数字法治｜潘芳芳：算法歧视的民事责任形态(12)

1. 实体：信息安全保障义务
算法技术的展开和运行，以收集、使用和处理个人信息为基础。行为人的一系列数据相关行为，必须要符合个人信息保护相关的法律和法规，履行相关的法律义务。首先，个人信息的收集、使用和处理必须要满足最基本的“知情同意”原则。行为人在处理个人信息前，需要以显著的方式、清晰易懂的语言告诉对方信息处理的目的、方式、种类以及保存期限等，保证对方是在充分知情且同意的前提下，自愿、明确地同意行为人的信息行为。另外，行为人在进行信息处理时，应当采取合法、正当的方式，遵循诚信原则的要求；信息的处理有明确、合理的目的，且符合公开、透明的原则。行为人对对方的信息安全负责，并采取必要的措施保障个人信息的安全。以《个人信息保护法》中的规定为原型可知，行为人应当采取的必要措施包括但不限于以下方面：（1）制定内部管理制度和操作规程；
（2）对个人信息进行分级分类管理；（3）采取相应的加密、去标志化等安全技术措施；（4）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（5）制定并组织实施个人信息安全事件应急预案；（6）法律、行政法规规定的其他措施。
2. 程序：提供程序性保障义务
美国计算机学会公众政策委员会针对算法的透明与归责问题制定了算法治理的指导细则，提出了知情、质询和申诉、算法责任认定、数据来源披露以及可审计原则等，算法的规制不仅重视实体权利的维护，而且强调当事人在不同阶段应当享有的各种正当程序。《欧盟通用数据保护条例》（GDPR）虽然以“赋权”为数据保护和算法治理的基本模式和理念，但也对当事人权利行使的程序性保障进行了规定，如知情同意、数据访问、不准确信息的纠正、删除与限制处理权等。我国与之相关的规范内容自然也不例外。比如，《个人信息安全规范》第 7.10 条中，赋予了个人提出申请的程序性权利；《个人信息保护法》也要求信息处理者保障当事人知情、决定、查阅、复制、更正、补充、拒绝和删除等权益，并且建立了个人权利行使的申请受理和处理机制。
具体而言，行为人程序性保障义务的履行主要体现为相关信息的告知和披露。首先，在合同义务的履行确有必要引入算法决策程序辅助或者替代人类决策时，主动引入算法决策程序的一方有义务告知对方将算法程序引入合同履行中的目的和功能，算法程序发挥作用的阶段和范围，可能会对相对人带来的风险和影响等信息，并在对方明确“知情且同意”的前提下，引入算法决策程序，辅助其履行合同义务。其次，在被决策对象需要了解时，行为人有义务对所引入的算法程序的运行机理（使用的数据、信息和算法程序运行逻辑）向被决策者解释和说明，且内容上“简洁明了、清晰可见、晓畅易读”，以“简单透明、明晰且容易获取的方式，清楚明确的语言，合适的方式”进行；实现被决策者“对告知的内容有明确而清晰的认知和了解”的目的。再次，行为人应积极、主动地告知和提醒相对人在算法程序运行中所享有的知情、参与、查询、更正（数据和信息）和选择（参与或退出）的权利，确保相对人能够随时知晓、参与和控制与自己相关的决策过程，随时享有对算法决策系统的使用提出拒绝和反对的权利。