【ZiDongHua 之人文化天下收錄關鍵詞:自動化決策 人工智能 可持續(xù)發(fā)展 數(shù)字化轉型
 
  許多奇‖多元共治視域下銀行自動化決策中的個人信息保護
 
 
  作者介紹
 
  許多奇:女,湖北武漢人,博士,復旦大學法學院教授、博士生導師。
 
  摘要:隨著人工智能的普及與算法技術的發(fā)展,自動化決策廣泛應用于銀行領域。自動化決策有力地推動銀行業(yè)提質增效并助力數(shù)字化轉型,但它也帶來算法錯誤、算法歧視、隱私泄露、認知偏差等多重風險。當前我國自動化決策面臨國家規(guī)制難以適應現(xiàn)實需求和社會主體參與治理動力不足的雙重困境。在多元共治視域下,這些困境的解決需要合理確定個人信息保護的邊界,強化多元主體間的合作,采取多元路徑推動算法治理不斷完善,實現(xiàn)銀行自動化決策算法的規(guī)范發(fā)展。
 
  關鍵詞:自動化決策;個人信息保護;多元共治;合作治理
 
  隨著人工智能的普及與算法技術的發(fā)展,自動化決策在銀行領域的應用邁入全新階段。當前銀行業(yè)的虛擬數(shù)字員工已從流程自動化走向認知決策自動化,與業(yè)務有了更緊密的融合。這一現(xiàn)實情況順應了銀行業(yè)數(shù)字化的浪潮在科技引領下推動銀行業(yè)實現(xiàn)創(chuàng)新發(fā)展。但銀行自動化決策的應用也帶來了全新的挑戰(zhàn),算法錯誤、算法歧視、隱私泄露、認知偏差等一系列個人信息風險的產生,使得防范風險成為銀行自動化決策必須面對的任務。為此,許多國家或地區(qū)都出臺了相應的立法并逐步建立針對自動化決策的監(jiān)管體系,以應對自動化決策可能存在的問題。2018年5月,歐盟正式全面實行《通用數(shù)據(jù)保護條例》(以下簡稱GDPR),提供了一系列有關算法自動化決策的行為指南文件;美國聯(lián)邦層面的《算法問責法案》正在等待國會的表決。我國的《個人信息保護法》《數(shù)據(jù)安全法》等法律正式頒布實施,開始加強對自動化決策的規(guī)制,但總體仍處于起步和探索階段。
 
  黨的二十大報告提出“完善社會治理體系”“健全共建共治共享的社會治理制度,提升社會治理效能”“建設人人有責、人人盡責、人人享有的社會治理共同體”,多元共治正是完善我國社會治理體系的重要策略。作為社會治理創(chuàng)新的治理模式之一,多元共治強調治理主體和治理方式的多元化,有助于社會治理的協(xié)同統(tǒng)一,不失為應對銀行自動化決策現(xiàn)有問題的一劑良方。銀行自動化決策中的個人信息保護涉及多維主體,不同主體間存在多元目標和多元利益的沖突,不能完全依靠傳統(tǒng)的“監(jiān)管者—被監(jiān)管者”的單向治理模式。從多元共治的角度來看,如何在多元主體之間形成共識,構建共同參與機制,合理分擔治理責任,以充分發(fā)揮銀行自動化決策的技術優(yōu)勢,并盡可能減少對個人信息保護帶來的風險,是在金融領域推進國家治理現(xiàn)代化必須面對的重要議題
 
 
 
  一、自動化決策的內涵與銀行領域的應用
 
 ?。ㄒ唬┳詣踊瘺Q策的范圍與優(yōu)勢
 
  與歐盟GDPR規(guī)定主要針對的是“完全的”自動化決策不同,我國《個人信息保護法》第73條規(guī)定,自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。歐盟數(shù)據(jù)保護工作小組在《關于GDPR下自動化決策和用戶畫像的指南》中對此予以進一步明確,將“完全的”自動化決策定義為通過技術手段而沒有人的參與做出決定的過程。如果人為參與對決策結果沒有任何實質性影響,則仍然會被視為完全自動化決策。從技術層面來看,盡管自動化決策的定義略有差別,但并不涉及實質爭議。作為一種數(shù)理智能程序,自動化決策本質上是通過整合大量現(xiàn)有數(shù)據(jù),基于特定設計目的的數(shù)據(jù)處理指令,運算得出最終的決策結果。在規(guī)制范圍內,歐盟側重對“完全的”自動化決策提出要求,而我國對一般性的自動化決策均進行規(guī)制,并對“完全的”自動化決策作出特別規(guī)定。規(guī)制范圍的區(qū)別反映出不同法域對自動化決策的監(jiān)管程度及其內在的政策考量存在差異。
 
  
 
  歐盟通用數(shù)據(jù)保護條例
 
  《通用數(shù)據(jù)保護條例》(General Data Protection Regulation,簡稱GDPR)
 
  圖片來源:百度百科
 
  自動化決策中的個人信息保護自動化決策的核心是“決策”,這一結果以“自動化”的方式實施并且已對個人產生了一定的影響。在大數(shù)據(jù)技術持續(xù)進步、自動化決策結果精準度不斷提升的大背景下,自動化決策能夠為決策者帶來極大的便利,具有傳統(tǒng)決策方式不可比擬的獨特優(yōu)勢。在成本層面,引入自動化決策算法盡管需要付出相對較高的單次成本,但從長期來看會大大降低傳統(tǒng)決策方式所需的人力及時間成本。更低的成本投入意味著更大的利潤空間,因此,自動化決策自然受到各行業(yè)的青睞,成為首要的選擇。在行業(yè)成本的降低傳導至社會后,新技術的應用有助于社會整體成本的降低。在效益層面,相較于傳統(tǒng)決策方式,自動化決策依循數(shù)理邏輯,在整合龐大而準確的數(shù)據(jù)情況下,程序性運算持續(xù)產出具有更為精準、客觀、穩(wěn)定的決策結果。自動化決策極少出現(xiàn)傳統(tǒng)決策方式中存在的疏忽與恣意,同時強大的運算能力也支撐其不斷實現(xiàn)自我優(yōu)化與完善。自動化決策幫助各行業(yè)提供更符合用戶自身狀況的決策結果(個性化推薦),產生更為良好的用戶體驗,并最終提高社會的整體效用。正因自動化決策的上述優(yōu)勢,越來越多的行業(yè)廣泛地采用自動化決策,以實現(xiàn)“提質增效”。
 
  (二)自動化決策在銀行領域的應用場景
 
  當前自動化決策在銀行業(yè)發(fā)揮著重要作用。擁抱自動化決策成為銀行業(yè)實現(xiàn)自身數(shù)字化發(fā)展的重要步驟。2019年,英國官方調查表明:英國金融行業(yè)三分之二的前臺和后臺應用都已覆蓋人工智能,最常見于用戶服務及市場推廣等領域;我國香港地區(qū)一項類似調查顯示,89%的銀行已采用或計劃采用Al應用程序。在我國銀行領域的自動化決策應用包括:信用評分、用戶畫像及其與其他新興科技結合,提供綜合性服務。
 
  其一,信用評分。信用評分運用預測模型進行復雜的統(tǒng)計和經驗驗證,以評估向個人或企業(yè)提供信貸的風險。相較于國外高度發(fā)達的征信行業(yè),我國征信行業(yè)起步較晚,仍存在較大的提升空間。為滿足自身信貸場景需求,我國銀行領域將目光投向信用評分,結合實際情況作出選擇:大型商業(yè)銀行信用評分通過自主研發(fā)構建信用評分模型;中小股份制銀行首先引進先進的個人信用評分模型和技術,然后消化吸收,建立自己的信用評分團隊;眾多的城市商業(yè)銀行更多的是模擬商業(yè)銀行成熟的個人信用評分模型并依據(jù)自身用戶的特點進行改善;很多商業(yè)銀行還對央行征信報告的數(shù)據(jù)進行解析和加工,整合行內數(shù)據(jù),開發(fā)信用評分。就我國銀行業(yè)而言,當前對信用評分的利用集中于信用卡發(fā)卡審核和貸款審核兩個領域。通過對目標用戶各項數(shù)據(jù)進行復雜運算,信用評分對信用卡或貸款申請者進行評估,并最終指導銀行作出是否發(fā)放信用卡或貸款的信貸決策。而在未來,信用評分還將進一步拓展自身應用范圍,從貸前申請走向管理信用,并將覆蓋整個信用風險管理周期。
 
  其二,用戶畫像。“用戶畫像”對目標用戶的信息進行收集和整理,并且在真實信息的基礎上將這些信息以表格形式展示出來。這不僅能夠展現(xiàn)用戶和潛在用戶的個人屬性,還能進一步挖掘他們的潛在興趣和偏好。當前,高度發(fā)達的大數(shù)據(jù)技術通過對各類個人信息與數(shù)據(jù)加以利用,并且在很大程度上將人實現(xiàn)“數(shù)字化”,從而進行高度精準的內容推薦。隨著自動化決策技術的應用,銀行領域越來越重視收集個人信息構建用戶畫像。一方面,用戶畫像同樣應用于借貸領域,為銀行對特定用戶是否發(fā)放貸款提供決策參考。另一方面,用戶畫像廣泛應用于廣告投放、內容推送及用戶推廣之中,推動銀行實現(xiàn)產品與服務的個性化推薦與精準營銷。尤其是在眾多銀行推出線上APP后,用戶畫像的應用也更加普遍。對于銀行而言,更加精準的信息推送將提升營銷效率、降低營銷成本,更有效地吸引用戶和潛在用戶,從而“提質增效”;對于用戶而言,用戶畫像的應用帶來“千人千面”的選擇,不僅節(jié)約信息篩選的成本,也能提供與自身實際情況高度適配的推薦結果,實現(xiàn)更優(yōu)質的用戶體驗。因此,用戶畫像在銀行領域的應用也備受重視。
 
  其三,結合其他新興技術,提供綜合性服務。自動化決策不僅具有獨立的技術應用價值,還具有強大的可塑性與兼容性,能夠與許多其他新興技術相互結合,發(fā)揮更為強大的應用效益。元宇宙概念的興起助推虛擬數(shù)字人市場迅速發(fā)展,聚焦于銀行業(yè),自動化決策與虛擬數(shù)字人相結合的技術應用已進入具體的金融場景:承擔智能客服、財富規(guī)劃師、AI營銷員等角色。2022年下半年橫空出世的ChatGPT與決策智能技術的融合發(fā)展,被認為將推動決策模型進化,從而邁向更高級的決策智能階段,在銀行金融場景領域具備強大的應用潛力。由此可見,自動化決策技術與其他新興技術相結合,能夠實現(xiàn)“1+1>2”的技術疊加效益,尤其對于銀行業(yè)而言,該類結合不僅已有眾多的現(xiàn)實應用場景,面向未來還有廣泛的拓展空間??梢灶A見,除自動化決策技術本身的利用外,將自動化決策與其他新興技術相結合,繼而提供綜合性服務,將是銀行自動化決策的另一大應用領域。
 
  圖片
 
  二、銀行自動化決策中多元共治的生成邏輯
 
 ?。ㄒ唬┿y行自動化決策中的個人信息隱憂
 
  自動化決策具有傳統(tǒng)決策方式不可比擬的獨特優(yōu)勢,因此得以廣泛應用。但自動化決策可能產生的問題,尤其是在個人信息保護領域存在問題,已引起各國立法關注。歐盟自動化決策規(guī)制以歐盟GDPR第22條為中心展開,以保障數(shù)據(jù)主體人工干預決策的權利。該條賦予個體在一定條件下不受制于完全的自動化決策的權利,同時也為這一權利設置了多重限制條件。我國《個人信息保護法》第24條借鑒了該條的立法理念,強調決策的透明度和結果公平、公正。在銀行領域,自動化決策的個人信息隱憂更值得重視。一方面,作為重要的信用中介和支付中介,銀行領域會收集數(shù)量龐大的個人信息數(shù)據(jù);另一方面,由于涉及大量基礎性的金融業(yè)務,銀行領域收集的個人信息大多涉及個人財產等信息,具有高度的重要性、私密性與價值性。在此前提下,銀行自動化決策在個人信息保護既存在一般自動化決策所面臨的共性需求,又亟需面對與銀行業(yè)特點相結合產生的特殊問題。因此,對銀行自動化決策涉及的個人信息隱憂展開分析,實屬必要。
 
  
 
  《中華人民共和國個人信息保護法》
 
  圖片來源:百度百科
 
  其一,算法錯誤風險。算法錯誤主要由數(shù)據(jù)收集、數(shù)據(jù)準備、算法規(guī)制設計、算法模型驗證過程中的缺陷或錯誤所導致。例如,因訓練數(shù)據(jù)不充分、不具有代表性、算法種類選擇不當,算法設計編碼錯誤等,導致算法決策結論錯誤。對于銀行自動化決策而言,算法錯誤風險主要來自兩方面:一是納入自動化決策的數(shù)據(jù)本身存在錯誤或缺陷,如各銀行在進行信用評分或用戶畫像的過程中,收集的數(shù)據(jù)不充分或與客觀事實不符,從而導致最終的決策結果出現(xiàn)錯誤;二是自動化決策本身存在技術性錯誤,致使在數(shù)據(jù)沒有錯誤或缺陷的情況下,依然產生了錯誤的決策結果。對于個人而言,銀行自動化決策潛在的算法錯誤風險可能帶來多方面的影響。如在銀行借貸環(huán)節(jié)的算法錯誤可能導致個人不能匹配適合自身實際情況的借貸選擇,甚至給個人錯誤地打上資信狀況不佳的標簽;而在產品營銷環(huán)節(jié)的算法錯誤則易致使個人選擇超出自身實際風險承擔能力的金融產品,從而影響個人的財產權。并且,在信息洪流和算法黑箱的雙重影響下,個人通常難以意識到銀行自動化決策出現(xiàn)了算法錯誤,更難以對此加以糾正或尋求救濟。
 
  其二,算法歧視風險。算法歧視是由于算法內部演算和數(shù)據(jù)分析所導致的對特定群體或個人的不公正對待。在既定的算法模型下,自動化決策能夠產生具有高穩(wěn)定性的決策結果,減少了傳統(tǒng)決策方式的任意性。然而,人類社會固有的某些偏見與歧視并未完全消失。相反,與一般意義上的歧視相比,這種根植在算法程序里的歧視更加難以識別。銀行自動化決策的算法歧視風險也并不鮮見,既有一般自動化決策中最為常見的“大數(shù)據(jù)殺熟”,也有銀行基于用戶分組而向特定用戶群體實施的集體性算法歧視。一方面,銀行在使用不同特征對用戶進行風險分類時,可能會導致對用戶的歧視和偏見,產生市場的逆向選擇等問題。另一方面,由于具備更強的談判能力,大型用戶可以通過與銀行進行點對點的個別商議,從而在自動化決策的算法運算中獲得相對優(yōu)勢的地位,而中小型用戶則只能被動地接受自動化決策的結果,在銀行提供的有限選擇中進行權衡。此類算法歧視不僅會對個人知情權和財產權帶來侵害,更是對平等權的消解,并存在算法異化的潛在危險。
 
  其三,隱私泄露風險。如前所述,銀行收集的個人信息數(shù)量龐大,同時具有高度的重要性、私密性與價值性,蘊含巨大的數(shù)據(jù)價值。此類信息一旦泄露,將會給用戶帶來巨大的風險,甚至對人身和財產權利帶來威脅。從銀行的角度來看,自動化決策的隱私泄露風險是否可控,視具體情況而有所不同。在技術層面上,銀行自動化決策在個人信息收集、處理、存儲、運算并形成最終結論的過程中,均可能因技術系統(tǒng)不完善而無意造成信息泄露。除此以外,銀行可能有意利用自動化決策,不當利用個人信息。例如,對個人信息進行過度收集、將特定目的采集的個人信息挪作他用,甚至提供給第三方。從個人角度來看,無論是對個人信息的無意泄露抑或有意利用,都會產生不可估量的風險,進而影響正常的個人生活。因此,《數(shù)據(jù)安全法》《個人信息保護法》《征信業(yè)務管理辦法》等相繼出臺,回應上述風險。在實踐中,我國銀行因不當利用個人信息而受到處罰的情況時有發(fā)生,隱私泄露風險治理依然任重道遠。
 
  其四,認知偏差風險。認知心理學認為,個人在認知上存在非理性的一面,如從眾心理、損失厭惡、框架效應、錨定效應、過度樂觀等,亦即“認知偏差”。經營者利用個人的認知偏差進行針對性的營銷,以在更大程度上實現(xiàn)自身利益。不同于前述幾類受到立法規(guī)制的風險,根據(jù)我國現(xiàn)行法律,對認知偏差的利用并沒有侵犯知情權、選擇權等個人權利。然而,隨著大數(shù)據(jù)時代的到來與經濟數(shù)字化的發(fā)展,認知偏差風險將更加嚴重。算法決策本身并非絕對中性。為實現(xiàn)利益最大化,銀行可能將認知偏差引入基于用戶畫像的個性化推薦中?;谡J知偏差,銀行自動化決策將對個人施加更大的影響,甚至采取違背個人利益的決策策略。對于個人而言,銀行自動化決策對認知偏差的利用游走于侵害個人利益而又不受規(guī)制的灰色地帶,難以在現(xiàn)行立法下獲得救濟,自身利益于無形之中明顯受損。這不僅會使個人尊嚴受到威脅,也對社會整體的公平、正義提出了嚴峻挑戰(zhàn)。
 
 ?。ǘ┿y行自動化決策中多元共治的可適用性
 
  國外對多元共治的理論研究取得了豐碩成果,為其在我國的適用奠定了基礎。隨著公共治理研究范式的興起,以多元共治為核心的治理理論不斷涌現(xiàn),其中,以德國學者赫爾曼·哈肯(Hermann Haken)的“協(xié)同學”(Synergetics)理論和埃莉諾·奧斯特羅姆(Elinor Ostrom)的“多中心”理論最具代表性。前者強調在復雜系統(tǒng)中各子系統(tǒng)應當協(xié)調合作,推動系統(tǒng)走向有序,或從一種有序狀態(tài)走向更高的有序狀態(tài)。后者提出不同主體既會獨立自由地追求自己的利益,又存在相互協(xié)調合作的可能,主張采用多樣性制度安排,實現(xiàn)政府和社會間的協(xié)調與合作,從而推動公共利益的可持續(xù)發(fā)展。隨著學界的不斷探索,多元共治理論持續(xù)完善,已經在我國各個領域產生影響。2014年《政府工作報告》明確“注重運用法治方式,實行多元主體共同治理”,推動多元共治理論與我國社會實踐相結合。目前,多元共治已應用于社區(qū)治理、鄉(xiāng)村治理、網(wǎng)絡治理等多個領域,并取得了一定的成績。
 
  2021年9月,國家互聯(lián)網(wǎng)信息辦、中央宣傳部等九個部門發(fā)布《關于加強互聯(lián)網(wǎng)信息服務算法綜合治理的指導意見》,要求“形成有法可依、多元協(xié)同、多方參與的治理機制”“打造形成政府監(jiān)管、企業(yè)履責、行業(yè)自律、社會監(jiān)督的算法安全多元共治局面”,為多元共治在算法治理中的適用提供了依據(jù)。對于銀行自動化決策,多元共治具有較強的可適用性。其一,銀行自動化決策的個人信息風險范圍廣泛,影響輻射整個社會,對其治理不能依靠少數(shù)主體的努力,而多元共治強調國家力量和社會主體都應發(fā)揮自身優(yōu)勢,與現(xiàn)實需求不謀而合;其二,不同主體之間利益訴求各異,對于個人信息保護態(tài)度不一,對銀行自動化決策的治理合力難以形成,而共識形成機制是多元共治的重要運行機制,多元共治注重尋求各主體在個人信息保護上的“最大公約數(shù)”,從而協(xié)調利益沖突;其三,在銀行自動化決策領域,各主體之間的關系仍以競爭為主,合作機制尚不完善,而“對話、競爭、妥協(xié)、合作和集體行動是多元共治中的五個核心機制”,多元共治能夠調和該領域不同主體間的競爭關系,強化合作機制;其四,對于多元主體在算法治理中的責任,現(xiàn)行治理制度并未完全明確,容易造成責任分擔不均的情況,而多元共治則主張通過多樣化的制度安排合理分配責任,以維持算法治理的可持續(xù)性運作。綜合來看,多元共治的適用,有助于推動各主體協(xié)同統(tǒng)一,共同化解銀行自動化決策中的個人信息風險,提升治理效率,最終實現(xiàn)“價值共容、目標共向、利益共得、成果共享”。
 
  三、銀行自動化決策的個人信息保護困境
 
  銀行自動化決策的個人信息保護涉及多元主體,不同主體之間存在多元目標和多元利益的沖突,對個人信息保護的態(tài)度也存在差異,直接影響治理目標的統(tǒng)一及治理效果。因此,要真正實現(xiàn)銀行自動化決策領域的多元共治,有必要從多角度展開分析。
 
  (一)國家規(guī)制難以完全適應現(xiàn)實需求
 
  在多元共治視域下,各主體發(fā)揮的作用各不相同,其中,監(jiān)管、司法等國家機構發(fā)揮指引作用。但在涉及銀行自動化決策的個人信息保護領域,國家規(guī)制面臨難以完全適應現(xiàn)實需求的窘境。
 
  自動化決策在銀行領域的廣泛應用,給國家規(guī)制帶來了全新的挑戰(zhàn)。以監(jiān)管機構為例:一方面,傳統(tǒng)監(jiān)管模式不再完全適應技術發(fā)展。在數(shù)字化轉型的趨勢下,銀行業(yè)尋求部署更復雜、更高精度的自動化決策模型。盡管立法已經對自動化決策提出了全新的要求,但監(jiān)管機構要透過算法黑箱、真正實現(xiàn)對銀行自動化決策的有效監(jiān)管,仍然需要依托自身監(jiān)管能力的提升或第三方技術機構的評估。另一方面,作為應對上述問題的重要解決方案之一,監(jiān)管科技面臨著技術依賴和監(jiān)管俘獲的威脅。為應對我國監(jiān)管行業(yè)與金融科技發(fā)展不匹配的實際情況,監(jiān)管科技的發(fā)展及應用逐步受到重視。但在發(fā)展監(jiān)管科技、應用技術方案的過程中,監(jiān)管機構對特定技術方案的選擇可能形成技術依賴,打開了監(jiān)管俘獲的新窗口,這可能威脅監(jiān)管機構的公共問責性,反而進一步削弱監(jiān)管機構的監(jiān)管能力。
 
  從成本角度來看,國家規(guī)制需在個人信息保護與治理成本控制之間權衡。當前,強調個人信息保護的相關立法陸續(xù)出臺,最高人民法院明確將“個人信息保護糾紛”列為司法案由之一,個人信息保護重要性日益凸顯。但“以最少的資源消耗取得最大的效益”同樣是重要的制度目標。成本控制注重每一份投入所產生的收益最大化。以司法領域為例,根據(jù)北大法寶數(shù)據(jù)庫的公開數(shù)據(jù),在案由為“民事隱私權、個人信息糾紛”的近3 000件案例中,涉及自動化決策的案例僅有9件,無一例涉及銀行。這一數(shù)據(jù)的形成有多方面原因,從司法機關的角度來看,這可能與成本控制的考量有關。就成本而言,銀行自動化決策波及范圍廣,影響人群眾多,存在大量潛在的個人信息爭議,一旦司法機關采取積極態(tài)度應對該領域的個人信息糾紛,勢必會產生大量案件,需要投入大量的司法資源;同時,與銀行自動化決策有關的個人信息保護糾紛涉及法律、金融、技術等多個領域,案件審理難度大,如何依托當前尚不完備的立法妥善解決此類復雜爭議,是司法機關需要面對的難題。就效益而言,此類個人信息保護糾紛通常涉及程序性規(guī)則,個人的實際損失難以具象化,爭議解決的效益相對較低?;诔杀究刂频目剂?,司法機關在面臨涉及銀行自動化決策的個人信息爭議時,在符合法律規(guī)定的前提下通常選擇相對消極的態(tài)度。
 
  同時,我國國家機構仍側重于程序層面針對算法提出要求,實質性規(guī)則有待完善。例如,《個人信息保護法》強調告知同意等規(guī)則,從程序角度對個人信息的利用行為提出了全新的要求。中國人民銀行等機構聯(lián)合發(fā)布《關于規(guī)范金融機構資產管理業(yè)務的指導意見》,僅要求金融機構向金融監(jiān)督管理部門報備人工智能模型的主要參數(shù)以及資產配置的主要邏輯。盡管此類強調程序的規(guī)則具有先天優(yōu)勢,但在當下“僅將面向過程的解決方案應用于算法過度擴張是行不通的”,必須超越程序型治理,重新平衡權力結構。因此,算法風險影響評估、算法審計等更加關注算法實質的制度應當發(fā)揮更加重要的作用。在域外立法實踐中,算法審計越來越成為算法規(guī)則構建的重心。美國《算法公平法案》(Algorithmic Fairness Act)對算法審計體制予以了規(guī)定,并強調增加可審計性。在歐盟,由芬蘭、德國、荷蘭、挪威和英國最高審計機構共同出臺的《機器學習算法審計白皮書》(Auditing machine learning algorithms:A white paper for public auditors),為GDPR下的算法審計活動提供指引。從我國立法現(xiàn)狀來看,《個人信息保護法》雖對“個人信息保護影響評估”有所明確,但對于算法審計僅在第54條和第64條作了極為有限的規(guī)定。我國當前尚未出臺與算法審計有關的更為細化的規(guī)范性文件,這使得實踐中的算法審計欠缺制度規(guī)范,仍主要依賴個人信息處理者的自律或第三方機構的審計能力。實質性規(guī)則的不完備,易使國家規(guī)制機構難以及時發(fā)現(xiàn)并有效應對算法應用過程中的個人信息風險。
 
  (二)社會主體參與治理動力不足
 
  多元共治認為,社會主體參與治理具有獨特的優(yōu)勢,具有發(fā)揮多元主體能動性、查漏補缺的重要作用。然而,在當前銀行自動化決策治理的場域中,社會主體參與治理的動力明顯不足,有效的社會治理難以形成。
 
  從治理意愿來看,不同社會主體的利益訴求并不一致,甚至存在利益沖突。以銀行為例,作為應用自動化決策的核心主體,強調個人信息保護會對銀行利益帶來多重影響。其一,銀行部署自動化決策的成本將會上漲。當前,個人信息保護立法對自動化決策的要求逐步提高,銀行在個人信息保護合規(guī)層面的壓力進一步加大。銀行不僅需要對內部不滿足或不能完全滿足立法需求的自動化決策運作機制進行合規(guī)調整,還需要在算法影響評估、算法備案、算法解釋、算法審計等方面付出更高的合規(guī)成本。其二,個人信息保護的要求與銀行自身商業(yè)秘密保護之間存在沖突。由于開發(fā)統(tǒng)計模型、重抽樣、模型訓練、人工校準與修正等多個環(huán)節(jié)均不可避免地需要算法設計者付出相當程度的努力,銀行往往將自動化決策的底層算法模型視為商業(yè)秘密并加以保護。而個人信息保護的要求,會使銀行讓渡一部分權利,披露和公開自動化決策的部分信息。這意味著銀行需要放棄部分投資研發(fā)或購買的智力成果,并將其暴露在競爭對手的視線中,從而導致自身在與其他機構的競爭中處于相對不利的地位。因此,從利益角度衡量,銀行的治理意愿天然不足。
 
  社會主體具備參與治理意愿,其治理的積極性也并不必然提升。從個人角度而言,其信息保護與自身利益密切相關,通常具有最為充足的治理意愿。當前我國國家規(guī)制機構也采取多種措施,調動個體以自身力量參與算法治理的積極性。在立法領域,我國通過《民法典》《數(shù)據(jù)安全法》《個人信息保護法》等法律賦予個人一定的權利,以對抗日益強大的算法權力。在司法領域,最高人民法院根據(jù)《民法典》第1 034條規(guī)定,將“個人信息保護糾紛”列為司法案由之一。現(xiàn)實情況是司法實踐涉及自動化決策的案例仍不多見。從個人層面來看,這可能與大多數(shù)個人在面對自動化決策時選擇“躺在權利上睡覺”有關。盡管自動化決策可能存在多方面的風險,但它通常具有高效、精準的優(yōu)勢,能極大程度地迎合快節(jié)奏的生活需求。在銀行領域,通過自動化決策提供各類產品與服務,能為大多數(shù)金融知識并不豐富的個人節(jié)約大量時間和精力,讓個人在短時間內完成資金融通和投資選擇。在自動化決策產生的巨大便利之下,大多數(shù)人可能并未意識到存在的風險。當對風險有所認知,選擇以審慎的態(tài)度對待自動化決策,進一步行使各類算法權利時,個人不僅需要投入額外的時間和精力以完成決策,甚至還需為了解算法和法律知識付出更多。從純粹功利的視角來看,個人由此作出的選擇可能反而不及單純信賴自動化決策的結果。在權衡利弊后,個人通常還是會在信息安全與效率之間抉擇,并倒向后者。正因信賴自動化決策通常是最符合自身利益的選擇,故個人經常“在權利上睡覺”,或有意或無意地忽視潛在的個人信息風險。
 
  四、自動化決策中的個人信息保護路徑
 
  基于上述現(xiàn)實困境,多元共治為銀行自動化決策的個人信息保護提供指引。在多元共治視域下,治理困境有賴于多元主體之間達成共識、共同參與機制的確定以及責任的合理分配。就銀行自動化決策而言,個人信息保護路徑可從以下三個方面展開。
 
 ?。ㄒ唬┕沧R形成機制:合理確定個人信息保護的邊界
 
  形成共識是落實多元共治的重要前提。風險社會理論認為,當科技被轉化為產品或服務時,經濟政策被經濟價值所吸引,而忽略科技應用可能會使原有規(guī)則體系發(fā)生功能偏移乃至失范。投射到銀行領域,在數(shù)字化轉型的大背景下,自動化決策在提質增效上的巨大優(yōu)勢極易蓋過算法本身的多重風險。因此,多元主體首先應客觀認識自動化決策,理解算法治理的必要性,達成強化個人信息保護的共識。同時,多元主體也應注意合理確定個人信息保護的邊界。算法治理并不是將個人信息保護絕對化,而是在控制個人信息風險的前提下,推動自動化決策的規(guī)范發(fā)展。我國《民法典》《個人信息保護法》《數(shù)據(jù)安全法》等立法時也沒有完全倒向個人信息保護一側,而是極力在不同主體之間尋求平衡。這不是法律向技術的妥協(xié),恰好相反,正是因為個人信息保護并非一項絕對化的訴求,因而在各類價值訴求存在沖突時法律才存在調適的可能。治理銀行自動化決策,既要注重防范、化解個人信息高風險,也有必要為算法應用提供適當?shù)娜蒎e機制。
 
  《個人信息保護法》強化用戶信息保護
 
  圖片來源:京報網(wǎng)
 
  基于上述共識,多元主體之間的利益沖突才能得以平衡,從而形成治理合力,推動算法治理順利開展,構筑自動化決策與多元價值之間的制衡機制。
 
 ?。ǘ┕餐瑓⑴c機制:強化多元主體的合作治理
 
  當前在治理銀行自動化決策上,多元主體以自身利益為第一要務,彼此之間的關系仍以競爭為主要特征。如監(jiān)管機構與銀行之間在算法合規(guī)上在玩“貓鼠游戲”,銀行與個人之間也在信息和資源差異的基礎上無形地相互博弈。然而,以競爭為主要互動方式的現(xiàn)實情況,難以應對當前銀行自動化決策的個人信息保護困境。在眾多治理方式之中,合作治理是共治的核心。在形成治理共識的前提下,合作治理強調國家規(guī)制機構讓渡部分管理職能及利益,側重履行監(jiān)管職責,社會主體利用自身資源參與治理自動化決策。在合作治理的基礎上,多元主體之間才能規(guī)避零和博弈、實現(xiàn)共贏,并在個人信息保護視角下真正實現(xiàn)對自動化決策的有效治理。實現(xiàn)合作治理的具體方式包括:加強不同主體對話,增進多元主體對自動化決策技術最新發(fā)展動向的理解,減少不同主體之間的信息鴻溝;促進協(xié)商,在風險可控的前提下建立自動化決策技術應用的容錯機制,并及時督促多元主體對現(xiàn)有問題進行補救式學習;鼓勵合作,形成技術合力,及早發(fā)現(xiàn)、溝通并糾正自動化決策算法中的技術故障,化解個人信息保護風險。在合作治理的同時,多元主體也應注意對“權力和特權結構中的共謀關系”保持警惕,既要避免合作治理過程對自身獨立性的消解,又要強化彼此之間的監(jiān)督功能,防范部分主體以合作治理之名,行監(jiān)管俘獲之實。
 
 ?。ㄈ┒嘣卫頇C制:算法治理的具體完善方向
 
  當前我國開始重視并逐步加強對自動化決策的治理,但總體上仍處于起步階段。尤其是在自動化決策廣泛應用的銀行領域,亟需適應技術發(fā)展需求的算法治理方式。從個人信息保護的視角來看,銀行自動化決策的具體治理方向包括:
 
  1.合理應用科技,促進“技術型治理”
 
  自動化決策在銀行領域得以普及,我國算法治理對科技的應用卻相對滯后,現(xiàn)有風險與治理機制不完全匹配。因此,增強算法治理的技術性,以更好地應對銀行自動化決策的個人信息風險實屬必要。這不僅有利于治理能力的提升,從長期來看還將有效降低治理成本。具體而言,監(jiān)管機構有必要加強對監(jiān)管科技的應用,吸納人工智能、區(qū)塊鏈等重要技術監(jiān)管科技解決方案,保持對銀行領域自動化決策算法發(fā)展及應用情況的追蹤,盡力實現(xiàn)監(jiān)管科技與金融科技的同步發(fā)展;為應對潛在高漲的個人信息維權需求,司法機構也可考慮采用批量法訴等技術方案,合理分流案件,提升自身處理同質化案件的應對能力。通過上述方式,技術與法律將進一步協(xié)同配合、融合互補,并最終提升算法治理整體效能。
 
  同時,在強化技術應用的過程中,算法治理也有必要警惕對某種特定技術方案形成依賴,并由此造成對治理效能的反向削弱。因此,一方面,無論是監(jiān)管機構還是司法機構,在選擇特定的技術方案前都應當預先設立便捷的退出機制,以確保在更為有效的技術方案產生后自身易于從特定合作關系中抽離并重新選擇,從而降低特定技術方案及其提供者的影響;另一方面,針對技術提供者的問責機制也有必要建立,以設置責任的方式倒逼其審慎研發(fā)技術方案,將技術“關入制度的籠子”。
 
  2.細化算法審計,強化“實質型治理”
 
  在我國現(xiàn)行制度框架下,算法審計僅存在概括性規(guī)定,缺乏可操作性。面向未來,應當細化算法審計制度,從而真正實現(xiàn)制度功能。具體包括:(1)在審計主體上,《個人信息保護法》對內部審計和外部審計的主體都作了規(guī)定,其中又以在“存在較大風險或者發(fā)生個人信息安全事件”的情況下承擔外部算法審計職責的專業(yè)機構更為關鍵,未來有必要圍繞此類專業(yè)機構出臺相應的準入要求和規(guī)范標準;(2)在審計機制上,我國算法審計制度可參照域外立法實踐的《機器學習算法審計白皮書》實例,出臺非強制性的指引文件,為算法審計提供參考,從而推動算法審計規(guī)范運作;(3)在審計后果上,可允許算法審計結果作為行政處罰或提起訴訟的依據(jù),使其真正具有法律效果,并構成算法治理問責的組成部分。細化算法審計的規(guī)定,構建完善而具有可執(zhí)行性的算法審計制度,以強化實質型治理,并最終改善算法治理的治理效果。
 
  3.完善算法權利,優(yōu)化“賦權型治理”
 
  我國《個人信息保護法》第24條明確個人在特定情形下可以拒絕自動化決策或尋求算法解釋,在實質層面上肯認了“對抗人工智能的權利”。但正如部分學者擔心的那樣,“把這些要求規(guī)定在法律上是一回事,而把它們在實踐中進行操作則是另一回事”。算法權利的行使不僅對個人能力有所要求,還需要付出額外的成本,這使得立法所設想的算法問責制在實施過程中面臨重大。正如前文所述,在我國司法實踐中,針對自動化決策提起的個人信息糾紛尚不多見,這從側面印證了上述擔憂。因此,在既有立法規(guī)定之下,如何完善算法權利,以優(yōu)化“賦權型治理”是算法治理必須回應的問題。
 
  就權利本身而言,在《個人信息保護法》第24條的基礎上,有必要對算法權利的規(guī)定,尤其是細化算法解釋的規(guī)定。為此,可頒行特別立法或行業(yè)規(guī)范,將銀行業(yè)的行業(yè)特性納入考量,分級分類地對算法解釋的對象、內容、受眾予以限定,增強算法權利的可理解性、可實現(xiàn)性和可操作性。同時,圍繞算法權利,合理分擔多元主體的責任。一方面,由于過于寬泛的算法權利易使銀行承擔過重的算法義務,不利于算法治理目標的實現(xiàn),因此,在要求銀行進行算法解釋或拒絕銀行僅通過自動化決策作出決定時,個人有必要承擔一定的證明責任;另一方面,對個人課以過重的證明責任,又可能使得算法權利喪失制度功能,因而,個人只需在力所能及的范圍之內,提供初步證據(jù)證明特定自動化決策對個人權益具有重大影響即可。通過上述方式,算法權利得以完善,從而使多元主體有能力、有意愿落實立法規(guī)定,共同優(yōu)化“賦權型治理”。
 
 
  五、結語
 
  我國《“十四五”數(shù)字經濟發(fā)展規(guī)劃》提出“為應對新形勢新挑戰(zhàn),把握數(shù)字化發(fā)展新機遇,拓展經濟發(fā)展新空間,推動我國數(shù)字經濟健康發(fā)展”。《金融科技發(fā)展規(guī)劃(2022—2025年)》指出“數(shù)據(jù)成為新的生產要素”,并明確“加快金融數(shù)字化轉型步伐,全面提升我國金融業(yè)綜合實力和核心競爭力”的要求。對于銀行領域而言,加強自動化決策的部署與應用,既是順應數(shù)字化時代發(fā)展需求的必由之路,也是推動自身實現(xiàn)數(shù)字化轉型的重要一環(huán)。而與新技術應用相伴而生的是新型的技術風險。作為特殊的社會治理領域之一,銀行業(yè)屬于高風險的算法應用領域。尤其是在行業(yè)掌握大量高隱私性、高價值性的個人信息的前提下,銀行自動化決策的應用,對于金融消費者利益、公民基本權利乃至整體金融秩序都可能產生不利影響,因而存在從嚴治理的需求。但在謹慎對待算法風險的同時,客觀審視自動化決策極為必要。自動化決策具有固有優(yōu)勢,如能在銀行領域得以良好運用,將帶來巨大的經濟效益和社會效益。算法治理的最終目的絕不是阻礙自動化決策的應用,而是要推動算法規(guī)范發(fā)展。因此,針對銀行自動化決策的算法治理也不應堅持對抗式的心態(tài),而應注重統(tǒng)籌多元主體,加強多元主體之間的合作,持續(xù)探索技術應用與社會價值、治理效率與公平正義之間的平衡點。