自动化决策权规制
最后更新:2026-05-26 | 由 LLM 基于知识库原始资料编译
关联概念:算法合规 | 个人信息保护 | 个人信息主体权利与保护 | 敏感个人信息处理规则
现行基准: 以《个人信息保护法》(2021年施行)第24条和《互联网信息服务算法推荐管理规定》为核心规范
核心法条
- 《个人信息保护法》第24条:自动化决策的法律规制,禁止不合理差别待遇 [现行有效]
- 《个人信息保护法》第55条:利用个人信息进行自动化决策须进行个人信息保护影响评估 [现行有效]
- 《互联网信息服务算法推荐管理规定》(国家网信办等四部门,2022年3月1日施行):算法推荐服务管理 [现行有效]
- 《互联网信息服务深度合成管理规定》(国家网信办,2023年1月10日施行):深度合成技术的规制 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
| 2022-03-01 | 《互联网信息服务算法推荐管理规定》施行,算法备案与用户选择权落地 | 现行有效 |
一、自动化决策的法律概念
定义
自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好、经济状况等特征,并对个人作出决策的系统性活动。
典型应用场景
| 场景 | 决策类型 | 法律风险 |
|---|---|---|
| 信用评分 | 信贷审批 | 歧视、不透明 |
| 个性化定价 | 商品服务价格差异化 | 大数据杀熟 |
| 招聘筛选 | 自动化简历筛选 | 就业歧视 |
| 推荐算法 | 内容推荐、广告投放 | 信息茧房 |
| 保险定价 | 保险费率差异化 | 不公平待遇 |
二、自动化决策的合规要求
《个保法》第24条的三项核心规定
1. 透明度要求
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果的公平正义,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
2. 拒绝权
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
3. 解释说明权
通过自动化决策方式作出对个人权益有重大影响的决定的,个人有权要求个人信息处理者予以说明,并有权拒绝仅通过自动化决策方式作出决定。
三、"大数据杀熟"的法律规制
法律定性
"大数据杀熟"指企业利用用户数据进行差异化定价,使相同商品或服务对不同用户收取不同价格。《个保法》明确禁止利用自动化决策对交易条件实行不合理的差别待遇。
相关法规
| 法规 | 规定内容 |
|---|---|
| 《个保法》第24条 | 禁止对交易价格等交易条件实行不合理差别待遇 |
| 《反垄断指南》(平台经济领域) | 基于大数据和算法实施差别待遇可能构成滥用市场支配地位 |
| 《价格法》第14条 | 禁止价格歧视 |
| 《电子商务法》第18条 | 根据消费者特征提供搜索结果时应同时提供非个性化选项 |
四、算法推荐的法律要求
《算法推荐管理规定》的核心规则
- 算法备案:具有舆论属性或社会动员能力的算法推荐服务提供者应向网信部门备案
- 算法透明度:应公开算法推荐服务的基本原理和运行机制
- 用户控制权:应向用户提供便捷的关闭算法推荐的选项
- 特殊群体保护:对未成年人和老年人的算法推荐应特别保护
- 算法伦理:不得利用算法实施垄断和不正当竞争行为
算法分级分类管理
| 风险等级 | 管理要求 |
|---|---|
| 高风险(舆论属性) | 算法备案 + 安全评估 + 用户告知 |
| 中风险(个性化推荐) | 透明度声明 + 用户选择权 |
| 低风险(一般推荐) | 基本透明度要求 |
五、个人权利保障
算法解释权
当自动化决策对个人权益有重大影响时,个人有权要求:
1. 说明决策逻辑:了解算法的基本原理和关键参数
2. 要求人工介入:拒绝仅通过算法作出的决定
3. 申诉与纠正:对不公正的决策结果要求重新评估
选择退出权
- 用户有权关闭个性化推荐
- 应提供与普通选项同等功能的非个性化服务
- 不得因用户拒绝算法推荐而降低服务品质
六、律师实务建议
- 合规评估:对涉及自动化决策的系统进行全面合规审查,特别是信用评分、定价模型和推荐算法
- 透明度声明:在隐私政策中清晰说明使用的自动化决策类型、影响范围和用户权利
- 用户选择机制:提供关闭算法推荐的便捷选项,确保非个性化服务的可用性
- 内部审查:建立算法伦理审查委员会,定期评估算法公平性
- 应急响应:制定算法偏差纠正机制,发现不合理差别待遇时及时修复和补偿
七、围绕“大数据杀熟”的新增合规要点
2026 年新增来源将自动化决策问题进一步聚焦到“大数据杀熟”、解释说明义务和拒绝权落地三个实操难点上,补充如下:
7.1 透明度不是抽象口号,而是前端告知义务
- 企业应在隐私政策、页面标签、弹窗或功能说明中明确告知:哪些场景使用自动化决策、使用了哪些类型的数据、可能对哪些交易条件产生影响。
- 对画像分析、个性化推荐、差异化定价等场景,仅有笼统授权往往不足,至少应做到用户能够识别“系统正在基于个人特征作出判断”。
7.2 “重大影响”场景应优先建立人工复核和解释链路
对个人信用、贷款额度、招聘筛选、价格展示、内容封禁等结果,若足以明显影响个人财产利益、就业机会或表达机会,宜视为《个人信息保护法》第 24 条第 3 款意义上的高风险场景,至少落实:
- 事前 PIPIA 评估:结合《个人信息保护法》第 55 条,记录模型用途、数据来源、潜在偏差和救济措施。
- 解释说明模板:不要求公开源代码,但应能解释决策逻辑、主要影响因素、纠偏路径和人工介入方式。
- 人工复核通道:避免用“形式上有人参与”架空拒绝权,实务上应允许用户申请人工复核或切换为非自动化处理流程。
7.3 “大数据杀熟”的合规判断重心
- 法律并未否定一切个性化服务,但要求差异化定价、差异化展示必须处于合理且可说明的范围内。
- 风险不在于使用算法本身,而在于基于不透明画像对用户施加不合理差别待遇。
- 因此企业应同步审查个人信息合法性基础、必要性边界、消费者公平交易权以及平台竞争秩序风险。
知识库原始资料索引
权威法条
- 中华人民共和国个人信息保护法
部门规章
- 互联网信息服务算法推荐管理规定
公众号资源
- 算法合规实务解读
- 个人信息自动化决策的法律规制与合规要求/个人信息自动化决策的法律规制与合规要求.md)