作者简介:谷兆阳,男,河南郑州人,河南省社会科学院中州学刊杂志社编辑,法学博士,研究方向:民法学、数字法学;张建文,男,河南邓州人,西南政法大学民商法学院教授,博士生导师,研究方向:民法学、数字法学。
摘要:我国《个人信息保护法》第7条以及第17条所确立的透明度原则同时面临着确定性与合理性双重困境:纵观欧盟透明度原则的规范演进情势,其已从单纯的信息告知义务过渡到参与性的权利保障机制,但囿于规范语义的模糊性、成本与效能的悖论等原因,透明度原则在实践中摇摆不定,其约束效力既取决于监管机构的裁量偏好,又受制于信息处理者的合规成本,最终瓦解了个人信息保护制度的可预期性。当前,透明度原则代表了一种动态要求,包含了个人信息主体与个人信息控制者之间互动关系的三个层面:个人信息主体获知有关信息、明确所能行使的权利、在必要时行使权利。人工智能时代,透明度原则演化出的延伸功能使其具有算法应用风险的“监管之窗”地位,因而透明度原则的判断标准,应区分其基础功能和延伸功能,从动态与静态两个方面形塑透明度原则发挥基础功能时的判断基准,从算法部署和算法应用两个阶段明确其发挥延伸作用时的检验标准。
关键词:透明度原则;知情同意;检验基准;比例原则;立法表达
一、问题的提出
我国《个人信息保护法》的立法进程映射出数字时代制度建设的内生困境,即如何在有效平衡全球化法律借鉴移植与本土实践的同时防止智能算法引发的新型权益侵害。该法通过第7条透明度原则和第17条透明义务具体规则尝试引入与欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称“GDPR”或《条例》)相类似的透明度框架,但无论是在制度设计还是在制度落地时都面临矛盾。这表现在:一方面,作为欧盟《条例》第12条至第14条所蕴含的有效透明之核心理念并未被立法者和研究者深度阐明,盲目且粗疏的制度借鉴使得“告知—同意”机制日益陷入形式化窠臼;而另一方面,在“微信读书案”中司法实践创造性运用透明度原则认定平台过错,显示出在规范表达与实践创新间的张力,揭示出透明度原则在借鉴过程中可能存在的概念空心化风险。
当前学界对透明度原则的探讨多滞留在知情同意制度的技术修补层面,未能触及该原则所承载的赋权与制衡功能。《条例》通过欧盟数据保护委员会(European Data Protection Board,以下简称EDPB)发布的《透明度指南》(以下简称《指南》)确立的“可理解”“可访问”“及时性”三重检验标准,实为重构个人信息主体与个人信息处理者间力量对比的制度工具。欧盟的执法实践与司法判例已经表明,《条例》中的透明度原则已不分国界地成为一把高悬在个人信息处理者头顶的“达摩克利斯之剑”,在法国国家信息自由委员会以谷歌公司的个人信息处理活动未满足《条例》中的透明度原则为理由之一对其处以5000万欧元的巨额罚款后,波兰数据保护委员会以同样的理由,于2019年3月对一家名为Bisnode的波兰公司处以九十四万波兰兹罗提(约合一百六十万人民币)的罚款。我国执法者亦试图引入高额处罚,但若缺乏对透明度原则的体系化阐释,极易陷入“严格立法、普遍违法、选择执法”的治理困境,并产生阻碍科技创新和产业发展的严重结果。究其根本,个人信息保护的本质并非简单赋权,而在于通过透明度机制重塑信息控制者的义务结构,使《民法典》第1035条与《个人信息保护法》第17条真正形成公私法协同的治理结构,这才是实现信息主体实质性自决的关键路径。
个人信息保护需要在信息主体与信息控制者之间进行利益的平衡与调试,而实现二者利益的平衡最终仰赖的是以《个人信息保护法》为核心的具体制度设计,私法保护理念也需要法律条文才能最终得到贯彻。本文将从解释论角度提出透明度原则应有的意涵并提出遵循透明度原则的检验标准,意在充实现有的理论探讨并为司法实践和公司合规治理提供更进一步的参考。
二、GDPR中透明度原则的核心意涵:以保障个人信息主体知情权为目的
(一)欧盟透明度原则的规范演进:从信息告知到动态义务
1.信息不对称困境与透明度原则的生成逻辑
数字社会的结构性矛盾在于,技术赋权效应是不均衡的,在信息处理者与信息主体间呈现力量强弱的显著差异,算法系统能够实时且迅速地收集用户信息形成画像,而个人信息主体对数据流向和利用的认知却面临着“算法黑箱”的难题。“个人无从知道和控制其个人数据是否被收集、处理和向第三方披露,也不知道其个人数据被用于何种目的”,个人信息掌控的不对称性问题日益突出。“一面是越来越透明的个人,普通公众各种信息被收集和了解的情况甚至超过了其本人;另一面则是越来越幽暗的数据掌控者,普通公众基本无从知道自己在多大程度、多少数量上的个人数据和信息已被他人掌控。”这种权力失衡导致普通民众沦为近乎透明的个体,而个人信息处理者却在多重数据壁垒中构建起监控资本主义体系。甚至在以劳动关系为代表的某些领域,透明度的缺乏严重阻碍准确界定算法手段公平与公正的可能,给包括劳动者在内的众多个人信息主体权利保护带来了严峻挑战。
正是这种信息权力的极端不对称性,催生了《条例》透明度原则的制度设计,其本质是通过立法的方式重构信息关系与权力地位,“对处于强势的信息处理者的处理行为予以限制,”将传统隐私权保护模式从事后的消极防御转向事前的积极制衡。因此有学者提出,《个人信息保护法》“不是逻辑的产物,不是经验的产物,也不是现代社会共同的感情需要,而是当地社会的焦虑和理想主义的产物(the product of local social anxieties and local ideals.)”。《条例》中的透明度原则正是为了缓解因信息不对称所导致的隐私与个人信息保护问题而诞生的。
2.透明度原则的发展与演变
欧盟个人数据保护立法经过了以1981年签订的《关于个人数据自动化处理的个人保护公约》(以下简称《108公约》)为第一阶段、以1995年欧盟颁布的《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》(以下简称《95指令》)为第二阶段、以2018年生效的GDPR为第三阶段的立法进程。第一阶段是萌芽期,以《108公约》的隐性义务为代表。1981年《108公约》虽未明确透明度原则,但其第8条(a)款已蕴含告知义务的雏形。该条款要求数据处理者向主体披露档案的存在、主要目的及控制者身份,实则确立了数据可见性(Data Visibility)的最低标准。这种碎片化规定源于当时机械自动化处理的技术局限,尚未形成体系化的透明理念。第二阶段是发展期,以《95指令》的双轨建构为特征。1995年《95指令》通过第10-11条实现制度突破:首次区分直接收集与非直接收集场景下的告知义务,并创设豁免条款。这种场景化分层设计标志着透明度原则从抽象理念转向操作规范,但其仍受限于静态告知模式——义务履行止步于数据处理启动阶段,缺乏全周期动态披露要求。第三阶段是成熟期,以GDPR的体系化革新为主要表现。2012年的GDPR草案在说明中明确表示,透明度原则的灵感主要来自于《关于保护个人数据和隐私的国际标准的马德里决议》(以下简称《马德里决议》)。该决议中列出了六项个人数据与隐私保护的基本原则,其中第五项“公开原则”规定了数据处理的负责人在个人数据方面需要制定透明的政策以及负责人在不同情形下对数据主体的信息提供义务内容、义务履行方式等,并规定如果通过在线方式收集个人数据时,可通过包含了所有信息的、易于访问和识别的政策来满足该原则的要求。GDPR将透明度与问责制、比例原则并列,构建了三位一体的保护框架。经过2014—2015年的立法博弈,最终文本通过三项制度进一步完善了透明度原则的要求:第一,义务结构的重构,新文本拆解第14条与14a条分别规制直接/间接的个人信息收集场景,形成了更加完整的告知体系(内容涵盖主体身份、处理目的、数据类别、权利行使路径等);第二,动态披露要求,增设“重大变更实时告知”义务(Art.13(3)),突破既往单次告知的局限,将透明度涵盖至个人信息处理的全周期;第三,可及性标准,确立“清晰易懂、易于访问、可视化呈现”的技术要求,有助于通过增强信息主体的知情能力来实现同意的有效性。这种演进路径表明,欧盟立法者已超越单纯的信息披露义务设定,转向通过透明度机制构建持续性信任关系——要求处理者在数据生命周期各阶段保持最基本的“可解释性”(Explainability)与“可审计性”(Auditability)。第四阶段为应用期,主要体现在欧盟《人工智能法案》的进一步发展中。为了使欧盟地区人工智能产业保持良性发展,该法案围绕人工智能研发者和部署者首次建立人工智能四阶风险与透明度对应的规则,并创造性地规定了设计研发者的透明度义务,从发展趋势来看,对人工智能的监管日益从技术透明度要求迈向算法的民主型要求。整体而言,该法案标志着人工智能治理从黑箱监管转向“玻璃箱”治理,其核心在于通过技术性透明重塑数字契约关系。
(二)透明度原则的功能定位:从程序工具到参与机制
1.规范内核:信息权力的再平衡机制
《条例》在其“鉴于条款”第58—60条通过“易于获取、清晰易懂、持续可见”(concise, easily accessible and easy to understand)的三重标准,构建了数据处理的动态披露要求。相较于传统知情同意制度,该原则的创新性体现在:第一,义务的持续性。《条例》第13—14条要求控制者在数据收集处理的全周期节点履行告知义务。实际上,《条例》中的透明度原则,只是“告知—同意”制度的一部分,“告知”不仅涵盖个人信息处理前获取个人同意的阶段,而且要延展至个人信息处理的全过程。第二,场景的适应性。第14(5)条豁免条款并非简单免除义务,而是引入比例原则进行必要性审查(EDPB Guidelines 11/2020)。第三,技术强制性。第12(1)条设定“简洁透明、易于访问”的标准,试图突破纸面隐私政策象征性告知的局限。这种制度设计标志着透明度原则从传统程序性义务进阶为参与性权利保障机制,其目标在于通过信息的强制性对称要求来重构数据收集两端的权力结构。第四,非绝对性。上述义务并不是绝对的,而是需要考虑“企业的规模,数据处理的量级和频次,对业务设定了不同的数据安全要求”,并“考虑现有的技术水平,以避免企业付出不成比例的工作量和成本”。在考虑到某些情形下强制数据控制者提供信息是不现实、不可能、不必要的,或者将对数据控制者施加极大的负担,或者将会阻碍数据处理的目的实现,或者将违反保密法的规定时,GDPR的立法者允许数据控制者不履行或以其他方式遵循透明度原则,例如,GDPR第14条第5款规定,当提供信息被证明是不可能或需要投入过多不必要精力时,且在符合规定的条件下,数据控制者可采取其他适当的措施保护数据主体权利、自由和合法利益,其中就包括将相关信息公之于众。
2.体系价值:权利行使的前置要件
GDPR第三章的结构编排具有深刻的法理意涵:将透明度规定置于信息主体权利章节之首,实质上彰显了“透明先于赋权”的立法逻辑。在欧盟《条例》中,告知个人信息的处理情况本身并不仅仅为了获取同意,而是为了使个人信息主体享有充分知情权的制度设计。这种设计源于物联网时代的数据捕获困境,大量非手机智能终端占据移动通讯设备的半壁江山,形成了新型监控网络。在此背景下,知情权行使必须以数据流向的可视化为前提。就个人信息权的权利体系而言,知情权是重要的权能之一。“公开透明是实现信息自决权的前提,因为不透明便无自由意志可言”。而透明度原则在充分尊重个人自治(自由)的基础上体现出保护人的尊严这一个人信息保护基本目的,成为保障数据主体知情权的重要途径。
总的来说,《个人信息保护法》上的透明度原则“旨在实现信息业者收集和处理个人信息过程的透明化”,核心目的是为了“有利于当事人同意权之行使”,但GDPR中的透明度原则内容更加丰富,其涵盖了信息主体获知与处理个人信息有关的法定事项、信息主体能够与信息控制者就权利行使问题进行沟通以及向信息控制者行使权利三个层面,也就是说,透明度原则是一个动态要求,并非仅仅为了有权处理个人信息而在收集个人信息之前向信息主体发送隐私保护模板并征求其同意的静态“点击”关系。从欧盟《人工智能法案》将技术说明义务进一步细化中可以看到,透明度原则已不再局限为个人信息处理者和部署者的专属义务,对于人工智能系统的开发者而言,也需要遵循面向部署使用者的新型“透明度原则”,欧盟《人工智能法案》“高风险人工智能系统应附有适当数字格式或其他形式的使用说明,其中包括简明、完整、正确和清晰的信息,这些信息对部署者来说是相关的、可获取的和可理解的。”其目的就是为引入和实施算法解释权制度做铺垫,透明度原则则成为破解“算法黑箱”难题的重要制度。
三、透明度原则的检验难题:确定性与合理性的迷失
欧盟《条例》透明度原则的实施困境,本质上是数字时代法律治理结构性矛盾的集中体现。在追求法律确定性与适应技术快速迭代之间,在保障个体权利与维持商业效率之间,立法者始终未能找到稳定的平衡支点。这种制度缺陷导致透明度原则在实践中摇摆不定,其约束效力既取决于监管机构的裁量偏好,又受制于信息处理者的合规成本,最终造成法律预期的可预测性瓦解。乃至有学者认为,尽管“正确认识到‘信任’对于数字经济的重要意义,但它却试图通过赋予个人数据的高度控制权来促进它,但结果却事倍功半,甚至是南辕北辙。”
(一)规范语义的模糊性:法律确定性危机的制度根源
法律的确定性一直以来为人们所追求,正如卡多佐所言,“在一个发达的法律制度中,法律确定性的价值无庸赘言。法律作为一种行动指南,若不为人知或不可能为人所知,则近乎无效。”博登海默也表达了相近的观点,“从社会学角度看,把愈来愈多的、模糊的、极为弹性的、过于宽泛的和不准确的规定引入法律制度(特别是政治性的刑法领域中),无异于对法律的否弃和对某种形式的专制统治的肯定。这种状况必定会增加人们的危险感和不安全感。”《条例》第12(1)条设定的“简洁、透明、易于获取”等标准,在技术哲学层面陷入能指与所指的断裂困境,法国谷歌案暴露了这种模糊性引发的问题。其一,监管机构通过裁量性解释形成实质的立法权,如法国国家信息自由委员会将“易于获取”限缩为“不超过三次点击路径”,这种略带随意性的解释方式,容易导致透明度原则变得更加不稳定;其二,企业实际上已经陷入某种合规猜谜游戏中,不仅需投入超额成本进行制度试错,还会因处理数据的来源涉及多个国家而持续面临不同国家数据保护机构的诘难。这种规范不确定性已经突破卡多佐强调的法律可预见性边界,导致数据合规变得日益困难,相当多的中小企业选择主动退出欧盟市场而不愿承担不可预见的法律风险。在这方面,迟于《条例》颁布的《人工智能法案》作出了相应调整,该法案第13条详细规定了开发者与部署者需要承担的透明度义务的内容、方式以及要求,试图使数据合规具有更加明确的参考依据,但透明度原则的具体而明确的检验标准却迟迟没有涉及。
(二)成本与效能的悖论:经济合理性对个人信息权利保障的消解
波兰Bisnode案揭示了GDPR透明度原则更深层的制度悖论:当法律在实施过程中强制要求绝对化权利保障时,反而可能摧毁市场主体的存续基础。波兰Bisnode公司从公开来源(包括国家法院登记册、商业活动登记册、波兰中央统计局雷根数据库)中以商业目的间接收集并处理了7 594 636份数据主体的个人数据。根据GDPR第14条,间接收集个人数据时,作为数据控制者的Bisnode公司应当根据透明度原则,向所有涉及到的个人根据第14条规定的内容与时间提供有关个人数据处理的所有信息。在其处理的七百多万条个人数据中,该公司通过电子邮件方式遵循GDPR第14条的规定向682 439个掌握了电子邮箱的数据主体履行了信息提供义务,剩余181 142人只有手机号码信息、6 490 226人只有通信地址。该公司认为,如果通过波兰邮局邮寄挂号信(regular mail)的方式履行信息提供义务,那么此类成本就需要33 749 175兹罗提(约合790万欧元),这已经相当于该公司一年的营业额。因此,该公司认为如果使用邮寄的方式履行信息提供义务将会使公司付出“不成比例的努力”,因而通过在其网页上发布隐私政策链接的方式,提供了剩余六百多万人的有关个人数据处理方式的信息。
然而,波兰数据保护办公室却认为,该公司只对处理个人数据的一部分数据主体履行了GDPR第14条所规定的义务,对于剩下没有邮箱地址的,该公司未能遵循透明度原则,在该公司掌握了数据主体通信地址的情况下只是将有关数据处理的情况发布在网站上,不能被认定为充分履行GDPR第14条。波兰数据保护办公室还认为,遵循透明度义务的实质是数据控制者的一项功能性、主动性操作,该公司仅仅因为高额成本便无视其造成的大量个人数据主体的基本权利与自由受到影响,导致他们无法行使修改权、拒绝权等权利,因此该公司违反了GDPR第14条与公平、透明处理个人数据的原则。最终,波兰数据保护办公室要求Bisnode公司在三个月内向未收到第14条规定信息的数据主体提供信息,并承担约合20万欧元左右的罚款。
然而,该公司为履行GDPR第14条告知义务需支付的790万欧元成本,几乎相当于其全年营业额,这种“自杀式合规”要求完全背离比例原则。尽管GDPR第14(5)(b)条设有豁免条款,但监管机构在个案中表现出严苛解释倾向——波兰数据保护局认定“经济成本不能构成豁免理由”,实质上将数据主体知情权绝对化。这种监管逻辑将导致技术开发的创新性降低,反而追求数据最小化处理的规避策略,致使企业效益和创新效能下降,跟不上数字化步伐,甚至可以说,“在《一般数据保护条例》合规障碍影响下,(通过数字技术的)企业的效率提升已然成为一种负担。”此外,透明度原则在具体实施的过程中,其权利实质逐步消解,强制告知义务演变为形式化流程,大多数用户从未认真阅读过数据披露信息。鉴于相关研究成果斐然,对此不予赘述。
(三)解释共同体的缺失:监管碎片化加剧制度危机
实际上,欧盟《条例》透明度原则实施困境的深层原因源于欧盟治理架构的固有缺陷。不同成员国的监管机构对相同条款作出的差异性解释,容易造成透明度原则含义的混乱。例如法国国家信息自由委员会要求用于告知的信息层级不超过三级,荷兰个人数据保护局接受语音告知方式,瑞典数据保护机构则坚持书面告知优先。这种碎片化解释将有可能导致企业合规成本几何级增长,使得跨国企业需为每个成员国定制不同的告知方案,并使司法管辖区之间的监管力度差异化,甚至产生了监管洼地,使得企业倾向于选择在监管宽松成员国设立数据中心。更严峻的是,EDPB虽发布《指南》,但因其软法性质而导致约束力薄弱,例如《指南》第24条的“建议分层披露”表述,在执法实践中还可能被异化为强制性要求,进一步加剧规范不确定性。我国同样面临中小企业的数据合规困境。“模棱两可的法律条款使得其在业务合规过程中面临棘手难题:一方面,如果严格按照《个人信息保护法》的相关要求进行业务合规管理,那么中小企业显然难以负担沉重的合规成本;另一方面,如果仅以‘表面合规’‘敷衍合规’等方式进行业务管理,那么又会导致企业在监管活动中被认定为‘不合规’,招致罚款、停业整顿等行政处罚。”
总的来说,在以不透明算法为核心的数字经济时代,透明度原则遭遇根本性挑战。即便企业完美履行形式化的披露义务,深度学习系统的黑箱特性仍使信息主体陷入“知情但不懂”的困境。谷歌案中,企业虽披露了个性化广告的数据使用范围,但未解释用户画像的生成逻辑与权重分配,这种技术性透明无法满足实质性知情需求。尽管欧盟《人工智能法案》尝试对人工智能技术研发人员施加针对算法本身的解释说明义务,但相对于社会个体而言,仍然不存在深度理解的时间机会。此外,该法案尽管试图通过技术文档披露制度(Art.13)和影响评估条款(Art.29)弥补算法黑箱的缺陷,但这两项制度与GDPR透明度原则的衔接仍存在制度难题,人工智能时代的透明度原则陷入“确定性”与“合理性”的双重困境。
四、透明度原则检验标准的再阐释
无论是欧盟《条例》还是欧盟《人工智能法案》,均对透明度原则寄予厚望或将其作为权利体系和监管体系赖以维系的基础性原则。对此,我国在借鉴和转化时要先明确两个问题,一是从时代发展和国家政策角度考虑,以透明度原则为核心的立法架构能否满足个人信息保护需求并且妥善平衡保护与利用之间的关系;二是结合透明度原则的制度功能,探讨透明度原则在我国法律制度中的功能定位以及实现方式。
(一)透明度原则的功能及其定位
1.透明度原则的基础功能
透明度原则的基础功能指的是自个人数据保护被纳入法律研究的视野以来,为了解决信息不对称问题以及让个人信息主体更好地行使权利,为个人信息处理者设置的一系列告知义务。欧盟《条例》围绕个人信息的“管领和控制”以及个人信息权益的保护,诞生了诸多个人信息权益或权利,我国也同样如此,由于“个人信息在《民法典》中被确认为一种人格法益,在理论和立法上确立了我国个人信息的私法保护面向。个人权益保护成为构建和理解个人信息保护的重要维度和线索”,而权益保护路径的实现逻辑就是先要明确权利主体、权利内容以及相关权利应当向谁主张等问题,透明度原则承担的任务就是在权益保护路径下,在物理层面让个人信息主体获知可以向谁,针对何种个人信息的何种收集处理方式,主张何种权利。可以说,透明度原则在实践中的遵从程度代表了个人信息私权保护路径的实现程度。
2.透明度原则的延伸功能:算法可解释性的另一种表达方式
算法技术的飞速发展和快速部署,导致个人信息的处理由大数据时代依赖统计分析的处理模式转向算法社会中更为复杂且对个人信息权益影响更大的决策导向型处理模式,“增加了决策权力的封闭性和秘密性”,透明度原则由此具有了新的内涵与作用。
第一,由于大数据时代采用以全量采集和关联分析为核心的处理模式,注重数据量的积累与统计学关联,突显处理过程具有后验性特征,而算法社会转向以算法建模和预测控制为核心的新范式,旨在通过机器学习构建动态决策模型,其处理过程更注重辅助未来决策,导致个人信息处理范式发生转变,包括数据价值的利用场景迁移和利用逻辑转向以及个人信息决策主体的迁移,使得个人信息收集处理的场景产生了由“可解释”向“不可解释”的转化。
第二,当前在个人信息主体和个人信息处理者之间所存在的不仅仅是“信息鸿沟”,更是一种“解释鸿沟”,如果说大数据分析的结论可以通过对收集规则的解释向个人信息主体告知说明,那么深度神经网络的决策路径由于具有不可逆性,产生算法黑箱,导致个人信息主体无法追溯数据的收集和处理原理,使得透明度原则无法安于“告知义务”的原本内涵,而应向“告知解释”义务迈进。由此,透明度原则根据个人信息收集处理的场景与目的之不同而具有了三重功能。
3.透明度原则的功能定位
通过上述分析,透明度原则应当具备的功能应定位于以下三个方面:
一是个人信息收集处理之程序正义的基石地位。在数字社会的权力结构中,透明度原则已突破传统知情同意框架,演化为连接信息控制者法定义务与信息主体实质参与的枢纽机制。透明度原则作为信息处理活动的程序性规则,要求个人信息处理者符合数据处理全周期的可审计性要求,侧重面向合规审计功能,只不过这种审计与新近提出的有关人工智能算法的审计存在区别,它更多的是一种程序性和实体性并存的合规要求。
二是算法应用风险监管的“监管之窗”地位。“透明度要求的提出以人工智能系统不透明现象的存在为前提,且这一不透明构成了对健康、安全和基本权利等受保护利益的现实威胁。”鉴于人工智能应用引发的诸多风险及其黑箱属性,欧盟《人工智能法案》通过第四章专章规定了特定人工智能系统的提供者和部署者的透明度义务,例如高风险人工智能系统的设计和开发应确保其操作具有足够的透明度,使部署者能够解释系统的输出并加以适当使用,又如情感识别系统或生物特征分类系统的部署者应将该系统的运行情况告知接触该系统的自然人,并以合法方式处理个人数据。我国《生成式人工智能服务管理暂行办法》亦有类似规定,例如第4条要求提供生成式人工智能服务时,应当基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度;第19条规定,有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助。
三是个人信息与算法侵权救济的认知基础地位。对算法逻辑构造和基本原理的披露与掌握是算法侵权救济的首要步骤,司法实践中,“许某某与杭州某软件服务公司网络服务合同纠纷案”一审法院指出,“平台行使算法权力应当公开透明,事先披露治理机制、管理规则以及相关技术原理。在平台自治过程中,用户有权对自动化决策提出质疑和申诉,进一步知晓算法逻辑构造。”此功能实际上是功能二的变体或延伸,“人们期待算法透明可以弥补这种信息不对等和权力 /权利关系的失衡,即通过‘看透’(see through)算法的运作逻辑加强过程控制,或者通过‘解释’算法决策实现理由控制”。
(二)以比例原则为核心的检验标准重构
鉴于透明度原则具有三重不同的功能,应当根据个人信息收集处理的场景、处理手段和目的的不同,对透明度原则遵循的检验标准根据其发挥的功能不同而分别讨论。下面结合比例原则,根据功能的分类进行类型化阐述。
1.以比例原则为核心重构检验标准的正当性
比例原则的核心含义可以简化为“不可小题大做”“不可捡了芝麻丢了西瓜”,体现在透明度原则的立法设计中,就是不能为了实现个人信息处理的透明化而要求信息处理者承担难以负担的义务,同时也不能因此过分克减信息主体的权利,实现个人信息尊严和自由价值、商业价值以及公共管理价值的平衡。为了实现上述目标,需要妥善处理透明度原则的检验标准以及豁免情形。例如,在上文所提到的谷歌案中,法国CNIL对谷歌公司处以高额罚款的依据是其履行透明原则的信息提供架构使相应信息“不易被获取”,用户需要点击三至四次才能找到相关内容,因而不满足透明度原则的要求。上述义务未免不够清晰且过于严苛。为避免向信息业者施加过于繁重的负担,在设计透明度原则的检验标准时,应考虑到立法语言的准确性并针对不同的应用场景设置不同的履行标准。又如,在上文参引的Bisonde案中,豁免条款的适用显得异常严格,为了满足透明度原则的要求几乎牺牲了该公司一年的营业利润,并没有妥善平衡个人信息权保护与信息业者的利益,“在信息社会,信息业者对个人信息收集和利用的正当性已经得到立法和社会的普遍承认,促进个人信息的合理利用与保护是同等重要的立法追求”,对个人信息的妥善保护绝不能顾此而失彼。尽管Bionde公司案更多体现的是实施GDPR在执法中存在的问题,但也正如学者所指出的,GDPR为个人信息保护设置了大量的预防措施,却并没有为数据控制者设定清晰的责任标准,未能使其知晓何种风险以及所对应的何种责任,与传统立法中以特定禁止规定对应特定责任的做法相违背,造成数据控制者使用数据的风险被无限扩大的局面。
本文提出,基于四要素比例原则构建的检验体系,可有效破解透明度原则实施中的价值冲突。就目的正当性审查而言,信息处理活动的透明度要求必须服务于《个人信息保护法》第1条确立的“规范个人信息处理活动,促进个人信息合理利用”的立法目的。例如在政务数据共享场景中,为实现疫情防控所需的透明度提升具有正当性,而商业画像中的同类要求则需受更严格限制。就适当性判断而言,个人信息处理者采取的措施须有助于实现透明度目标,如生物识别信息的披露要求采用可视化热力图来展示数据流向,比传统文本告知更具实效性;就必要性检验而言,在多种合规方案中应选择对信息业者权益损害最小的方式,对于小微企业可允许采用多样化告知方案,降低合规成本;就均衡性原则而言,应衡量透明度提升带来的权益增益与合规成本的关系,当数据处理涉及重大公共利益时(如为流行病学研究而处理患者个人信息),可适当放宽告知精度和密度的要求,以更好地促进个人信息处理目标的实现。
2.当透明度原则发挥基础作用时的检验标准
鉴于透明度原则的立法目的已不单是向信息主体提供与数据处理有关的信息,或许在数字时代“便于信息主体行使权利的功能性价值”作为透明度原则核心内涵具有更加现实的意义。因此,在对个人信息控制者是否履行透明度义务进行调查时,所遵循的检验标准不应当只是审核静态的隐私条款的内容是否充分、易懂,而应当转向信息主体是否能够与信息控制者便捷地沟通并行使相应的权利。为此,笔者认为应当建立透明度检验的动态标准和静态检验标准,即以“信息主体随时随地能够了解有关其个人信息处理情况并行使权利”作为动态衡量基准,以语义底线和内容底线作为静态检验标准。
(1)动态检验标准:权利行使的可及性
动态检验标准主要针对的并非获取信息主体“同意”时,信息业者通过各种方式——例如弹窗、分层提供信息——告知信息主体相关信息以获取同意,而主要针对的是在收集个人信息后,个人信息主体是否有了解有关其个人信息被如何处理的渠道。这不仅符合数字时代个人与信息业者实力差距逐渐拉大的现实,同时也回应了个人信息处理日益不透明的趋势,因而符合比例原则中的目的适当性原则。
那么动态检验标准应如何实现呢?第一,应引入“通过设计的个人信息保护”理念,将透明度原则的要求融入数据控制者的操作系统中,“成为系统的核心组成部分”。例如,经济合作与发展组织、欧盟、美国等国家和地区在其立法中对信息控制者施加通过设计的隐私保护义务,从事前防范而非事后救济的角度保障个人信息安全,这种保护机制不仅更具效率,也更具有可实施性。具体到透明度原则而言,就是要在法律表达中体现出对“通过设计的个人信息保护”理念,例如《条例》第25条将“通过设计的个人信息保护”与“通过默认的个人信息保护”相结合,要求数据控制者将必要的保障措施融入数据处理的过程中,并在默认的情况下个人信息无法被除该个人信息主体之外的其他人所访问。我国《个人信息保护法》可以借鉴此种规制模式,在第17条增加要求数据控制者在设计其系统时预先提供信息主体访问其个人信息被处理情况的技术路径,以实现“将个人信息保护嵌入技术、商业准则和物理存在的基础设施的设计标准中并加以保护”的目标,例如在信息系统架构层面预设透明度功能模块,要求个人信息控制者通过数字管理面板(Dashboard)的强制部署使用户可实时查看数据流向图谱,或者通过部署智能解释系统,利用自然语言处理技术自动生成数据处理说明等。
第二,尽管透明度原则的履行情况在很大程度上决定了个人信息权利行使的难易度和效果,但“透明度原则的实现应考虑现有的客观技术条件,义务主体是否普遍具有履行能力”,透明度原则本身不应当成为压垮企业合规负担的“最后一根稻草”。在告知义务的履行层面,应当根据处理场景的风险等级实施差异化透明度要求,在个人信息处理的高风险场景(如医疗健康数据处理)中,个人信息处理者需履行实时动态披露义务并采用增强型告知方式(交互式可视化);在中风险场景中应采用定期批量披露个人信息处理情况的方式,配置便捷的权利行使通道;在低风险场景中则可以适度简化告知内容,允许个人信息处理者采用聚合告知模式以降低成本。
(2)静态检验标准:告知质量的基准线
静态检验标准可以概括为两个底线,一是语义底线,二是内容底线,主要包括三方面:第一,告知的内容是否满足内容的充分性要求。例如在“微信读书案”中法院认为,“两处‘好友’更容易让一般用户想到是微信读书软件内的好友,而难以联想到注册微信读书即可在没有微信读书好友关系的情况下,将微信好友关系迁移到微信读书”,这并不满足“透明度”原则;第二,告知的内容是否满足内容的准确性要求;第三,告知的内容是否满足内容的精确性要求。精确性要求体现为在告知信息时所使用的语句应当只存在一种理解,即用语不得是模糊的、存在歧义的,例如在“微信读书案”中,法院认为“腾讯公司并未在微信读书、微信中向用户明示两个软件的运营主体均为腾讯计算机公司,而是在协议中均模糊、概括地写为‘腾讯公司’……信息处理者应就信息处理的主体、处理方式向信息主体明确告知”,简单地使用“腾讯公司”这样模糊的用语显然不满足精确性要求。
静态合规标准的检验同样需要符合比例原则,对告知义务内容是否符合我国《个人信息保护法》第17条中“清晰易懂的语言”的要求可以根据“动态适应性透明”标准进行检验,即根据个人信息主体的认知水平(技术素养)、个人信息处理场景、个人信息处理风险等级三个变量动态调整解释维度。首先,个人信息控制者在履行告知义务时应保证其内容具有充分性,根据“场景—信息”的匹配性要求,个人信息控制者需要其披露内容覆盖数据处理的关键维度,例如在精准营销场景中,必须披露用户画像的生成逻辑、特征权重及影响评估结果。其次,告知内容应当在表述层面具有精确性,企业应根据法律术语与技术概念的对照词库进行语义转换,如将“协同过滤算法”转化为“基于相似用户偏好推荐商品”的通俗表述。最后,告知形式应具有适恰性,个人信息控制者应根据用户认知特征设计差异化的告知方案,比如个人信息处理涉及青少年群体的可以采用互动式的动画界面告知,涉及老年人群体的可以采用语音播报式告知。
3.当透明度原则发挥延伸作用时的检验标准
就内容而言,算法透明度的制度意涵具有双重维度:既需满足普通用户的知情权,又要保障专业机构的监督权,因此透明度的检验也需要面向监管机构和普通用户。它既包括技术解释,也包括决策说明,二者并不冲突。有学者提出,由于算法解释本身的技术局限和难以为社会公众形成统一的“人格化标准”,因此应当跳出“赋权模式”和“监管模式”的窠臼,转向以提升公众信任为制度目标的新型透明机制。当前持此观点的学者不在少数,认为应当“倡导算法透明度的‘关系’转向,由传统静态的基于信息的算法透明度模式迈向动态的基于关系的算法透明度模式”。本文认为无论是基于信任还是基于“关系”,透明度原则实现程度的检验标准都基于其本身的内在价值和工具价值的满足程度,其本身就内在地包含了个人信息处理者与个人信息主体的“交互”与“信任”,在讨论检验标准时二者并不矛盾。
算法透明度的检验标准较之个人信息一般处理之情形更具复杂性,而复杂性的主要来源则是处理场景的价值融合性、处理方式的空间侵入性以及处理目标的结果导向性。无论是赋权模式、监管模式还是以信任为目标的新型透明机制,都需要在具体场景中对算法部署进行必要性评估、对算法风险的侵入性进行判断以及评估算法结果对人可能造成的不利影响,包括造成不利影响后是否存在主张异议和进行救济的渠道。因此,算法透明度的评估标准应当包括两个层次:
一是,算法技术部署阶段的透明度,主要体现在算法部署的必要性评估程序中。我国《个人信息保护法》第55条规定,利用个人信息进行自动化决策的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,但这种评估属于自评估,其本身的可信赖性和权威性存在疑问。我国随后颁布的《互联网信息服务算法推荐管理规定》则进一步提出了由网信部门等国家机关履行的外部评估程序,但该程序没有详细规定评估的具体方式和标准。本文认为,在部署阶段所披露的内容应当具有全面性、真实性和客观性,尽管立法者不要求公众能够“看穿”算法,但这并不意味着在监管者面前算法部署者仍然享有较高的裁量自由,为了实现算法评估的部署初衷,算法提供者应当提供原始的(raw)、详细的(detailed)和接近源头的(closetothesource)资料和信息。
二是,算法技术应用阶段的透明度,这事关社会公众到底有没有权利“看穿”算法,即算法的透明是等同于一般公众的可理解,还是仅需满足对特定行业专家的可理解?本文认为,应当结合算法技术应用的具体场景并综合考虑算法部署的作用、目的、对当事人的影响大小而定。我国《个人信息保护法》第24条明确规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明。此时的说明义务就需要实现从符号语言向自然语言的转化,借助举例、比喻等修辞方式的帮助,让当事人能够理解算法决策的逻辑并据此选择权利救济渠道。值得一提的是,算法透明度并非需要绝对保护的价值类型,应根据算法应用场景要求个人信息控制者提供差异化的解释深度,在“商业秘密保护”与“公众知情权”间实现动态平衡。在首例涉生成式人工智能平台侵害信息网络传播权案二审判决书中,法官指出,“若严格要求服务提供者对用户输入端的每一份数据进行逐一审查和验证,既不具有可行性,也与其法律属性不相适应,无疑会加重开发监管负担,势必阻碍生成式人工智能的发展,因此服务提供者的注意义务应当与其身份及信息管理能力相适应”。对于算法技术应用的透明度而言也是如此,并不一定需要通过披露源代码的方式实现透明度,在方式上可以借助一定的技术机制实现透明,“获得算法透明度报告的主体不一定了解算法设计的内在逻辑和原理,但能清楚获知与自身相关的元素对于算法决策产生了何种影响。”
结语
“在大数据时代,个人信息保护权已经成为一项重要的基本权利。”在数字社会权力结构深度重构的背景下,个人信息保护的“玻璃箱”治理转向意味着透明度原则应实现从静态告知义务迈向动态参与机制的制度革新。本文通过梳理欧盟GDPR中透明度原则的规范演进与实践困境,揭示了其从信息告知工具转向权利制衡机制的内在逻辑,这构成了透明度原则新的内核。由于人工智能时代的算法黑箱现象及数据权力的结构性失衡困境,透明度原则未来应继续向可解释、可审计方向延展,使其进一步成为破解技术不透明性与重构数字信任的核心制度工具。
就我国而言,《个人信息保护法》借鉴欧盟经验引入了透明度原则,因此同样面临规范语义模糊、合规成本较高等现实挑战,破解这一困境的关键在于从根本上明确透明度原则的检验标准,以动态的适应性检验标准替代僵化的合规要求,此乃本文的努力方向。诚然,通过区分基础功能与延伸功能,构建差异化的透明度检验体系或许能够在基础功能层面与延伸功能层面部分实现透明度原则的检验,但未来我国势必随着人工智能技术发展而迭代出更多的场景,不同场景之间存在信息流动方式的差异、主导性价值观念的不同等诸多制约因素,仍然需要深入具体场景,探索更契合场景的透明度检验标准,此乃本文未企及之处,构成了本文的遗憾所在。未来,唯有在保障个人信息自决权与促进数据价值释放间寻求动态平衡,方能在“玻璃箱”治理框架下实现数字社会的良法善治。
因篇幅限制,已省略注释及参考文献。
引注:谷兆阳、张建文:《个人信息保护的“玻璃箱”治理转向:透明度原则的核心意涵与检验标准》,载《河北法学》2026年第2期,第140页-158页。
