反思与重塑：个人信息算法自动化决策的规制逻辑

宋华健

(华东政法大学 经济法学院，上海 200042)

以人工智能、大数据、云计算为代表的新兴技术革命正在推动经济业态进行新一轮变革。然而数据是沉默的，算法才是发挥数据价值的关键。作为将数据转化为价值的数字经济时代的“引擎”，算法以远超人类的生产效率完成日益复杂的任务，并在此过程中产生实质性的社会和经济利益。如金融机构可以快速通过算法评定客户的信用等级并发放贷款，平台利用算法进行用户画像对客户进行个性化推送，政府通过自动化决策算法完成社会福利的发放。算法自动化决策不断影响人们之间的互动方式，左右社会公众的价值判断，人类正在悄然进入“算法社会”[1]8。

技术膨胀出的权力越绝对，人类的主体性就越受到威胁，自动化决策往往隐于黑箱之后，决策过程如上帝一样“隐晦不明”，被决策者不仅无法知晓决策的原因，也很难要求决策者针对结果进行撤销或者修正，更无法要求企业针对错误的自动化决策结果承担责任。由于数据采集的固有偏差，算法设计者在模型权重设定中嵌入的个体偏见以及技术本身尚未暴露的缺陷，使得错误的、充满歧视色彩的自动化决策结果屡见不鲜。如美国消费者金融保护局及司法部经调查认定Ally金融公司采用了针对少数族裔的歧视性汽车贷款定价系统，该算法导致超过23.5万少数族裔借款人为他们的汽车贷款支付了更高的利率[2]；卡内基梅隆大学在2015年发布的一项研究也表明，谷歌的在线广告算法系统向男性展示高收入工作的广告频率远远高于女性[3]。除此之外，非公平性的自动化决策通常隐藏着对特定群体的歧视性锁定，这种歧视在算法重复的价值判断中进行了强化。基于碎片化个人数据分析进行的定向化信息算法推送，固化形塑了人们的偏好与认知，导致了“个人主体性存在和发展的消解和异化”[4]，这也印证了西特伦与帕斯奎尔在《评分社会》中的忧虑，尽管算法实现了从数据到知识的价值创造，但也摈弃了人与人之间叙述性、显性的交流，对个人的正当权利产生了巨大挑战[5]。

就自动化决策算法所暴露的问题，世界各国纷纷进行了针对性的立法探索。欧盟《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)对算法自动化决策的规制践行了“基于人尊严自治”的基本立法范式，在正文第22条构建了算法条款，并以此为延伸赋予数据主体各种新兴权利，以期实现对算法的规制。我国正式出台的《个人信息保护法》也借鉴了GDPR中的规制模式，针对数据主体对抗自动化算法决策进行了权利化的制度安排(1)我国《个人信息保护法》在第24条规定通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。。然而，正如GDPR的起草者之一沃斯在接受英国《金融时报》采访时所承认的，GDPR中涉及人工智能、数据挖掘等一些规则亟须进行详尽的修订，因为上个世纪80年代确定的规则在应对目前所处的新形势时往往力所不逮[6]。解决社会智能化演进中产生的新问题，在诉诸新兴权利构建的同时更要注重该项权利的实践意义。总结GDPR中的立法经验，权利规范下限制算法决策的尝试不仅在条文的理解与适用中产生了巨大争议，在实践中也没有达到预期效果。

一、权利话语下规则构建的尝试与反思

(一)沉睡的拒绝自动化决策权

考察立法资料，早在GDPR的前身《欧盟个人数据保护指令》(Data Protection Directive，以下简称“DPD”)制定之时，立法者们就意识到“尽管技术加持下愈发复杂的软件以及自动化决策系统产生的决策结果看上去更为客观与无可争议，然而决策者极有可能过度依赖这种表面上的客观性与无可争议从而放弃自己应当承担的责任”[7]。因此，出于保护数据主体免遭不受监督的自动化决策侵害的考量，DPD在第15条规定了数据主体享有免受仅基于用户画像的完全自动化决策的权利。起草者表达了在机器决定论面前维护人类尊严的关切，特别强调应当由人类主体(而非“数据阴影Data Shadow”)在“构建”自身的主体性中保持决定作用。改革后的GDPR在第22条沿袭并且完善了DPD第15条的规定，这也成为GDPR中针对算法规制的关键性条款，主要内容包括：(1)数据主体有权拒绝仅基于自动化决策(包括识别分析)作出的，对其产生法律效力或类似重大影响的决定；(2)基于数据主体的明确同意、法律授权以及履行合同目的所必须不受上述条款限制；(3)限制豁免应当保留数据主体进行人工干预以及提出质疑的权利；(4)第2款中的3项豁免不适用于敏感数据的处理，除非获得数据主体的明确同意或是为了维护公共利益并且已采取合适手段保障数据主体权利。在DPD颁布之初，这项针对自动化决策赋予信息主体权利化的制度创设获得了诸多肯定，甚至有学者称“第15条赋予数据主体不受某些形式仅由自动化决策影响的权利是数据保护指令中最令人感兴趣和最具创新性的条款之一”[8]。然而，纵观DPD生效的整个生命周期，被寄予厚望的第15条并没有回应既定的立法期待，欧盟及其各成员国法院在审判实践中基本没有围绕其展开有价值的辩论，这也导致其被戏称为“二等条款”。经过补充并且完善的GDPR第22条尽管相较于DPD中的规定更加具体，也依旧没有在欧盟范围内达到预期效果，欧盟法院甚至从未直接就GDPR第22条或DPD第15条作出裁决。在技术迭代发展、人工智能产业经济规模化演进背后，围绕拒绝自动化决策权的争议愈发热烈，产业从业者认为其鼓吹人机对立不利于数字经济发展，而法学学者则认为条款严苛的适用标准、关键部分语焉不详的表述以及执法与立法中的理解割裂，已经导致该项权利名存实亡。

第一，立法与执法中的割裂：“权利”与“禁令”之争。从条文表述看，GDPR第22条构建了信息主体拒绝算法自动化决策的权利似无可争议，一方面GDPR在其序言的第71条明确指出，自动化决策限制条款的制定，是由于潜在的机器故障以及选择性数据导入会使整个社会陷入偏见和不公，因此赋予数据主体进行主动干预的权利。从体系解释的角度考察，第22条置于GDPR的第3章即“数据主体的权力”项下也似乎证实了这一认定。然而欧盟第29条工作组在发布的解释性文件中却出人意料地强调了第22条的“禁令”属性，表明基于个人数据完全的自动化决策以及产生法律上或近似重大影响的识别分析属于禁止性行为，没有任何例外。两种截然不同的解读产生了相互背离的立法效果，在个体赋权的解读语境下，信息主体选择性退出之前个人信息控制者可以采用自动化决策的方式对个人信息进行决策，并且退出权利受到GDPR第22条第2项中三种豁免情形的限制；而禁令语境下的解读将会导致个人信息控制者自动化决策的行为不被允许，除非满足GDPR第22条第2项中的豁免情形[9]。工作组的论证理由在于如果将其理解为赋权条款，那么第22条第2款中规定的知情同意豁免就失去了意义，将第22条第1款视为有条件的禁止保留第22条第3款规定的“人工干预”操作空间，同时与《欧盟执法指令》保持一致，保持了欧盟数据保护框架的完整性和一致性[10]。这种法律文本与执法理解上的分歧也引发了学界的激烈讨论，支持“禁令说”的学者以强化数据主体的权利保护为基点，认为以机器学习为代表的算法迭代使得用户画像以及自动化决策行为的发生变得更为隐蔽，数据主体通常无法意识到自己的个人信息正在被进行自动化决策，个体赋权的制度安排并不能发挥应有效果，因此采取“禁令说”的解读路径能更好地回应保障数据主体权力的立法期待[11]。支持“权利说”的观点则从社会成本的角度出发，认为“自动化决策完全可以给社会整体带来可观的利益”[12]，在自动化决策机制已经实质性进入社会服务各个领域的背景下采取简单的禁令会给企业带来高昂的合规成本。本文虽秉持“权利说”的观点，但这种执法与立法中的分歧已然证明了该权利在执法认定中的局限性，而条文适用中的困境更是弱化了其实践意义。

第二，适用中的双重困境：严苛准入与宽松豁免。拒绝自动化决策权的适用前提，“仅基于自动化决策”判断标准在GDPR全文中并没有进一步解释说明，这意味着最低限度的人工参与即可使该条款失效。2014年德国联邦法院在处理一起涉及自动信用评分系统使用的案例时，便以最低限度的人工干预为由否决了DPD中第15条的适用[13]。事实上，立法者混淆了“智能化系统”与“决策辅助系统”的概念差异，目前符合严格定义的纯智能化决策依旧未大规模普及，因此最低限度的人工参与是自动化算法决策中的常态。尽管有学者提出过改进性建议，认为应当针对该豁免条款进一步解释，规定人工干预必须是一项“有意义的监督”。然而，实践中“有意义”的外延依旧难以界分，基于更为先进复杂的算法自动化处理系统，人类的决策者往往更倾向于信任而非质疑自动化决策系统给出的结果。在充满争议的卢米斯案中，COMPAS系统作为一项风险评估工具，基于收集到的被告卢米斯犯罪史的信息给出一个分数，从而评估其未来犯罪的可能性。尽管作出判决的法官布拉德利作出解释称报告并非判决的唯一依据[14]，然而人机互动的实践表明，人类往往对计算机系统存在过度信任,在面对自动化决策形成的最终结果时往往无视那些和输出内容相矛盾的信息[15]。人工参与者基于对自动化决策系统的依赖，通常扮演着自动化决策结果的“复述者”而非“质疑者”的角色，而在此情形下产生的不准确、歧视性或不公平的决定，依据第22条的适用前提，被决策者往往也无法援引其展开救济。如何从数据主体或数据控制者的角度界定“仅基于自动化决策”的适用边界，是依旧需要在实践中进行完善的灰色区域之一。除此之外，“法律影响”或“近似重大影响”的适用标准同样令人无所适从，GDPR全文未给出明确定义，仅在第29条工作组的解释中给出了十分模糊的判定标准，认为“决定必须可能对有关个人的情况、行为或选择产生重大影响，或者在极端情况下导致对个人的排斥或歧视”，然而这种主观解释路径极有可能使数据主体承担举证责任。尽管GDPR在引言的第71条列举了符合“重大影响”的几种典型情形，其中包括“在线申请信用卡被拒绝”以及“无任何人为干预的在线招聘”，然而第29条工作组在解释文件针对个性化推送广告不属于“重大影响”范围的认定却令人困惑，因为推送广告往往伴随针对数据主体高度侵入性的分析，将说服性诉求的内容与个人的心理特征相匹配显著地改变个体预期行为，将其排除在使用范围之外无疑进一步弱化了权利的保障效能。

除严苛的适用条件，过于宽松的豁免条件也是导致权利失语的重要原因。知情同意豁免生效的前提是信息主体具有与授权内容相匹配的认知能力，并且能够具备明晰可知的信息进行判断。然而实践中知情同意扮演的角色正愈发式微，充斥着标准化文本的隐私政策篇幅变得越来越冗长，加上巧妙的屏幕布局操纵、轻推式的程序步骤导向，致使几乎没有用户会认真阅读理解自身的授权，因此很难判定针对自动化决策的同意符合GDPR中“自由给予、具体、知情和明确”的具体要求。固有的信息不对称，导致诸多信息主体在进行个人信息处理授权时无法正确意识到此举蕴含的潜在风险，隐私政策内容还会进行动态更替使用户疲于应对，因此遵守自由主义范式并期望普通用户通过知情同意来管理自己个人信息安全正在变成一个美丽的乌托邦。

(二)争议中的算法解释权

第一，算法解释权的证成争议。部分学者认为，算法解释权的建构逻辑在于算法由于决策的黑箱效应导致责任规制的缺失，算法可责性的重构需要通过立法确定算法解释权来提升算法决策的透明性[16]。实际上，欧盟在GDPR中是否赋予了数据主体所谓的“算法解释权”依旧存在争议，并且这种争议已从国外蔓延至国内。最早提出“算法解释权”概念的学者古德曼和弗莱斯曼起初的论证依据在GDPR序言第71条，提到了“个人有权获得针对自动化决策的解释并提出质疑”[17]。有学者提出质疑，认为GDPR序言仅能辅助规则理解与适用，本身并不能设立权利义务，这在欧盟法院先前的判决中早有明确规定，因此从序言第71条出发证成算法解释权不符合逻辑[18]。也有学者另辟蹊径，以GDPR第22条为圆心，认为结合GDPR第22条第3款表述与GDPR第15条第1款h中“数据主体有权了解处理的相关逻辑以及预期后果”之规定相互印证，可以导出算法解释权的基本轮廓[19]。然而第29条工作组在解释性文件中针对“相关逻辑”的进一步解释似乎也没有明确承认算法解释权，认为数据控制者“解释复杂算法”以及“披露算法”的做法并非是必需的，应当找到一种简单的方式告诉数据主体相应的决策标准。回溯GDPR的立法历史，立法者们似乎也在算法解释权的问题上游移不定，欧盟委员会在2012年提交的GDPR草案中曾明确规定了算法解释权，在最终版本中却将其置于没有法律效力的序言第71条。此种考量也反映了欧盟立法中一个饱受诟病的问题，即出于各方因素的权衡，许多在正文中无法达成一致意见的争议性条款被搁置在序言中，进而引发许多有关约束力问题的讨论。

第二，算法解释权的实践困境。算法解释权的另一个重要问题在于算法能否被解释以及在多大程度上被解释，运行逻辑的显性化阐述能否在有效消弭信息主体与信息控制者之间信息不对称的同时还不损害其他社会公共利益。GDPR第15条针对逻辑解释的规定并非一种新的创设，而是继承了DPD第12条的规定。自1995年DPD颁布以来，尽管“自动化决策”的表述在立法文件中所用词汇没有改变，但技术层面的飞跃已经逐步改变了原先自动化决策的具体语境，尤其是机器学习等新型算法的诞生。在传统的自动化决策算法中，人类在参数的设置以及目标函数的优化中依旧扮演了关键性角色，算法数据集中的输入变量和输出变量具备准确的可预知性，在此阶段代码逻辑的语义化表达并不困难。与传统的自动化决策过程相比，机器学习算法会在早期输入大量相关联的数据集，在不断的自我训练中对变量搭配进行甄别，从中遴选出实现目标函数的最优路径，并且该路径会在算法的不断自我训练过程中进行持续优化。从定义上看，机器学习算法可以视为信息系统在特定功能上的学习方法，能够通过经验积累改变其行为，最终增强在特定任务中的表现[20]。对于机器学习算法来说，简单、直观的解释行为并不可行，算法自主学习所涵摄的变量组合与数学关系的随机性导致其在复杂程度上的跃升。在技术层面，算法处理的精确性与其复杂程度成正相关，但算法越复杂，解释起来就越困难[21]。因此在立法上强制要求算法的可解释性可能会限制算法的潜在效益。美国数据创新研究中心就曾质疑欧洲目前的个人数据保护立法正在强迫企业在数据保护和创新之间作出选择，GDPR中的诸多限制性条款在实践中对用户的数据保护起不到任何作用，甚至还会产生权益损害，尤其是针对算法的强监管条款会迫使企业在算法准确性和可解释性之间作出权衡，这将导致大量企业更偏好选择决策过程简单却准确度较弱的算法进行自动化决策[22]。除此之外，算法解释权的构建还会带来侵犯商业秘密、损害专利价值等新问题，虽然GDPR在序言的第63条明确强调了数据主体针对算法逻辑等信息的获得，以不损害他人的商业秘密以及知识产权为边界，然而实践中的精细化制度构建却困难重重，存在不法分子针对公布的算法逻辑寻找漏洞而反向规避监管以谋取非法收益的潜在风险。目前，算法解释的理论、方法在不断突破，越来越多的研究者开始参与运用分析哲学等手段进行解释框架的搭建，但从具体效能看，解释权的路径似乎难以成为规制个人信息算法自动化决策的最优解。

(三)权利话语下规则构建的反思

“权利泛化已成为现代社会公共论辩领域的一种突出现象”[23]，也突出体现在针对自动化决策监管制度的构建中。权利获得立法层面的认可，即意味着该项权利在法律上具备了被司法机关强制实施的可能性，因此新型权利是否入法需要统筹考量立法的必要性、是否符合社会共识以及权利成本上的可行性[24]30-31。一般来说，新型权利的法治化建构存在激进式入法与渐进式入法两种路径，激进式入法即新兴权利被直接写入法律条文获得立法层面的认可，虽然激进式立法能快速回应社情民意，但缺乏仔细论证，其施行效果往往事与愿违。总结欧盟数据保护立法的经验，造成个人对抗算法自动化决策私权构建效果不佳的主要原因在于针对拟定权利的理论论证尚不全面，导致条款制定过于碎片化，技术鸿沟下针对权利行使的实证分析也极度缺乏，对抗算法决策私权构建的利益边界远未达成共识，算法解释权从GDPR正文移置序言的制度安排也折射出欧盟立法者在面对新技术发展、在新兴权利构建中愈发谨慎的态度，个体权益保护与公共利益之间的平衡仍需在社会互动的场域中进行充分探讨与修正。一方面，赋予数据主体过于绝对的对抗自动化算法决策权利，不仅会大大加剧企业的合规成本，也与数字化社会的整体演进趋势格格不入，“社会无害性应当是权利正当性的直接来源”[25]；另一方面，在技术迭代下算法自动化决策的内涵早已超出了最初立法者的立法语境，算法决策中的参数歧视性差误往往会蔓延成为特定标志人群的集体性风险。集体风险的控制往往强调整体权衡而非个体正义，因此在制度建构上更强调事先预防而非事后救济，个体赋权规制路径在处理集体风险时往往力所不逮。宏观来看，自动化决策算法越是发展，涵摄范围越广，信息主体脱离其决策的自主空间就越小，算法透明的难度及成本就越高，界定算法决策过程与输出结果之间因果关系的难度也就进一步加大，而囿于行权成本，信息主体主动选择司法救济的可能性就越小。因此，诉诸构建新兴权利来对抗个人信息的算法决策，仅能作为拓宽信息主体救济途径的一种“锦上添花”的选择，而非消解算法霸权的根本之计。

二、规则重塑：算法影响评估制度与算法审计制度的完善

从立法目的看，法律条文的制定需要统筹考虑现存利益以及将来可能产生的利益，经过各方平衡的利益最终才能形成法律的文本表述，并通过具体制度利益表现出来[26]。GDPR第22条“脱离自动化决策权”以及延伸出的“算法解释权”，从最初备受期待到实施后引发巨大争议以及在立法与执法中的理解产生割裂，最终导致“权利失语”，主要原因在于立法者本身对处于不间断动态发展演化当中的自动化决策技术存在认知滞后，在立法中体现为条款制定中权利行使边界具象化的游移不定、实践中围绕鼓励创新与保护数据主体之间利益的权衡不足。立法与实践的差异化积聚导致执法部门的理解偏差，最终变为隐于“技术中立”和“知情同意”背后的少数人集权。我国正式出台的《个人信息保护法》第24条部分借鉴了欧盟GDPR第22条“拒绝自动化决策权”的相关规定，然而相较先前草案中“认为自动化决策对其权益造成重大影响”的主观判定标准，起草者似乎出于担忧信息主体权利滥用的综合考量，在二读稿中对行权条件进行了限缩，删除了“个人认为”的主观前提，《个人信息保护法》全文也并未就“重大影响”作出具体厘定，导致这一赋权型条款的行权难度进一步加大，此种做法似重复了欧盟的失败立法经验。在卡拉布雷西以及梅拉米德提出的卡—梅分析框架下，主体赋权的保护模式只适用于双方地位平等且行权没有障碍的情形[27]。揆诸现实，“技术鸿沟”的存在往往使信息主体无法意识到自己的信息正在被分析和利用，而新兴权利的制度化构建又过于抽象、笼统、原则，无助于帮助信息主体消解自主化危机，数据主体往往迷失于错综复杂的授权协议中，并导致行权不能。鉴于此，我国限制个人信息算法自动化决策制度的私权构建应当立足实践，回归从“个案裁判的特殊化救济”到“司法解释的规范化续造”、最后落实到“法律上的普遍化建构”的渐进式立法路径[24]30。在目前算法权利愈发扩张、数据主体与算法主体之间的地位差距愈发悬殊、数字弱势群体的权利无法得到有效保障的背景下，应当以变革监管手段为中心进行制度重塑(2)根据浙江省市场监管局发布的《数字化改革术语定义》，“制度重塑”指的是因组织的自我变革和外部环境条件的重大变化，进一步对组织机构、职能设置、责任分配以及相互关系进行创新的过程。”这其中既包括内生性的制度变迁，也包括外部驱动型制度变迁，例如数字技术的应用。。具体落实到个人信息算法自动化决策的规制中则包括，明确监管部门的监管职能，围绕算法的部署应用邀请各方协同参与，创新技术监管，构建算法影响评估制度，落实与细化算法审计规则，最终实现算法的可信可控。

(一)算法影响评估制度的构建与完善

算法影响评估制度肇始于美国纽约颁布的《算法问责法案》，尽管同样源于对算法决策“黑箱”式输出过程的担忧，与算法解释权的强烈呼吁不同，算法影响评估制度旨在建立一套标准化的评估体系，要求即将投入应用的算法接受事先审查，从而进行客观评估以最大化地维护公众利益，主要内容包括：(1)检测算法决策系统是否存在正义、偏见以及歧视的潜在影响；(2)通过特定程序对自动化的决策进行持续跟踪、评估；(3)将自动化决策的运行逻辑和评估依据向公众公开[28]。我国《个人信息保护法》第55条也要求个人信息处理者利用个人信息进行自动化决策时进行风险评估，但从条文看既未将评估内容具体化，也未就殆于履行风险评估义务的主体进行厘清，导致自动化决策风险评估制度在实践中陷入效力不清的局面。基于此，我国网信部门应当积极履行协调统筹制定具体规则标准的职责，确定个人信息算法决策影响评估机构，出台算法影响评估标准。针对具体的评估标准，应当充分考虑不同类型算法的风险程度和在运行机制中的异质性，根据具体应用场景、决策风险、使用部门以及对数据主体产生的后果等采取类别化的评估框架。在我国现行的法律体系下，可以采取从行业标准到评估标准的递进式建构路径，推荐性标准尽管没有法律效果上的强制性，相比法律法规中的原则性阐述，各场景下相继推出的技术性标准无疑更为精细化，因此在具体场景的算法评估框架拟定上可以充分借鉴我国目前陆续出台的各种行业标准。如电子技术标准化研究院在2018年推出的《人工智能深度学习算法评估规范》，从算法功能实现的正确性、代码实现的正确性、目标函数的影响、训练数据集的影响、对抗性样本的影响、软硬件平台依赖的影响以及环境数据的影响7个方面建立了深度学习算法可靠性评估指标体系；中国人民银行为解决金融机构建设中算法同质化、模型缺陷的问题制定的《人工智能算法金融应用评价规范》，在安全性、可解释性、精准性、性能四维评价体系下对金融算法进行综合评价。算法影响评估制度的构建路径上可以尝试选择在各场景下的技术性标准之间建立一种及时高效的沟通反馈制度，将推荐性技术标准中的各项要求优先置于算法影响评估框架进行试验，在试验过程中接受社会公众及企业的意见反馈并进行不断优化，将反复验证切实有效的标准进行制度固定，从而构建一种以监管部门为主导、技术专家、社会公众协同参与的自我演化治理机制。此外，政府部门可以对通过评估的算法进行官方认证，以此形成声誉激励机制，鼓励更多的算法使用主体主动进行评估。

(二)算法审计规则的细化与落实

算法审计是算法外部问责的一种方式，引入外部专业人员或者专门监管机构对算法的实施和运行进行评估，本质上是让监管部门能够穿透算法运行“黑箱”，从而对算法运行是否符合法律法规进行检视。域外立法实践中算法审计越来越成为算法监管规则构建的重心，欧盟第29条工作组在报告中强调，对自动化决策准确性、相关性的定期审查应当成为算法保障的重要措施，算法审计不仅需要对基础数据的偏差进行校对，还应出具详细的审计报告对算法部署之后的公平性以及模型设计的非歧视性进行全面审核。我国《个人信息保护法》通过第54条与第64条共同创设了算法审计制度，除了个人信息处理者的自我审计义务之外，当“存在较大风险”或者“发生个人信息安全事件”时，监管机构可以委托专业的第三方机构进行合规审计。《个人信息保护法》仅将委托第三方机构进行审计作为与约谈并列的可选项之一可能出于两方面考虑：一是算法审计高度依赖审计机构的专业能力和独立性，而目前具体的审计标准暂付阙如；二是目前监管部门并不具备提前预知算法风险的监管能力。针对上述问题，首先应建立个人信息算法决策同行评议制度。托马斯库恩在《科学革命的结构》中指出，同一研究“范式”内的成员往往更容易在基本的价值标准、思想理论基础层面达成共识，进而产生比较一致的价值判断[29]。与外部机构相比，拥有相同基础知识背景的研发成员，更能对部署的算法利用个人信息进行权衡，依据排序机制是否公平、机器学习算法训练中的数据集是否存在偏倚性作出技术性判定，并与监管部门进行实时反馈。在谷歌工作多年的法国工程师沙洛曾因指出公司算法决策中的价值观偏离被公司辞退，随后他创办了算法透明网站，以反向工程学原理向公众公布算法偏见，反向工程学与算法透明的差异在于绕过了多重嵌套算法下因果关系的证成困境，从统计学关系入手揭秘算法的非直觉性结果输出[16]171。其次应强化技术监管，法律规则与技术规则迥异的运行机制决定了技术监管将成为未来算法监管的主基调。从运作机理上看法律规则可以被违反，相应地会触发惩罚性后果以确保法律被遵守，而技术规则往往内嵌于软件的运行机制中，技术规则被违反则会反馈错误导致无法运行，这不仅可以大大降低监管部门的监管压力，也能实现针对涉众型算法的实时监控，避免产生集体性风险。目前计算法学正成为一种法律研究的新范式[30]，其目标之一就是通过技术嵌入的方式落实法律的要求，实现法律规则与技术规则的双向转化。由此，内嵌的监管机制可以根据异质化的使用场景及时提示法律要求的显性约束，一旦监测到违反法律的算法运行机制即可自动反馈错误进行上报。实践中，荷兰的莱布尼茨法律中心已经开展了“元法律”项目，对法律规则进行标准格式化转换开始推进；英国的金融监管局已经开发出“机器可执行监管”[31]。我国监管部门也应统筹推进技术人员与法学专家之间的双向沟通，联合研发监管科技，实现算法监管的数字化，避免算法权利的持续扩张对信息主体进行潜在、持续性侵蚀。

技术发展的终极目标在于促进民众福祉，而法律应当是“科技向善”的重要保障。欧盟立法的经验和教训表明，算法权利蔓延之下人类尊严的维护仅依靠私权构建往往会陷入利益平衡的所罗门之结，既无法践行信息自决的美好愿景，也与平台社群的规模化发展、智能化社会演进大趋势背道而驰。只有转变统一粗放式的监管模式，构建一个精细化多维度的监管框架，才能给算法戴上秩序的枷锁，人们面对算法的恐惧与不安才能真正消解。