一、问题的提出
二、人工智能应用责任的基本定位
(一)人工智能应用责任的界定
(二)人工智能应用责任的立法路径
三、人工智能应用责任的主体识别
(一)人工智能应用责任主体的识别框架
(二)人工智能应用责任主体的具体识别
四、人工智能应用责任的类型化归责
(一)人工智能应用责任类型化归责的证成
(二)人工智能应用责任类型化归责的展开
五、结语
应用责任可以同时适用于人工智能产品和服务,全方位解决人工智能部署应用端的风险致害责任,是未来我国《人工智能法》需要重点关注的课题。在明确《人工智能法》三分主体架构的基础上,按照救济、一站式与风险原则,不宜将开发者作为人工智能应用责任的第一责任主体,至于提供者、使用者则需要区分人工智能产品和服务分别界定。整齐划一的归责思路缺乏灵活性,应当引入基于风险的类型化思维,不仅契合侵权责任归责的一般原理,也是贯彻人工智能分级治理的理念。对于高风险人工智能,确立无过错责任有助于充分救济受害人,公平分配人工智能技术的风险,避免归责体系的内在冲突;对于有限风险与低风险人工智能,应当分别适用过错推定责任与过错责任,以实现风险与归责的动态平衡。
关键词:《人工智能法》;应用责任;提供者;使用者;无过错责任
近年来,以AlphaGo、自动驾驶汽车、生成式人工智能等为代表的新一轮人工智能技术应用不断涌现,在为社会经济发展赋能的同时,也对现有的法律秩序提出了挑战,如何通过立法对人工智能进行治理成为各国亟待应对的重要课题。其中,人工智能的侵权责任问题尤为重要,受到理论和实务界的高度关注。
作为全球人工智能立法最活跃的地区,欧盟高度重视人工智能的侵权责任问题。欧盟一项调查显示,责任问题是企业部署人工智能的三大障碍之一,对于企业运营构成重大挑战。早在2017年,欧洲议会发布《机器人技术民事法律规则》提案,针对人工智能的侵权责任问题提出了一系列设想。2018年,欧盟委员会专门成立了责任和新技术专家组(Expert Group on Liability and New Technologies),决定同时开展欧盟《产品责任指令》的更新与人工智能侵权责任的集中立法研究。2022年,欧盟委员会通过了《关于使非合同性民事责任规则适应人工智能的指令(人工智能责任指令)的提案》(以下简称“《人工智能责任指令》”)和《关于缺陷产品责任的指令的提案》(以下简称“新《产品责任指令》”),对人工智能的侵权责任问题做了全面回应。
国内层面,早在2017年,国务院《新一轮人工智能发展规划》就明确提出:“开展与人工智能应用相关的民事与刑事责任确认、隐私和产权保护、信息安全利用等法律问题研究,建立追溯和问责制度,明确人工智能法律主体以及相关权利、义务和责任等。”随后,在民法典编纂过程中,有关自动驾驶汽车等人工智能的侵权责任问题也受到了立法专家的关注,但由于当时人工智能的发展应用尚不成熟,最终出台的《民法典》并未对此作出正面回应。2023年6月,国务院办公厅印发《国务院2023年度立法工作计划》,明确提出“预备提请全国人大常委会审议人工智能法草案”,《国务院2024年度立法工作计划》再次明确这一点。至此,我国迎来了人工智能集中立法的新契机,一部统一的、综合的“人工智能法”正呼之欲出。此种背景下,探讨人工智能侵权责任的立法问题可谓正当其时。
人工智能侵权责任问题大体可以分为产品责任与应用责任两个板块,前者针对人工智能生产研发端的风险损害,解决的是生产者一方的责任承担问题,后者聚焦人工智能部署应用端的风险损害,解决的是提供者、使用者一方的责任承担问题,两者相互补充。考虑到学界有关人工智能产品责任的讨论已经比较深入,对于人工智能产品责任的适用性基本不存在大的争议,相关的讨论主要集中于产品的范围、产品缺陷与因果关系的认定、免责事由的配置等具体问题。与此同时,学界对于人工智能应用责任问题尚缺乏体系化思考,相关争议非常大。此外,人工智能产品责任通常由《民法典》与《产品质量法》调整更新,而应用责任则很有可能通过《人工智能法》予以明确。因此,相较于产品责任,人工智能应用责任更应成为未来《人工智能法》关注的重点内容。
然而,人工智能作为一种新兴科技,具有自主性、自适应性、不透明性、复杂性等特点,对于现有的侵权责任规则提出了诸多挑战。与此同时,从自动驾驶、人脸识别、深度合成,到推荐算法、生成式人工智能、人形机器人,人工智能的概念似乎无所不包,既可能是通用型人工智能,也可能是专用型人工智能,既可能是一种机器,也可能是一种算法,既可能以产品形态呈现,也可能以服务形式提供。加之人工智能上下游产业链异常庞杂,需要集成的技术、软件、配件、服务等呈指数级增长,并且各种模型开源、衍生开发、个人API层出不穷。这意味着人工智能引起损害的危险源具有多元性、开放性,承担责任的主体也非常多样。这些都加剧了人工智能应用责任一般性立法的难度。基于此,本文针对人工智能应用责任展开讨论,重点围绕主体识别与归责设计两个基本问题展开,以期为我国《人工智能法》的制定提供参考。
面对人工智能带来的侵权责任挑战,许多学者都主张适用产品责任。产品责任关注的是人工智能产品缺陷引发的损害赔偿问题,对于解决人工智能侵权责任具有基础性作用。然而,产品责任并不能解决人工智能引发的全部侵权责任问题,仍然需要其他责任规则的配合。这就为人工智能应用责任的引入提供了空间。相较于产品责任,应用责任主要解决相关主体在部署应用人工智能阶段引发的责任问题。对此,我们可以从如下方面来理解人工智能应用责任。
首先,客体范围。人工智能技术应用的呈现形态是多样的,既可能以产品形式出现,也可能以服务形式出现,产品责任无法全面涵盖。欧盟《人工智能法》指出:“人工智能系统可以独立使用,也可以作为产品的组成部分。同时,人工智能系统还可以作为中介服务或中介服务的部分提供,如在线搜索引擎、在线聊天机器人等”。国内方面,2022年《互联网信息服务深度合成管理规定》与2023年《生成式人工智能服务管理暂行办法》,明确将深度合成、生成式人工智能界定为一种服务。传统产品责任法强调区分产品与服务,服务被排除在产品责任之外。对于人工智能来说,产品责任只能解决人工智能产品缺陷致害责任问题,不能解决人工智能产品应用不当以及人工智能服务产生的侵权责任问题。对此,人工智能应用责任的引入,可以很好地弥补产品责任的调整空白,在适用范围上更广。
其次,主体类型。产品责任解决的是产品研发生产环节相关主体的责任问题,主要以生产者为代表,辅之以销售者、准生产者、零部件提供者等。与此不同的是,应用责任解决的是人工智能部署应用环节相关主体的责任问题,与产品责任的主体大体是相互补足的。欧盟《人工智能责任指令影响评估报告》指出:“产品责任仅涵盖人工智能系统造成的部分损害,具体指向有缺陷的产品造成的损害,需要其他责任规则(other liability rules)来补偿因服务或任何产品使用而造成的损害。产品责任涵盖了作为责任人的生产者,而其他责任规则则涵盖了其他行为人(如人工智能系统的操作者/用户)造成的损害”。这里的其他责任规则,正是人工智能应用责任意欲统合整理的对象。当然,产品责任与应用责任的主体也可能存在重合,如人工智能产品的提供者、使用者同时构成生产者,此时需要协调两种责任的适用。
最后,责任基础。欧盟《机器人技术民事法律规则》很早就注意到了产品责任与应用责任的区分,指出“产品责任的现行法律框架,即产品生产者对故障负有责任,以及侵害行为的责任规则,即产品使用者对其致害的行为负有责任,可以适用于机器人或人工智能造成的损害”。换言之,产品责任解决的是人工智能研发生产端的风险责任问题,是一种“物”之故障风险的责任,仅适用于人工智能产品缺陷致害的情形。而应用责任解决的是人工智能部署应用端的风险责任问题,是一种“人”之行为风险的责任,可以同时适用于人工智能产品与服务应用引发的侵权问题。即使人工智能产品本身没有缺陷,也可能因应用不当产生损害。例如,一辆自动驾驶汽车造成交通事故,原因可能是因为使用人错误开启自动驾驶功能或者未履行及时接管义务引起的,此时无法适用产品责任。对于产品责任来说,“物”之缺陷故障是最为核心的要件,至于生产者是否存在过错并不重要,适用的是无过错责任。背后的逻辑是,生产者最了解产品的风险,通过将产品大规模投放市场获得巨大的利益,要求生产者承担产品责任可以督促其不断改进产品性能,同时他们也更有能力来分散风险。而应用责任关注的是“人”之行为的合理性,需要考虑相关主体的过错问题,以确保人工智能产品和服务得到合理的应用,归责原则方面更加多元。
近年来,学者对于人工智能立法存在不同观点。有学者认为,人工智能立法应当采取集中立法模式,制定一部《人工智能科技法》。有观点认为,人工智能集中立法难以完成,应当聚焦于不同应用场景的法律规制,采取“传统法律修正”的模式。有学者提出,中国应当有一部《人工智能法》来彰显立场,唯有如此才能够统筹协调并确立国家层面人工智能治理制度,真正实现立法先导,发挥法治在人工智能发展治理领域固根本、稳预期、利长远的基础性作用。有学者则认为,人工智能立法需要区分智能科技、智能要素、智能应用三个层次,即使制定了一部《人工智能法》,未来仍然需要从智能要素、智能应用层面出台针对性的法律。具体到人工智能应用责任问题上,也需要解决立法路径的选择问题。从理论上看,既可以通过修订《民法典》或者制定司法解释等传统路径来应对,也可以通过制定《人工智能法》或者《人工智能民事责任法》等新路径来解决。相比之下,通过制定《人工智能法》来解决人工智能应用责任更加合适。
一方面,《民法典》固然是解决人工智能应用责任的基础路径,但现有的侵权责任规则无法很好地适应人工智能的技术特征。根据欧盟《人工智能法》的定义,人工智能系统至少具有三种非常重要的能力:一是推理能力,指获得输出的过程,如预测、内容、建议或决策,也指人工智能系统从输入/数据中推导出模型和/或算法的能力;二是自主性,意味着它们的行动在一定程度上独立于人类的参与,具有在没有人类干预的情况下运行的能力;三是自我学习的能力,允许系统在使用过程中发生变化。推理能力让人工智能具有智慧属性,使得人工智能应用责任的主体识别成为难题;自主性意味着机器决策不断取代人类决策,加剧了行为人过错的判断难度,冲击着现有的归责原则;而自我学习能力源于深度学习、人工神经网络、大模型等技术,随之而来的是不透明性、不可预测性的增加,使得人工智能在应用中的致害行为难以被监测、识别,也让应用责任的认定变得更加困难。
此种背景下,只能考虑通过修订《民法典》来应对人工智能应用责任。然而,鉴于《民法典》刚颁布没多久,想要进行修订难度很大。与此同时,通过制定司法解释来解决人工智能应用责任也存在依据不足、层级不高的问题。司法解释的定位是对《民法典》相关规定的司法适用进行细化,强调符合立法的目的、原则和原意。而《民法典》并没有关于人工智能应用责任的系统规定,制定人工智能应用责任的司法解释并不合适。此外,当前我国迎来了制定一部《人工智能法》的宝贵契机,在推进《人工智能法》的大背景下,制定一部专门的《人工智能民事责任法》可能性不大,有浪费立法资源之嫌。基于此,通过《人工智能法》来回应人工智能应用责任具有制度优势。
另一方面,侵权责任规则本身就是人工智能风险治理的重要组成部分,是预防、管理人工智能风险的重要工具,规定在《人工智能法》中非常贴切,有助于规范人工智能发展的正确路径和方向。域外方面,欧盟一边出台《人工智能法》,另一边发布新《产品责任指令》与《人工智能责任指令》,为人工智能侵权责任提供了一套整体解决方案。虽然欧盟《人工智能法》并未涉及人工智能应用责任问题,但《人工智能责任指令》有关人工智能系统、高风险人工智能、提供者、部署者等概念,都需要以前者规定为准。因此,欧盟《人工智能法》与《人工智能责任指令》是一个硬币的两面。国内方面,自2023年以来,学界相继发布了两部人工智能法建议稿,一部是由中国社科院牵头的《人工智能示范法(专家建议稿)》,一部是由中国政法大学等共同起草的《人工智能法(学者建议稿)》,两者都针对人工智能应用责任作了规定,为未来《人工智能法》的制定提供了很好的参考样本。
人工智能产业链上的主体非常多样,一个核心问题是哪些主体需要承担应用责任。对此,人工智能应用责任主体的识别可以采取如下框架。
1.识别范围。应用责任解决的是人工智能部署应用阶段的风险损害赔偿问题,责任主体的范围是非常广泛的。例如,向市场提供人工智能产品或者服务的企业,为人工智能提供组件或者插件服务的提供商,使用人工智能产品或者服务的用户,以及侵入人工智能系统的第三方黑客,都可能影响人工智能产品的安全使用。显然,并非所有责任主体都需要借助《人工智能法》来解决,有的适用《民法典》的一般侵权责任即可。对此,欧盟《人工智能责任条例》指出:“成员国现行的基于过失的侵权法,在多数情况下为遭受黑客等第三人干扰造成的损害或其财产被第三人损害的人提供了充分的保护,因为干扰通常构成过错行为;只有在第三人无法追查或难以追查的情况下,才有必要制定其他责任规则。”从立法角度来看,既然需要借助《人工智能法》来规定人工智能应用责任,那么首先需要明确《人工智能法》中的主体架构。
域外方面,欧盟《人工智能法》采取了提供者(provider)与部署者(deployer)两分的主体架构,附带涉及授权代表(authorised representative)、进口商(importer)、分销商(distributor)、运营商(operator)等主体类型。在此基础上,欧盟新《产品责任指令》负责解决生产者、授权代表、进口商、分销商、运营商的产品责任问题,欧盟《人工智能责任指令》则主要解决提供者、部署者的应用责任问题。与此同时,2023年日本发布《人工智能运营商指南》草案,确立了开发者、提供者与使用者三种主体类型。
国内方面,比较有借鉴意义的是两部人工智能法建议稿。其中,《人工智能示范法(专家建议稿)》规定了研发者、提供者与使用者三类主体。在此基础上,《人工智能示范法(专家建议稿)》第70条重点明确了研发者、提供者的侵权责任问题,但未对使用者的责任做出安排。与此同时,《人工智能法(学者建议稿)》也采取了三分主体架构,即开发者、提供者与使用者。与《人工智能示范法(专家建议稿)》相比,《人工智能法(学者建议稿)》唯一的区别是用开发者替代研发者,目的是将纯粹的研究活动排除在外。在此基础上,《人工智能法(学者建议稿)》重点围绕提供者、使用者的侵权责任问题进行规定,但将开发者排除在责任主体之外。
考虑到本土用语的便利,也为了更好地凝聚共识,建议未来我国《人工智能法》沿用两部人工智能法建议稿的做法,采取“开发者-提供者-使用者”的主体架构,如此可以涵盖人工智能的全生命周期,实现对人工智能风险的闭环治理。事实上,虽然欧盟《人工智能法》明确将人工智能投入市场或者提供服务前的研发活动排除在调整范围之外,但对于人工智能开发提供一体化活动仍然是适用的。例如,欧盟《人工智能法》第3条有关提供者的定义,就明确提到“开发人工智能系统或通用人工智能模型”的表述。因此,欧盟《人工智能法》中的提供者本质上等于我国两部人工智能法建议稿中的开发者(研发者)加提供者,是涵盖开发阶段的广义提供者。至于欧盟《人工智能法》中的部署者,与我国两部人工智能法建议稿中的使用者基本是同一概念,都指使用人工智能系统的任何组织和个人。因此,欧盟《人工智能法》与我国两部人工智能法建议稿的主体结构本质上是一致的。
2.识别原则。在明确《人工智能法》三分主体架构的基础上,需要进一步识别哪些主体适合作为人工智能应用责任的主体。对此,可以采取如下识别原则。
第一,救济原则。人工智能应用责任的首要目的是救济受害人,至于损害发生的场合并不重要。欧盟《人工智能法》在界定部署者时,明确将“在个人的非职业活动中使用人工智能系统”的部署者排除在外。国内方面,《人工智能法(学者建议稿)》也有类似的做法,第95条规定“自然人因个人或者家庭事务使用人工智能的”不适用本法。笔者认为,人工智能造成的损害既可能发生在公共空间或者商业使用过程中,如企业提供生成式人工智能服务造成用户损害,也可能发生在个人或者家庭事务中,如私人使用自动驾驶汽车造成他人损害。对此,无论损害发生在何种情形,都需要回应受害人的救济需求。欧盟《人工智能与民事责任》报告就指出:“一项技术是在私人空间还是在公共空间运作,对于确定特定应用所产生的风险水平以及随后是否需要通过严格的赔偿责任进行监管,并不是最重要的。在私人环境中运作,也可能产生重大风险,进而需要特别干预。”此外,欧盟《人工智能法》与《人工智能法(学者建议稿)》的初衷在于试图免除自然人在个人或者家庭事务中使用人工智能的合规义务,而非排除其责任问题。
第二,一站式原则。面对开发者、提供者、使用者众多主体类型,一种常见的思路是多多益善,以便为受害人提供更多救济可能。对此,应当坚持一站式原则,明确人工智能应用责任的第一责任主体,而非一揽子地将各方都纳入责任主体之列。其一,确定第一责任主体可以方便受害人救济与纠纷解决,避免责任主体过多产生责任推诿、适用复杂等问题。实践中,人工智能应用活动致害的原因可能是多样的,简单地将开发者、提供者、使用者都纳入责任主体看似完美,但实际上会让事故原因的调查、纠纷的解决变得复杂,法院将被迫逐一审查每个主体的责任问题,徒增受害人救济的成本。其二,规定第一责任主体承担应用责任,也可以让人工智能产业链上的各方能够职责明确、轻装上阵,减少各方规避责任承担的博弈成本,更好地推动人工智能的应用普及。欧盟《人工智能与民事责任》报告就指出:“解决人工智能侵权责任的最好办法是根据一站式办法,事先为所有诉讼确定一个单一、明确和不容置疑的切入点,即明确第一责任主体。至于第一责任主体与其他责任主体之间的责任分担,可以留给定价机制、二次诉讼和合同协议。”
第三,风险原则。按照一站式原则,就需要确定开发者、提供者、使用者谁更适合作为第一责任主体。对此,从合理分配侵权责任的角度出发,应当坚持风险原则,即谁最能控制风险、分散风险,谁就应当成为人工智能应用责任的第一责任主体。具体来说,随着风险社会的来临,侵权法中的损害赔偿从最初在当事人之间分配损失,发展为向多个共同参与人乃至整个社会分散损失,出现了集体化的损失分担趋势。考虑到人工智能技术带来的巨大社会性风险,对于人工智能应用活动引发的损害分担问题,也需要从整个社会应对人工智能风险的视角进行观察,侵权责任的分配需要充当人工智能风险治理的重要制度工具。基于此,唯有将侵权责任配置给那些能够控制、分散人工智能应用风险的人,才能更好地预防、减少损害的发生,最大程度救济受害人,协同实现侵权责任法与人工智能法的目标。
当然,人工智能的应用风险可能是系统性、全域性的,开发者、提供者、使用者都可能处于风险的辐射范围,此时需要依照“风险控制为主、风险分散为辅”的标准,综合考察谁最适合作为第一责任主体。风险控制标准强调的是主体开启风险、管理风险的能力,贯彻责任自负原则,强调谁制造风险谁管理风险,是从损害预防的角度来分配责任,体现侵权责任法的矫正正义。风险分散标准关注的是主体分担责任的能力,是从损害救济的角度来分配责任,体现侵权责任法的分配正义。两者相比,风险控制标准更为关键,直接从前端影响人工智能损害的预防,同时风险分散标准具有相当的不确定性,与行为人的主观情况密切相关。欧盟《人工智能与民事责任》报告指出:“如果有一个以上的运营者,如一个前端运营者(front-end operator)和一个后端运营者(back-end operator),那么应当由对运营风险有更多控制的运营者承担责任。虽然控制(control)和利益(benefit)都是决定一个人是否有资格作为运营者的决定性因素,但利益往往很难量化,仅仅依靠利益标准来决定谁应承担责任将导致不确定性。”
从风险原则出发,开发者不宜作为人工智能应用责任的第一责任主体。因为开发者更多的是影响人工智能产品或者服务的开发端,适用产品责任更加合适。同时,开发阶段的人工智能产品或者服务通常限于内部,风险影响的范围相对有限,没有特别规制的必要。而一旦开发者将人工智能产品或者服务公开测试或者投入市场,那么开发者的身份就转变为提供者或者使用者,此时开发者需要以提供者或者使用者的身份承担侵权责任。至于提供者与使用者,都有可能影响人工智能部署应用端的风险控制与分散,考虑到人工智能应用场景的复杂性,需要区分人工智能产品和服务来具体分析。
1.人工智能产品应用责任的主体识别。传统产品一旦离开生产者进入市场流通,风险的控制基本依赖于消费者的行为。与之不同的是,人工智能产品具有软件定义、持续升级等特点,即使产品进入流通,生产者依然对产品的风险具有控制力。例如,甲公司将自己生产的一辆自动驾驶汽车出售给张三,此时甲公司为提供者,张三为使用者。作为提供者,为了保障自动驾驶系统的持续可用,甲公司需要持续提供后续服务,包括地图导航、软件更新、远程接管等,故其对于自动驾驶汽车的风险具有控制力。同时,相较于使用者,提供者往往是大型企业,具有更强的风险分散能力。至于使用者,虽然将驾驶权让渡给了自动驾驶系统,但仍然能决定自动驾驶汽车的运行方式、运行道路、运行时段和运行频次,同时影响着自动驾驶系统与车辆硬件的维护、保养、升级等,故也能控制自动驾驶汽车的风险。那么,提供者与使用者谁更应当作为应用责任的第一责任主体呢?
对此,欧盟《人工智能和其他新兴数字技术的责任》报告认为,使用者属于前端运营者,提供者属于后端运营者。通常情况下,前端运营者拥有更多的控制权,但在新兴数字技术变得更加关注后端的情况下,可能会出现后端运营者对技术拥有更多持续控制权的情况,让后端运营者承担责任更有说服力。特别是随着系统越来越复杂和自治,人们对操作细节的实际“控制”越来越少,后端运营者对于技术的控制可能比前端运营者仅仅启动系统有更大的影响。此外,从经济角度来看,后端运营者从持续的控制中受益,要么是从运营产生的数据中获利,要么是运营行为产生收益。与之不同的是,欧盟《人工智能责任条例》则明确反对将后端运营者界定为部署者适用应用责任规则,主张为了确保整个欧盟的法律确定性,后端运营者应遵守与生产者相同的责任规则,即适用产品责任。
笔者认为,相较于提供者,使用者更应当作为第一责任主体。首先,对于人工智能产品来说,提供者提供的后续服务本身就是产品功能的重要组成部分。如果提供者提供的服务影响到了产品的安全使用,那么应当视为产品存在缺陷,提供者需要以生产者的身份承担产品责任。对此,欧盟新《产品责任指令》指出:“数字服务集成到产品中或与产品互联的情况越来越普遍,如果没有这种服务,产品就无法发挥其特定功能。虽然本指令不应适用于服务本身,但有必要将无过错责任扩张到此类数字服务,因为此类服务与物理或数字组件一样决定着产品的安全性。当这些相关服务处在产品生产者的控制范围内时,应将其视为与之互联的产品的组件。”其次,在提供者承担产品责任的情况下,如果再为提供者设置应用责任,可能存在叠床架屋的问题,会引起责任规避的现象。具言之,如果为提供者设置的应用责任过于严格,如无过错责任,那么受害人势必会优先选择以应用责任来追究提供者的责任,因为无需举证产品存在缺陷,最终会导致产品责任被架空,间接加重生产者的负担,不利于技术创新。反之,如果提供者的应用责任设置过于宽松,如一般过错责任,那么又失去了增强受害人救济的意义,相较于产品责任不见得有制度优势。再次,人工智能产品投入流通后,提供者的控制通常仅限于人工智能产品的软件部分,主要是通过在线升级、在线服务等方式。相比较之下,使用者对于人工智能产品的控制更加直接全面,涵盖产品的硬件、软件等全部范围。最后,就人工智能产品而言,使用者往往是受害人能够接触到的最近主体,相较于起诉提供者,要求使用者承担责任能够更加便利受害人主张赔偿。虽然使用者的风险分散能力可能无法与提供者相提并论,但通过保险等方式也能有效分担损失,不至于责任过重。
实践中,我国一些立法也贯彻了这一理念。例如,《深圳经济特区智能网联汽车管理条例》第53条就自动驾驶汽车的交通事故责任做了规定,明确交通事故属于自动驾驶汽车一方责任的,由驾驶人、所有人、管理人承担责任,贯彻了使用者承担应用责任的理念。具言之,对于有条件自动驾驶汽车与高度自动驾驶汽车,考虑到驾驶人必须坐在驾驶位上监控车辆运行状态和周围环境,并且需要在自动驾驶汽车遭遇紧急情况时予以接管,故驾驶人构成使用者,应当作为第一责任主体。而对于完全自动驾驶汽车,车内已经没有人工驾驶模式和驾驶装置,驾驶人已然乘客化,同时自动驾驶汽车本身具有适应各种场景的能力,车辆运行安全与风险更多的是来自日常维护、保养、升级,故将所有人或者管理人认定为使用者,作为第一责任主体。需要注意的是,各主体之间可能存在身份的重叠,除了提供者同时是生产者之外,还可能存在使用者同时是生产者的情形。例如,甲公司利用自己生产的自动驾驶汽车提供共享出行业务,此时甲公司既是生产者,也是使用者,需要明确责任规则的适用。对此,欧盟《人工智能责任条例》第11条规定:“如果任何部署者也是人工智能系统的生产者,则本条例应优先适用于《产品责任指令》。”笔者认为,当使用者同时构成生产者时,应当允许受害人选择适用不同的规则,既可以选择向使用者主张应用责任,也可以要求使用者以生产者的身份承担产品责任。
2.人工智能服务应用责任的主体识别。相较于人工智能产品,人工智能服务不存在生产者的问题,没有产品责任的适用空间,如何配置提供者、使用者的应用责任非常重要。对此,首先需要确定谁更适合作为第一责任主体。例如,乙公司上线了一款生成式人工智能APP,李四是该APP的用户,此时乙公司为提供者,李四为使用者。对此,提供者和使用者都对生成式人工智能服务的应用风险具有控制力。对于提供者而言,人工智能运行的算法、框架、芯片、配套软件、训练数据等皆由提供者控制。正是基于此,《生成式人工智能服务管理暂行办法》对于提供者的义务做了全面规定。与此同时,使用者对于生成式人工智能的风险也具有相当的控制力,使用者的个性化需求以及人机之间的互动交流也可能影响生成式人工智能的输出结果,如使用者故意诱导或者误导人工智能,同时还决定着生成内容的下一步使用。
笔者认为,对于人工智能服务来说,应当将提供者作为第一责任主体。首先,人工智能服务没有生产者,不存在应用责任与产品责任叠床架屋的问题,如何设置提供者的责任都不会引起责任规避的现象。其次,人工智能服务直接面向社会公众,提供者对于人工智能服务的风险控制力更强,具有更强的风险预防、管理能力。具言之,人工智能服务的每一次使用都需要提供者保障人工智能的运行条件,包括运行所需要算力、网络、模型能力等,提供者不仅能够从前端控制人工智能的生成内容,还能对后端生成的侵权内容采取删除等技术措施。虽然使用者也能影响人工智能服务的结果,如关键词的选择、生成内容的使用,但人工智能服务终归不同于人工智能产品,并没有供使用者控制的有形载体,使用者每次使用都需要高度依赖提供者的服务。与此同时,使用者往往是普通的消费者或者终端用户,一般只能被动地接受输出结果,风险控制更多地是依靠人工智能服务本身的质量与安全。至于使用者违法利用人工智能服务的情形,如通过复杂的提示技术或者其他机制(如微调)修改生成式人工智能系统。对此适用一般侵权责任即可。最后,提供者是将人工智能服务投入市场或者使用的人,通常具有更强的风险分散能力,能够通过提供人工智能服务获得对应的收益,更适合作为人工智能服务的第一责任主体。
需要注意的是,与人工智能产品不同的是,人工智能服务具有衍生开发的特点。例如,在全球首例AIGC侵权案件中,被告经营的Tab是一款提供绘画生成服务的网站,因为输入奥特曼等关键词生成了与奥特曼动漫形象相似的图片,从而被权利人起诉。法院经过审理发现,被告Tab网站是通过可编程接口的方式接入第三方服务商的系统。此时,第三方服务商是否也需要作为提供者与被告共同承担责任不无疑问。对此,欧盟《人工智能法》第25条规定,如果对投放市场或者使用的人工智能进行了实质性修改的,那么原提供者不再视为提供者,应当由新提供者承担提供者的义务与责任。所谓实质性修改,是指这种修改在提供者最初的合格性评估中没有预见到或没有计划,并因此影响人工智能系统的合规义务,或导致人工智能系统被评估的预期目的发生改变。
这一做法值得借鉴,如果新提供者已经实质性改变了原有的人工智能系统,那么原提供者对于新人工智能系统的风险缺乏足够的控制力,自然不应当继续以提供者的身份承担责任。反之,如果原提供者与新提供者都对修改后的人工智能服务具有控制力,则需要以共同提供者的身份承担连带责任。对此,《人工智能法(学者建议稿)》第90条明确规定,利用基础模型从事人工智能开发、提供、使用活动,侵害他人合法权益的,应当由衍生利用的新提供者承担法律责任,原提供者知道或者应当知道新提供者利用基础模型从事违法活动未采取必要措施的,承担连带责任。这一规定比较准确地界定了衍生开发中基础模型服务提供者的主体身份与责任问题。
1.类型化归责的正当性。人工智能的应用场景非常丰富,不同类型的人工智能其风险程度各异。对于人工智能应用责任的归责,首先需要明确是否引入类型化思维,即区分不同风险的人工智能分别设置归责原则?这是关系人工智能应用责任归责原则设计的基础问题。对此,我国两部人工智能法建议稿存在不同的做法。《人工智能法(学者建议稿)》赞同类型化归责,第85条针对提供者的归责区分关键人工智能与一般人工智能,分别适用过错推定责任与过错责任,但第86条对于使用者又一体适用过错责任。与之不同的是,《人工智能示范法(专家建议稿)》第70条规定研发者、提供者一律适用过错推定责任,无需考虑不同人工智能的风险差异。
笔者认为,整齐划一的归责思路缺乏灵活性,应当区分不同风险的人工智能进行类型化归责。
第一,契合侵权责任归责的一般规律。风险是现代侵权法的核心概念之一。有观点指出,风险贯穿于侵权责任法的各项制度中。对于过错责任来说,风险是过错评估的重要组成部分;对于严格责任来说,风险是责任分配的基本依据。此外,风险还影响责任承担、责任免除等。侵权责任归责的设置是损害分配的基础,一个重要考量因素就是风险的大小。过错责任与过错推定责任允许行为人以过错来划定责任边界,通常适用于风险程度较低的领域,背后理由在于通过对行为人施加行为上的注意义务可以很好地预防与分散风险。同时,行为人过错的认定常常离不开风险的识别与评估。例如,著名的汉德公式主张过错的判断需要比较行为人采取风险预防的成本与可预见的风险发生的损害值,前者小于后者就可认定过错。随着工业革命的到来,各种高风险的活动开始频繁出现,远超社会可以接受的正常水平。由此,侵权法的范式也在发生改变,从“行为法”迈向“责任法”,无过错责任成为重要的归责原则,强调风险的预防与分担。总之,无过错责任与过错责任、过错推定责任的归责虽然有别,但内在机理都强调风险的分配,只是方式不同。
与此同时,我国《民法典》侵权责任编也充分贯彻了基于风险的类型化归责。以物引发的损害赔偿责任为例,高度危险物、饲养动物等风险程度高的物适用无过错责任,搁置物、悬挂物、堆放物等风险程度次之的适用过错推定责任,其他普通物件则适用过错责任。即便同样是饲养动物,也区分了禁止饲养的危险动物、违反安全措施的饲养动物、一般的饲养动物以及动物园饲养动物四种情形,分别设置严格程度不同的归责原则,背后原因在于不同情形下动物的风险程度各异。对于人工智能来说,延续这种类型化归责的思维具有正当性。一方面,作为一种新兴科技,人工智能在已有的社会风险之外平添了新的风险因素。另一方面,人工智能在与具体应用场景结合的过程中,也会对原有风险进行继承、消除、重组与增生。这意味着人工智能的风险兼具新旧两种特质,延续类型化归责可以很好地实现新旧归责体系的衔接,贯彻侵权责任风险归责的一贯立场。
第二,提高人工智能应用责任归责的适配度。人工智能是一种典型的赋能科技,除了在信息技术专业化领域应当依据固有功效加以研发和部署之外,还可以突破技术设计之初的目的限制,作为一种通用的或者说泛在的技术加以开发和应用,对相关事物产生赋能或增强的效果。这意味着人工智能的应用场景非常广泛,涉及医疗、交通、教育、金融、娱乐等各个领域。欧盟《人工智能法》就指出:“人工智能是一个快速发展的技术族,能够为各行各业和社会活动带来广泛的经济、环境和社会效益。”既然人工智能是一种具有通用价值的赋能型技术,那么就需要充分认识到对于人工智能不可能像单一产品或者服务那样进行监管,要正视不同应用场景的人工智能的风险程度可能会天差地别。
例如,自动驾驶汽车与在线聊天机器人都属于人工智能,前者的使用场景具有公共性、线下性,加上车辆本身具有的高质量、高速度等物理属性,直接影响的是使用者与不特定的社会公众的人身财产安全,风险程度是极高的;反观在线聊天机器人,主要用于帮助用户抒发情感、打发时间、解答问题等,具有特定性、虚拟性等特点,影响的群体有限,同时也不会直接对用户的人身财产安全造成损害,风险程度较低。基于此,通过引入类型化归责可以兼顾不同人工智能应用的风险特点,提高归责的适配度。此外,即使是同一应用场景的人工智能,随着技术的发展,风险程度也可能会发生极大的变化,进而需要进行动态调整。对此,类型化归责可以避免一体归责要么过于严格、要么过于宽松的不适局面,更好地服务科技创新与科技安全。
第三,贯彻人工智能分级治理的理念。当前,人工智能监管的一个趋势是采取基于风险的方法(riskbased approach),强调人工智能分级治理。对此,欧盟《人工智能法》指出:“为了对人工智能系统采用一套成比例和有效的具有约束力的规则,应遵循明确界定的基于风险的方法。这种方法应根据人工智能系统可能产生的风险的强度和范围来调整此类规则的类型和内容。因此,有必要禁止特定的不可接受的人工智能实践,规定高风险人工智能系统的要求和相关经营者的义务,并明确特定人工智能系统的透明度义务”。美国方面,对于人工智能治理也采取了“基于风险的方法”,强调根据不同应用场景、不同程度的风险来配备针对性的监管规则。2023年2月,美国国家标准与技术研究院发布《人工智能风险管理框架》,提出了一套帮助开发者、用户和评估人员更好地评估、管理人工智能风险的工具与方法。2023年11月,美国六名参议员提出《2023年人工智能研究、创新和问责法案》,突破性地提出对“高影响”和“关键影响”的人工智能系统进行区分规制。
