在算法时代,自动化分析和各种形式的评分可能会变得更加普遍,人们的日常生活也受到了此类自动化决策的深刻影响,其中尤为突出的是个人信用评分服务。个人信用评分较低的消费者可能寸步难行:他们没有办法获得银行贷款,无法租赁房屋,也不能在购物中选择分期付款。
终于,在自动化决策技术问世几十年后,数据主体免受自动化决策约束权案件在欧洲法院首次得到审议。今年初,欧洲法院第一分庭就OQ诉德国黑森州一案举行了听证会,欧洲法院对本案的裁决有望于今年9月至12月之间作出。此案被称为欧洲法院关于自动化决策的具有里程碑意义的首个案件。
征信机构的个人信用自动化评分被起诉
本案是原告OQ(数据主体)针对SCHUFA(德国通用信用权益保护协会)对其做出的个人信用评分提起的诉讼。SCHUFA是一家德国私人征信机构,旨在通过数学统计方法,基于一个人的某些特征来预测其未来的行为,为其客户提供个人信用评分。
SCHUFA在向其第三方客户提供OQ的信用评分后,OQ被拒绝授信。因此,OQ要求SCHUFA向她提供SCHUFA存储其数据的有关信息,并删除那些她认为不正确的数据。随后,SCHUFA通知OQ她的信用评分是85.96%,并大致介绍了得出该评分的主要计算过程。但是,SCHUFA并没有透露哪些信息被纳入计算范围及其所占的权重。SCHUFA称,出于商业与行业秘密的保护,SCHUFA没有义务透露此类具体计算方法。此外,SCHUFA还强调,它只向其客户提供了评分信息,而不是是否授信的最终决定。
2018年10月18日,OQ向被告黑森州的数据保护和信息自由专员(HBDI)提出投诉,要求HBDI命令SCHUFA允许她访问和删除SCHUFA存储的其个人信用数据。OQ认为,SCHUFA有义务披露其计算个人信用评分的具体方法以及其数据处理的意义和结果。HBDI拒绝对SCHUFA采取进一步行动,因为HBDI认为,SCHUFA对信用评分的计算符合德国联邦《数据保护法》第31条的具体要求。
最终,威斯巴登行政法院中止了OQ提起的行政诉讼,并将此问题提交给欧洲法院进行初步裁决。
GDPR(欧盟《通用数据保护条例》)第22条(自动化决策)第1款规定,数据主体有权反对完全基于自动化处理(包括用户画像)对其做出的决策。
本案围绕此条款所产生的争议展开。
GDPR是否对自动化决策作出禁止性规定
本案争议核心,是对GDPR第22条(自动化决策)第1款的理解。GDPR第22条(自动化决策)规定:
1.数据主体有权反对此类决策:完全依靠自动化处理(包括绘制用户画像)对数据主体做出具有法律影响或类似严重影响的决策。
2.当决策存在如下情形时,第1款不适用:(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的;(b)当决策是欧盟或成员国的法律所授权的,控制者是决策的主体,并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益;(c)当决策建立在数据主体的明确同意基础之上。
3.在第2段所规定的(a)和(c)点的情形中,数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。
4.第2段所规定的决策的基础不适用于本法第9(1)条所规定的特定类型的个人数据,除非符合第9(2)条(a)点或(g)点的规定,并且已经采取了保护数据主体权利、自由与正当利益的措施。
要适用GDPR第22条第1款,必须同时满足以下三个要求:1、已作出决策;2、决策制定完全基于自动化处理或分析;3、对数据主体具有法律效力或类似的重大效力。
在口头听证会中,法院主要提问并探讨了关于“决策”一词的概念外延和第22条第1款的性质。
听证会中欧洲法院的提问及各方的回答
从听证会法官的评论和提问中,我们发现,欧洲法院似乎倾向于对“决策”进行较为宽泛的解释,“决策”包括信用评分这类预备决策行为,将第22条第1款解释为对自动化决策的禁止性规定。
GDPR第22条的性质:是一项对自动化决策的禁令吗?
GDPR第22条第1款的性质一直争论不休。关键问题在于,该条款是否包含原则上禁止自动化决策的规定。这一观点得到了欧洲数据保护委员会(EuropeanDataProtectionBoard)的支持,即第22条第1款规定了对自动化决策原则上的禁止,但要遵守第2款中的例外情况。欧洲法院法官ThomasvonDanwitz在听证会上的评论及提问表明,他似乎也将倾向于将GDPR第22条第1款解释为对自动化决策原则上的禁止。在听证会期间,没有任何一方反对这一观点,这表明双方在此达成共识。或许在将来,欧洲法院也会正式将GDPR第22条第1款解释为对自动化决策原则上的禁止。
如何解释GDPR第22条第1款中的“决策”一词?
被告黑森州的数据保护和信息自由专员(HBDI)在听证会上辩称,个人信用评分的计算本身不是GDPR第22条意义上的“决策”。HBDI认为,GDPR第22条第1款仅适用于已经作出的“决策”而非信用评分计算等决策预备行为。SCHUFA认为应将GDPR第22条的起草历史也考虑在内,GDPR的最初提案并不包含“决策”一词,而是使用了概念外延更广的“措施”一词。因此,GDPR第22条不适用于SCHUF
