前研e案专栏·推荐理由

算法作为大数据时代的重要技术工具，被各类平台广泛用以处理数据，算法运用在带来数据效率最大化的同时，也因算法模型漏洞、算法运行错误、算法黑箱、算法歧视等引发侵害个人信息及其他人格权纠纷，因此，大数据时代的个人信息保护与算法规制息息相关。

本案例涉及算法这一数字经济重要技术工具所引起的侵害个人信息权益及其他人格权益的司法热点和难点问题，本案裁判较好地实现了法律效果和社会效果的统一，通过正反规则的确立，明晰了大数据产业主体利用算法技术处理涉个人信息数据的权利边界，全方位构建了个人对其个人信息准确性、完整性享有的权益，彰显了司法对个人信息保护的力度和温度，宣扬了平等、公正、法治的社会主义核心价值观，对同类型数字经济与人格权益保护纠纷具有参考价值。

本文作者 | 麦应华

全文提要

【关键词】民事  侵权  算法黑箱  算法错误  个人信息更正

【裁判要旨】

1.平台等运用算法进行大数据利用，应对算法运用造成的错误结果承担责任。判断算法运用者对运用行为是否尽到合理注意义务，可以结合平台的法律主体地位、算法错误的明显程度、所涉权益的重要程度、平台规模、平台营利模式及获利情况等动态因素综合考量。

2.平台等各类主体原则上可以利用算法技术在合理范围内处理已经合法公开的个人信息，但应保证个人信息的质量。因算法运行错误导致个人信息不准确、不完整的，个人有权要求算法运用者承担更正、补充等相关民事责任。

【相关法条】《中华人民共和国民法典》第九百九十八条 认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任，应当考虑行为人和受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等因素。

《中华人民共和国民法典》第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

【案件索引】一审：广州互联网法院（2021）粤0192民初14729号（2021年9月27日）；二审：广州市中级人民法院（2021）粤01民终29639号（2021年12月31日）。

【阅读概览】

基本案情（了解案情看这里~全文进度约15%）

裁判结果（判案结果一眼知~全文进度约20%）

裁判理由（判决详解全过程~全文进度约30%）

案例注解（理论探讨进行时~全文进度约90%）

温馨提示：本文篇幅较长，建议收藏备用，根据需求选择阅读进度。

基本案情

梁某、维某实业公司诉称：梁某系维某实业公司的法定代表人。2021年3月，经应聘员工、客户反馈，两原告发现某查平台涉及两原告的企业信用信息中被关联了多家无关失信企业。两原告认为，一方面，某查平台作为权威性的全国企业信用查询系统，未尽审慎审查义务，将失信信息错误关联至两原告名下，致其社会评价降低，具有严重过错，侵害了两原告的名誉权。另一方面，案涉信息属于梁某的个人信息，被告怠于履行数据控制者、网络内容提供者的责任，披露的梁某个人信息存在错误，构成对梁某的个人信息侵权。据此，请求判令被告依法承担赔礼道歉、赔偿经济损失等民事责任。

某查科技公司辩称：被告的算法模型不存在故意针对两原告的信息进行设计干预的主观倾向，报告展现的关联错误不是被告设计“算法黑箱”操作的结果。被告的相关展示行为不违反个人信息处理的合法性、正当性与必要性原则。被告引用的数据来源均出自中国裁判文书网等官方渠道，且权威官方渠道公开的信息就已经对个人隐私进行过“脱敏”处理。因此，被告获取必要信息的手段和目的均是合法、正当、必要的。

法院经审理查明：梁某是维某实业公司的法定代表人。某查平台是某查科技公司运营的企业信用信息查询平台。2021年3月，梁某、维某实业公司发现某查平台关于梁某的《董监高投资任职及风险报告》中错误显示了与梁某无关的大量任职信息，显示梁某在与其无关的多家企业担任法定代表人、董监高等职务，且该多家无关企业名下有失信、限高、终本记录等。同时，某查平台关于维某实业公司的《企业信用报告》显示该公司的法定代表人对外任职投资信息一栏也被错误关联了上述信息。

案涉《董监高投资任职及风险报告》《企业信用报告专业版》需要在某查平台付费购买VIP会员级别以上服务才能查阅并下载，普通用户在某查平台仅能看到平台用红色字体标注提示相关主体风险，如提示“该企业的法定代表人未按时履行法律义务被法院强制执行（数量）”。

对造成案涉错误关联的原因，某查科技公司陈述部分系由于其平台算法对与本案原告梁某同名同姓但不同身份证号的另一主体识别错误造成，部分可能由于其计算机故障、程序漏洞、数据清洗错误等原因造成。并且，由于对梁某的识别错误，导致维某实业公司法定代表人对外任职投资等关联信息亦出现错误。某查科技公司对某查平台的关联算法作出如下说明：首先，机器对来源于全国企业信用信息公示系统、中国裁判文书网等公开数据进行收集；其次，由人工对收集的数据进行标签分类；再次，算法模型对包括公司名称、行业分类、所在区域、注册地、股东结构、对外投资、合伙人姓名、合伙人所在区域、合伙人数量等在内的多个维度进行分析，根据相似度判断是否同一主体，进而决定是否进行关联。

2021年3月26日，梁某、维某实业公司通过EMS邮件向某查科技公司发送律师函，要求更正信息及赔礼道歉等。某查科技公司于收到邮件次日更正了案涉错误关联信息。

裁判结果

广州互联网法院于2021年9月27日作出（2021）粤0192民初14729号民事判决：

一、被告某查科技公司于本判决发生法律效力之日起十日内，在某查平台官方网址、APP、微信公众号原告梁某、维某实业公司的主页内分别刊登对梁某、维某实业公司的致歉声明，声明内容需经本院审查，声明保留时间不少于十五日；如被告某查科技公司逾期未履行上述判决义务，本院将采取在报刊、网络等媒体上发布公告或者公布生效裁判文书等方式执行，产生的费用由被告某查科技公司负担；

二、被告某查科技公司于本判决发生法律效力之日起十日内向原告梁某赔偿经济损失30000元；

三、被告某查科技公司于本判决发生法律效力之日起十日内向原告维某实业公司赔偿经济损失30000元；

四、被告某查科技公司于本判决发生法律效力之日起十日内向原告梁某、维某实业公司赔偿律师费、公证费损失共计31200元；

五、驳回原告梁某、维某实业公司的其他诉讼请求。

双方当事人不服，提起上诉。广州市中级人民法院于2021年12月31日作出（2021）粤01民终29639号民事判决：驳回上诉，维持原判。

裁判理由

法院生效裁判认为：某查科技公司应对算法造成的错误承担相应责任。算法输出的结果，归根结底是运用者意志的体现。算法的设计、部署、运行到算法的调整、补漏，均是人为实施的结果。某查科技公司对算法这一技术的利用本身即创设了危险发生的可能性，故而应当对危险后果承责。

案涉有关两原告的信用报告，因同名同姓主体的身份识别问题而出现错误，该错误类型非常典型、明显，是开展征信业务所必须解决的基础问题。从信息分级分类保护的角度，对失信信息、限制高消费信息的审查，也应采取更为精准、可靠的判别方式。不论某查科技公司明知相关技术不能避免此类错误而不予解决，亦或是因疏忽大意未注意到该类典型错误问题，均应认为某查科技公司对案涉错误关联未尽到合理注意义务。维护信息主体信用权利、公众信任利益与促进征信类企业发展，是信用社会的应有之义，也是本案裁判必须综合考量的因素。对不同主体的身份进行准确识别以区分信息主体，是征信类业务的底层建筑，也是开展征信类业务的基础。可以说，征信类平台能否长期有效开展业务，最终取决于其平台技术对不同主体身份识别的准确性。现某查科技公司未能对同名同姓的不同主体进行准确识别，其业务基础功能未予完善，与社会公众对该平台公示信息的信赖利益不相匹配，理应予以规制。规制是为了更好的保障。从长远来看，对征信类企业设定更高注意义务，敦促其提高征信信息真实性、准确性与及时性，必将促进其健康发展。

案涉信用报告记录了梁某担任法定代表人、董事、监事、高级管理人员的企业以及相关企业的司法案件信息，能够单独或者与其他信息结合识别到梁某本人，属于梁某的个人信息。某查科技公司通过算法技术对个人信息进行收集、加工、整合，并向平台用户提供其加工、整合后的信用报告，某查科技公司对梁某的个人信息存在处理行为，应遵守法律法规对个人信息处理的相关规定。案涉梁某的个人信息来源于企业信用信息公示系统以及中国裁判文书网等合法渠道公开的信息，某查科技公司作为有资质的企业征信机构，依据《中华人民共和国民法典》第一千零三十六条有关“处理个人信息，有下列情形之一的，行为人不承担民事责任：……（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”之规定，在未有证据表明梁某明确拒绝某查科技公司的处理行为或者处理该信息侵害梁某重大利益的情况下，某查科技公司对案涉梁某的个人信息进行处理，并未违反法律法规的相关规定。但是，对个人信息的处理还应保证个人信息的质量。个人信息权益属于人格权益，个人信息的准确、完整是保障自然人人格尊严的必然要求。某查科技公司在处理个人信息过程中，应避免因个人信息不准确、不完整对个人权益造成不利影响。现某查科技公司提供的有关梁某的个人信息有误，依据《中华人民共和国民法典》第一千零三十七条第一款有关“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施”之规定，梁某有权要求某查科技公司对其个人信息予以核实，并及时更正、补充。同时，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

某查科技公司提供的证据不足以证明其对案涉个人信息的处理没有过错，应承担举证不能的不利后果，鉴于其行为侵害了梁某的个人信息权益，并造成损害，故应承担损害赔偿的侵权责任。

案例注解

一、大数据时代的算法司法规制困境

大数据与人工智能时代，算法因较人工处理方式更为高效、优越，已成为数据处理不可或缺的工具。随着算法运用的普及，涉算法侵权纠纷频发。该类纠纷通常表现为因算法模型漏洞、算法运行错误、算法歧视、算法自动化推荐不当等产生的侵权纠纷，所涉主体包括数据主体、数据处理者、社会公众等。本案纠纷即是由算法错误关联征信信息引发。本案中，被告作为算法运用者，对案涉错误关联结果提出“技术中立”的抗辩意见，力图否认其责任主体地位。本案被告的抗辩意见具有代表性，反映出大数据时代的算法司法规制困境。

算法作为自动化工具的一种，最大的特征是去人为化。算法的输出目标一旦被设定，就会自动通过深度学习无限趋近。算法深度学习的结果，可能与设计之初大相径庭，其运行规则、运作方式，连设计者本身可能都难以理解。基于此，算法运用者往往以算法错误结果系由机器自动化决策造成进行抗辩。另外，算法的原理和互动机制具有一定隐秘性，外界难以得知。从外观来看，社会公众只能看到算法的输出结果，无从得知其设计模型、机制机理等，在此情况下，主张权利受损的一方难以证明算法运用者主观上具有过错，司法对此也难以审查。这就是算法黑箱带来的规制挑战。

即使算法运用者披露了算法模型、机制机理，司法审查也依然面临困难。首先，算法具有一定的复杂性和专业性。算法本身不断学习、不断变化，难以从算法模型、机制机理本身评判其优劣。其次，算法的结果错误，可能源于算法模型本身的漏洞，算法部署和运行的错误，数据收集清洗的瑕疵以及机器深度学习的偏差等。对算法模型、机制机理进行司法审查，成本高、效率低，缺乏可操作性。最后，某些算法运用者并没有恶意利用算法歧视、算法黑箱侵权的主观故意，其算法模型、机制机理本身不一定有明显问题，但仅此也并不意味着算法运用者对错误结果不存在主观过错。故此，对算法模型、机制机理进行审查，并不能有效解决主观过错的认定问题。

二、确立算法运用者的责任主体地位——否定“技术中立”

法律规制的对象只能是人的行为。算法运用者有关“技术中立”的抗辩，实质是对算法受法律规制的否认。因此，涉算法侵权纠纷所要解决的第一个问题，就是算法的可规制性问题。算法运用者应对算法运用造成的错误结果承担相应责任，理由如下：

01算法输出结果是人类意志的体现

算法是人机交互的结果，是人类通过代码设置、数据运算与机器自动化判断进行决策的一套机制。就算法的单个输出结果来看，算法运用者主观上可能并不希望发生错误，但从算法运用的整体来看，算法输出的结果，归根结底是人类意志的体现。算法通过深度学习获得的“自我决策权”，是在人类设定的目标范围内所取得。算法错误造成的损害，最终亦应由算法运用者承担。如以“技术中立”否认算法运用者的责任主体地位，将陷入算法错误无人承责，算法损害无从主张的境地，不符合民法公平原则和诚信原则。

02算法运用者对算法具有控制能力

算法的设计、部署、运行到算法的调整、补漏，均是人为实施的结果，算法的自我学习能力亦是算法设计者所赋予。平台作为算法设计者，其对算法基于外部实时网络环境作出的反应并非完全不可预测。简言之，算法对不良数据的反应能力仍在算法设计者的控制范围内。再者，纵使算法基于自我学习发生运行偏差，算法运用者也完全有能力对算法的机制机理、模型、数据和应用结果等进行审核、评估、验证，并及时纠正。

03算法运用者对算法的运用创设了危险后果

从危险后果创设的角度，算法运用者对算法这一工具的利用包含了对该利用可能带来的结果的容许，正是算法运用者对算法这一技术的利用本身创设了危险发生的可能性，故而由其对算法运用产生的损害后果承责，具有合理性。由此，也可以迫使算法运用者通过增加投资、加强管理、优化机制等方式，提升算法安全性，减少算法错误率。

04符合经济学上的风险-收益理论

利益之所在，风险之所归。算法运用者因算法的运用结果而获益，便应对算法运用造成的错误结果承责。如前所述，算法个别的错误结果也许是运用者主观所否定的，但就算法运用存在的风险而言，仍在运用者的主观预测范围内。况且，对个别错误结果的承责，与算法运用带来的获利是相匹配的。对个别错误结果的承责，也不足以影响以算法运用为根基的大数据行业的整体发展。

三、审查算法运用者主观过错的“外观主义”规则

算法透明规则要求算法设计者或运用者公开和披露包括源代码在内的算法要素。如前所述，在司法审查中，该规则并未能实际解决主观过错的认定问题。基于此，司法审查应将关注视角从技术本身转移到技术带来的权利、义务、责任关系变动，不拘泥于从算法本身审查主体过错，而是从外部动态要素综合考量算法运用者的主观过错，以此应对算法黑箱、算法复杂性专业性、机器自动学习等带来的审查干扰。进一步而言，认定算法运用者的主观过错，应结合平台的法律主体地位、算法错误的明显程度、数据所涉权益的重要程度、平台规模、平台营利模式及获利情况等动态因素，在个性化的场景中综合判断。

首先，平台的法律主体地位直接影响到平台所应承担的注意义务程度。具体而言，应判断平台系属于网络技术服务提供者还是网络内容服务提供者。如平台是网络技术服务提供者，仅是通过算法对用户发布的内容提供自动化推荐、排序等技术性服务，不对信息内容进行实际的管理与控制，则其仅在知道或者应当知道侵权行为存在或者接到被侵权人的通知后未采取有效措施时，承担相应法律责任。如平台是网络内容服务提供者，则其应对算法运行的错误结果直接负责，承担更高的注意义务。

其次，应结合算法错误的明显程度认定算法运用者的主观过错。算法错误越常规、越明显，与业务的基础架构、底层建筑、功能发挥越相关，算法运用者对该类错误应承担的注意义务就越高，未尽到相应注意义务，被认定为侵权的可能性就越大。相反，如错误结果是算法运行过程中出现的不能被合理预料的偏差，或是仅仅由于数据来源不准确、技术发展瓶颈等导致的非常规错误，则应尽量从保护大数据产业发展的角度对侵权与否作出认定。

再次，应结合数据所涉权益的重要程度认定算法运用者的主观过错。对数据进行分级分类管理，是《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的要义，也是平衡保护数据主体权益、社会公共利益，保障数据有效利用的必然要求。一方面，针对非敏感数据，在发生错误结果时原则上应当允许算法运用者通过事后救济的方式予以纠正。另一方面，针对敏感数据，如案涉负面信用信息等与数据主体权益关涉较大的数据，应当要求算法运用者秉持更加审慎、严谨的态度，采取更为有效的核查手段。对有效核查手段的判断，可结合算法运用者在事前、事中、事后的处理方式综合考量。如考察其在事前是否建立了健全的数据安全管理制度、是否进行了个人信息保护影响评估，在事中是否设置了技术过滤机制、是否引入人工辅助审查等交叉机制，在事后是否主动复核并及时纠正等。

最后，应结合平台规模、平台营利模式及获利情况综合认定算法运用者的主观过错。对提供重要互联网平台服务、用户数量巨大、业务类型复杂的算法运用者，因其提供平台服务的获利较大，社会影响力较大，控制力较强，其对数据管理所承担的“守门人”责任较高，其应承担的注意义务也相应较高。

四、个人信息更正、补充权与信息合理利用的平衡

算法规制的最终目的，是在尽可能不牺牲社会总体福祉的基础上，利用规则引导算法运用者、技术开发者自行消化算法不当结果导致的社会成本。一方面，要着重考虑对自然人的个人信息权益保护，充分救济其因遭受算法错误结果侵害带来的损失。另一方面，应使个案裁判发挥促进算法运用者优化算法模型机制机理，推动信息的流动及合理利用，保障网络信息社会和数字经济发展的正面效应。

利用算法技术对互联网上已经合法公开的个人信息进行处理，是大数据时代的常见算法运用行为。保护个人数据的权利不是一项绝对权利，必须考虑其在社会中的作用并应当根据比例原则与其他基本权利保持平衡。依照《中华人民共和国民法典》第一千零三十六条第一款第二项规定，对已经合法公开的个人信息在合理范围内进行处理，原则上不需要取得个人的同意。据此，平台等各类主体利用算法技术在合理范围内处理已经合法公开的个人信息，应予准许。

算法运用者利用算法技术处理个人信息的行为还应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。更正、补充权是个人信息的一项重要权能，有助于纠正和预防对信息主体权利和自由的不利影响，极为重要。在个人因其个人信息不准确，不完整而受到侵害的情况下，首先，其可依照《中华人民共和国民法典》第一千零三十七条第一款有关规定，要求算法运用者承担更正、补充等责任。其次，个人对因算法运用者未及时更正、补充其个人信息或者算法运用者虽予更正、补充，但其人格权益仍遭受损害的情形，可主张算法运用者承担损害赔偿责任。如算法运用者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。