丁晓东:全球比较下的我国人工智能立法

丁晓东

    【摘要】我国人工智能立法需要引入全球比较视野。目前美国的人工智能立法强调市场主导与企业自我规制,仅在出口管制、涉国家安全信息共享、民权保护、消费者保护等领域进行规制。欧盟则急于发挥布鲁塞尔效应,对人工智能进行统一立法与风险规制,准备将人工智能系统纳入产品责任范畴、确立特殊举证责任。我国人工智能立法应坚持场景化规制进路,不急于统一立法,待时机成熟时再制定综合性人工智能法。我国人工智能法可从一般原则、公法、私法三个层面展开。其总则应体现发展、平等、开放、安全的价值理念;其公法规制应针对重大公共风险,对其他风险适用场景化规制、尊重行业自治、防止部门越权立法;其私法制度应对终端产品而非人工智能系统本身施加产品责任,其可以制定人工智能特殊侵权规则,但应先通过司法积累相关经验。
    【关键字】人工智能立法;风险规制;场景化规制;人工智能侵权;产品责任
    人工智能立法面临若干经典难题。其一,人工智能立法需要兼顾发展与安全、活力与秩序的平衡。面对人工智能带来的各类风险,法律要避免人工智能在“法外之地”发展;又要促进人工智能技术发展、造福人民,避免不发展这一“最大的不安全”。其二,人工智能的日新月异与法律的相对稳定性存在紧张。在学理上,这种紧张关系被归纳为科林格里奇困境(Collingridge dilemma)或所谓的“步调”(pacing)问题,即法律与科技发展的节奏与步调相差很大。其三,人工智能议题的场景性与法律的一般性存在紧张。人工智能法律问题既涉及公法也涉及私法,而且在不同场景下又有不同问题,例如人工智能应用于各类产品和服务所带来的风险规制、个人信息保护、言论侵权、消费者保护、人工智能训练数据的合法性、人工智能作品的著作权归属等问题。但传统立法主要以部门法或行业法为基础,强调法律体系统一性与融贯性。其四,人工智能还存在全球竞争与协调的问题。人工智能作为新质生产力的代表,其立法如何在人工智能技术与规则制定方面同时引领世界,已经成为各国的战略议题。对于我国而言,如何进行人工智能立法、是否应当制定统一性的人工智能法,也已经成为各方讨论的焦点。
    本文从比较的视野对上述问题进行分析,重点选取美国、欧盟与我国的人工智能立法进行比较分析。之所以选取比较的视野,除了前述第四点提到的人工智能全球竞争与协调必然涉及不同国家与地区,另一个原因是全球的人工智能都面临类似的前面三个问题。例如各国的人工智能立法与政策制定都无一例外提到发展与安全的平衡,各国对于人工智能立法的时机与节奏也一直存在争论,并且对人工智能立法的统一性与场景化提出了不同方案。而之所以采取美国、欧盟、我国三个国家与地区进行分析,是因为中美欧已经成为人工智能与人工智能规则制定领域最为重要的国家和地区。用布莱德福德(Anu Bradford)教授的话来说,就是这三个国家和地区是全球公认的“主导性数字力量”。 具体而言,本文第一、二部分分别对美国与欧盟的人工智能立法进行分析,指出美国与欧盟采取了表面相似但实际迥异的立法进路。第三部分从美欧以及域外其他国家的比较视野出发,从立法的价值立场、公法与私法三个维度总结人工智能立法的一般原理,指出美国人工智能立法存在霸权主义与排外主义弊端,但其发展导向、实用主义与场景化的规制进路与我国契合;而欧盟人工智能立法存在价值优越主义、过度规制的陷阱,但其对弱势群体保护的立场也具有合理性。第四部分对我国人工智能的立法现状进行总结,并对我国未来的人工智能立法特别是总体性的人工智能法进行分析。面对美欧协调,我国人工智能立法应当以发展、平等、开放、安全的价值理念为指引,对重大公共风险进行小切口规制,对其他风险适用企业自我规制与私法事后规制。第五部分对全文进行总结,指出我国人工智能立法应当保持战略耐心,既为人工智能发展预留探索空间,又为未来人工智能立法积累足够深入的学术研究与经验积累。
    一、美国的人工智能立法
    在人工智能产业与技术发展方面,美国处于全球领先的地位,其中美国的法律制度扮演了关键性角色。正如有学者所言,美国之所以在互联网、信息科技等领域领先全球,很大原因是“法律造就了硅谷”。此外,美国的立法体制较为复杂,国内学界常常对美国的一些立法产生误读。因此,有必要首先阐述美国的人工智能立法。
    (一)联邦层面
    在不少中文论文与网络文章中,经常可以看到美国制定或通过“某某人工智能法案”的论断,例如提到美国在2021年制定了《算法正义与在线平台透明度法案》(Algorithmic Justice and Online Platform Transparency Act)、《过滤气泡透明度法案》(Filter Bubble Transparency Act)、2022年的《算法问责法案》(Algorithmic Accountability Act)。但实际上,上述提案均未通过美国国会的投票,并没有成为法律,至今为止,美国没有在联邦层面通过或接近通过任何人工智能的法案。在美国的立法体制中,平均只有不到百分之几国会提案(bills)最终成为法律(law),将美国国会议员所提起的大量提案作为法律介绍到国内,将可能引发我国学界对美国人工智能立法的误读。
    在可预见的将来,美国国会也不太可能进行联邦层面的综合性人工智能立法。其原因有若干。首先,美国的法律与政治文化历来对科技创新具有很高的包容性,对综合性的科技规制立法历来持审慎立场。人工智能作为美国“新质生产力”与国家竞争力的代表,美国不太可能在短期通过立法对其进行规制。其次,人工智能所带来的法律问题涉及各个方面。相比个人信息保护法或信息隐私法,人工智能法远未形成统一的法律传统与成熟的制度框架。即使在制度已经非常成熟、全球绝大部分都已经进行立法的个人信息保护法领域,美国国会也并未通过个人信息保护立法。在人工智能领域,美国更不可能在国会层面进行仓促立法。
    在联邦层面,美国现有的人工智能“立法”限于美国总统发布的行政命令。而之所以给这些人工智能“立法”打上引号,是因为总统发布行政命令的权限要么来自于美国宪法第二条所赋予的行政权,要么来自于美国国会的立法授权,这些行政命令可能具有法律的强制力与效果,但本身并不是严格意义上的法。整体而言,美国的行政命令主要集中在国家安全、军事、对外关系等领域。在过去若干年里,美国通过行政命令在人工智能领域制定了一系列涉及对外关系的行政命令,涉及人工智能出口管制、投资、数据跨境等内容。在对内立法方面,美国总统所颁布的行政命令主要对联邦规制机构应用人工智能发布了规范性指引,其对企业所进行的规范主要限于涉及国家安全的人工智能应用中的信息共享责任。
    以特朗普政府和拜登政府所颁布的行政命令为例,特朗普政府发布的第13859号行政命令《保持美国在人工智能领域的领导地位》(Maintaining American Leadership in Artificial Intelligence)和第13960号行政命令《促进联邦政府使用值得信赖的人工智能》(Promoting the Use of Trustworthy Artificial Intelligence in the Federal Government)主要针对美国规制机构使用人工智能进行了规定。拜登政府发布的第14110号行政命令《安全、可靠和值得信赖地开发和使用人工智能》(On the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)的行政命令也主要是要求美国联邦规制机构在刑事司法、教育、医疗保健、住房和劳工等领域制定标准与规范。针对市场化运行的人工智能企业,第14110号行政命令援引1950年制定的《国防生产法》(Defense Production Act),要求企业在涉及国家安全或公共健康安全构成严重风险的人工智能模型训练与联邦政府分享信息。《国防生产法》赋予总统命令公司生产商品和提供服务以支持国防的权力,拜登政府试图引用这部法律对人工智能企业进行有限规制。
    美国联邦机构的其他人工智能政策、标准与声明也不具有法律约束力,或者并未进行新的立法。例如美国白宫科技办公室(The White House Office of Science and Technology)发布的《人工智能权利法案蓝图》(Blueprint for an AI Bill of Rights)是一个不具有约束力的保护公民免受基于人工智能的歧视,并确保隐私和安全的框架。美国联邦贸易委员会对于人工智能发布了一系列的声明和意见,但这些声明和意见主要是在人工智能与算法决策领域适用消费者保护法,而非对人工智能进行新立法或综合性立法。对人工智能进行较为全面性标准制定的是美国商务部下属的美国国家标准与技术研究所(NIST)所制定的《人工智能风险管理框架》,该法案对人工智能风险进行了一般性规定,建构了基于人工智能生命周期的风险管理框架。不过,这一框架是一个企业自愿实施、不具有法律或标准强制力的文件。美国国家标准与技术研究所虽然仍然冠有“标准”的抬头,但在软件、人工智能等领域早已经“非标准化”(un-standards),依赖企业的自我规制而非政府制定单一标准来规制相关风险。
    (二)州层面立法
    美国州层面的立法相对容易通过。目前,已经有科罗拉多州、犹他州等州通过了人工智能或与人工智能相关的某些法律。综合而言,这些美国州层面的立法对于人工智能的规制主要限定在消费者保护、反歧视、民权保护等领域,其对人工智能企业所施加的义务仍然非常有限。而加州则由于聚集了大量的大型互联网与人工智能企业,其正在进行的立法聚焦于重大公共安全风险,其设定的监管门槛将绝大部分企业都排除在监管对象之外,采取了看似强制性规制但实际上以企业自我规制和合规免责为主的制度。
    以《科罗拉多州人工智能法》(Colorado Artificial Intelligence Act)为例,该法被认为是美国第一个对高风险人工智能进行规制的州。该法规定,如果人工智能影响消费者的教育入学或教育机会、就业或就业机会、金融或借贷服务、必不可少的政府服务、医疗保健服务、住房、保险、法律服务,或者对产生具有法律性影响或类似重大影响,那么此类人工智能系统就将被视为高风险人工智能系统(high-risk AI system)。从法律规制的范围来看,《科罗拉多州人工智能法》受到了下文将要讨论的欧盟人工智能法的一定影响,都将高风险人工智能作为规制或重点规制对象。不过,与欧盟不同的是,《科罗拉多州人工智能法》明确将这一法律定位于“涉及与人工智能系统交互的消费者保护”,而非对所有领域的人工智能进行规制。
    从对高风险人工智能的义务设定来看,《科罗拉多州人工智能法》要求其开发者(developer)和部署者(deployer)采取合理注意义务(reasonably care),避免消费者遭受算法歧视。例如,开发者应当向部署者提供信息以进行影响评估;发现算法歧视风险后在期限内告知总检察长和部署者;在网站上发布高风险人工智能、可预见的算法歧视风险的公开声明、人工智能系统的目的、预期效益和用途。部署者则应当实施风险管理政策和计划、完成人工智能风险的影响评估、向消费者告知使用了人工智能、发现算法歧视后在期限内告知总检察长;在网站上发布其正在部署的高风险人工智能系统,以及可能出现的任何已知或合理可预见的算法歧视风险。当高风险人工智能系统的开发者与部署者满足上述条件,则可以预设其履行了避免算法歧视的合理注意义务。
    其他已经对人工智能进行立法的州同样采取了消费者保护或民权保护的进路,将消费者知情权、反歧视等传统法律要求延伸到人工智能领域。不过,相比科罗拉多州,目前其他州所施加的责任要更轻。例如《犹他州人工智能政策法案》(Utah Artificial Intelligence Policy Act)主要规定了使用生成式人工智能时的披露义务。针对律师、医生等“受监管职业”(regulated occupation),这些群体如果使用生成式人工智能与消费者进行互动,他们就必须以“显著地”(prominently)方式向消费者进行披露;而不属于“受监管职业”但受犹他州消费者保护法约束的主体则必须“清晰和醒目地”(clearly and conspicuously)披露其使用人工智能的情况。
    加利福尼亚州的立法则聚焦于促进人工智能发展和监管人工智能带来的重大公共风险。目前,加州的SB-1047法案,即《前沿人工智能模型安全创新法案》(Safe and Secure Innovation for Frontier Artificial Intelligence Models Act)正在加州议会审议。该法案将运算能力大于10的26次方的人工智能模型纳入“被监管模型”(covered entity),要求这类模型的开发者制定安全标准,预防“利用化学、生物、放射性或核武器”造成大规模伤亡、造成5亿美元以上损失的针对关键基础设施的网络攻击、造成5亿美元以上损失的违反刑法的行为,以及类似的公共安全伤害。不过,需要注意,该法案的监管门槛其实很高,因为运算能力大于10的26次方的人工智能模型实际上已经将目前现有的人工智能模型基本排除在外。同时,该法案还设置了对受监管模型的“有限责任豁免”(limited duty exemption)。这些豁免条款规定,当受监管模型的开发者满足了风险管理的十项义务,就可以获得法律责任的豁免。综合而言,加州正在进行的立法所针对的监管对象、预防的风险都非常有限,基本上采取了行业自治与合规免责的立场。
    二、欧盟的人工智能立法
    与美国的分散化、市场化人工智能立法进路不同,欧盟采取了人工智能统一规制的立法进路。在公法监管层面,欧盟首先在2024年正式通过了《人工智能法》(Artificial Intelligence Act),确立了对人工智能风险进行统一化和分类分级的规制进路。在产品责任与侵权领域,欧盟正在起草的《产品责任指令》(Product Liability Directive)和《人工智能责任指令》(AI Liability Directive)则确立了人工智能系统的产品责任与人工智能侵权的特殊举证责任。
    (一)统一化的风险规制
    欧盟《人工智能法》将人工智能系统分为两类:产品构成类和独立于产品的辅助决策类人工智能系统。前者例如医疗器械、自动驾驶、轮船、玩具等产品内部包含的人工智能系统,后者例如用于招聘雇佣、招生升学、移民筛查、执法检查等各类应用场景的人工智能系统。对于这两类人工智能系统,欧盟《人工智能法》认识到其显著区别,即前者产生的是安全、人身和财产性的产品类损害,后者产生的主要是基本权利类侵害。但欧盟《人工智能法》仍然将这些不同类别的人工智能系统放在一起进行统一规制,既不区分产品类与辅助决策类人工智能系统,也不区分适用于公共部门与私营部门的人工智能系统。
    在风险分级上,欧盟《人工智能法》也进行统一分级,将风险分为禁止性(prohibited)、高风险(high-risk)、有限风险(limited-risk)、最小风险(minimal-risk)四类,并着重对高风险进行了规定。其中禁止类的风险主要包括利用潜意识技术(subliminal techniques)扭曲个人或群体的行为,造成重大伤害、利用人工智能危害特定弱势群体、进行社会信用评分(social scoring)、利用人工智能进行特定侵入性的执法等类型。而高风险主要包括应用于现有欧盟产品安全法范围的人工智能系统,以及在生物识别、关键基础设施、教育和职业培训、就业、工人管理和自营职业机会、获得和享受基本的私人服务和公共服务及福利、执法、移民、庇护和边境管制管理、司法和民主进程等特定领域应用人工智能系统。
    对于高风险的人工智能,人工智能系统的提供者(provider)需要承担一系列责任,例如在进入市场流通之前承担风险管理系统、数据治理、技术性文件、记录保存、透明度和向部署者提供信息、人为监督,以及准确性、稳健性和网络安全。在进入市场后应建立和记录与人工智能技术的性质、高风险人工智能系统的风险相称“上市后监测系统”(post-market monitoring system)。相对而言,高风险人工智能系统的部署者则需要承担相对较少的责任,例如确保采取适当的技术和组织措施,以按照系统所附的使用说明使用这些系统;确保由自然人进行人类监控;确保输入数据与高风险人工智能系统的预期用途相关且具有足够的代表性;根据使用说明监控高风险人工智能系统的运行,并在必要时向供应商提供信息;保存自动生成的日志等。
    随着近年来生成式人工智能与大模型的爆发性发展,欧盟《人工智能法》还在修订过程中提出了“通用人工智能模型”(general purpose AI model)的概念,对其进行特殊规定。这类人工智能的提供者需要承担提供技术性文件、向下游人工智能系统的提供者披露信息和文件、提供模型训练所使用内容的摘要、与主管当局合作等责任。此外,如果此类人工智能具有“高影响能力”(high impact capabilities),就可能成为“具有系统性风险的通用人工智能模型”(general-purpose AI model with systemic risk),需要承担特殊责任,例如进行模型评价(model evaluation),评估和减轻系统性风险,追踪、记录和报告严重事件的相关信息与可能的纠正措施,确保足够水平的网络安全保护等责任。
    (二)产品责任与侵权责任
    与人工智能的公法规制相应,欧盟在产品责任与侵权责任方面对人工智能也进行了特殊立法。在产品责任方面,欧盟委员会在2022年提出了新的产品责任指令草案,这一产品责任指令草案意图对已经实施了40年的《产品责任指令》进行更新,以适应数字时代的新变化。根据这一草案,软件和独立人工智系统将首次被纳入“产品”的范畴,这些产品的制造者(manufactures)将对具有缺陷的产品承担严格责任。而非独立存在的人工智能系统如果被整合到产品中,或者对于产品发挥功能不可或缺,那么这类非人工智能系统就构成“相关服务”(related service),成为产品的“组件”(component)。针对产品组件,其制造者也需要承担严格产品责任。
    在侵权责任方面,欧盟委员会在2022年提出了《人工智能责任指令(草案)》,对基于过错原则的人工智能侵权进行了规定。这一草案可以视为《人工智能法》的侵权法配套立法,聚焦高风险人工智能的侵权责任,特别是高风险人工智能侵权中的举证责任。根据这一草案,如果人工智能系统没有遵守欧盟法或各国法关于人工智能系统的注意义务规定,那么人工智能系统的输出或未能正常输出与相关损害之间存在可反驳的因果关系(rebuttable causation),即法律将假设二者之间存在因果关系,但这种因果关系可以被推翻。此外,各国法院将有权要求高风险人工智能的提供者或使用者披露相关证据与信息,以平衡原告在此类侵权中的信息能力。
    新的产品责任指令草案与《人工智能责任指令(草案)》的关系极为复杂,其中的一些交叉之处引起了不少学者的尖锐批评。本文限于篇幅不对这些问题进行详细论述,在此仅指出欧盟对于两部立法的整体意图与思路。新的产品责任指令草案更倾向于实现欧盟各国法律的统一,以促进产品在各国的自由流通,因此采取了严格产品责任的立法进路。而《人工智能责任指令(草案)》则仍然以欧盟各国侵权法为主,因此仍然采取过错责任的进路,只在举证责任方面进行特殊规定。从两部法律的内容与目前的立法进程看,新的产品责任指令草案很可能会率先通过成为法律,而且其适用将很大程度排除人工智能责任指令的适用空间。不过,由于欧盟对于产品责任的救济限于生命权(the right to life)、身体完整权(bodily integrity)、健康权和财产权(health and property),对于人工智能造成的侵犯个人隐私、侮辱诽谤等侵权,未来《人工智能责任指令(草案)》如果通过,这一聚焦于举证责任的立法和欧盟各国的侵权法将仍然能够在人工智能侵权中发挥一定作用。
    三、比较视野下的人工智能立法原理
    从比较的角度出发,可以对人工智能立法的一般原理进行分析。本部分从上文所述的美欧立法出发,结合域外其他国家和地区的立法实践,对人工智能的立法价值、公法规制、侵权与产品责任进行分析。
    (一)立法价值
    在立法价值层面,美国与欧盟立法虽然都强调人工智能的发展与安全的平衡,不过,二者的导向具有较大区别。就美国而言,美国对于国内人工智能发展的风险采取了市场主导与创新驱动的进路。美国的法律、政治与文化一直信任市场的力量,支持企业通过市场竞争为消费者与市场提供更为优质和更丰富多样的产品。在风险问题上,美国也一直偏向个人自负其责的风险预防理念,对政府过度介入市场保持警惕。在这种理念的指导下,就不难理解为何美国的人工智能立法主要针对政府规制机构,对企业仅限于消费者知情权、反歧视保护。对政府机构的人工智能应用进行规制,可以维护政府公信力、保障公民基本权利;而消费者知情权可以有效保障个体作出有效选择,促进市场机制的有效运转;特定领域的反歧视则可以促进用人单位、招生单位等主体作出合乎市场理性的决定。
    就涉外法治而言,美国的人工智能立法采取了积极竞争、国际协调与遏制围堵的多重价值取向。首先,美国对于欧盟过度的政府规制的立场一直持怀疑立场,在人工智能立法领域亦是如此,这使得美国的人工智能立法不可能模仿欧盟进行立法。即使美国的一些意识形态与欧盟更接近的“蓝州”(blue state),例如上文提到的科罗拉多州和犹他州,其立法也仅仅是借鉴了欧盟的极少量制度工具,与欧盟全面性的人工智能规制仍然存在本质区别。其次,为了发挥其国际领导力,特别是为了对抗中国的影响力,美国也积极通过经济合作与发展组织(OECD)、G7等组织输出其规则制定的影响力。特别是2020年拜登政府上台以来,为了扭转特朗普政府的孤立主义,拜登政府强化了与欧盟在科技与人工智能领域的规则协调。最后,为了与中国进行竞争,美国在人工智能领域也走向了“小院高墙”的道路,反映了美国封闭和敌对性的冷战思维。
    与美国相反,欧盟在价值取向上更注重人工智能本身的安全。欧盟的这种价值取向由来已久,从农产品到工业化产品和人权保护,欧盟一直标榜自身在几乎所有领域的“高标准、严要求”。例如欧盟农产品对于食品安全标准要比美国更为严格,欧盟也自认为具有全球最高的人权保护标准。正是在这种自信之下,欧盟在互联网、个人数据与人工智能领域进行了一系列立法,认为此种立法能够发挥布鲁塞尔效应,将欧盟法律上升为全球的黄金标准。在农业与工业领域,此类战略也的确起到了较大的成功。例如欧盟的农业与工业虽然整体上无法与美国的市场化模式进行竞争,但在很多细分特别是高档消费领域,欧盟的这种战略都发挥了重要作用。例如欧盟的很多农产品、餐饮、化妆品、对安全性能要求较高的工业产品都具有很强的硬竞争力,其规则制定也具有很强的软性全球影响力。
    不过,在数字领域,欧盟在产业与技术领域的硬实力影响逐渐消退,其影响力集中在规则制定的软实力领域。在包括人工智能在内的数字经济领域,目前全球的产业与技术主要集中在美国与中国,尤其集中在美国,而欧盟则几乎没有特别具有影响力的数字企业与领先技术。欧盟的这种现状使得其数字领域的立法成为了一把双刃剑。对于与欧盟数字产业情况类似的国家和地区而言,效仿欧盟模式进行立法,是一种较为简便易行的立法模式,既可以对数字产业进行有效规范,又可以利用立法对域外大型互联网与科技企业进行有效监管。但对于数字产业较为发达或力图发展的国家和地区而言,欧盟的立法将对数字科技的发展与创新带来较大的阻碍。
    在人工智能立法领域,可以预见域外其他国家和地区将不会很快效仿欧盟。目前,新加坡、印度等国家和地区都出台了一些人工智能政策与文件,不过,这些政策与文件都是非强制性的,例如新加坡的《模范人工智能治理框架》、印度的《负责任人工智能》都属于推荐性与倡导性规范,对企业并无法律上的强制力。目前,全球人工智能发展方兴未艾,其技术正处于发展的关键时期,各国都视其为国家竞争力的重要组成部分与发展机遇,此时各国不太可能效仿欧盟进行全面立法。这一点与个人信息保护领域非常不同。在个人信息保护领域,全球大部分国家之所以效仿欧盟,主要是因为个人信息保护法的制度框架已经基本定型,加上个人信息与公民基本权利、数据跨境流通等问题密切相关,因此全球掀起了以欧盟《通用数据保护条例》(GDPR)为效仿对象的大范围立法。在人工智能领域,目前各国在价值取向上尚未形成这一共识。
    (二)风险规制
    就风险规制而言,对人工智能进行分领域、分场景的规制,更符合人工智能立法的基本原理。其原因在于,人工智能深嵌于不同的部门、行业、产品、服务,其风险因为不同的领域与场景而不同。例如就公私划分而言,公共部门特别是行政部门对于人工智能的应用会带来较大的风险,当公共部门将人工智能应用于司法审判、执法监督、升学招生,此类人工智能系统将直接对公民个体的知情权、正当程序性权利产生影响。当人工智能系统出现不合理决策,这类决策就可能对大范围的主体产生不利影响,既影响公民个体的正当权利,也影响公众对政府的信任。私营部门或企业对于人工智能的影响则不同,即使人工智能系统对用户或消费者产生不利影响,这类影响也主要限于市场环境下的消费者权利,而且消费者也可以通过选择其他企业所提供的产品或服务而抵消此类影响。同时,私营部门在市场竞争的压力下,也往往比公共机构行动更为敏捷,更能及时回应消费者的投诉与需求;对于人工智能系统所可能带来的负面作用,私营部门将具有更强的动力和能力来矫正相关问题。
    不同行业、产品、服务中的人工智能系统风险也并不相同。例如,就行业而言,民航业和汽车业的人工智能系统就非常不同,民航的人工智能系统主要涉及飞行本身的安全问题,其对风险的容忍度非常低,而且主要考虑民航飞行器本身的安全问题;但汽车业的人工智能系统风险的容忍度就要相对较高,而且主要考虑汽车之间、汽车与行人之间的风险问题。就产品而言,同一个行业的产品对于人工智能系统的风险容忍度也不同,例如同样是医疗产品,运用心脏手术的人工智能医疗器械与应用于一般辅助医疗的人工智能医疗器械所面临的风险就不同。就服务而言,专业性服务和非专业性服务所运用的人工智能系统风险也不同,对于医疗、律师等传统上受到国家规制的服务业,人工智能运用可能带来更大的风险,但对于一般的语音聊天类服务,则此类风险就要小得多。
    由于人工智能系统的嵌入性特征,更为合理的方式是将人工智能风险规制还原到不同的领域与场景中进行规制,而非将其作为独立对象进行统一规制。对于研究人工智能的学者来说,这可能听上去有些令人失望,因为这将意味着人工智能监管将与传统的法律领域与法律部门相结合。但这种进路更为符合人工智能的场景化特征,能够避免对人工智能进行不切实际的统一化监管。如果对人工智能进行统一化监管,实施统一化的风险分级,那么法律将必然变得高度不确定与难以操作,最终也会在操作层面回到对人工智能的领域化、行业性与部门法监管。试想,如果将医疗器械中的人工智能与自动驾驶中的人工智能进行统一化监管,要求监管人员或专业评估人员对这两类人工智能系统进行风险评估,监管人员或专业评估人员势必将再次求助于医疗行业与汽车行业的专家。
    就此而言,欧盟的人工智能监管路径并不合理。欧盟的人工智能风险监管过于追求其形式的统一性,将不同行业和领域的人工智能风险统一划分为不同级别。但这种划分其实非常武断,在未来风险评估中也必然会面临巨大争议。欧盟对于通用人工智能的风险监管也说明了这一点,在2021年的欧盟人工智能法草案提出禁止性风险、高风险、有限风险、最小风险四类风险后,生成式人工智能的横空出世使得欧盟束手无策,不知道将这类风险归入哪类风险。万般无奈之下,欧盟只得对人工智能法草案进行修订,单独将“通用人工智能模型”作为独立类型的人工智能,并引入“系统性风险”的风险分类。这里且不论其对“系统性风险”人工智能所施加的义务是否合理,单就风险分类分级而言,“通用人工智能模型”就表明了欧盟在人工智能统一规制与统一风险分级所面临的困境。随着未来各类新人工智能新技术的层出不穷与不同场景风险的变化,很难想象欧盟可以对不同类型的人工智能风险进行统一和科学的风险分级。
    相对而言,美国以及域外一些国家和地区所采取的一些小切口的立法进路更符合人工智能风险监管的一般原理。与欧盟相比,此类立法进路并不追求对人工智能进行统一规制,而是依赖现有领域、行业和制度对人工智能进行监管。这种进路除了可以与现有监管体系有效衔接,实现法律制度的稳定性与可操作性,也可以更为科学合理地界定不同场景下的人工智能风险。实际上,即使是欧盟也已经在一定程度上认识到了人工智能风险的场景性。例如欧盟《人工智能法》将人工智能系统区分为产品构成类的人工智能系统与独立存在的人工智能系统;对于独立存在的人工智能系统,欧盟委员会也可以对其附件三(Annex III)所列举高风险人工智能应用目录进行调整。这些规定说明,欧盟在立法层面已经认识到人工智能系统的场景性与动态性。而在未来的执法与司法层面,欧盟也极有可能会与不同领域、行业与部门的监管者与专家进行沟通,对不同场景进行不同的风险规制。
    (三)产品责任
    对人工智能系统适用产品责任也不合理。最简单而言,产品责任可以从不同角度进行论述:其一,产品制造者有责任向消费者提供安全产品,这种责任就像是合同法中的隐含保证(implied warranty)一样;其二,从法律经济学的角度看,产品的制造者可以以最小成本避免侵权事故的发生,产业链中的商家特别是产品制造者可以更容易地避免事故发生,作为事故的“最小成本避免者”(least cost avoider),由产品制造者承担责任更为合理;其三,产品侵权所造成的并不仅仅是个体性侵权,而是大范围公共性侵权,具有危害公共安全的性质;其四,从过错与补救的角度看,制造有缺陷的产品就是一种法律上所认定的过错,受害者有权获得救济。
    但通过对人工智能的性质与特点的分析,可以发现这些论述无法对人工智能产品施加严格产品责任。人工智能系统无法像传统产品那样,能够保证其不会出错。有关软件科学与操作系统的大量案例与实践表明,软件与操作系统中的程序错误(bug)不可避免。产品硬件可以通过材料的叠加、强化等方式实现产品安全,但软件与操作系统中的却不可能通过这些方案来解决,简单的程序叠加重复并不会降低事故发生的概率。人工智能系统的提供者或制造者也并非事故的“最小成本避免者”或预防公共安全的最佳主体。对于产品构成类的人工智能系统而言,这类人工智能系统会带来哪些风险和收益,是否以及如何进行避免,往往取决于其嵌入产品的特点,而非取决于人工智能系统本身。例如,医疗人工智能系统的准确性与效率性要结合具体医疗产品的使用方式、使用目的进行判断。要避免此类事故的发生,医疗器械的终端产品制造者和应用者要比人工智能系统提供者更为了解相关信息。
    即使法律在纸面上将人工智能系统纳入严格产品责任,其在实践中也必然会更接近于过错责任。在软件的发展历程中,各国就曾经试图对软件进行类似实体产品的标准化管理,对其施加类似实体产品的严格产品责任。但后来的实践证明,此类管理与责任不符合软件的特征,各国的法律仍然从整体上对软件侵权采取过错责任。对软件的严格责任仅限于极少数情形,例如辅助飞机导航的航图(aeronautical charts)。这类软件由于其高度标准化、安全程度要求极高,对其施加严格责任具有合理性。但对于其他绝大部分软件来说,其性质更接近于通过代码形式而实现的复杂信息服务(information service)。对于信息服务,更为合理的方式是对其适用合同责任、侵权法上的过错责任,以及基于政府监管或行业性自治的伦理责任。人工智能系统与软件系统具有一定的类似性,但具有更强的变化性或“涌现性”(emergent)特征,更加依附于具体产品或场景,也因此更难实现像实体产品一样的产品安全。
    避免对人工智能系统施加产品责任,并非在私法上免除相关主体的责任。法律除了可以对人工智能的提供者施加合同责任、侵权法上的过错责任、伦理责任之外,仍然可以对人工智能所构成的终端产品施加严格产品责任。终端产品的制造商特别是大型企业,对其施加严格责任更为合理。就产业上游的风险控制而言,这类企业完全有能力辨识人工智能系统的风险并利用合同机制进行风险预防,毋需通过产品责任法上的隐含安全保证来规避风险。就下游风险而言,消费者直接接触的也主要是这类大型企业,让这些企业承担严格责任,可以更好地保障消费者权利、维护公众对于人工智能构成类产品的信心。
    此外,不同领域、行业与部门可以对不同的产品设定安全监管与市场准入标准,这些标准将可以为人工智能侵权提供标准或参照。例如,如果汽车行业的监管部门认定,事故发生率低于人类驾驶事故发生率一半的自动驾驶车辆属于安全汽车,那么法院就可以以监管部门认定的安全标准作为侵权判断的基准,同时通过侵权个案判断人工智能提供者、汽车制造商、人类驾驶员等不同主体是否存在过错。人工智能系统的侵权责任问题是一个极为复杂的问题,需要另外撰文论述,本文仅仅指出,简单对人工智能系统本身施加严格产品责任,并不符合人工智能的特征与产品责任法的基本原理。
    四、全球视野下的我国人工智能立法
    从比较与全球竞争的视野出发,最后可以对我国的人工智能立法进行分析与展望。整体而言,我国人工智能的立法现状反映了我国独特的国情,也与人工智能立法的基本原理具有一致性。展望未来,我国的人工智能立法应当在一段时间内坚持现行立法进路,不急于快速立法,待到未来时机成熟时再考虑制定人工智能法。我国人工智能法如果进行制定,可以从立法价值、公法规制、私法特殊制度三个层面展开。
    (一)我国的人工智能立法现状评析
    目前,我国尚未对人工智能进行类似欧盟的整体性立法,也没有在官方层面起草可供审议的人工智能法草案。我国政府在立法规划上已经将人工智能立法列入相关议程,例如2017年印发的《新一代人工智能发展规划》提出到2020年实现“部分领域的人工智能伦理规范和政策法规初步建立”,到2025年“初步建立人工智能法律法规、伦理规范和政策体系”,到2030年“建成更加完善的人工智能法律法规、伦理规范和政策体系”。但在实际立法进程中,我国仍然采取了审慎的立场。
    在已有的立法中,影响力最大的是国家互联网信息办公室联合多部门发布的《生成式人工智能服务管理暂行办法》(以下简称“《暂行办法》”)。但整体而言,这一部门规章仍然聚焦于生成式人工智能这一特定的场景,并且主要将已有立法应用于生成式人工智能领域。在上位法依据上,《暂行办法》将我国网络安全法、数据安全法、个人信息保护法、科学技术进步法等法律作为立法依据;在监管领域方面,《暂行办法》聚焦违法信息、算法歧视、知识产权、人格权与个人信息保护、未成年人保护等问题,规定人工智能领域违反相关法律或侵犯相关权益的,责任不能获得赦免。就此而言,《暂行办法》虽然以生成式人工智能作为监管对象,但并未对生成式人工智能创设新的法律义务。即使这一《暂行办法》没有制定,相关主体也仍然需要在发展与使用生成式人工智能的过程中承担相应的法律义务。《暂行办法》的意义在于对生成式人工智能的监管更为聚焦,并明确发出了生成式人工智能“不是法外之地”的信号。
    除此之外,我国对不同领域部门的人工智能应用制定了场景化的规则。例如,在司法领域,最高人民法院发布了《关于规范和加强人工智能司法应用的意见》,重点突出了“辅助审判”原则,强调“无论技术发展到何种水平,人工智能都不得代替法官裁判,人工智能辅助结果仅可作为审判工作或审判监督管理的参考,确保司法裁判始终由审判人员作出,裁判职权始终由审判组织行使,司法责任最终由裁判者承担”。在劳动保护领域,市场监管总局、人力资源社会保障部等多部委在《关于落实网络餐饮平台责任切实维护外卖送餐员权益的指导意见》中提出,对外卖骑手的考核应当以“算法取中”等方式替代“最严算法”,合理确定订单数量、准时率、在线率等考核要素,适当放宽配送时限。在信息服务与舆论传播领域,国家互联网信息办公室等部门发布了《互联网信息服务深度合成管理规定》,规定深度合成服务提供者需要落实信息安全主体责任,规范相关技术发展,对“具有舆论属性或者社会动员能力”的深度合成技术进行事前“备案和变更、注销备案手续”“开展安全评估”等事前风险监管。
    我国现阶段所采取的立法进路可以较好地应对人工智能立法所带来的问题。因此,我国目前应不急于制定统一的人工智能法。诚然,快速制定人工智能法可以带来一些收益,例如可以发挥法律的表达功能(express function),在国际制度规则竞争中吸引注意力,甚至可能解决目前人工智能发展中的一些制度性制约,促进人工智能发展。但以往经验和我国的立法实践表明,一旦进行全方位的综合性立法,相关立法就很可能会变成监管性立法。从立法时机来看,这意味着人工智能法的立法不能操之过急。通过小切口的立法来对人工智能的某些特定风险进行规制,同时为人工智能提供发展与探索空间,是我国目前甚至是未来一段时间内的最优选择。
    (二)未来我国人工智能法的设计
    待时机成熟后,我国的人工智能法可以在立法价值、公法规制、私法责任三个方面进行制度设计:
    1.立法价值
    在立法价值方面,我国人工智能立法应注重人工智能的国内与国际协调、硬实力与软实力协调,提出既符合我国人工智能发展又能影响甚至引领全球人工智能立法的中国方案。正如前文所述,各国人工智能立法都面临复杂辩证关系:发展与安全的辩证、各国的特殊国情与国际影响力的辩证。我国人工智能立法同样面临此类问题,解决此类问题没有简单的灵丹妙药。唯一的方案只能是既深入剖析我国人工智能的发展现状和价值体系,深入分析域外人工智能的发展格局与全球价值体系之争,在此基础上通过平等合作的多边主义将我国人工智能立法方案推向国际舞台,塑造全球人工智能立法的“最大公约数”。
    具体而言,我国人工智能法应当在价值层面反对美国的霸权主义与欧盟的优越主义,但认同美国的发展主义与欧盟的弱势群体保护立场。正如前文所指出的,美国联邦层面的人工智能立法将重心放在针对中国等国家的出口管制上,这种霸权主义和冷战思维不仅对我国造成损害,对于美国自身也未必有利。但美国人工智能立法中所体现的发展立场与我国的价值取向则有相似性。而欧盟的人工智能立法则反映其一贯的优越性立场,这种立场并不符合当今世界的多极化趋势,也不符合我国价值观体系中的平等、多边主义的价值立场。不过,欧盟立法中对于弱势群体保护的立场则与我国的价值观具有重叠性。在价值层面,我国未来的人工智能立法应当既体现国家对新质生产力和先进生产力的支持,强调人工智能发展造福人民的潜力;同时又应当体现公平、平等与弱势群体保护理念,超越美欧将反歧视等同于公平、平等的价值观。
    2.公法规制
    在公法规制层面,我国人工智能立法应当区分国家安全、重大公共安全、一般公共安全与非公共安全问题。首先对于国家安全,人工智能立法不宜进行过多规定,其原因并非国家安全并不重要,而是因为我国的国家安全法等法律已经对国家安全问题进行了顶层设计,且国家安全更多依赖于特定问题进行执法,较难通过具体法律规则进行确定。对于亟待发展的我国人工智能产业而言,如果在人工智能法中涉及太多国家安全的法律规则,将会向国内与国际传递过多限制发展的信号,既不利于产业发展与国际合作,也不利于通过人工智能发展维护国家安全。
    其次对于公共安全,还应区分重大公共安全与一般公共安全。对于前者,例如对于人工智能在核能技术等领域可能造成的重大风险,我国人工智能法可以对其进行统一风险预防,确立强监管的风险规制模式。在这些人工智能领域进行强监管,有利于提振和保护公众对于人工智能发展的信心,确立我国发展可信、安全的人工智能的国际形象。而对于一般的公共安全,例如自动驾驶、无人小型飞行器、医疗器械、生成式人工智能,我国人工智能法则应当采取场景化的监管进路,注重行业与企业自我监管,有限授权不同的部门、行业主管机构对此类风险进行监管并建立部门监管的违法审查机制,严防人工智能监管中的部门利益、官僚主义、形式主义。
    最后对于非公共安全,我国人工智能立法应避免事前规制,应利用侵权法等制度进行事后救济。诚然,对于何谓非公共安全,本身并无完全确定性的标准,公共安全与非公共安全的边界很大程度取决于具体行业与领域的监管机构所设置的安全标准。不过,区分非公共安全仍然有重要意义。目前,很多广义违法行为具有显著的非公共安全特征,例如人工智能所造成的侵犯知识产权、诽谤言论,而有的部门在制定相关规定时,将此类侵权行为与造成公共安全的违法行为并列,对这些行为一体适用事前规制。此类做法违反了风险规制的一般原理,应当予以纠正。对于非公共安全的侵权行为,应当通过侵权法等事后救济的法律加以规制,而非通过风险规制对其施加过高的市场准入门槛。
    此外,还需要注意,我国人工智能立法对人工智能造成的一般公共安全应当以实际风险为指引,适度照顾公众的感知风险,避免零风险的风险监管。当人工智能应用在公共安全风险的事故概率上低于人类,此时人工智能发展与应用就会给社会带来福利。不过,由于民众往往出于自身的风险认知来“感觉”相关风险,且容易受到舆论媒体、热点事件的影响,常常对于人工智能安全有一些不切实际的期待。就此而言,人工智能的风险监管既应当立足科学与概率统计意义上的“安全”,又应当照顾到民众的风险感知与“安全感”,应当以政府、行业、专家等理性声音引导下民众可接受的风险作为判断依据。例如,当自动驾驶汽车在概率统计上达到人类驾驶汽车两倍或更高安全程度,如果此时民众在理性声音影响下能够基本接受此类风险级别,则此时应当允许自动驾驶汽车进入销售市场。而且,当自动驾驶汽车发生事故时,此时受害者可以要求自动驾驶企业通过保险等方式给予赔偿,但不能以此为由对自动驾驶汽车进行行政处罚或禁止市场准入。
    3.私法责任
    在私法责任层面,我国人工智能立法应当以现行侵权法与产品责任法为基础,不宜过于急切或激进创设新制度。首先对于产品构成类的人工智能系统,例如内嵌了人工智能的医疗器械、汽车、玩具等,如果此类产品造成了侵权事件,我国人工智能法应当对医疗器械、汽车、玩具等传统产品的终端制造者适用产品责任,对人工智能系统的提供者适用合同责任与过错侵权责任。其次,对于辅助决策类的人工智能系统,例如商业场景下的个性化推荐算法、劳动招聘中的简历筛选人工智能系统,我国人工智能法应对此类侵权中的人工智能的应用者或部署者适用消费者保护法责任或雇主责任。对于此类辅助决策类的人工智能系统提供者,也应对其适用合同责任与过错侵权责任。最后,对于生成式人工智能和大模型的提供者,我国人工智能法应结合平台责任、出版商责任与发言者责任对其侵权责任进行多重分析。生成式人工智能和大模型兼具网络平台、出版商、发言者多重角色,其侵权责任应当通过现行法律进行综合分析。
    我国人工智能法还可以对某些领域的人工智能侵权创设新的制度。不过,在此之前,人工智能的私法制度应当注重司法个案的规则创设。正如前文所述,人工智能的应用场景多元复杂,人工智能技术的发展日新月异。对于此类侵权,充分发挥侵权法的个案功能,可以更好地让法律规则适应现实世界,实现法律制度的可预期性。正如法理学的研究所表明的,在复杂多元与快速变化的场景下,基于司法与案例的自下而上的规则制定往往比自上而下的规则制定更具有可预期性,因为在此类场景中,个案中的当事人和裁决者往往具有更为及时和充分的信息,更能对各方当事人的过错与责任作出更合理的判断。当此类个案中的裁判呈现一定的共识性规则或潜在的共识性规则,则可以将其纳入人工智能法,或者暂时先将其上升为司法解释,实现自下而上的裁判指引。
    五、结语
    不同于网络平台的避风港规则、个人信息保护法,全球的人工智能立法远未呈现大致共识,未来我国与世界其他国家和地区的立法何去何从,也仍然是一个开放性的选项。由于全球人工智能立法面临的相似性问题以及人工智能领域面临的全球竞争与协调,本文从比较法的角度对这一议题进行分析,指出美国与欧盟在人工智能立法上采取了表面相似、实际迥异的立法模式。其中美国采取了市场主导、分部门、分领域的立法进路,其在联邦层面注重对政府机构应用人工智能进行规范,对私营企业则采取企业自我规制的进路,利用已有的消费者保护法、民权法案对其进行有限监管。而欧盟则采取了人工智能统一规制的立法进路,对人工智能风险进行统一分级规制,将人工智能系统纳入产品责任法的范畴。面对美欧以及世界其他各国的人工智能立法,我国亟需找到符合自身国情,同时具有最大国际公约数和国际领导力的人工智能立法方案。
    具体而言,我国目前仍然应当注重部门性、行业化、场景性的小切口立法,在未来时机成熟时再制定统一与综合性的人工智能法。对于我国未来的人工智能法,其立法价值层面应体现促进发展、开放合作、平等共享的价值理念,反对美国的现实霸权主义与欧盟的价值优越主义。在公法规制层面,我国人工智能法可以以风险规制作为重心,不过,人工智能立法应当区分国家安全、重大公共安全、一般公共安全与非公共安全问题。我国人工智能法不宜过多规定国家安全条款,对重大公共安全风险应设定强制性规范,对一般公共安全则可以授权部门与行业主管机构进行立法,但对其权限进行法律控制,同时要求其尊重行业自治规范,对非公共安全则应当避免事前规制。对于私法责任制度,我国人工智能法可以将有关人工智能侵权的特殊规则上升为立法。不过,在此之前,我国应当以现行侵权法与产品责任法为基础,在司法中充分积累人工智能侵权的具体案例。综合而言,我国的人工智能立法需要保持战略耐心,既为人工智能产业与技术的发展提供探索空间,又为未来的人工智能综合性立法提供学术与经验支撑。
    丁晓东,中国人民大学法学院教授,法学博士
    
相关文章!