摘" "要：個人金融信息作為金融科技場景中最不可或缺的基礎(chǔ)資源，是金融科技創(chuàng)新發(fā)展的核心驅(qū)動力。金融自動化決策程序的應(yīng)用內(nèi)嵌復(fù)雜的現(xiàn)實風(fēng)險，為個人金融信息保護帶來挑戰(zhàn)。自動化決策拒絕權(quán)作為一項新興權(quán)利，為金融信息主體提供擺脫自動化決策程序做出不利結(jié)果的權(quán)利基礎(chǔ)，同時推動金融科技治理法治化進程。在金融科技場景下，引入自動化決策拒絕權(quán)能實現(xiàn)個人金融信息保護和自動化決策規(guī)制正當(dāng)性;與此同時，也面臨著權(quán)利連續(xù)機制不詳、適用標準不清、例外規(guī)定缺失等程序性風(fēng)險。為了化解自動化決策拒絕權(quán)在實踐適用中可能出現(xiàn)的難題，應(yīng)從立法層面明確自動化決策拒絕權(quán)的連續(xù)機制、細化“重大影響”標準的認定，設(shè)計權(quán)利的例外規(guī)定，完善自動化決策拒絕權(quán)適用的權(quán)利保障體系以實現(xiàn)金融科技場景中個人金融信息保護的風(fēng)險化解。

關(guān)鍵詞：金融科技;自動化決策拒絕權(quán);個人金融信息;算法治理

DOI：10.3969/j.issn.1003-9031.2024.08.006

中圖分類號：F830.2;D912.1" " " "文獻標識碼：A" " "文章編號：1003-9031（2024）08-0073-15

一、引言

我國“十四五”規(guī)劃明確要求“穩(wěn)妥發(fā)展金融科技，加快金融機構(gòu)數(shù)字化轉(zhuǎn)型”。所謂金融科技（FinTech），是指以技術(shù)賦能金融模式創(chuàng)新，最終達到金融服務(wù)降本增效的目標。隨著人工智能、云計算、大數(shù)據(jù)等新興技術(shù)的發(fā)展，以算法技術(shù)為核心的自動化決策程序嵌入金融科技平臺，初步實現(xiàn)了新興技術(shù)下科技與金融的強結(jié)合，為推動智能化普惠金融進程和金融行業(yè)高質(zhì)量發(fā)展做出了重要貢獻。然而，自動化決策程序的運行勢必要對金融消費者的個人金融信息進行大量收集和處理，在金融科技平臺企業(yè)對信息的控制占據(jù)優(yōu)勢地位時，個人金融信息保護制度“大廈”亟待構(gòu)建。歐盟為糾偏自動化決策所帶來的信息保護隱憂，賦予個人脫離算法的選擇權(quán)和控制權(quán)，即自動化決策拒絕權(quán)，該權(quán)利起源于歐盟《個人數(shù)據(jù)保護指令》（DPID），在《通用數(shù)據(jù)保護條例》（GDPR）中延續(xù)并加強。我國《個人信息保護法》第24條第3款為自動化決策拒絕權(quán)確立提供了權(quán)利基礎(chǔ)，目的在于加強個人對信息的控制，為治理自動化決策技術(shù)尋求新的路徑。但該條款規(guī)定較為籠統(tǒng)導(dǎo)致權(quán)利連續(xù)機制不詳、適用標準不清、例外規(guī)定缺失等一系列立法缺憾。因此，亟需對該項權(quán)利進行具體設(shè)計，防止法律規(guī)定束之高閣。

自動化決策拒絕權(quán)作為一項新興權(quán)利，同樣面臨著風(fēng)險和挑戰(zhàn)。但制度的落地?zé)o法一蹴而就，根據(jù)場景對權(quán)利進行解構(gòu)并對制度進行優(yōu)化成為當(dāng)下最優(yōu)的方案。金融科技場景下的個人金融信息保護問題一直是學(xué)界研究的熱點問題，同樣也是自動化決策技術(shù)應(yīng)用最為廣泛的場景之一。個人金融信息保護問題一直困擾著參與金融市場的信息主體，自動化決策拒絕權(quán)為信息主體擺脫金融科技場景下自動化決策程序做出不利結(jié)果提供權(quán)利基礎(chǔ)。盡管目前引入自動化決策拒絕權(quán)能夠應(yīng)對傳統(tǒng)金融領(lǐng)域面臨的信息保護難題，但該權(quán)利落實仍面臨諸多程序性風(fēng)險，學(xué)界對其研究多從個人信息保護體系中進行權(quán)利構(gòu)建，對于如何付諸實踐的論證和結(jié)論稍顯薄弱。因此，為了實現(xiàn)自動化決策拒絕權(quán)在金融科技場景下的應(yīng)用，僅憑借現(xiàn)行制度規(guī)范遠遠不夠，必須結(jié)合場景治理需求針對性地提出制度構(gòu)建設(shè)想。

二、自動化決策拒絕權(quán)：源起、內(nèi)涵及我國規(guī)范現(xiàn)狀

不管是歐盟GDPR還是我國《個人信息保護法》均將自動化決策拒絕權(quán)與算法解釋權(quán)一并規(guī)定，導(dǎo)致部分學(xué)者認為拒絕權(quán)僅是對解釋權(quán)的補強，更有學(xué)者單從權(quán)利效果異同出發(fā)認為自動化決策拒絕權(quán)所達到的效果相當(dāng)于信息主體擦除個人信息并以此為由將拒絕權(quán)等同于被遺忘權(quán)（唐林垚，2020）。以上兩種觀點明顯是對自動化決策拒絕權(quán)的誤解，針對目前學(xué)界對自動化決策拒絕權(quán)的權(quán)利性質(zhì)和功能的模糊認識，確有必要就我國規(guī)范意旨結(jié)合比較法進行研究，探求該項權(quán)利背后的功能價值。

（一）自動化決策拒絕權(quán)的源起

對自動化決策拒絕權(quán)的探索可以追溯到20世紀70年代的法國《第78—17號計算機、文件和自由法》，該法第10條規(guī)定應(yīng)當(dāng)禁止采取完全自動化決策程序并以目標主體畫像或個性化評估為依據(jù)做出的司法決定。該條規(guī)定體現(xiàn)自動化決策程序誕生之初立法者包容審慎的態(tài)度，采取全面禁止的方式對完全自動化決策程序在司法領(lǐng)域應(yīng)用的限制，以“人高于一切”的態(tài)度強化對個體尊嚴的保護。同一時期，歐盟協(xié)調(diào)各成員國制定個人數(shù)據(jù)保護法以應(yīng)對飛速發(fā)展的計算機自動化處理技術(shù)帶來的挑戰(zhàn)，提出要保障“保密權(quán)”和“知情權(quán)”兩大數(shù)據(jù)權(quán)利，為后續(xù)個人數(shù)據(jù)權(quán)利的制定奠定了立法基礎(chǔ)（梅傲和謝冰姿，2022）。緊接著，歐盟委員會于1990年起草了《關(guān)于個人數(shù)據(jù)處理中的個人保護的指令（草案）》，提出了個人數(shù)據(jù)處理過程中可以提出反對的權(quán)利概念，目的在于通過賦予個人反對他人處理其數(shù)據(jù)的權(quán)利實現(xiàn)對個人隱私的保障。又于1995年頒布了DPID，規(guī)定成員國應(yīng)當(dāng)賦予主體免受可能對其產(chǎn)生法律效力或重大影響的完全自動化決策約束的權(quán)利，旨在保護數(shù)據(jù)主體參與對其有重要影響的決策形成過程的權(quán)益。該項規(guī)定首次從立法層面確立了自動化決策拒絕權(quán)，認可了個體對自動化決策程序可以選擇拒絕的權(quán)利。

隨著人工智能時代的到來，商業(yè)場景中為實現(xiàn)“點對點”的運營已經(jīng)使得精準化、個性化的人物畫像建模技術(shù)從設(shè)備到用戶、從靜態(tài)到動態(tài)、從評估到預(yù)測的三維躍遷性變革（馬長山，2019）。全新的以算法程序為實現(xiàn)基礎(chǔ)的自動化決策程序威脅著人類的獨立性和自主性地位（趙宏田，2020）。人類的人格尊嚴和主體價值受到更為復(fù)雜化、系統(tǒng)化的挑戰(zhàn)，DPID已經(jīng)無法滿足個人掌控其數(shù)據(jù)的意愿，因此展開了進一步的探索。歐盟委員會于2012年正式提出了GDPR草案并于2016年通過，對主體免受自動化決策的各項權(quán)利規(guī)則進行了修改和完善，在DPID的基礎(chǔ)上增加了權(quán)利行使的場景并細化了行權(quán)規(guī)則。第一，增加自動化決策拒絕權(quán)的行使場景。數(shù)據(jù)主體在科學(xué)、歷史研究和數(shù)據(jù)統(tǒng)計等場景下均可行使自動化決策拒絕權(quán)。第二，細化自動化決策拒絕權(quán)的告知義務(wù)及同意規(guī)則。一方面，數(shù)據(jù)處理者在任何情況下都要遵守告知義務(wù)且必須采取符合“明確引起注意”和“區(qū)別于其他信息清晰呈現(xiàn)”兩大要求的告知方式。另一方面，數(shù)據(jù)處理者在收集前必須明確通知數(shù)據(jù)主體并取得其授權(quán)。第三，明確自動化決策拒絕權(quán)行使后的法律效果。一方面，數(shù)據(jù)處理者無法再對數(shù)據(jù)主體行使自動化決策拒絕權(quán)所涉數(shù)據(jù)進行任何處理。另一方面，數(shù)據(jù)處理者違反規(guī)定的數(shù)據(jù)處理行為將會處以更高額的罰款。由此，自動化決策拒絕權(quán)的合法獨立地位和權(quán)利體系架構(gòu)被正式確立，在全球范圍內(nèi)，德國、英國、荷蘭、法國、匈牙利等國紛紛展開自動化決策拒絕權(quán)的立法工作。

（二）自動化決策拒絕權(quán)的內(nèi)涵

自動化決策拒絕權(quán)，在GDPR第22條第1款原文表述為“有權(quán)免受基于自動化決策做出的決定（not to be subject to a decision based solely on automated processing）”在國內(nèi)又被稱為“免受自動化決策約束權(quán)”“脫離自動化決策權(quán)”“個人數(shù)據(jù)反對權(quán)”等。權(quán)利行使的模式為：數(shù)據(jù)處理者在處理數(shù)據(jù)前必須履行告知義務(wù)，由數(shù)據(jù)主體根據(jù)自身個人意愿判斷并作出同意或拒絕的意思表示，數(shù)據(jù)處理者必須尊重其個人選擇履行配合義務(wù)。因此，該權(quán)利本質(zhì)上是一項賦予數(shù)據(jù)主體可以拒絕其數(shù)據(jù)被處理的請求權(quán)，將其譯為自動化決策拒絕權(quán)更為妥當(dāng)。

對于自動化決策拒絕權(quán)的理解可以從權(quán)利主體、權(quán)利客體、義務(wù)主體、權(quán)利邊界四個方面進行解構(gòu)。自動化決策拒絕權(quán)的權(quán)利主體是數(shù)據(jù)主體，即產(chǎn)生數(shù)據(jù)的個人用戶。自動化決策拒絕權(quán)脫胎于DPID，該指令僅保護自然人關(guān)于個人數(shù)據(jù)的權(quán)利和自由，因此法人與非法人組織并不包含在權(quán)利主體范圍內(nèi)。此外，處理兒童（未滿14周歲的未成年人）數(shù)據(jù)時，包含自動化決策拒絕權(quán)在內(nèi)的各項數(shù)據(jù)權(quán)利由其監(jiān)護人代為行使。在權(quán)利客體方面，自動化決策拒絕權(quán)指向的對象是“自動化決策這一整體行為”還是“基于自動化決策程序作出的結(jié)果”尚有一定的爭議，綜合目前的研究成果認為“結(jié)果說”是最為兼顧公平和效率并不阻礙創(chuàng)新發(fā)展的觀點（齊延平和朱家豪，2023）。在義務(wù)主體方面，自動化決策拒絕權(quán)的義務(wù)主體通常為數(shù)據(jù)處理者。為了實現(xiàn)權(quán)利，數(shù)據(jù)處理者主要承擔(dān)事前告知義務(wù)和事后配合義務(wù)，前者要求數(shù)據(jù)處理者在處理數(shù)據(jù)前必須以足夠明顯的方式告知數(shù)據(jù)主體其所擁有的拒絕權(quán)的內(nèi)容，后者要求數(shù)據(jù)處理者在數(shù)據(jù)主體行使拒絕權(quán)后立即停止數(shù)據(jù)處理并按數(shù)據(jù)主體要求采取刪除等措施。就權(quán)利邊界而言，任何權(quán)利都有其行使范圍，自動化決策拒絕權(quán)也有對應(yīng)的限制條件和抗辯事由。數(shù)據(jù)處理者僅在以下四種場景下可以不受數(shù)據(jù)主體自動化決策拒絕權(quán)限制：一是基于公共利益的需要;二是基于法律的授權(quán)規(guī)定;三是使用自動化決策是合同實現(xiàn)所必要的;四是事先經(jīng)由數(shù)據(jù)主體全體同意。

在權(quán)利的基本要素外，還需要考慮到自動化決策拒絕權(quán)與其他權(quán)利的相互聯(lián)動才能確保權(quán)利的實現(xiàn)。數(shù)據(jù)處理者必須保證自動化決策遵循算法透明原則，即對自動化決策進行一般化說明，幫助數(shù)據(jù)主體實現(xiàn)查閱、更正、刪除等權(quán)利，也便于數(shù)據(jù)主體行使算法解釋權(quán)對自動化決策程序的公正性提出質(zhì)疑。

（三）我國對自動化決策拒絕權(quán)的現(xiàn)行規(guī)范與實踐探索

對于個人信息保護方面的立法，歐盟和美國一直處于領(lǐng)先地位，尤其是歐盟GDPR的出臺在世界范圍內(nèi)都具備強影響力，我國在相關(guān)領(lǐng)域的立法和研究難免有借鑒和本土化思考（文銘和易永豪，2020）。但總體上，我國在自動化決策拒絕權(quán)的立法和研究上并沒有跟跑，而是基于自身國情和需求進行制度設(shè)計（刁勝先和徐云燕，2021）。在《民法典》第1035—1039條中對個人信息權(quán)益保護做出規(guī)定，但在賦權(quán)條款中并未直接進行自動化決策拒絕權(quán)相關(guān)規(guī)定。個人對處理其信息的拒絕行為是基于個人信息權(quán)益整體保障的需要而非某一項權(quán)利，其性質(zhì)、效果等都有別于GDPR的賦權(quán)模式。在《網(wǎng)絡(luò)安全法》第43條中規(guī)定個人具有要求網(wǎng)絡(luò)運營者更正或刪除其信息的權(quán)利，并未明確拒絕權(quán);在第47—48條中規(guī)定網(wǎng)絡(luò)運營者負有在發(fā)現(xiàn)禁止傳播的信息時及時作出停止傳輸或消除等措施的安全保障義務(wù)，該義務(wù)履行所達到的效果與GDPR拒絕權(quán)類似，但具有被動性、防御性的特征。在2020年實施的《個人信息保護國家標準》（GB/T 35273—2020）第7.7條中明確了信息系統(tǒng)自動決策機制的使用注意事項;在第8條中規(guī)定個人具有要求查詢、刪除、更正其信息或撤回對其信息的授權(quán)同意等權(quán)利，其中雖未明確拒絕權(quán)，但“撤回授權(quán)同意”這一行為也起到了拒絕的效果，只不過該拒絕并非一項權(quán)利，而是“撤回授權(quán)同意”后的應(yīng)有結(jié)果。直到2021年實施的《個人信息保護法》正式明確自動化決策拒絕權(quán)，確立了其獨立權(quán)利地位。但由于該條款內(nèi)容較為原則，且設(shè)置了“對個人權(quán)益有重大影響”的條件，也為該項權(quán)利的落實留下需要完善的空間。

金融科技飛速發(fā)展，人工智能技術(shù)的廣泛應(yīng)用使得金融服務(wù)領(lǐng)域的服務(wù)模式、產(chǎn)品類型、業(yè)務(wù)流程效率遠超傳統(tǒng)金融服務(wù)模式，越來越多的金融機構(gòu)搭建起金融科技平臺，開始布局金融場景下的自動化決策技術(shù)。但目前金融行業(yè)的科技革新與應(yīng)用仍處于探索期，個人金融信息作為金融數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ)資源正面臨多方面的風(fēng)險挑戰(zhàn)，同時自動化決策拒絕權(quán)并未全面落地，金融科技場景下的個人金融信息保護問題尚待解決。

三、金融科技場景下個人金融信息保護的現(xiàn)狀與問題

個人金融信息的保護在金融科技不斷革新的進程上面臨著較大法律風(fēng)險，信息的泄露和濫用已經(jīng)成為金融信息主體喪失個人權(quán)益保障的一大痼疾，金融消費者對其個人金融信息的控制力愈發(fā)薄弱。權(quán)利的缺位呼吁著上層制度的完善，強化對個人金融信息權(quán)益的保障成為一項緊迫且重大的課題。金融科技場景下個人金融信息的風(fēng)險化解和制度構(gòu)建首先要厘清這一概念的底層邏輯、立法現(xiàn)狀和現(xiàn)實問題。

（一）金融科技場景下個人金融信息的構(gòu)成維度

隨著科技不斷賦能普惠金融高質(zhì)量發(fā)展，個人金融信息這一概念在金融科技場景下逐漸受到廣泛關(guān)注。從目前政策文件多次對個人金融信息概念的調(diào)整來看，大都傾向于將其納入個人信息的范疇。然而，由于個人信息的認定高度依賴場景，其概念和范圍隨著場景的不同而不同（高志宏，2023）。因此，確有必要對金融科技場景下個人金融信息的構(gòu)成元素重新審視，并對其內(nèi)涵和屬性進行闡釋，為個人金融信息保護存在的法律風(fēng)險解構(gòu)奠定基礎(chǔ)。

1.個人金融信息的內(nèi)涵厘定

金融科技平臺離不開金融大數(shù)據(jù)的支持，“數(shù)據(jù)”和“信息”之間的關(guān)系界定成為個人金融信息內(nèi)涵厘定的前提。我國《民法典》在人格權(quán)中對個人信息保護進行規(guī)定，而將“數(shù)據(jù)”與網(wǎng)絡(luò)虛擬財產(chǎn)并列規(guī)定，對二者做了區(qū)分理解。《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》同樣對“數(shù)據(jù)”和“信息”進行制度上的區(qū)分，但數(shù)據(jù)作為信息的載體，信息構(gòu)成數(shù)據(jù)的內(nèi)容，二者在利用和流通的過程中密不可分（王利明，2019）。尤其是在金融科技平臺中，金融服務(wù)過程中收集和處理信息的同時也是對數(shù)據(jù)做出一系列的集合以形成數(shù)據(jù)流。因此，對“數(shù)據(jù)”和“信息”的內(nèi)涵認識不應(yīng)固守語義規(guī)范，應(yīng)當(dāng)結(jié)合場景進行重新審視，這一觀點在立法中早有體現(xiàn)。在《個人信息保護法》中規(guī)定只要能以電子或其他方式記錄已識別或可識別自然人有關(guān)的各種信息均屬于個人信息，其中“各種信息”應(yīng)當(dāng)包含“數(shù)據(jù)”，即某一數(shù)據(jù)中包含能夠識別自然人的信息，便屬于個人信息的范疇。若機械地將數(shù)據(jù)排除在《個人信息保護法》規(guī)制對象外，將會極大限縮法律的適用范圍。

個人金融信息需要符合哪些構(gòu)成要素才能被劃定為個人信息范疇是其內(nèi)涵厘定的關(guān)鍵問題。目前大多數(shù)國家均采取個人信息或非個人信息的二元法律保護機制，即只有被劃定為個人信息范疇的信息才能受到個人信息保護法律法規(guī)的管束?！秱€人信息保護法》對個人信息進行了嚴格的界定和保護，而對于非個人信息以及匿名化的個人信息則鼓勵進入數(shù)據(jù)要素市場進行交易和流通（丁曉東，2022）。個人信息必須符合“識別”和“相關(guān)”兩個要件，所謂“識別”是指某一特定主體能夠高概率通過該信息對應(yīng)到信息主體的行為過程，所謂“相關(guān)”是指某一信息內(nèi)容直接或間接指向?qū)?yīng)的信息主體的身份或活動軌跡。因此，個人金融信息也必須符合“識別”和“相關(guān)”兩個要件才能被視為個人信息受到保護，否則就會被認定為非個人信息，則相關(guān)主體對該類信息的收集和處理無須承擔(dān)法律責(zé)任。綜上所述，個人金融信息的內(nèi)涵可以理解為金融機構(gòu)在金融管理與服務(wù)過程中利用金融科技平臺所收集和處理的，與信息主體有關(guān)并已識別或可識別信息主體的各種信息集合。

2.個人金融信息的屬性闡釋

個人金融信息具有人格屬性。個人信息能夠被用于識別、標識特定自然人特征，具有評價個體和社會認同的功能。在此意義上，個人信息具有表征自然人人格屬性的能力，因此具有人格屬性并且個人信息中的人格權(quán)益應(yīng)當(dāng)受到重視與保護。在金融科技場景下，金融機構(gòu)通過金融科技平臺不斷向信息主體收集相關(guān)信息促進個人信息不斷向個人金融信息轉(zhuǎn)化，個人金融信息作為個人信息的一種，同樣具備可識別性，所包含的征信、貸款、財務(wù)等方面的信息也能夠作為信息主體人格和社會評價判斷的依據(jù)，因此具備人格屬性。人格權(quán)也被稱為受尊重權(quán)，與人格尊嚴息息相關(guān)，具有人身專屬性，如同個人隱私一般，不允許被他人隨意控制、泄露或不當(dāng)利用。我國《民法典》以人本位從保障人的尊嚴出發(fā)將人格權(quán)獨立成編，形成了體系性的保護模式。個人金融信息包含自然人的姓名、住址、財產(chǎn)、征信、貸款等信息均涉及人的自由和尊嚴，尤其是個人的征信信息，很大程度上影響著自然人的信用評價，應(yīng)受到更為嚴格的保護。

個人金融信息具有財產(chǎn)屬性。一方面，個人信息具有財產(chǎn)屬性來源于數(shù)據(jù)特性。隨著財產(chǎn)權(quán)理論傳統(tǒng)概念的轉(zhuǎn)變，財產(chǎn)從有形財產(chǎn)延伸出了無形財產(chǎn)，擺脫了“財產(chǎn)必有物”的傳統(tǒng)觀念?！睹穹ǖ洹穼?shù)據(jù)和網(wǎng)絡(luò)虛擬財產(chǎn)的保護做了創(chuàng)新規(guī)定，認可了無形財產(chǎn)的法律地位。數(shù)據(jù)作為金融市場關(guān)鍵的流通要素，其財產(chǎn)價值尤為重要。歐盟GDPR采取以數(shù)據(jù)的形式對個人信息展開保護，這也說明其認可了數(shù)據(jù)和信息之間緊密聯(lián)系，此種聯(lián)系來源于信息在轉(zhuǎn)化為數(shù)據(jù)的過程中包含了信息所承載的信息主體的各項權(quán)益，由此個人信息便具備了財產(chǎn)屬性。另一方面，個人信息具有天然的財產(chǎn)基因。個人信息天然具備有效性、稀缺性、可控性和流通性的特點，是目前數(shù)字社會具有交換價值的稀缺性資源（彭誠信，2021）。個人金融信息的財產(chǎn)屬性更強于其他個人信息，在實踐中部分金融機構(gòu)已經(jīng)將個人金融信息作為商品在數(shù)據(jù)交易平臺中進行流通，此外，金融科技平臺可以利用個人金融信息的可預(yù)期性推算人類的行為習(xí)慣和用戶偏好，以改進金融服務(wù)決策的準確性。

（二）個人金融信息保護的立法現(xiàn)狀

個人金融信息是金融機構(gòu)日常業(yè)務(wù)工作中積累的一項重要基礎(chǔ)數(shù)據(jù)，也是金融機構(gòu)客戶個人隱私的重要內(nèi)容。金融機構(gòu)保護個人金融信息的義務(wù)肇始于英美法系中對銀行應(yīng)保護客戶隱私權(quán)的規(guī)定。隨著我國金融行業(yè)的不斷發(fā)展，個人金融信息保護也逐步受到重視。在金融行業(yè)發(fā)展初期，個人金融信息保護意識逐步建立與發(fā)展。早在2011年中國人民銀行便發(fā)布《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》，明確個人金融信息的內(nèi)涵與外延并初步確立個人金融信息收集和處理過程中應(yīng)當(dāng)遵循的數(shù)據(jù)保護要求。在金融行業(yè)發(fā)展中期，通過加強數(shù)據(jù)管理實現(xiàn)對個人金融信息的進一步保護。2013年國務(wù)院頒布《征信業(yè)管理條例》，對征信業(yè)務(wù)予以規(guī)范，規(guī)定信息主體的知情權(quán)和同意權(quán)并加強信息主體金融信用信息的管理。2018年原中國銀行保險監(jiān)督管理委員會頒布《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》，要求銀行業(yè)金融機構(gòu)加強數(shù)據(jù)治理并建立數(shù)據(jù)安全策略與標準。在金融行業(yè)發(fā)展后期，對個人金融信息的保護與立法接軌。《民法典》《數(shù)據(jù)安全法》《個人信息保護法》相繼頒布，設(shè)計諸多規(guī)定分別對個人信息保護做出了更為嚴格的保護，進一步提升了個人信息保護的法律地位。

個人金融信息因其存儲時間有限、多數(shù)信息敏感、主體權(quán)利延伸等特殊性，部分國家或地區(qū)對其采取了更為審慎的專門立法模式進行保護，引導(dǎo)不同行業(yè)規(guī)范處理個人金融信息。我國就個人金融信息并未采取統(tǒng)一的立法模式，除了個人信息保護的條款可以適用于個人金融信息保護外，僅針對個人金融信息保護的規(guī)定散見于《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《證券法》等法律之中，而關(guān)于具體權(quán)利內(nèi)容的規(guī)定則更多在行政法規(guī)、部門規(guī)章或規(guī)范性文件中得以體現(xiàn)，如《征信業(yè)管理條例》《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》等。這一立法現(xiàn)狀也造成我國個人金融信息保護缺乏統(tǒng)一、系統(tǒng)的規(guī)定，各行業(yè)已形成各自的規(guī)范群，而各行業(yè)對個人金融信息的重視程度和保護力度參差不齊，真正明確具體保護規(guī)則的規(guī)范性文件效力層級普遍過低。

（三）個人金融信息保護的問題解構(gòu)

盡管目前在理論研究和應(yīng)用實踐層面均對個人金融信息的保護路徑進行了大量探索，然而金融科技場景下自動化決策程序的普遍應(yīng)用導(dǎo)致個人金融信息保護陷入困境。所謂自動化決策程序，是指基于人工智能技術(shù)對數(shù)據(jù)進行自動化處理，通過算法程序評估及預(yù)測并給出結(jié)論的過程。算法程序本身的不透明決策過程和歧視性結(jié)論等不利因素對目前個人金融信息保護造成的不足之處尤為明顯，主要體現(xiàn)在知情同意原則落實不完善、權(quán)利救濟模式單一且低效以及風(fēng)險防控治理機制缺位三個方面。

1.知情同意原則落實不完善

知情同意原則旨在賦予信息主體獲悉并同意他人收集或處理其信息的權(quán)利。我國也構(gòu)建了以知情同意原則為核心的個人信息保護體系，但由于自動化決策技術(shù)在金融科技場景的應(yīng)用，算法程序本身的不透明性導(dǎo)致知情同意原則落實困難。一方面，告知義務(wù)落實困難。知情同意原則要求信息處理者在收集或處理信息前必須告知信息主體其目的、方式和用途等內(nèi)容，由于算法程序具有技術(shù)門檻導(dǎo)致信息主體和信息處理者之間存在地位懸殊、認知局限等因素，信息主體的知情權(quán)難以得到有效保障。另一方面，同意規(guī)則落實困難。同意規(guī)則要求信息處理者處理個人信息應(yīng)當(dāng)取得信息主體的同意，并且該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。金融科技平臺在追求金融服務(wù)效率的情況下，通常選擇通過格式條款或者隱私條款的方式取得收集、處理個人金融信息的權(quán)限。但格式條款或隱私條款沒有任何平等協(xié)商和修改條款內(nèi)容的余地，因而信息主體的“同意”往往是在迫不得已的情況下作出的，不符合本人的真實意愿。此外，處于弱勢地位的信息主體對專業(yè)性強、復(fù)雜性高的算法程序難以理解，也很難投入時間、精力去通讀了解晦澀難懂的個人信息收集政策?；谝陨显?，知情同意原則在自動化決策程序普遍應(yīng)用于金融領(lǐng)域的場景下存在難以落實的現(xiàn)實困境。

2.事前的風(fēng)險防控機制缺位

目前針對個人金融信息的保護仍以行業(yè)監(jiān)管為主，但金融機構(gòu)對個人金融信息的管理能力較為薄弱，主要體現(xiàn)在以下三個方面：第一，組織機構(gòu)不健全。金融機構(gòu)大都未設(shè)置專門的個人金融信息管理崗位，反而將管理義務(wù)分散到各個部門，導(dǎo)致責(zé)任分化甚至缺位（劉靜，2024）。第二，個人金融信息使用全過程監(jiān)管機制不健全。金融機構(gòu)對個人金融信息在各個環(huán)節(jié)的處理和流通監(jiān)管力度往往不夠，導(dǎo)致信息安全監(jiān)測困難。第三，缺乏對技術(shù)外包人員的管控機制。自動化決策程序往往需要專業(yè)性的團隊設(shè)計并開發(fā)，對于程序運行過程中個人金融信息泄露等事故責(zé)任的分配往往未明確，金融機構(gòu)自身的監(jiān)管薄弱點導(dǎo)致事前的風(fēng)險防控機制無法起到良好效用，是造成個人金融信息風(fēng)險發(fā)生的重要原因。此外，行業(yè)監(jiān)管的滯后也歸因于科技的飛速發(fā)展，自動化決策程序在金融領(lǐng)域的應(yīng)用也帶來了諸多監(jiān)管挑戰(zhàn)。一方面，金融機構(gòu)必須對各種自動化決策程序技術(shù)原理足夠了解，才能在程序運行過程中評估其潛在風(fēng)險。另一方面，傳統(tǒng)審慎的監(jiān)管理念顯然已經(jīng)落后于時代的發(fā)展，不足以面對個人金融信息安全風(fēng)險，事前的風(fēng)險防控機制成為時代所需（姜婷婷，2022）。如何完善風(fēng)險防控機制使其具備前瞻性并適應(yīng)金融新業(yè)態(tài)監(jiān)管技術(shù)要求是亟待解決的重要問題。

3.權(quán)利救濟模式單一且低效

傳統(tǒng)規(guī)則對于個人金融信息糾紛的解決途徑主要規(guī)定了投訴、和解、調(diào)解、仲裁和訴訟幾種。但這幾種救濟模式無一例外都側(cè)重于事后的救濟而非事前預(yù)防，往往會導(dǎo)致信息主體處于十分被動的局面。如在金融信息泄露或濫用案件中，信息主體通常采取訴訟手段進行救濟，首先面臨的是舉證責(zé)任的難題，金融機構(gòu)收集到個人金融信息后，通過自動化決策程序進行運算，由于程序的不透明性，信息主體往往無法知曉其權(quán)利在哪個環(huán)節(jié)受到侵害，更無法鎖定責(zé)任人，根據(jù)“誰主張，誰舉證”的一般規(guī)則，信息主體想通過訴訟途徑來獲得救濟很可能會面臨投訴無門的困境。其次面臨的是反制能力的弱化，無論是在侵權(quán)期間還是侵權(quán)后，信息主體對自己個人金融信息的控制能力較弱，由于算法自動化決策程序的專業(yè)性和復(fù)雜性，其決策過程及原因都難以被理解，更不要說作為普通公民的信息主體。正是因為自動化決策過程的不透明性導(dǎo)致信息主體的反制能力弱化，信息主體在救濟過程中都無法正確地行使權(quán)利對自身權(quán)益進行維護，甚至對自動化決策程序中違法處理信息的行為都難以認識到。此外，無論是投訴、和解、調(diào)解、仲裁和訴訟這幾種常規(guī)的救濟手段，都需要信息主體消耗很長時間和精力去應(yīng)對。隨著技術(shù)的革新和發(fā)展，自動化決策糾紛案件量不斷增加，救濟的難度大且周期長，個人金融信息，尤其是敏感金融信息，關(guān)乎信息主體各項權(quán)益，單一且低效的傳統(tǒng)救濟手段已無法適應(yīng)當(dāng)下信息流通環(huán)境。

四、金融科技場景下引入自動化決策拒絕權(quán)的正當(dāng)性與風(fēng)險性

自動化決策拒絕權(quán)的治理邏輯是在一般情況下允許信息處理者使用自動化決策程序處理信息，但當(dāng)該技術(shù)對個人權(quán)益造成重大影響且信息主體積極行使拒絕權(quán)時，處理者便會被禁止采取自動化決策程序，意在通過“原則允許+例外禁止”的方式保護個體信息權(quán)益及決策自主性。將自動化決策拒絕權(quán)付諸實踐，不僅僅要看到其為保護信息主體權(quán)益與實現(xiàn)競爭市場良善發(fā)展的設(shè)計初衷，也要正視現(xiàn)行法律規(guī)范中自動化決策拒絕權(quán)面臨的制度困境所帶來的程序性風(fēng)險。

（一）金融科技場景下引入自動化決策拒絕權(quán)的正當(dāng)性

自動化決策拒絕權(quán)對保障金融科技場景下個人尊嚴和個人權(quán)益以及對正處于形成中的自動化決策場景化規(guī)則均具有獨立且統(tǒng)領(lǐng)的作用，立法原意是為了實現(xiàn)對個人信息自主決策權(quán)利的保護以及自動化決策程序的規(guī)制。與此同時，自動化決策拒絕權(quán)還具有實現(xiàn)個人信息事前風(fēng)險防控和彌補事后救濟措施的不足雙重功能，在金融科技場景下引入自動化決策拒絕權(quán)具有制度上的正當(dāng)性。

1.知情同意原則落實的保障

《個人信息保護法》第24條不僅為自動化決策拒絕權(quán)提供了權(quán)利的形式框架和直接法律淵源，同時也設(shè)計了權(quán)利實現(xiàn)的諸多配套制度，尤其是對知情同意原則落實提供了制度保障措施。一方面，該條強調(diào)信息處理者必須遵守算法透明原則，要保障自動化決策程序的公開、透明以及結(jié)果的公平、公正。如上文所述，知情同意原則落實困難的根本原因是算法程序的不透明性，即信息主體知情權(quán)的喪失歸因于其無從得知自動化決策程序的運行過程。算法透明原則不僅要求信息處理者實現(xiàn)自動化決策全過程的透明，還要求其必須對決策程序和結(jié)果作簡要說明（徐鳳，2019）。另一方面，該條設(shè)置算法解釋權(quán)實現(xiàn)信息主體對自動化決策程序知情更全面的保障，所謂算法解釋權(quán)，是指信息主體有權(quán)要求信息處理者對自動化決策程序進行必要的解釋說明，以便對是否行使自動化決策拒絕權(quán)做出正確選擇。相較于算法透明原則的全過程透明要求，算法解釋權(quán)僅在自動化決策程序做出的決定對個人權(quán)益有重大影響的前提下發(fā)生，但算法解釋權(quán)無論是解釋的范疇，還是解釋內(nèi)容的完整度、詳細度、可理解度以及同個人信息之間的關(guān)聯(lián)度都要遠超于算法透明原則的要求。正是由于算法透明原則和算法解釋權(quán)的雙重保障，信息主體的知情權(quán)才得以保障，進而幫助信息主體做出是否同意信息被處理的判斷。正因如此，即便是同意規(guī)則因為各種原因沒能準確落實，信息主體還有機會行使自動化決策拒絕權(quán)拒絕信息處理者采用自動化決策程序做出對其個人權(quán)益有重大影響的決定。

2.事前風(fēng)險防控的制度選擇

自動化決策程序是一系列復(fù)雜、專業(yè)、動態(tài)的數(shù)據(jù)處理過程，每一個環(huán)節(jié)都可能對信息主體的個人權(quán)益產(chǎn)生不利影響和法律風(fēng)險，僅僅依靠行業(yè)監(jiān)管和事后的私力救濟遠遠不夠。自動化決策拒絕權(quán)賦予信息主體能夠在事前階段獲取必要的信息并對自動化決策建立一定合理預(yù)期，讓信息主體實時跟進并確認自動化決策程序處理相關(guān)信息并根據(jù)個人意愿行使權(quán)利從而達到人為干預(yù)自動化決策過程的效果。自動化決策拒絕權(quán)并不是一項孤立的權(quán)利，而是一套多層次、立體化的權(quán)利體系。正是因為信息主體擁有自動化決策拒絕權(quán)，信息處理者收集或處理信息必須符合各項程序性要求以此來實現(xiàn)法律意義上的合規(guī)。第一，信息處理者必須履行告知義務(wù)，應(yīng)當(dāng)告知信息主體自動化決策程序的存在和后續(xù)結(jié)果。第二，信息處理者必須遵守算法透明原則，應(yīng)當(dāng)以通俗易懂的方式告知自動化決策程序的原理和標準。第三，信息處理者必須應(yīng)信息主體要求履行算法解釋義務(wù)并提供便捷的拒絕方式。當(dāng)所采用自動化決策程序做出的決定對信息主體的個人權(quán)益有重大影響時，信息主體有權(quán)要求信息處理者對自動化決策程序的原理、信息處理的根據(jù)等內(nèi)容進行解釋，同時信息處理者需告知并為信息主體提供便捷的拒絕方式。綜上所述，聯(lián)動化的行權(quán)理念以及科學(xué)的配套措施讓自動化決策拒絕權(quán)為信息主體干預(yù)自動化決策程序處理信息過程提供持續(xù)支持，賦予信息主體自動化決策拒絕權(quán)是實現(xiàn)事前風(fēng)險防控的制度選擇。

3.救濟措施彌補的基本訴求

以往的個人信息侵權(quán)案件大都需要信息主體采取事后救濟的方式挽回自己的人格尊嚴或經(jīng)濟損失，但這一救濟途徑顯然面臨著成本高、效率低等弊端。隨著人們對自身人格尊嚴及個人權(quán)益保護的愈發(fā)重視，呼吁制度層面賦予其更多救濟權(quán)利的訴求也逐步得到回應(yīng)。自動化決策拒絕權(quán)賦予了信息主體對不公正的自動化決策結(jié)果進行人工干預(yù)的權(quán)利，目的是讓信息主體免受自動化決策程序錯誤判斷并提前阻止其個人權(quán)益被侵害。自動化決策拒絕權(quán)不僅實現(xiàn)事前風(fēng)險防控，也將原本局限于事后的救濟措施提前至自動化決策過程中。一方面，基于算法透明原則和算法解釋權(quán)，信息主體有權(quán)實時了解自動化決策處理信息的過程，當(dāng)其認為自身個人權(quán)益可能或已經(jīng)受到侵害時，有權(quán)向信息處理者發(fā)出變更、刪除、限制處理等指令進行人為干預(yù)或補救。另一方面，基于自動化決策拒絕權(quán)，信息主體有權(quán)對自動化決策程序所得出的結(jié)果提出異議，信息處理者必須采取適當(dāng)安保措施人工介入，防止損害結(jié)果進一步擴大。總的來說，自動化決策拒絕權(quán)賦予了信息主體提前實現(xiàn)救濟的可能，且該救濟途徑相較于傳統(tǒng)的司法救濟途徑來說更為直接。賦予個體私權(quán)以對抗自動化決策引發(fā)的不公正、不合理從而提升個體對其信息權(quán)益的控制和救濟能力（林洹民，2020），得以彌補傳統(tǒng)救濟措施的不足之處。

（二）金融科技場景下引入自動化決策拒絕權(quán)的風(fēng)險性

自動化決策決絕權(quán)的引入具有落實知情同意原則、提供事前風(fēng)險防控、彌補救濟措施等現(xiàn)實需要，但由于立法規(guī)則的模糊性導(dǎo)致該權(quán)利適用面臨著權(quán)利聯(lián)系機制不詳、適用標準不清、例外規(guī)定缺失等程序性風(fēng)險。尤其是在金融科技這類涉及利益平衡的行權(quán)場景下，行權(quán)規(guī)則和條款適用性的不足更加明顯。

1.權(quán)利實現(xiàn)的連續(xù)機制不詳

自動化決策拒絕權(quán)賦予了信息主體有機會能夠拒絕自動化決策程序做出的決定，但卻并未賦予信息主體繼續(xù)請求人工決策的權(quán)利，也沒有設(shè)定信息處理者對自動化決策進行人工決策的義務(wù)，導(dǎo)致自動化決策拒絕權(quán)與后期信息主體行使撤回同意或刪除權(quán)之間存在權(quán)利“鴻溝”。這就意味著信息主體為了防止自動化決策程序做出的決定損害其個人權(quán)益做出拒絕的指令，也就在一定程度上喪失了繼續(xù)尋求信息處理者提供服務(wù)的機會，這類似于“隱私條款”的設(shè)置理念，即不同意條款的規(guī)定即意味著無法獲得相應(yīng)的服務(wù)。顯然，這不是立法者設(shè)置自動化決策決絕權(quán)所希望達到的效果，造成這一局面的原因即是權(quán)利實現(xiàn)的連續(xù)機制的缺位。尤其在金融科技場景下，金融機構(gòu)利用互聯(lián)網(wǎng)、算法等技術(shù)創(chuàng)新了信貸服務(wù)形式，從客戶獲取與拓展、貸款資質(zhì)審核、個人信用評估和授信放貸簽約均通過自動化決策程序?qū)崿F(xiàn)。隨著金融機構(gòu)業(yè)務(wù)量的激增，如果客戶一旦行使自動化決策拒絕權(quán)，人工決策的程序也難以開展。一方面，金融機構(gòu)依托自動化決策強大的算法和算力，其工作效率相較于人工決策呈幾何倍增長，大量的人工決策效率低下且極大增加運營成本。另一方面，在決策結(jié)果的準確性上，雖然同樣是人為設(shè)計的自動化決策程序也避免不了算法歧視因素，但人工決策受到認知偏見的影響更大。此外，自動化決策的思維和邏輯更為縝密和理性這一觀點深入人心，即便是人工決策也會自然而然地傾向于自動化決策程序所得出的結(jié)果。因此，由于沒有設(shè)置權(quán)利實現(xiàn)的連續(xù)機制，將可能會導(dǎo)致自動化決策拒絕權(quán)成為“一紙空文”。

2.“重大影響”的標準不清

《個人信息保護法》第24條規(guī)定只有在自動化決策程序的決定對信息主體的個人權(quán)益有重大影響時，信息主體才能夠行使自動化決策拒絕權(quán)。類似地，歐盟GDPR同樣規(guī)定個人對自動化決策產(chǎn)生的不利法律后果或類似重大影響有權(quán)拒絕。相比之下，《個人信息保護法》將權(quán)利適用場景限縮在“重大影響”，縮小了自動化決策拒絕權(quán)的行使范圍，并將舉證責(zé)任劃分給了信息主體。然而，法律并未對“重大影響”的標準進行規(guī)定，導(dǎo)致法律后果是否達到“重大”程度沒有明確的界限。在強制性具體規(guī)則缺失的情形下，信息處理者可以輕易以法律后果對個人權(quán)益并未達到“重大影響”為由，反駁信息主體提出的自動化決策拒絕權(quán)。在金融科技場景下，個人金融信息對個人權(quán)益的重要性不言而喻，并且金融信息的泄露和濫用在多數(shù)侵權(quán)案件中都引發(fā)嚴重甚至難以挽回的法律后果。對于金融信息主體而言，金融科技尤其是自動化決策技術(shù)的創(chuàng)新和應(yīng)用對信息主體帶來的強制授權(quán)、過度索權(quán)或超范圍收集并處理信息都有可能造成嚴重的法律風(fēng)險。但這并不意味著只要自動化決策發(fā)生在金融領(lǐng)域即認定決策結(jié)果對信息主體來說具有重大影響，更不能認為自動化決策程序收集了個人金融信息就判定決策對信息主體產(chǎn)生重大影響，必須審慎考察決策結(jié)果是否對信息主體個人權(quán)益產(chǎn)生重大影響，防止自動化決策拒絕權(quán)不受濫用的同時也促進金融科技的規(guī)范發(fā)展。

3.權(quán)利適用的例外規(guī)定缺失

所謂的例外規(guī)定，也被稱為權(quán)利的限制性規(guī)定，是指在滿足一定的條件下，權(quán)利人不允許行使權(quán)利的規(guī)定。現(xiàn)如今金融科技平臺發(fā)展迅速，信息資源的流動性和可獲取性是其發(fā)展的動力來源，帶有個人身份信息的金融信息是金融機構(gòu)開展各項業(yè)務(wù)不可缺少的要素。能夠高效利用個人信息的自動化決策程序成為金融行業(yè)必不可少的工具，科技的革新對個人金融信息保護帶來更多挑戰(zhàn)和法律風(fēng)險。法律制度設(shè)計的終極目標是在保護個人自由和權(quán)利的同時兼顧整個社會的發(fā)展和全人類的生存（梁上上，2021）。如果自動化決策拒絕權(quán)行使條件過于嚴苛，將可能導(dǎo)致該項權(quán)利處于“沉睡”狀態(tài)難以被啟用;如果自動化決策拒絕權(quán)行使條件過于寬松，將可能導(dǎo)致該項權(quán)利被濫用，最終導(dǎo)致個人權(quán)益和公共利益兩敗俱傷。因此，例外規(guī)定的設(shè)置并非為了限制自動化決策拒絕權(quán)的行使，反而是促進權(quán)利規(guī)范適用的良善制度。《個人信息保護法》并未對自動化決策拒絕權(quán)的例外情形做出直接規(guī)定，僅在13條中規(guī)定信息處理者在特定情形下可以不經(jīng)過信息主體同意開展信息處理活動，但該規(guī)定只能被視為是對“同意”要件的豁免而非對自動化決策拒絕權(quán)。首先，制度目的不同。第13條的規(guī)定目的是為信息處理者處理未被“同意”的信息提供合法性基礎(chǔ)，而非為了限制自動化決策拒絕權(quán)。其次，制度取向不同。第13條更側(cè)重于信息處理者所處理信息的來源的合法性，而自動化決策拒絕權(quán)更側(cè)重于自動化決策結(jié)果對信息主體的影響。最后，風(fēng)險程度不同。第13條所規(guī)定的特定情形包括履行合同或法定職責(zé)、緊急事件下保護個人生命健康或財產(chǎn)安全以及實現(xiàn)公共利益等情形，信息處理者迫不得已處理未被“同意”的信息。在此情形下，即便是信息主體個人權(quán)益會受到影響，但因公共利益的需要具有合法性。自動化決策是個人信息處理的高階形態(tài)，這一過程可能對個人權(quán)益造成更大程度和更大范圍的風(fēng)險。鑒于此，由于自動化決策拒絕權(quán)例外規(guī)定的缺失，很可能導(dǎo)致個人權(quán)益過度保護擠占公共利益發(fā)展的空間。

五、金融科技場景下自動化決策拒絕權(quán)的風(fēng)險化解與制度構(gòu)建

自動化決策拒絕權(quán)的引入能夠化解金融科技場景下個人金融信息保護風(fēng)險，但同時也帶來新的制度挑戰(zhàn)，在現(xiàn)行制度的基礎(chǔ)上如何構(gòu)建完善的權(quán)利保障體系是目前應(yīng)當(dāng)首要解決的關(guān)鍵問題。為此，必須深入自動化決策運行邏輯和形成機理，通過場景化治理尋找風(fēng)險化解和制度構(gòu)建的著力點。

（一）明確自動化決策拒絕權(quán)的連續(xù)機制

關(guān)于自動化決策拒絕權(quán)的連續(xù)機制的設(shè)計，在《個人信息保護法》第24條第3款“信息主體在自動化決策做出的決定對個人權(quán)益有重大影響時有權(quán)拒絕該決定”規(guī)定的基礎(chǔ)上主要有三條可解釋的路徑：第一條路徑是信息主體行使自動化決策拒絕權(quán)后，不允許信息處理者再對相同信息進行任何決策行為，包括自動化決策和人工決策;第二條路徑是信息主體行使自動化決策拒絕權(quán)后，無須信息主體繼續(xù)主張任何權(quán)利，信息處理者必須承擔(dān)人工決策的義務(wù);第三條路徑是信息主體行使自動化決策拒絕權(quán)之后有權(quán)繼續(xù)要求信息處理者對自動化決策進行人工干預(yù)并作出正當(dāng)決定。第一條路徑采取了禁令路徑，一旦信息主體行使自動化決策拒絕權(quán)，自動化決策程序做出的決定不再對該信息主體產(chǎn)生法律效力，因此也無所謂連續(xù)機制。相比之下，第二、三條路徑則并未采取禁令路徑，信息主體行使自動化決策拒絕權(quán)后，需要有連續(xù)機制保障信息主體權(quán)益得以繼續(xù)實現(xiàn)。歐盟GDPR第22條第1款對自動化決策拒絕權(quán)進行設(shè)計后，在第3款設(shè)計了人工干預(yù)權(quán)、表達權(quán)和異議權(quán)等從權(quán)利為信息主體提供人工干預(yù)決策的連續(xù)性程序救濟，有效填補了權(quán)利保障體系的空缺。我國《個人信息保護法》并沒有類似GDPR第22條第3款連續(xù)機制的規(guī)定，僅采取賦權(quán)的模式規(guī)定信息主體有權(quán)要求信息處理者予以說明以及有權(quán)拒絕自動化決策程序做出的決定。鑒于此，我國并未對自動化決策拒絕權(quán)的連續(xù)機制做出設(shè)計，并且也并未采取禁令路徑，而是采取賦權(quán)路徑設(shè)計自動化決策拒絕權(quán)，第一條路徑顯然不適用于我國的現(xiàn)行法律制度。第二、三條路徑均肯定了設(shè)置連續(xù)機制的必要性，兩條路徑的區(qū)別在于連續(xù)機制是由信息主體啟動還是信息處理者啟動。從權(quán)利行使的成本和效率兩個角度進行分析，信息處理者在信息主體行使完自動化決策拒絕權(quán)后均要介入并進行人工決策，將會極大增加信息處理者的成本并嚴重影響其經(jīng)營效率;相反，信息處理者在信息主體行使完自動化決策拒絕權(quán)后僅負有停止再繼續(xù)處理其信息的義務(wù)，由信息主體根據(jù)自身情況自行主張“請求信息處理者人工干預(yù)的權(quán)利”，這將會節(jié)省大量的成本，也防止公共資源被過度浪費?？梢?，第三條路徑似乎是最符合我國立法實踐的權(quán)利模式，但這僅僅只是理論層面的分析，連續(xù)機制如何設(shè)計才能在實踐中發(fā)揮最大制度價值還需要結(jié)合場景具體分析。

自動化決策在金融業(yè)發(fā)揮重要的作用，其在決策準確性以及決策效率上具有明顯的優(yōu)勢，但這并不能據(jù)此否定人工決策的科學(xué)性和可行性。一方面，人類人格尊嚴無法被參數(shù)化，即便是算法程序有強大的深度學(xué)習(xí)能力，也不在其感知范圍內(nèi)。另一方面，自動化決策與人工決策在認知上仍有差異，算法程序更多是模仿人類的神經(jīng)元運作形態(tài)并跟隨人類的認知過程。因此，人工決策很有可能會做出與自動化決策不同的結(jié)果，這也重申了人工決策的價值所在。但隨著金融業(yè)務(wù)量的劇增，傳統(tǒng)的人工決策效率低下，很難促進金融服務(wù)質(zhì)效的提升，唯有依賴自動化決策程序才能實現(xiàn)金融行業(yè)降本增效的成果?；诖?，在與金融科技相類似的場景下，設(shè)計自動化決策拒絕權(quán)的連續(xù)機制就不得不考慮人工決策的成本問題，必須在權(quán)利保障和行業(yè)高效發(fā)展之間找到平衡點。此時，由信息主體行使“要求信息處理者人工干預(yù)并作出正當(dāng)決定”的請求權(quán)，信息處理者在接到信息主體拒絕權(quán)后只要主動中斷自動化決策進程并等待信息主體下一步請求即可。這一路徑在飛速發(fā)展的金融行業(yè)中能夠真正實現(xiàn)制度的公平、效率。誠然，在政府決策、司法決策等場景下，采用自動化決策做出的決定很可能嚴重危害到個體的生命健康或生產(chǎn)經(jīng)營，此時人工決策的必要性不容忽視，必須由信息處理者主動進行干預(yù)才能降低法律風(fēng)險。

（二）細化“重大影響”標準的具體指向

在細化“重大影響”標準之前，首先，要明確對“重大影響”標準的判斷應(yīng)當(dāng)是基于主觀還是客觀的問題。在《個人信息保護法草案》中將自動化決策拒絕權(quán)相關(guān)條款規(guī)定為“個人認為通過自動化決策方式作出對個人權(quán)益有重大影響……有權(quán)拒絕……自動化決策的方式作出決定”，對“重大影響”標準采用了主觀判斷的立法態(tài)度。但大部分學(xué)者認為每個信息主體所理解的“重大影響”均不相同，其標準仍應(yīng)以一般理性人的視角從客觀進行判斷而非采取主觀判斷。據(jù)此，《個人信息保護法》做出了相應(yīng)的修改，將基于個人主觀意識判斷的“重大影響”變更為客觀因素推定的“重大影響”，在一定程度上避免了規(guī)則適用時的標準模糊問題。其次，要明確“重大影響”標準的具體指向。歐盟GDPR第22條第1款將“法律及近似重大影響”作為行權(quán)的前置條件，所謂“法律影響”是指對導(dǎo)致個人的法律權(quán)利或法律地位發(fā)生改變的處理活動;“近似重大影響”實際上是對“重大影響”的實質(zhì)性擴展。結(jié)合我國個人信息保護的實踐基礎(chǔ)，可以推斷出“重大影響”標準具體指向兩個方面：一是將“法律影響”包含進“重大影響”的范疇內(nèi)。當(dāng)自動化決策做出的決定影響信息主體的法律權(quán)利或法律地位時，信息主體得以行使自動化決策拒絕權(quán)維護自身的權(quán)益，法律權(quán)利或法律地位來源于制定法的規(guī)定以及已生效合同;二是拓展“重大影響”的范疇，所拓展范疇的限度應(yīng)當(dāng)近似于產(chǎn)生“法律影響”的臨界標準。具體而言，自動化決策的過程和結(jié)果均可能對信息主體的個人權(quán)益產(chǎn)生不利影響。從過程的角度而言，自動化決策未經(jīng)授權(quán)將信息主體的信息在不同網(wǎng)站、平臺或設(shè)備上進行投送，雖然尚未在結(jié)果層面造成不利影響，但對信息主體產(chǎn)生的潛在影響不可忽視。從結(jié)果的角度而言，自動化決策做出的決定對信息主體的影響不僅要考慮已經(jīng)發(fā)生的影響，還需要考慮潛在的影響（張欣，2017）。最后，由于實踐中場景化的差異，“重大影響”標準仍不夠清晰，在規(guī)則中根據(jù)不同場景判斷規(guī)則和衡量基準尤為重要。

根據(jù)一般理性人標準，只要是對個人的生命健康、財產(chǎn)安全造成的影響均屬于“重大影響”?；诖耍畔⒅黧w因自動化決策導(dǎo)致其在金融活動中喪失簽約機會或財產(chǎn)損失的，均可以認定為“重大影響”。一方面，將法律影響視為對個人造成重大影響。如自動化決策對信息主體的信用信息評估的結(jié)果不利導(dǎo)致合同無法締結(jié)，應(yīng)當(dāng)認定對信息主體產(chǎn)生重大影響;當(dāng)該不利結(jié)果導(dǎo)致連續(xù)性合同被終止或合同權(quán)利、義務(wù)、責(zé)任變更時，信息主體也得以行使自動化決策拒絕權(quán)。另一方面，自動化決策結(jié)果可能影響個人經(jīng)濟狀況、機會、選擇時，也應(yīng)當(dāng)認定為“重大影響”。如自動化決策對信息主體的信用信息評估的結(jié)果不利導(dǎo)致其喪失信貸機會。畢竟，個體在生產(chǎn)經(jīng)營過程中的信用信息是締結(jié)合同或獲得信貸機會的評判標準，信用信息的交流共享可以助力市場主體提高風(fēng)險控制、促進交易達成以及做出最優(yōu)決策，自動化決策對信用信息的評估對于信息主體從事經(jīng)營活動尤為重要，給予其一定的救濟措施也是填補個人與金融機構(gòu)之間實力懸殊和促進市場經(jīng)營有序發(fā)展的制度保障。

（三）制定自動化決策拒絕權(quán)的例外規(guī)定

為了實現(xiàn)個人權(quán)益和公共利益之間的平衡，權(quán)利賦予的同時一定會制定例外規(guī)定以實現(xiàn)更好應(yīng)對突發(fā)性事件或緊急情況。如歐盟GDPR第22條第2款對自動化決策拒絕權(quán)的例外規(guī)定進行了設(shè)計：一是信息處理者采取自動化決策程序是合同目的實現(xiàn)之必需;二是信息主體明確在合同中同意采取自動化決策程序;三是法律明確允許在某一特定場景下使用自動化決策程序。我國《個人信息保護法》并未制定自動化決策拒絕權(quán)的例外規(guī)定，導(dǎo)致無論何時信息主體的個人權(quán)益只要受到重大影響均可行使權(quán)利阻止信息處理者采用自動化決策程序，這不利于行業(yè)的創(chuàng)新發(fā)展以及公共利益的實現(xiàn)。因此，我國應(yīng)在現(xiàn)有法律規(guī)定的基礎(chǔ)之上，考慮為自動化決策拒絕權(quán)制定例外規(guī)定，在賦予信息主體拒絕自動化決策決定的同時也兼顧信息處理者獲得必要豁免的可能。對此，可以借鑒GDPR第22條第2款的規(guī)定結(jié)合具體場景進行制度的設(shè)計。

從合同必要性規(guī)定出發(fā)，當(dāng)采用自動化決策程序?qū)儆诤贤康膶崿F(xiàn)的必要條件時，自動化決策拒絕權(quán)的適用將與合同的履行相矛盾，信息主體便不具備行使該權(quán)利的正當(dāng)性。此時，由于自動化決策拒絕權(quán)被限制適用導(dǎo)致信息主體的權(quán)利被克減，法律必須審慎給出明確且清晰的指引，防止信息處理者在其隱私條款中編排必要性條款從而排除信息主體的權(quán)利。一方面，通過評估自動化決策程序在實現(xiàn)合同目的中是否具有合理性以及合同締約或履行過程中是否發(fā)揮實質(zhì)性作用來對合同必要性進行考察，只有當(dāng)自動化決策程序是合同目的實現(xiàn)的必要條件并在合同締約或履行過程中發(fā)揮實質(zhì)作用時，才認定構(gòu)成合同必要性條件。另一方面，在信息處理者正當(dāng)利益與信息主體個人權(quán)益相同的情況下，評估采用自動化決策程序是否是對信息主體侵害最小的選擇，防止信息處理者片面追求自身利益而侵害信息主體的個人權(quán)益。從社會整體利益角度看，現(xiàn)不宜將合同必要性認定設(shè)置得太過苛刻，過分地排除自動化決策程序不利于國際市場競爭，尤其是金融市場。

從“當(dāng)事人同意”規(guī)定出發(fā)，只要當(dāng)事人明確同意自動化決策程序的使用即喪失自動化決策拒絕權(quán)。這一規(guī)定在歐盟GDPR中亦有體現(xiàn)，但在實踐中該規(guī)定難以落實，原因在于以告知義務(wù)為核心的制度設(shè)計難以保證知情權(quán)的落實，知情同意原則目前仍難以發(fā)揮應(yīng)有的作用。因此，我國引入該規(guī)則，必須確保個人的真實意志得到體現(xiàn)。一方面，信息處理者必須針對自動化決策程序的應(yīng)用提供單獨征求同意的頁面，并清晰、詳細告知自動化決策與人工決策之間的區(qū)別和風(fēng)險，避免信息處理者采用抽象條款獲得信息主體對包括自動化決策程序在內(nèi)的所有信息處理程序的概括授權(quán)。另一方面，應(yīng)當(dāng)設(shè)置開放性條款，如“法律規(guī)定的其他情形”，當(dāng)發(fā)生突發(fā)性事件或緊急情況時，能夠根據(jù)客觀情況的改變靈活調(diào)整規(guī)則的適用。

自動化決策拒絕權(quán)的例外規(guī)定僅僅只是排除信息主體對自動化決策程序的拒絕，但并不排除《個人信息保護法》賦予的其他權(quán)利的實現(xiàn)。信息主體仍能夠行使個人信息查閱復(fù)制權(quán)、更正補充權(quán)，即信息主體有權(quán)對其個人信息進行查閱，若發(fā)現(xiàn)信息錯誤或缺失，有權(quán)要求人工介入對錯誤之處進行更正或?qū)θ笔Р糠诌M行補充，修改完畢后信息主體仍可以請求信息處理者進行決策。此外，信息處理者仍需要遵守算法透明原則保證信息收集和處理的透明、公開并履行一定的說明義務(wù)。對于自動化決策拒絕權(quán)的例外規(guī)定，我國可以參考域外立法，將其設(shè)置在自動化決策拒絕權(quán)條款項下，為個人提供更清晰的規(guī)范指引。

六、結(jié)語

自動化決策技術(shù)在金融科技場景中的應(yīng)用不斷對個人金融信息保護發(fā)起挑戰(zhàn)，金融信息風(fēng)險尤為需要重視。自動化決策拒絕權(quán)的權(quán)利確立賦予了信息主體一定程度的信息自決權(quán)，不僅有助于個體及時維護自身權(quán)益，還能夠有效實現(xiàn)自動化決策程序的合規(guī)。就自動化決策拒絕權(quán)而言，我國對該權(quán)利的制度設(shè)計仍處于新生階段，還需要逐步結(jié)合實際進行制度完善。歐盟GDPR不僅在個人隱私權(quán)保護方面規(guī)定成熟，并且在自動化決策規(guī)制方面也有著精妙的制度設(shè)計，為我國金融領(lǐng)域?qū)崿F(xiàn)個人金融信息保護和自動化決策規(guī)制提供了可借鑒的制度經(jīng)驗。個人信息法律保護的立法進程本就是一個系統(tǒng)并且逐步完善的過程，自動化決策拒絕權(quán)在某種程度上解決了個人金融信息保護面臨的諸多現(xiàn)實問題，但也帶來新的法律問題，權(quán)利連續(xù)機制不詳、適用標準不清、例外規(guī)定缺失等程序性風(fēng)險正是目前面臨的制度問題。制度的不完善也導(dǎo)致個人金融信息面臨新一輪的危機，本文從制度完善角度針對性給出了問題解決的對策，并結(jié)合金融科技場景為個人金融信息保護模式提供進一步完善的新思路。但需要說明的是，制度的完善僅僅只是自動化決策拒絕權(quán)在實踐中能夠有效施行的第一步，對權(quán)利的塑造和制度的探索仍是一項未盡的工程。未來，還需要針對個人金融信息保護出臺專門性的法律，結(jié)合金融科技場景系統(tǒng)規(guī)制金融信息主體的自動化決策拒絕權(quán)，以及人工干預(yù)權(quán)、異議權(quán)等的配套權(quán)利，精心打造算法時代新型金融信息權(quán)利譜系，真實實現(xiàn)國家經(jīng)濟安全、金融信息安全、個人信息權(quán)益保護多重目標，彰顯科技賦能金融的多元價值。

（責(zé)任編輯：孟潔）

參考文獻：

[1]刁勝先，徐云燕.對歐盟GDPR反對權(quán)的本土主義反思與建議[J].科技與法律（中英文），2021（5）：45-54.

[2]丁曉東.論個人信息概念的不確定性及其法律應(yīng)對[J].比較法研究，2022（5）：46-60.

[3]高志宏.數(shù)字經(jīng)濟時代個人信息的識別標準及規(guī)范續(xù)造[J].社會科學(xué)輯刊，2023（2）：68-77.

[4]姜婷婷.行為監(jiān)管視角下個人金融信息保護問題研究[J].金融論壇，2022，27（6）：74-80.

[5]梁上上.利益衡量論[M].北京：北京大學(xué)出版社，2021.

[6]劉靜.金融監(jiān)管中的行為助推：理論追溯及實踐探索[J].海南金融，2024（1）：35-44.

[7]林洹民.個人對抗商業(yè)自動決策算法的私權(quán)設(shè)計[J].清華法學(xué)，2020，14（4）：125-139.

[8]馬長山.智慧社會背景下的“第四代人權(quán)”及其保障[J].中國法學(xué)，2019（5）：5-24.

[9]梅傲，謝冰姿.個人數(shù)據(jù)反對權(quán)的歐盟范式及中國方案[J].德國研究，2022，37（6）：99-117+124.

[10]彭誠信.論個人信息的雙重法律屬性[J].清華法學(xué)，2021，15（6）：78-97.

[11]齊延平，朱家豪.完全自動化決策拒絕權(quán)的雙重功能及實現(xiàn)路徑[J].國家檢察官學(xué)院學(xué)報，2023，31（6）：157-174.

[12]唐林垚.“脫離算法自動化決策權(quán)”的虛幻承諾[J].東方法學(xué)，2020（6）：18-33.

[13]王華，馬曉芳.“機器代人”還是“創(chuàng)新聚人”？——數(shù)字金融發(fā)展對傳統(tǒng)金融業(yè)就業(yè)的影響[J].海南金融，2024（2）：58-75.

[14]王利明.數(shù)據(jù)共享與個人信息保護[J].現(xiàn)代法學(xué)，2019，41（1）：45-57.

[15]文銘，易永豪.論被遺忘權(quán)的本土化移植[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2020，32（6）：79-88.

[16]徐鳳.人工智能算法黑箱的法律規(guī)制——以智能投顧為例展開[J].東方法學(xué)，2019（6）：78-86.

[17]張欣.免受自動化決策約束權(quán)的制度邏輯與本土構(gòu)建[J].華東政法大學(xué)學(xué)報，2021，24（5）：27-40.

[18]趙宏田.用戶畫像方法論與工程化解決方案[M].北京：機械工業(yè)出版社，2020.

作者簡介：徐偉琨（1997-），男，上海人，暨南大學(xué)法學(xué)院/知識產(chǎn)權(quán)學(xué)院博士研究生。