（3）限制豁免应当保留数据主体进行人工干预以及提出质疑的权利。

[47]同样的情形还可参见戴月琴等诉江苏省人民政府案。[4]See Peter H.Aranson,Ernest Gellhorn Glen O.Robinson,Theory of Legislative Delegation,68 Cornell Law Review 1,6 (1982).[5]参见孙某英、宣城市宣州区人民政府、宣城市人民政府行政征收补偿决定及行政复议案,安徽省高级人民法院（2020）皖行终513号行政判决书。

[63]参见《国有土地上房屋征收与补偿条例》第18条、第20条、第23条。（2）授权立法中的某些事项不宜作统一规定，需要地方政府根据本地实际情形作出规定。立法权转授是我国法治实践中值得关注的一类现象，它已经对罪刑法定、税收法定和法律保留等形式合法性原则产生了不小的冲击。对此，国务院在其制定的《宗教事务条例》第三章宗教院校进行了专门规定。1.对立法权转授的备案审查职权立法和执行立法的边界本就不甚明了，经过转授之后的授权立法很容易被掩盖在职权立法或执行立法之下。

究竟什么是立法权转授，立法权转授给法治建设带来了怎样的影响，以及如何对立法权转授进行控制，这些正是本文尝试回答的问题。在《立法法》将国家监察委制定监察法规的权力职权化则可预防此类问题。其三，决策是基于数据主体的明确同意作出的。

也因此，亦有国家是从算法决策可能引发的风险以及风险的可控性出发，结合具体场景适用分级保护和监管的模式。前者认为机器可习得人类所有的思考和问题解决能力，也因此可胜任所有的人类决策，甚至比人类表现得更完美。[51]4.算法类型和所涉数据作为其他考量除算法所影响的权利类型、影响程度以及风险等级外，算法类型、所涉数据等也都可成为法规范能否允许公共决策适用算法的考虑因素。[58]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第420页。

而且，令人生疑的是，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）在规定国家机关不履行个人信息保护义务的法律责任时，也仅在第68条第1款规定了内部责任：国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正。（4）第2款中的三项豁免不适用于敏感数据的处理，除非获得数据主体的明确同意或者为了维护公共利益并且已采取合适手段保障数据主体权利。

攸关公共福祉的事项应由立法机关来决定，在于唯有立法机关在宪法分配秩序下才具有冲突调解的特权。第二项明显针对算法技术适用于公共决策。而这也构成了评析《个人信息保护法》第24条规定的背景。这种模式被认为是因应人工智能技术的技术性正当程序（technological due process）。

算法决策压缩了行政活动的各个环节，将所有信息与内容杂糅进既定的算法之中得出相应结果，结果也在系统内瞬间完成，此时已无法再分离出行政活动的程序、步骤和方法，正当法律程序针对行政分阶段和分步骤的规制也因此悬置。但从条文规定来看，这种免受自动化决策约束权在行权时又须满足以下要件：其一，决定必须是仅通过自动化决策的方式作出。这都说明，在个人信息处理和数据技术利用方面，法律的部分权限已被授予行政法规，这种授权虽不符合严格的法律保留，却也符合我国法律保留实施的现实。[4]但也因为上述优势，国家权力与算法技术的结合极易催生出几乎不受任何约束的霸权，国家也会借助算法赋能而对个人形成更有力的支配和压制。

这一点又与《个人信息保护法》一贯的规范模式有关。既然是以GDPR为蓝本，那么其对个人权益产生重大影响的解释同样可为我们所参考。

而且此项权利在行权时不仅面临规范要件上的约束，还会受到数据主体可能怠于行权或者力量薄弱的现实因素的掣肘。[25]赵宏：《告知同意在政府履职行为中的适用与限制》，载《环球法律评论》2022年第2期，第44页。

也因此，美国《算法问责法案》采取自我评估和政府评估的双轨制。由此也拉开关于此规定是禁令还是权利的长久论战。但这种人为建构的相关性认知模式，只是一种认知方法而并非唯一的认知方法。反算法歧视则是通过尽力消除算法中隐含的身份歧视，由此来实现身份中立化的算法决策。这也是公法在建构完整的个人公法权利体系之余，同样强调限定公权机关的权限范围以及科予其客观守法义务的原因。[52]既然实现决策执行的算法要比决策辅助或者仅服务于纯粹决策执行的算法对个人权利的影响更大，也理应受到更严格的约束，法规范的规范强度自然也要更强。

相比只是概括性授权的简单法律保留，加重的法律保留同样对立法者的权限进行了限定，由此避免将某些事项直接交由法律规定，却对其不加任何限制所导致的立法滥权。该款评估工具是基于对被告人的访谈以及从被告人犯罪史中获取的信息，对被告人的累犯风险进行评估。

因为透明度不足以及缺乏明确的责任人，在算法出现偏误、歧视等不公结果时，当事人的救济权利同样无法得到充分保障。这种赋能效果又端赖于算法在深度学习，结构性嵌入社会权力运作系统，并对社会生活无孔不入地进行干预以及对人类行为予以普遍性支配等方面表现出的巨大优势。

由此，即使行政将决策工具替换为算法，但只要决定触及个人基本权利，就仍旧要接受法律保留的约束。[19]算法公开被认为是对抗算法黑箱的核心方式，其目标是借由算法解释来破除算法的不透明和由此产生的偏见、歧视和操控。

由于在运行速度、准确性和处理复杂问题上的卓越能力，算法技术已然从私人生活深入公共决策。但被传统法治奉为圭臬的正当法律程序原则同样因为算法的适用而被架空。[53]而在假释和量刑中采用风险预测算法，不仅与无罪推定精神颇有扦格，同样会否定无罪推定原则中的程序性保障。这一点作为法律保留的加重事由同样旨在贯彻风险分配原则：数据处理者和算法适用者作为风险创设者应被科以更多的风险预防责任，由此才能确保各方主体的获益大小与风险承担之间的合比例性。

但何种基本权利要有严格的法律授权，何种基本权利可交由法律之下的其他规范处理，各国规定不一。[27]1.GDPR中隐含的加重法律保留法律保留应作为公权机关适用算法决策的界限又可参考GDPR。

因为法律适用不尽然都是演绎和涵摄，还必须适用直觉或法感这些软性的裁判因子，在涉及文化脉络时，更是攸关隐形知识或无意识，这些无疑是机器所不具备的。[37]若论严格意义上的法律保留，我国的立场仍较为保守，主要涉及的只是基本权利中的自由权和财产权。

要求决定必须是仅通过自动化决策的方式作出与GDPR第22条的规定一致，即免受自动化决策约束权仅适用于自动化决策过程完全由系统进行，无需任何人工干预，其决策结果也未受到任何人为因素影响的类型。[24]王锡锌：《行政机关处理个人信息活动的合法性分析框架》，载《比较法研究》2022年第3期，第92页。

但相比已在公共领域畅行无阻的算法，上述构想很大程度上还仅停留于观念层面。《个人信息保护法》第56条所列举的评估事项更近于一般的数据保护影响评估，缺乏对算法决策的针对性，也恐难解决自动化决策系统在运行中存在的歧视、偏误和不透明等难题。而自动化决策虽然经常被应用于用户画像，所涉及的处理行为却更为广泛。但第二阶段因要作出符合事物特征的个案评价，需要在不完全信息下对不确定法律概念予以具体化，因此必须有人工介入，否则就会引发权利保障的危险。

但法律适用和决定作出不能完全交由算法。对非国有财产的征收、征用只能制定法律。

如果将其理解为赋权则意味着，信息处理者在信息主体拒绝之前，仍可采用自动化决策的方式对个人信息进行决策。由此，在适用算法后，个人不仅面临隐私暴露、被区别对待、权利克减等侵害风险，其作为人的主体性同样被剥夺和贬损。

其次，本条虽然规定了个人免受自动化决策约束权，但个人有权拒绝的究竟只是个人信息处理者仅通过自动化决策的方式作出决定还是自动化决策的结果，条文同样语焉不详。[22]王苑：《完全自动化决策拒绝权之正当性及其实现路径——以〈个人信息保护法〉第24条第3款为中心》，载《法学家》2022年第5期，第84页。