映象新闻

国家保障国有经济的巩固和发展。

在卢梭看来，公意可以通过社会契约而形成。这就使密尔（John Stuart Mill）提出的多数人暴政的问题格外令人惊心。

卢梭、康德的理论假设中国家形成之前及其之后的个人与个人是相互之间无差别的、同质的人，是没有财富拥有、血缘出身、社会地位、文化背景、认知能力等要素差别的人，也就是不存在利益矛盾、意愿冲突的人。第二种意义上的权利们（rights）是指一个一个具体的、个别的权利构成的权利们。所以，本能自由不能等同于权利。所以，休谟在18世纪后期强烈主张，只有在人们缔结了戒取他人所有物的协议，并且每个人都获得了所有物的稳定以后，才立刻发生正义和非义观念，才发生财产权、权利和义务的观念。也就是说，卢梭的公意是以人们结成一个共同体——这个共同体既可以称之为人民，也可以称之为城邦、国家等名称——为前提。

奥卡姆加入辩论战团，站在方济各会一边对教皇约翰二十二世的主张加以反驳。只有在人们联合成为国家，通过公共的立法机关制订的法规表现出联合的共同意志之后，只有在国家代表公共意志对个人占有物加以承认、以公共力量对其加以保护时，才有真正意义上的权利—个人对物的所有权。公共决策仍旧可以畅行无阻地适用算法，其可能遭遇的障碍只有信息主体事后的免受自动化决策约束权。

但如果算法预测只是风险识别，并不会针对个人作出直接具有法效性的决定，其适用界限应适度放宽。其具体展开会针对新兴技术而予以调整，但核心要素却仍旧与传统正当程序一致。[22]王苑：《完全自动化决策拒绝权之正当性及其实现路径——以〈个人信息保护法〉第24条第3款为中心》，载《法学家》2022年第5期，第84页。[57]这两部法案都首先将算法影响评估适用于公共决策，其目标正在于化解算法适用于公共决策的治理难题。

德国法中的法律规范就不仅限于法律，还包括法规命令、自治规章等。[38]这种分级保护体制决定将公共决策权是否委于算法的考虑因素大致有两项：其一是自动化决策所影响的当事人的权利类型。

但从条文表述看，要求说明的前提与免受自动化决策约束权一样，都是数据处理者已通过自动化决策的方式作出对个人权益有重大影响的决定，这也意味着，此处的要求说明并非数据主体事前的知情权和拒绝权，并无法保障数据主体在自动化决策布控前就获取必要信息、建立合理预期，甚至拒绝决策行为。也因此，亦有国家是从算法决策可能引发的风险以及风险的可控性出发，结合具体场景适用分级保护和监管的模式。算法预测是算法根据过去的数据来预测个人未来的行为，并根据预测结果允许或剥夺个体的行为选择。这一点作为法律保留的加重事由同样旨在贯彻风险分配原则：数据处理者和算法适用者作为风险创设者应被科以更多的风险预防责任，由此才能确保各方主体的获益大小与风险承担之间的合比例性。

[40]在此，我们能够发现卢米斯案提炼出的算法适用于刑事司法这类特殊公共决策的首要实体边界：若某项公共决策涉及利益冲突和价值判断，就不能全部交由算法处理。[17]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第223页。但这一原则历经嬗变同样纳入了民主主义的因子：即使某些事项不能被理解为对个体权利的侵害，若攸关公共福祉，同样应有法律保留的适用。这就说明我国在个人信息保护问题上适用的是国家机关与其他信息处理者同等对待，原则上适用同一法律框架的一体调整模式。

第24条作为自动化决策的核心规范，共有三款，其中可直接适用于公共机构的有两款：其一，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正。我国行政处罚法、行政强制法亦将涉及人身自由的处罚和强制措施的创设权保留给法律。

但是，即使是无法得出确定无疑的边界，借由域外经验大致确定考虑边界时应权衡的因素，仍旧是可行且有益的，它至少可为确定算法能否适用于公共决策提供评判标准和思考框架。[35]鉴于公权机关将决策权拱手让与算法可能导致的法治被架空、权利受克减，个人主体性被蚕食的巨大风险，对于公共决策完全的算法化不仅要有法律的授权依据，对于授权所追求的目的、满足的前提和使用的方式，法律也应予详尽规定，即加重的法律保留应该成为具体立法的首要选择。

[7]张恩典：《论行政自动化算法决策的正当程序控制》，载《私法》2021年第2期，第169页。但后者认为人类智慧不仅在于得出问题解决的结果，还在于决定解决路径，即问题是通过某种创造性方式还是只是通过惯常方式解决，而这点在弱人工智能观念看来是机器难以习得的。在法律之外，同样允许行政法规进行授权，可说是对法律保留中的法律作了扩张处理。虽然只是提供了底线保护，但侵害保留既已明确规定于相关法律中，就不能因为公共机构行使权力的方式由人工替换为机器就擅自豁免。《个人信息保护法》将处理个人信息的合法性依据扩展到行政法规，却未再授予地方性法规、规章等更下位的规范，其目的也是为防御现实中行政机关以决策方式的更替为庇护，擅自突破界限而自我赋权。其关键就在于，算法公开、反算法歧视甚至个人的数据赋权，都是内嵌在针对算法的正当程序中。

[25]既然告知同意不再能对公权机关的数据收集和处理行为发挥核心调控作用，就同样说明，以其为思路衍生出的对当事人的全周期数据赋权，尤其是允许其事先知情和拒绝的做法，并无法有效规制公共机构的算法决策。[41]除了机器能力的有限外，将价值判断作为适用禁区更深层的考虑还在于：它会引发不负责任的法律适用。

其三，如果再对照此前《个人信息保护法（草案）》会发现，本条其实还隐含了另一项行权前提。来源：《比较法研究》2023年第2期。

此外，这种要求还会诱导算法控制者为规避该条款的适用而采用形式上的人工干预或伪造出人工干预的痕迹。（二）算法决策对传统法治的突破传统法治用以约束公权力的主要方式在于权限控制、程序控制和后果控制，即事前、事中和事后的法律控制。

但这种秒审批方式是否可推广至所有行政审批事项却需要斟酌。[37]Hartmut Maurer, Staatsrecht, C.H.Beck 1999, S.285.[38]郑智航：《平衡论视角下个人免受自动化决策的法律保护》，载《政法论坛》2022年第4期，第99页。[20]但这种内嵌于正当程序中的算法规制本质上仍旧是针对算法的程序性控制。其过程难免会忽略其他众多社会、文化及偶然性因素，并犯下以实然推断应然，以过去判断未来的谬误。

[19]丁晓东：《论算法的法律规制》，载《中国社会科学》2020年第12期，第138—140页。其次，本条虽然规定了个人免受自动化决策约束权，但个人有权拒绝的究竟只是个人信息处理者仅通过自动化决策的方式作出决定还是自动化决策的结果，条文同样语焉不详。

这种放宽处理的立场同样体现在我国个人信息保护法中。[54]由此，经由算法的犯罪预防如何在公益性和政府权力滥用的危险性间权衡，也是未来亟需化解的难题。

例如我国2021年修订后的行政处罚法第41条在规定行政机关利用电子技术监控设备时，也未将事先获得公众同意作为要件，其适用前提只是依照法律、行政法规规定、经过法制和技术审核。这一点又与《个人信息保护法》一贯的规范模式有关。

[53]张凌寒：《算法权力的兴起、异化及法律规制》，载《法商研究》2019年第4期，第73页。[35]Reinhold Zippelius, Allgemiene Staatslehre, C.H.Beck,15. Aufl.,2000, S.301.[36]劳东燕：《人脸识别第一案判决的法理分析》，载《环球法律评论》2022年第1期，第159页。[27]王贵松：《行政活动法律保留的结构变迁》，载《中国法学》2021年第1期，第124页。GDPR沿袭并完善了DPD的规范模式：（1）数据主体有权拒绝仅基于自动化决策作出的、对其产生法律效果或类似重大影响的决定。

其从个人或集体的权利，个人或集体的健康和舒适，个人、实体或集体的经济利益、生态系统的可持续性四个维度将自动化决策分为四个等级：一级自动化决策通常会对上述因素产生可逆且短暂的影响。[29]Johannes Erichenhofer, Der vollautomatisierte Verwaltungsakt zwischen Eiffizienz- und Rechtsschutzgebot, DOEV,2023(1), S.95.[30]Johannes Erichenhofer, Der vollautomatisierte Verwaltungsakt zwischen Eiffizienz- und Rechtsschutzgebot, DOEV,2023(1), S.98.[31]Leonid Guggenberger, Einsatz künslicher Intelligenz in der Verwaltung, NVwZ 2019, S.845.[32]Johannes Erichenhofer, Der vollautomatisierte Verwaltungsakt zwischen Eiffizienz- und Rechtsschutzgebot, DOEV,2023(1), S.101.[33]Berger, Der automatisierte Verwaltungsakt. Zu den Anforderungen an eine automatisierte Verwaltungsentscheidung an Beispiel des§35a VwVfG, NVwZ 2018, S.1260.[34]王贵松：《行政活动法律保留的结构变迁》，载《中国法学》2021年第1期，第138页。

[22]但是，即便参照GDPR赋予了数据主体一种全周期和成体系的个人算法权利体系，在应对算法决策时还是会出现重大遗漏。其二，决策是由数据控制者所应遵守的欧盟或成员国法律授权的，该法律提供了保护数据主体权利、自由和合法权益的适当措施。

例如算法公开和反算法歧视主要借助数据处理者在决策过程中的算法解释达成，个人数据赋权也是赋予个人在算法决策全过程中的知情、表达、提出异议以及要求人工干预等数据权利来确保算法的程序正义。这就可能使评估会因执行保障机制不足而无法发挥事先防御的功能。