其他
陈吉栋|公私交融的人工智能法
人工智能法的事物本质决定了其公私交融特性。事物本质的观察源于技术不平等与随之而来的信任关系重塑,其基本内涵是主体数字化、数据财产化、财产债权化、权利社会化和责任客观化。人工智能系统、AI agent并非法律主体。同意具有公法内涵但离不开私法分析,智能合约研究进展不大。权利研究不能支撑人类数字化生存的公私利益诉求,数据赋权说已占主流,但仍未能走出数据流通困境。法律责任的研究集中在归责原则的客观化与生成式人工智能之服务提供者的义务及过错判断上。以风险为基础的人工智能治理构成人工智能立法的底层逻辑,应注意风险与责任的互动关系。
(一)一般讨论
迄今为止,“人工智能主体否定说”仍是主流学说。“否定说”的典型表述是,法律主体的本质在于自我意识、理性和自由意志,人工智能并不具备独立自主的意识,无论在公法还是私法上都不可能取得与人平等的主体地位。人工智能不是“人”,也不是“拟制人”,而是人类创作的辅助工具,其执行的仍然是人类的意志。这些讨论在公私法中都有体现。比如,在刑法上,人工智能体无法产生故意或过失的罪过形态,也不具有刑罚的必要性。在知识产权法上,人工智能生成物归根到底仍然属于人类智力劳动成果,人工智能尚不能成为著作权法的主体。“否定说”在域外实践中颇有支撑。“肯定说”备受诟病,但其支持者总能从技术不断迭代及其应用不断深入的趋势中找寻正当性。“肯定说”的基本理由大致如下:第一,在技术上,人工智能作为独立智能体的智慧条件已经具备。第二,在认知上,人类对智能机器普遍产生了道德情感认知。第三,在解释路径上,对立法条文作目的论扩张可对人工智能进行法律授权。毋庸置疑,即便在生成式人工智能掀起发展狂潮的当下,“肯定说”也未取得优势地位。而且“肯定说”也需要回应人工智能仍然能力较弱不能成为社会主体的基本现实,为人工智能设置监管人,从而解决人工智能侵权责任承担的现实问题。组织体法律人格研究构成了法律主体最活跃的部分。在人工智能法主体制度的既有研究中,区块链去中心化自治组织(DAO)法律性质问题已被提出,域外已有立法实践,但2023年度少有论文出现。鉴于针对事物本质的纷争短期内难以取得一致,主体问题的讨论可能要持续到实定法作出规定才能告一段落。在最终意义上,人工智能主体问题取决于人类对于技术发展水平及其对于社会经济影响深度和广度的认知与接受程度。
(二)AI agent问题被提出
AI agent并未引起理论研究上的重视。早在2018年,人工智能译丛“独角兽·人工智能”系列丛书开始编译时主编彭诚信即十分重视AI agent的翻译,最后译者放弃了代理和主体等译法,选择了“智能体”这一定译。但此后,AI agent未获得立法和理论研究的重视。究其原因,既有人工智能技术发展路线的影响,也有研究者认识的问题。在技术上,AI agent并非一个新概念,其随着人工智能而诞生,尚无统一界定。通常来说,AI agent指的是一种具备自主决策能力、可以代表用户执行任务、与环境交互的智能实体或虚拟智能体。它可以基于规则、知识或学习独立地感知和理解环境,并采取适当行动以实现用户目标。在不同人工智能领域,AI agent既可能指代某个虚拟系统软件,也可指代一辆智能网联汽车。AI agent应用场景广泛,比如,AI agent可以根据既往的旅行数据(旅行的时间、方式等)、旅行取向(喜欢重游故地抑或另觅新奇)为人类作出旅行安排。AI agent与人工智能系统、数字人、程序软件不同。人工智能系统(AI system)指涉利用计算机科学和人工智能技术构建的系统,使其能够模拟人类智能或执行智能任务。人工智能系统可能由单个或多个agent构成。数字人(digital human)是通过模拟人类外貌和行为来创造与人类交互的虚拟人。数字人是agent的具象形式,可以是多个agent组成的系统。agent与一般的程序软件也有不同。agent具备一定程度的智能和自主性,能够进行决策、学习和自适应;而程序软件是为了满足特定任务或功能需求而开发的计算机程序,只能完成特定的任务。寿步由agent译法入手进行了法学讨论。他认为将AI agent译为“行为体”,在法学与AI的交叉研究中,就可以对应于可能的“法律行为”,找到可能的“法律主体”。但AI agent能否实际成为法律主体?它与人类作为法律主体有何异同?这将是随着AI的不断发展而需要进一步回答的问题。如果追溯一下,寿步在另一篇文章中曾指出,“AI与法律领域中AI相关的‘法律主体’或‘拟法律角色’应该是agent”。四、法律行为研究进展不大如果对于数字空间及其交往客观规律稍加注意,即会发现法律行为的研究仍未达到理想的程度。既有的研究中仍然聚焦在智能合约,对于共识、加密、签名等人机交互背景下的自然意思表示的电子化及其解释路径问题挖掘不足,遑论对于技术设施与架构之于主体意思表示影响根本规律的研究。因此,理论研究相对于可见的数字交往前景存在不足。
(一)智能合约法律构造与应用场景
当前,我国数据交易进入快速发展时期,理想状态下链上数字资产交易需要智能合约这一执行机制。在智能合约应用场景的研究上,赛铮指出保险智能合约与传统保险合同的区别:即“保险智能合约是由代码编写而成的合同,其‘成立—有效—执行’的过程全部由代码在区块链中加以实现”。具体来说,“(1)合约成立,即参与缔约的双方或多方当事人商定后将共同合意编写成一份代码表示的智能合约;(2)合约有效,即将智能合约内容发布至区块链,验证节点通过后产生新块,并存储于区块链各节点中;(3)合约执行,即存储于区块链中的智能合约一旦触发执行条件,经过各节点验证通过后便不可逆地自动执行合同内容”。该文对于智能合约合同属性的判断,仍处于既有研究的框架下,但关于合约缔约履行过程的分析进一步细化。不过,对于智能合约意思表示的分析必然随着实践尤其是技术的变化而变化。因此,区分智能合约的应用场景变得重要。意思表示的根本问题是自然语言代码化带来的解释规则变化。随着技术的发展,智能合约场景会逐步增多且会引发组织管理与民事权益等公私法研究落地。不过,其中尤其重要的是,随着意思表示的电子化,对其主观构成的分析将成为难题,尤其是在生成式人工智能应用日益深入的背景下。鉴于我国对通证经济的谨慎态度,现阶段更有实际意义的是对数据价值利用中的意思表示研究。
(二)同意授权的公私法内涵
数据作为人工智能发展的基质,构成了人工智能法的核心内容。现阶段源于个人信息收集的数据生产流通不能摆脱个人信息的二元基因的束缚。数据与个人信息的区分系于“匿名化”(个人信息保护法第4条第1款),但由于实践中处理者多不能做到严格意义上的匿名化,同意规则仍然发挥着为个人数据处理提供正当性的作用。虽然同意具有公法的属性,但数据流通交易终是在两方私法主体之间进行,是否以及在多大程度上可以使用民法原则来解释数据保护法中的同意引发了世界范围内的讨论。中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),把这一问题凝炼为个人信息数据的“确权授权”问题,“授权”是什么?如何处理同意与授权关系等问题应受到学者重视。个人信息处理“知情同意规则”在程序上保障了信息主体的自决。这种自决当然有其公法意涵,单就民法而言,同意最基本的含义是其代表了信息主体在“知情”情况下对于信息处理行为的“许可”。如果引入“授权”的讨论,如何区分同意和授权的关系,尤其是这种区分在数据价值利用的实践背景下是否具有正当性与可行性,成为不可回避的问题。
程啸区分了授权与同意的不同规范内涵与效果。他认为,基于个人同意而实施的个人信息处理活动非但可以无条件撤回,而且受到目的、方式和范围的限制,不可能包含对个人信息后续全部商业化利用,因此要真正实现对个人数据的商业化利用尤其是取得个人数据上的稳定的财产权,就必须经由授权而获得(达成合意)。而且,同意仅“具有排除处理行为非法性的法律效果,惟有个人授权方可能产生个人数据许可使用的权利义务关系的效果”。进一步说,授权属于民法上的授权,授权的客体是个人数据上的财产性权利,被授权人是数据处理者,授权的实现路径是许可数据处理者对个人数据进行处理。因此,授权的落实需要个人与个人数据处理者之间成立个人数据许可使用合同。不过,在多数情况下同意的内容本身包含对于个人数据财产价值进行处理的同意,则在该处理范围内的处理目的与内容已经为同意所决定,且程啸所说的个人数据的后续商业利益利用也仍需同意而非授权所能单独完成。在此意义上,授权可以构成同意的结果,所谓的“授权”等于且依赖于同意许可,许可依赖协议,数据许可合同产生许可效力。可能更为可取的是,重视同意的权利基础与法律意涵的公私交融。具体来说,同意处理最为基本的权利基础建基于公法,信息主体授权本身很难具有独立性,且作为企业数据权益来源正当性基础的也非信息主体的授权,因为处理者的财产权益并非信息主体授予,而是后续其自身生产行为所得。换句话说,其财产权益并非传来的,而是自身原始形成的。这也是人工智能法公私融合属性的典型体现。彭诚信曾指出,在处理者处理阶段,个人信息上仍负载着人格利益,因此处理者仍负担着多重的义务,这决定了后续司法介入同意讨论的限度及其如何处理两者关系的难度。总之,同意规则及对于该规则的反思,在本质上是数据价值利用正当性与效率的平衡问题。规则设计要考虑如下两个现实问题:首先,作为同意效果的授权,即便有其独立意义,也仅限于匿名之前;其次,在同意机制尚且面临实施困难的背景下,授权规则如何适用,拷问着我们的平衡能力。五、权利研究的进展与不足新兴权利构成人工智能法研究的核心内容。按照经典表述,“利益的正当性评价结果即正当利益,在法律上具体表征为权利,从而沟通利益、正义与权利三者的关系”。法律主体维系其智能社会公私交往产生了新的欲求形态,新欲求的实现构成了兼及公私面向且处于法律可予评价的利益状态,利益经过正当性评价即构成了法律上的正当权益。这一研究公私法均有涉及,聚焦在数字人权、数据权利的讨论,也有少量研究发现了加密权等值得关注的问题。
(一)数字人权与人的尊严
对于数字人权的研究在推动与反思之间曲折前进。数字人权是否构成第四代人权以及数字人权的证成,目前学界仍未达成共识,相关讨论仍在积极进行。以张文显、马长山为代表的学者旗帜鲜明地提出“无数字,不人权”的命题,进而提出“数字公民”的身份确认以及相关权利保障,旨在消解数字公民的机制性游离,维护数字社会的公平正义。就规范基础而言,一般认为,数字人权是一种宪法基本权利。究其原因,数字人权具有防御权、客观价值秩序以及“结构耦合”等功能,且对“人权条款”与“人格尊严”的诠释进一步展示了宪法是容纳数字人权的主要载体。桂晓伟从数字人权的人性基础和法律渊源两个方面,论证了“数字人权”之人权属性,进而对数字人权的内容进行构建,提出数字人权由“网络接入权”和“数据自主权”两项衍生人权及其相关特定权利组成,并以防御、尊重、保护和促进机制维系个人、网络企业和国家三元结构的良性运作。宋保振关注在数字鸿沟和数字红利差异逐渐拉大的背景下催生出的“数字弱势群体”之公平权保障。另有反对者提出,“数字人权”非但不构成“第四代人权”,甚至不宜作为人权的下位概念,因为从社会系统论来看,“数字”与“人权”的耦合关系是两者互为环境、相互激扰,无法融合为整体的“数字人权”,并且数字科技与人权伦理具有不可通约性,因此,无需单独制定“数字人权”的人权领域法。从权利理论上说,数字人权可能更应该思考的问题是哪些才是人工智能带来的损害,权利源于人类不正义的经验(不义)。这方面,公私法均有初步成果。人的尊严构成了法律的最高价值,智能社会对人的尊严至少产生了如下两个层面的冲击:第一,智能社会导致人与权利的关系发生重大变化。在智能社会权利丧失了保障人之根本利益的能力,权利作为个人内在价值的正当性基础,可能被智能科技“架空”。第二,智能社会导致人的尊严与法治严重脱钩。智能科技可能使人陷入自主性危机,阻碍了个人成为法律上期许的自由意志主体。这意味着,即使是仅存的尚处于个人支配之下的权利,也可能因不断强大的智能科技而无法有效实践——人的行为和后果之间的联系被割裂了,个人难以实现自主的塑造,这就是智能社会中人所面临的自主性危机。葛江虬同样基于人的尊严之考量,对元宇宙框架下数字空间的人格要素保护的财产法、主体法路径给予否定性评价,认为这些路径忽略了侵害人格的本质是侵害人的尊严这一事实。
(二)数据产权讨论尚未刺破事物本质
《数据二十条》提出了“数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,引发了法学者尤其是民法学者介入数据权利讨论的热潮。无论对数据权益配置提出什么理论方案,都应回答如下几个问题:即在什么客体上,确认哪些主体的什么权利,通过何种途径确保权益的变更流通。数据产权的“三权分置”实质上就是对于企业数据财产权权利内容的描述或形象化呈现。权利主体是企业或者数据劳动者,权利客体是数据财产,其范围包括原始数据、数据资源和数据产品。数据财产权是一种私权、财产权、绝对权,是直接支配和排他的权利。细化排他性的观点认为,应在数据分级分类的基础上构建起完全支配绝对排他、完全支配无排他性、有限支配有限排他的分级分类确权规则。然而,既有研究对数据财产权的权利内容观点不一:有的认为应包括持有、利用、收益和处分四大权能;有的认为内容可分为访问权、复制权、使用权和处分权;还有的认为,可分为持有控制数据、处理利用数据、获取数据收益、处分数据,遭受侵害或者妨碍时的停止侵害、排除妨碍和消除危险请求权数据赋权的权利束进路得到了沿袭,这类观点多依据霍菲尔德权利分析理论(权利束),区分数据生产、数据处理和数据治理等行为,在提供者、采集者、存储者和信息的加工者、分配者、使用者等不同主体之间进行精准确权。如此以数据资源持有权、数据加工使用权和数据产品经营权的动态赋权形式,建立数据主体享有的数据控制权、数据处理权、数据处分权和数据收益权的权利体系。熊丙万“财产权标准化”理论可谓是权利束理论的升级,根据数据财产权利人与不同社会交往对象之间的社会关系熟悉度,分别构建相应标准化程度的数据财产权样态。数据持有及其保护被认为是解决目前数据确权难题的前提问题。在此认识下,数据持有是一种事实控制。数据持有权则是数据产品化过程中不断动态发展的权利。在要素化阶段配置分享而非分置的产权,而在数据产品化阶段配置可分置的稳定的持有权。整体上,数据持有权可以通过用户协议、反垄断法等获得保护。国家知识产权局开展数据知识产权工作地方试点以来,数据知识产权的学术讨论增多,构成了数据赋权的另外一种路线。支持“数据知识产权”的学者大多认同“数据产权是一种新型财产权”的观点,并将其客体限缩于满足一定条件的商业数据集合。知识产权论者多肯认商业数据作为公共物品且具有非竞争性和非损耗性,论证商业数据集的创新性多从主体投入智力劳动、且数据集合结构方式具有一定的独创性单方展开,也有直接将数据认定为新型知识产权客体的主张,后者在客体范围上较前者更广。数据知识产权仅具有“有限排他性”且具有权利分置的制度构成。这就决定了其赋权形式可采取“控制—共享”“保护—限制”的二元权利主体构造:赋权之一是数据制作者权(有限排他效力的财产权),包括消极权能(禁止权)与积极权能(控制权、开发权、利用权);赋权之二是数据使用者权,即用户及其他同业经营者的访问权和携带权。有学者进一步论述了数据专有权可以按照商标法的实施模式进行规范构造,权利的取得可以采取注册取得模式。数据知识产权反对者众多。民法学者认为,数据权益与知识产权在权益结构、期限限制、保护理念、权利客体要件存在诸多不同。知识产权学者则认为,现有知识产权制度以及合同、侵权等规则已经为商业数据提供充分保护,无需在立法上赋予新的数据权利。需要指出,赋权被认为是数据流通交易的基础制度,前述理论探讨为国家层面的数据立法提供了正反两方面的理论参考。不过,数据赋权并非天然具有正当性。由于(电子)数据在系统中记录,在互联网技术架构之上建立的链、网、云、端体系内实现流通,这决定数据的计算无处不在无时不有,在形态、价值等不断流变的过程中形成不同主体之间的权利义务关系。因此,《数据二十条》中的赋权方案本身并非权利分置的方案,因此所谓的数据三权分置本身仅是政策表达并无规范意义。更为重要的是,对于数据排他性的讨论以及登记制度设计仍然应采取开放态度。此外,赋权研究不应忽视资源分配的基本现实(谁掌握着数据)及其规律(依靠什么控制数据),忽视这一前提,赋权制度的设计可能是不正义的。一个有意思的观察是,在Web3.0时代,区块链技术构筑的分布式网络推动了内容价值向个人分配(确权)的进程,但是,“生成式人工智能将会成为Web3.0时代的网络集权工具”,散落在用户手中的数据资源可能会再次聚集。六、生成式人工智能激发法律责任讨论的客观化趋向人工智能研发、生产与应用风险实现即会产生致害责任承担问题,“人工智能致害谁担责”成为经典设问与普遍关切。在法律责任的理论研究中,应用主体的义务判断、致害归责原则乃至赔偿范围是讨论的重点。在人工智能致害归责原则的选择上,严格责任成为趋势。郭少飞认为,人工智能承担侵权责任时,一般不论其主观过错,该责任应当是一种客观责任、严格责任。袁曾则基于“结构化分析致损时的状态与原因”提出四种不同情况下的归责原则。随着《生成式人工智能服务管理暂行办法》的发布,如何判断服务提供者的责任成为学者研究的焦点问题。徐伟提出认定生成式人工智能服务提供者过错的两个维度:一是对侵权内容的“生成”存在过错;二是对侵权内容的“移除”存在过错。生成维度的过错判断取决于服务提供者注意义务的高低。至于生成式人工智能服务提供者是否适用民法典第1195条等条款中规定的通知移除规则?在事实层面,事后生成式人工智能服务提供者能否以合理的成本和较高的准确度移除某些内容应被考虑,法律上不宜对其课以不得再次生成相关内容的义务,但这并不意味着服务提供者不负有任何义务。鉴于民法典第1195条对网络服务提供者提出的是采取“必要措施”的要求,生成式人工智能服务提供者也可能负有对涉嫌侵权的内容采取显著标识等方式来“提醒”用户等义务。这一解释方法是否可行仍有待技术、商业和制度的检验。无论是从侵权过错认定的一般原理,还是从保护受害人权益,抑或从我国将通知移除规则一体适用于各种网络服务提供者类型的传统来看,对生成式人工智能服务提供者课以避免侵权内容再次生成的义务似乎仍在制度设计选择之列。随着生成式大模型研发与应用的推进,垂类模型的研发也进入热潮,AI for Law的理念与实践获得了关注,在AI for Science之外,让人看到智能巨变的深度与广度。积极推动人工智能安全、监管的国际合作要求更要交叉的研究,以及对于基本实践进行融合技术的底层实证分析。更为重要的是,对基础模型研发与应用的偏见、数据的归属以及风险监管权力现实需求可能催生人工智能国家主权观念。七、以风险为基础的人工智能治理
人工智能治理与安全保护构成了人工智能法的公法面向。伴随人工智能立法被纳入国务院立法议程,国家层面的人工智能立法采用促进法还是治理法,治理法以何种逻辑展开,成为亟待解决的问题。在这样的背景下,治理入法提上议程,讨论开始增多。在治理路径上,总体上包容审慎仍是主流态度。钭晓东提出“回应型治理”,从输入端、运算端、存储端、输出端以风险管控、算法透明原则、多层次的数据管理保障机制以及技术、标准与法律三元架构的生成内容治理机制为应对手段。避免过度依赖传统以政府为中心的规制方式,而采取“有效市场”与“有为政府”协同发力、过程合规激励和结果威慑效应齐彰,深度融合法律逻辑、技术逻辑与产业逻辑的双重法律规制理路。同时还需从风险化解和权益保障入手进行责任松绑和规制补强,引入安全港规则及发展保障基金制度。也有学者提出通过监管沙盒实现敏捷型风险治理。安全港制度与沙盒监管具有积极意义,但目前沙盒入法的实践较为分散,且需完善进入沙盒的条件、途径与出沙盒后的制度设计。此外,在智能社会的秩序来源上,上述观点均承认在法律之外技术(标准)作用的发挥。正是由于技术秩序供给作用提升,被规制者本身承担着规制义务,合规即构成了人工智能法的内容,在根本上,这是由法律3.0的基本理念决定的。在治理思路上,笔者提出基于风险进行治理的思路。以风险为基础的人工智能治理将人工智能系统研发与应用风险的认知作为起点,风险治理与民事责任的沟通作为逻辑终点,如此构建以风险为基础的人工智能法律治理体系。商建刚提出,应当先构建风险治理的元规则,即率先提出其中最基本、最具全局影响的规则为核心,保持多元利益动态平衡:从协同共治、提升透明度、保障数据质量、伦理先行四个角度进行元规则构建。以风险为基础的治理还需要解决如下几个问题,即人工智能风险到底属于什么风险,分级治理是理据为何,落实风险治理的体制机制如何设计,如何处理人工智能风险治理与既有法律规范如产品质量法的关系等。也有学者反对以风险为基础的治理,赵精武指出“新兴风险治理之必要”存在理论不足和逻辑缺陷:这些新风险本质上并没有彻底改变既有的法律关系,同样也没有突破现有法律规范的调整范围。“风险立法论”是否属于当下最佳治理方案仍存疑议。更重要的是,人工智能产业尚处于发展阶段,过早地进行整体性的产业规范可能存在“超前规制”之嫌。不过,目前来看以风险为基础的治理仍是一条务实而理性的路径,不仅由欧盟人工智能法所提出,也被我国深圳经济特区、上海市人工智能产业发展条例所采纳。重提风险理论,提倡风险的评估,在本质上是有效平衡人工智能发展与科学监管的途径。唯一的可议论之处在于是采用风险分级方法还是更为动态的方法。结语智能社会的事物本质在根本上决定了人工智能法公私交融的属性,如何认识公私交融的独特内涵在根本上决定着人工智能法的疆域。鉴于智能社会的快速发展,在知识发现上,法学将长期与技术、经济、管理等学科混用基本范畴与方法,“大家都来探险、命名和立法,弄得乱七八糟、纠缠不清”,人工智能法学仍将停留在“包罗万象,无所不涉”的“杂学”阶段。不过,从宏观到中微观研究的转变正在发生。法学的基本价值追求是恒定的,即维护并促进人的行为自由与尊严平等。数字法学如此,人工智能法学也如此。因此,聚焦给定理想、法律及其现实社会后果的可欲性,而不放大何种原则是唯一客观正确的争论,在此实用主义态度基础上展开对话,才能完成对人工智能法调整对象与方法公私融合属性的摄受,进而发现人工智能法之基本法理,厘定其规范外延,深化其规范内涵。
往期精彩回顾
谭启平|习近平科技创新重要论述的法治化意义上海市法学会官网http://www.sls.org.cn