欧盟《人工智能法》中的风险分类、风险分级以及对生成式人工智能进行规制的系列问题说明,这一立法在人工智能立法的一般原理与制度设计上都存在若干问题。通过分析欧盟《人工智能法》,可以对人工智能风险规制的法理进行反思。
(一)人工智能风险规制的原理
在原理层面,应坚持对人工智能风险进行场景化规制。所谓场景化规制,指的是将人工智能风险还原到具体的行业、整体产品与已有的法律关系中,利用已有的行业和领域性风险监管以及现有的法律关系对其进行监管。与之相对,欧盟《人工智能法》虽然在一定程度上认识到了人工智能风险的场景性,但其仍然将人工智能系统风险单独剥离出来,试图在原有的行业、产品与法律关系之外对其单独规制。这种做法虽然可以维持欧盟《人工智能法》在形式上的一致性与完美性,但却与人工智能风险规制的基本原理不符。首先,场景化规制有利于人们对人工智能风险进行准确判断。风险本身就与具体场景密不可分,对于某一产品或决策,其风险取决于其事故可能侵害权益的类型、严重性、可逆性、发生概率、影响人群的特征、影响人群的数量等多重因素。而且,即使某一产品或决策被确定为高风险,也并不意味着应用于产品或决策的人工智能也具有高风险性。例如自动驾驶车辆具有相对较高的风险,但当人工智能系统应用在车辆倒车或慢速行驶的场景中,其风险程度就不会太高;而当人工智能系统应用在车辆的语音声控系统中,其风险程度就更低。欧盟《人工智能法》预设了某些产品与某些领域的人工智能必然存在较高风险。但当人工智能系统被用于这类产品或这些领域决策的非关键部分,或者被用于辅助性决策时,就未必具有高风险性。其次,场景化规制有利于法律采取更为合理的风险规制方式。不同场景下人工智能的应用涉及不同法益、不同的行业性或领域性法律。例如商业场景中的人工智能应用主要涉及侵害消费者权益的风险,与消费者权益保护法、个人信息保护法等法律密切相关;劳动用工中的人工智能应用主要涉及侵害劳动者权益的风险,与劳动法等法律密切相关。而公权力机关与公共部门对人工智能的应用则涉及侵害公共利益与公民基本权利,与公法密切相关。对于市场环境中的人工智能风险,社会的接受度往往相对较高,对于不同风险偏好的主体需求,市场往往可以自发地予以满足。相反,对于公权力机关对人工智能的应用所导致的风险,社会的接受度可能相对较低,因为公权力机关应用人工智能所导致的风险可能危及公民基本权利、公共安全、公共威信,而且这一场景下的人工智能风险调节主要靠公众监督、公权力机构设立试点与自我纠错来完成,难以通过市场机制进行调节。如果我国效仿欧盟《人工智能法》,对人工智能风险进行不区分场景的风险评估与规制,就会带来规制过严或过松的问题。最后,场景化规制有利于法律设置合理的监管机构与监管体系。对于不同场景与行业的风险,其主管部门往往已经积累了大量经验,且拥有相对充足的执法资源。例如市场监管部门对于侵害消费者权益风险的规制更具专业性;人社部门对于侵犯劳动者权益风险的规制更具有专业性。人工智能在不同场景中的应用并未改变这一情形。事实上,即使是欧盟《人工智能法》,也在很大程度上依赖已有的不同行业与部门的风险评估机制,例如欧盟已有的各类标准化组织和第三方评估机构的评估机制、人工智能提供者的自我评估机制。欧盟《人工智能法》虽然设立了“人工智能委员会”,但这一机构主要为了促进和协调欧盟各国监管机构和欧盟委员会对人工智能的监管而设立,并不承担人工智能风险评估的具体任务。而欧盟各国在进行高风险人工智能的风险评估时,也在涉及产品类风险时依赖“被通知机构”的评估,在涉及独立人工智能系统时主要依赖其提供者的自我评估。欧盟《人工智能法》的这些规定,说明其监管机构与监管体系仍是高度依赖场景的。首先,在具体制度层面,应将人工智能的应用者或其构成的产品作为风险规制的对象,而非对人工智能系统本身或其提供者进行规制。人工智能风险的场景化特征使得其性质更接近于辅助决策系统或难以被标准化分割的产品部分,而不是标准化的产品或可被标准化分割的产品零件。对于被标准化的产品或产品零部件,例如汽车轮胎,法律可对其提供者进行直接规制,因为这种规制可以确保商场为市场提供标准化或“模块化”的合格产品,减少市场信息成本。但对于辅助决策系统或难以标准化分割的产品部分,例如对于某一产品中的软件系统、某一产品的组成部分、某个组织的内部人员,法律一般会对整体产品或整体组织施加责任,而非对作为产品或组织构成部分的内部软件系统或人员施加责任。之所以采取这种规制方式,是因为此类软件系统、组成部分或人员具有高度场景化的特征,它们与其所属的产品或组织融为一体,此时再对其进行单独规制并无意义。相反,如果以产品或组织为抓手,则可以有效地对风险进行规制。人工智能的情形正是如此。由于人工智能系统与具体产品或决策高度融合,此时要求人工智能应用者承担主体责任,更能有效与合理地分配风险规制的责任。当然,这并不是说人工智能提供者就不用承担责任。法律应对人工智能造成的国家安全等风险进行监管,这可以激励人工智能提供者进行自我规制、提供更为安全和高性能的人工智能服务。此外,人工智能提供者还受到市场合同与侵权制度的约束。人工智能的应用者为了避免相关风险,必然会要求人工智能提供者控制相关风险。当人工智能应用者发现人工智能系统存在不符合约定的风险隐患,或者其因为人工智能系统而遭受罚款或侵权索赔时,人工智能应用者完全可以向人工智能提供者追责。其次,应区分市场主体与公权力机构对人工智能的应用,对二者采取不同的规制框架。对于市场主体应用人工智能所带来的风险,其风险规制应当聚焦公共性风险或社会不可接受的风险;对于其他风险,则应主要通过企业自我规制来控制。这是因为,市场背景下不同主体有不同的风险偏好,在非公共性风险或社会可接受的风险范围内,法律允许市场中存在风险程度不一但相对可控的产品或决策,可以为市场提供不同种类、不同价格的商品或服务,从而满足不同群体的需求。用经济学的术语来说,就是产品或服务的多样性可以实现社会福利的最大化。而公权力机构对人工智能的应用则涉及公平、公正、民主参与、政府公信力等公共性价值,在应用或部署人工智能系统之前,公权力机构应当确保此类价值不会受到侵害。对于收益与侵害风险不确定的人工智能,公权力机构应通过设立地区或分支试点来适用该类人工智能,以避免大规模地适用进而造成不可逆的侵害。最后,对于市场化的人工智能应用,应注重通过侵权法对其风险进行事后司法规制,避免过多的事前行政规制。这是因为人工智能风险已然引起了非理性担忧和以主观感知风险为基础的行政规制。将人工智能作为独立风险,会导致风险规制偏离实际风险,从而对人工智能的开发与应用增加不必要的规制。相较之下,通过侵权法进行事后规制是更为合理的风险规制方案。通过侵权法的事后规制不仅可以为人工智能的市场化应用提供发展与试错空间,而且可以对具体场景中的风险进行更为准确的判断。正如斯蒂文·萨维尔在其经典研究中所述,当私人主体比规制主体更容易掌握关于风险的知识时,侵权法的适用应当优先于规制法,因为侵权法可以对风险进行个案判断。
从全球范围看,上述进路已经为欧盟之外的很多国家和地区所采用。以新加坡的《模范人工智能治理框架》为例,该框架初稿于2019年1月在瑞士达沃斯世界经济论坛上发布,并于2020年进行了修改,被视为全球人工智能治理最早的制度之一。这一制度将人工智能的部署者作为其规制中心,首先规定了人工智能部署者的内部治理结构与措施,要求在人工智能部署所涉及的各个阶段,必须安排相应的人员或成立相关部门,并且采取必要措施来“纳入与算法决策相关的价值观、风险和责任”。其次,这一制度根据人类参与人工智能增强决策的程度,要求部署者对不同程度的风险(以伤害的严重程度乘以伤害的概率来计算风险)进行不同类型的人工介入。最后,这一制度要求人工智能部署者注意与利益相关者进行互动和沟通,消除利益相关者的疑虑、获取其信任。对于人工智能的提供者和开发者,这一框架仅规定了开发、选择和维护等人工智能模型运营管理中提供者和开发者需要注意的风险,例如保证数据质量和避免数据歧视。同时,新加坡的《模范人工智能治理框架》不具有强制性的法律效力,其规定的风险预防措施都仅有推荐性与倡导性。这就使其制度类似于本文提到的企业自我规制,避免了对人工智能施加过多的事前行政规制。美国的人工智能治理也具有类似特征。目前,美国人工智能治理最主要的制度是美国商务部发布的《人工智能风险管理框架》与美国总统发布的若干行政命令。其中,美国《人工智能风险管理框架》虽然对人工智能的提供者与应用者都进行了规定,但这一框架不具有法律约束力,其目的“旨在提供一个灵活、结构化和可衡量的过程,使得在整个人工智能生命周期中,人们能够前瞻性和持续性地应对人工智能风险”。而相关的行政命令虽然有一定的法定约束力,但其主要针对美国的规制机构。例如特朗普政府发布的《保持美国在人工智能领域的领导地位》(Maintaining American Leadership in Artificial Intelligence)和《促进联邦政府使用值得信赖的人工智能》(Promoting the Use of Trustworthy Artificial Intelligence in the Federal Government)的主要目标是要求美国规制机构采取相关措施,促进人工智能发展。拜登政府发布的《安全、可靠和值得信赖地开发和使用人工智能》(On the Safe , Secure , and Trustworthy Development and Use of Artificial Intelligence)的行政命令主要是指示美国联邦规制机构在刑事司法、教育、医疗保健、住房和劳工等领域制定标准与规范。对于市场化运作的人工智能,美国《安全、可靠和值得信赖地开发和使用人工智能》仅对涉及国家安全的人工智能进行了风险规制。在美国的宪法体制下,除了涉及国家安全等少数总统权限内的领域以外,由美国总统发布的行政命令无权对市场化运作的人工智能企业进行直接规制。
欧盟在一定程度上注意到了人工智能司法规制的重要性。除了欧盟成员国的侵权法,欧盟还制定与修改了《人工智能责任指令》(AI Liability Directive , AILD)与上文提到的《产品责任指令》,对人工智能侵权问题进行了详细规定。其中《人工智能责任指令》对人工智能侵权中的证据披露与举证责任进行了特殊规定,《产品责任指令》则将软件也纳入产品范围,从而将人工智能侵权纳入产品责任的范围。这些制度足以对人工智能进行充分与合理的规制。不过,目前欧盟《人工智能法》对人工智能进行了过度的风险预防,而欧盟《人工智能责任指令》中规定的特殊侵权制度又主要以违反《人工智能法》为前提,这就导致了欧盟的人工智能不仅会受到过多的事前规制,而且相关主体也将承担很多不合理的侵权责任。
