商业自动化决策规制的私法困境及其完善路径

王东方

（北京航空航天大学法学院，北京市 100191）

自动化决策在商业决策中发挥着越来越重要的作用，但相关自动化决策工具在改善商业决策的同时，也日益引发人们对算法偏见或者隐私侵害的担忧。因为自动化决策遵循的是技术逻辑，相关自动化决策技术内在具有专业性、自主性、隐蔽性等特点，被决策主体通常很难知悉自己是否被自动化决策，很难理解机器学习模型如何对复杂的个人数据进行组合以及如何将输入特征映射为输出结果。商业决策主体借助其与被决策主体间的信息不对称，很容易开展算法歧视、隐私侵害等活动。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第十三条规定，个人信息处理者处理相关个人信息时需取得信息主体的同意（事前告知义务）；第二十四条规定，个人有权要求个人信息处理者就对个人权益有重大影响的自动化决策予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定（事后说明义务和自动化决策结果拒绝权）。通过上述梳理可知，对于自动化决策，《个人信息保护法》是以事前告知义务、事后说明义务和自动化决策结果拒绝权为核心构建的规范体系，但该规范体系仅仅停留于自动化决策的一般逻辑（框架层面），并未深入至自动化决策的具体逻辑（算法层面）。从本质上看，商业自动化决策的规制可分为两个方面，即一般逻辑（框架层面）与具体逻辑（算法层面），而自动化决策的规制不应仅仅依托于私法规范停留在自动化决策的框架层面，更应关注自动化决策的算法层面，实现商业自动化决策规制的公私法协作。

一、逻辑起点：被决策主体是否享有算法解释权

依据通常逻辑，因为商业自动化决策存在算法黑箱，而商业决策主体必然知悉算法运作，所以如果赋予被决策主体算法解释权，则商业决策主体与被决策主体间的信息不对称便可有效消除。事实真的如此吗？尽管有关算法解释权的论述已相当繁多，但无论从比较法还是从可行性上看，被决策主体都不应被赋予算法解释权。

（一）比较法视角下算法解释权质疑

对算法解释权的讨论，最初兴起于欧盟的《一般数据保护条例》（General Data Protection Regulation，GDPR）。首先，GDPR 序言第七十一条规定：“在任何情况下，针对此种处理行为都应设有适当的保障措施，包括向数据主体提供详细的信息，以及要求进行人工干预的权利，表达数据主体观点的权利，要求对评估后作出的决定进行解释的权利，以及对决定提出质疑的权利。”基于此，有学者认为欧盟GDPR通过该条创设了算法解释权。[1]然而，此种观点实为对该条的误读。事实上，GDPR从没有创设所谓的算法解释权。一方面，就文意理解而言，GDPR 序言第七十一条确实提及“要求对评估后作出的决定进行解释的权利”。但是，就体系理解而言，该权利被置于序言之中，而序言对欧盟各成员国并没有法律约束力。因此，不能仅仅通过该条便得出GDPR 赋予了被决策者算法解释权。另一方面，从历史解释的角度看，2012年公布的GDPR（草案）第二十条第五项确实规定了“个人请求解释算法的权利”，但欧盟议会最终在2014年提交的版本中删除了这项权利。[2]由此可知，欧盟议会在GDPR立法过程中确实希望数据控制者能解释其自动做出的决定，但在GDPR立法的政治谈判中最终没有达成一致。立法者之所以将“解释”一词放在不具约束力的第七十一条，很大程度上是希望最终的解释由欧盟法院在未来的某个时间给出。[3]至于何时给出或者能否给出，尚不明确。此外，2017年欧洲数据保护机构在《关于自动个人决策和分析的指南》中亦明确指出，应该找到简单的方法，告诉数据主体背后的理由或达成决定所依赖的标准，但不是对所使用算法做复杂解释或披露完整算法。[4]

其次，GDPR第十三条、第十四条、第十五条规定，控制者在获取个人数据（在必要的情况下，出于证实处理过程公正和透明的需要）和处理个人数据时，应向数据主体提供如下信息：自动化决策机制、涉及的逻辑程序、对数据主体的重要意义和设想结果。有学者认为，该条实则确立了算法解释权。[5]但该观点是不正确的。因为即使被决策主体享有算法解释权，那么该权利也应是一项请求权，[6]而GDPR第十三条、第十四条、第十五条所规定的告知事项是在自动化决策前商业决策主体应向被决策主体主动提供的，并不需要被决策主体的请求。若如有些学者所言，将上述内容定性为算法解释权的具体内容，[7]则被决策主体的知情同意将可能无法实现。因为自动化决策针对的是个人数据处理，个人数据处理需取得数据主体的同意，而同意的有效实现取决于数据处理者与数据主体的意思表示是否合致。如果将商业决策主体应主动告知的事项转化为被决策主体请求告知的事项，则被决策主体知情表示的充分性便无法保障。这相当于免除了商业决策主体的先合同义务，以及被决策主体同意后商业决策主体应承担的缔约过失责任。显然，这并不符合诚实信用与公平原则。综上，无论是GDPR序言的第七十一条还是GDPR正文的第十三条、第十四条、第十五条，都未创设所谓的算法解释权。

（二）可行性视角下算法解释权质疑

域外确实无比较法借鉴，但这是否就意味着算法解释权不具有可行性？答案显然是否定的。若想创设算法解释权，就必须满足技术可行性与效果可行性两个方面的要求。

首先，关于算法解释权的技术可行性。因为商业自动化决策是以机器学习尤其是深度学习为核心的，且自动算法依赖于不同用户的实时、海量数据，所以其多存在于拥有事实“权力”的网络平台、金融机构等商业主体之中。从本质上看，深度学习是一种拥有自主学习能力的动态算法，该种算法会在初始算法模型基础上不断吸收新的原始数据和反馈数据，并自主生成更复杂的算法模型。算法设计者也无法解释自己设计的算法模型可生成的结果。[8]因此，区别于传统算法，自动化决策算法不仅具有自动性还具有自主性。申言之，自动化决策算法使用的多是描述优化参数或预期目标的算法，但并不给出需要遵循的一系列规则；而传统算法则是自上而下的基于规则的指令，确切地告诉计算机做什么、怎么做。例如银行并非基于静止的标准来确定申请人是否具有获得贷款的资格，而是通过算法的连续迭代不断优化信用评分模型，并提升预测能力。[9]在这一过程中，银行的数据科学家甚至也无法解释信用评分标准是如何通过深度学习确定的。因此，尽管追求可解释性是我们信赖的思维模式，但因为自动化决策算法本身具有自主性特点，其结果很大程度上是不可解释的。恰如有学者所言，要求所有算法都必须满足可解释性是一项不可能完成的任务。[10]

其次，关于算法解释权的效果可行性。就世界范围而言，凡支持算法解释权的学者都始终秉持这样一种观点，即为证明涉及机器学习或由机器学习模型构成的决策过程是合理的，参与决策过程的个人需要解释机器学习模型是如何工作的。[11]从形式逻辑上看，该观点并无问题，但由该观点的底层逻辑可知，其实质是以忽略数据主体知识的有限性为前提进行的观点预设。通常而言，普通人并不具有理解算法运作的专业知识，也不具有深入了解算法具体运作的可能。例如，当面临不公平自动化决策结果时，普通人所知道的仅仅是自己被商业自动化决策不公平对待，至于自动化决策算法如何进行的不公平对待，即使得到商业决策主体的完整源数据，多数情况下被决策主体也并不当然理解其中的原因。因此，即使赋予被决策主体算法解释权，即使商业决策主体愿意向被决策主体提供相关自动化决策算法的源数据，被决策主体也很难理解算法的具体运行规则以及算法是如何侵害其利益的。

二、商业自动化决策规制的私法框架及其困境

商业自动化决策中被决策主体不享有算法解释权。商业自动化决策规制的私法框架是以告知同意规则-事前告知义务、个人信息处理知情权-事后说明义务和自动化决策结果拒绝权为核心构建的规范体系。但这种规范体系以保障被决策主体知情为逻辑起点，不能有效解决自动化决策中存在的算法黑箱问题。此外，无论是私法规制框架内的事前告知义务、事后说明义务还是自动化决策结果拒绝权，都存在适用困境的问题，需予以妥善解决。

（一）商业自动化决策规制的私法框架

1.告知同意规则-事前告知义务

法律行为的要旨是根据行为人意志发生相应的法律效果。[12]因此，意思表示是法律行为的核心，而法律效果的有效产生需以意思表示的自由为前提。以本质而言，商业自动化决策属于针对被决策主体之个人信息的信息处理行为。《中华人民共和国民法典》（以下简称《民法典》）第一千零三十五条规定，处理个人信息应征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。根据该条可知，商业决策主体对相关个人信息进行自动化决策时需取得被决策主体的同意。但是，对被决策主体同意这一意思表示的自由应如何保障呢？《个人信息保护法》第十七条规定：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：......”。由此可知，被决策主体同意的自由是通过商业决策主体之法定告知义务来实现的。

需要说明的是，商业决策主体在自动化决策前主动履行告知义务的目的并不是保障被决策主体的知情权，因为此时的被决策主体未做出同意的意思表示，商业决策主体与被决策主体之间并未达成任何法律关系。因此，商业决策主体告知什么或者不告知什么，均应由其在法律规定的限度内自主决定。但是，如果商业决策主体告知的内容未能达到使被决策主体知情的程度，进而限制了被决策主体同意的意思表示自由，则商业决策主体在被决策主体同意后需承担相应的缔约过失责任。因此，事前告知义务的最终目的是确保被决策主体同意的自由，该义务的履行虽然以实现被决策主体的知情为目的，但目的绝不是保障被决策主体的知情权。进而言之，事前告知义务的功能在于满足被决策主体对自动化决策的风险预期，从而保证被决策主体同意的自由。

2.个人信息处理知情权-事后说明义务

《个人信息保护法》第二十四条规定：“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明。”基于该条可知，被决策主体并非对任何自动化决策结果都有权请求商业决策主体予以说明，其仅限于“对个人权益有重大影响”的决定。需要明确的是，此时的商业决策主体已经与被决策主体就信息处理达成合意（至少是形式上无瑕疵）。如果肯定被决策主体享有算法解释权，则被决策主体必然可基于算法解释权请求商业决策主体就自动化决策的具体过程做出说明，而商业决策主体便需通过提供自动化决策的阈值或权重设置等方式实现被决策主体对其个人信息处理情况的知悉。

但正如前所述，因知识的局限性，且商业决策主体的商业秘密同样需要保护，被决策主体不可能享有算法解释权。进而言之，被决策主体不可能基于算法解释权请求商业决策主体予以说明。若被决策主体不享有算法解释权，却有权要求商业决策主体对自动化决策结果予以说明，那么该主张的请求权基础是什么呢？从商业决策主体之事后说明义务上看，该说明义务指向的是商业自动化决策后被决策主体对自动化决策过程的知情，具体包括是否存在算法歧视、是否存在差异化定价等。在民事权利体系的概念清单里，除可实现被决策主体对其个人信息处理知情的算法解释权外，还有一项权利承担着同样的功能，即知情权。知情权本是一项公法性权利，但在民事领域得到广泛的拓扑，具体到个人信息保护领域则表现为个人信息处理知情权。例如《个人信息保护法》第四十四条规定：“个人对其个人信息的处理享有知情权。”从该权利的性质上看，个人信息处理知情权应是一项请求权，而商业决策主体所应承担的说明义务是以被决策主体对该权利的主动行使为前提的。因此，被决策主体可基于个人信息处理知情权就对其个人权益有重大影响的自动化决策结果请求商业决策主体予以说明。但商业决策主体此时负有的是事后说明义务，与事前应主动履行的法定告知义务有明显区别。

3.自动化决策结果拒绝权

《个人信息保护法》第二十四条第三款规定：“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权拒绝，......个人信息处理者仅通过自动化决策的方式作出决定”。通过该条可知，被决策主体并非享有绝对的自动化决策结果拒绝权，其应受“对个人权益有重大影响”和“仅通过自动化决策的方式作出”的双重限制。自动化决策结果拒绝权不同于自动化决策应用拒绝权。自动化决策应用拒绝权应存在于自动化决策前。但因为自动化决策应用具有技术正当性，所以被决策主体事实上并不享有该权利。而自动化决策结果拒绝权存在于自动化决策后，是对自动化决策结果的拒绝，并非对自动化决策应用的拒绝。在这里，尽管有学者认为，被决策主体享有“免受自动化决策约束权”，[13]即自动化决策应用拒绝权，但该观点实则基于个体本位，过分强调被决策主体的自治和自决，忽略了被决策主体的非理性可能导致的社会整体利益减损。

卢曼[14]认为，风险来自对自身决定的可能缺陷进行归因，而危险则来自对受波及者的外部决定之缺陷进行归因。因此，严格意义上说，任何自动化决策技术的应用都存在侵害个人信息权益的危险（外部）或者风险（内部）。其中，来自外部的危险主要是由自动化决策算法被歧视性编写带来的；来自内部的风险主要是由自动化决策技术本身的未知缺陷引发的。商业自动化决策的规制主要防范来自外部的危险。从公平角度看，因为任何自动化决策都存在算法代码被不正当编写的外部危险，所以任何人对自动化决策的结果似乎都应享有自动化决策结果拒绝权。但从社会整体效益的角度看，因为自动化决策具有技术正当性，具有促进社会进步的积极作用，所以如果任何情形下被决策主体都享有自动化决策结果拒绝权，则被决策主体对自动化决策的感性不信任可能使其习惯性地拒绝任何自动化决策结果，即使该自动化决策结果是正确的。该非理性行为将可能导致以自动化决策技术为基点的互联网企业无法运作，显然不利于提高效率与创新。而如果仅将自动化决策结果拒绝权限制在“对个人权益有重大影响”和“仅通过自动化决策的方式作出”的范围之内，则社会利益实现与被决策主体权益保护的张力就会有所缓和，可有效实现社会利益的最大化。而该双重限制的底层逻辑是：商业决策主体在通过自动化决策应用就对个人产生重大影响事项进行决策时，自动化决策应只具有工具价值，而不具有独立价值。若商业决策主体仅通过自动化决策的方式就对个人产生重大影响事项进行决策，则被决策主体的合法权益并不能得到有效保障。

（二）商业自动化决策规制的私法困境

1.私法规范无法规制算法黑箱

从本质上看，自动化决策系统的体系结构由界面、信息和模型三个层次构成，[15]界面层主要实现信息的展示和相关信息的收集，是自动化决策系统的基础；信息层与模型层后置于界面层，属于技术层。界面层的主要功能是信息的储存、清洗与分类；信息层与模型层的主要功能是建模和决策，算法黑箱主要存在于信息层与模型层。从应然的规范预设看，因为界面层主要实现信息的展示和相关信息的收集，商业决策主体通过事前告知义务可有效满足被决策主体对自动化决策的风险预期，实现其同意之意思表示自由。而模型层则是以信息层为基础进行建模、分析并形成最终的决策结果，商业决策主体通过事后说明义务和自动化决策结果拒绝权可有效解决决策过程中可能存在的算法侵害问题。但私法规范是否能够有效实现规范的预设目标，或在多大程度上能实现预设目标，需要从实然的效果层面上进行深入分析。就界面层而言，因为该层主要涉及被决策主体对自己信息权益的处分，所以通过商业决策主体事前充分的告知义务确实可有效保障被决策主体对自动化决策的风险预期，进而实现其同意的意思表示自由。但就信息层和模型层而言，因为此两层属于自动化决策的技术层，隐藏于内部，并不会对外界显露，所以即使自动化决策的一般逻辑已经被商业决策主体事前告知，但算法设计者在编程时仍可能有意或无意将自身偏见、社会风气、制度体制以及文化差异嵌入算法之中，[16]而被决策主体事实上根本无法知悉具体的自动化决策算法是否存在不利于自身的情况。因此，即使被决策主体享有个人信息处理知情权，该权利也仅仅是自动化决策后的请求权，并不能实现在自动化决策前对算法的完全知情。换言之，现行的私法规制方案并不能穿透到技术层。

2.私法规范的解释困境

私法规范不能穿透到技术层对自动化决策的算法进行规制，并不意味着私法规范无存在的必要。因为被决策主体不仅对自动化决策结果享有拒绝权，还对个人信息处理享有知情权，同时对自身信息的收集、处理也享有自决权益，需要私法规范予以保障。若否定私法规范的价值，则被决策主体的相关信息权益便无法得到保障。现行私法规范存在的问题主要体现在以下几个方面。首先，虽然充分的事前告知义务确实可有效保障数据主体同意意思表示的自由，但对于何为充分的事前告知义务，没有权威的定义。《个人信息保护法》第十七条虽然采用有限列举的方式规定，个人信息处理者应告知个人信息的处理目的、处理方式、处理的个人信息种类、保存期限等，但该条规定的告知范围是否可保障自动化决策前被决策主体同意的自由？如果不能，告知义务的范围应如何确定？其次，被决策主体基于个人信息处理知情权可请求商业决策主体对自动化决策结果予以说明，但该说明义务的内容应包括哪些方面，如何在不损害商业决策主体之合法权益的前提下满足该权利要求？最后，自动化决策结果拒绝权虽然可有效解决算法侵害的问题，但该权利的行使需受“对个人权益有重大影响”与“仅通过自动化决策的方式作出”的双重限制，那么何为“对个人权益有重大影响”？在商业决策主体与被决策主体具有实质地位不平等的情况下，被决策主体如何知悉决策结果是否仅通过自动化决策做出？这些问题需在私法层面进行完善。

三、商业自动化决策规制的完善路径

个人信息保护法预设的私法规制框架并不能有效解决算法黑箱所可能引发的侵害问题，商业自动化决策需公私法协同规制。具体而言，私法层面应着眼于自动化决策的一般逻辑（框架层面），细化数据主体事前告知义务和事后说明义务的范围，明确自动化决策结果拒绝权的适用情形；公法层面应着眼于自动化决策的具体逻辑（算法层面）进行穿透式监管，即通过算法备案-实质审查和算法备案-动态监管的方式解决算法黑箱可能带来的侵害问题。

（一）私法层面：完善自动化决策规制的私法规范

商业决策主体事前告知义务的完善是以保障被决策主体同意之意思表示自由为导向的；事后说明义务的完善是以有效保障被决策主体之个人信息处理知情权为导向的；自动化决策结果拒绝权的完善是以细化该权利的适用情形为导向的。

1.明确事前告知义务范围

在目的论视角下，商业决策主体告知义务的履行是为了确保被决策主体知悉信息处理的真实情况，以满足其对商业自动化决策进行了风险评估的需要，进而保证其意思表示的自由。因此，《个人信息保护法》第十七条规定，商业决策主体在自动化决策前应以显著方式、清晰易懂的语言真实、准确、完整地向数据主体告知自动化决策的目的、种类和个人数据的保存期限等内容。①但是，该告知义务的内容并不能满足被决策主体对自动化决策进行风险评估的需要。首先，商业自动化决策是一种专业的信息处理行为，一般人很难清晰了解其内在规则。其次，被决策主体囿于知识的有限性，即使商业决策主体向其告知自动化决策的一般逻辑规则，也并不当然知悉自动化决策可能带来的风险。从比较法上看，欧盟GDPR第十三条第二项5款规定，控制者应当在获取个人数据时为数据主体提供确保合理与透明处理所必需的进一步信息——存在的自动化决策，包括第二十二条第一项和第四项所规定的用户画像，以及此类情形下与相关逻辑、相关处理对数据主体预期影响有关的有效信息。由此可知，在欧盟，商业决策主体不仅应告知存在自动化决策，而且应就自动化决策的相关逻辑以及预期后果进行说明。

在我国，《民法典》第一千零三十五条规定，处理个人信息的，应当公开个人信息的处理规则。根据该条可知，《民法典》所确定的商业决策主体之事前告知义务的范围应包括处理规则。但《个人信息保护法》第十七条所规定的事前告知义务的范围却并不包含处理规则。从《个人信息保护法》与《民法典》的关系上看，《个人信息保护法》属于《民法典》的特别法，可以对《民法典》做出补充和例外规定，对其一般性规定进行变通和突破，但不能违背其所确立的合法正当必要等基本原则。[17]虽然《个人信息保护法》的事前告知义务未包括处理规则，但商业决策主体仍应向被决策主体告知信息处理规则。因此，在自动化决策前，商业决策主体不仅应向被决策主体主动告知自动化决策的一般逻辑，还应主动告知该自动化决策所可能引发的风险。但法律不强人所难，商业决策主体所告知的风险应是一般理性人所能预料到的风险，并不包括任何不可预知的风险。

2.明确事后说明义务范围

《个人信息保护法》第四十八条规定：“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。”根据该条规定，个人有权要求个人信息处理者进行的解释说明应发生在个人信息处理后。因为在个人信息处理前，个人与信息处理主体未达成个人信息处理的合意，没有权利要求信息处理者对信息处理规则进行解释说明。当然，信息处理主体也会进行事前说明，但该说明只是信息处理主体之法定告知义务的体现。在事后说明义务范围方面，被决策主体因为不享有算法解释权，不能基于算法解释权请求商业决策主体对自动化决策的具体逻辑（算法层）进行解释。因此，商业决策主体的事后说明义务应围绕自动化决策的一般逻辑展开。具体而言，事后说明义务应在事前告知义务一般逻辑的基础上，对影响被决策主体权益的相关信息进行具体说明。例如，银行借贷申请的标准是月收入水平不低于1万元，年龄不大于50岁，而申请人的月收入水平为8 000元，年龄为38 岁。当银行通过自动化决策拒绝申请人的申请后，申请人可请求银行对决策结果进行说明，此时银行的说明理由便仅需“月收入水平不符”。至于银行自动化决策的阈值设置以及该阈值如何计算得出，这涉及自动化决策的算法层，银行不需要向申请人说明。这是因为在商业自动化决策中，相关标准、阈值的设定属于商业决策主体的商业秘密，对于该类信息，商业决策主体不需向被决策主体说明。

3.细化自动化决策结果拒绝权的适用

自动化决策结果拒绝权的适用受“对个人权益有重大影响”与“仅通过自动化决策的方式作出”的双重限制。首先，对“对个人权益有重大影响”的理解不应基于被决策主体的主观视角，而应从一般理性人的客观视角去判断，即算法结果是否严重改变了被决策主体的利益状态。[2]其次，“对个人权益有重大影响”具体可表现为是否有害于被决策主体的生命、身体、自由、财产或其他重大利益。[18]因此，商业自动化决策结果与被决策主体重大利益的关系可分为以下三种情形：其一，自动化决策结果直接影响被决策主体的利益状态，例如通过自动化决策算法选聘雇员；其二，自动化决策结果间接影响被决策主体的利益状态，例如被决策主体申请贷款能否被批准需基于对其信用信息的评估，此时其信用信息便构成与自身重大利益相关；其三，自动化决策结果不直接或间接影响被决策主体的利益状态，就意味着自动化决策结果不与被决策主体的重大利益相关。在“仅通过自动化决策的方式作出”方面，因为商业决策主体与被决策主体具有实质上的地位不平等，被决策主体通常面对的并不是普通的私人主体，而是强大的、组织化的信息处理机构，所以对于自动化决策结果是否仅通过自动化决策的方式做出，被决策主体通常并不知悉。因此，一种可行的方案是：应将是否“仅通过自动化决策的方式作出”纳入商业决策主体事前告知义务的范围，由商业决策主体主动予以告知。该方案的合理之处在于，“仅通过自动化决策的方式作出”不仅适用自动化决策结果拒绝权的条件，也构成被决策主体进行事前风险评估的重要因素。而商业决策主体的事前主动告知，不仅可保障被决策主体在自动化决策前同意的自由，也可为自动化决策结果拒绝权的行使提供便利。

（二）公法层面：商业自动化决策的公法规制

商业自动化决策规制的公法层面应着眼于自动化决策的具体逻辑（算法层面）进行穿透式监管，即通过算法备案-实质审查和算法备案-动态监管的方式解决算法黑箱可能带来的侵害问题。

1.算法备案-实质审查

算法透明目前已成为打开算法黑箱的根本规制手段，透明可能会矫正任何算法过程中的错误，由此提升效率。[19]但算法应该向谁透明？可以肯定的是，算法不能向自动化决策的相对人透明，因为自动化决策算法本身属于商业决策主体的商业秘密，同时被决策主体也存在知识有限性的障碍。因此，商业自动化决策算法的透明应是对监管机构的透明，而非对被决策主体的透明。[20]有鉴于此，2021年9月17日国家互联网信息办公室等九部门联合发布的《关于印发＜关于加强互联网信息服务算法综合治理的指导意见＞的通知》指出：“有序推进算法备案工作。建立算法备案制度，梳理算法备案基本情况，健全算法分级分类体系，明确算法备案范围，有序开展备案工作。积极做好备案指导帮助，主动公布备案情况，接受社会监督。”随后，2022年1月4日国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局针对算法推荐服务联合发布的《互联网信息服务算法推荐管理规定》第二十四条明确规定：“具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息，履行备案手续。”基于上述规定可知，在公法层面，我国目前对自动化决策的规制实质上是算法备案制。但仅依靠备案制不能有效解决算法可能对用户产生的侵害问题。因为商业决策主体进行算法备案的具体内容均由其自主提供，若监管机构仅对备案算法进行形式审查，则并不能实现对该类算法的有效监管。因此，监管机构应对备案算法进行实质审查。首先，因为算法模型的所有规则并非都是事先精确指定的，有时需保持必要的模糊性与随机性，所以对算法可问责性以及算法缺陷和偏差的甄别便成为算法治理的主要内容。[21]而标准化可以为人工智能产品的设计者提供清晰指引，确保系统生成可靠、完整且不可篡改的确凿记录，[22]并成为算法评估以及溯源验证的重要依据。因此，行政机关可根据不同场景建立适当的算法技术标准和技术规范。这不仅有利于算法的规范治理，也便于监管机构对备案算法的实质审查。其次，监管机构需建立专业技术评估队伍，深入分析备案算法的机制机理，对备案算法进行深度的评估、测试、验证（包括是否存在软件设计缺陷，是否存在算法歧视，训练数据的选取是否科学等），以期在事前实现风险预防。

2.算法备案-动态监管

商业自动化决策作为一种技术设计，在实践中不仅有被篡改的可能，也存在异化的风险，监管机构应加强对商业自动化决策的动态监管。就算法异化而言，这是一种技术风险，具有偶发性。因此，商业决策主体必然应对自动化决策算法定期进行风险评估和漏洞检测，并形成自检记录。监管机构应不定期对自动化决策进行外部监管。例如《互联网信息服务算法推荐管理规定》第二十八条规定：“网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作，对发现的问题及时提出整改意见并限期整改。”从监管内容上看，监管机构不仅应对商业决策主体是否定期自检进行监督，还应对运行中的自动化决策算法进行穿透式审查，以发现其是否存在算法缺陷、算法漏洞或者算法异化。就算法篡改而言，因为算法是由计算机工程师通过代码编写而成的，自动化决策算法在运行过程中仍存在被商业决策主体修改或调整的风险。因此，监管机构应对运行中的自动化决策算法进行监管，以审查其是否存在不公平、不公正篡改编写等情形。具体而言，监管机构可对运行中的自动化决策开展算法评估，并将评估结果与备案内容进行对比，若两者不一致，则商业决策主体需说明理由。此外，监管机构还应畅通用户举报途径，对举报集中的商业自动化决策算法的数据使用、应用场景、影响效果等情况进行及时监管。

四、结语

从本质上看，商业自动化决策的规范可分为两个层次，即一般逻辑（框架层面）与具体逻辑（算法层面）。商业自动化决策的私法规制框架是以告知同意规则-事前告知义务、个人信息处理知情权-事后说明义务和自动化决策结果拒绝权为核心的规范架构。但从实然层面上看，该私法规制框架具有双重困境：其一，私法规范设计并不能有效穿透算法层；其二，规范本身亦存在解释困境。商业自动化决策规范需公私法协同构建。在私法层面，首先，在自动化决策前，应明确商业决策主体之告知义务的范围，确保数据主体同意之意思表示自由，即商业决策主体应在事前告知义务一般逻辑的基础上，对影响被决策主体权益的相关信息进行具体说明。其次，在自动化决策后，应明确商业决策主体之说明义务的范围，即商业决策主体应在事前告知义务一般逻辑的基础上，对影响被决策主体权益的相关信息进行具体说明。最后，应细化自动化决策结果拒绝权的适用情形。具体而言，自动化决策结果拒绝权的行使需受“对个人权益有重大影响”与“仅通过自动化决策的方式作出”的双重限制。其中，是否“对个人权益有重大影响”的判断标准为是否严重改变了被决策主体的利益状态；而是否“仅通过自动化决策的方式作出”则需纳入商业决策主体的事前告知义务范围，由商业决策主体主动予以告知。在公法层面，首先，商业决策主体应主动对自动化决策进行算法备案，监管机构应对备案算法进行实质审查。具体而言，一方面，行政机关可根据不同场景建立适当的算法技术标准和技术规范；另一方面，监管机构需建立专业技术评估队伍，深入分析备案算法的机制机理，对备案算法进行深度的评估、测试、验证以期在事前预防风险。其次，监管机构应对自动化决策算法的应用场景、影响效果、数据使用等情况进行动态监管，防止算法篡改和算法异化引发的风险。具体而言，一方面，监管机构不仅应对商业决策主体是否定期自检进行监督，还应对运行中的自动化决策算法进行穿透式审查，以发现其是否存在算法缺陷、算法漏洞或者算法异化；另一方面，监管机构还应畅通用户举报途径，对举报集中的商业自动化决策算法的数据使用、应用场景、影响效果等情况进行及时监管。

注释：

①《个人信息保护法》第十七条规定：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。”