歐盟與德國個人資料保護法上的評分（Scoring）制度 - 臺灣人工智慧行動網 Taiwan AI Wise Agent Network

公共性與AI論壇（十）
2022年1月13日（星期四）

◎ 主持人：李建良（中研院法律學研究所特聘研究員兼所長）
◎ 主講人：李長曄（中研院法律學研究所博士後研究學者）

◎ 整理：嚴治翔

前導案例：Schufa信評案

首先介紹一個德國在二零一四年的一個判決：Schufa信評案。Schufa在德國是一個私人的機構，但是它本身公共性質非常的強，它主要在進行信用評等分析評分。先介紹一下此一判決的案例事實，它是一件申請車貸的一個案子，A女要向B銀行申請車貸，B銀行在決定要不要貸款給這個A女的時候，向Schufa公司（通用信用保險保護協會）調閱A女的信用評分，最後決定不提供A女貸款。

A依照當時德國個資法三十四條有關諮詢權的規定向Schufa公司請求閱覽自己的個資。Schufa公司除了提供有關A女的個資外，也提供了關於評分程序的資訊、Ａ所獲的各項評分值，以及從以上評分值反映其將來在各種契約上合法履行的機率值。但是A女對於這樣的內容不滿意，因為她認為這不符合個資法上所要求的原則，她想要看Schufa是用什麼樣的評分公式得出這個結果，也就是演算法是怎麼進行的？演算法當中各項相關的數值、評分的比重？以及對照組是怎麼設立的？但Schufa公司拒絕提供上述資訊，所以A女就提起訴訟尋求救濟，最後聯邦最高法院在二零一四年的一月二十八號的時候維持拒絕的決定。

聯邦最高法院最主要的理由是它認為評分公式（演算法）屬於Schufa公司必須被保護的營業祕密，不需要對A女公開。Schufa至今仍在官網上面稱評分公式是公司重要的機密，另外一方面Schufa也不想讓人們在了解演算法後，刻意通過特定行為來拉高自己的信用評分，否則機制就會失去客觀性、可信度。不過最後必須強調一點，這個判決的時空背景不是現行法。

討論範圍及相關概念界定

以下內容不會涉及scoring所有的內容，因為scoring其實會用在非常多的領域，包括雇用契約、廣告的投放，甚至行動位置的預測，但是今天的報告僅在前導案例下討論，也就是限縮在信貸的情形。在這個狀況當中，我會去處理該案所涉及的自動化處理、應怎麼運用scoring的結果、最後決定應多少程度受拘束、以及個資主體有什麼權利。我希望盡量釐清整個消費貸款的發放，從頭到尾的流程以及運用個資的方式。

如果從個資保護法的規定來看的話，本文把它切成三個階段。第一個階段是「留存個資」，也就是我們每個人在各消費金融機構中所留存的各類消費信貸資訊，無論是在網路上或者是在手機上，在每個信用機構、銀行處所留下的信用交易記錄都屬於此類。

第二個階段則是「處理個資」，之所以稱「處理個資」，是因為這是現在的GDPR使用的文字，但是對於此處的「處理」，本文認為若參照德國舊的個資保護法第28條A、28條等相關規定的話，可以從處理機構的不同，再區分成內部評分(Internes Scoring)跟外部評分(Externes Scoring)。

內部評分指的是什麼？內部評分以前述案例來說，就是A女如果去向B銀行申請貸款的時候，最後是由B銀行自己進行所謂的scoring，B並沒有透過外面的任何第三方的機構去幫它計算這個scoring。換言之，它自己就蒐集的個資進行處理以後，再自己做成一個scoring，最後再自己決定核貸與否。

而外部的評分就是，今天做評分的這個主體並不是最後要貸款的這個金融機構，而是一個獨立、第三方的徵信機構。譬如說在前述案例，就是由Schufa這個公司，進行外部評分，最後做信貸決定的還是銀行。

以上是按照德國舊個人資料保護法的分類，但是現行法上究竟還有沒有這樣的規定其實存疑，因為在GDPR上並沒有做這樣的一個分類。不過後面會再談到，這就涉及到GDPR二十二條相關問題。

撇除上述爭議，以下簡單討論Scoring在德國的法律定位：

債信評分(Scoring)本身的定義並沒有出現在GDPR裡面，目前其定義只有出現在德國個人資料保護法BDSG(Bundesdatenschutzgesetz)上，根據該法31條第1項，係指：「為決定是否締結、履行或終結與他人之契約關係，加以計算有關該人未來特定行為的機率值」，而評分之結果，即該「機率值」，文獻上又稱為「評分值」(Scorewerte)，這個機率值能決定是否要跟當事人締結履行或終結契約關係。如果以前面談到的消費金融信貸為例，就是銀行收到Schufa算出的數值後，以該值為決定基礎，作為是否貸款的依據，數值當中顯示了相對人未來是否能夠正確即時地履行還款行為。

若不看德國法，回到GDPR本身的規定來看的話，其實Scoring也符合GDPR在第十條第四款當中所提的profiling的一種類型，蓋GDPR在第十條第四款提及，Profiling係指「以任何形式對個資進行自動化處理，該處理涉及運用個資來評估自然人的特定人格面向，尤其是分析或預測該自然人的工作表現、經濟狀況、健康、個人偏好、興趣、可靠性、行為、位置或移動。」

在這個profiling的定義底下有三點值得注意，第一點是profiling一定是自動化處理；第二點是scoring是profiling的一種下位概念，蓋按照GDPR的規定，就特定人格面向、個人的行為預測，尤其是經濟狀況、可靠性等等，即屬profiling的一種。換言之GDPR對於profiling所設置的一些規定，也當然會影響到scoring。最後第三點就是，不管是profiling或者scoring，它最終還有更上位的概念，也就是GDPR第4條第2款所談的「個資處理」，而且這種個資處理也是一種自動化處理的類型，以上大約就是前述分類的個資蒐集利用第二階段。

簡單總結一下，第二階段其實就是在進行scoring，而主體又可以再區分內部跟外部，但不管是內部還外部，scoring它終究是屬於一種GDPR裡面profiling的一種下位概念，然後profiling又屬於GDPR定義的個資處理當中的一種類型，以上是我在第二階段消費信貸所涉及到的一些概念。

最後是第三階段，最後決定的做成。以銀行來講，銀行要貸款給你的時候，銀行會運用不管是自己算出來、還是第三方算出來的機率值，來做成個別的決定。換言之，以前面Schufa案來講的話，就是B銀行運用了scoring算出的結果來做成是否要貸款給A女的決定，這個階段其實就是最後的那個決定。

至於這個決定是不是一定要自動化？就涉及到GDPR二十二條的適用範圍，所以，接下來就要談到涉及自動化的地方，我們先將自動化暫且視為一種AI類型，在這裡涉及到自動化的地方，第一個是profiling跟scoring，蓋按照GDPR的定義，profiling它本身就是一種自動化的處理。

如果單純按照德國個資法三十一條的文義來看，scoring並沒有完全限定在是自動化處理，只是它在立法裡，包括文件上都寫到德國個資法三十一條所講的scoring就是profiling的下位概念，既然profiling是自動化處理的話，那scoring理論上應該也是一種自動化處理。這是從立法角度來看，不過若實際上來看，其實也很難想像單純用人工來做scoring。

以上是第一個涉及到自動化的處理的地方，第二個則是運用債信結果（機率值）所為之決定，例如說，剛才前面提到Schufa這個銀行最後決定要不要貸款給這個A女的時候，有兩種可能，第一種就是這個決定本身也自動化，第二種則是這個決定有其他人為介入。以Schufa案來講，Schufa案中銀行的工作人員，會先查你的信貸記錄，然後參考Schufa的計算之，最後告訴要不要貸款給你，這是一種自動化的個資處理，加上銀行員工所做成的共同決定。

就自動化的profiling加上自動化的決定來說，理論上是它是兩階段的行為，但有時候從外觀來看是很難以區分的，例如說，在GDPR前言（立法理由）第七十一點當中所提到的網路貸款申請的自動拒絕，指的就是，今天有人要申請貸款，因為採取全線上申請，該人就在網路上填寫，結果最後因為信貸評分過低不許可，這個過程看起來是一個決定行為，可是實際上透過德國的個資法的規定，它可以切成scoring本身以及依據scoring預測值所做的決定，只因為全部都是自動化，所以看起來就像是一個行為。而因為GDPR前言第七十一點所緊扣的法條是GDPR第二十二條，所以個資主體是有權利拒絕接受的。

信用評分相關法規

信用評分的相關法規，如前述提及的第二個流程，本文還是按照傳統德國法的區分方法，將scoring當作profiling的下位概念，雖然現在不管是GDPR，或者是德國現行的個資保護法上面都沒辦法再看到像以前這樣清楚的分類，不過文獻上都還會做這樣的一個區分，因此本文從之。

就內部評分而言，按照舊法，法條基礎是在德國舊個資法第28條A的第1項（現在該條於GDPR施行後刪除），GDPR施行後，它回到GDPR前言七十二點，profiling適用本規則有關個人資料處理的規定，例如資料處理的法源基礎及資料保護原則。換言之，既然scoring是profiling的一種下位概念，scoring就要遵守profiling有關的法律基礎以及規定，那目前處理基礎是回到GDPR第六條第一項，以下將提示一些跟信用評等、債信發放有關的一些條款。

GDPR第6條第1項，針對相關個資處理的法律基礎包括：

a) 當事人同意；

b) 為履行與資料主體間契約之必要，或為進行資料主體所要求的締約準備措施之必要；

f) 為追求資料控管者或第三人之正當利益所必要者；倘若要求保護個資的資料主體之利益、基本權及自由形成優越利益，特別是當資料主體為兒童時，不適用之。

A款典型案例就是在跟銀行開戶或辦信用卡時。B款典型則是如果今天要直接就貸款締約，此時於必要的情形下，也可以直接對個資處理，當然這個處理的概念就包含profiling跟scoring。最後就授權最廣泛、最抽象的F款，基本上重點就是在做利益權衡。

如果是內部評分，沒有當事人的同意，也沒有締約可能的話，就會用到F款，不過大致上用到F款的機率較低，因為內部評分的前提通常是有當事人同意或是為了履行契約所必要。因此F款的重要性是在外部評分的情形。

實務上，運用六條一項F款利益權衡的時候，它必須要權衡的是個資主體的權益以及債信評分所欲達到的商業利益。利益權衡的時候，也不只是考慮個資主體的正面資訊，其中也包含負面資訊。正面資訊就像是定時還款、清償紀錄；負面資訊則包含目前有未清償的債務，或是曾被寄發警告信等情形。

分類正面資訊跟負面資訊的原因在於，如果要納入負面資訊，對個人的權益就會有比較大的影響，換言之，對立面所要追求的商業利益就要更高。同樣法理，正面資訊跟負面資訊的分類目前也被用在德國個資法三十一條第二項關於運用scoring結果的條文。

內部評分一定會涉及到法律基礎，像是憑什麼可以做內部評分？目前這法律基礎主要還是回到GDPR第六條，有關個資處理的規定當中；那如果是外部評分的話，像是Schufa的這種情形，做scoring的並不是最後決定是否貸款的金融機構，而僅是第三方機構時，以前德國以舊個資法第二十九條規範，現在則是以GDPR第六條第一項F款行利益權衡。

而這個規定作為Schufa從事scoring的合法基礎，該公司也很明白地寫在它自己的官網上面，談到了該公司從各個金融機構取得個資，進行scoring的基礎就是GDPR第六條第一項F款的利益權衡。那它所謂的利益權衡，目的就是要讓所有的商業交易行為、契約的履行都能夠有足夠的信賴基礎，能夠有穩當的經濟交易秩序。當然，外部評分也要注意正面資訊跟負面資訊的區別，到底這是對消費個資主體有利還是不利，在利益權衡時也要特別加以考量。再補充一點，Schufa之所以會援引這個條款來作為它取得個資的合法經營基礎，有一個很大的可能原因是因為，個資主體跟Schufa這類外部第三方的債信機構原則上是沒有所謂的法律關係存在的。換言之，個資主體沒有跟Schufa簽訂合約，所以Schufa就不能援引當事人同意，或主張成立締立契約的關係，所以最後只能回到利益權衡，以個資法的角度出發。

但是有沒有可能在此擬制當我們在銀行開戶或簽訂任何契約的時候，就隱含著我們跟Schufa之間也會成立一個隱形的、看不到的民事合約關係？這是可以想像的。但不管怎麼樣，現在以德國或歐盟的狀況來講，Schufa取得個人資訊進行scoring的行為，正當性基礎跟合法性基礎都是來自於GDPR第六條第一項F款的利益權衡。

運用信評結果的法規

剛才談的是scoring本身的法規基礎，至於scoring得出的結果要怎麼用？目前以德國法來講就跳脫了GDPR的規定。scoring的法律定義目前至少德國的文獻都是從現行個資法三十一條去推導出來。然而第一個會碰到的是立法權限的爭議，不過這比較是歐盟法跟內國法間的問題，德國的文獻之所以在三十一條談到立法權限是因為GDPR生效以後，理論上GDPR它是一個基礎規則，在歐盟法規的分類上面，規則應該是要直接生效適用，可是GDPR裡面有很多條文會制定開放性條款給內國法再做進一步的規定，至於內國法能不能做偏離的規定，看到的文獻是說可以，不過當然這也涉及到歐盟法優先性的問題，有更進一步爭論的空間。但不管怎麼樣，在歐盟法跟內國法跟關係上，尤其是以GDPR來講，必須要有一個開放性的條款存在，才有辦法讓內國法做進一步的規定。

然而德國個資保護法三十一條規定的是運用scoring的結果，但GDPR沒有談到這個概念，以GDPR二十二條為例，它規定的是運用信評預測值做成決定的許可性，而與「運用」本身無涉，當然論者或可謂GDPR能被更廣泛地解釋說它包含，但是至少文義上看不出來，因此GDPR有沒有這樣一個開放性條款就會變成有爭議的地方，這也就是為什麼現在德國個資保護法三十一條的註釋書上或是教科書都會先去談它的立法權限的問題，就是因為GDPR二十二條並沒有提到關於運用profiling或scoring結果，各國可以做進一步的規定，所以這個開放性條款是欠缺的。那當然有人會認為反正scoring就是profiling的下位概念，既然二十二條談到了profiling，那當然我們可以針對scoring的結果運用做相同的規範，從這邊去推導GDPR的一個開放性，讓內國法可以做進一步的規定。

當然這是一種說法，但也有另一種說法是說，因為GDPR第六條，乃至於第二十二條的規定，都沒有達到德國以前針對scoring區分內部、外部的規範密度，所以得出了GDPR有這樣的一個開放性。不過這個當然跟個資法本身沒有太大的關係，它比較多的是涉及到歐盟法跟德國法之間的關聯，其實在德國法上有非常多認為GDPR實際上是一個跛腳規則(hinkende Verordnung)，即包裹著通則外衣的指令，很多人做這樣的批評。

惟，不論如何，德國現在已經於個資法明文規定，學說上也幫忙藉由理論來填補了立法權限欠缺的漏洞，當前個資法三十一條就是規範怎麼用Scoring結果來做後面決定的基礎，它是針對運用scoring結果的一般性規定，僅於下列四種情形才允許運用有關於自然人未來特定行為的機率值，作為是否與這個人締結履行或結束契約關係的決定基礎，包括：

遵守個資保護法之規定；
依照科學上認可的數學統計方法，可證明機率值計算過程運用的個人資料對於該特定行為機率的計算有重要意義；
機率值不是僅使用通訊資料而得出；
若使用通訊資料，應於機率值計算前告知當事人，該資料將被如何運用；該告知應做成書面紀錄。

第二款其實很像是GDPR第二十二條後續在相關人權利義務會談到的「相關的邏輯性」（involved logic）。

德國個資保護法第三十一條除了第一項所謂的一般性規定之外，還有第二項特別談到運用徵信的機構。例如就Schufa計算預測值的要件，就設定了更為嚴格的條件，原因是在於三十一條第二項是針對個資主體以前曾有履行期限屆至仍然未履行債務的情形，因為要參考此負面資訊，且scoring還是由第三方機構，例如說Schufa公司來預測，因此設定了比三十一條第一項更嚴格的條件。

在以往有債務不良的記錄又是第三方來做外部評分的時候，三十一條第二項做了更嚴格的規定，所以小結一下，三十一條第一項是一般性的規定，不僅是內部評分，也包含了外部評分的一般性規定，三十一條第二項則是在講外部評分的時候，如果你今天要處理的涉及到負面資訊的時候，要做更嚴格的設定。

運用信評結果做成之「決定」的法規

剛才談到的是運用這個決定的合法性，接下來運用完以後，要做出最後的結果的決定，以前面前導案例來說，就是銀行最後到底要不要貸款、要不要締結契約，此一決定的合法性基礎在哪？

同前，先區分內部評分跟外部評分，內部評分的部分，回到GDPR第二十二條，自動化處理決定的限制，第二十二條第一項規定的是，當事人有權不受僅基於自動化處理的決定，這包括了依據profiling而做成且會對當事人產生法律效力或類似重大影響的決定，二十二條第一項是做了一個原則性的禁止。如果是單純自動化處理，自動化做成的決定，這樣的一個法律效果是不拘束當事人的，也就是不拘束個資主體的。

不過二十二條第二項也開放了一些例外，例如說第A款它就談到如果是締結或履行資料主體與控管者之間契約所必要時，不受第一項規定拘束。換言之，如果是內部評分，且進行這個scoring是有必要的話，這個決定就會在二十二條第二項的例外下處理。

在內部評分情況底下，scoring跟做決定是有直接關聯性的。因為profiling包含scoring，因此scoring是自動化處理。如果做決定的時候僅依據自動化處理的scoring，那就是二十二條第一項所要禁止的，但如果特殊情況就可以回到二十二條第二項的例外規定。所以內部評分就是二十二條所要直接規定的範圍，也就會有後續GDPR十五條諮詢權的運用，以及其他立基在GDPR二十二條以下的權利得以行使。

那為什麼會做這樣的區分？第一是因為外部評分不是二十二條第二項所要處理的範圍。為什麼會說外部評分不是二十二條所要處理的範圍，主要是因為二十二條的規定是在講基於自動化的profiling的結果做成的決定，若同時比較德國個資保護法三十一條的規定，可以發現「運用」及「決定」是可以分開的。

換言之，以外部評分來講，我今天是銀行，我運用了Schufa做成的scoring的結果來決定我最後是否要締約，是否要貸款給你，如果我這個銀行是人為做的決定，其實就切斷了所謂的全自動化處理的一個流程，這時候似乎就不是二十二條所要規範的範圍。換言之，第三方債信機構所做出的預測值，它本身並不是一個決定，因此它不是二十二條所要規定的決定，它僅是後續決定的基礎。而這個時候如果這個後續的決定又有人為介入的話，這邊就會提出一個問題：人為介入的空間有多大？它還是不是二十二條所要規定的？

那目前我看到的文獻都認為不是，因為從文義上去解釋，他們會認為GDPR二十二條在講的這個決定，既然是單獨基於自動化的profiling，自動化的個資處理，也就是所謂的自動化決定。一旦有人為介入，像是外部評分的情形，那就不是二十二條所要規定的。

不過這樣的一個解釋，我自己還是有點質疑，因為二十二條它只是在講基於全自動化處理所做成的決定不能夠拘束個資主體，可是這個決定，沒有去講是不是自動化，但目前大家都會覺得既然是單獨基於自動化的個資處理，這個決定當然就是自動化。但如果是外部評分呢？那又會變得他就不會放在自動化處理下，因為有人為的介入，銀行自己審查Schufa的結果，再決定要不要給你貸款，那就有人為的介入，那就不會落入二十二條的規定，那如果不會落入二十二條的規定的話，就會涉及到GDPR有些條款它都是奠基在二十二條所謂的自動化決定以上基礎以上所產生的權利，那還能不能用就會有一些爭議。

目前德國Wiesbaden的行政法院，它已經有這樣的一個挑戰跟質疑，就是我們一直認為GDPR的二十二條並不包含所謂的外部評分，換言之，就是因為有人為介入這個決定，所以不是二十二條所要規定的情形，那既然是這樣的話，那很多基於二十二條所產生的權利，是不是就會造成使用上的困難？ VG Wiesbaden行政法院想要挑戰如果不去爭論GDPR二十二條的決定是不是自動化決定，至少還是可以說Schufa所做成的評分結果本身就是一個決定，而不是僅是後續決定的基礎。如果如此，個資主體就可以對Schufa行使很多二十二條產生的後續的權利。

為什麼行政法院會有這個質疑？目前查到這是去年此行政法院向歐盟法院提出的一個訴訟。（歐盟法院的訴訟類型有很多，其中有一個最大宗的就是所謂的先決問題的審查，換言之就是你內國法院在具體個案的適用上面，如果碰到了歐盟法規的解釋的時候，因為歐盟法規的解釋本身是專屬於歐盟法院的權限，所以你就必須要暫停這個訴訟，有點像我國申請大法官解釋、現在的憲法法庭。要暫停訴訟程序，將係爭歐盟法規應該如何解釋的先決問題寫清楚後，提出聲請後將此爭議移送到歐盟法院，等待歐盟法院的審查。）Wiesbaden行政法院的判決實際上也是涉及到Schufa，故本案法院就暫停了訴訟程序，將「GDPR二十二條所謂的決定是否就包含所謂的Schufa本身scoring的結果」這個爭議送到了歐盟法院。目前只看到它提出了先決問題，還沒有看到歐盟法院最後的判決結果。

問題與討論（敬稱省略）：

李建良：

前面有一個2014年的前導案例，主要是請求Schufa公司公開它怎麼演算、怎麼算出這個評分值的過程，報告中也討論了這個問題依照GDPR的規定，或者依照新的德國個資法規定，是不是可以請求？理論上就是要依照評分值去做成決定的時候，評分值必須合乎數學邏輯，那為了驗證是否符合數學邏輯，當然就必須要知道整個演算過程，關於這個部分目前是否有案例驗證？

李長曄：

目前看到的有可能就是那個Wiesbaden行政法院的判決，目前只看到Wiesbaden行政法院針對GDPR二十二條的規定，提出了一個問題，所以還要再查一下它本身的案子事實是是什麼。

李建良：

我其實想先瞭解scoring，尤其是在信貸領域裡，它的訴訟案型有哪些？除了整個評分的過程外，其他有關銀行跟Schufa的關係，或是消費者跟銀行之間有沒有什麼樣的一些訴訟是植基在跟評分有關的基礎上？

李長曄：

如果以它是一個外部評分來講，其實就是一個三角關係，個資主體、Schufa（所謂的第三方徵信機構），以及銀行。以往個資主體對於Schufa的訴訟依據是個資法，包括我們看到二零一四年的那個判決，原告也是依照個資法來請求。目前看來，雖然很難去認定，但是個人跟Schufa公司之間會不會有跳脫個資法以外的法律關係存在？例如說民法契約，這個是可以再討論的。

至於Schufa跟銀行之間，除了個資法外還有一個契約。而個人跟銀行之間也有可能成立借貸契約。所以目前如果個資主體要直接找Schufa的話，目前的依據都還是個資法的規定，所以我在想為什麼VG Wiesbaden的行政法院會提出這個規定，就是因為理論上個人跟Schufa之間是沒有法律關係的，只有依照個資法行使諮詢權，而沒有個資法以外的像民事上的法律關係。那如果這個諮詢權的範圍又是建立在二十二條GDPR自動化決定的時候，在Schufa所做的預測值不是最終決定時，到底要以什麼向Schufa請求公開計算公式？這還要進一步查證。

李建良：

我想在這個基礎之上再確認一下，所謂的諮詢權是要了解整個scoring的過程有沒有什麼問題嗎？可是這個權利應該不會只是手段沒有目的，如果說這個scoring本身有問題的話，就消費者來講，可能會進一步地要求貸方一定要借出，或是與之簽訂信貸契約。所以諮詢跟訂約之間應該有一個連動關係。這法律關係可能是建立在如果scoring有問題的話，消費者可能可以更進一步說貸方必須簽約等。想要再了解一下，德國的民法於此是不是已經發展出特別的規定？有沒有可能在銀行相關的貸款方面，有一個類似於強制締約請求權基礎？

另外一方面就是剛才提到說，還要再去查有關那個VG Wiesbaden的那個行政法院判決，它既然是行政法院的話，這個訴訟應該會是一個公法性質，跟二零一四年那個判決可能會不太一樣，不過這個部分可能還有待進一步瞭解。

最後再問一個，就是整個核貸過程應該分成幾個層面？第一個層面是可不可以做scoring？第二個是scoring做出來之後可不可以評分為基礎再做核予信貸與否的決定？這是兩個層次，前面那個層次就會牽涉到GDPR第六條的問題，後面那個決定則是GDPR二十二條的問題，如果我理解沒有錯誤的話，應該是分成這兩個層次。

只是我剛才想到了一個問題，就是可能還有更前面的一個層次，以Schufa為例，就是那它的資料從哪裡來？是不是還有這個層次的問題？在剛剛舉的例子，說你提到有一次在期刊訂閱上忘了付錢，這樣負面的記錄可能會跑到Schufa的資料庫內。但是這個記錄為什麼會跑到那邊去？按理說，這個記錄應該是個人跟期刊公司之間的關係，所以有一個更前端的問題，可能是剛剛提到說Schufa是類似於公益的機構，會不會是因為這樣的關係，它才可以去取得很多的資料作為scoring的database？這是我想要再請教的一個問題。

李長曄：

這個問題我當時也有在想說它憑什麼可以取得，白話一點就是Schufa憑甚麼可以取得每個消費者跟每個金融機構信貸的往來資訊？在這個部分我當然自己先看Schufa的官網上面有沒有對這個事情做說明，那它自己在官網是援引第六條剛才講的利益權衡的條款，他把這種「將個資交給Schufa公司」也視為是一種個資的處理，而處理的正當性基礎就來自於利益權衡，那為什麼可以通過這樣利益權衡？因為大家把資料給公司是因為公司要幫大家算出這個人在信用上值不值得信賴，它會保障大家的交易安全。這個是我從Schufa公司的網站上面看到的說明。當然就現在的條文來看，我只能想到它的架構可能是先把傳遞個資的行為視為是一種個資的處理，然後再透過有關個資處理的合法性基礎來讓Schufa能夠獲得大家的消費記錄。

何之行：

剛剛李博士報告有談到如果Schufa跟這個資料主體之間沒有契約關係，他們之間的關係基本上就是個人資料法，那如果說我們一開始不要跳到GDPR第二十二條，也就是先不處理是否屬自動化決策的問題，而只是把Schufa當作一個資料處理者來看，那我的問題就比較單純，就是說在GDPR裡面它有沒有其他的請求權基礎，像是基於透明性原則等，可以讓資料處理者對於資料主體一定程度地揭露。這個揭露可能不會擴展到二十二條演算法的參數，但是或許可以要求它應該考慮到什麼樣的資料，也就是Schufa的資料庫應該要納入哪些資料。

基於這樣的揭露，資料主體就可以了解到Schufa考量的資料哪一些是比較正面的？哪一些是比較負面的？針對負面的話，資料主體是不是可以有一個類似像抗辯？或是要求解釋資料是否有被合理納入？這些是不是可以直接從第六條去處理？

那第二個問題就是說如果回到第二十二條，我可以理解Schufa做了評分，可能不會立刻變成GDPR二十二條裡面的一個決定，但是會不會有可能可以解釋成是二十二條裡面談到的，評分可能有法律上相等的效果？把這個決定的定義擴張到「會影響後續法律效果的預測值」，或是「一個影響決定的參數值」，此時就可以援引二十二條要求後續揭露自動演算法決策的基礎。

李長曄：

先回答第二個，它很像剛才談到 Wiesbaden行政法院想要突破的點，它就是從scoring的結果出發，Schufa進行scoring的結果會產生類似二十二條所提到的法律效果重大影響，因此從這邊切入認為scoring的結果本身就是二十二條的decision。不知道何老師的想法是不是往這個方向去引導的，那如果是這個方向去引導的話，至少Wiesbaden行政法院向歐盟法院所提供的先決問題當中，就是希望歐盟法院就這一點解釋突破。

那第一個問題的話，我覺得有可能，只是是否能夠閃過二十二條的規定，直接讓資料主體向Schufa請求個資揭露可能有所疑問。因爲即使從各種權利上面去看，因為各種權利的前提是架構在二十二條的自動化決定上，因此只要scoring還是自動化處理，就很容易就回到二十二條。

當然如果不把scoring當作是一個decision的話，就可以閃掉二十二條，只不過在scoring的自動化仍存在時，大家還是容易覺得既然有自動化，即使只有scoring，也容易回到二十二條。我覺得這或許可用德國個資法三十一條就「運用」跟「決定」切開處理的角度切入，也就是說如果認定「運用」是個資處理，就不用再去管後面的「決定」是不是自動化，反正就「運用」了。而「運用」以後就可以用其他的請求權基礎來向Schufa請求揭露，這個是我目前的回答。

何之行：

我稍微再請教，像李博士剛剛談到，如果先不要跳到二十二條，那前階段的揭露可以到什麼程度？就是可不可以要求它不只揭露處理什麼樣的個資，還要包含它的參數？可不可以要求到這個點，但不去過問它演算法如何做成？

李長曄：

其實若先不管二十二條，其實還是有一個很重要的問題就是揭露的範圍。我不管用諮詢權或告知義務向你請求，你要告訴我多少、要揭露多少的問題。以前會認為其實最關鍵的是除了個資外，重點是用什麼公式？用什麼演算法把它算出來的？關於這個能不能請求公開？我覺得按照現在的規定應該是可以的，但是當然這就是純粹理論上的結論而已，可不可以在實務上獲得更多的支持，還有待觀察。至於揭露的話，是否會造成Schufa所主張的，一旦揭露大家都可以去操縱評分制度來獲取高分，這也不無可能。

邱文聰：

台灣的銀行資料報送給聯徵中心其實是有法律上的依據，所以那邊的個資蒐集基本上是依照法律的規定，它沒有再另外以聯徵中心的正當利益為基礎，在沒有法律基礎授權的情況下去蒐集，這個部分可以提供給長曄參考。

那另外一個針對剛剛一直在討論的一個點就是到底把scoring的演算法資料公開會不會有什麼樣的影響？我覺得這個要看scoring的這個演算法到底是根據什麼東西來進行預測？如果它進行預測需要的這些factor明顯跟提高自己的信用能力是無關，那揭露這樣的資訊就很有可能會被操弄。如果大家就只是看到一個factor，也許有correlation，但是並沒有實際上的明顯關係，那揭露的話就會很容易被本來沒有信用能力的人針對那個factor去改變。但是如果說這個scoring的演算法所依據的factor其實就是在提高你的信用能力的話，那你去揭露這樣的一個演算法內容，其實並沒有所謂的操弄不操弄的問題，因為你就是告訴人家「你以前信用卡款都沒繳，或者是說都沒有按時繳」，那你就去好好按時繳，提高你的信用，這就沒有操弄不操弄的的問題。所以我覺得還是depends on到底這些徵信機構所進行scoring 是base on what？

李長曄：

謝謝邱老師提供台灣的部分。我自己想再做進一步的研究的時候，也在想台灣聯徵信中心用的法源是什麼？是用銀行法還是個資法？（銀行法）

那第二個就是它到底是用什麼參數去算？我常常在想，公開的演算法公式以後又怎麼樣？其實演算法特殊就在於我也只能告訴你，但算是電腦在算，Schufa公開也就是這樣，我不能去影響，理論上公開也不會去影響它怎麼算，也沒辦法事先預測說我把這些東西丟進去以後得幾分。

那第二個也是在講說它當然涉及到當然剛才邱老師提到的一點，就是這個參數本身的跟所謂的債信能力、還款能力本身的關聯性有多大。到底是以前不按期繳款的紀錄，還是說有可能連醫療資訊、健康狀況都納入？就像現在如果你要買房子，一貸也是三十年，也許健康狀況很差，十五年以後就可能掛掉了，那怎麼可能還貸給你三十年。什麼樣的資訊真的是很重要的關鍵點，例如說在信貸的案例中，究竟可不可以在演算法當中，算進個人的醫療資訊？這個也是很重要的問題，很謝謝邱老師的意見。

李建良：

那個文聰剛剛兩個問題，我想補充跟再確認，第一個就是我們有法律依據讓金融公司去做相關資料的的貸信的一個資料的收集？

邱文聰：

對，就是要求銀行做貸款的時候要要報送資料給聯徵中心。

李建良：

那個聯徵中心是官方的機關嗎？

邱文聰：

它是最一開始是銀行公會自己籌組的，那銀行法是說這樣的徵信機構是需要經過主管機關的許可才能成立，所以現在在台灣唯一一家被主管機關許可的就是聯徵中心，組織的屬性是財團法人，受到金融主管機關高度的介入。

李建良：

第一個問題是來自於非金融機構的資料，我剛剛試問長曄那個問題，比如說買書然後沒有付款等等，對象基本上是出版業，出版業可以把我的資料給其他金融機構嗎？當然可以理解成，如果金融機構要確定貸信的時候，可以把申請人的資料交給另外一個公司確認這個人可不可以，這或許有可能可以在GDPR第六條下，透過利益權衡的方式，得到一個合法性的基礎。然而如果是我們每天的交易對象，而並不是金融機構時，那這些交易的資料如何集中到某一處？

第二個問題則是有關預測值跟決定之間的關係。預測值到決定之間，可能還有一個gap，我剛剛在想或許這兩個之間概念上面可以做這樣區分，第一種是根據一個自動化得出的預測值再去做成一個人為決定，如果認為這是一個人為決定，理論上就沒有二十二條適用的餘地。但是如果有一種情形，我不管這個預測值是什麼都完全百分之百依照它，在這種情況之下，這種關於是否屬於人為決定的區分會不會變成流於形式？這又會回到我剛剛一直要問的那個請求權基礎的問題，屬於公法關係跟私法關係到底有沒有區別？

劉建邦：

想從交通應用面就教，現在交通安全是大家很關注的項目，台灣一年大概三千人因為道路交通死亡。社會上談了好幾年(UBI, Usage Based Insurance)，它就可能會建立在駕駛人的credit 上，但因為台灣的保險還沒有完善的法規，所以ubi一直都沒有辦法推動。但從另外一個角度來說，如果從公共利益角度，有沒有機會可以推動其他的制度？比如說利用cctv的 AI 功能、或者是高速公路上的etag，用來推知駕駛的行為，像是知道從台北開到台中時速多少？從資料累積，甚至還可以從人的背景資料，反映駕駛是否比較莽撞、衝動？

如果我們要建立駕駛人或是車輛的credit機制，比如說換照、買車的時候，成本要不要不一樣？或是說保險車輛的換照，或職業駕駛人從A公司換到B公司，是否要有一個這樣的信用評等機制？如果我們要這樣做的時候，可能要注意什麼？目前台灣並沒有這個東西，但是隨著資料累積，或許就可以做不同資料庫之間的連動。或許這是一個未來交通安全上可以著墨的地方，就教於大家，謝謝。

李長曄：

謝謝劉博士的提問。先講一個有趣的，我記得在德國的時候，他們講說買賓士的話，保險費就比較低，買 bmw 的話，保險費就比較高。我就問為什麼，他們說因為買bmw的大部分都是年輕氣盛的屁孩，所以很容易出狀況，所以保險費就特別高。

如果先廣泛地把這種資料之間的傳輸跟蒐集都看作是一種資料處理的話，那當然很重要的會是個資法上的當事人同意，但是很多時候我們沒辦法在各種情況都踐行當事人同意，當然有可能在要換駕照的時候，去踐行同意的動作，但如果沒有踐行的話，又要做交通狀況的追蹤的話，因為不一定只參考交通上面的因素，還可能要參考醫療紀錄、上班地點、通勤距離、交通方式等資料，所以如果沒有取得當事人同意的情形下，就可能要用資料量大且彼此間有黏著性跟參考價值等理由，再透過像GDPR的利益權衡條款，去正當化這種看起來性質不同，但實質上相關的個資流動。如果不得已要有這樣的一個抽象條款的話，就要提出更強大的利益考量。例如說：每年的交通意外的人數、特定路段、或什麼利益來正當化在沒有同意或法律上關係時，依然可以取得各類個資。

如果用德國正面跟負面資料的分類討論交通的利益權衡，在會使用大量的負面資訊的情形，像是車禍記錄、上班遲到紀錄（有可能開車要開得很快）等比較負面記錄的情形，正當化的利益就要更強。具體來講，就是每年交通事故的比例多高？

李建良：

謝謝劉博士提的問題，我覺得我們對scoring問題的視野可以打得更開，我一開始在想的問題就是，我們或許可以把scoring當作是一個中性的、對一個人的可信賴度評價。我們透過一定客觀機制預測，再以這個基礎做其他判斷。但是scoring要用在什麼上面？會連動到個資的問題。放在交通問題上面，我就想到兩種可能性，第一種可能性是說，為了考駕照的時候喔，除了你有沒有開車的能力之外，另一個就是有沒有駕駛道德，目前我們只考筆試，只考懂不懂交通安全，那將來要不要再加一個信用？是否可靠？會不會開快開快車？要不要發駕照時加入scoring的制度？當然一定要有法律依據，但是它有沒有正當性？

另外一個可能性是剛剛提到說要預測，透過cctv等等其實已經可以掌握一個人開車的習性，或者是信用度。所以另外一個可能性是可否透過這些資料來決定一個人是否是不安全駕駛，並就此評估是否要暫時吊扣或吊銷駕照？當然更大的一個理解就是帶有預防性預測的功能，這是我直覺的想法。

黃相博：

我先來講一個笑話，我們以前年輕的時候，尤其是男生，在交男女朋友的時候，常常出去約會回來，朋友就會問說幾分，就是會開這個玩笑，那大家就用八分、有過門檻之類的方式。其實在講說評分這件事情，我們可能大家心裡頭會有一個尺，就是說你可能用什麼樣的這個方式去評分？只是說到現代社會上，我們可能會用自動化的方式，用電腦數據，更細緻的去做評分。

以前沒有這樣的技術的時候，可能就是用自己的大腦去做這樣的運算，那當然加入了這些科技元素之後，可能會讓評分的標準更細緻化，或是說更精確，那這個評分的標準到底可不可以公開，或是讓被評分者知道哪些項目是好還是不好？以剛剛舉的例子來講，如果知道追求對象的評分標準是什麼的時候，可能就會針對這個項目去加強，刻意取得高分，這樣的做法到底是不是負面的？我覺得這個是可以討論的。

同樣道理，運用在交通上面的時候，如果知道吃很多張罰單，或是就算沒有吃罰單，僅是超速等記錄，儘管還沒有到達被處交通罰鍰的程度，可是如果知道這些記錄會被併入評分項目當中的時候，是不是我的行為某個程度上會受到修正？這樣的影響是不是一定不好？是否公開評分的項目跟標準這件事情對於被評分者是不是一定是一個有利或不利的一個結果，我覺得可以再思考。

再來就是連結到李博士今天的題目，如果把評分放在信貸這件事情上面的話，如同剛剛文聰老師講到的徵信中心，尤其是像我們去做信貸買房子的時候，我們知道我們一定都會簽那個授權同意書，讓銀行去去拿我們徵信中心那邊的資料，那說不同意的機會不大，因為為了要取得貸款。徵信中心輸入相關資料之後，你就會拿到一個信用報告書，你也會知道自己大概是幾分，八十五分還是六十七分等等，在知道這些分數會去影響到可貸款成數、金額跟項目。

對貸款人，或銀行來講，那些項目可能是相對公開的，比較有趣的是，我們前一陣子比較流行p2p網路信貸，因為那些民間的信貸是比較小型的公司，並不是銀行也不是金融機構，所以它沒有辦法像銀行一樣去取得正式的徵信資料，就我所知，他們會發展他們自己的徵信評分的標準，但事實上，就我所知，他們也不像徵信中心那麼公開說，是納入信用卡資料或是繳款記錄等。他們可能會要的是你過往訂閱雜誌有沒有準時繳費這件事，或者是你有幾隻手機？多久變更換你的手機號碼？擁有幾個銀行帳號？等可能跟信用、存款、繳款記錄沒有直接相關相對次級的資料。可是對於這些網路信貸公司來講，這些周邊的生活習慣、上班的交通工具、上班的時間等等也是一樣做出一個評分，且影響到小額信貸的利率、貸款金額。

我要講的是，中性的角度來看，它是有可能好也有可能不好。有的人可以利用這樣的評分制度取得對他有利的貸款條件，或是取得一些他透過正常金融機構得不到的貸款。而負面上來講，我其實會比較擔心當信貸、交通，或者其他各面向漸漸被評分後，被評分的對象會不會慢慢地就都被分數取代而成為客體？那我想請教一下李博士，對於這樣的評分制度，對於人的主體性來講，有沒有相同的擔憂？或是未來人都變成只是一個分數？以上謝謝。

李長曄：

謝謝黃老師的提問，其實我自己在考慮AI或是評分的時候，也想過個人的主體性。如果認為決定跟scoring是可以切開來的話，如果決定最後是人做的話，理論上我們會把最後決定的責任主體放在人上面，最終還是我跟行員或銀行法人彼此有一個結果。理論上雖然可以讓銀行行員不要被scoring結果拘束，可是法律能規定禁止懶人嗎？可以規定決定不能只參考scoring結果嗎？

也許可以，就像 GDPR的規定，實際上把評分跟決定切開來以後，可能可以讓我們之間還是回到人跟人之間的互動，然後讓能夠承擔責任的主體或是被這個決定拘束的主體回到人跟人之間的互動，不是機械、AI在處理。對於最終結果如果想要找人負責，例如說信貸不過的話，最終還可以找到一個活生生的人來負責，而不是一個躲在電腦運算法裡面看不到的AI。

可是下一步就是，法律能規定到什麼地步？能規定到說做決定的那個人不要被AI綁架？或許可以做這樣的訓示條款，但是實際的效果能到多強？也許研發AI的人會說不用擔心，我們現在努力的目標就是讓AI有意識，他像人了，越來越像人，就變得不是被分數綁架，而是被一個AI個人所決定。可是這個我也還在考慮，我們一直在AI上面追求，讓AI能夠越來越像人、比人更好，有更好的知識背景、更好的database，然後來做出更符合人性的措施，但結果就會不會像你一直以為在地球上面，一直以為在大航海時代，一直以為你在往前進，結果最後其實是在地球的海面上繞一圈，最後又回到原點？因為所有原先人類有的問題，在一個高度擬人化的AI之後，也有了相同的問題。

李建良：

最後相博老師提的那個問題，也可以來跟長曄的一併回應。其實我們可以回過頭來看看scoring這件事情在個資保護跟個人自主性上面的整個問題。正向地來說，這個制度一定可以提供我們在做判斷的時候有一些比較客觀的準據，但是若把它放到個資法來看，就會有弊端的一面。在追求正向利益的時候，會不會犧牲掉一些個人的自由跟自主性？

我們可以去思考，第一，如果是純粹的商業性，就今天的題目信貸而言，經濟交易安全，不管是對消費者或產業來說，應該都有它正面的意義。只是說，到底被納入去評價核貸的因子是什麼？是真的只有欠錢，或者還有卡債，還是只是純粹經濟性的因素？又或是還包括了社會行為如向圖書館借書不還？這些記錄會不會流動，「常常借書不還」被當作判斷核貸的一部分？哪些資訊會被放進去？這是一個值得去注意的問題。

在AI的發展過程當中，只要提到scoring，大家第一個反應基本上都是有點負面的，因為我們最怕social scoring，或 social credit，這已經被大家覺得是有問題的。特別是剛剛我一直強調，到底是私人之間你情我願？還是說是由國家發動的一個social scoring？這有很大的區別。歐盟去年四月執委會公佈的一個 AI的regulation草案裡，已經明文禁止social scoring。至於什麼叫social scoring？這個又是一個問題，今天講的信貸scoring跟social scoring是可以劃清界線的嗎？還是說它們之間有某種程度的交界？這些其實都可以讓我們對這個問題更進一步地思考。最後就是剛剛相博提到的問題，我們到底要相信機器人？還是相信我們主觀判斷？主觀判斷錯有時候也沒什麼關係，當然這個是笑話一則。

前導案例：Schufa信評案

討論範圍及相關概念界定

信用評分相關法規

運用信評結果的法規

運用信評結果做成之「決定」的法規

相關人的權利義務

問題與討論（敬稱省略）：

You Might Also Like

工人智慧到人工智慧：大數據與文字探勘在法律經濟學的應用——以商標侵權為例

YOLOv4 & YOLOv7的發展過程

演算法治理的透明度難題