【摘要】人工智能统一立法应引入包容审慎监管理念,为人工智能相关法律、政策、规范的出台设置“缓和期”,可通过引入监管沙盒制度,在沙盒试点中提供规制环境。应引入风险分级分类规制理念,对人工智能应用实施分级、分类、差异化监管。立法应建构人工智能合作治理体系,让地方人民政府编制人工智能规划,以智能服务券等措施提供激励;立法可设计统分式齐抓共管的部门职责分工模式,规定人工智能监督管理协调机制;在“受规制的自我规制”制度下,人工智能开发者、提供者应采取风险管理措施,披露特定信息,制定自我规制规则,夯实组织化保障义务;还应探索第三方治理、专家咨询的制度空间。立法应建构人工智能规制的多元规范体系,明确国家标准、行业标准的功能,拓展团体标准的空间,并注重发挥伦理规范的作用。
【关键字】人工智能立法;包容审慎监管;分级分类规制;合作治理;技术标准;伦理规范
人工智能作为引领未来的战略性技术,推动经济、社会各领域从数字化、网络化向智能化提升,但同时也可能带来改变就业结构、冲击法律与社会伦理、侵犯个人隐私、挑战国际关系准则等问题,因此有必要推动建立保障人工智能健康发展的法律规范体系。近年来,《深圳经济特区人工智能产业促进条例》《上海市促进人工智能产业发展条例》等地方立法先后出台;在国家立法中,虽然《数据安全法》第15条涉及“智能化公共服务”的开展,《个人信息保护法》第24条、第55条、第73条涉及自动化决策方式的法律控制,但亟待以统一立法促进人工智能产业发展,防范人工智能安全风险,并厘定人工智能治理的基本原则与基本要求,明确不同主体的权利义务,为未来法律制度的发展预留空间。
2023年及2024年国务院年度立法工作计划都写入了“预备提请全国人大常委会审议人工智能法草案”。人工智能立法除了承载促进产业发展的目的,还承载了保障人工智能安全、防范人工智能风险的职责,其间可能涉及对安全、隐私和歧视的规制。人工智能的开发、提供和使用可能涉及数据安全、网络安全和人身安全。人工智能的利用,使开发者更容易获取用户的完整“画像”,更有可能带来侵害隐私的风险,这不仅会造成严重的精神痛苦,还可能给用户造成严重的人身和财产损害。在开发和利用人工智能时,相关主体有可能在问题建构、数据理解、特征选择等环节,将算法偏见、数据偏见等嵌入人工智能,诱导其出现歧视性结果。安全、隐私和歧视构成了人工智能规制的正当化基础,也构成了人工智能规制的目标。
2024年7月,《中共中央关于进一步全面深化改革 推进中国式现代化的决定》明确提出完善人工智能治理体系,完善生成式人工智能发展和管理机制,建立人工智能安全监管制度。在此背景下,人工智能立法更需对规制结构加以妥善设计,通过发挥多元主体、多元工具、多元规范的作用来提升人工智能规制的合法性与正确性,通过更好、更公平且更具参与性和包容性的制度设计来完成规制任务。本文试图立足行政法学与政府规制理论,借鉴国外人工智能立法与规制经验,结合我国人工智能法治进程和行业发展实际,探讨我国人工智能立法中的规制结构设计,以期有助于反思我国人工智能规制立法的理念和方略,并对后续人工智能立法有所裨益。
一、人工智能立法中规制理念的创新
在人工智能立法中,制度设计者需面对参差多元、具有差异性和自主性的人工智能子系统,面对变动不居的政治、经济、社会与文化背景,由于对新兴事物认识得不全面,很难通过设定命令—控制型规制工具来调整人工智能活动,也难以将复杂的人工智能业态归约为以法律规范表述,并设定权利、义务、责任。在立法中可引入包容审慎监管理念,尝试对人工智能开发者、提供者等保持审慎态度,包容人工智能技术及创新,对人工智能安全风险加以监管。而且,可通过引入风险分级分类规制理念,在立法中设定风险分级分类原则与规则,以更具经济性、合目的、合比例的方式对人工智能进行规制。
(一)包容审慎监管理念的引入
1.包容审慎监管理念探析
人工智能作为引领科技革命和产业变革的战略性技术,具有溢出带动性很强的“头雁”效应,加强人工智能和产业发展融合,有助于为高质量发展提供新动能。因此,在人工智能立法时,要妥善处理风险规制与推动高质量发展的关系。一方面,要对人工智能风险设定事前预防性规制与事中事后规制工具;另一方面,要通过妥当的方式,对人工智能产业发展予以鼓励和促进,包括制定专项行政规划,推行行政奖励、资金扶助、税费减免等措施。
在简化行政程序、优化公共服务、推进规制改革、削减合规成本、促进新经济业态的背景下,包容审慎监管这一带有鲜明本土化色彩的规制策略,经常出现在中央政策文件和法律法规之中。2019年,国务院颁布的《优化营商环境条例》第55条指出:“政府及其有关部门应当按照鼓励创新的原则,对新技术、新产业、新业态、新模式等实行包容审慎监管,针对其性质、特点分类制定和实行相应的监管规则和标准,留足发展空间,同时确保质量和安全,不得简单化予以禁止或者不予监管。”2022年,《深圳经济特区人工智能产业促进条例》第10条规定了对人工智能产业的包容审慎监管。2023年颁布的《生成式人工智能服务管理暂行办法》规定,对生成式人工智能服务实行包容审慎监管。包容审慎监管的理念在于坚持发展和安全并重,坚持促进创新和依法治理相结合。
2.包容审慎监管的制度设计
包容审慎监管理念的引入,是对回应型规制(responsive regulation)理论的印证。在人工智能规制制度设计时,应秉承“规制金字塔”(regulatory pyramid)阶梯的要求,尽量摒弃对威慑式进路的尊崇,减少对行政处罚等命令—控制型规制工具的运用;应尽量采取“建议和劝服”进路,运用说服教育、劝导示范、警示告诫、行政指导、行政约谈等强制色彩较弱、干预程度较低的未型式化行政行为形式,只有在这些行为形式不奏效时,才启用强制色彩更浓、干预程度更高的行政行为形式。
人工智能推动科技创新与产业创新深度融合,符合经济社会发展的方向。当人工智能风险总体处于可控范围,不至于造成严重不良社会后果时,应尽可能采取引导或纠正的方式,从而为人工智能发展营造规范适度的环境。比如,在进行人工智能立法时,不仅可以为特定违法行为设定法律责任,还可明确不予行政处罚、从轻行政处罚、减轻行政处罚的情形;对于违法行为轻微且及时纠正没有造成危害后果的,由相应主管部门依法制定不予行政处罚事项清单;对于当事人的行为符合从轻或减轻行政处罚情形的,由相应主管部门依法制定从轻行政处罚事项清单、减轻行政处罚事项清单。
在进行人工智能立法时,还要为人工智能相关法律、政策、规范的出台设置“观察期”“缓冲期”或“包容期”“过渡期”,这反映了不确定性下现代新兴领域法治建设的应对策略与演变趋势,这也是包容审慎监管原理的生动体现。
3.“监管沙盒”制度的引入
人工智能的包容审慎监管还体现为“监管沙盒”(regulatory sandbox)制度的引入。“沙盒”的原意是在隔离风险的环境中试验有风险的软件。“监管沙盒”发轫于英国金融行为管理局于2005年的制度设计,是监管者为了促进新兴经济发展、降低风险并保护消费者创建的一个相对剥离的监管框架,在此框架下,企业可以在真实环境中测试创新产品或服务,无须担心创新行为与监管规则发生矛盾时可能遭受阻碍,也无须承担不必要的监管负担。欧盟人工智能立法设定了人工智能监管沙盒制度,要求欧盟每个成员国至少建立一个人工智能监管沙盒,以在严格的监管监督下,开发和测试创新的人工智能系统。此规定的意旨是,在系统上市之前,建立受控实验和测试环境,在特定时间为安全开发、测试和验证提供便利,以保证人工智能系统创新的合规,让研发者和主管部门更好地了解人工智能系统创新面临的机遇与风险,使监管法律框架未来能进行更好的调适。
在我国人工智能立法中,也可引入人工智能“监管沙盒”制度,妥善分配中央、地方相关部门设立和运用监管沙盒的权力。立法应就人工智能监管沙盒的设立、开发、实施和运行确定基本要求,规定需形成透明公开的入盒标准、合格标准及标准化的测试流程,让算法及人工智能企业在相对可控的环境内进行试验性的开发、测试和验证。这也是反身治理的体现,在监管沙盒试点范围内,为存在不确定性、可能存在风险的人工智能应用提供一个缩小版的真实市场和宽松版的规制环境,进而反思人工智能规制的限度,并对人工智能规制规范、政策和目标加以修正。
可结合不同人工智能应用的场景、信用级别、风险程度来设定监管底线、触发条件,对“沙盒”内的开发、测试活动实施智慧化风险提示,推行轻微违法行为不予处罚、减轻或从轻处罚制度。当“沙盒”中的人工智能活动达到风险触发条件时,可将其移出“沙盒”,依法依规开展后续监管。
(二)风险分级分类规制理念的引入
1.分级分类规制的原理
分级分类规制是行政规制经济社会事务时的常用策略,这有助于实现敏捷治理,更为精准地配置有限的治理资源,让“好钢用在刀刃上”。风险分级分类规制意在对不同风险源的危害强弱进行评估,继而根据风险程度将其划分为不同的级别和类型,再匹配以干预程度强弱不等的差异化规制措施。2019年,《国务院关于加强和规范事中事后监管的指导意见》明确将“分级分类”作为监管原则,指出“根据不同领域特点和风险程度,区分一般领域和可能造成严重不良后果、涉及安全的重要领域,分别确定监管内容、方式和频次”。中共中央、国务院于2021年印发的《法治政府建设实施纲要(2021—2025年)》也指出:“根据不同领域特点和风险程度确定监管内容、方式和频次,提高监管精准化水平。”针对不同级别和类型的风险,需配置不同的规制资源,可以选择采取事前规制、事中事后规制乃至不规制的策略,并对被规制主体设定不同层次和程度的合规义务。
2.比较法上的参照
在人工智能领域存在的“风险”,是“发生危害的可能性和危害的严重性的组合”。基于风险的规制(risk-based regulation)的核心在于规制的理性化,要求规制干预以有明确目标为前提,并基于风险评估,依照风险的高低和优先次序合比例地配置资源。风险分级分类规制构成了“更好规制议程”(better regulation agenda)的核心逻辑和关键工具。
人工智能风险分级分类规制的意蕴在于,如果行政规制机构能识别不同领域、不同环节中人工智能应用风险的程度差异,就可以设定和实施相应的规制工具,使规制工具与被规制风险相称。欧盟人工智能立法中明确指出,要引入基于风险的进路,为人工智能系统引入一套成比例的、有效的、有拘束力的规则,并根据人工智能风险的强度和范围,对这类规则的类型和内容加以调整。
欧盟对人工智能风险进行分级分类时,考虑了如下要点:其一,人工智能系统涉及生物识别,涉及关键数字基础设施的管理和运行,涉及对个人所受教育或职业培训程度的评价,涉及对员工的招聘和选聘时,应被定义为高风险应用;其二,当将人工智能引入行政给付领域,用于确定行政机关是否应给予、拒绝、削减、撤销或收回相应的津贴与服务时,这可能会给当事人的生计带来严重影响,并可能侵犯相关人员获得社会保障的权利、不受歧视的权利、人格尊严或获得有效救济的权利,应用于此种情境的人工智能系统也应被列入高风险之列;其三,用于评估自然人信用分或信誉度的人工智能系统,由于可用以决定自然人是否获得资助或住房、电力、电信等基本服务,因此应被列入高风险应用;其四,司法人工智能系统可能对民主、法治、个人自由以及人们获得有效救济权利、获得公平审判权利等产生显著影响,故应被列入高风险应用。
欧盟立法认为,人工智能系统如果不会对自然人的健康、安全或基本权利构成重大损害,而且只是试图在限定范围内履行某项程序性任务,或旨在改善先前人类已完成的活动,或只是试图对已有决策模式加以检测,而并不打算取代或影响此前已完成的人类评估决定,或只是准备承担预备性任务,则均不构成高风险应用。
3.制度设计构想
在我国诸多网络与人工智能立法中,已蕴涵了风险分级分类规制的思想。例如,《数据安全法》第21条规定了数据分类分级保护制度,这在某种意义上,是根据数据在经济社会发展中的重要程度,以及一旦被非法处理可能导致的危害程度,从风险分级角度对数据重要性进行层级区分。国家网信办等七部门联合发布的《生成式人工智能服务管理暂行办法》提出对生成式人工智能服务实行分级分类监管,针对生成式人工智能技术特点及其在有关行业和领域的服务应用,制定相应的分级分类规则或者指引。在深圳和上海的人工智能地方立法中,均规定了分级分类监管制度,即针对人工智能应用的风险等级,以及人工智能新技术、新产业、新业态、新模式等特点,制定相应的监管规则和标准,实行分级分类监管。
在未来的统一人工智能立法中,可规定国家对人工智能应用实行分类管理,根据人工智能的应用场景、影响范围、潜在危害后果及对公民基本权利的限制程度,将人工智能应用分为高风险、中风险、低风险三种类型,并实施分级分类差异化监管。对于高风险的人工智能应用,其规制目标在于防范风险,高风险应用应当落在有关行政部门的清单之中,应遵循必要、正当、可控等原则对高风险应用进行合规审查,并进行风险评估,就相应风险发布警示。对于中低风险的人工智能应用,可采取事前披露和事后跟踪控制的治理模式,以促进先行先试。
立法可授权网信部门负责制定人工智能应用的风险分级分类规则和分级分类目录,在制定、调整和公布分级分类目录时,应征求数据管理部门、工业和信息化部等的意见,并引入专家咨询机制来评估重点领域人工智能应用的潜在风险,对人工智能风险进行分级分类规制。
二、建构人工智能规制的合作治理体系
人工智能规制亟待引入合作治理。首先,作为信息科技导向的新经济业态领域,人工智能具有科技含量高、技术迭代快、情景急速变化等特征,在人工智能开发者、提供者等主体与行政管理部门之间始终存在信息不对称,人工智能开发者、提供者等主体相对占据信息优势。其次,人工智能产业规制需要考虑不同利益群体的不同利益关切,需要通过合作治理塑造更易为各方接受的规制政策。因此,立法时可将合作治理作为人工智能法的基本原则,规定建立政府主导、部门协作、市场自律、专家咨询的人工智能治理体制,构建多元共治的人工智能治理格局。合作治理有助于突破公共组织与私人组织之间的界限,通过不同治理主体的互动,汲取更多的专业知识,集聚更多的治理资源,协力应对具有强烈动态变化性和高度复杂性的人工智能治理问题。
(一)依法给予地方政府在人工智能治理中的政策空间
人工智能规制应坚持安全与发展并重,各级政府之所以介入人工智能,其着力点主要在于“发展”。《宪法》第14条要求国家“推广先进的科学技术……发展社会生产力”,《宪法》第20条规定国家发展自然科学事业。人工智能作为“利用计算机或者计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统”,属于“先进的科学技术”和“自然科学事业”,通过发展与人工智能相关的软硬件产品研究、开发和生产、系统应用、集成服务等核心产业以及相关产业,有助于“发展社会生产力”。
依据《宪法》第107条的规定,地方政府“管理本行政区域内的经济、教育、科学、文化、卫生、体育事业、城乡建设事业”。人工智能产业作为经济事业和科学事业,其发展能为本行政区域内的教育、文化、卫生、城乡建设事业和社会治理事务赋能。地方政府介入人工智能的着力点主要在于,促进人工智能产业高质量发展,推动人工智能与经济、生活、城市治理等领域深度融合,推动科技跨越发展、产业优化升级及生产力整体跃升。
国民经济和社会发展规划的主要功能在于,明确国民经济和社会发展的目标和方向,阐明国家战略意图,明确政府工作重点,引导规范市场主体行为。以中长期规划指导经济社会发展,是我国重要的行政治理方式。专项规划则是以经济社会发展的特定领域为对象编制的规划,其力图阐明专项工作的总体思路、发展目标、主要任务和重大举措。人工智能立法中可规定:各级地方人民政府应当加强对本区域人工智能产业发展工作的领导,将人工智能发展纳入本级国民经济和社会发展计划,根据需要组织编制人工智能发展专项规划。地方政府组织编制人工智能规划,有助于推动人工智能治理中不同部门、不同政策、不同措施间的相互协调,实现统合行政活动的功能,并为人工智能开发者、提供者、使用者提供导引。
人工智能立法承载着规制人工智能安全与促进人工智能发展的不同任务,地方政府应着重为人工智能发展和创新提供必要的制度保障。立法中,可规定地方政府有对人工智能发展活动加以引导、鼓励与支持之责,地方政府可出台措施支持相关主体建设人工智能研究机构、人工智能标准组织和行业组织,支持人工智能科学研究、技术创新和开发活动,可针对人工智能发展,明确列出税收优惠、补贴、金融借贷优惠、专项资金支持、智能服务券等各类激励性措施。例如,时下在贵州、河南、浙江、吉林长春等省市,地方政府向市场主体免费发放“算力券”“数智券”“智评券”等智能服务券,智能服务券成为一种数字化凭证和激励型政策工具,当市场主体向人工智能企业购买特定人工智能服务或数据交易产品时,智能服务券可抵扣相应购买费用。通过智能服务券制度的设计与实施,赋予了市场主体购买权或选择权,为市场主体的交易活动设定了特定的经济激励,产生了“四两拨千斤”的助推效果,促进了数据要素的资源化、资产化和资本化发展。
(二)厘定行政部门的职责权限和协调机制
“行政管理权限的划分问题是行政立法中最复杂的问题。许多法律草案起草了十几年也出不了台,原因之一就是对法律中所涉及的行政管理权限划分不清。”在人工智能立法中,规定由哪个机关对哪项人工智能事务进行管理、如何管理,有助于厘定不同行政部门的事务管辖权,提高行政效能,减少权限争议。但是,如果考察既有法律、法规、规章及规范性文件,则可见人工智能事务涉及多部门,如网信部门负责统筹协调人工智能领域的网络安全、数据安全和相关监管工作,工业和信息化部负责实施、协调、督促人工智能产业发展工作,但人工智能治理还涉及发展改革、数据、教育、科技、公安、市场监管、电信等主管部门,这为立法厘定各部门的人工智能管理职责增加了难度。
当法律无法适应政府职能的变化和快速发展的社会经济现实时,可以通过框架立法的方式,规定政府职责权限设置的基本架构与基本原则。在人工智能立法中,可考虑实行统分式齐抓共管的部门职责分工模式,即设置一个或两个主管部门承担综合管理职责,要求其他部门对各自领域的该项工作负责。可规定国家网信部门承担统筹和协调人工智能安全及相关监督管理的职责,国务院工信部门承担协调、促进人工智能产业发展的职责,国务院其他有关部门依照法律、行政法规的规定在各自职责范围内负责人工智能监督管理工作。
《国务院组织法》第19条要求,“国务院组成部门、直属机构、办事机构应当各司其职、各负其责、加强协调、密切配合”。与人工智能相关的行政部门数量相对较多,各部门有着不同的信息收集渠道、政策目标和组织文化,因此对同一人工智能事务很可能有着不同的视角和立场。目前,各部门之间往往是遇到问题、需要合作时才沟通,而且基本上是单线联系、个别沟通,欠缺常态化的部门协调和沟通机制。不同部门应加强协调,防止人工智能政策形成和执行层面的空白、冗余或不一致。
建议将人工智能监督管理协调机制写入法律规范,规定:国家建立由国家网信部门牵头,各相关部门配合的人工智能监督管理协调机制,统筹、协调、督促和指导有关部门在各自职责范围内做好人工智能监督管理工作,及时协调人工智能监督管理的重大事项和重要工作。地方人民政府可以建立相应的人工智能监督管理协调机制。还可在立法中对人工智能监督管理中的联合执法、联席会议、正式或非正式磋商、监管信息交流和共享、提供行政协助等机制加以规定,这有助于促进行政组织间的合作,形成相互依存的治理网络,以此来协同、有效地应对边界模糊、复杂多变的人工智能治理问题。
(三)为人工智能治理建构“受规制的自我规制”体系
自我规制是被规制者的“内部式自律”行为,其以更具回应性、灵活性、针对性的方式,对自身施加命令、设定控制措施和结果要求,从而自愿肩负起实现公共任务的责任。自我规制的理念根基在于,在任何社会秩序中,自我控制都是必备要素,因为不可能针对所有可能的风险制定行政规则,也不可能时刻对每个被规制者进行监督。在人工智能领域,尤需倡导给予自我规制制度空间,因为在这样一个以前沿科学技术、谙熟专业知识为基础的新兴科技领域,人工智能主管部门的官员纵然是人工智能政策的专家,但也很难洞悉并追踪人工智能科技前沿和新算法的运作原理。通过倡导人工智能开发者、提供者及使用者自我规制,有助于填补产业创新与政府规制之间的空白,建构信任、透明、可问责的制度文化,应对快速变化的风险。
“受规制的自我规制”力图在规制法律规范设定的框架下,通过对自我规制的制度安排进行行政规制,使自我规制的过程能受规制。在人工智能立法中,尤需引入此种“保持距离式的规制”(regulating at a distance),从而为被规制者的合规行为设定一定的裁量空间,激活被规制者的内部自组织形式,激励人工智能开发者、提供者等被规制者设置自己的内部控制与管理体系,自我设限、自负义务,人工智能主管部门转而对被规制者是否建立自我规制体系、自我规制体系的运营状况等加以监督。在此种制度方略下,法律可要求人工智能开发者、提供者等被规制者采取风险管理措施,披露特定信息,履行组织化保障义务,制定规则、指南及其他相关文件,并规定由人工智能主管部门对被规制者的自我规制体系、自我规制举措加以监督。
1.采取风险管理措施
有别于行政主管部门开展的风险监测、风险评估、风险管理等举措,人工智能开发者、提供者等采取的风险管理措施构成了动态的风险管理工具,其涉及对组织体内部风险的确证、评估和管理,并通过实施有效的政策、程序和控制措施来缓解风险,确保该组织体能以安全与合规的方式开展日常活动。立法中可要求人工智能开发者、提供者对数据隐私、算法偏见、网络安全、合规等风险加以评估,对人工智能各环节安全风险进行定期检查和监测。
2.设定信息披露义务
人工智能开发者、提供者等披露有关算法如何部署、人工智能系统如何运作和使用的信息,有助于保障公众平等获取信息和资源的权利,保障公众对输入数据来源、人工智能系统运行机理、自动化决策考量因素的知情权,保障公众对人工智能产品和服务的选择权。现行《个人信息保护法》第24条规定了自动化决策者有保证决策透明度的义务和说明义务;《生成式人工智能服务管理暂行办法》第10条为生成式人工智能服务提供者设定了明确并公开披露其服务适用人群、场合、用途的义务;《互联网信息服务算法推荐管理规定》第16条要求算法推荐服务提供者以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制。建议在立法中明确规定人工智能提供者的信息披露义务,要求其披露相关产品和服务的适用人群、适用场合、目的意图、主要运行机制、功能及局限、潜在风险,说明人工智能产品和服务对使用者权益可能产生的不利影响。
3.由被规制者制定自我规制规则
法律规范相对侧重于调整定型化的社会关系,人工智能作为影响面广的颠覆性技术,其发展具有不确定性。此时,立法采取适度的谦抑立场,有意就某些内容留有空白,并明确规定由被规制者制定自我规制规则,或许是审慎之举。谷歌、微软等诸多头部高新技术企业都已在开发和公布自己的人工智能原则和指南,这些内容相当程度上构成了导引未来人工智能立法的基础。
我国《个人信息保护法》第51条、《网络安全法》第21条分别规定了个人信息处理者、网络运营者制定内部管理制度和操作规程的义务,《数据安全法》第27条规定了数据处理者建立健全全流程数据安全管理制度的义务。在人工智能立法中,可规定由人工智能开发者、提供者制定人工智能规则、指南和其他相关管理文件,以此来约束其自身的活动,为用户提供导引。这相当于由自我规制主体来颁布单方行为规范(unilateral codes of conduct),决定采取并实施具体的政策,针对自己的研发和经营活动施加某种自我拘束措施。
4.夯实组织化保障义务
组织化保障义务主要体现为法律对人工智能开发者、提供者等内部组织架构的干预,以及法律对相关市场主体的内设机构、组织负责人基本要求的设定。这体现了政府规制向自我规制的映射,有助于提高被规制者对规制目标的敏锐度。
《网络安全法》第34条要求,关键信息基础设施的运营者应当设置专门安全管理机构;《数据安全法》第27条要求,重要数据的处理者应明确数据安全管理机构。令人工智能开发者、提供者正确、合理地设置内设机构,有助于使专门化内设机构相对更为聚焦于人工智能的安全与合规,而不仅仅是关注产业创新与发展;有助于落实人工智能法律法规、方针政策中的相关要求,并更好地开展人工智能风险防控。可在立法中规定,关键人工智能开发者、提供者应当设置专门安全管理机构,负责关键人工智能的安全管理与合规管理。
对人工智能开发者、提供者的管理人员提出资质要求,配备专司人工智能安全管理职责的人工智能安全负责人,有助于更好地基于专业知识和管理经验,对人工智能全生命周期活动进行内部管理。作为参照,德国1977年《联邦数据保护法》即引入了企业的数据保护官制度,2018年欧盟《通用数据保护条例》第38条、第39条规定了数据保护官的地位和任务。我国《网络安全法》第21条为网络运营者设定了网络安全负责人制度,《数据安全法》第27条为重要数据的处理者设定了数据安全负责人制度,《个人信息保护法》则为“处理个人信息达到国家网信部门规定数量的个人信息处理者”设定了个人信息保护负责人制度。在我国未来的人工智能立法中,可要求关键人工智能的开发者、提供者指定人工智能安全负责人,要求其他人工智能的开发者、提供者配有专职的人工智能安全管理人员,人工智能安全负责人和人工智能安全管理人员应具有相关专业背景和从业经历,对人工智能开发、提供活动及采取的保护措施等进行监督管理。
(四)探索第三方治理的制度空间
现代社会往往由高度相互依赖的公私伙伴关系网络来履行诸多公共职能。在人工智能这样一个快速发展的领域中,引入第三方治理,即通过私人主体实现规制目标,能发挥相应的独特优势:其一,弥补行政资源和能力的不足,减轻行政负担。就人工智能治理而言,网信、工信等部门每每欠缺相应的检测、评价、认证资源,引入第三方治理,相当于让私人主体承担部分规制职能,由第三方独立评判人工智能业态发展的安全与风险,有助于治理活动更为灵活、快捷。其二,具有专业优势。第三方机构可以相对灵活地补充人才、更新专业知识,具有更多的主动性和前瞻性,在人工智能研发和应用的较早阶段即可介入,更多开展对问题的预判,而不仅仅是对问题的回应。其三,有助于推进合作规制。第三方机构缺少行政部门的制裁权力,它们需要与人工智能行业形成更为持续、稳定的合作规制关系,以更好地搜集关于人工智能活动运作和合规的数据资料。其四,能够扮演好“看门人”角色。将第三方引入人工智能治理,当发现不合规的情况时,更便于沟通,并促使违规者纠正违规行为。这有助于更好地学习和改进人工智能规制政策。
与人工智能治理有关的制度包括第三方实施的合格评定、检验、检测等。在我国,《认证认可条例》为我国第三方合格评定制度奠定了制度基础。第三方认证机构为证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准,可以开展合格评定活动。认证机构需符合法定资质条件,获得国务院认证认可监督管理部门批准,并具备与从事相关认证活动相适应的检测、检查等技术能力。作为专业技术组织的第三方检验检测机构,可以依据相关标准或者技术规范,利用仪器设备、环境设施等技术条件和专业技能,对人工智能产品、应用等进行测试和评价。2014年颁布的《国务院关于促进市场公平竞争维护市场正常秩序的若干意见》指出:“发挥市场专业化服务组织的监督作用”,“推进检验检测认证机构与政府脱钩、转制为企业或社会组织的改革……有序放开检验检测认证市场,促进第三方检验检测认证机构发展”。
欧盟在人工智能立法中规定,基于高风险人工智能系统的复杂性和与之相关的风险,需要针对高风险人工智能系统设定第三方合格性评估制度,合格性评估机构应当符合具有独立性、资质能力、无利益冲突和适当的网络安全要求等条件。我国《个人信息保护法》第62条规定,支持“有关机构”开展个人信息保护评估、认证服务;《数据安全法》第18条规定,国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。但在目前,我国还未对人工智能治理中第三方机构的角色、资格、运作程序、运作规则等加以系统规定。
在我国未来统一人工智能立法中,可规定第三方机构在人工智能政策评估、安全治理、监测审计、体系认证等方面的角色。还可规定,第三方机构从事人工智能相关的检验、检测、合格评定、认证、评估等活动时,应具备与从事活动相适应的技术能力,建立符合要求的管理制度,实施技术性、合目的性、以规则为基础的专业化评定活动。第三方机构应公正、独立,不应与相关人工智能主管部门存在隶属关系或其他利益关系,也不应与人工智能开发者、提供者等存在咨询、服务外包等商业合作关系。法律可为行政规制和第三方治理架桥,规定在人工智能行政规制、社会治理中,广泛采信第三方的相关检验检测、合格评定、认证认可、评级评估结果。
(五)人工智能专家咨询制度的建构
在人工智能治理中,通过引入专家咨询制度,设立相关的专家委员会、专家组等,不仅可以汲取科学、法律、政策专家的专业知识,为行政决策提供科学基础和事实根据,还可以融入公众参与的部分要素,反映出不同见解之间的纵横折冲,以推动人工智能治理所涉及的利益相关者能相互进行有效的利益协调,这也有助于更为公平、合理地配置相关利益及责任。在立法中,可规定人工智能专家咨询制度,设立由技术、法律、伦理、公共管理、社会学、医学等领域专业人员组成的专家委员会或专家组,为人工智能战略研究、政策制定及实施提供决策咨询,为人工智能安全工作提供咨询、评估、论证等专业支撑。
三、完善人工智能规制的多元规范体系
在人工智能规制的合作治理体系中,应更新对规制治理所依赖的规范体系的理解。在复杂的网络社会中,不宜将法律秩序等同于国家的强制秩序,规范多元应成为合作治理体系的结构特征之一。在现代社会的任何一个专业领域,都不能仅仅依靠法律规范维持社会秩序,还需要技术标准、伦理规范等支持,这些规范增强和补充了法律规范的力量,不同类型规范的相互协作构成了现代治理机制的完整图景。在人工智能全生命周期中,可以感受到法律规范、技术标准、伦理规范等不同规范的引导、控制或正当性证成作用。在人工智能立法中,不应对技术标准、伦理规范等重要规范类型置若罔闻,而应为多元规范的制定与适用提供制度空间,对技术标准、伦理规范的制定主体、法律性质、制定程序、适用范围加以规定,将法律规范与技术标准、伦理规范相衔接。
(一)人工智能技术标准体系的建构
标准是经济活动和社会发展的技术支撑,构成了国家治理的基础性制度。《标准化法》中,将“标准”限定为技术标准,并将其界定为“农业、工业、服务业以及社会事业等领域需要统一的技术要求”。技术标准分为“政府标准”和“市场标准”,“政府标准”包括有权行政机关颁布的国家标准、行业标准和地方标准,“市场标准”包括市场主体发布的团体标准和企业标准。2017年,国务院在《新一代人工智能发展规划》中指出,要建构人工智能技术标准体系,坚持安全性、可用性、互操作性、可追溯性原则,逐步建立并完善人工智能基础共性、互联互通、行业应用、网络安全、隐私保护等技术标准。在《国家新一代人工智能标准体系建设指南》中,也期许“建立人工智能标准体系”,“明确人工智能标准化顶层设计,研究标准体系建设和标准研制的总体规则,明确标准之间的关系”。在人工智能立法中,可明确人工智能国家标准、行业标准、团体标准等标准类型,并规定不同类型标准的适用情形。
1.建构人工智能国家标准体系
人工智能国家标准涉及强制性国家标准和推荐性国家标准。《标准化法》第10条规定,如果人工智能标准内容涉及“保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求”,则应就相应内容制定强制性国家标准。例如,将人工智能应用于生物识别,此时的生物识别是对人类指纹、面部、步态等不同类型的个人身份数据进行收集、处理、分析,并以此为基础识别、跟踪特定对象,这涉及属于“敏感个人信息”的生物识别信息,容易导致自然人人身、财产安全受到侵害。在此背景下,国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 基于生物特征识别的移动智能终端身份鉴定技术框架》(GB/T 38542—2020)即属于强制性国家标准。但在人工智能国家标准中,涉及安全的标准只有少数,大部分人工智能国家标准仅作为“满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求”,是推荐性国家标准。例如,已获立项的《人工智能管理体系》国家标准,作为基础通用性标准,即为推荐性标准。
2.适度限定人工智能行业标准的范围
《标准化法》第12条第1款规定:“对没有推荐性国家标准、需要在全国某个行业范围内统一的技术要求,可以制定行业标准。”目前,人工智能行业标准相对集中于大数据、物联网、云计算、系统软件、智能终端、安全与隐私保护等领域,均为推荐性标准。相较于团体标准等类型而言,行业标准的运行机制很难实现快速响应市场、推动产业创新及让标准使用方广泛了解标准等目的。未来,建议限定人工智能行业标准的范围和数量,防止人工智能行业标准和国家标准在技术内容上存在重复交叉、相互矛盾等现象。当已有人工智能推荐性国家标准,或已有一般性产品和服务的技术要求时,不宜再制定人工智能行业标准;当可以制定人工智能团体标准时,尽量不制定人工智能行业标准。
3.拓宽人工智能团体标准的制度空间
政府主导的技术标准将经济社会生活置于严密的规范网络之下,有时会扼制社会自身的活力。在作为典型新兴科技的人工智能领域,除保留必要的行政标准制定权限外,可以将更多的技术标准制定权放还给作为“中间协调层”的社会团体,让自律性规范在人工智能标准体系中发挥更大的作用。
团体标准是指,在国家鼓励下,由学会、协会、商会、联合会、产业技术联盟等依法成立的社会团体,为满足市场和创新需要,协调相关市场主体,按照自行规定的标准制定程序制定并发布,供本团体成员约定采用或供社会自愿采用的标准。行业成员在协商一致的基础上制定自律性的团体标准,能够反映人工智能行业的内在利益,从而更好地适应人工智能行业的变化,激发社会力量,利用专业的知识来寻求自我规制,缩短规则制定者和公众之间的距离,让团体标准得到更好的实施。德国标准化协会(DIN)于2019年就关键人工智能系统的质量评价和风险评估颁布了编号为DIN SPEC 92001-1的标准,加拿大标准委员会也公布了由私人主体制定的人工智能设计和利用标准CAN/CIOSC 101∶2019。
根据在“全国团体标准信息平台”上的搜索,在该平台收录的团体标准中,标题中含有“人工智能”字样的有200条。人工智能团体标准的制定主体可以是中国通信学会、中国电子工业标准化技术协会、中国通信标准化协会等全国性学会,它们是互联网、信息、电子等领域的专业学会,具有较强的资源优势;也可以是浙江省电子商务促进会、上海市人工智能行业协会、山东省人工智能协会、青岛市人工智能产业协会等地方社会团体;还可以是诸如“新一代人工智能产业技术创新战略联盟(AITISA)”之类的产业技术联盟。
人工智能团体标准的制定主体是社会团体而非行政机关,其制定的团体标准位于国家法的序列之外,不具备法律的强制力。团体标准由本团体成员约定采用,或者按照本团体的规定供社会自愿采用。《标准化法》第27条设定了团体标准自我声明公开和监督制度,国家鼓励团体标准通过标准信息公共服务平台向社会公开。《团体标准管理规定》第18条规定,社会团体应当公开人工智能团体标准的名称、编号等信息,鼓励社会团体公开人工智能团体标准的全文或主要技术内容。团体标准自我声明制度的实施,有助于为人工智能团体标准的形成提供公平竞争的环境,并让团体标准的制定者自愿接受其他团体与公众的监督。
(二)注重发挥人工智能伦理规范的作用
在人工智能治理过程中,实际上存在“伦理先行”。法律规定往往构成伦理上可接受的最低标准,而伦理规范可确定相关活动的最佳行为方式。伦理在某种意义上构成了法律的重要补充,伦理观念对法律蕴含的价值观念有着重要影响,并影响了法律的性质和方向,法律中经常汲取伦理规范蕴含的精神实质和价值取向。人工智能伦理规范的兴起先于人工智能法律规范的制定,人工智能立法可将伦理规范中的核心要素纳入人工智能规制法律制度设计的基本内容,并在法律中规定伦理原则、伦理规范的作用,以及伦理规范的性质和约束效果。
例如,欧盟委员会任命的独立人工智能高级别专家组2019年制定的《值得信赖的人工智能的伦理准则》,确立了七项无法律拘束力的人工智能伦理准则,包括人类主体和监督、技术稳健性和安全、隐私和数据治理、透明、社会和环境福祉及可问责性、多样性、非歧视和公平。2024年通过的欧盟《人工智能法》明确指出,人工智能伦理准则构成了起草相关行为守则的基础,法律鼓励包括产业界、学术界、标准化组织、社会组织在内的所有利益相关者,在制定自愿性的最佳实践和标准时,能对伦理原则加以适当考虑。
在中国,2021年9月,国家新一代人工智能治理专业委员会发布了《新一代人工智能伦理规范》,提出了增进人类福祉等六项基本伦理规范,并对人工智能管理、研发、供应、使用等特定活动提出了十八项具体伦理要求。在已有的人工智能治理部门规章中,《互联网信息服务算法推荐管理规定》第7条、第8条要求算法推荐服务提供者应建立健全科技伦理审查的管理制度和技术措施,且不得设置诱导用户沉迷、过度消费等违背伦理道德的算法模型。《生成式人工智能服务管理暂行办法》则要求提供和使用生成式人工智能服务时,坚持社会主义核心价值观,防止歧视,不得实施垄断和不正当竞争行为,不得危害他人身心健康,提高透明度。这些都体现了人工智能法律规范对伦理规范的吸纳。
2022年,中共中央办公厅、国务院办公厅印发的《关于加强科技伦理治理的意见》较为系统地阐述了科技伦理法治化的制度方略,要求在科技创新的基础性立法中对科技伦理监管作出明确规定,在其他相关立法中落实科技伦理要求,及时推动重要的科技伦理规范上升为国家法律法规。人工智能伦理作为一种“倡导”伦理,要求规制法律、规制政策和规制活动具有伦理上的正当性。在我国人工智能立法中,应明确将伦理原则和伦理规范作为行政规制政策形成时的重要参考、作为人工智能规制时判定合法与非法界限的参考、作为判定违法情节轻重的重要裁量因素。法律还可规定如下要点:
第一,将尊重伦理规范和社会道德作为人工智能立法应遵循的基本原则和基本要求,规定将伦理规范融入人工智能的研发、供应、使用等全生命周期。
第二,将人工智能伦理规范的要点写入法律规定,立法应明确要求人工智能各类活动遵循增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当、提升伦理素养等基本伦理规范。
第三,规定相关行政部门对人工智能伦理治理负有指导、评估及监督管理等行政职责。相关行政部门可对人工智能企业的伦理治理工作进行行政指导,可就人工智能伦理安全、伦理治理等发布指南、执法指引、白皮书、案例集等,可对人工智能企业的伦理规范执行情况加以评估和监督。
第四,规定社会组织、市场主体制定伦理规范、进行伦理审查的义务。可规定学会、协会、商会、联合会、产业技术联盟等有权制定和实施自律性的人工智能伦理规范,以展开集体层面的自我规制;可规定从事人工智能科技活动的单位履行人工智能伦理管理主体责任,制定本单位的人工智能伦理规范,从而展开个体层面的自我规制。
第五,法律可规定人工智能伦理委员会的设立标准、人员构成、职责权限和运行机制等制度要点。从事人工智能科技活动的单位,当研究内容涉及科技伦理敏感领域时,应设立人工智能伦理委员会,人工智能伦理委员会委员应具备相应的伦理审查能力和水平。人工智能伦理委员会的职责包括制定人工智能伦理审查的管理制度和工作规范,提供人工智能伦理咨询,开展人工智能伦理审查。
四、结 语
在人工智能领域出台单行立法,意在针对社会发展出现的新技术、新行业、新趋势及时进行立法,以填补新兴领域的立法空白,以良法善治保障新业态、新模式的健康发展。在本文勾勒的人工智能立法画卷中,笔者试图将政府、市场与社会的不同领域视为一个互动协作、环环相扣的体系,进而建构一个理念多元、主体多元、工具多元、规范多元的“新治理”体系。
因此,应倡导包容审慎监管、风险分级分类规制和合作治理的理念。通过引入包容审慎监管理念和监管沙盒制度,以容错机制激励人工智能行业的发展与创新。通过引入风险分级分类规制理念,根据所评估风险水平及对人工智能系统的潜在影响,采取不同的规制政策,配置不同的规制资源。通过建构人工智能的合作治理体系,建立各级政府主导、行政部门相互协调的行政规制体系,引入被规制者的自我规制和第三方规制,发挥专家咨询的作用,强调多元主体的合作与参与,以互动性更强的方式,形成相对更为持续、稳定的关系,通过调动不同主体的知识、信息和资源,协力保障人工智能安全,促进人工智能发展。
同时,在人工智能立法中,虽然狭义的“法律”位于人工智能规范体系的顶部,但仍应倡导发挥人工智能技术标准和伦理规范的作用,让不同规范类型在规范体系中各得其所。法律规范设定人工智能领域不同角色的权利义务;通过引入各类技术标准,来对人工智能发展加以支撑引领;通过吸纳伦理规范的要义,倡导设计和发展“有道德”的人工智能伦理规范,来贯穿“伦理先行”的理念,实现法律规范与伦理规范的互补。相对于法律规范而言,技术标准和伦理规范是“活的文件”,更容易对其不断加以补充和修正,通过及时动态调整治理方式和规范内容来快速、灵活地应对人工智能创新带来的挑战。
宋华琳,南开大学法学院教授,法学博士。
