**摘要翻译:** 欧盟法律在结构上仍然与算法系统产生伤害的方式错位。本文识别了针对算法化“人群”伤害的“欧盟集体救济缺口”。本研究通过对《一般数据保护条例》(GDPR)、《代表诉讼指令》(RAD)和《人工智能法案》(AI Act)进行教义学比较,并辅以荷兰消费者保护基金会(TPC)诉甲骨文/销售案例(TPC v Oracle/Salesforce)以及欧盟法院(CJEU)的Meta Platforms Ireland(C-319/20)判决等案例研究,以展示此缺口。分析表明,GDPR的救济措施最终受限于可识别的数据主体及其(可选的)授权;RAD将救济与消费者绑定;而AI Act虽在其基于风险的禁止和义务条款中反复提及“人群或群体”,却将集体执法外包给RAD,且仅提供个体化投诉。基于此,本文提出了三类群体概念:有组织群体、推断群体和立法界定的“脆弱”群体,并指出由匿名化数据构建的、面临风险的推断群体是目前无法获得实质性赔偿途径的主要伤害承受者。为弥合此缺口,本文提出了一份“群体友好型”集体救济指南,内容包括:优先选择退出(opt-out)模式、降低代表性门槛(包括数字形式的支持表达)、引入《荷兰大规模损害集体诉讼法》(WAMCA)式的索赔人分类、为“人群或群体”引入明确的AI特有代表权,以及将集体诉讼资格扩展至非消费者群体。
**论文解读:**
**一、 研究背景与问题**
随着算法系统的普及,其对社会产生的“伤害”形态正发生根本性变化。传统上,诸如污染之类的伤害可能作用于一个地理上可见的社区(如电影《永不妥协》中的案例),但数字时代的伤害则可能由算法预测产生,其作用对象是仅由机器划分的、无形的“用户群体”。欧盟近年来构建了数字监管的三大支柱:以保护个人数据为核心的GDPR,以保护消费者集体利益为核心的RAD,以及旨在规制AI系统风险的AI Act。然而,这些法律是为不同目的而分别制定,嵌入了不同的程序性选择,导致它们在集体救济层面出现了结构性的错配与缺口。具体而言,GDPR的救济核心系于可识别的数据主体;RAD将集体诉讼资格限于消费者;而AI Act虽然在风险评估和禁止性条款中多次承认了“人群或群体”可能承受风险,却未提供专门的集体救济机制,仅通过第110条将其执行部分接入RAD框架。这就导致一类由算法构建的“推断群体”——他们可能因匿名化数据训练而无法依据GDPR主张权利,又因非消费者身份而被排除在RAD之外——即使其承受了系统性、群体性的伤害(如偏见性评分、群体监控),也难以获得有效的法律救济与损害赔偿。本文的核心问题正是探究:在现行的欧盟法律框架下,现有的代表行动措施能否以及如何扩展,以涵盖高风险AI系统生成的群体性数据保护伤害?现存的教义或程序性缺口何在?以及如何弥合这些缺口,使三大立法能够协同确保群体性伤害获得集体救济。
**二、 研究方法与框架**
研究人员主要采用三种方法展开研究。第一,**教义比较法**:系统对比分析了GDPR、RAD和AI Act中关于诉讼资格(standing)、代表行动和救济措施的具体条款,揭示了它们各自对受益主体(数据主体、消费者、人群)的界定差异以及程序性约束。第二,**案例研究法**:选取了两个具有代表性的近期案例进行剖析:一是荷兰的“TPC诉甲骨文/销售案例”,涉及大规模实时竞价广告中的数据处理;二是德国的“C-319/20”案(Meta Platforms Ireland),涉及未经授权的集体禁令救济。这些案例具体展示了现有机制在应对群体性伤害时的实践困境。第三,**概念框架构建**:在文献基础上,提出了一个区分“有组织群体”、“推断群体”和“脆弱群体”的分类学框架,用以识别法律保护所遗漏的主要伤害承受者,并将问题从程序公平提升至集体公平的规范性层面进行讨论。研究基于现有的法律文本、判例及学术文献。
**三、 研究结果分析**
**1. 欧盟集体救济法律景观概览与比较**
本部分对三大法律进行了细致的教义学解构。**GDPR的救济受限于授权与可识别性**:其权利和救济框架几乎完全建立在可识别的“数据主体”之上。尽管第80条第2款允许某些组织无需数据主体授权即可提起诉讼,但这仍需以潜在受影响者中至少存在一个可识别个体为前提,且主要用于寻求禁令而非赔偿。对于匿名化或纯粹推断出的群体,GDPR的赔偿机制基本失效。**RAD的救济受限于消费者身份**:RAD为消费者提供了由合格实体(QE)代表的集体救济机制。禁令救济(第8条)无需个体授权,但损害赔偿(第9条)则要求消费者明确或默示表示其被代表的意愿(选择加入或退出)。这导致赔偿救济再次回归到需要识别个体消费者的模式,非消费者(如工人、企业)或匿名的推断群体被排除在外。**AI Act的执行依赖外部框架**:AI Act承认了AI系统可能对特定人群造成的风险,但其私人执行机制仅限于个人投诉(第86条)和普通民事诉讼。它没有创设AI特有的集体救济条款,而是通过第110条将执行纳入RAD的框架。这意味着,AI Act所识别的承受风险的群体,在寻求损害赔偿时,必须适应并不完全匹配其特性的RAD消费者集体诉讼模型。
**2. 群体的概念框架**
本部分构建了理解受影响群体的分析工具。研究人员将受AI系统影响的“人群或群体”划分为三类:**有组织群体**(如非政府组织、职业团体、少数民族,通常具有社会可见性和自我意识);**推断群体**(由AI模型基于行为数据等推断而临时生成,如“可能违约者”、“易受赌博广告影响的用户”,其特点是缺乏先在的社会身份,成员可能不知情且群体流动性强);**脆弱群体**(由立法明确界定,如AI Act中提到的儿童、处于弱势地位的人群,其定义基于监管关注)。研究指出,当前的法律框架(GDPR和RAD)在程序层面主要处理的是有组织群体或作为个体权利持有者集合的群体。而对于伤害的核心承受者——由算法生成的、缺乏法律主体性的“推断群体”,现有法律缺乏相应的诉讼资格和赔偿通道,形成了一个显著的保护空白。
**3. 实践中的群体:案例剖析**
**TPC诉甲骨文/销售案例**展示了即便在程序较为先进的荷兰,基于匿名化或推断的群体(“所有互联网用户”)在寻求赔偿时仍面临障碍。该案虽然以群体为基本伤害单位提起诉讼,但最终赔偿主张仍需回归到可识别的数据主体框架。法院接受大规模非物质损害的可能性是一大进步,但该群体(荷兰互联网用户)本质上仍属于“有组织群体”范畴,且案件的地域性和国家法属性限制了其跨国适用性。**C-319/20案**则由欧盟法院明确裁决,GDPR第80条第2款允许各成员国法律规定无需授权即可提起代表诉讼,但此诉讼仅适用于寻求禁令等非赔偿性措施。若寻求损害赔偿,则仍须遵循个人授权模式。这再次确认,对于“推断群体”而言,现行的欧盟法律未能为其提供寻求赔偿的有效集体诉讼路径。
**4. 群体代表诉讼的操作化建议**
针对上述问题,研究人员提出了一系列旨在弥合缺口、构建“群体友好型”集体救济的方案,旨在不移植美国式集团诉讼的前提下,优化现有框架。主要建议包括:第一,**优先选择退出(opt-out)模式**,以扩大潜在获赔群体池;第二,**降低代表性门槛**,接受数字形式的支持表达(如点赞)作为“实际支持”的证据;第三,**引入分类和子分类机制**,借鉴荷兰WAMCA法案,根据损失的性质和严重程度对索赔人进行分类,以应对管理和赔偿的复杂性;第四,在AI Act或其实施细则中**明确纳入针对AI的特别代表权**,允许指定实体代表受高风险AI影响的“人群或群体”寻求禁令和结构性救济;第五,**明确支持代表群体的实体在AI Act下投诉的特权地位**;第六,**将集体诉讼资格扩展至受AI影响的非消费者群体**,允许代表工人、中小企业主等的合格实体提起诉讼。
**四、 讨论与结论**
**讨论部分总结:** 论文指出,问题并非欧盟不存在集体救济(如“柴油门”等案),而是其架构难以适配AI驱动的、群体层面的伤害。所提出的操作化建议并非引入全新的诉讼模式,而是旨在优化现有工具(GDPR、RAD、AI Act),使其能够在尊重欧盟法律文化的前提下,有效应对数字时代的集体性伤害,从而真正实现“数字公平”。
**研究结论翻译:** 本文的结论是,欧盟的数字监管框架存在一个为算法生成的“推断群体”提供实质性集体救济的缺口。GDPR、RAD和AI Act这三大法律在保护目标、受益主体和程序设计上的内在不一致,导致那些既非可识别数据主体、又非消费者的群体,在遭受系统性、歧视性或操纵性伤害时,难以获得有效的司法救济与损害赔偿。为弥合这一缺口,必须对现行的集体诉讼机制进行针对性改革和优化,使其能够识别并赋予“推断群体”等新兴伤害承受者以实际的诉讼地位和赔偿途径。这不仅是完善欧盟数字法律体系内部协调性的技术性要求,更是兑现《欧盟基本权利宪章》所承诺的司法有效保护、确保数字时代公平正义的核心规范性任务。
