王春蕾,中国政法大学法治政府研究院副教授,主要研究方向为行政法学、教育法学;辛浩天,中国政法大学法学院博士研究生,主要研究方向为行政法学;郭竞捷,中国政法大学法学院硕士研究生,主要研究方向为行政法学。
摘 要:人工智能技术在世界范围内得到了迅猛的发展与广泛应用,但其也带来了治理上的新问题,需要立法加以回应。我国在人工智能立法上进行了有益的探索,通过多层级、地域化、领域化立法初步构建起了人工智能法律治理框架,但仍存在立法层级低、立法规定落后、体系衔接不畅的问题。作为一种新兴技术,人工智能与传统技术并不相同,其数字化、智能化、前沿化的特点,一方面使得其概念范畴并不确定、具有模糊性,对其进行立法规制存在难点,另一方面也带来了数据安全、算法风险等新型科技风险,现行立法难以对其进行规制,需要从立法对象、风险类型、规制途径等方面加以回应。在我国未来的人工智能立法中,需要明确人工智能立法的定位及其规范对象,坚持安全与发展并重、自主与开放兼顾、政府与市场相协调的立法原则,构建多层次的人工智能法律体系,从立法上完善分级监管、数据合规、伦理审查等法律制度,实现人工智能规制与发展的统一。
关键词:人工智能;立法实践;科技风险;立法展望;制度构建
一、人工智能及其立法概述
(一)人工智能的发展概况
随着科学研究的不断突破和应用技术的日新月异,全球再次处在新一轮历史性的科技革命和工业革新的十字路口。继工业化时代与信息化时代后,智能化时代已经初现端倪,成为全球科技产业发展的潮流与大趋势。近年来,人工智能大模型在科学技术层面和应用领域取得了巨大的突破,被广泛应用于无人驾驶、人脸识别技术以及各类的智能设施等领域,世界范围内人工智能技术和产业一直保持着高速发展态势。
作为引领未来的新兴战略技术,人工智能技术得到了世界各国的重视,发展迅猛。自从在1956年美国达特茅斯讨论会上,人工智能的概念被首次提出以来,人工智能经历了机器学习、神经网络、互联网技术驱动的三次繁荣发展期。虽然在此期间也遭遇了计算机算力不足、推理模型陷入瓶颈导致的两次发展低谷期,但总体上,人工智能技术已经得到了长足的发展。世界各国不断升级人工智能战略,人工智能已经成为科技创新的关键领域和数字经济时代的重要支柱,面向人工智能领域创新需求的投资不断扩大,通过应用牵引推动人工智能技术落地成为各国共识。而随着人工智能技术发展与应用的深入,近年来涌现了一大批以GPT-4(一种语言模型)为代表的实用型人工智能技术,推动形成了新一轮的生成式人工智能(AIGC)热潮,通用人工智能的能力水平也引起了更广泛的关注。在技术发展、产业化进一步深入的同时,人工智能也从以知识和数据为驱动的阶段,逐渐发展到注重技术的安全性、可控性的发展阶段,如何实现持续、健康的发展成为人工智能发展的焦点,可信安全的要求也逐渐成为人工智能赋能领域过程中不可或缺的保障。
(二)人工智能立法的重要性
高速发展的人工智能技术给人们的工作与生活带来了极大的便利,但同时也伴随着巨大的公共性风险。中国信息通信研究院发布的《人工智能白皮书(2022年)》指出,“以深度学习为核心的人工智能技术正在不断暴露出由其自身特性引发的风险隐患”,人工智能技术所固有的技术风险被持续放大,给旧有的法律以及规范体系带来了多个方面的冲击。有学者将人工智能所带来的风险隐患总结归纳为五种,即伦理风险、极化风险、异化风险、规制风险和责任风险。
随着人工智能深入赋能带来的多方面的风险与挑战,人工智能治理日益得到重视。作为人工智能治理的重要手段,加强人工智能立法,对人工智能技术及其应用进行法律规制,是防范、控制乃至化解人工智能风险的重要进路。总的来看,加强人工智能立法有其必要性。
首先,通过人工智能立法,能够较好地建立起人工智能的法律规制框架,在此框架内规范人工智能技术的发展与使用,以最大限度地限制、防范、化解其所带来的风险。例如,在个人隐私保护和数据安全这一问题上,人工智能技术的应用需要海量的数据予以支持,而这些数据有可能涉及个人隐私和敏感信息。如果没有适当的立法保护,可能会导致严重的隐私侵犯和数据安全问题。推动人工智能立法有助于加强对人工智能技术的监管,促进其合法、规范使用,保障发展中的安全与稳定。
其次,人工智能立法还能够在规范人工智能技术的前提下,起到引领、推动人工智能健康发展的作用。通过为人工智能技术设立产业标准、技术规范,可以促进人工智能产业规范化、有序化发展。同时,通过立法还可以将政府对人工智能产业发展的扶助、鼓励政策法律化,鼓励更多的企业和技术人员参与到人工智能的研究和应用中来,推动产业的发展和创新。
最后,科学的人工智能立法,还能够在数字技术广泛使用的当下,促进社会公平的构建与实现。无监管的人工智能可能会加剧社会不公,产生不公平的结果。一个透明、公正的人工智能系统需要一套法律框架来防止滥用和偏见,确保所有人都能公平地从人工智能技术的发展中受益;同样的,通过科学的人工智能立法,确保人工智能技术的公正使用,也能促进社会公平的实现。
(三)世界范围内人工智能立法的主要进展
在人工智能技术加速发展的大背景下,世界各国的人工智能治理在整体上呈现加速演进态势,各国纷纷开始从原则性约束的“软法”迈向更具实质性监管意味的“硬法”。以美欧为首的人工智能先行者纷纷加速推进人工智能领域的立法规制,初步形成了较为完备的规制体系,以“硬法”为保障的风险防控体系逐步建立。域外的人工智能立法经验,可以为我国人工智能政策与立法实践提供借鉴。
1、美国立法实践
美国对于人工智能的立法走在了世界前列。在对人工智能技术的监管方面,从2012年的《联邦航空管理局现代化和改革法》,到2015年国会将人工智能的表述加入《修复美国地面交通法》,再到2020年的《生成人工智能网络安全法案》《数据问责和透明度法案》《人工智能监管原则草案》等法案或草案,美国在联邦层面上构筑起了比较完善的人工智能监管体系。而在人工智能产业促进方面,联邦政府通过《2020年国家人工智能倡议法》《芯片与科学法案》《2022年推进美国人工智能法案》等法案,明确其将在人工智能等关键领域加大研究经费和产业补贴的投入,提出了增加投资、鼓励运用等多项促进人工智能发展的举措。
综合来看,有学者指出,从美国联邦政府所发布的人工智能发展战略部署和面对人工智能风险所进行的公法规制实践来看,美国采取的是“激励创新审慎监管的柔性规制模式”,也即“以激励人工智能创新发展为价值导向,审慎监管结果风险方式的综合性规制路径”。布鲁金斯学会的亚历克斯·恩格勒针对美国政府的监管方式指出,美国联邦政府的人工智能风险管理方法可以大致描述为基于风险、针对特定行业以及在联邦机构中高度分布。虽然这种方法有好处,但它也导致了人工智能政策的不平衡发展;白宫虽然有几份关于人工智能危害的联邦指导文件,但其“并没有为人工智能风险制定一个公平或一致的联邦方法”。
2、欧盟立法实践
欧盟在人工智能领域的立法较美国而言稍晚,却具有极大的影响力,甚至在一定程度上引领了世界的人工智能立法趋势。在早期,欧盟立法以出台框架性文件为主,通过《欧洲人工智能战略》《算法问责及透明治理框架》《人工智能白皮书》等战略文件,提出了人工智能发展的一些原则与规制框架,希望通过软法的形式,打造以人为本的可信赖和安全的人工智能。而随着人工智能技术与产业的发展,2021年4月,欧盟委员会首次提出关于制定人工智能统一规则的立法提案,经法国、捷克等国讨论修改,形成多版折中草案,并于5月通过了《人工智能法案》谈判授权草案。《人工智能法案》已于2024年3月正式通过,该法案是欧盟内部管理人工智能的一般性规则,这是世界范围内首个关于人工智能监管框架的专门性公法规制法案,其重点确保了人工智能系统由人监督、安全、透明、可追溯、非歧视和环保。法案将人工智能系统的风险划分为不可接受风险、高风险、低风险或最低风险,依照不同人工智能使用情况制定不同的规范措施。从内容上看,这是一种“横向”的和“基于风险”的监管手段,这意味着它计划为所有行业和应用程序的人工智能提供规则,重点关注各领域人工智能创新的潜在风险。
总体上来看,欧盟对人工智能的公法规制力度较大,并且具有清晰明确的法律基础,有学者将欧盟这种管制模式归结为“保障安全严厉监管的刚性规制模式”,即将保障人工智能的安全可信作为价值导向,通过采用刚性的立法规制路径来对人工智能的发展过程和相关风险进行监管。
二、我国人工智能的立法情况与实践效果
人工智能的良性发展需要构建起科学全面的法律规范体系作为保障。近年来,我国人工智能立法制度化、规范化水平不断提高,呈现多层级、地域化、领域化的立法特点。
(一)人工智能的中央政策与立法成就
在国家层面上,我国形成了以《新一代人工智能发展规划》为核心,以《生成式人工智能服务管理暂行办法》等各类部门规范和政策文件为支撑,不断完善、充实、更新的人工智能规范体系。具体立法情况见表1(略)。
1、以《新一代人工智能发展规划》为核心
虽然目前我国尚未制定狭义法律层面的人工智能法,但在党中央的部署推动下,国务院于2017年7月印发了《新一代人工智能发展规划》。作为我国从国家层面上对人工智能的发展方向作出的宏观指引,《新一代人工智能发展规划》系统阐述了我国在人工智能方面的总体政策,强调要“抢抓人工智能发展的重大战略机遇,构筑我国人工智能发展的先发优势”,明确了“发展为主、控制潜在风险为辅”的战略布局。此外,该规划明确了我国新一代人工智能发展的战略目标:到2020年,人工智能总体技术和应用与世界先进水平同步;到2025年,人工智能基础理论实现重大突破,部分技术与应用达到世界领先水平;到2030年,人工智能理论、技术与应用总体达到世界领先水平。2017年12月,工业和信息化部发布《促进新一代人工智能产业发展三年行动计划(2018—2020年)》。该计划以产业发展作为出发点,对国务院《新一代人工智能发展规划》所提出的任务目标进行了具体细化和布置落实,旨在推动人工智能和实体经济的深度性融合。
2、以中央各类部门规范和政策文件为支撑
原则性、纲领性的《新一代人工智能发展规划》仅确立了基本的规制要求,要想使发展规划具体落实到人工智能的各相关领域之中,形成更具操作性的具体规制措施,就需要作出更加细致的规定。在这种情况下,中央各类部门规章及其他政策文件构成了人工智能法律规制体系的重要组成部分。
总体上来看,我国目前对于人工智能的细化立法,呈现“场景化的分散式立法态势”,主要是针对人工智能应用中的各要素进行具体规制,具体表现为随着人工智能的发展而逐步针对人工智能应用所带来的具体问题出台相应的管理规范,如《互联网信息服务深度合成管理规定》《互联网信息服务算法推荐管理规定》《科技伦理审查办法(试行)》等,这些文件分别从算法治理、深度合成治理、科技伦理治理等不同层面对人工智能的规范和发展进行了细化规定。
在数据保护方面,我国相继发布了数据安全和个人信息保护方面的三部立法——《网络安全法》《数据安全法》《个人信息保护法》,涵盖了人工智能开发、应用过程中的数据隐私保护、数据质量管理、透明度和可解释性、数据共享与合作、安全评估和审查以及法律责任和追责机制等方面。
在算法治理方面,我国相继发布了一系列法规和指导文件,以确保互联网信息服务算法的规范运行,如国家网信办发布的《互联网信息服务算法推荐管理规定》《关于加强互联网信息服务算法综合治理的指导意见》,以及国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术机器学习算法安全评估规范》等。这些法规和指导文件的出台旨在建立算法治理的体系,保障互联网信息服务算法的合规性和安全性,防范潜在的安全风险,为算法治理提供了明确的框架和规范,有助于保障互联网信息服务算法的安全性和合规性。同时,这也体现了我国在算法治理方面的重视和努力,为构建健康、可信赖的数字环境提供了有力支持。
在科技伦理方面,我国通过一系列法规和指导文件对人工智能的管理、研发、供应、使用和组织实施规范进行了框架上的规定。国家新一代人工智能治理专业委员会发布的《新一代人工智能伦理规范》明确了增进人类福祉、尊重生命权利、坚持公平公正、合理控制风险和保持公开透明的科技伦理原则,同时对人工智能的管理、研发、供应、使用和组织实施进行了框架上的规定。就伦理审查这一特定流程,科技部于2023年9月7日发布了《科技伦理审查办法(试行)》,要求责任单位设立科技伦理(审查)委员会,建立审查管理制度,提供科技咨询与培训,并客观评估和审慎对待不确定性和技术应用风险。
在智能医疗领域,我国通过各类法律、法规、政策实现对人工智能的管理和引导。国家药监局(原国家食药监总局)及国家药监局器审中心所发布的《移动医疗器械注册技术审查指导原则》《人工智能医疗器械注册审查指导原则》《人工智能医用软件产品分类界定指导原则》等文件对用于诊断和评估的智能算法软件、人工智能医学诊断设备的范围和管理等进行明确。《互联网诊疗监管细则(试行)》则对人工智能医学诊断进行了规定:“人工智能软件等不得冒用、替代医师本人提供诊疗服务。”“处方应由接诊医师本人开具,严禁使用人工智能等自动生成处方。”此外,目前国家卫健委则主要针对人工智能被用于辅助诊断的技术出台了一些细化的质量控制规范和管理规范,包括《人工智能辅助诊断技术临床应用质量控制指标》(2017年版)和《人工智能辅助诊断技术管理规范》(2017年版)等。
而随着人工智能的深入发展,以及国家对人工智能治理认识的深化,我国对于人工智能之立法,也逐渐从分散规制、要素规制转向对象规制、统一规制。一个显著的体现即为2023年7月国家网信办联合六部门发布的《生成式人工智能服务管理暂行办法》。该办法针对生成式人工智能技术进行了全面的规定,旨在促进该技术的健康发展和规范应用。该办法明确了坚持发展和安全并重、促进创新和依法治理相结合的原则,并在此基础之上相应规定了具体措施以鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级的监管方式,同时也明确了提供和使用生成式人工智能服务的总体要求,在伦理、算法、数据及内容等方面规定了生成式人工智能应当符合的条件及责任承担主体和义务内容,包括算法前置备案、信息披露、内容审查等。
3、人工智能统一立法的进展
随着全球人工智能发展进入新一轮跃升期,超大规模预训练模型的重大突破实现了人工智能的一次技术飞跃,人工智能应用场景不断拓展,正加速从消费端向生产端渗透,与制造、医疗、能源、交通等领域深度融合,全方位融入科技、经济和社会发展等方方面面,我国也加速了人工智能的统一立法进程。2023年5月,国务院办公厅印发《国务院2023年度立法工作计划》,人工智能法草案即位列其中,这意味着国家层面的人工智能立法将迎来一个新的阶段。
(二)人工智能的地方立法与实践探索
地方性立法具有较强的灵活性,能结合本地的实际情况和现阶段的突出问题,对上位法的内容进行进一步的细化和优化。目前我国大部分地区均在探索建立地域性的人工智能规制体系,希望借此规制人工智能技术,并促进人工智能产业发展。但这些地方探索以地方政府规章和政策性文件为主,仅有少部分地区通过地方性法规的形式对人工智能技术进行了细致规定,呈现政策先行、重点领域立法的特点,详见表2(略)。
具体而言,在地方立法上,目前仅有深圳市和上海市颁布了人工智能相关地方性法规,集中于人工智能汽车与自动驾驶领域。深圳市于2022年9月出台了《深圳经济特区人工智能产业促进条例》,该条例是我国人工智能领域的首部地方性法规,就基础研究与技术开发、产业基础设施建设、应用场景拓展、促进与保障、治理原则与措施等多项重要问题作出规定。随后,上海市出台《上海市促进人工智能产业发展条例》,该条例整体共包括六章七十二条内容,是人工智能领域的首部省级地方法规,也是上海市继《上海市数据条例》后第二部数字经济领域地方法规。该条例以促进数据利用与技术健康发展为立法定位,强调创新性和引领性,在有效市场和有为政府之间寻求平衡,力图充分发挥两者的作用,采取了多种激励措施来推动人工智能产业实现持续性高质量发展。与此同时,更多地区则以政策文件的形式促进人工智能合理健康发展。
(三)现行政策与立法的主要不足
1、整体立法层级较低
如前文所述,在当前人工智能相关立法中,我国并无一部统一的人工智能法,仅存在一部国务院的规范性文件对人工智能的规制与发展进行了整体性规定。对于人工智能领域的法律治理,主要依靠部门规章以及部门发布的其他规范性文件以“小步快进”的方式进行立法。而在地方上,由地方性法规这一层级的立法来对人工智能进行规制的规范数量也较少,仅有深圳市、上海市所通过的两部地方性法规,地方对于人工智能治理的细化规定主要依赖地方政府规范性文件以及有关政策进行分散性规制。整体上来看,现存人工智能之相关法律规范的层级较低。
从目前人工智能开发和应用的蔓延态势而言,由全国人大及其常委会进行法律层面的人工智能专项性立法已经到了应当提上日程的时候。既有科技法治实践的经验表明,只有科技立法与技术的发展同步,才能使法律与科技发展形成良性互动的关系。这是工业革命以来科技进步能够有效转化为经济社会发展的动力或为其赋能的有力支持和基本保障。只有在这种良性互动的环境下,科技才能真正得到符合人类价值取向的发展和应用,人工智能技术的发展与应用也不例外。人工智能技术的迅速蔓延,也带来了日益迫切的法律需求。过去几年,我国人工智能领域的建章立制已经起步。在2022年3月1日开始实施的《互联网信息服务算法推荐管理规定》中,生成合成类算法作为五大类算法推荐技术算法推荐技术的五大类为生成合成类、个性化推送类、排序精选类、检索过滤类以及调度决策类。之一而受到密切监管。2023年1月1日开始实施的《互联网信息服务深度合成管理规定》将深度合成技术作为算法服务种类中高风险的算法予以率先立法监管,进一步加强了对该技术的监管。为了进一步推动人工智能领域的规范和发展,2023年7月国家网信办等七部门联合出台了《生成式人工智能服务管理暂行办法》。综合以上三份文件,随着算法和人工智能技术的发展,我国对其治理也形成了“算法治理—深度合成治理—生成式人工智能治理”的迭代路径。2023年9月7日,新华社发布了十四届全国人大常委会立法规划,明确此后五年中国立法工作的“总蓝图”,但明确列入2023年国务院立法工作计划的人工智能法,没有出现在全国人大常委会未来五年的立法规划里。以此而言,以法律的形式对人工智能进行规制仍然任重而道远。
2、部分领域立法滞后
立法具有滞后性,这一法律规制手段所具有的本质性的缺陷,在人工智能技术一日千里的发展态势下,体现得尤为突出与明显。
人工智能技术的应用领域十分广泛,相应的,在中央层面形成了数据保护、算法治理、科技伦理、智能驾驶、智能医疗等几大领域的框架性立法。具体到地方,现行立法主要集中在产业促进等框架性立法以及智能驾驶领域,在其他领域如数据保护、科技伦理、智能医疗等则存在较多缺漏。以智能医疗为例,人工智能技术的应用覆盖了医疗行业的各个方面,如医疗风险管理、自动监控、医疗设备、医学影像、药物挖掘、精神健康、生物科技、营养和病理监控等多个领域都能看到人工智能技术的影子,智能医疗技术不断发展。然而,相较于技术的高歌猛进,人工智能在医疗健康领域的监管立法、质量标准制定、准入和评估体系建设等方面总体滞后,或将阻碍医疗人工智能的应用和发展。
3、立法体系衔接不畅
立法是一个统一性的工程,要构建全面覆盖、协调一致的法律规范体系,则需要合理处理一般法与特别法、中央立法与地方立法之间的关系。但遗憾的是,我国人工智能立法并未在这两个关系上做好协调,立法体系存在衔接不畅的问题。
一方面,人工智能包含数据、算法、模型、算力等要素,对于其中的部分要素,我国已有相应的立法。同时,人工智能在各行业各领域得到具体应用时,又会涉及与该行业领域方面的现有法律发生交叉重叠的问题。因此,如何衔接好人工智能立法与现有相关法律规定,是立法者需要认真考虑的问题。而在当前立法中,由于对人工智能的法律定位不清晰,相关法律问题尚未形成共识,导致存在立法冲突、人工智能立法与现有立法衔接不畅的问题。
另一方面,地方性立法具有相对独立性,在规范结构的完整性与法条之间的关联性上可能存在与中央立法产生龃龉的问题,导致规范内部的体系性被破坏。若是出现地方性的人工智能立法重复上位立法的现象,不仅会导致地方性立法的灵活性、针对性价值彻底丧失,地方的特殊问题也难以通过地方性立法予以解决,更为可怕的是地方性立法的一致性价值在一定程度上也会被消解。而在我国的地方立法中,较多地区的人工智能立法仅大量简单地重述上位法规定,未能有效结合本地区人工智能发展的痛点、难点问题进行科学立法,导致地方立法并未起到其应有之作用,降低了立法效率。
三、人工智能立法的重点与难点
(一)立法定位与规范对象问题
开展人工智能立法,首要问题即为立法定位和规范对象的问题。正如有学者所说的,一个特定法域或一部特定的立法,若没有明确的规范对象,则其既无法确定自己的适用定位,也难以形成正确的调整方法。以此而言,进行人工智能立法的一个前提条件,就是必须明确其规范对象到底是什么。这就又牵扯到了人工智能立法体系的逻辑前提——人工智能的法律定义这一问题。在人工智能立法趋向“体系化”以及立法进程日益加快的背景下,首先需要解决的便是人工智能的概念范围应当如何确定的问题。人工智能立法的规制范围究竟是什么,其规范对象究竟是什么,人工智能法在法律体系中究竟处于什么定位,这是开展人工智能立法必须先解决的重点与难点问题。
在确定人工智能立法的规范对象这一问题上,应当看到,人工智能技术作为当代最具前沿性的实践活动,“并不是像简单世界时代里发生的人与人之间的科技活动那样,具有相对确定、相对稳定的特点”,恰恰相反,人工智能技术从里到外都体现出不确定性和动态性的特点。
对于人工智能立法之规范对象认识之困难,一方面在于“人工智能”这一概念的模糊性。作为随着技术发展所出现的新事物,人工智能之概念极其不确定。首先,其作为一种概念集合,是对一系列符合智能化特征的技术的总称,从智能驾驶,到ChatGPT,都可以被纳入其中。这种基于归纳法所得出的概念,导致“人工智能”的定义注定是模糊的。其次,作为一项前沿技术,人工智能技术仍在发展过程中,未来其将发展到何种程度是难以预测的,立法也需要具有一定的原则性以实现规制之全面性与有效性。虽然人工智能的定义方式非常多元,国内外人工智能领域立法实践中也都有单独设置定义性条款来界定人工智能法律概念的先例,但这些定义有其特定的立法背景和体系语境,未必适合当前中国“人工智能法”的立法需求。
另一方面,对于人工智能立法之规范对象认识之困难,还在于人工智能技术应用活动的广泛性。作为一种以机器深度学习和人机互动为特征的新型信息科技,人工智能科技的应用领域极为广泛,而其应用的多样性也带来了规制上的特殊复杂性和不确定性。人工智能不仅仅作为专业定向科技,在研发、生产和部署方面具备支持自动决策的能力,可以实现自我迭代,同时也作为一项赋能科技,可以广泛应用于与经济或管理相关的多种场景。尽管这种广泛应用在表面上呈现为从场景到场景的现象罗列,但实际上各个场景之间的功能、结构以及主体互动关系千差万别。这种多样性使得对其进行规范变得极具挑战,极大地增加了规范制定的困难。
此外,进行人工智能立法,还需要明确的是人工智能产品的法律责任和权益保障问题。随着人工智能技术的产业化,越来越多的人工智能产品将会流向市场。人工智能产品的法律责任是否属于人工智能法的规制范围,以及人工智能产品的责任承担与消费者权益保障问题,也是人工智能立法所要解决的重点与难点问题。
(二)数据安全与权益保护问题
在人工智能所带来的诸多问题中,数据安全与保护问题尤为突出,已成为当下最具挑战性的问题之一。由于人工智能的核心是数据与算法,这意味着其大多数应用需要“大数据”的支持。进一步来说,人工智能越是智能,就越是需要海量的数据作为支撑,同时其对数据的处理能力也就越强。由此,人工智能的应用带来了严重的数据安全危机。综合来看,人工智能技术的发展与应用所带来的数据安全风险主要体现在以下两个方面。
一方面,人工智能技术建立在大数据之上,其在对数据进行获取、分析的同时,也带来了数据安全的风险。在数据收集、存储、传输与共享的全流程中,都可能存在数据侵权、信息泄露的问题。
其一,人工智能对数据之收集、运用,可能存在侵犯他人合法权益之风险,如何保障数据之合法收集、使用,是立法的重难点之一。
首先,人工智能技术对数据的使用,存在侵犯个人信息权之风险。这种风险,首先来自人工智能技术对个人信息收集方式的更新,从而对传统个人信息保护规则形成了一种规避。最典型的例子是数据爬取技术,这是人工智能获取数据的常用手段之一。数据爬取技术能够通过程序自动、快速、高效地收集网络中的海量数据,供给人工智能模型所使用,以提高模型的准确性和可靠性。然而,这样的收集方式所带来的风险是,所收集到的数据中可能包含敏感的个人信息,其来源很难加以追溯和验证。人工智能利用数据爬取技术“灌入”了这些个人信息数据,但在这个过程中却未告知信息主体并征得其同意,这就直接架空了传统上对个人信息处理的一项重要规则——“告知—同意”规则。因此,人工智能之数据爬取作为单方发起的“非合意数据流通”,存在极高的对个人信息权益之侵犯可能性。此外,人工智能对个人信息与个人隐私的侵犯风险,还来自其强大的信息处理能力。应当看到,人工智能技术增强了对个人信息的直接监控能力并且带来了获取个人信息数据的更多可能性。随着人工智能系统越来越多地被整合到基础设施、生产制造、商业运营和日常生活中,在医疗、交通、金融、执法等各个领域得到广泛的应用,尤其是其与物联网的融合,使用户个人的面孔、财务、偏好等个人信息无所遁形。可能从单个信息来看,这些个人信息均是经过用户同意并合法获取的,但是,人工智能具备强大的“画像识别”能力,借助物联网、大数据等技术,能够对海量的相关数据进行整合、分析,在此基础上轻松绘制出用户的完整“画像”,潜藏着极大的个人信息风险。如何落实人工智能对个人信息之获取符合个人信息保护的要求,仍需立法加以探索。
其次,人工智能的数据合法问题,还牵涉人工智能立法与知识产权法如何妥当衔接的问题。习近平总书记指出,“要健全大数据、人工智能、基因技术等新领域新业态知识产权保护制度”。人工智能技术围绕“算法”与“数据”展开“思考”,而随着“算法”与“数据”所带来的产业价值不断提升,它们也将成为新时期知识产权法关注的重点,弥补传统知识产权法对算法和数据保护的不足具有必要性。但在知识产权保护的范围上,并非全无争议。人工智能模型本身作为计算机程序,其能够被视为智力成果而得到知识产权法的保护,这一点已经成为学术界与实务界的共识。然而,关于人工智能训练所必需的海量数据,其所涉及的知识产权问题仍存在较大争议。《生成式人工智能服务管理暂行办法》第7条给出了原则性的规定:“生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:……(二)涉及知识产权的,不得侵害他人依法享有的知识产权……”在此种情况下,如何确保数据来源的合法、合规至关重要,如何对数据使用中的知识产权保护与技术创新发展加以平衡也同样值得深入思考。数据中的知识产权保护界限缺失以及界定模糊,容易导致“公地悲剧”;但如果过于强调对数据的知识产权保护,则可能阻碍相关技术的发展,难以避免“反公地悲剧”的出现。如何在人工智能发展的过程中合理衔接知识产权保护,确保人工智能对数据的合法使用,也是未来人工智能立法的重点之一。
其二,人工智能的数据库存在数据泄露的风险。人工智能技术需要在大量数据的基础上学习、生成、训练其模型,而大量数据的处理将不可避免地扩大受攻击面,也就相应地提高了数据泄露的概率、扩大了数据泄露的影响范围。数据被泄露可能有以下三方面的原因。第一,数据被主动泄露,即开发机构直接向外界披露了人工智能语料库所存储的数据。第二,数据被隐含泄露,即人工智能所迭代训练的数据在未来的版本中被作为输出内容,从而间接泄露了训练数据的内容。例如,如果人工智能模型的训练数据中包含了具有隐私敏感性的文本数据,如医疗记录、司法文书、个人通信记录等,那么模型可能会学习这些信息并在未来版本中输出泄露。与直接泄露相比,间接泄露具有高频性、渐进性的特点,其中风险不容小觑。第三,数据因系统漏洞而被泄露,这也是语料库数据泄露的最大风险源。人工智能模型本身可能存在未知的安全漏洞,攻击者可能通过这些漏洞进行攻击,包括但不限于修改模型的输出、篡改模型的训练数据、窃取模型的参数等。这些潜在的可供攻击的漏洞可能导致系统数据的泄露,对模型整体的安全性构成威胁。目前,由于智能硬件缺乏足够的加密技术等保障措施,大量用户信息处于透明的状态,这使得黑客入侵变得相对容易。尤其是在现实中,并非每一个掌握大量数据的机构,其数据安保条件都足以匹配其庞大的数据规模。如何在利用个人信息之前对其进行充分保护,就成了一个亟待解决的难题。而一旦出现数据泄露,由于人工智能模型具有相对较大的数据体量,将导致难以挽回的损害后果。具体而言,个人数据泄露可能导致大范围的隐私权和著作权被侵犯的风险,企业的数据泄露可能会导致不正当竞争或商业秘密泄露的风险,而政府的数据泄露则可能带来更为严重的损害后果,敏感数据、秘密数据的泄露甚至会对国家利益与安全产生威胁。
另一方面,人工智能技术也对个人信息保护与隐私保护提出了新的挑战。举例而言,传统上,对个人信息进行匿名化处理是在数据处理过程中对个人信息进行保护的重要措施。但随着人工智能技术的不断发展与应用,大量数据更容易被获取并关联。通过对数据加以分析、比对和匹配,即使是原本被匿名化的个人信息,也能被识别到具体的自然人之上,由此产生了数据的二次利用。2017年,美国一家企业开发了一套机器学习算法,在对人脸进行马赛克处理的情况下,通过神经网络技术仍然能够识别出图像或视频中隐藏的信息。通过网络技术,“抽象的人”逐渐被还原为“特定的人”。值得注意的是,人工智能的发展离不开区块链的应用。未来如果把区块链技术应用于个人信息领域,即使去识别化,也难以完全去除其中的个人信息,这可能引发个人对自己的信息被他人操控的担忧和恐慌。
综上,如何确保人工智能技术中数据使用的合法性,以及数据在存储、传输和处理全过程中的安全性,是人工智能立法的又一重点与难点。
(三)算法治理问题
算法是人工智能的核心组成部分,也是人工智能引发争议和风险的主要原因。在数字经济时代,算法被视为“基础语言”,其效能不仅直接决定着决策的效率和质量,并且也越来越对公私主体产生直接和间接的多维度的影响。随着“算法经济”和“算法社会”的兴起,算法的研发、投资和应用成为科技领域的新兴增长点。然而,随着算法应用领域的不断扩展和延伸,相应的算法适用危机不断出现,算法治理体系亟待进一步健全和完善。对算法进行治理,需要解决算法的不透明、信息失真、算法歧视以及数据鸿沟等问题。
算法的不透明指的是算法的设计、运行和评估等过程缺乏公开和解释。随着人工智能在面部识别和数据收集等高度敏感领域的广泛应用,应用过程中的风险也随之增加,引发了群众对算法安全的担忧和对算法透明度的需求。因此,算法的可解释性作为一种识别和纠正人工智能系统产生的错误的工具是必要的,具有重要的安全应用价值。同时,作为“黑盒模型”之算法也带来了人们对歧视和偏见的担忧,人工智能是否会不公平地考虑性别、年龄或种族等歧视性因素并将这些因素纳入决策过程成为一个新的问题。
信息失真指的是算法处理、传播和利用信息时可能出现错误、偏差和损害。以社交媒体对信息的处理为例,其算法通过对个人数据进行处理和分析从而形成用户画像,并依据这些用户画像向使用者提供相应的信息。这就造成了信息失真的问题。基于人工智能的内容过滤可能导致用户不再能接触到其通信环境之外的内容,或者只能接触到符合大多数人偏好的内容。从长远来看,这可能导致用户遭遇恶劣的“滤泡效应”或“回音室效应”,分裂作为一个整体的民主公共领域,甚至造成多数意见的“独裁”,导致严重的过滤偏差。
算法歧视指的是算法在决策、推荐和服务等方面可能对某些群体或个体造成不公平或不利。这种不公平从本源上来看可以追溯到三种缺陷:有缺陷的数据收集、有缺陷的数据聚合和标准的无响应。第一,有缺陷的数据收集是指数据输入偏差很可能导致数据输出偏差,这样的“输入偏差”可能源于受保护群体的代表性不足或过多。例如,美国Northpointe公司所开发的犯罪风险评估算法COMPAS,将黑人的犯罪风险错误地评估为白人的两倍。由于算法在本质上是以计算机代码所表达的逻辑意见,因此无论是算法的设计目的,还是模型选择,抑或是数据使用,都是设计者和开发者的主观选择。在这个过程中,设计者和开发者可能会将自身所持有的偏见嵌入算法系统之中。第二,所谓有缺陷的数据聚合,是指初始训练数据本身是具有代表性的,但是在稍后的处理过程中被引入了偏差。这种缺陷典型的例子是在消费信贷决策中,如果拒绝向三次延迟信用卡付款的有色人种提供“信誉”标注,而其他人则可能四次拖欠付款也不会被标注为“违约”,那么人工智能也可能会相应地对待未来的“信用评估”。第三,标准的无响应是指人工智能的基础在于统计数据,它只能通过对过去的观察来评估未来,而标准的考虑是由反事实(contrafactual)所驱动的,因此将这些考虑转化为人工智能能够理解的语言可能极具挑战。
数据鸿沟指的是数据利益、数据能力在数据的掌握者、分析者、使用者、支配者和生产者等各权益主体之间存在不均衡的情况,导致在国家、地域、产业乃至个体间形成了鸿沟。人们在利用计算机和互联网方面存在的差异——这些差异包括技能和信息素养的能力差异,利用信息网络来提高政治参与度的民主机会差异,以及利用信息的经济机会差异——使得“数据鸿沟”在客观上是存在的。社会身份和财富不再仅靠劳动和投资来获取,而更多是通过占有信息、数据和赢得算法来迅速变成商业巨头和富豪,数字鸿沟就转换成等差鸿沟,而且身在底层就很难翻身向上流动。它甚至还会形成数据垄断和算法歧视,导致一些商业平台存在较为普遍的“大数据杀熟”现象。例如购物网站通过智能算法,根据用户经常浏览或消费的商品的类型、价格区间、购物历史,结合地理位置、移动情况、常去消费地点等,可以推测出他们的收入水平、对价格的敏感程度以及用户黏度等信息,进而对价格不敏感且用户黏度较大的顾客秘密提高价格销售商品。
如何进行算法治理是人工智能立法的难点问题。对此,我国相继发布了一系列法规和指导文件,希冀推动互联网信息服务算法的规范运行,如国家网信办发布的《互联网信息服务算法推荐管理规定》《关于加强互联网信息服务算法综合治理的指导意见》等。尽管这些文件为算法治理提供了明确的框架和规范,有助于保障互联网信息服务算法的安全性和合规性,但是,限于技术和治理手段,以上立法对于算法问题的治理作用收效甚微,亟待后续立法的进一步规制。
(四)伦理风险与社会责任问题
如何应对伦理风险是人工智能立法的敏感问题。随着科技的发展,科技伦理的问题从传统的生物医学领域,逐渐扩展至纳米科技、认知与神经科技、人工智能科技等新兴科技领域。这些新兴技术具备重新塑造逻辑、生命、物质与大脑神经的潜力,而且以融合性的方式相互赋能、共同发展,对社会生活造成重大潜在影响。科技对人类交互方式的影响日渐深远,技术研发和应用所产生的隐私、平等、公正等问题也逐步显现并成为现实。在人工智能领域,这种对于价值、道德等伦理要素的潜在侵蚀表现得尤为突出,其高智能、自主决策的特性在应用中引发了一系列伦理问题。
人工智能伦理风险的出现,一方面是由于人工智能技术本身的缺陷。例如,被用于人工智能大模型训练的数据集在多样性、代表性、公正性等方面存在缺陷,由此导致偏见、刻板印象乃至片面性等问题。由于数据集的类型区分不清,也可能因此出现事实与想象不分,进而加剧错误信息或虚假信息的扩散与传播。尽管有规定要求对使用人工智能技术生成的内容进行标识,但目前的技术难以做到一一精准识别。此外,虽然从技术上讲,人工智能永远不会作出决定,但人工智能被用于自动决策具有伦理意义。在使用人工智能技术进行自动决策的过程中,人工智能取代了人的主体地位,由人工智能对人类尊严、正义、公平等价值取向进行取舍判断,将对理性、良知自由和责任自负等伦理秩序与伦理责任体系产生非常深远的影响。另一方面,伦理风险也可能基于用户对于人工智能模型的滥用而产生,例如用户利用生成式人工智能模型进行破坏社会秩序的行为。如何应对人工智能可能带来的伦理道德风险,也将成为较长时间内人类利用人工智能技术的重要议题。
人工智能的使用涉及人类社会的价值观、道德观和责任观等伦理层次的问题,这些问题难以完全为“风险—安全”的概念所涵盖,因此需要引入科技伦理的治理手段来加以干预。传统的科技治理方式通常局限于回应科技对人体健康、自然环境等物理层面的直接影响,却难以有效应对人工智能技术对人的主体性、社会交往规则、价值观念等方面所产生的更为间接但更加深远的影响。在这种情况下,科技伦理的治理手段显得尤为重要,立法必须对此加以关注并予以回应。但这并不是一个容易解决的问题。立法如何超越传统上对物理风险规制的局限,进入科技伦理治理的层次,运用伦理原则和标准来对人工智能技术的运用加以治理,推动人工智能满足对尊严和权利、正义和责任、自由与多样性等价值的追求,是一个值得考虑的问题。具体而言,立法对于人工智能伦理进行治理,主要存在如下几方面的困难。
第一,对人工智能技术进行伦理治理,是一种从“下游”科技使用行为迈向上游科技研发行为的治理方式。由此导致的极大的不确定性,与科技伦理治理需要评价科技的社会性影响之要求存在根本上的矛盾。人工智能作为一种先进技术,广泛地嵌入社会机制与政治安排之中,然而社会对人工智能的使用方式又是处于持续变动中的。因此,很难通过预测来采取措施,因为这“需要一种能够准确考虑非常复杂变量的超级理性”,但在现实中,这样的“超级理性”是不存在的。
第二,对人工智能技术进行伦理治理,指向了科学技术的社会性影响方面,这必将牵涉出非常广泛的考虑维度,是一种开放维度的考虑。除了传统上对于污染、人身安全等物理性、可视化的风险的考虑外,科技伦理治理还需要关注人的尊严、自主、隐私、平等与非歧视、利益共享等更为广泛的维度。而这个维度是开放的,难以抽象出可以普遍适用的、稳定的判断规律,也给人工智能之伦理治理造成了极大的困难。
第三,伦理立场具有多元性与变动性,其基于一定的道德观念,而在当下社会,道德观念是多元而难以统一的。在伦理议题下,观点之分歧从基础规范层次或者说原则层次深入到了价值判断之领域。例如,人工智能使决策自动化成为可能,但这也带来了对于人之主体性和决策正义、公平的疑虑,本质上来说,这是一种技术进步、决策效率与人之尊严和权利之间的冲突。这些分歧无法用知识的增进来加以解决或视为已经解决,因此法律必须直面这种价值上的冲突,作出其自身的判断。立法如何采取一种恰当的方式介入,是一个难题。
此外,在人工智能伦理问题上,企业对其使用人工智能技术过程中所产生的伦理问题应当负有责任,此为其社会责任的一环。如何促进这一社会责任落实,使企业在人工智能研发、测试、合作、部署、更新等全过程中履行科技伦理审查的义务,并对企业之行为是否符合科技伦理进行监管,是人工智能立法的另一重点与难点。
四、人工智能的立法展望
(一)人工智能立法的规范对象
开展人工智能立法,首要的一个问题就是明确立法所要规范的对象是什么。顾名思义,人工智能立法,即为面向人工智能开展的立法,从人工智能法之法律定位来说,其应当是规制与促进人工智能技术及其相关活动之法律规范。
但是,什么是人工智能,仍然没有一个为所有人普遍接受的定义。考察域外之观点,欧盟之《人工智能法案》将人工智能的定义缩小为“机器学习或基于逻辑和知识的系统”,明确了人工智能系统与传统计算机系统的边界,同时其还于第4条增加了“实施细则”,以便后续立法提案添加与人工智能系统定义相关的技术要素,确保人工智能系统定义的灵活性与时效性。美国学者则将人工智能归结为“研究人类智能行为规律(比如学习、计算、推理、思考、规划等),构造具有一定智慧能力的人工系统”。而在我国,立法上同样不存在一个较为明确的对人工智能的定义,仅有一个国家标准在技术层面上提出,人工智能是“利用计算机或其控制的设备,通过感知环境、获取知识、推导演绎等方法,对人类智能的模拟、延伸或扩展”。特别的,针对人工智能技术中的生成式人工智能技术,2023年颁布的《生成式人工智能服务管理暂行办法》给出了明确的定义——“具有文本、图片、音频、视频等内容生成能力的模型及相关技术”。而在学理上,学者们对于人工智能之定义的讨论也从未停止,众说纷纭。
综合来看,应当认识到,正如有学者所指出的,人工智能技术处于不断更新、发展之中,人工智能科技活动极其复杂。其作为当代最具前沿性的表征科技的实践活动,非但不具有相对确定、相对稳定的特点,反而从内到外都呈现出极其不确定性和动态变化的特点。因此,难以针对人工智能给出一个固定且明确的定义。但这并不意味着不能对人工智能技术进行描述。正如有学者所说的,从本质上而言,任何立法的规范对象都应该说是指向特定社会活动,科技本身不会成为法律上的规范对象,真正需要规范的是科技活动及其产生的社会问题。人工智能立法也不例外。因此,与其从科技层面通过对其技术原理的总结而对其进行定义,从而陷入信息科学、控制科学、神经科学等学科深奥的基础理论探讨之中,不如从人工智能活动与其特征入手,总结其需要被法律所规制的要素与特征,从法律意义上限定人工智能技术及其活动的范围。因此,人工智能应当是依托于数据集合的,具有自身的一定的算法,并通过该算法自主对数据进行深度学习,从而与外界交互或完成一定行为。李对于具备此种要素的技术进行的活动,应当可以纳入人工智能立法的规制范围。
(二)人工智能立法的立法原则
1、安全与发展并重原则
人工智能在经济发展、社会进步和全球治理等领域产生了重大而深远的影响。然而,科学技术是一把双刃剑,既能造福社会和人民,也可能被一些人利用来损害公共利益和民众利益。因此,在积极推动人工智能进一步发展的同时,人工智能安全问题也必须得到重视。安全是人工智能发展的底线,在进行人工智能立法时,要贯彻总体国家安全观,保障网络安全、数据安全,保护个人信息安全,促进人工智能技术向善。
同时,也应当看到,人工智能属于新兴的技术产业,相关技术处在不断开拓创新的摸索发展阶段。人工智能作为未来维护国家安全、提高国家竞争力的重要技术手段,世界主要国家与经济体均对此加大投入,在人工智能领域争取领导性地位已成为基本态势。而我国与欧美发达国家相比,在人工智能技术的发展方面存在诸多短板,如核心技术存在不足、专业人才缺乏等,现阶段正是我国人工智能实现快速发展、追赶世界顶尖水平的关键阶段。因此,立法上不仅需要加强对人工智能行业的规范,更需要着重强调鼓励技术创新和积极营造良好的市场大环境,促进人工智能技术与产业的发展和繁荣,在做好风险防范的前提下更好地推进人工智能领域的大踏步发展,以实现国务院《新一代人工智能发展规划》中提出的到2030年在人工智能领域达到世界领先水平的发展目标。具体而言,人工智能立法应在防范相关安全风险、保障个体权利的同时,注重预留相关产业发展空间,以立法激励技术创新、抢占人工智能先发优势,做到兼顾安全与发展,实现立法的宽严相济。
2、自主与开放兼顾原则
习近平总书记强调,“自主创新不是闭门造车,不是单打独斗,不是排斥学习先进,不是把自己封闭于世界之外。我们要更加积极地开展国际科技交流合作,用好国际国内两种科技资源”。这同样适用于人工智能发展与规制:既不能故步自封,限制对国际先进技术与治理经验的学习与引进,也不能不加甄别,一味地奉行“拿来主义”,而是应分清其可靠性与可利用程度,有选择有层次地引进,从而高效利用国内和国际两种资源,实现自主创新和开放创新的有机结合。
在人工智能技术的发展中,要坚持、鼓励人工智能技术的自主创新,自力更生、自主发展,以确保人工智能领域的关键核心技术牢牢掌握在自己的手里,在国际竞争和技术发展中把握主动权。同时,也要坚持开放创新的理念,放眼全球、学习先进,向世界学习先进技术,吸收国际先进经验,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则的制定。
在立法上,也要做到借鉴域外经验,形成本土规则。人工智能、数字化领域的发展是国际社会共同的趋势,欧盟、美国等均已在人工智能立法领域有所探索。例如,欧盟通过对个人数据权利的严格保护,形成了对人工智能的源头规制模式。相较欧盟,美国在数字立法尤其是人工智能领域的立法上相对谨慎。一方面积极采取措施,规范人工智能领域的发展,并且为人工智能的发展营造良好的环境;另一方面,在人工智能领域存在诸多理论和伦理争议的当下,不急于推出新的法案,而是依靠行政机关的灵活处置和法院的个案司法判断来掌控数字经济时代下人工智能领域的规范和走向。对此,我国人工智能立法可以适当借鉴,吸收域外立法经验,学习国际先进经验,博采众长,合理借鉴多数司法管辖区的训练数据治理等监管要求,结合我国实际形成符合我国实践要求的人工智能法律体系。
3、政府与市场相协调原则
在人工智能立法上,还需要处理好政府与市场的关系。不可否认,在我国人工智能的发展过程中,政府起到了非常重要的作用,从中央的《新一代人工智能发展规划》,到地方对人工智能发展的鼓励政策与发展规划,极大地促进了我国人工智能技术的提升与人工智能产业的发展。但是,我国人工智能的发展,不能仅仅依靠政府的单向推动,还应充分发挥市场的作用。健全技术创新市场导向机制,发挥市场对技术研发方向、路线选择、要素价格、各类创新要素配置的导向作用。
因此,在人工智能立法中,要注意厘清政府与市场的角色,通过立法充分保障市场主体的自主权,发挥其积极性。政府在人工智能发展领域的主要角色是承担重大、尖端和基础性的工作,加大对高精尖技术与基础设施建设方面的投入。因此,需要加快推动政府职能转变,使政府成为组织者和服务者,加大对人工智能领域的政策支持,大力促进科技成果的转移和转化。总的来说,在人工智能立法中,要坚持政府与市场相协调原则,确保政府与市场之间形成良性互动和有机合作,以共同营造健康良好的人工智能发展环境。
(三)人工智能立法的主要路径
1、由重点立法走向统一立法
现下,我国人工智能领域相关规范依技术内容的不同,散见于各行政部门管理规定之中,立法呈现分散化、领域化特点,且规范层级相对较低。我国现行《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等规范均体现了针对性立法、敏捷治理的思路,即针对特定类型算法服务或应用制定规范。采取行业规制的方式能使监管部门迅速回应算法与人工智能在特定领域、行业引发的问题,实现敏捷治理、精准治理。
然而,尽管上述法规相互衔接,能够体现监管思路的延续性,但通用型人工智能将迅速普及,其应用也将快速多样化,“点对点”的监管可能会“目不暇接”而“疲于应对”。人工智能技术不断发展,需要立法的及时跟进。人工智能的立法不仅仅是一个法律问题,更涵盖了对人工智能本身的认识问题、社会伦理问题以及数据和算法等技术问题。这就需要从整体上进行宏观规划,逐步推动人工智能立法由重点立法走向统一立法。对于尚不成熟的事项或是人工智能实践中出现的新因素、新活动,可以对该问题进行特别立法,及时规制;在总结各特定领域、行业立法的基础上,形成人工智能治理的一般规则,有计划、分步骤地积极稳妥推进,由点到面地进行统一的人工智能立法,逐步推动人工智能立法的体系化进程。制定关于人工智能的专门性法律,能有效应对相关管理规定零散化、局部化,有利于推进人工智能法律规范体系化,解决新兴技术面世后的立法滞后问题,为人工智能领域的法律规制提供明晰的规范依据,同时也有助于相关各方整体、全面、准确把握国家针对人工智能发展的总体思路,以此形成合力,从而提升人工智能技术与产业发展的整体性。
2、跨领域、跨行业立法
人工智能和数字化带来的很多法律问题属于跨领域问题,涉及各个行业的技术标准、国家安全、信息安全、伦理道德等。因此,就立法而言,以人工智能为核心的数字化时代的法律制度设计,必须综合考虑社会现实以及技术本身等多个领域,需要召集各个行业的专家、法律专家和社会学者共同研究论证,并具备一定程度的概括性与兼容性。这与传统立法思维的稳定性和专项性背道而驰,因此数字化背景下的立法将成为我国法制史上的重大变革之一。因此,人工智能领域立法应当一定程度地摈弃传统意义上单一的法律保护思维,将立法纳入更广阔的社会经济背景中,结合各行各业的不同需求,统筹核心技术和全国经济的宏观脉络,将立法作为各行各业数字化、人工智能化大背景下的指南针,引领技术和经济的发展。
3、构建中央到地方的多层级的人工智能法律体系
对于人工智能立法,要充分发挥中央与地方两个积极性。在人工智能法律体系的构建上,要注重地方的立法与实践。一方面,可以允许地方立法先行先试,充分尊重地方根据实际情况的立法探索与实践,并在及时总结地方立法经验基础上,适时进行中央统一立法,实现科学立法。另一方面,地方性立法是中央立法的合理补充,其能结合本地实际情况和现阶段突出问题,对上位法的内容进行细化和优化,以充分满足实践需要。因此,纵向层面上,中央对于人工智能的统一立法不宜过细,主要任务为搭建人工智能治理的立法框架与规制原则,而将具体的执行性、操作性的规定留给地方根据实际进行探索,允许地方立法在法律体系框架内,通过地方性法规、政府规章乃至规范性文件与政策的形式,对本地区的人工智能治理与发展进行探索。
(四)人工智能立法的主要制度
1、以风险为核心的分类分级监管制度
风险分级是人工智能立法的重要组成部分,针对不同风险等级的人工智能服务或产品,应采取不同程度的监管措施。欧盟委员会发布的人工智能法案即采取了四级风险分级的方法,包括不可接受的风险、高风险、有限风险和最低风险,根据风险级别的不同,对人工智能系统采取不同的监管措施。其中,欧盟法案明确了不可接受的风险的情形,并明令予以禁止;同时,欧盟法案对具有高风险的人工智能产品和服务实施上游治理防范,规定了严格的前置审查程序和履行合规义务;对于有限风险和最低风险的人工智能系统,欧盟法案没有设置前置审查程序,仅以透明度原则等进行规制。
我国目前规范举措针对不同技术内容进行专门化管理,专项规定的方式具有针对性、细节化特点,却存在无法涵括全部情形的缺陷。因此,在我国统一的人工智能立法中,也可适当借鉴欧盟的做法,采取以风险为核心的分级分类管控机制,依照不同人工智能安全风险进行分级管理,或依照不同技术方向进行全面概括,以避免重复立法,节约立法成本,提高立法效率。
2、隐私保护与数据合规制度
数据作为人工智能的基础性要素,对其进行规制可以从根源上促进人工智能技术之合法运用。具体而言,需要做到以下几点。
第一,确保所使用的数据合法合规。人工智能技术是建立在对海量数据进行训练的基础之上的,因此需要确保提供给人工智能进行分析的数据本身是合法合规的,否则将会导致人工智能活动从源头上违法。《生成式人工智能服务管理暂行办法》第7条即规定,生成式人工智能服务提供者开展预训练、优化训练等训练数据处理活动,应使用具有合法来源的数据和基础模型。对于涉及个人信息之数据,应当严格遵守“告知—同意”规则,或通过合法之数据交易途径获取。对于涉及知识产权之数据与算法,也应确保所使用之数据与算法具有知识产权上之合法性,建立数据与算法之知识产权合规制度。
第二,确保数据在使用全过程中的安全性。在人工智能立法中,需始终坚守数据和隐私保护的底线。对于数据之收集、使用的全过程,应确保其安全,防止数据被非法获取、滥用或泄露。立法应建立数据安全保护制度,根据数据的来源、性质和敏感程度,确定数据的所有者、管理者和使用者,规定数据的收集、存储、处理、传输、共享和销毁等行为的条件和限制。同时应在人工智能立法中完善个人信息保护的相关规定,在数据收集、使用和共享的各个环节注重对于个人信息的保护。此外,数据的海量增长,很有可能颠覆传统的数据保护机制,立法也必须探索新的路径,除上述方式外,立法也可以通过大数据合法交易等方式,保障“数据可用不可见,用途可控可计量”的安全使用。
第三,建立数据保护的法律责任制度。应明确数据保护的义务主体和权利主体,规定数据保护的义务和责任,设立数据保护的监管机构,建立数据保护的违法行为认定和处罚标准,提供数据保护的救济渠道和方式。
3、算法规制制度
对算法的规制应为人工智能立法的重头戏。对于人工智能算法进行治理,建立算法规制制度,主要可以分为两项具体制度。
第一,算法透明度制度。所谓算法的透明度,主要是指在人工智能产品与服务中,其数据收集、算法设计和决策过程应当具有的可解释性和可理解性。强调算法的可解释性与可理解性,就赋予了人工智能的设计者、开发者、使用者如实记录或披露设计、开发、使用人工智能具体情况的义务。具体而言,透明度制度在立法上应有如下几点表现。首先,提升系统的透明度。长期以来,算法系统因其不透明性而备受批判,被冠以“黑箱”之名。提升算法的透明度就意味着用户和相关利益者能够理解算法是如何工作的,有助于用户了解算法的作用和限制,从而增强对算法决策结果的信任。此外,更为重要的一点是,算法透明也是防范算法偏见、算法歧视和算法操纵的一项重要手段。其次,提升决策的透明度。算法决策的不公正不仅影响个体获取关键机会的资格,还可能对长久被边缘化的群体造成不利影响,同时在社会层面,算法决策不公正可能会对社会的共同价值产生侵蚀效应。《个人信息保护法》第24条第1款即规定:“个人信息处理者利用个人信息进行自动化决策,应当保障决策的透明度和结果公平、公正。”人工智能所作出的决策之过程和结果应当具有可解释性,特别是当涉及系统作出对个人权益有重大影响的决定时,用户应当能够了解为何系统作出了特定的决策或生成了特定的结果,有哪些因素被纳入考量,以此来建立可信赖的交互关系。
第二,算法备案制度。国家网信办等九部门于2021年联合发布的《关于加强互联网信息服务算法综合治理的指导意见》奠定了我国开展算法治理工作的基础。截止到2023年6月,已经有四批次合计264个互联网信息服务算法、41个深度合成算法完成备案并公示;此外,在一些场景下,完成算法备案也成为应用上架的先决条件。通过算法备案制度,有关部门可以对企事业单位算法治理架构与算法本身的安全架构进行管控,这也符合执法监管的一贯思路。
4、科技伦理审查制度
开展人工智能立法,还要重视建立科技伦理审查制度。近些年来,随着人工智能的运用场景进一步丰富与人工智能产业的繁荣发展,实践中也逐渐形成了人工智能伦理道德的若干准则。在此基础之上,不断丰富、完善其内涵,并在这些准则的基础上形成人工智能科技伦理理论、规范和监管体系,以保障人工智能技术可控、可靠,将是人工智能立法必要的一环。
从2022年3月中共中央办公厅与国务院办公厅发布《关于加强科技伦理治理的意见》,到2023年4月科技部等十部门联合发布《科技伦理审查办法(试行)》,我国科技伦理审查制度正式落地并初具雏形。在未来的人工智能立法中,应当对该制度进行总结与发展,进一步完善科技伦理审查的制度框架,强化、细化企业的科技伦理审查义务,并将科技伦理审查制度贯穿于人工智能研发、测试、合作、部署、更新等过程。
具体而言,进一步的完善措施可以从两个方面开展。一方面,可以对科技伦理评估范围予以扩张。这里的科技伦理评估是指,在开展科学研究和技术开发项目前,相关主体应当按照法律的程序要求对所涉项目的价值影响与利益冲突开展伦理审查,这是在科技创新的上游阶段执行伦理原则的重要程序节点。通过扩大评估范围,将人工智能技术纳入科技伦理评估的范围,可以更全面地考虑其伦理影响,确保人工智能技术的发展符合道德和社会价值观。另一方面,推动大型科技企业加强伦理审查组织化保障。这意味着不仅需要将程序性管理标准真正内化为企业管理机制的一部分,还需要对企业课以相应的“组织化保障义务”,这包括成立专门组织、建立相应的内部治理架构,来具体负责相关管理制度的落实。通过这种方式,可以使企业更有动力与能力来主动地对技术发展、应用中的伦理问题予以监控与充分考虑。
同时,还应调整原有的技术体系和治理体系,使其符合科技伦理审查的要求,并使科技伦理审查制度与科技风险监管责任相匹配,以实现监管与责任的统一,从而使人工智能活动中科技伦理的要求落到实处。
