许多奇,蒋龙宇
(复旦大学 法学院,上海 200433)
随着人工智能的普及与算法技术的发展,自动化决策在银行领域的应用迈入全新阶段。当前银行业的虚拟数字员工已从流程自动化走向认知决策自动化,与业务有了更紧密的融合。这一现实情况顺应了银行业数字化的浪潮在科技引领下推动银行业实现创新发展。但银行自动化决策的应用也带来了全新的挑战,算法错误、算法歧视、隐私泄露、认知偏差等一系列个人信息风险的产生,使得防范风险成为银行自动化决策必须面对的任务。为此,许多国家或地区都出台了相应的立法并逐步建立针对自动化决策的监管体系,以应对自动化决策可能存在的问题。2018年5月,欧盟正式全面实行《通用数据保护条例》(以下简称GDPR),提供了一系列有关算法自动化决策的行为指南文件;美国联邦层面的《算法问责法案》正在等待国会的表决。我国的《个人信息保护法》《数据安全法》等法律正式颁布实施,开始加强对自动化决策的规制,但总体仍处于起步和探索阶段。
党的二十大报告提出“完善社会治理体系”“健全共建共治共享的社会治理制度,提升社会治理效能”“建设人人有责、人人尽责、人人享有的社会治理共同体”[1],多元共治正是完善我国社会治理体系的重要策略。作为社会治理创新的治理模式之一,多元共治强调治理主体和治理方式的多元化,有助于社会治理的协同统一,不失为应对银行自动化决策现有问题的一剂良方。银行自动化决策中的个人信息保护涉及多维主体,不同主体间存在多元目标和多元利益的冲突,不能完全依靠传统的“监管者—被监管者”的单向治理模式。从多元共治的角度来看,如何在多元主体之间形成共识,构建共同参与机制,合理分担治理责任,以充分发挥银行自动化决策的技术优势,并尽可能减少对个人信息保护带来的风险,是在金融领域推进国家治理现代化必须面对的重要议题[2]6-9。
与欧盟GDPR规定主要针对的是“完全的”自动化决策不同,我国《个人信息保护法》第73条规定,自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。欧盟数据保护工作小组在《关于GDPR下自动化决策和用户画像的指南》中对此予以进一步明确,将“完全的”自动化决策定义为通过技术手段而没有人的参与做出决定的过程。如果人为参与对决策结果没有任何实质性影响,则仍然会被视为完全自动化决策[3]。从技术层面来看,尽管自动化决策的定义略有差别,但并不涉及实质争议。作为一种数理智能程序,自动化决策本质上是通过整合大量现有数据,基于特定设计目的的数据处理指令,运算得出最终的决策结果[4]。在规制范围内,欧盟侧重对“完全的”自动化决策提出要求,而我国对一般性的自动化决策均进行规制,并对“完全的”自动化决策作出特别规定。规制范围的区别反映出不同法域对自动化决策的监管程度及其内在的政策考量存在差异。
自动化决策的核心是“决策”,这一结果以“自动化”的方式实施并且已对个人产生了一定的影响。在大数据技术持续进步、自动化决策结果精准度不断提升的大背景下,自动化决策能够为决策者带来极大的便利,具有传统决策方式不可比拟的独特优势。在成本层面,引入自动化决策算法尽管需要付出相对较高的单次成本,但从长期来看会大大降低传统决策方式所需的人力及时间成本。更低的成本投入意味着更大的利润空间,因此,自动化决策自然受到各行业的青睐,成为首要的选择。在行业成本的降低传导至社会后,新技术的应用有助于社会整体成本的降低。在效益层面,相较于传统决策方式,自动化决策依循数理逻辑,在整合庞大而准确的数据情况下,程序性运算持续产出具有更为精准、客观、稳定的决策结果。自动化决策极少出现传统决策方式中存在的疏忽与恣意,同时强大的运算能力也支撑其不断实现自我优化与完善[5]188。自动化决策帮助各行业提供更符合用户自身状况的决策结果(个性化推荐),产生更为良好的用户体验,并最终提高社会的整体效用。正因自动化决策的上述优势,越来越多的行业广泛地采用自动化决策,以实现“提质增效”。
当前自动化决策在银行业发挥着重要作用。拥抱自动化决策成为银行业实现自身数字化发展的重要步骤。2019年,英国官方调查表明:英国金融行业三分之二的前台和后台应用都已覆盖人工智能,最常见于用户服务及市场推广等领域;我国香港地区一项类似调查显示,89%的银行已采用或计划采用Al应用程序。在我国银行领域的自动化决策应用包括:信用评分、用户画像及其与其他新兴科技结合,提供综合性服务。
其一,信用评分。信用评分运用预测模型进行复杂的统计和经验验证,以评估向个人或企业提供信贷的风险[6]。相较于国外高度发达的征信行业,我国征信行业起步较晚,仍存在较大的提升空间。为满足自身信贷场景需求,我国银行领域将目光投向信用评分,结合实际情况作出选择:大型商业银行信用评分通过自主研发构建信用评分模型;中小股份制银行首先引进先进的个人信用评分模型和技术,然后消化吸收,建立自己的信用评分团队;众多的城市商业银行更多的是模拟商业银行成熟的个人信用评分模型并依据自身用户的特点进行改善;很多商业银行还对央行征信报告的数据进行解析和加工,整合行内数据,开发信用评分[7]。就我国银行业而言,当前对信用评分的利用集中于信用卡发卡审核和贷款审核两个领域。通过对目标用户各项数据进行复杂运算,信用评分对信用卡或贷款申请者进行评估,并最终指导银行作出是否发放信用卡或贷款的信贷决策。而在未来,信用评分还将进一步拓展自身应用范围,从贷前申请走向管理信用,并将覆盖整个信用风险管理周期。
其二,用户画像。“用户画像”对目标用户的信息进行收集和整理,并且在真实信息的基础上将这些信息以表格形式展示出来[8]。这不仅能够展现用户和潜在用户的个人属性,还能进一步挖掘他们的潜在兴趣和偏好。当前,高度发达的大数据技术通过对各类个人信息与数据加以利用,并且在很大程度上将人实现“数字化”,从而进行高度精准的内容推荐。随着自动化决策技术的应用,银行领域越来越重视收集个人信息构建用户画像。一方面,用户画像同样应用于借贷领域,为银行对特定用户是否发放贷款提供决策参考[9]。另一方面,用户画像广泛应用于广告投放、内容推送及用户推广之中,推动银行实现产品与服务的个性化推荐与精准营销。尤其是在众多银行推出线上APP后,用户画像的应用也更加普遍。对于银行而言,更加精准的信息推送将提升营销效率、降低营销成本,更有效地吸引用户和潜在用户,从而“提质增效”;对于用户而言,用户画像的应用带来“千人千面”的选择,不仅节约信息筛选的成本,也能提供与自身实际情况高度适配的推荐结果,实现更优质的用户体验。因此,用户画像在银行领域的应用也备受重视。
其三,结合其他新兴技术,提供综合性服务。自动化决策不仅具有独立的技术应用价值,还具有强大的可塑性与兼容性,能够与许多其他新兴技术相互结合,发挥更为强大的应用效益。元宇宙概念的兴起助推虚拟数字人市场迅速发展,聚焦于银行业,自动化决策与虚拟数字人相结合的技术应用已进入具体的金融场景:承担智能客服、财富规划师、AI营销员等角色。2022年下半年横空出世的ChatGPT与决策智能技术的融合发展,被认为将推动决策模型进化,从而迈向更高级的决策智能阶段,在银行金融场景领域具备强大的应用潜力[10]。由此可见,自动化决策技术与其他新兴技术相结合,能够实现“1+1>2”的技术叠加效益,尤其对于银行业而言,该类结合不仅已有众多的现实应用场景,面向未来还有广泛的拓展空间。可以预见,除自动化决策技术本身的利用外,将自动化决策与其他新兴技术相结合,继而提供综合性服务,将是银行自动化决策的另一大应用领域。
自动化决策具有传统决策方式不可比拟的独特优势,因此得以广泛应用。但自动化决策可能产生的问题,尤其是在个人信息保护领域存在问题,已引起各国立法关注。欧盟自动化决策规制以欧盟GDPR第22条为中心展开,以保障数据主体人工干预决策的权利。该条赋予个体在一定条件下不受制于完全的自动化决策的权利,同时也为这一权利设置了多重限制条件。我国《个人信息保护法》第24条借鉴了该条的立法理念,强调决策的透明度和结果公平、公正。在银行领域,自动化决策的个人信息隐忧更值得重视。一方面,作为重要的信用中介和支付中介,银行领域会收集数量庞大的个人信息数据;另一方面,由于涉及大量基础性的金融业务,银行领域收集的个人信息大多涉及个人财产等信息,具有高度的重要性、私密性与价值性。在此前提下,银行自动化决策在个人信息保护既存在一般自动化决策所面临的共性需求,又亟需面对与银行业特点相结合产生的特殊问题。因此,对银行自动化决策涉及的个人信息隐忧展开分析,实属必要。
其一,算法错误风险。算法错误主要由数据收集、数据准备、算法规制设计、算法模型验证过程中的缺陷或错误所导致。例如,因训练数据不充分、不具有代表性、算法种类选择不当,算法设计编码错误等,导致算法决策结论错误[11]。对于银行自动化决策而言,算法错误风险主要来自两方面:一是纳入自动化决策的数据本身存在错误或缺陷,如各银行在进行信用评分或用户画像的过程中,收集的数据不充分或与客观事实不符,从而导致最终的决策结果出现错误;二是自动化决策本身存在技术性错误,致使在数据没有错误或缺陷的情况下,依然产生了错误的决策结果。对于个人而言,银行自动化决策潜在的算法错误风险可能带来多方面的影响。如在银行借贷环节的算法错误可能导致个人不能匹配适合自身实际情况的借贷选择,甚至给个人错误地打上资信状况不佳的标签;而在产品营销环节的算法错误则易致使个人选择超出自身实际风险承担能力的金融产品,从而影响个人的财产权。并且,在信息洪流和算法黑箱的双重影响下,个人通常难以意识到银行自动化决策出现了算法错误,更难以对此加以纠正或寻求救济。
其二,算法歧视风险。算法歧视是由于算法内部演算和数据分析所导致的对特定群体或个人的不公正对待[12]。在既定的算法模型下,自动化决策能够产生具有高稳定性的决策结果,减少了传统决策方式的任意性。然而,人类社会固有的某些偏见与歧视并未完全消失。相反,与一般意义上的歧视相比,这种根植在算法程序里的歧视更加难以识别。银行自动化决策的算法歧视风险也并不鲜见,既有一般自动化决策中最为常见的“大数据杀熟”,也有银行基于用户分组而向特定用户群体实施的集体性算法歧视。一方面,银行在使用不同特征对用户进行风险分类时,可能会导致对用户的歧视和偏见,产生市场的逆向选择等问题[13]。另一方面,由于具备更强的谈判能力,大型用户可以通过与银行进行点对点的个别商议,从而在自动化决策的算法运算中获得相对优势的地位,而中小型用户则只能被动地接受自动化决策的结果,在银行提供的有限选择中进行权衡。此类算法歧视不仅会对个人知情权和财产权带来侵害,更是对平等权的消解,并存在算法异化的潜在危险。
其三,隐私泄露风险。如前所述,银行收集的个人信息数量庞大,同时具有高度的重要性、私密性与价值性,蕴含巨大的数据价值。此类信息一旦泄露,将会给用户带来巨大的风险,甚至对人身和财产权利带来威胁。从银行的角度来看,自动化决策的隐私泄露风险是否可控,视具体情况而有所不同。在技术层面上,银行自动化决策在个人信息收集、处理、存储、运算并形成最终结论的过程中,均可能因技术系统不完善而无意造成信息泄露。除此以外,银行可能有意利用自动化决策,不当利用个人信息。例如,对个人信息进行过度收集、将特定目的采集的个人信息挪作他用,甚至提供给第三方。从个人角度来看,无论是对个人信息的无意泄露抑或有意利用,都会产生不可估量的风险,进而影响正常的个人生活。因此,《数据安全法》《个人信息保护法》《征信业务管理办法》等相继出台,回应上述风险。在实践中,我国银行因不当利用个人信息而受到处罚的情况时有发生,隐私泄露风险治理依然任重道远。
其四,认知偏差风险。认知心理学认为,个人在认知上存在非理性的一面,如从众心理、损失厌恶、框架效应、锚定效应、过度乐观等,亦即“认知偏差”[14]。经营者利用个人的认知偏差进行针对性的营销,以在更大程度上实现自身利益。不同于前述几类受到立法规制的风险,根据我国现行法律,对认知偏差的利用并没有侵犯知情权、选择权等个人权利。然而,随着大数据时代的到来与经济数字化的发展,认知偏差风险将更加严重。算法决策本身并非绝对中性。为实现利益最大化,银行可能将认知偏差引入基于用户画像的个性化推荐中[15]。基于认知偏差,银行自动化决策将对个人施加更大的影响,甚至采取违背个人利益的决策策略。对于个人而言,银行自动化决策对认知偏差的利用游走于侵害个人利益而又不受规制的灰色地带,难以在现行立法下获得救济,自身利益于无形之中明显受损。这不仅会使个人尊严受到威胁,也对社会整体的公平、正义提出了严峻挑战[16]。
国外对多元共治的理论研究取得了丰硕成果,为其在我国的适用奠定了基础。随着公共治理研究范式的兴起,以多元共治为核心的治理理论不断涌现,其中,以德国学者赫尔曼·哈肯(Hermann Haken)的“协同学”(Synergetics)理论和埃莉诺·奥斯特罗姆(Elinor Ostrom)的“多中心”理论最具代表性。前者强调在复杂系统中各子系统应当协调合作,推动系统走向有序,或从一种有序状态走向更高的有序状态[17]。后者提出不同主体既会独立自由地追求自己的利益,又存在相互协调合作的可能,主张采用多样性制度安排,实现政府和社会间的协调与合作,从而推动公共利益的可持续发展[18]。随着学界的不断探索,多元共治理论持续完善,已经在我国各个领域产生影响。2014年《政府工作报告》明确“注重运用法治方式,实行多元主体共同治理”,推动多元共治理论与我国社会实践相结合[19]。目前,多元共治已应用于社区治理、乡村治理、网络治理等多个领域,并取得了一定的成绩。
2021年9月,国家互联网信息办、中央宣传部等九个部门发布《关于加强互联网信息服务算法综合治理的指导意见》,要求“形成有法可依、多元协同、多方参与的治理机制”“打造形成政府监管、企业履责、行业自律、社会监督的算法安全多元共治局面”,为多元共治在算法治理中的适用提供了依据[20]。对于银行自动化决策,多元共治具有较强的可适用性。其一,银行自动化决策的个人信息风险范围广泛,影响辐射整个社会,对其治理不能依靠少数主体的努力,而多元共治强调国家力量和社会主体都应发挥自身优势,与现实需求不谋而合;其二,不同主体之间利益诉求各异,对于个人信息保护态度不一,对银行自动化决策的治理合力难以形成,而共识形成机制是多元共治的重要运行机制,多元共治注重寻求各主体在个人信息保护上的“最大公约数”,从而协调利益冲突;其三,在银行自动化决策领域,各主体之间的关系仍以竞争为主,合作机制尚不完善,而“对话、竞争、妥协、合作和集体行动是多元共治中的五个核心机制”,多元共治能够调和该领域不同主体间的竞争关系,强化合作机制;其四,对于多元主体在算法治理中的责任,现行治理制度并未完全明确,容易造成责任分担不均的情况,而多元共治则主张通过多样化的制度安排合理分配责任,以维持算法治理的可持续性运作[21]。综合来看,多元共治的适用,有助于推动各主体协同统一,共同化解银行自动化决策中的个人信息风险,提升治理效率,最终实现“价值共容、目标共向、利益共得、成果共享”。
银行自动化决策的个人信息保护涉及多元主体,不同主体之间存在多元目标和多元利益的冲突,对个人信息保护的态度也存在差异,直接影响治理目标的统一及治理效果。因此,要真正实现银行自动化决策领域的多元共治,有必要从多角度展开分析。
在多元共治视域下,各主体发挥的作用各不相同,其中,监管、司法等国家机构发挥指引作用。但在涉及银行自动化决策的个人信息保护领域,国家规制面临难以完全适应现实需求的窘境。
自动化决策在银行领域的广泛应用,给国家规制带来了全新的挑战。以监管机构为例:一方面,传统监管模式不再完全适应技术发展。在数字化转型的趋势下,银行业寻求部署更复杂、更高精度的自动化决策模型。尽管立法已经对自动化决策提出了全新的要求,但监管机构要透过算法黑箱、真正实现对银行自动化决策的有效监管,仍然需要依托自身监管能力的提升或第三方技术机构的评估。另一方面,作为应对上述问题的重要解决方案之一,监管科技面临着技术依赖和监管俘获的威胁。为应对我国监管行业与金融科技发展不匹配的实际情况,监管科技的发展及应用逐步受到重视。但在发展监管科技、应用技术方案的过程中,监管机构对特定技术方案的选择可能形成技术依赖,打开了监管俘获的新窗口,这可能威胁监管机构的公共问责性,反而进一步削弱监管机构的监管能力[22]37。
从成本角度来看,国家规制需在个人信息保护与治理成本控制之间权衡。当前,强调个人信息保护的相关立法陆续出台,最高人民法院明确将“个人信息保护纠纷”列为司法案由之一,个人信息保护重要性日益凸显。但“以最少的资源消耗取得最大的效益”同样是重要的制度目标[23]。成本控制注重每一份投入所产生的收益最大化[24]。以司法领域为例,根据北大法宝数据库的公开数据,在案由为“民事隐私权、个人信息纠纷”的近3 000件案例中,涉及自动化决策的案例仅有9件,无一例涉及银行。这一数据的形成有多方面原因,从司法机关的角度来看,这可能与成本控制的考量有关。就成本而言,银行自动化决策波及范围广,影响人群众多,存在大量潜在的个人信息争议,一旦司法机关采取积极态度应对该领域的个人信息纠纷,势必会产生大量案件,需要投入大量的司法资源;同时,与银行自动化决策有关的个人信息保护纠纷涉及法律、金融、技术等多个领域,案件审理难度大,如何依托当前尚不完备的立法妥善解决此类复杂争议,是司法机关需要面对的难题。就效益而言,此类个人信息保护纠纷通常涉及程序性规则,个人的实际损失难以具象化,争议解决的效益相对较低。基于成本控制的考量,司法机关在面临涉及银行自动化决策的个人信息争议时,在符合法律规定的前提下通常选择相对消极的态度。
同时,我国国家机构仍侧重于程序层面针对算法提出要求,实质性规则有待完善。例如,《个人信息保护法》强调告知同意等规则,从程序角度对个人信息的利用行为提出了全新的要求。中国人民银行等机构联合发布《关于规范金融机构资产管理业务的指导意见》,仅要求金融机构向金融监督管理部门报备人工智能模型的主要参数以及资产配置的主要逻辑。尽管此类强调程序的规则具有先天优势,但在当下“仅将面向过程的解决方案应用于算法过度扩张是行不通的”,必须超越程序型治理,重新平衡权力结构[25]。因此,算法风险影响评估、算法审计等更加关注算法实质的制度应当发挥更加重要的作用。在域外立法实践中,算法审计越来越成为算法规则构建的重心。美国《算法公平法案》(Algorithmic Fairness Act)对算法审计体制予以了规定,并强调增加可审计性。在欧盟,由芬兰、德国、荷兰、挪威和英国最高审计机构共同出台的《机器学习算法审计白皮书》(Auditing machine learning algorithms:A white paper for public auditors),为GDPR下的算法审计活动提供指引。从我国立法现状来看,《个人信息保护法》虽对“个人信息保护影响评估”有所明确,但对于算法审计仅在第54条和第64条作了极为有限的规定。我国当前尚未出台与算法审计有关的更为细化的规范性文件,这使得实践中的算法审计欠缺制度规范,仍主要依赖个人信息处理者的自律或第三方机构的审计能力。实质性规则的不完备,易使国家规制机构难以及时发现并有效应对算法应用过程中的个人信息风险。
多元共治认为,社会主体参与治理具有独特的优势,具有发挥多元主体能动性、查漏补缺的重要作用。然而,在当前银行自动化决策治理的场域中,社会主体参与治理的动力明显不足,有效的社会治理难以形成。
从治理意愿来看,不同社会主体的利益诉求并不一致,甚至存在利益冲突。以银行为例,作为应用自动化决策的核心主体,强调个人信息保护会对银行利益带来多重影响。其一,银行部署自动化决策的成本将会上涨。当前,个人信息保护立法对自动化决策的要求逐步提高,银行在个人信息保护合规层面的压力进一步加大。银行不仅需要对内部不满足或不能完全满足立法需求的自动化决策运作机制进行合规调整,还需要在算法影响评估、算法备案、算法解释、算法审计等方面付出更高的合规成本。其二,个人信息保护的要求与银行自身商业秘密保护之间存在冲突。由于开发统计模型、重抽样、模型训练、人工校准与修正等多个环节均不可避免地需要算法设计者付出相当程度的努力,银行往往将自动化决策的底层算法模型视为商业秘密并加以保护[26]。而个人信息保护的要求,会使银行让渡一部分权利,披露和公开自动化决策的部分信息。这意味着银行需要放弃部分投资研发或购买的智力成果,并将其暴露在竞争对手的视线中,从而导致自身在与其他机构的竞争中处于相对不利的地位[27]。因此,从利益角度衡量,银行的治理意愿天然不足。
社会主体具备参与治理意愿,其治理的积极性也并不必然提升。从个人角度而言,其信息保护与自身利益密切相关,通常具有最为充足的治理意愿。当前我国国家规制机构也采取多种措施,调动个体以自身力量参与算法治理的积极性。在立法领域,我国通过《民法典》《数据安全法》《个人信息保护法》等法律赋予个人一定的权利,以对抗日益强大的算法权力。在司法领域,最高人民法院根据《民法典》第1 034条规定,将“个人信息保护纠纷”列为司法案由之一。现实情况是司法实践涉及自动化决策的案例仍不多见。从个人层面来看,这可能与大多数个人在面对自动化决策时选择“躺在权利上睡觉”有关。尽管自动化决策可能存在多方面的风险,但它通常具有高效、精准的优势,能极大程度地迎合快节奏的生活需求。在银行领域,通过自动化决策提供各类产品与服务,能为大多数金融知识并不丰富的个人节约大量时间和精力,让个人在短时间内完成资金融通和投资选择。在自动化决策产生的巨大便利之下,大多数人可能并未意识到存在的风险。当对风险有所认知,选择以审慎的态度对待自动化决策,进一步行使各类算法权利时,个人不仅需要投入额外的时间和精力以完成决策,甚至还需为了解算法和法律知识付出更多。从纯粹功利的视角来看,个人由此作出的选择可能反而不及单纯信赖自动化决策的结果。在权衡利弊后,个人通常还是会在信息安全与效率之间抉择,并倒向后者。正因信赖自动化决策通常是最符合自身利益的选择,故个人经常“在权利上睡觉”,或有意或无意地忽视潜在的个人信息风险。
基于上述现实困境,多元共治为银行自动化决策的个人信息保护提供指引。在多元共治视域下,治理困境有赖于多元主体之间达成共识、共同参与机制的确定以及责任的合理分配。就银行自动化决策而言,个人信息保护路径可从以下三个方面展开。
形成共识是落实多元共治的重要前提。风险社会理论认为,当科技被转化为产品或服务时,经济政策被经济价值所吸引,而忽略科技应用可能会使原有规则体系发生功能偏移乃至失范[28]。投射到银行领域,在数字化转型的大背景下,自动化决策在提质增效上的巨大优势极易盖过算法本身的多重风险。因此,多元主体首先应客观认识自动化决策,理解算法治理的必要性,达成强化个人信息保护的共识。同时,多元主体也应注意合理确定个人信息保护的边界。算法治理并不是将个人信息保护绝对化,而是在控制个人信息风险的前提下,推动自动化决策的规范发展。我国《民法典》《个人信息保护法》《数据安全法》等立法时也没有完全倒向个人信息保护一侧,而是极力在不同主体之间寻求平衡。这不是法律向技术的妥协,恰好相反,正是因为个人信息保护并非一项绝对化的诉求,因而在各类价值诉求存在冲突时法律才存在调适的可能。治理银行自动化决策,既要注重防范、化解个人信息高风险,也有必要为算法应用提供适当的容错机制。
基于上述共识,多元主体之间的利益冲突才能得以平衡,从而形成治理合力,推动算法治理顺利开展,构筑自动化决策与多元价值之间的制衡机制[5]200。
当前在治理银行自动化决策上,多元主体以自身利益为第一要务,彼此之间的关系仍以竞争为主要特征。如监管机构与银行之间在算法合规上在玩“猫鼠游戏”,银行与个人之间也在信息和资源差异的基础上无形地相互博弈。然而,以竞争为主要互动方式的现实情况,难以应对当前银行自动化决策的个人信息保护困境。在众多治理方式之中,合作治理是共治的核心。在形成治理共识的前提下,合作治理强调国家规制机构让渡部分管理职能及利益,侧重履行监管职责,社会主体利用自身资源参与治理自动化决策[2]10。在合作治理的基础上,多元主体之间才能规避零和博弈、实现共赢,并在个人信息保护视角下真正实现对自动化决策的有效治理。实现合作治理的具体方式包括:加强不同主体对话,增进多元主体对自动化决策技术最新发展动向的理解,减少不同主体之间的信息鸿沟;促进协商,在风险可控的前提下建立自动化决策技术应用的容错机制,并及时督促多元主体对现有问题进行补救式学习;鼓励合作,形成技术合力,及早发现、沟通并纠正自动化决策算法中的技术故障,化解个人信息保护风险。在合作治理的同时,多元主体也应注意对“权力和特权结构中的共谋关系”[29]保持警惕,既要避免合作治理过程对自身独立性的消解,又要强化彼此之间的监督功能,防范部分主体以合作治理之名,行监管俘获之实。
当前我国开始重视并逐步加强对自动化决策的治理,但总体上仍处于起步阶段。尤其是在自动化决策广泛应用的银行领域,亟需适应技术发展需求的算法治理方式。从个人信息保护的视角来看,银行自动化决策的具体治理方向包括:
1.合理应用科技,促进“技术型治理”
自动化决策在银行领域得以普及,我国算法治理对科技的应用却相对滞后,现有风险与治理机制不完全匹配。因此,增强算法治理的技术性,以更好地应对银行自动化决策的个人信息风险实属必要。这不仅有利于治理能力的提升,从长期来看还将有效降低治理成本。具体而言,监管机构有必要加强对监管科技的应用,吸纳人工智能、区块链等重要技术监管科技解决方案,保持对银行领域自动化决策算法发展及应用情况的追踪,尽力实现监管科技与金融科技的同步发展;为应对潜在高涨的个人信息维权需求,司法机构也可考虑采用批量法诉等技术方案,合理分流案件,提升自身处理同质化案件的应对能力。通过上述方式,技术与法律将进一步协同配合、融合互补,并最终提升算法治理整体效能[22]38。
同时,在强化技术应用的过程中,算法治理也有必要警惕对某种特定技术方案形成依赖,并由此造成对治理效能的反向削弱。因此,一方面,无论是监管机构还是司法机构,在选择特定的技术方案前都应当预先设立便捷的退出机制,以确保在更为有效的技术方案产生后自身易于从特定合作关系中抽离并重新选择,从而降低特定技术方案及其提供者的影响;另一方面,针对技术提供者的问责机制也有必要建立,以设置责任的方式倒逼其审慎研发技术方案,将技术“关入制度的笼子”[22]37-38。
2.细化算法审计,强化“实质型治理”
在我国现行制度框架下,算法审计仅存在概括性规定,缺乏可操作性。面向未来,应当细化算法审计制度,从而真正实现制度功能。具体包括:(1)在审计主体上,《个人信息保护法》对内部审计和外部审计的主体都作了规定,其中又以在“存在较大风险或者发生个人信息安全事件”的情况下承担外部算法审计职责的专业机构更为关键,未来有必要围绕此类专业机构出台相应的准入要求和规范标准;(2)在审计机制上,我国算法审计制度可参照域外立法实践的《机器学习算法审计白皮书》实例,出台非强制性的指引文件,为算法审计提供参考,从而推动算法审计规范运作[30];(3)在审计后果上,可允许算法审计结果作为行政处罚或提起诉讼的依据,使其真正具有法律效果,并构成算法治理问责的组成部分。细化算法审计的规定,构建完善而具有可执行性的算法审计制度,以强化实质型治理,并最终改善算法治理的治理效果[31]。
3.完善算法权利,优化“赋权型治理”
我国《个人信息保护法》第24条明确个人在特定情形下可以拒绝自动化决策或寻求算法解释,在实质层面上肯认了“对抗人工智能的权利”[32]。但正如部分学者担心的那样,“把这些要求规定在法律上是一回事,而把它们在实践中进行操作则是另一回事”。算法权利的行使不仅对个人能力有所要求,还需要付出额外的成本,这使得立法所设想的算法问责制在实施过程中面临重大障碍[33]。正如前文所述,在我国司法实践中,针对自动化决策提起的个人信息纠纷尚不多见,这从侧面印证了上述担忧。因此,在既有立法规定之下,如何完善算法权利,以优化“赋权型治理”是算法治理必须回应的问题。
就权利本身而言,在《个人信息保护法》第24条的基础上,有必要对算法权利的规定,尤其是细化算法解释的规定。为此,可颁行特别立法或行业规范,将银行业的行业特性纳入考量,分级分类地对算法解释的对象、内容、受众予以限定,增强算法权利的可理解性、可实现性和可操作性[34]。同时,围绕算法权利,合理分担多元主体的责任。一方面,由于过于宽泛的算法权利易使银行承担过重的算法义务,不利于算法治理目标的实现,因此,在要求银行进行算法解释或拒绝银行仅通过自动化决策作出决定时,个人有必要承担一定的证明责任;另一方面,对个人课以过重的证明责任,又可能使得算法权利丧失制度功能,因而,个人只需在力所能及的范围之内,提供初步证据证明特定自动化决策对个人权益具有重大影响即可[35]。通过上述方式,算法权利得以完善,从而使多元主体有能力、有意愿落实立法规定,共同优化“赋权型治理”。
我国《“十四五”数字经济发展规划》提出“为应对新形势新挑战,把握数字化发展新机遇,拓展经济发展新空间,推动我国数字经济健康发展”。《金融科技发展规划(2022—2025年)》指出“数据成为新的生产要素”,并明确“加快金融数字化转型步伐,全面提升我国金融业综合实力和核心竞争力”的要求。对于银行领域而言,加强自动化决策的部署与应用,既是顺应数字化时代发展需求的必由之路,也是推动自身实现数字化转型的重要一环。而与新技术应用相伴而生的是新型的技术风险。作为特殊的社会治理领域之一,银行业属于高风险的算法应用领域。尤其是在行业掌握大量高隐私性、高价值性的个人信息的前提下,银行自动化决策的应用,对于金融消费者利益、公民基本权利乃至整体金融秩序都可能产生不利影响,因而存在从严治理的需求。但在谨慎对待算法风险的同时,客观审视自动化决策极为必要。自动化决策具有固有优势,如能在银行领域得以良好运用,将带来巨大的经济效益和社会效益。算法治理的最终目的绝不是阻碍自动化决策的应用,而是要推动算法规范发展。因此,针对银行自动化决策的算法治理也不应坚持对抗式的心态,而应注重统筹多元主体,加强多元主体之间的合作,持续探索技术应用与社会价值、治理效率与公平正义之间的平衡点。