德国民事诉讼自动化决策隐私权已终审
SCHUFA信用评分案

SCHUFA信用评分案

一般
案号:C-634/21
法院:欧盟法院 (CJEU)
判决时间:2023年12月01日
当事方:{"plaintiff":"个人 (数据主体)","defendant":"SCHUFA Holding AG"}

欧盟法院裁定,信用机构计算信用评分构成GDPR第22条所指的“自动化个人决策”,该条原则上禁止完全基于自动化处理的决策。法院强调,数据主体有权获得关于自动化决策逻辑、重要性及后果的解释。

案情概述

欧盟法院裁定,信用机构计算信用评分构成GDPR第22条所指的“自动化个人决策”,该条原则上禁止完全基于自动化处理的决策。法院强调,数据主体有权获得关于自动化决策逻辑、重要性及后果的解释。

核心争议焦点

  • 1信用评分是否构成GDPR第22条下的“自动化个人决策”
  • 2数据主体是否有权获得自动化决策的解释
  • 3自动化决策对个人权利和自由的影响

法院说理

裁判要点

  • 1信用评分的计算属于GDPR第22条所指的自动化个人决策
  • 2数据主体有权获得关于自动化决策的逻辑、重要性及后果的解释
  • 3原则上禁止完全基于自动化处理的决策,除非符合特定豁免条件

AI技术详情

技术类型:自动化决策

技术实现说明

SCHUFA是德国最大的信用评分机构,其自动化信用评分系统通过算法分析个人金融数据,生成信用评分,直接影响个人获得贷款、租房等服务的机会。 SCHUFA自动化决策系统原理: 1. 数据输入:收集个人的银行账户记录、贷款历史、信用卡使用情况、地址变更频率等数据; 2. 算法评分:使用专有算法(不公开具体权重)将上述数据转化为0-100的信用评分; 3. 自动化决策:金融机构直接基于SCHUFA评分做出贷款审批、利率设定等决策,无需人工审核; 4. 不透明性:算法的具体计算逻辑属于商业机密,被评分的个人无法了解评分依据,也无法有效申诉。 法律争议焦点:GDPR第22条明确禁止完全基于自动化处理(包括画像)做出对个人产生重大影响的决定,除非满足特定条件。SCHUFA的自动化评分系统是否违反GDPR,以及个人是否有权要求人工审核,是本案的核心争议。