民法视角下“算法解释权”的质疑与重构

陈浩林

引 言

随着人工智能技术的不断发展，算法自动化决策被赋能运用到生活的方方面面，给法律的规制带来了一定挑战。一方面，自动化决策系统虽然能与神经元网络等技术结合处理海量信息，极大地提升决策的效率，但其本身并不一定是中立的。自动化决策可能会以技术公正的表象，掩盖人类社会中本来就存在的问题。(1)Cathy O’ Neil，Weapons of Math Destruction：How Big Data Increases Inequality and Threatens Democracy，Crown Publishers，2016，p.21.部分自动化决策系统背后的机器学习机制依赖从社会中收集到的数据，如果社会本身存在不平等对待或其他歧视的现象，那么相应的自动化决策也会表现出同样的瑕疵。(2)Solon Barocas &Andrew D. Selbst，Big Data’s Disparate Impact，104 California Law Review，671，677(2016).另一方面，与大数据和人工智能技术结合的自动化决策系统容易形成“黑箱效应”，给法律的问责增加阻碍。这类自动化决策系统的决策过程往往难以从外部进行观察、理解，并且涉及数据海量，一旦发生算法侵害便难以确定原因。(3)Danielle Keats Citron &Frank Pasquale，The Scored Society：Due Process for Automated Predictions，89 Washington Law Review，1，13-15(2014).面对这样的情形，有学者精准地指出，对于自动化决策，传统私法上的合同效力制度、违约救济制度和侵权损害赔偿制度等法律资源已经不敷规制。(4)参见张凌寒：《商业自动化决策的算法解释权研究》，载《法律科学》(西北政法大学学报)2018年第3期。这意味着，我们已经进入了一个由自动化决策操控，但因缺乏透明度而无法进行有效监管的“黑箱社会”。(5)Frank Pasquale，The Black Box Society：The Secret Algorithmic That Control Money and Information，Harvard University Press，2015，p.1-4.

在这样的背景下，赋予数据主体算法解释的权利是增强自动化决策透明度、保证数据主体权益的重要手段。美国在金融信贷领域颁布了《公平信用报告法》(Fair Credit Reporting Act)、《平等信贷机会法》(The Equal Credit Opportunity Act)等法案作为算法解释的法律依据。前者赋予消费者有条件地访问自身征信报告和信用分数的权利，后者则课以贷款人向消费者解释负面信用评分的义务。(6)参见许可：《驯服算法：算法治理的历史展开与当代体系》，载《华东政法大学学报》2022年第1期。欧盟的《通用数据保护条例》通过第13条、第14条、第15条和第22条保障了数据主体对自动化决策系统的知情透明，确立了数据主体对抗自动化决策的行权机制。我国《个人信息保护法》第24条规定了个人拒绝自动化决策和请求解释说明的权利，国家网信办颁布的《算法推荐管理规定》第17条也规定了算法推荐服务提供者的解释说明义务。可以说，算法解释在我国法律体系中具备规范基础。

但算法解释的权利该如何与我国私法体系相融合，在我国的理论研究中尚未形成统一的观点。具体而言，分歧主要存在于以下几个方面：首先，算法解释的权利能否被构建为独立的“算法请求权”，换言之，“算法解释权”是否存在？这一问题充满争议。其次，算法解释的构成要件该如何认定，尤其是如何理解《个人信息保护法》第24条第3款中“自动化决策”“决定”和“重大影响”等概念，目前我国的研究也并不充分。最后，算法解释应该体现哪些内容，要如何把握解释的限度，这一问题也仍不明确。本文将在对欧盟《通用数据保护条例》进行比较研究的基础上，从我国民法解释论的层面尝试对以上问题进行探讨。

一、《通用数据保护条例》中“算法解释权”的质疑与重构

算法解释是否是一项独立的权利，进而被称作“算法解释权”，这一问题在国内外的研究中均存在争议。我国有学者明确肯定算法解释是一项独立的权利，认为“算法解释权”是数据主体在自动化决策作出后向数据控制者请求解释说明的权利；(7)参见张凌寒：《商业自动化决策的算法解释权研究》，载《法律科学》(西北政法大学学报)2018年第3期；解正山：《算法决策规制——以算法“解释权”为中心》，载《现代法学》2020年第1期。也有学者旗帜鲜明地反对“算法解释权”的存在。(8)参见贾章范：《论算法解释权不是一项法律权利》，载《电子知识产权》2020年第12期。实际上，对“算法解释权(the right to explanation)”概念的争论可以回溯至对欧盟《通用数据保护条例》的研究中。梳理欧盟《通用数据保护条例》的立法过程、学说观点，可以发现：算法解释并不是一项单独的权利，而是由一系列规范组成的义务体系。

(一)《通用数据保护条例》中“算法解释权”的质疑

“算法解释权”这一概念最早由英国学者古德曼(Goodman)和弗莱斯曼(Flaxman)在其2016年的会议论文中提出。他们指出：《通用数据保护条例》在序言第71条明确要求数据控制者应采取适当的措施防止自动化决策的歧视性影响，并且正文第13条和第14条赋予数据主体获得“与算法逻辑相关的有意义信息”的权利，这些规定与正文第22条第3款“数据控制者应采取适当措施保障数据主体的权利、自由和正当利益”的表述相结合，可以认为《通用数据保护条例》确立了算法解释权。(9)Bryce Goodman &Seth Flaxman，European Union Regulations on Algorithmic Decision-Making and A “Right to Explanation”，38 AI Magazine，50，53-55(2017).一些学者也在其文章中直接引用该观点，认为“欧盟《通用数据保护条例》有效地创建了算法解释权，用户可以借此要求对关于其自身的算法决定进行解释。”(10)Francesca Rossi，Artificial Intelligence：Potential Benefits and Ethical Considerations，EPRS：European Parliamentary Research Service. Belgium.原文链接：https：//policycommons.net/artifacts/1340375/artificial-intelligence/1950888/，2023年5月30日访问；Hildebrandt，Mireill，The New Imbroglio-Living with Machine Algorithms，The Art of Ethics in the Information Society，Amsterdam University Press，2016，p. 55-60.上述学者所称的“算法解释权”，主要指针对具体自动化决策的事后解释请求权。该论断一经提出，便受到欧盟学者瓦赫特(Wachter)和爱德华兹(Edwards)的质疑，其主要观点可总结如下。

从文义解释的角度观察，《通用数据保护条例》正文中并未规定算法解释权。(11)Sandra Wachter，Brent Mittelstadt &Luciano Floridi，Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation？，7 International Data Privacy Law，76，82(2017).首先，《通用数据保护条例》第22条第3款并没有提及算法解释权。其表述仅为“数据控制者应采取适当措施”，从中无法推导出算法解释权的含义。其次，《通用数据保护条例》第13条和第14条亦未提及算法解释权。该两条规定的是数据控制者在自动化决策作出前的告知义务，从中无法推导出一项事后的算法解释权。并且，《通用数据保护条例》第13条第2款f项和第14条第2款g项明确规定适用于第22条第1款和第4款的自动化决策情形，并没有与第22条第3款的“适当措施”产生关联。最后，从《通用数据保护条例》第15条规定的访问权中也无法推导出算法解释权。《通用数据保护条例》第15条第1款h项规定，当存在第22条第1款和第4款规定的自动化决策时，信息主体有权了解“所涉逻辑相关的重要信息”和“设想的结果”。对于该条，古德曼和弗莱斯曼在文章中没有作过多分析，但确有学者指出其“相较于第22条更可能赋予数据主体算法解释权”。(12)Lilian Edwards &Michael Veale，Slave to the Algorithm？Why a ‘Right to an Explanation’ Is Probably Not the Remedy You Are Looking for？，16 Duke Law &Technology Review，18，68-72(2018).而学者瓦赫特指出，在体系上《通用数据保护条例》第13条—第15条可被视为一个整体，并且第15条第1款第(h)项与第13条第2款第(f)项和第14条第2款第(g)项的文义表述相似，可以认为第15条第1款第(h)项亦是对自动化决策系统的事前一般性解释。他还分析了《通用数据保护条例》的德语文本，从其语法措辞上进一步佐证第15条第1款第(h)项的事前解释性质。(13)Sandra Wachter，Brent Mittelstadt &Luciano Floridi，Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation？，7 International Data Privacy Law，76，83-84(2017).欧盟第29条数据保护小组在对该条的解释中也指出，第15条第1款第(h)项与第13条和第14条规范目的一致，对其应作相同的解释。(14)Article 29 Data Protect Working Party，Guidelines on Automated individual decision-making and Profiling forthe Purposes of Regulation 2016/679 [R]，p.25-26..

从体系解释的角度观察，《通用数据保护条例》中确立了算法解释权的观点也值得怀疑。古德曼和弗莱斯曼认为算法解释权的核心规范基础在于《通用数据保护条例》第22条第3款与序言第71条的结合。诚然，《通用数据保护条例》全文中确实只有序言第71条中提及算法解释权，该条规定数据主体在自动化决策作出后具有“要求作出解释”和“提出质疑”的权利。但从欧盟的立法实践传统来看，其颁布法律的序言部分往往并不具有实际效力。欧盟学者克利马(Klimas)指出，当一部欧盟法律的序言和正文条款都明确对同一事项作出规定，但文义表述并不一致时，序言条款往往是没有效力的。(15)Tadas Klimas &Jurate Vaiciukaite，The Law of Recitals in European Community Legislation，15 ILSA Journal of International &Comparative Law，61，83-85(2008).意大利学者巴拉塔(Baratta)也认为，欧盟法律的序言可以辅助解释正文条款的规范目的和立法背景，但原则上不具有效力。(16)Roberto Baratta，Complexity of EU Law in the Domestic Implementing Process，2 The Theory and Practice of Legislation，293，293-295(2014).回到《通用数据保护条例》的文本，其序言第71条和正文第22条对于数据控制者应采取“保障措施”的表述几乎一致，但正文第22条却并无提及数据主体“请求解释”的权利，这足以说明算法解释权并无实际效力。

回顾欧盟针对自动化决策的立法过程，也可以得出算法解释权被立法者有意忽略的结论。根据欧盟的立法程序，《通用数据保护条例》颁布前需要经过欧盟的部长理事会、欧盟议会和欧盟委员会进行“三方会谈(trilogues)”，以达成对法律文本的一致意见。(17)Olivier Proust，Unravelling the Mysteries of the GDPR Trilogues，原文链接：https：//www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/unravelling-the-mysteries-of-the-gdpr-trilogues，最后访问时间：2023年5月30日。在欧盟委员会于2012年提出的《通用数据保护条例》建议草案中，其序言第58条(相当于目前序言第71条)和正文第20条(相当于目前正文第22条)中均未提及对算法解释的权利。(18)Proposal for a regulation of the european parliament and of the council on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation)，原文链接：https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52012PC0011&qid=1691392945581，2023年5月30日访问。欧盟议会在2013年11月的报告中，曾提议对该版本的草案正文第20条第5款进行修改，增加“获得人工评估的权利以及对此类评估后做出的决定的解释”作为对数据主体的保障措施。(19)Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation)，原文链接：https：//www.europarl.europa.eu/doceo/document/A-7-2013-0402_EN.html，2023年5月30日访问。但在欧盟委员会于2014年提出的草案版本中，其正文第20条(相当于目前正文第22条)仅规定数据主体“有权获得人为干预、表达自己的观点和提出异议的权利”，而将数据主体“获得对决定的解释和对决定提出异议的权利”置于序言第58条(相当于目前序言第71条)中。(20)European Digital Rights，Comparison of the Parliament and Council text on the General Data Protection Regulation，原文链接：https：//edri.org/files/EP_Council_Comparison.pdf，2023年5月30日访问。2016年通过的《通用数据保护条例》最终文本采纳了这种模式，将对算法解释权的规定置于序言第71条中。这在一定程度上可以说明，欧盟立法者有意不赋予算法解释权实际法律效力。

不仅“算法解释权”概念在法教义学层面受到质疑，欧盟学者指出其在实践中也没有发挥应有的作用。一方面，“算法解释权”会不合理地增加数据主体的负担。向数据控制者提交信息访问的申请往往需要花费大量的时间，并且还需要具备专业知识，这对于大多数用户来说并不便利。并且在欧盟，数据主体进行集体诉讼应该由欧洲的国家数据保护机构(DPAs)代表，而由于这些机构缺乏相应的人力支持和专业知识，维权也并不容易。(21)Lilian Edwards &Michael Veale，Enslaving the Algorithm：From a “Right to an Explanation” to a “Right to Better Decisions”？，16 IEEE Security &Privacy，46，49-50 (2018).另一方面，即便数据主体通过“算法解释权”获得了解释，由于专业知识缺乏且涉及数据众多，其也无法对该解释形成有效的理解。(22)Frank Pasquale，The Black Box Society：The Secret Algorithmic That Control Money and Information，Harvard University Press，2015，p.29.对于受自动化决策影响的数据主体而言，一旦涉及到“算法解释权”的救济，便意味着特定的侵害已经发生，事后的解释实际上为时已晚。此外，由于法律上的商业秘密保护，自动化决策算法披露也存在阻碍。(23)Mike Ananny &Kate Crawford，Seeing without Knowing：Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability，20 New Media &Society，973，975-976(2018).

(二)《通用数据保护条例》中“算法解释权”的重构：算法解释义务体系

在上述质疑之下，可认为针对具体自动化决策的事后“算法解释权”并不存在，其仅是学者构造出来的概念。基于自动化决策透明度规制的现实需求，欧盟学者在近年来的研究中厘清了《通用数据保护条例》中实质起到算法解释作用的规范体系：《通用数据保护条例》实际上通过第13-15条、第22条和序言第71条组成的告知义务体系承担算法解释的功能。

首先，《通用数据保护条例》第13条第2款第(f)项、第14条第2款(g)项和第15条第1款(h)项中“所涉逻辑的有意义信息”“对数据主体重要性和设想后果”等表述值得重视，其规定了数据控制者充分的算法解释义务。具体而言，披露信息必须“有意义”，这对于没有技术背景的数据主体来说是可理解的、具有实质指引作用和信息量充分的，并且披露的方式应根据应用场景的不同灵活调整；披露信息能体现“重要性和设想后果”则要求数据主体能够根据所提供的信息，理解自动化决策系统的运作逻辑，并预测自己行为的结果。(24)Andrew D. Selbst &Julia Powles，Meaningful Information and the Right to Explanation，7 International Data Privacy Law，233，235-236(2017).这实际上消融了瓦赫特提出的一般性系统功能解释和具体决策解释、自动化决策事前解释和事后解释的严格区分，弥补了事后“算法解释权”缺位的不足。因为从技术层面来看，基于可靠性的要求，使用线性回归算法、机器学习算法的自动化决策系统运算结果是可以预测的。一旦对其输入数据，其处理结果便可预知，而不必等最终的决策作出。(25)Peter Flach，Machine Learning：The Art and Science of Algorithms that Make Sense of Data，Cambridge University Press，2012，p.11.能进行一般性系统功能解释但无法进行具体决策解释的例子，只有使用随机输出算法的自动化决策。但该类系统在实践中不具有典型性，并且对其具体决策的事后解释也没有意义，一般性系统功能的解释便足够。(26)Andrew D. Selbst &Julia Powles，Meaningful Information and the Right to Explanation，7 International Data Privacy Law，233，240(2017).因此，《通用数据保护条例》第13-15条能够对算法进行充分解释，并且数据主体根据第15条第1款第(h)项至少可获得对自动化决策的事中解释。

其次，在算法解释的内容上，《通用数据保护条例》第13—15条的算法解释义务能够协调算法透明度、数据主体可理解性和商业秘密保护三者之间的紧张关系，弥补“算法解释权”在实现上的不足。如前所述，“算法解释权”的阻碍，主要在于数据主体无法理解披露内容和商业秘密保护等问题上。就前一问题而言，《通用数据保护条例》第13—15条确立了“易读性解释”标准，使得算法解释既有合理的透明度，又易于数据主体理解。以程度为标准，算法解释可分为可读性(readability)解释、透明性(transparency)解释和易读性(legibility)解释三类。可读性指的是数据主体理解某些信息、某些数据的主观能力。对自动化决策系统进行可读性解释，可以促进数据主体对其机制的理解，但不会提高数据主体对其影响范围、处理目的、处理结果和社会意义的知情程度。(27)Mingfeng Lin，Economic Value of Texts：Evidence from Online Debt Crowdfunding，in Empirical Studies on Online Crowdfunding，原文链接：https：//www.federalreserve.gov/conferences/files/economic-value-of-texts-presentation.pdf，2023年5月30日访问。透明性解释则包含自动化决策的具体存在、输入信息、处理范围、商业目的、社会意义、具体效果等细节方面的信息，但无法提升数据主体对其理解程度。(28)Tal Zarsky，Transparent Predictions，4 University of Illinois Law Review，1503，1530-1550(2013).换言之，可读性解释是对自动化决策的不透明理解，透明性解释则是对自动化决策的不理解透明。而易读性解释则意味着数据主体能够自主理解数据和分析算法，达到对自动化决策“既理解又透明”的程度。(29)Richard Mortier，Hamed Haddadi，Tristan Henderson，Derek McAuley &Jon Crowcroft，Human-data Interaction：The Human Face of the Data-driven Society，2 MIT Technology Review，1，6-7(2014).在算法解释中采用易读性原则，可以弥合可读性解释和透明性解释各自的不足。《通用数据保护条例》第13条第2款(f)项、第14条第2款(g)项、第15条第1款(h)项中“存在自动化决策”“所涉逻辑有意义信息”的规定属于透明性解释的内容，而“对数据主体的重要性和设想结果”的规定则属于可读性解释的内容。综合来看，《通用数据保护条例》第13—15条要求算法解释达到“既透明又理解”的程度，明确了“易读性解释”标准。(30)Gianclaudio Malgieri &Giovanni Comandé，Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation，7 International Data Privacy Law，243，257-258(2017).而在商业秘密保护方面，《通用数据保护条例》序言第63条确实规定数据保护的权利不应对商业秘密产生不利影响，但这并不妨碍数据控制者履行算法解释义务。因为《通用数据保护条例》序言第63条也强调，数据控制者不得因上述限制拒绝向数据主体提供信息，欧盟《商业秘密指令》序言第35条亦规定，商业秘密原则不应影响数据保护权利。(31)Paul B. de Laat，Algorithmic Decision-making Employing Profiling：Will Trade Secrecy Protection Render the Right to Explanation Toothless？，24 Ethics and Information Technology，16，17(2022).这表明，欧盟法律中算法解释和商业秘密保护二者也可以平衡。

最后，《通用数据保护条例》序言在法解释中的价值指引作用也不应忽视，其强化了算法解释义务体系的构建。虽然《通用数据保护条例》序言第71条所规定的算法解释的权利并无法律效力，但其与正文第13—15条、第22条在内容上并不存在冲突。从法教义学的角度，无法反驳序言第71条在阐释正文第22条第3款的“保护措施”和第13—15条的算法解释义务时能起到补充的作用。(32)Gianclaudio Malgieri &Giovanni Comandé，Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation，7 International Data Privacy Law，243，255(2017).《通用数据保护条例》第22条第3款所规定“保护措施”的内涵，并不能从该条的文义中得到明晰。序言第71条指出，“保护措施”具体包括“获得人为干预、表达其观点、获得对自动化决策解释的权利和提出质疑的权利”。在第22条无法推导出独立“算法解释权”的情况下，“获得对自动化决策解释的权利”仅能指向第13—15条所规定的算法解释义务。由此，《通用数据保护条例》第13—15条、第22条和序言第71条构成了完整的算法解释义务体系。

二、我国民法中“算法解释权”的质疑与重构

从上述分析可知，欧盟《通用数据保护条例》中并不存在“算法解释权”，仅有算法解释义务体系。我国《个人信息保护法》第24条第3款的表述与《通用数据保护条例》第22条第1款相近，但增加了“个人有权要求个人信息处理者予以说明”的赋权性表述。这是否意味着我国《个人信息保护法》弥补了《通用数据保护条例》的缺憾，肯定了“算法解释权”的独立地位？从法教义学的角度对此分析，独立“算法请求权”在我国民法体系中亦难以证立，算法解释的性质应为信息处理者的告知义务。

(一)我国民法中“算法解释权”的质疑

若“算法解释权”应被肯定，其在我国民法中应被置于何种体系地位，目前并未有较多研究。一种较有说服力的观点认为，算法解释是依附于人格权保护体系、为实现人格利益保护而服务的非独立请求权。其理由在于：第一，个人信息权益是隶属于人格权保护体系的法益，因此算法解释也应置于人格权保护的范畴进行性质界定；第二，人格权“事前防御—事后救济”的请求权保护体系能够涵盖自动化决策全过程中可能出现的侵害，为信息主体提供有效救济。(33)参见胡巧莉、刘征峰：《算法在民法中的体系定位去类型区分》，载《财经法学》2022年第4期。该种观点构思精巧，对算法解释在民法中的体系地位进行了有益的探讨。但在个人信息保护的特殊语境下，以权利的维度构建算法解释权未免局限。

从民法教义学的角度分析，人格权请求权无法涵盖“算法解释权”的制度功能。“算法解释权”所保护的对象为个人信息权益，且欧盟对自动化决策的规制始于对个人尊严的关怀，(34)Mariam Hawath，Regulating Automated Decision-Making：An Analysis of Control over Processing and Additional Safeguards in Article 22 of the GDPR，7 EDPL，161，163-164(2021).不可否认算法解释权与人格权编在体系上有着紧密关联。但这并不意味着须采人格权请求权理论构建算法解释权。一方面，自动化决策不仅可能侵害信息主体的人格权益，还有可能侵害其财产权益。电子商务领域频频出现的“大数据杀熟”现象即为自动化决策侵害财产权益的例证，(35)参见廖建凯：《“大数据杀熟”法律规制的困境与出路——从消费者的权利保护到经营者算法权利治理》，载《西南政法大学学报》2020年第1期。仅凭人格权请求权无法周延保护信息主体的权益。另一方面，作为“算法解释权”保护对象的个人信息权益并未被我国《民法典》确立为具体的人格权，其仅为一项受法律保护的人格利益，我国民法并不总是借助人格权请求权对其进行保护。(36)参见李永军：《论民法典中人格权的实证概念》，载《比较法研究》2022年第1期。人格权请求权基于具体人格权的效力而产生，是对作为绝对权的人格权进行保护的特有方法。(37)参见王利明：《论人格权请求权与侵权损害赔偿请求权的分离》，载《中国法学》2019年第1期。在《民法典》没有明确“个人信息权”概念的情况下，我国《个人信息保护法》系通过确立一系列“个人信息处理规则”行为规范的方式，实现对个人信息权益的反射保护。(38)参见龙卫球：《论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角》，载《比较法研究》2023年第2期。其目的在于将“个人信息处理规则”作为人格或财产的前置保护机制，以此防范数据处理带来的抽象人格侵害或财产侵害的危险。(39)参见杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，载《比较法研究》2015年第6期。具体到自动化决策的场景，个人信息权益本就内涵模糊、外延宽泛，自动化决策作出前后往往难以界定是否侵害某一具体人格权的圆满状态，遑论人格权请求权的行使。基于以上考量，结合《个人信息保护法》第24条第3款处于“个人信息处理规则”一章的体系位置，将该条性质认定为信息处理者的行为规范更为妥适。

从实践的角度分析，以权利的维度构建“算法解释权”，也难谓信息主体有效的私法救济手段。一方面，“算法解释权”无法匹配我国的人格权司法救济途径，信息主体难以借助公权力实现算法解释的目的。我国人格权的司法救济途径主要有民事责任和人格权禁令两类。人格权受到侵害时，所对应的民事责任主要为停止侵害、排除妨碍、消除危险、消除影响、恢复名誉和赔礼道歉等，其均是对绝对权的保护方法。(40)参见张新宝：《民法分则侵权责任编立法研究》，载《中国法学》2017年第3期。而如前所述，个人信息权益并非具体的人格权，自动化决策作出前后难谓侵害某一具体人格权的圆满状态，遑论以民事责任的方式强制信息处理者进行算法解释。也正因为个人信息权益并非具体的人格权，个人信息权益保护是否能适用人格权禁令程序亦存在争议。(41)参见程啸：《论我国民法典中的人格权禁令制度》，载《比较法研究》2021年第3期。实际上，即便肯定个人信息保护禁令的适用，其也体现为拒绝权、异议更正权、删除权和遗忘权禁令等，(42)参见杨钢：《个人信息权禁令的理论证成与构造》，载《法律适用》2023年第3期。从我国《民法典》第997条的文义来看，难以推导出“算法解释禁令”的存在。

另一方面，信息主体行使“算法解释权”的请求，可能会面临信息处理者的商业秘密保护抗辩，进而使算法解释的目的落空。近年来，在我国为数不多的算法解释纠纷案件中，法院往往倾向于商业秘密保护的立场。譬如，在全国首例“搜索服务”违约案中，原告以“我搜索的是国美冰箱，为什么出来的不全是国美牌冰箱”为由起诉淘宝公司，认为其构成违约并要求其解释算法，但被告以商业秘密保护为由抗辩，最终法院驳回原告的诉讼请求；(43)参见浙江省杭州互联网法院(2020)浙0192民初2295号民事判决书。在凌某某诉北京某播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案当中，北京互联网法院认为，算法确实属于商业秘密的范畴，告知和公开算法不属于对原告个人信息的必要保护措施。(44)参见北京市北京互联网法院(2019)京0491民初6694号民事判决书。目前，算法已经被我国司法实践明确为商业秘密保护的范畴。2020年8月颁布的《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》在其第1条中明确将算法归属于技术信息，使其受知识产权法的保护。在“全国首例算法商业秘密保护案”智搜公司诉光速蜗牛侵犯商业秘密纠纷案中，深圳中院也明确指出，算法能够为原告公司带来商业收益和竞争优势，符合商业秘密的法定要件。(45)参见《广东高院发布数字经济知识产权保护典型案例裁判要旨》，载《广东省高级人民法院》微信公众号，2023年4月25日。虽然以上司法解释条款和案例仅在反不正当竞争法领域起指引作用，但其在一定程度上也能够起到强化信息处理者商业秘密抗辩的作用。

(二)我国民法中“算法解释权”的重构：以行为规范的角度

以权利构建的路径难以在我国民法中创设一项“算法解释权”。如前所述，从《个人信息保护法》第24条第3款的体系位置来看，将其性质认定为信息处理者的行为规范更为合理。为了行文方便，此处将其称为“行为规范说”，这一解释立场在比较法上存在依据，也能够自洽于我国民法理论。

1.“行为规范说”在比较法上的正当性

从比较法来看，采权利构建路径的“算法解释权”初衷是为了对抗公共领域的自动化决策，其仅在公法的语境下成立。《通用数据保护条例》第22条的前身是欧盟《数据保护指令》第15条规定，该条在很大程度上受1978年法国《信息技术、数据文件和公民自由法》第2条的影响，后者旨在禁止司法和行政领域的自动化决策。(46)Loi n° 78-17 du 6 janvier 1978 relative à l'informatique，aux fichiers et aux libertés.目前，法国《数据保护法》第30条第70—9款仍然保留了公民对司法、行政领域自动化决策的算法解释权。(47)LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (1).我国亦有学者认为，对《个人信息保护法》第24条第3款的解释应考虑公私场景的不同，仅在公法领域应赋予信息主体“算法解释权”。(48)参见林洹民：《〈个人信息保护法〉中的算法解释权：兼顾公私场景的区分规范策略》，载《法治研究》2022年第5期。

在私法语境下，将我国《个人信息保护法》第24条第3款解释为行为规范，能够在《通用数据保护条例》中找到依据。在欧盟的研究中，学者们对《通用数据保护条例》第22条的性质存在较大争议。“权利说”认为，《通用数据保护条例》第22条是数据主体可选择行使的主观权利，仅涉及第22条第2项规定的三种情形时，数据主体的拒绝权方受限制。(49)Luca Tosoni，The Right to Object to Automated Individual Decisions：Resolving the Ambiguity of Article 22(1)of the General Data Protection Regulation，11 International Data Privacy Law，145，145-162(2021).“禁令说”则认为，《通用数据保护条例》第22条为数据控制者的行为规范，其系针对自动化决策的一般性禁止，仅涉及第22条第2项的三种情形时，数据控制者可例外使用自动化决策。(50)Florent Thouvenin，Alfred Früh &Simon Hensele，Article 22 GDPR on Automated Individual Decision-Making：Prohibition or Data Subject Right？，8 EDPL，183，188-192(2022).在欧盟理论界，“禁令说”为多数说。并且，梳理欧盟《通用数据保护条例》的官方解释和裁判观点，“禁令说”也更加受到欧盟司法实践的肯定。欧盟第29条数据保护小组基于《通用数据保护条例》序言第71条、正文第12—22条的法教义学解释，认为第22条本质上是对自动化决策的一般性禁止，指出“禁令说”更符合《通用数据保护条例》强化数据主体数据控制权的基本立场。(51)Article 29 Data Protect Working Party，Guidelines on Automated individual decision-making and Profiling forthe purposes of Regulation 2016/679 [R]，p.23-24.欧盟及其成员国近年来一系列裁判案例亦肯定“禁令说”的立场。2020年2月荷兰海牙地区法院在其判决中指出：“《通用数据保护条例》第22条普遍禁止完全自动化的个人决策”，肯定将该条视为禁令的观点。(52)ECLI：NL：RBDHA：2020：865.在2023年1月的OQ诉德国黑森州案中，欧洲法院也明确将第22条的性质认定为禁令。(53)OQ v Land Hesse (Case C-634/21)(2022/C 37/19).该案被称为欧盟关于自动化决策的首个里程碑判例，有望结束第22条的性质之争。

2.“行为规范说”在我国民法上的正当性

首先，将《个人信息保护法》第24条第3款解释为行为规范，能够填补信息处理者事前算法解释义务阙如的法律漏洞。从本文第二部分对《通用数据保护条例》算法解释义务体系的梳理可知，第13条、第14条所规定的算法事前解释义务是“告知—同意”原则的重要方面。若无该算法事前解释义务，数据主体将不知道自动化决策的存在，亦无从行使第22条赋予的自动化决策拒绝权。从我国对个人信息处理告知的具体规定来看，其并不能涵盖算法解释的内容。我国《民法典》第1035条第1款第3项规定，处理个人信息应“明示处理信息的目的、方式和范围”；我国《个人信息保护法》第17条第1款第3项亦规定，个人信息处理者应告知“个人信息的处理目的、处理方式”。而该“处理方式”一般指个人信息的收集、储存、使用、加工、传输、提供、公开和删除等方面，并不包含自动化决策的使用。(54)参见江必新、李占国主编：《中华人民共和国个人信息保护法条文解读与法律适用》，中国法制出版社2021年版，第61-65页。自动化决策属于个人信息“处理”的一环，基于“告知—同意”原则的要求，其本应属于信息处理者告知义务的内容。(55)参见万方：《算法告知义务在知情权体系中的适用》，载《政法论坛》2021年第6期。这无疑属于德国法学家拉伦茨所言的“隐藏型漏洞”——法律虽有规定但并未对案件的特别情况予以考虑。(56)参见〔德〕卡尔·拉伦茨：《法学方法论》，黄家镇译，商务印书馆2020年版，第473-474页。该漏洞即便在因缔约需求而使用自动化决策的情况下，也难以通过先合同义务进行弥补。我国《民法典》合同编并没有课以缔约人一般性的先合同告知义务，仅第500条针对“与订立合同有关的重要事实”作出特别规定。要判断先合同告知义务的有无，须借助法律具体规定、交易习惯和利益衡量等进行判断。(57)参见韩世远：《合同法总论》(第四版)，法律出版社2018年版，第175-176页。算法解释是否能够纳入先合同告知义务的范畴，显然并不明确。在此情况下，唯有将《个人信息保护法》第24条第3款作为第17条告知义务的特别规定，课以信息处理者事前的算法告知义务，方能填补该法律漏洞。

其次，将《个人信息保护法》第24条第3款解释为行为规范，可以在体系上构建出“事前—事后”维度的算法解释规则体系，并在一定程度上消解信息处理者的商业秘密保护抗辩。在事前算法解释存在的情况下，若赋予信息主体事后算法解释的权利，便可形成针对自动化决策的“全周期联动行权机制”，提升对信息主体权益的保护程度。(58)参见赵宏：《公共决策适用算法技术的规范分析与实体边界》，载《比较法研究》2023年第2期。“行为规范说”恰好能够结合民法上的“绝对义务”理论，在我国《个人信息保护法》上构建出“事前—事后”维度的算法解释规则体系。有学者指出，从民事权利基础理论的角度观察，《个人信息保护法》“个人信息处理规则”一章的绝大多数规定属于“绝对义务规范”。其本质上是一种为了保护尚未定型的新兴法益，而以行为规制为中心的立法技术。(59)参见李春晖：《绝对权、绝对义务及其相对化——民事权利与法益保护的单一框架》，载《中外法学》2023年第3期。《个人信息保护法》第24条第3款即可视为信息处理者承担事前算法解释的绝对义务。绝对义务被违反后、损害发生前，有被侵权之虞的权利人便享有绝对义务请求权进行救济。其与绝对权请求权类似，但以行为具有违法性为判断标准。(60)参见杨明：《知识产权请求权研究——兼以反不正当竞争为考察对象》，北京大学出版社2005年版，第153页。我国《个人信息保护法》第44条(知情权和决定权)、第48条(释明权)和第50条(个人行使权利的保障机制)可视为算法解释的绝对义务请求权。当信息处理者违反事前算法解释的绝对义务时，信息主体便可依据以上条款请求信息处理者进行事后算法解释，请求被拒绝的情况下则可向人民法院提起诉讼，由此形成“事前—事后”的算法解释规则体系。如此一来，算法解释与商业秘密保护之间的关系，便不是“算法解释权—商业秘密保护”两项权益衡平择一的问题，而是“算法解释程度—商业秘密保护”的程度把控问题，在一定程度上也消解了商业秘密保护对算法解释的行权阻碍。

再次，“行为规范说”更有利于自动化决策侵权案件中信息主体权利的保护。由于个人信息权益内涵模糊、人工智能算法自带“黑箱效应”、算法侵权具有隐蔽性等原因，自动化决策侵权案件发生时，往往难以界定何种具体的民事权利受到侵害，也难以认定信息处理者的主观过错，侵权救济难以落实。(61)参见李文超、武一帆：《算法侵害行为的事前规制与侵权救济研究》，载《法律适用》2023年第3期。若将《个人信息保护法》第24条第3款解释为信息处理者的行为规范，该问题能够得到解决。在“行为规范说”下，《个人信息保护法》第24条第3款实际上是“以保护他人为目的的法律”，违反该条即具备了违法性要件，进而辅助判断侵权责任的构成。一方面，违法性要件可作为信息处理者过错的认定标准之一。我国侵权法中，违法性应否作为侵权责任的独立构成要件始终存在争议。但随着过失认定应采客观化标准为我国理论和实务界普遍接受，以及受德国民法中过错与违法性应否区分之争议的影响，“过错吸收违法性”已经成为有力学说。(62)参见王利明：《我国〈侵权责任法〉采纳了违法性要件吗？》，载《中外法学》2012年第1期。信息处理者违反事前算法解释的义务，便可认为存在侵权法意义上的过错，解决了自动化决策侵权案件中过错认定模糊的问题。另一方面，在我国《个人信息保护法》以行为规范为核心的立法模式下，违法性要件能够辅助界定信息处理者的行为是否侵入个人信息权益的侵权责任保护范围，在个人信息权益侵害要件认定上也具有工具性价值。(63)参见蔡立东、展海晴：《论个人信息权益保护范围的厘定——以行为违法判断为核心》，载《吉林大学社会科学学报》2023年第2期。

最后，将《个人信息保护法》第24条第3款视为行为规范，还可以防止信息处理者通过格式条款排除其算法解释义务的情形。我国司法实践中即出现过类似的案件。在陈某诉杭州“阿里妈妈”网络服务合同纠纷案中，杭州“阿里妈妈”公司就通过《阿里妈妈推广者规范》约定：“阿里妈妈过滤系统涉及阿里妈妈核心商业秘密，阿里妈妈无需向推广者披露具体异常数据。”(64)参见浙江省杭州铁路运输法院(2017)浙8601民初3306号民事判决书。将《个人信息保护法》第24条第3款解释为行为规范，意味着其属于我国《民法典》第153条第1款中的“法律、行政法规的强制性规定”。信息处理者通过格式条款排除自身算法说明义务时，该条款会因“违反法律、行政法规的强制性规定”而无效。

此外，“行为规范说”的立场，还可以在我国《算法推荐管理规定》的立法过程得到印证。2021年8月颁布的《算法推荐管理规定》(征求意见稿)曾于第15条第3款规定，“用户……有权要求算法推荐服务提供者予以说明……”，对算法解释采赋权立法模式。但在2022年12月颁布的正式版本中，其第17条第3款将上述条款修改为“算法推荐服务提供者……应当依法予以说明……”，将算法解释修正为信息处理者的义务。这说明，该规定的起草者也认为，在私法语境中应通过行为规范的方式课以信息处理者算法解释的义务。

三、我国民法中算法解释的具体实现

明确了《个人信息保护法》第24条第3款的行为规范性质后，尚须明确其构成要件和算法解释的程度，方能在我国民法中真正落实。

(一)适用的前提：“自动化决策”和“对个人权益有重大影响”的界定

无论是欧盟的《通用数据保护条例》，还是我国的《个人信息保护法》，算法解释均须基于一定的前提触发。《通用数据保护条例》第22条第1款规定，当决定是“仅基于自动化决策”作出且对个人产生“法律效力或其他类似重大影响”时，数据主体方能拒绝。我国《个人信息保护法》第24条第3款的表述类似。但该两项要件该如何认定，研究中一直存在争议。

1.“自动化决策”的界定

“自动化决策”这一法律表述，已非客观技术上的记叙性要件，而是须加入价值评判的规范性要件。明确其内涵和外延，需要从以下三个方面进行界定。

首先，需要厘清自动化决策与数据画像(profiling)之间的关系。根据《通用数据保护条例》第4条第4款的规定，所谓数据画像是为了评价与自然人相关的特定层面，尤其是自然人的业务能力、经济状况、个人喜好、健康、爱好、可行度、方位等使用的自动化个人信息处理。《通用数据保护条例》第22条第1款“自动化决策，包括数据画像”的立法表述，使得自动化决策与数据画像之间的关系存在争议。对此存在两种不同的文义解释：第一种观点认为，自动化决策与数据画像为并列关系，二者均为自动化决策拒绝权的规制对象；第二种观点认为，数据画像应构成自动化决策的基础，即只有基于数据画像作出的自动化决策，数据主体方能拒绝。单纯的自动化决策或单纯的数据画像，数据主体都无权拒绝。(65)Brent Mittelstadt，Chris Russell &Sandra Wachter，Explaining Explanations in AI，原文链接：https：//dl.acm.org/doi/abs/10.1145/3287560.3287574，2023年5月30日访问。前者的适用范围显然较后者要大，而后者对自动化决策的界定范围与欧盟《数据保护指令》第15条保持一致。有学者认为，《通用数据保护条例》的规制重点在于数据画像，并且出于延续《数据保护指令》解释一致性的考量，对此应采第二种解释。(66)Isak Mendoza &Lee A. Bygrave，The Right Not to Be Subject to Automated Decisions Based on Profiling，Springer International Publishing，2017，p.67.但欧盟第29条数据保护小组的官方解释支持第一种解释，(67)Article 29 Data Protect Working Party，Guidelines on Automated individual decision-making and Profiling forthe purposes of Regulation 2016/679 [R]，p.20-21.欧盟多数学者也赞同这一立场。(68)Lee A. Bygrave，Minding the Machine v2.0：The EU General Data Protection Regulation and Automated Decision Making，Oxford University Press，2019，p.5.反观我国《个人信息保护法》第73条第2款对自动化决策的界定，其并没有单独确立数据画像的概念，而是将其作为自动化决策的一部分。并且，我国《个人信息保护法》第24条第1款和第2款也强调“利用个人信息进行自动化决策”、“针对个人特征”，似乎也是将数据画像作为自动化决策的基础。但在实际应用中，数据画像可通过完全自动化或非完全自动化处理方式得出，自动化决策也并非均涉及数据画像，二者呈现为“交集”的关系。譬如在算法信用评分的场景下，信用画像形成后的自动推送信息、自动识别红黑名单、自动提示奖惩依据、自动实施限制处理、自动反馈处理结果等自动化决策便不具有数据画像特质，但其决定作出时确有算法解释的必要。(69)参见张欣：《免受自动化决策约束权的制度逻辑与本土构建》，载《华东政法大学学报》2021年第5期。因此，宜将我国《个人信息保护法》中的“自动化决策”进行扩张解释，使其与数据画像呈现并列关系。

其次，需要厘清自动化决策中人类的干预程度。欧盟《通用数据保护条例》第22条第1款明确要求具体的决定必须是“仅基于自动化处理而形成的”，我国《个人信息保护法》第24条第3款的表述与此类似。这是否意味着，我国《个人信息保护法》第24条第3款规定仅能适用于纯粹自动化决策的情形？欧盟第29条数据保护小组采严格的文义解释立场，认为只要自动化决策的过程中存在人工干预，便不受《通用数据保护条例》第22条的规制。(70)Article 29 Data Protect Working Party，Guidelines on Automated individual decision-making and Profiling forthe purposes of Regulation 2016/679 [R]，p.25-26.但这样的观点严重限制了该条的效力范围，因为遵循这样的逻辑，只需要在自动化决策流程中设置一个形式上的人工按钮，便可轻松规避第22条的适用。(71)Gianclaudio Malgieri &Giovanni Comandé，Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation，7 International Data Privacy Law，243，251-252(2017).实际上，在算法赋能运用中，纯粹的全自动化决策系统只是少数，多数决策是由“人工+辅助算法”的方式作出的。在部分情况下，辅助算法也可能达到完全自动化决策系统的效果。一般而言，辅助型算法包括决策支持型算法、分流型算法和自动总结型算法等类型。(72)Reuben Binns &Michael Veale，Is That Your Final Decision？Multi-stage Profiling，Selective Effects，and Article 22 of the GDPR，11 International Data Privacy Law，319，321-323(2021).决策支持型算法起到向人类决策者提供信息、辅助决策的作用。从表面上看，其输出结果对人类决策者并无约束力，仅仅是一种可供自由选择的建议。但当人类决策者对某类结果形成思维定式，进而失去对算法建议的批判意识时，其实际上已经化身为自动化决策的一环。一项针对美国COMPAS系统的实证研究即指出，一些法官在面对黑人被告时往往全盘接受COMPAS系统的评分，而在面对白人被告时则倾向于使用自己的判断。(73)Bo Cowgill，The Impact of Algorithms on Judicial Discretion：Evidence from Regression Discontinuities，原文链接：https：//www.semanticscholar.org/paper/The-Impact-of-Algorithms-on-Judicial-Discretion-%3A-Cowgill/cdd4484708af448831eeb3d76a7c2d1e5b0a4ff2，2023年5月30日访问。对于这部分主体来说，经由人类决策者作出的决定已经与“仅基于自动化处理而形成的”无异。分流型算法则会按照某种标准将被决策对象进行分组，再将不同的分组转交给人类或人工智能系统进行处理。这一过程虽有人类参与，但自动化决策已经在无形中削减了人类的决策权，对最后的结果产生了实质的影响。譬如微博、微信等媒体平台会依靠关键词识别技术遴选需要进行人工审核的内容，这就导致部分并无违规的内容因关键词重合而接受审核，被删除的风险增加。自动总结型算法则会整理合并多数人的评价或决策，经过某种加权计算后生成整体的分数或评估，譬如Uber、滴滴的司机打分系统及淘宝、京东等电商上的店铺评分系统。这些最终的分数或评估往往会用于限制、暂停、删除平台上的用户，或对交易产生负面影响。当其数据抓取有误或加权计算错误时，亦会造成类似完全自动化决策的侵害。因此，我国《个人信息保护法》第24条第3款中的“自动化决策”，不仅包括纯粹的自动化决策系统，还须包含支持型算法、分流型算法和自动总结型算法等辅助型自动化决策系统。

最后，还需要明晰“决定”的具体内涵。因为在实践中，一个自动化决策的作出很可能是系统内部一系列中间决定累积的结果。曾有欧盟学者指出，“决定”包含了如计划、建议、提议、选项映射等情况，(74)Lee A.Bygrave，Automated Profiling：Minding the machine：Article 15 of the EC Data Protection Directive and Automated Profiling，17 Computer Law &Security Review，17，17-24(2001).但即便如此，对“决定”的判断依旧模糊。一般而言，自动化决策系统中具有重要意义的决定可能发生在两个阶段，第一是数据主体个人画像生成的时刻，第二是终局性结果产生的时刻。(75)Reuben Binns &Michael Veale，Is That Your Final Decision？Multi-stage Profiling，Selective Effects，and Article 22 of the GDPR，11 International Data Privacy Law，319，324-325(2021).譬如，银行在制定客户服务政策时，往往会根据房贷、车贷、违约记录等情况对客户进行信用评分，进而依据分数的不同赋予客户不同的信贷权利。(76)参见张博文、杨斯尧：《算法型评分工具：优势、风险与法律规制》，载《西南金融》2022年第9期。在这一过程中，虽然信用评分形成时终局性的决定还未作出，但该分数实际上已经决定了最终的结果。因此，即便某一决定仅处于中间环节，若其已经对最后的结果产生了决定性的影响，也应该认为构成《个人信息保护法》第24条第3款中的“决定”。

2.“对个人权益有重大影响”的界定

《个人信息保护法》第24条第3款的另一适用前提是自动化决策“对个人权益有重大影响”，此为典型的不确定性概念，需要借助其他法律规范或价值判断进行补充。有两个问题亟待回应，一是如何理解“重大影响”的内容，二是该要件应采主观标准还是客观标准进行判断。

同样的问题亦存在于欧盟《通用数据保护条例》第22条第1款的解释中。《通用数据保护条例》序言第71条以列举的方式，规定“法律效力或其他类似重大影响”应存在于数据主体的工作表现、经济状况、健康、个人偏好或兴趣、信用度、地点或活动等领域，但并没有对阐明该不确定性概念提供更多指引。学者拜格雷夫(Bygrave)曾指出，产生“法律效力”的影响，系指自动化决策影响了数据主体的法律地位，其包含对数据主体私法权利和公法权利的任何不利；而“重大影响”则不仅指客观物质上的损害，也包含数据主体的主观感受。(77)Lee A.Bygrave，Minding the Machine：Art 15 of the EC Data Protection Directive and Automated Profiling，原文链接：http：//classic.austlii.edu.au/au/journals/PrivLawPRpr/2000/40.html，2023年5月30日访问。也有学者认为，对于“重大影响”应采宽泛的客观判断，通过自动化决策对数据主体的任何损害性影响和普遍操纵都应包含在内。(78)Gianclaudio Malgieri &Giovanni Comandé，Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation，7 International Data Privacy Law，243，252-254(2017).还有学者采主观标准，认为“重大影响”包括对个人的认知自由权、精神隐私权、精神完整权和心理连续性权利的影响。(79)Marcello Ienca &Roberto Andorno，Towards New Human Rights in the Age of Neuroscience and Neurotechnology，13 Life Sciences，Society and Policy，5，8-9(2017).而欧盟第29条数据保护小组则采列举的方式对“重大影响”进行界定，其指出，诸如严重影响个人行为或选择、对数据主体产生长期或永久影响、导致个人歧视、影响信贷资格、影响医疗机会、剥夺就业和教育机会等情况可认为是“重大影响”。可以说，该问题在域外的研究中还并未达成一致观点。

反观我国《个人信息保护法》第24条第3款中的“重大影响”，其还是可以结合算法侵害的典型场景进行类型化判断。算法侵害的类型，主要有声誉侵害、歧视、行为影响、算法操控等。(80)参见王莹：《算法侵害类型化研究与法律应对——以〈个人信息保护法〉为基点的算法规制扩展构想》，载《法制与社会发展》2021年第6期。而置于私法语境下考察，其“私法效力或其他类似重大影响”主要体现为以下类型：(1)影响数据主体的意思表示自由。在高速交易、在线定价和智能合约等算法合约的场景中，算法会深入到合同磋商的过程，参与制定合同的具体条款。(81)Lauren Henry Scholz，Algorithmic Contracts，20 Stanford Technology Law Review，128，134-135(2017).此时，自动化决策便可能影响到数据主体意思表示的自由。(2)影响数据主体的缔约资格。当互联网或金融平台借助自动化决策监管，限制或取消数据主体的交易资格时，如淘宝封禁买家账号，便会对数据主体的私法权益产生影响。(3)侵害数据主体的财产权益。典型的如互联网平台封禁游戏账号、直播账号等情形，游戏账号、直播账号中所蕴涵的财产权益也会直接受到影响。(4)侵害数据主体的人格权益。金融信贷公司借助智能算法进行征信评分时，有可能对数据主体的信用评价产生负面影响，进而构成对其具体人格权的侵害。(82)参见王苑：《信用大数据背景下信用的私法保护》，载《中国法律评论》2023年第1期。(5)造成数据主体的纯粹经济损失。譬如，电商平台的流量推荐机制、店铺评分机制有可能会给具体店家的交易带来负面影响，此时难谓侵害数据主体的具体民事权利，但却有可能造成纯粹经济损失。此外，我国《信息安全技术个人信息安全影响评估指南》(GB/T 39335—2020)第5.5.1条还列举了限制个人自主决定权、引发差别待遇、名誉受损或精神压力、个人财产受损等算法对个人权益造成损害的类型，可供补充解释参考。

在判断标准上，我国《个人信息保护法》第24条第3款中的“重大影响”应采主客观相结合的综合标准。《个人信息保护法(草案)》一审稿曾采主观标准，其规定，“个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明”。而在二审稿中，该条被修改为“通过自动化决策方式作出对个人权益有重大影响的决定”的表述，采客观陈述的立场。这一表述最终被保留到正式的法律文本中。但即便我国的立法体现为从主观标准到客观标准的转变，鉴于自动化决策运用场景的复杂，且数据主体的主观感受亦不容忽略，采主客观相结合的判断标准更为妥适。(83)参见王苑：《完全自动化决策拒绝权之正当性及其实现路径——以〈个人信息保护法〉第24条第3款为中心》，载《法学家》2022年第5期。

(二)算法解释的程度：以“易读性解释”为标准

算法解释通常会面临可理解性和商业秘密保护的阻碍，因此，如何把握算法解释的程度，是落实算法解释权的核心问题之一。比较法上，欧盟《通用数据保护条例》第13-14条、第15条仅规定数据控制者应向数据主体披露“自动化决策的存在”“所涉逻辑的重要信息”“该处理对数据主体的重要性和设想的后果”，但以上立法表述在适用上依然模糊。法国《数字共和国法》第4条规定，使用自动化决策的公权力机关必须向数据主体揭示系统的“主要特征”，(84)LOI n°2016-1321 du 7 octobre 2016 pour une République numérique (1).而2017年3月颁布的《公众与行政部门关系守则》第R311-3-1-2条则对“主要特征”进一步明确，指出其主要指算法处理对决策的贡献程度和方式、处理的数据和来源、适用于数据主体的处理参数和权重、处理所执行的操作等方面。(85)Code des relations entre le public et l'administration.法国《数字共和国法》和《公众与行政部门关系守则》的上述规定可为算法解释的内容提供更为清晰的指引。

学说上，较有影响力的是欧盟学者瓦赫特的理论，其区分“事前—事后”的维度分别界定算法解释的内容。根据他的观点，事前解释系指对系统功能的一般性解释，即对自动化决策系统的逻辑、重要性预期后果和一般功能，例如系统的需求规范、决策树、预定义模型、标准和分类结构进行阐释；事后解释系指对具体决策的解释，即对具体自动化决策的基本原理、原因和个别情况，如特征权重、机器定义的特定案例决策规则、参考或配置文件组的信息进行解释。(86)Sandra Wachter，Brent Mittelstadt &Luciano Floridi，Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation？，7 International Data Privacy Law，76，81-82(2017).该理论为算法解释的维度和内容作出了清晰的界定，在一定程度上奠定了欧盟对算法解释研究的基础。但其也受到欧盟学者塞尔伯斯(Selbst)等的有力质疑，后者指出这一分类模式无法在《通用数据保护条例》中成立。(87)Andrew D. Selbst &Julia Powles，Meaningful Information and the Right to Explanation，7 International Data Privacy Law，233，235-236(2017).后来瓦赫特还富有创见地提出了“反事实解释”方法，指出其能够在不打开算法黑箱的前提下向数据主体传达算法的基本信息，帮助其理解、质疑和改变自动化决策。(88)Sandra Wachter，Brent Mittelstadt &Chris Russell，Counterfactual Explanations without Opening the Black Box：Automated Decisions and the GDPR，31 Harvard Journal of Law &Technology，1，1-50(2018).但这一解释模式的普适性和具体适用效果还有待验证。

在将《个人信息保护法》第24条第3款认定为行为规范的情况下，较为合理的解释方法是欧盟学者马尔基里(Malgieri)所提出的“易读性(Legibility)解释”。该理论同样基于《通用数据保护条例》第13—15条的算法解释义务展开。如本文第二部分所述，马尔基里明确区分了算法解释中可读性解释、透明性解释和易读性解释的不同，指出：“可读性解释是对自动化决策的不透明理解，透明性解释是对自动化决策的不理解透明”，而易读性解释则是前二者的结合，其旨在使算法解释“既理解又透明”。(89)Gianclaudio Malgieri &Giovanni Comandé，Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation，7 International Data Privacy Law，243，257-258(2017).具体而言，易读性解释需要在算法设计和实施的过程中实现。在算法设计的过程中，需要重视算法数据来源、系统功能、特征权重和预设结果等方面的公开透明，并以可理解的方式呈现；在算法实施的过程中，则需要向数据主体就算法的目的、人为干预的程度、商业用途、对过去用户的统计影响、算法决策重做的条件等方面进行易于理解的阐释。(90)Gianclaudio Malgieri &Giovanni Comandé，Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation，7 International Data Privacy Law，243，258-261(2017).

以“易读性解释”作为算法事前解释的标准，能够较好契合我国目前的算法治理现状。我国的实践中，出现过仅注重可读性解释的情况，也出现过仅注重透明性解释的情况，二者的效果均不够理想。前者如美团APP曾于“Meituan”公众号公布的算法图示。其通过逻辑图、简明事例、配送模拟图等方式直观地解释了外卖配送“订单分配”和“骑手评分”的算法，(91)参见《让更多声音参与改变，美团外卖“订单分配”算法公开》，载微信公众号“美团Meituan”，2021年11月5日；《让更多声音参与改变，美团改进骑手服务评价规则》，载微信公众号“美团Meituan”，2022年3月3日。却未涉及对算法所使用的信息、决策模型等透明性方面的描述。后者如国家互联网信息办公室官网曾于2022年8月公布的算法备案。其披露了天猫、淘宝等24款知名APP的个性化推荐算法的基本原理和运行机制，(92)参见 《国家互联网办公室关于发布互联网信息服务算法备案信息的公告》，原文链接：http：//www.cac.gov.cn/2022-08/12/c_1661927474338504.htm#，2023年5月30日访问。但尚未达到使公众易于理解的程度。而从我国针对自动化决策的立法趋势来看，“易读性解释”的标准正在被确立。一方面，我国近来颁布的规章条例开始重视算法模型在设计上的可解释性，确保其在建立之初便是“既理解又透明”。譬如，《算法推荐管理规定》第12条规定，“鼓励算法推荐服务提供者……优化检索、排序、选择、推送、展示等规则的透明度和可解释性”；《征信业务管理办法》第29条第1款规定，“征信机构提供画像、评分、评级等信用评价类产品和服务的，应当建立评价标准”，第2款规定，“征信机构……应当履行必要的内部测试和评估验证程序，使评价规则可解释、信息来源可追溯”。以上规定实际上强调自动化决策系统在算法数据来源、系统功能、特征权重和预设结果等方面的“易读性解释”设计。另一方面，在算法的具体实施上，我国也开始明确算法告知须达到“易读性解释”标准。2023年5月23日发布的《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574—2023)第7.3条即规定，信息处理者在告知时须考虑友好展示、媒体适配等要素，要通过友好、生动、形象的方式告知信息的处理规则和对个人权益的影响；第8.3.3条亦强调，“告知内容的展示需以个人视角的用户体验和权益保障为出发点，以清晰易懂、内容简洁、主次分明为目标设计展示方案”。《指南》的以上规定同样旨在使算法告知变得“既理解又透明”。

肯定“易读性解释”为算法事前解释的标准，亦不会与算法事后解释以及商业秘密保护相冲突。当信息处理者不履行《个人信息保护法》第24条第3款的算法事前解释义务，导致信息主体须通过《个人信息保护法》第44条、第48条和第50条行使算法事后解释的权利时，该事后解释可基于上述“易读性解释”的二次解释落实。二次解释本质上是结合具体场景和用户合理诉求对“易读性解释”展开的个性化解读，其并不会使信息处理者承担过重的解释义务。(93)参见苏宇：《优化算法可解释性及透明义务之诠释与展开》，载《法律科学》(西北政法大学学报)2022年第1期。并且，“易读性解释”属于在法律允许的告知范围内展开的解释，也不涉及算法核心技术的披露，因此无论是事前解释还是事后解释均不存在与商业秘密保护相冲突的情形。(94)参见刘琳：《算法解释权与商业秘密保护的冲突化解》，载《行政法学研究》2023年第2期。

结 论

“算法解释权”是一个舶来自欧盟理论研究中的概念，其并不能在《通用数据保护条例》中得到验证。实际上，《通用数据保护条例》中所存在的是由第13—15条、第22条和序言第71条组合而成的算法解释义务体系。在我国民法研究中，不应照搬“算法解释权”的概念，从而径直以权利构建的思维讨论算法解释的体系定位。正如比较法学家茨威格所言：“在外国形成并且经过考验的解决办法——不管怎样，没有经过修改——是不能够在我们的法律上转抄的。”(95)〔德〕茨威格特、克茨：《比较法总论》，潘典汉、米健、高鸿钧、贺卫方译，中国法制出版社2017年版，第30页。经受住考验的域外经验尚不得直接转抄，遑论充满争议且仅存于域外学术研究中的“算法解释权”概念。

探究算法解释的民法体系定位，应结合《个人信息保护法》对个人信息权益的特殊保护方法，从行为规范的角度进行考量。《个人信息保护法》第24条第3款本质上为信息处理者的事前算法解释义务，结合民法中的“绝对义务”理论，其能联动《个人信息保护法》第44条、第48条和第50条形成覆盖“事前—事后”维度的算法解释规则体系。如此既能填补我国《个人信息保护法》中算法事前告知义务阙如的法律漏洞，也能明晰自动化决策侵害案件中侵权责任的构成。

在未来的研究中，更应结合《个人信息保护法》第55条的个人信息保护影响评估制度，探讨公私二元监管下算法解释的实现，如此方能充分实现算法使用的透明化、规范化，将“算法黑箱”关进“制度的笼子里”。