1997-），男，上海人，暨南大學法學院/知識產權學院博士研究生。