杨一健 王锡锌:数字行政的算法风险及法律规制:法国经验与中国意义
杨一健摘 要:公共行政数字化、算法化已成为数字化时代行政技术变迁的趋势。从行政法治角度看,如何对算法风险进行法律规制,渐成行政法组织和制度变革的重大命题。将算法引入行政活动,在提高行政效益的同时,亦带来前所未有的风险。对算法行政之风险的应对及管理,是行政法制度面临的一个普遍性挑战。在这个意义上,域外经验具有很强的本土意义。法国行政法从规范“基于算法作出的具体行为”的角度,展开算法行政法律规制的制度探索。从法律实践观察,以算法行政公开透明为中心的行政法规制框架虽具有一定效用,但无法有效应对多元的复合风险。对算法行政进行法律规制,需要在强调算法公开透明的基础上,进一步从源代码合理性、转译可靠性、数据源合法性、算法行政可诉性等维度展开系统性的规制。
关键词:法国行政法;算法行政;具体行政行为;合法性审查;制度规制
引言
行政算法化似乎已成为优化当代公共行政的“灵药”。算法可提升行政效率:算法迅捷、精确、可反复适用,可避免公共财政资源与公务人力资源的浪费;算法可优化行政质量:算法的预测性与预防性既可满足公众对公共行政的个性化需求,亦可使行政主体规避社会风险;算法规则“客观且无差别”的适用于所有公众,既可避免行政权肆意专断,亦体现了公共服务平等性原则。 算法给公共行政带来红利的同时,也带来前所未有的社会风险与制度挑战。算法行政的初始运行规则源自对行政法规范“法律语言的代码化转译”,例如将某抽象行政行为所规定的规则与标准转译为算法代码。通过行政意志的代码化,行政法载体由“清晰可读”的法律语言变为极少数公众可读的代码语言,行政法规范将丧失形式上的清晰性与可读性,公众亦难基于代码语言预见法律后果;算法行政难以保障绝对客观,行政法转译为代码的过程中,若转译主体加入自己的偏见、误解或主观解释,必然会影响算法源代码的准确性与合法性;转译主体并非传统法律上的适格法律解释主体,其主观解释的适法性存疑;若行政主体无法掌控算法规则的自行演化,算法行政是行政意志还是代码意志?此时算法将在法律位阶上凌驾于法律之上,成为最高律法。算法行政对行政裁量权的限缩虽一定程度上可以减少专断,但若行政主体无法掌控算法演化,行政主体亦将成为“算法专断”的受害者。“算法无数据则目翳,数据无算法则喑哑。”在大数据时代,算法行政的质量不仅由算法代码的质量决定,还受算法数据源的质量影响。若数据源的正确性、代表性、完整性存疑,甚至带有歧视性,以上瑕疵必导致算法偏离,从而降低公共行政质量。
行政权对技术的拥抱态势,逐渐催生出“数治”这一新的治理技术。以法国为例,数据、算法、行政的结合,正成为法国行政主体的“一项偏好”。法国信息与自由委员会将“算法”定义为:输入源数据后能得出相应结果的一定且清晰的指令。依据算法是否有自行演化预设指令的功能,可将算法二分为“传统算法”与“机器学习算法”。“算法行政”则是“将算法处理应用于公共行政以实现行政目的具体实践”的统称。依据是否有人工介入具体政务并作出裁量,可将算法行政分为“辅助算法行政”与“全自动算法行政”。
从行政实体法角度看,法国行政法于2016年开始对算法行政作出规制,并将“基于算法作出具体行政行为”纳入法律的调整范围。基于对相对人知情权的保障,2016年《数字共和国法》批准行政主体可基于算法作出具体行政行为。随后2018年《个人信息保护法》对全自动算法行政作出特别规制。至此,以算法行政公开透明原则为基石,以保护相对人知情权为保障的制度结构基本确立。法国行政法对算法行政的法律规制能否有效应对算法风险?又有哪些值得吸取的经验教训?出于对人工智能的特别规制,2021年出台的《欧盟人工智能法案草案》将对当前法国算法行政法律规制的制度架构带来哪些变革?目前,我国法治建设正处于数字化转型的关键节点,而数字行政离不开行政法治的保障及规制。本文从行政法学视角着重讨论“基于算法作出的具体行政行为”,通过分析法国算法行政法律规制的制度模型,并对其不足进行反思,以期得出对我国算法行政法律规制的制度架构有益的借鉴。
一、法国算法行政法律规制的制度架构
“法律简化”是法国公共行政简化运动的核心。但算法行政适用法的演化进程却纷繁复杂。法国算法行政的现行制度架构为:《公众与行政关系法典》(下文简称《政民关系法典》)对算法行政作出一般规定;《信息、文件与自由法》(下文简称《信息与自由法》)是规制个人信息收集处理的“准法典”规范;《个人信息保护法》对“全自动算法行政”特别规制。
(一)《政民关系法典》对算法行政的一般规定
2016年起,算法开始广泛应用于行政给付、税额计算、公共财政、公共治安、公共医疗、公共教育等法国公共行政事务中。作为算法行政的“总则性规范”,《政民关系法典》第L.311-3-1条批准行政主体可基于算法作出具体行政行为。该条的适用主体为《政民关系法典》第L.100-3条定义的“行政主体”:其法律概念大于我国行政法上的“行政机关”,包括中央政府及其职能部门、地方政府及其职能部门、公法人或公法机构、公共社会保险机构与履行“行政公共服务”的私法人。因而履行工商公共服务的私法人以算法提供服务,尚未纳入行政法规制范围。该条的适用对象为“基于算法处理作出的具体行政行为的相对人”:“基于”算法处理指在行政行为作出过程中应用了算法,因而本条无差别适用“全自动算法行政”与“辅助算法行政”。实质上,《政民关系法典》授权行政主体作出具体行政行为,既可基于全自动算法,亦可基于辅助算法;“算法处理”既可指纸质算法(例如含有预先拟制的一系列评判标准的纸质评分表),亦可指无纸化的代码算法;本条规定的“具体行政行为”是一项法律概念,其适用对象客观特定,且行政行为对相对人的权利义务产生明确的法律效果。故法国规制模型不调整诸如行政立法等抽象行政行为,或对相对人权利义务不产生实质影响的行政指导;“相对人”一般指享用公共服务或接受行政管理的公众,特殊情形下,亦包含成为具体行政行为对象的行政主体。
明确算法行政主体的义务与相对人的权利是法国规制模型的一大特点。《政民关系法典》第L.311-3-1条规定,基于算法作出的具体行政行为的相对人享有知情权,可二分为“一般知情权”与“特别知情权”:前者指相对人有权知悉具体行政行为的作出使用了算法,并且有权知悉该“算法的总体运行规则与主要运行标准”;而“特别知情权”则指相对人有权知悉变更其权利义务的“具体规则与详细步骤”。与相对人的知情权相对应,算法行政主体应履行告知义务,亦可二分为“一般明示义务”与“特别释明义务”:“一般明示义务”由《政民关系法典》第R.311-3-1条详细规定,即只要在具体行政行为作出过程中用到算法,行政主体均应无条件告知相对人如下内容:算法处理的行政目的、事先网上发布的算法总体运行规则与主要运行标准、获取该描述性文件的网络地址、相对人无法获取该文件时向行政文件公开委员会申诉救济的权利;“特别释明义务”由《政民关系法典》第R.311-3-2条具体明确,指“在相对人要求知悉算法处理的具体内容”时,行政主体应释明算法处理的具体规则与详细步骤。因此行政主体并非应对所有算法行政都主动“特别释明”,只有在相对人行使特别知情权时,才会引发行政主体“特别释明义务”的履行。此时行政主体应至少释明以下四点内容:(1)行政决定中算法处理所占比重,或人工介入比重,即该具体决定是由算法全自动生成,还是算法仅起辅助参考作用,最终决定由人工完成;(2)该算法处理了哪些相对人的个人信息,数据从何处收集;(3)算法主要运算标准有哪些,标准孰轻孰重,权重是多少;(4)算法处理的具体步骤。在回复形式上,第R.311-3-2条明确规定,行政主体向相对人释明信息,应以 “平实易懂的语言表达” ,故行政主体不得使用不加解释的信息技术术语,或直接截取一段算法代码回复相对人。
综上,《政民关系法典》第L.311-3-1条与其适用法规第R.311-3-1条、第R.311-3-2条共同完成法国算法行政规制“法律模型”的初步架构,其特点为:以算法行政公开透明原则为基石,以保护相对人知情权为保障。然而,该制度架构尚未涉及以下重要问题:第一,是否所有具体行政行为均可使用算法?第二,行政主体若不履行“一般明示义务”,该程序瑕疵对具体行政行为的法律效力有何影响?第三,对于“全自动算法行政”与“辅助算法行政”,规制力度与保障措施上是否应作出区别?第四,当前制度对算法行政行为的合法性与可诉性未作规定。对于上述遗留问题,2018年《个人信息保护法》作出了制度探索。
(二)《个人信息保护法》对“全自动算法行政”的特别规制
作为总则性规范,《政民关系法典》第L.311-3-1条授权行政主体可“基于算法”作出具体行政行为。但在法律规制层面,该条尚未特别区分“全自动算法行政”与“辅助算法行政”。
相较于辅助算法行政,全自动算法行政存在极高的法律风险。行政实务上,行政主体既可采用传统算法,亦可采用机器学习算法作出全自动算法行政。对于由传统算法作出的全自动行政,因处理标准由行政主体预先制定,且无自行演化能力,风险相对较小;而由机器学习算法作出的全自动行政,是所有算法行政行为里法律风险最高的。基于对所收集的大数据的分析处理,该种算法可自行对行政主体预先设立的算法标准作出调整演化。行政主体基于演化后的处理规则作出行政决定,其法律依据究竟是行政法规,还是经由机器学习演化后的算法规则?若行政主体无法从每一步对算法调整与规则演化作出准确描述与人工干预,当算法偏离时,行政主体与公众均将面临现行法架构 “规制失灵”的法律风险。面对全自动行政的算法风险,行政法应如何作特别规制?以法国为例,2018年5月欧盟上位法《通用数据保护条例》(以下简称《条例》) 强制实施之际,法国《个人信息保护法》第21条对全自动算法行政作出了特别法律规制。
原则上,欧盟法禁止全自动算法决定。《通用数据保护条例》第22条第1款为相对人创设对全自动算法决定的“拒绝权”:若全自动决定对其权利义务产生法律效果或实质影响,利害关系人有权拒绝成为该决定的对象;但欧盟法也为全自动算法决定的应用保留了例外:如《条例》第22条第2款b项规定,若“全自动决定方式得到欧盟法或国内法批准,且具有保护利害关系人权益的适当保障措施”,则该全自动决定方式可以应用。法国国内法在与欧盟法的制度衔接上面临如下两则困难。其一,《条例》禁止“基于全自动处理结果作出决定”;《政民关系法典》已准许行政主体“基于算法”(含全自动算法)作出具体行政行为,欧盟上位法与法国国内法是否存在法律冲突?从行政实践看,自2016年始,全自动算法行政已经广泛应用于税额计算、行政给付等领域。若重修当前规制框架或绝对禁止全自动算法行政,必会广泛触及全自动算法行政行为的法律效力问题,对公共行政的稳定性及法律制度的安全性造成双重冲击。其二,若保留当前规制框架,能否依据《条例》第22条第2款,将“基于全自动算法作出具体行政行为”创设为“禁止基于全自动处理所得结果作出决定”的例外?即国内法只要符合该条第2款规定的两则必要条件,即“欧盟法或国内法批准”“保障措施适当”,即可许可全自动算法决定的应用。若《政民关系法典》准许行政主体基于全自动算法作出具体行政行为,符合上位法“国内法批准”条件,《政民关系法典》规定的制度保障(总体运行规则与具体算法处理公开透明、保障相对人知情权)可否评价为保障措施“适当”?若否,还应当增设哪些保障措施?
为符合上位法要求,法国法选择“创设例外”的进路,通过《个人信息保护法》第21条对《信息与自由法》第10条的增改,从四方面实现保障措施的“适当”:强化相对人知情权、明确禁止使用全自动算法的情形、加强对机器学习全自动算法的管控、提供有效救济措施。宪法委员会在事前合宪审查决定中,评价以上措施为“措施适当”。
保障相对人的知情权仍是所有保障措施的基础。《个人信息保护法》第21条直接引用《政民关系法典》第L.311-3-1条,强调行政主体“基于全自动算法作出具体行政行为”,必须履行“一般明示义务”。该条明确规定,行政主体是否履行“一般明示义务”直接影响“基于全自动算法作出的具体行政行为”的法律效力:不履行一般明示义务的,具体行政行为无效。
出于对全自动算法风险的特别规制,法国法从绝对禁止、相对禁止两方面制定负面清单。绝对禁止的情形由《个人信息保护法》第21条规定:禁止行政主体以全自动算法处理《信息与自由法》第6条规定的“敏感信息”(如民族、种族、政见、信仰、基因、生物识别等)直接作出具体行政行为;相对禁止的情形由宪法委员会的法律解释补充规定:无论是全自动传统算法还是全自动机器学习算法,相对人主张知悉算法处理具体内容时,若行政主体无法依照《政民关系法典》R.311-3-2条规定的标准作“特别释明”,该全自动算法不得用于行政决定。
面对公众对“代码即律法”的质疑与“算法偏离”的担忧,法国法从全自动算法行政的“可控性”与“可释明性”角度,强化了对“机器学习”全自动算法行政的法律规制。《个人信息保护法》第21条为行政主体施加如下消极义务:行政主体应保证机器学习运行与演化的可控性与可释明性,确保能以详细的、非术语的语言表达向相对人清楚解释;宪法委员会则以“禁止性规定”,明确了不得使用机器学习全自动算法的情形:若行政主体不能做到有效掌控其规则的演化,且做到一次演化一次审批,则禁止该机器学习全自动算法用于行政决定。
面对全自动算法行政的高风险,有效救济措施是保障相对人权利的最后屏障。法国规制模型的特征在于,通过行政复议与行政诉讼两层防线,促使行政主体向相对人详细释明全自动算法的主要规则与具体步骤。在复议环节,法国法“不得二次由全自动算法作出行政决定”的规制进路极具新颖性:《个人信息保护法》第21条规定,相对人可通过行政复议对全自动算法行政决定提出异议;复议主体作复议决定,不得再次使用“全自动算法”。此时复议主体“有效的人工介入”是相对人权利的最后保障:或完全由人工作出复议决定,或参考算法处理结果作出人工裁量,但无论如何都不得再次使用全自动算法直接作出复议决定。除行政复议外,宪法委员会指出,有效救济措施还应涵盖行政诉讼程序,即相对人还可通过诉讼对全自动算法行政决定提出异议,法官可基于法定职权责令行政主体对该全自动算法的主要规则与具体步骤作出释明。
(三)《欧盟人工智能法案》对法国算法行政法律规制的潜在影响
《欧盟人工智能法案草案》(以下简称《草案》)的规制思路为“既不阻碍人工智能的技术发展,亦不过度加重欧盟统一市场负担的同时,对人工智能风险做出最小限度的必要规制”。为体现比例原则,《草案》依风险高低将人工智能划分为三个层级,并对其作“绝对禁止、严格规制和不予规制”三类法律规制。《草案》第5条规定,“加害人体或精神健康的人工智能、利用弱势群体的弱势加害其人体或精神健康的人工智能、依社会个体行为或特征对其进行社会评分的人工智能、为惩戒犯罪在公共场合依生物识别技术实时监控的人工智能”,存在“无法接受的风险”,应绝对禁止其使用。对“高风险人工智能”的法律规制,是《草案》的重中之重。其第6条规定,“人工智能构成安全保障产品的部分或全部的”与涉及“对自然人进行生物技术识别与分类、运营与管理基础设施、教育与职业培训、市场主体提供服务或公共服务、人力资源管理、预防与惩戒犯罪、移民难民治理与出入境管理、智慧司法”等8项被认定“高风险人工智能”, 对其应予严格规制,《草案》第9条至第15条要求“设立与运行风险管理系统、数据治理、运行文件记录、向用户提供透明可读的运行信息、人工监管与干预、保障人工智能运行准确可靠与网络安全等相关举措”。对于“有限风险人工智能”, 《草案》并未给出任何法律概念,亦未做任何具体有效的法律规制。《草案》仅于第IX编第69条提到,对于不属于无法接受风险与高风险的人工智能,欧委会与成员国应支持“行动准则”的编纂,鼓励其自愿适用。此外,《草案》还规定了与风险分级规制并行的通用规范。依据其第IV编第52条,无论何种险级的人工智能,只要存在如下三种情形,人工智能提供者均应履行信息透明义务:使用人机交互对话式的人工智能,应向用户告知对话由人工智能产生;使用情绪捕捉与生物技术分类的人工智能,应向用户告知;使用“深伪技术”的人工智能,应向用户告知其产出内容由人工智能自动生成。
为与《欧盟人工智能法案》(以下简称《法案》)适用对接,明确行政主体应履行的法律义务,法国最高行政法院于《人工智能与公共行政》]研究报告(下文简称法国最高行政法院研究报告)中着重分析《法案》对“公共行政”的潜在影响,并对日后人工智能算法行政的法律规制提出了指导性意见。具体而言,《法案》实施对法国算法行政法律规制的现行制度架构或存在如下影响。
首先,《法案》的实施将导致算法行政行为依其风险重新评级分类。算法行政风险界定将不仅是技术问题,更是一项行政主体必须谨慎厘定的重要法律事实:险级不同,对应的适用规范与行政主体应履行的义务亦不相同。若算法行政存在“无法接受的风险”,该类算法行政将被绝对禁止;对于“有限风险”的算法行政,行政主体应履行何种义务目前尚不明确;对于“高风险的算法行政”, 行政主体除履行“一般明示义务”与“特别释明义务”外,还应履行“风险管理、数据治理、文件记录、人工监管、转译合法性事前审查等”新义务。然而,《草案》的险级分类仅基于人工智能种类作有限事实列举,对其分类的抽象法律要件并未论及,这必将导致其法律概念涵摄的不周延。因而《法案》在具体适用上,或面临因险级分类界限不清而产生的法律风险。从行政行为合法性角度分析,《法案》的规制模型实质上是将法律事实认定、法律适用、程序保障三者绑定。该规制逻辑的重大法律风险在于,任何一环出错都将严重波及行政行为的法律效力。一旦相对人对算法行政风险分级、法律适用、行政主体义务履行提出异议而产生争讼,该算法行政行为的法律效力为何?是否绝对无效?该技术主义分类法将给行政诉讼的合法性审查能力带来挑战:以“权限合法、内容合法、程序合法等要素展开”的传统行政合法性司法审查是否有能力评价审查算法行政的险级认定?司法机关能否向外部中立第三方请求险级核验?当前《草案》对上述问题并未论及,法国亦尚无相应指导性文件或判例得以援引。
其次,《法案》实施将加重算法行政主体的义务履行。形式上,依险级分类规制的法律模型看似合乎比例原则,但实质上,该分类极具“不对称性”。《草案》实则仅对“高风险”算法行政作重点规制,对其余两类算法行政并未作实质意义上的有效法律规制。《草案》所定义的“高风险人工智能”概念外延极大,以至于大部分应用算法行政的治安管理与公共服务都将被纳入其适用范围:如公共治安与警队管理、居留审查、公共交通、水电气暖供应、公共教育的志愿填报与招生录取、公务员录用的档案预选与绩效评定、家庭补贴、住房补贴、保障性住房申请等行政给付、纳税申报、智慧司法,等等。对于上述算法行政,行政主体均将履行《法案》中与“高风险人工智能”所对应的多种法律义务,从而引发公务人员培训、职能职务新设、行政征收与公物营造、政府采购、财政审计、用户关系等方面的内部再造与外部重构。
最后,《法案》实施将为法国算法行政法律规制带来立法技术上的革新。若传统规制模型主要依赖“硬法”进行合法性事后审查和法律后果评价,《草案》第V编第53条提出的“软法沙盒”规制进路,则通过“软法”实现适法性事前指引与法律风险的预测与规避。该法律模型的特征有二:一方面,基于对算法风险的提前防控和事先干预,对正在开发或试运行阶段的人工智能,采用一种比传统立法更为灵活的法律框架,进行数据治理、运行监管和后果归责;另一方面,为避免算法正式使用时因合法性问题遭遇法律瓶颈,在试验开发时就开展 “法律试验”,事前对运行中的法律风险做总结应对与良性引导。以“软法沙盒”对算法行政进行事前法律规制,将是法国公法在立法行政领域史无前例的技术创新。法国最高行政法院对该进路持肯定意见:未来算法行政的法律规制将不再局限于传统的硬框架立法模式,而将采用软框架的、合乎“科技中立原则”的“指导性文件”为主要模式。法国最高行政法院还指出:行政主体创设指导性文件,在内容上应“统一法律术语与法律概念、为行政相对人阐明行政主体应履行的义务清单与救济途径、为行政主体梳理应适用的现行国际法与国内法规范及其适用关联”。
二、对法国算法行政法律规制机制的反思
以算法行政公开透明原则为出发点,法国算法行政法律规制的制度探索有着不可否认的进步意义。然而,“公共行政的公开透明旨在解谜揭秘,其并未从实质上调整行政组织及其运行规则”:当前法国规制机制主要聚焦于算法行政行为的下游,尚未涉及位于上游的代码转译合法性与算法源代码可公开性的问题;大数据时代,数据与算法相互依存且难以割裂。法国现行规制框架并未真正实现算法源代码与算法数据源的协同规制;尽管当前制度被评价为“救济措施适当”,但如何实现算法规则与标准的内部合法性审查,能否因此提起“确认违法之诉”,现行法均未作答复。
(一)法律规则转译的合法性问题
算法行政中所使用的算法,实际上为“行政法意志的代码化”:宏观上,代码语言表述的算法规则体现了行政主体公共政策的选择,如在公共教育领域,行政主体采用算法筛选档案确定被录取人,体现了行政主体选择紧缩的招生政策,而非扩招政策;微观上,算法规则是对行政法规范的代码化转译,如地方政府以法规确立某行政给付的发放标准与计算方式,随后技术人员将该抽象行政行为规定的标准转译为代码语言。无论是宏观上公共政策的选择,还是微观上具体规则标准的确立,行政行为的合法性是作出行政行为的最基本要求。同样,将承载行政法意志的法律语言转化为代码语言,虽载体发生改变,依法行政的基本要求从未改变。因而,算法行政的法律规制必先确保法规范代码化转译的合法性。然而,将法律语言转译为代码语言的过程,常会发生合法性偏离;而基于合法性偏离的代码语言作出行政行为,必导致行政行为合法性的偏离。以法律语言为载体的传统立法行政,其制度保障已较为完善,如程序法定、评议充分、广泛听取公众意见等;与之相比,算法行政法律语言的代码转译程序则明显缺乏制度保障:首先,代码转译过程短、强度高,行政主体技术知识欠缺,技术人员法律知识匮乏,双方沟通不畅的情况时有发生,转译质量难以保证;其次,转译的准确性存疑:技术人员若对行政法规范中的规则标准存在误解、误译,甚至漏译一项或几项行政主体作出的适用解释,该算法运行时必然会偏离预先制定的规则标准;再次,转译的程序合法性存疑:无论立法行政还是行政立法,其创设社会规范的程序是法定的,即由“法律授权的立法主体”依据“法定程序”制定规范。若技术人员在转译过程中编入对规范的个人解释、固有偏见,或改变如“与、或、非”“应当、许可、禁止”等重要法律逻辑,以上变动实则构成对法规范的擅自增改。此时“技术人员将成为实质上的立法者,基于其个人意志的转译代码将成为律法”。转译主体是否为“适格立法主体”、是否遵守“立法法定程序”,直接影响到算法代码的合法性,亦必波及基于该算法代码作出的行政行为的合法性。
法国现行规制框架尚未涉及如何确保算法代码转译合法性与准确性的问题,行政主体亦无主动审查算法语言是否准确合法的法定义务。《欧盟人工智能法案》的实施将为法国“高风险人工智能”算法行政引入转译合法性事前审查制度。以宏观全局调控与微观个案审查职权分离为原则,《草案》第30条规定,成员国应首先指定或新设“人工智能宏观调控与全局监管主体”,负责批准、授权、监督“适格个案审查主体”开展事前具体审查活动;《草案》第33条仅规定“适格个案审查主体”以“高风险人工智能”为事前合法性审查对象;对其余险级的算法未作要求。对于欧盟法上的新部署,法国国内法作出回应:由法国信息与自由委员会履行人工智能宏观调控与全局监管的职能;对于评为“高风险人工智能”险级的算法行政,转译合法性的事前具体审查,将由信息与自由委员会批准授权的“适格个案审查主体”承担。
(二)算法源代码的可公开性问题
算法源代码是转译主体将法律语言转译为代码语言的呈现结果。目前,行政主体尚无审查源代码转译合法性与准确性的积极义务。相对人能否以转译“存在重大错误或合法性偏离”为由,对算法行政行为合法性提出异议?此时,源代码的可质证性便成了问题的关键,而质证的前提是相对人可获取该源代码。若行政主体不公开源代码,相对人无从质证,也就难以对基于该源代码作出的具体行政行为提出异议;若行政主体公开源代码,对相对人而言,质证何其困难:作为机器语言,源代码极具技术性,无专业知识的公众无从解读;相对人只得请求编程公司等第三方作逐步筛查与分析验算。这无疑会加重相对人的举证责任与救济成本。
法国制度架构并未对“算法源代码是否应予以公开”作出明确、统一的规定。行政文件公开委员会曾于2015年支持过当事人要求法国税务总局公开计算个人所得税的程序源代码的主张。委员会的“意见”表明:程序源代码,属于《政民关系法典》第L.300-2条规定的应予公开的行政文件中的“源代码”。虽该意见未提及“算法源代码”字样,但究其概念,“算法源代码”与“程序源代码”实属同义词。2016年《数字共和国法》创设《政民关系法典》L.312-3-1条时却“刻意避免”算法“源代码”一词的使用:该条仅规定行政主体应网上公开算法源代码的非技术性解释文件,但未规定公开算法代码的义务。作为法典条文,该条既是“法典化的政策选择”, 亦是立法性质的规范,其位阶远高于行政文件公开委员会的“意见”。该条实则为《政民关系法典》第L.300-2条创设了具体例外,即原则上源代码应予以公开,但用于“公共行政”的算法源代码,仅公开其解释文件,其源代码不予公开。后续判例亦未支持相对人公开算法源代码的主张。2019年“高等教育招生录取算法(Parcoursup)”案中,虽然一审行政法庭明确支持了考生公开算法源代码的主张,但最高行政法院撤销了该一审判决,肯定考生仅对“与自身所报志愿相关的具体录取标准解释”有知情权,而以缄默回绝了公开算法源代码的诉讼主张;2020年,宪法委员会在其“合宪性问题优先审查决定”中指出:行政主体对算法“总体运行规则与主要运行标准”的解释性文件负有公示义务,但依旧对“算法源代码是否属于应公开的行政文件”问题保持缄默。
法国现行法未明确要求行政主体公开算法行政源代码。当相对人要求公开算法源代码时,行政主体完全可基于“法律尚无创设该强制义务”予以回绝。当前制度架构下,相对人无从获取算法源代码,对其是否存在重大转译错误或合法性偏离,亦无法实现有效质证。
(三)算法数据源的质量问题
算法行政的质量不仅取决于源代码的准确性和合法性,还取决于其上游数据源的质量。优质的算法数据源应具备“准确性与完整性”:若行政主体收集的数据源有误,基于错误数据,算法处理结果必不正确;数据源的完整性,则要求数据全面且有代表性:若行政主体基于不全面的数据源,如遗漏了某项应予考量的当事人具体情况或特殊情形,最终的算法行政决定必然不适当,甚至不合法;数据源的代表性,则直接影响机器学习算法的规则调整方向与标准演化进程,若行政主体收集的数据源带有“主观拣选性、地域或性别歧视性”,基于该代表性存疑的数据源演化而来的新算法规则,其可靠性必不尽人意。
当前法国法律模型对数据源质量的规制明显不足。《政民关系法典》第R.311-3-2条规定在相对人“要求知悉”时,行政主体应向其告知“算法所收集处理的信息及其来源”。对于传统算法,该种“事后告知”的进路一定程度上或可敦促行政主体注意数据源的质量问题,但相对人须对其准确性与完整性自行核对;对于数据源由“为学习演化而收集的大数据”和“为作出具体决定而收集的相对人信息”两部分组成的机器学习算法,该条并无法保证数据源质量:对于所收集的个人信息,相对人尚可自行核对;但对所收集的大数据,行政主体通常都无法全部掌握,更不用说向当事人提供详尽信息了;对于全自动算法行政,行政主体负有不得使用全自动算法处理“敏感信息”的消极义务,一定意义上有助于保障数据源的非歧视性与合法性。但从该禁止性规定中无法推出“行政主体应确保每项算法行政数据源的全面性与代表性”的积极义务。
(四)算法行政的可诉性问题
将算法引入公共行政,必将为具体行政行为的可诉性带来理论变革与制度挑战。当前法国规制模型的制度设计以“行政文件公开之诉”为最后保障:对于基于算法作出的具体行政行为,相对人只可提出“信息公开之诉”,即“法官基于法定职权,责令行政主体对算法的主要规则与具体步骤作出释明”。现行法并未规定相对人能否提出“确认违法之诉”。纵观诉讼程序的衔接关系,“信息公开之诉”是“确认违法之诉”的准备步骤,后者则是前者的制度延续,即相对人基于行政主体公开的算法信息,才能有效质证,从而提出质疑行政行为合法性的确认违法之诉。对于如何将算法行政合法性审查纳入行政诉讼程序,法国行政法学者从学理上给出了两条进路。
第一条进路,将算法行政合法性审查与行政主体“说明理由义务”相结合。其法理依据为《政民关系法典》第L.211-2条:行政主体作出对相对人产生不利后果的具体行政行为,应充分说明理由;理由不充分或未说明理由,行政行为“必然违法”。基于算法作出的具体行政行为,可参照适用该规定,即行政主体对相对人权利义务作出不利变更时,对该具体决定,相对人可提出数据源是否准确、算法代码是否偏离、算法演化是否可控等质疑,若行政主体无法作出合理解释说明,则该具体行政行为将被评价为“理由不充分或未说明理由”的违法行政行为,其法律后果被行政审判机关撤销。该进路虽可强化行政主体的说明义务,并可责令行政主体在算法行政中更为谨慎,但并未从根本上触及算法规则与标准的内部合法性实质审查。其存在局限性在于:相对人虽可基于“理由不充分或未说明理由”要求行政法院撤销该具体行为,行政主体只需做到“说明理由”与“人工介入”,仍可“以原算法为辅助”再次作出相同的具体行政行为。因而该进路无法有效审查算法行政的内部合法性。
第二条进路,类比适用“指导性文件合法性审查”制度。法国行政法上,“指导性文件”指由行政主体制定或推荐的、非强行性的行为准则或处理标准。指导性文件是法律或行政法规的细化适用,但有别于抽象行政行为的是,其规则不具有强制性,即行政主体可以制定、推荐并参照一系列行为准则或处理标准,也可以不予制定、不予参照、不予适用;行政主体可依据指导性文件作出具体行政行为,但指导性文件自身不是具体行政行为,因为该行为准则或处理标准无差别适用于所有相对人。对于“指导性文件”的可诉性与合法性审查问题,法国最高行政法院通过判例确认:因“指导性文件”的非强制性,其本身不具有可诉性;但行政主体基于该“指导性文件”,作出对相对人权利义务产生实质影响的具体行政行为,相对人可基于对具体行政行为的合法性审查,提出审查“指导性文件”合法性的诉讼请求。法律性质上,行政算法与“指导性文件”确有相似性:算法亦是一系列处理标准的集合,亦旨在实现行政法确定的行政目的;算法行政的非强制性亦与指导性文件相似,即行政主体既可选择传统行政模式,亦可选择算法行政。因而,将指导性文件的合法性审查制度类比适用于算法行政,不失为一项可行措施:即算法本身不可诉,但行政主体基于算法,作出对相对人权利义务产生实质影响的具体行政行为,应当允许相对人在提出审查具体行政行为合法性的同时,提出对算法运算规则与处理标准合法性的审查请求。
尽管该进路或可实现对算法行政内部合法性的实质审查,但仍存潜在法律风险。承载行政规则与处理标准的算法代码,其专业性与技术性不容忽视。传统行政合法性司法审查是否具备核验代码转译的准确性与合法性的能力?对于行政诉讼面临的这项技术挑战,法国行政法学理与公共行政实践均倾向寻求外部技术支持,以期对算法转译的合法性与可靠性进行“事后审查”。2017年,法国信息与自由委员会对上述问题作出讨论并指出:转译合法性审查首先离不开行政主体对算法行政源代码予以公开,否则审查无从谈起;对于如何审查,委员会提出了两条构想:或由国家构建“算法审计国家平台”,联合法律人员与技术人员共同审查;或由经国家批准授权的中立审计主体予以审查。2018年洛林大学法学院举办的算法行政研讨会上,行政法学者提议,在算法转译合法性存疑时,可“由行政法院依法定职能指定一位技术专家,对算法进行复核”。
虽然《欧盟人工智能法案》的实施将为法国算法行政法律规制引入转译合法性“事前”审查,但《草案》对已投入使用的高风险人工智能算法如何作合法性“事后”审查,如何与司法审查联动等问题并未明确。行政诉讼中,司法机关应寻求谁作为事后个案审查的适格主体?依据当前欧盟上位法框架,信息与自由委员会是“宏观调控与全局监管主体”,不得兼任“微观个案审查主体”,无法行使转译合法性审查职能;能否由信息与自由委员会授权批准的“适格个案审查主体”给出事后合法性审查意见?因其中立性、独立性与专业性,“个案审查主体”似乎是行政诉讼中寻求外部意见的最理想主体。但该进路尚存两大法律瓶颈:首先,《草案》规定“适格个案审查主体”仅对评级为“高风险人工智能”的算法行政予以审查,对于其余险级则不予审查。其事后合法性审查意见能否覆盖所有算法行政行为?其次,《草案》仅规定了“适格个案审查主体”履行“事前”审查职能,对其能否有权“事后”给出合法性审查意见尚无明文规定。如何在行政诉讼合法性审查与外部适格第三方合法性复核意见间作制度衔接,仍需进行制度试探。
三、域外实践的中国意义
在数字革命的全球化浪潮下,世界各国均不约而同将数字技术引入公共行政,以期优化公共服务,推动公共行政的升级转型。而算法的引入,在带来行政效率提升、行政成本节约的数字红利的同时,其“自我指涉与技术赋能效应”亦将给行政法治带来新的制度挑战。将数治与法治协同,必是“数字时代国家和社会治理法治化的重大课题”。
作为数据全球治理的关键主体,我国秉承“共商共建共享”理念,在公共行政领域已完成由“电子行政到智慧行政”的重大技术性转型,数字法治体系的架构“已经基本成型”:2017年国务院发布《新一代人工智能发展规划的通知》,以人工智能为着力点为公共行政技术赋能;2021年“十四五”规划纲要从“加强公共数据开放共享、政务信息化共建共用、提高数字化政务服务效能”三方面提升数字政府的服务水平;同年《“十四五”国家信息化规划》强调了建设技术规则治理体系的重要性。我国自2022年始高度重视对数治的法律规制:2022年6月《国务院关于加强数字政府建设的指导意见》明确指出“政府治理法治化与数字化深度融合”的建设目标。2023年8月15日实施的《生成式人工智能服务管理暂行办法》为我国算法行政法律规制的制度架构指明方向,具有重大进步意义:该法规第4条从原则上明确指出提供和使用生成式人工智能服务,应保障数据源质量,“采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视”;与此同时,使用主体应采取有效措施,提升生成式人工智能服务的“透明度”。今后我国行政主体 “使用生成式人工智能服务”算法行政,亦将负有保障数据源质量、算法规则透明的法律义务。纵观我国的政策背景,算法行政的数字治理环境良好,技术赋能充分,但在法律规制上,无论是制度层面还是实践层面都稍显薄弱,如何将总则式的《生成式人工智能服务管理暂行办法》与公共行政的具体实践对接,与行政法规制的具体问题结合,仍有待我国行政立法的制度探索与行政法学理的深入讨论。
如何在公共行政领域对算法潜在的“伦理风险 、极化风险、 异化风险 、规制风险、责任风险”进行有效法律规制,是我国与法国行政法均面临的“共时性问题”。我国学者对算法行政的原理论述已较为充分,但较少从实在法视角研究行政实体法、程序法与具体判例对算法行政的规制问题。从比较法角度看,我国学者研究借鉴了英美法、德国法上的制度探索,以“行政正当程序”为进路,总结数治与法治的关系,但尚未论及以具体行政行为为核心的法国规制模型。通过解构法国行政法的规制框架,反思其制度缺陷,可得出如下有益借鉴。
从立法行政角度看,当前我国数字政务的制度架构主要以“授权性法律规范”为主,鼓励以数据电文形式达成行政主体与相对人间的“沟通、送达或递交申请”,对基于算法作出的具体行政行为尚未纳入行政法的调整范围。法国规制模型采取“法典化”的立法技术,以总则形式确立算法行政的法律规制框架,无差别适用所有基于算法作出的“具体行政行为”。该进路在适用范围与规制效率上具有明显优势,有较强的借鉴意义。鉴于我国尚缺行政法典,或可通过法律解释,或可于行政许可法、行政处罚法等重要部门法总则部分统一明确算法行政的主体、适用何种行政行为、应履行何种义务,从而对算法行政作出纲领性规制。须注意的是,在各部门法、法律解释与指导性案例之间,需确保法律概念、适用范围、规制力度等方面的一致性,避免规则冲突。尽管以算法行政公开透明为中心的法国模型在算法行政风险规制上具有一定效用,但其仍存在如数据源合法性审查缺位、法律转译合法性事前行政审查缺位、算法运行规则合法性事后司法审查缺位、源代码不予公开等诸多缺陷,无法有效应对多元的复合风险。今后我国法律规制的制度架构应兼顾程序正义与实质正义,从上、中、下游展开系统规制:在上游,行政主体与转译主体应充分沟通,以确保法律语言代码化翻译的准确性与合法性。在风险防控上,行政主体应对算法源代码作试运行并编写风险评估报告。算法正式投入使用前,可对算法代码及其规则标准进行内部强制审计或外部听证。在中游,行政主体应保证算法运行的可控性,特别是对于机器学习型算法的每一次规则演化逐一批准并记录备案。发现改写瑕疵或运行偏离时,须及时人工干预纠偏。行政主体当妥善保存管理算法数据源,以备复核查错。在下游,应充分保障相对人诉权,使其可以通过复议、诉讼等救济程序,提出对算法代码与数据源的合法性审查请求。
从行政诉讼角度看,算法行政行为的合法性审查是法律规制的重中之重。而有效的合法性审查离不开“信息公开之诉”与“确认违法之诉”的有机结合。在信息公开之诉上,法国规制模型的特点在于:相对人可行使“一般知情权”,要求行政主体公开 “算法的总体运行规则与主要运行标准”;对于变更其具体权利义务的“具体规则与详细步骤”,相对人可行使“特别知情权”,要求行政主体对其释明。该制度架构从诉讼法上保障了当事人的知情权,且与我国司法实践相似,对我国算法行政法律规制的初步架构有着借鉴意义。我国信息公开之诉亦采行政主体“主动公开”与“依申请公开”的制度设计:《中华人民共和国政府信息公开条例》(以下简称《条例》)第19条规定,行政机关应当主动公开涉及公众利益调整、需要公众广泛知晓的政府信息,如“规范性文件”“办理行政许可和其他对外管理服务事项的依据、条件、程序”“实施行政处罚、行政强制的依据、条件、程序”“行政事业性收费项目及其依据、标准”等;《条例》第27条规定相对人可“依申请”要求行政机关公开相关政府信息。在法律概念上,“应主动公开的政府信息” 符合“法的科技中立原则”,可较好涵容算法行政中的“总体运行规则与主要运行标准”;在公开内容上,“规范性文件、依据、条件、程序”恰恰是算法行政应公开的重要要件;而“依申请公开”制度则为相对人知晓变更其权利义务的 “算法具体规则与详细步骤”预留了充分的规制空间。因而,我国信息公开之诉法律背景良好,或可承载“保障算法行政的公开透明与相对人的知情权”的重要职能。
诚然,仅凭信息公开之诉无法实现算法行政行为的合法性审查,与之相衔接的确认违法之诉的制度设计不可或缺。我国最高人民法院亦在其裁判观点中指出“政府信息内容本身的合法性不属于信息公开案件审查的范围,如有争议应通过其他法定途径提出”。我国算法行政行为的合法性审查或可从外部合法性与内部合法性两个层面开展。在外部合法性上,以“事前规制”方式明确程序瑕疵的算法行政行为的法律后果,即行政主体无法具体释明作出算法行政行为的“依据、条件、程序”时,该具体行政行为的法律效力是无效、违法或可撤销。法国规制模型上,“行政主体基于全自动算法作出具体行政行为未向相对人履行一般明示义务,法律后果是具体行政行为无效”的规定,就属于这种进路。然而,基于对当前法国规制模型的制度批判可得知,保障相对人知情权固然重要,但仅凭此一元进路,无法触及算法转译与运行规则等内部合法性审查问题。对于上述问题,法国学者提出的类比适用“指导性文件合法性审查”制度,或对我国算法行政内部合法性审查的制度构建有借鉴意义。该进路基于行政算法与“指导性文件”的相似性,为司法主体审查算法具体规则与标准创造了条件;而法国法上的“指导性文件”又与我国行政法上“非立法性规范性文件”概念类似,因而该进路与我国当前行政诉讼制度有较好的相容性。《中华人民共和国行政诉讼法》第53条规定,行政主体基于规范性文件作出对相对人权利义务产生实质影响的具体行政行为,相对人可基于对具体行政行为的合法性审查,附带提出审查“非立法性规范性文件”合法性的诉讼请求。因此,我国诉讼法上的规范性文件合法性附带审查制度或可承载算法运算规则与处理标准合法性的实质审查职能;但如何对行政诉讼进行赋能,传统行政合法性司法审查如何评价专业性极强的代码转译合法性问题、算法运行规则合法性问题,仍有待制度探索。
结语
公共行政如何应对算法潜在的复合风险,如何有效进行法律规制,数字化时代世界各国普遍面临上述问题。域外的制度探索与经验教训对我国算法行政法律规制的制度建设具有宝贵的借鉴意义。法国行政法从算法公开透明原则出发,将基于算法作出的具体行政行为作为规制对象,通过信息公开之诉与确认违法之诉两道屏障保障相对人的知情权,对算法行政的法律规制作出了制度初探。在制度设计上,法国规制模型有着诸如以法典对算法行政作总纲式规制、依算法风险高低对不同算法行政作不同规制、以行政复议与行政诉讼为救济途径敦促行政主体详细释明算法规则等值得借鉴之处;“复议机关不得二次以全自动算法作出行政决定”的规定,不仅彰显了“以人为本”的公共行政精神,亦坚持了公共行政意志高于代码意志的规制理念。
法国规制模型虽有着进步意义,但仍存在如数据源合法性审查缺位、算法转译合法性事前审查缺位、算法运行规则合法性事后审查缺位、源代码不予公开等制度缺陷,无法有效应对数据瑕疵、规则偏离等重大算法风险。我国在制度架构上应引以为戒,避免出现上述“规制失灵”的情形。在比较法上,没有最好的制度范式,只有具体社会情境下,对一项具体法律问题作出的最优解。我国行政法如何草创不得由算法收集处理的个人信息负面清单、如何“采取有效措施”提升算法行政的透明度、如何对不同险级的算法行政作合乎比例原则的分类规制、如何为司法机关进行技术赋能等,上述问题均应结合我国国情、具体行政实践与微观法律生态作具体分析。
算法行政,究其本质,其制度内核仍是“行政”,即以公共服务、行政管理、经济调控为主旨的行政权的依法行使;“算法”仅是“政府通过技术赋能而进行的治理手段升级”而并非公共行政的目的。过度强调技术而忽视行政本身的重要性,可能会驱使公共行政进入“为了‘算法’而‘行政’”的法律技术主义误区。一切优化公共行政的新进路,最终仍需回归到优化“行政”本身,即在完善算法行政法律规制的同时,应当优化行政组织结构,简化行政程序,提升公共服务质量,扩大公众参与,方是数字行政新时代良善行政的应有之义。