全方位应对气候变化挑战

公权机关适用数字技术履职无需征得当事人同意，同样隐含在除《个人信息保护法》以外的其他规范中。

[23]参见李海平：《区域协调发展的国家保障义务》，载《中国社会科学》2022年第4期，第50页。经济特区法规制度的立法完善必须举一反三，兼顾海南自贸港法规和上海浦东新区法规。

第一，授权决定本身必须明确所授权的立法事项范围，防止立法变通权在行使过程中出现越权等情形。通常而言，地方变通立法的主体越多，试验的地域对比性越强，其所得经验就越丰富，可推广性也越强，因此，既要适当扩大授权范围，在北部、西部地区拓展授权的地域布局，也要由中央立法机关强化不同地方在立法试验方面的联动性。参见俞可平等：《中国的治理变迁（1978～2018）》，社会科学文献出版社2018年版，第3页。[12]参见彭真：《关于七个法律草案的说明——1979年6月26日在第五届全国人民代表大会第二次会议上》，载《人民司法》1979年第7期，第4页。如果缺乏权宜调整手段，权力结构就会僵化，以致减损治理的有效性。

[15]而授权立法说则认为，经济特区法规经由全国人大及其常委会特别授权而制定，其法律地位和内容不同于一般的地方性法规，因此，是与法律、行政法规、地方性法规并列的其他法形式。其次，通过对变通性立法及其授权进行限制，确保授权的合目的性，从而最终达到提质增效的目标。因为透明度不足以及缺乏明确的责任人，在算法出现偏误、歧视等不公结果时，当事人的救济权利同样无法得到充分保障。

[35]鉴于公权机关将决策权拱手让与算法可能导致的法治被架空、权利受克减，个人主体性被蚕食的巨大风险，对于公共决策完全的算法化不仅要有法律的授权依据，对于授权所追求的目的、满足的前提和使用的方式，法律也应予详尽规定，即加重的法律保留应该成为具体立法的首要选择。由此，即使行政将决策工具替换为算法，但只要决定触及个人基本权利，就仍旧要接受法律保留的约束。[2]张欣：《算法行政的架构原理、本质特征与法治化路径：兼论〈个人信息保护法（草案）〉》，载《经贸法律评论》2021年第1期，第22页。[20]刘东亮：《技术性正当程序：人工智能时代程序法和算法的双重变奏》，载《比较法研究》2020年第5期，第66页。

与第13条第（七）项的兜底规定一致，《个人信息保护法》第34条对国家机关履行法定职责的规范依据同样作了扩张，其规定国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，这也意味着，可以作为法定职责依据的除法律外，同样包括行政法规。这些都需要现代法律予以积极回应。

[47]Johannes Eichenhofer, Der vollautomatisierte Verwaltungsakt zwischen Effizienz- und Rechtsschutzgebot, DOEV,2023(1), S.95.[48]Julius Helbich, Rechtsfragen der ?automatisierten" Ermessensausübung im Steuerrecht, DStR 2017, S.574.[49]Leonid Guggenberger, Einsatz künstlicher Intelligenz in der Verwaltung, NVwZ 2019, S.848.[50] VUCA即volatility, uncertainty, complexity and ambiguity的缩写，所谓不稳定性、不确定性、复杂性和二义性。如果某项技术的适用收益大于风险，且预期风险较为可控，就应在合规的情况下允许其适用。这都说明，在个人信息处理和数据技术利用方面，法律的部分权限已被授予行政法规，这种授权虽不符合严格的法律保留，却也符合我国法律保留实施的现实。这一认识目前已被广泛接受，价值判断也因此成为公共决策算法化的实体禁区。

反算法歧视则是通过尽力消除算法中隐含的身份歧视，由此来实现身份中立化的算法决策。[41]除了机器能力的有限外，将价值判断作为适用禁区更深层的考虑还在于：它会引发不负责任的法律适用。[1]公共决策的算法化对国家治理有明显赋能，这种作用不仅体现于国家在治理信息收集、加工和反馈上的及时、精准与高效，还表现为原本由法律规则、行政命令、公务人员所驱动的行政系统，也渐次蜕变为由软件代码和统计操作所驱动的自动分析、自动决策和自动执行的算法行政系统。人们最初适用算法进行决策还仅停留于私人生活和商业领域，例如新闻推送、手机导航、商品销售和医疗保健等。

自动化决策中责任人的缺失，亦使个人再无法通过传统追责或救济机制予以反制。[11]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第226页。

这两款规定为公共机构适用算法决策设定了予以说明以及保证算法决策的透明度和结果公平、公正的义务，同样赋予个人要求说明和拒绝仅通过自动化决策的方式作出决定的权利。（2）基于数据主体的明确同意、法律授权以及履行合同目的所必须不受上述条款限制。

[18]王苑：《完全自动化决策拒绝权之正当性及其实现路径——以〈个人信息保护法〉第24条第3款为中心》，载《法学家》2022年第5期，第83页。我国之所以未采用禁令模式而是采用权利模式，目的当然是期望在数据利用利益和个人主体性之间求取平衡。这种算法决策虽然也发挥了调配公共资源的作用，却未形成直接具有法效性的决定，对个人权利的影响仍旧是间接的。[61]加拿大《自动化决策指令》第7.2条。而法律、行政法规还可就处理敏感个人信息是否应取得个人的书面同意，以及是否应取得相关行政许可或受其他限制作出特别规定。而且，在自动化决策已实质性进入社会服务各领域的背景下，采取普遍禁令还给企业带来高昂的合规成本。

这种放宽处理的立场同样体现在我国个人信息保护法中。[17]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第223页。

除了行权要件的限制外，《个人信息保护法》的这一条文尚有不少含混之处：首先，与免受自动化决策约束权相配套的是个人有权要求个人信息处理者予以说明的权利。根据该法第35a条，全自动化行政行为被允许的前提之一在于必须有法律规范（Rechtssatz）的明确授权。

相比只是概括性授权的简单法律保留，加重的法律保留同样对立法者的权限进行了限定，由此避免将某些事项直接交由法律规定，却对其不加任何限制所导致的立法滥权。[40]在此，我们能够发现卢米斯案提炼出的算法适用于刑事司法这类特殊公共决策的首要实体边界：若某项公共决策涉及利益冲突和价值判断，就不能全部交由算法处理。

既有的算法规制多侧重正当程序的控制，缺乏公共决策适用算法技术的实体边界。但何种基本权利要有严格的法律授权，何种基本权利可交由法律之下的其他规范处理，各国规定不一。二级自动化决策对上述因素产生可逆的短期影响。重大影响是指对数据主体产生长期或永久影响，或在最极端的情况下导致对个人的排斥或歧视。

[40]江溯：《自动化决策、刑事司法与算法规制——由卢米斯案引发的思考》，载《东方法学》2020年第3期，第78页。但机器既不为其裁判担保，更不会为裁判理由所担保。

细究上述步骤，将第一阶段的裁量交由算法其实是可行的。免受自动化决策约束权。

[62]而针对公共机构算法应用的评估框架也应在技术性和安全性之外，更多考虑公众参与的保障和问责机制的纳入，由此才能使算法评估在法律保留等传统手段无法覆盖的地方发挥效用。[15]因此，这一规定可说不当限缩了条款约束的自动化决策的类型。

[44]由此，除价值判断外，公权机关是否享有裁量权成为权衡算法可否用于行政任务的另一参考。既然无法从源头上阻断某项算法决策的应用，当然就无法彻底避免该项决策可能造成的损害。（一）免受自动化决策：权利抑或禁令的争论从条文构造看，《个人信息保护法》第24条是对欧盟《通用数据保护条例》（以下简称GDPR）第22条的借鉴。[32]3.法律保留中被放宽的法律若作严格解释，法律保留中的法律应为立法机关制定的法律，由此才能贯彻立法约束行政的原则意涵。

作为GDPR前身的《欧盟个人数据保护指令》（DPD）出于对人的主体性的强调以及为避免个人在算法社会被异化，规定了数据主体享有免受仅基于用户画像的完全自动化决策的权利。这一点作为法律保留的加重事由同样旨在贯彻风险分配原则：数据处理者和算法适用者作为风险创设者应被科以更多的风险预防责任，由此才能确保各方主体的获益大小与风险承担之间的合比例性。

这也是公法在建构完整的个人公法权利体系之余，同样强调限定公权机关的权限范围以及科予其客观守法义务的原因。攸关公共福祉的事项应由立法机关来决定，在于唯有立法机关在宪法分配秩序下才具有冲突调解的特权。

但欧盟第29条工作组在发布解释性文件时，却认为第22条属于自动化决策的禁令，即完全的自动化决策以及产生法律上或近似重大影响的识别分析原则上都属于禁止性行为。[21]王莹：《算法侵害责任框架刍议》，载《中国法学》2022年第3期，第170页。