内容提要:人工智能快速迭代、广泛渗透,既会带来伦理失序、技术失控等新风险,也会加剧技术黑箱、算法歧视等旧问题,亟待从法律上系统作出回应。中国学界先后推出的《人工智能示范法(专家建议稿)》《人工智能法(学者建议稿)》两项成果,在为国家人工智能立法工作提供具体条文和制度设计参考的同时,也持续凝聚着政产学研各界关于促进和规范人工智能发展的法治共识。但是,学术的争鸣不能替代制度的供给。有必要加快深入分析总结人工智能发展和安全的法治需求,更好研究制定符合我国国情、顺应世界发展潮流的人工智能法律制度体系。
一、《人工智能示范法(专家建议稿)》的起草逻辑
起草《人工智能示范法(专家建议稿)》,既希望通过以示范法形式对未来我国的人工智能立法提供示范参考,也希望以此为基础,探讨中国人工智能治理的理论命题和范式,形成体现中国网络与信息法治特点,符合中国新兴领域发展需要的人工智能法治话语体系,也为人工智能产业的发展提供示范的合规指引。综合考量我国人工智能治理实践和人工智能发展需求,《人工智能示范法(专家建议稿)》中采取了设立人工智能专门主管机关、建立人工智能负面清单的治理模式,同时尽量避免过度超前创设新兴权利,为未来的人工智能应用划出底线、留足空间。
第一,设立人工智能专门主管机关。不同于《人工智能法(学者建议稿)》在统筹协调机制下由各部门在职责范围内负责人工智能监督管理工作的思路,《人工智能示范法(专家建议稿)》提出设立国家人工智能办公室作为国家人工智能专门主管机关,同时在省级人民政府和较大的市的人民政府中设立负责辖区内人工智能治理的人工智能主管机关,将人工智能领域的规则制定、监管执法、促进产业发展等职能集中于人工智能主管机关,避免监管领域交叉重叠可能导致的“九龙治水”难题。
实践中,具体的应用场景、商业模式往往难以明确区分,某几种人工智能服务或应用可能落入多个部门的监管领域中。此时,既有可能出现各部门均进行立法、重复监管的问题,也有可能出现各部门均怠于立法、监管空白的情况。设立“统筹协调”机制解决这一问题,必然要明确统筹协调机制与各参与部门之间的权限划分,事实上仍然是由统筹协调机制作为一个整体负责部门牵头制定人工智能领域的基础性规则和通用标准,其他部门则负责结合本行业内具体情况进行执法;而相比于多个部门共同负责或者指定某个部门作为统筹协调的负责部门,设立集中统一的人工智能主管机关并由国家人工智能主管机关领导各级地方人工智能主管机关履职,可以更加系统地掌握人工智能的发展和治理情况,制定更加协调统一的人工智能规则、标准,也便于人工智能研发者、提供者与主管部门进行沟通协作。除此之外,人工智能主管机关还可以作为我国与其他国家、国际组织就人工智能治理合作进行对等交流的机构,配合外交部门提升我国参与人工智能全球治理的专业程度。当然,设置集中统一的人工智能主管机关,并不排斥在制定人工智能治理细则、实施监管执法时,吸收对应行业、领域的主管部门参与。
第二,以负面清单替代分类分级管理制度。不同人工智能技术的底层逻辑千差万别,如何防范、如何控制、如何消除人工智能在不同环节、不同应用场景下的风险,尚无可通用的标准答案,而只能予以场景化、类型化的类案分析。为了回应类似需求,欧盟《人工智能法案》尝试基于发生风险的概率和严重程度对人工智能进行全面的分类分级,并根据分类分级的结果禁止实时生物识别等少数人工智能应用,同时对高风险的人工智能施加较为严格的合规义务。
但是,如果将风险评估、划分的义务更多地赋予人工智能研发者、提供者,例如要求其自行评估、判定其所研发或提供的人工智能系统的风险,则有可能迫使研发者、提供者为确保合规而笼统地按尽可能高的等级来确定人工智能系统的安全风险,以避免出现不可预料的高风险及承担相应的法律责任。此外,设置多个不同等级的风险虽然划分更加细致,但在实践中对企业合规的参考价值相对较小。为保证一定的冗余度,企业会在难以判别自身所需合规举措时主动采用更高乃至最高的风险防范标准。这种“就高不就低”的导向固然可以防患于未然,但也会损害技术创新的积极性。
因此,相较于已有的分类分级监管模式,《人工智能示范法(专家建议稿)》仅将风险明确为“高风险”“低风险”两级,同时有针对性地明确何种特定人工智能服务、应用属于高风险。在明确高风险人工智能的基础上,可由监管部门建立人工智能“负面清单”,对清单内的人工智能研发、提供等活动设置较高的准入门槛及合规义务。清单之外的人工智能研发、提供活动则仅需承担一般性的安全义务,以减轻研发者、提供者的风险防范负担。“负面清单”不需要人工智能研发者、提供者自主确定所研发和提供的人工智能应属何种范畴,未在负面清单中列举的人工智能服务和应用均视为低风险。同时,为了对可能出现的风险实施必要的防范,“负面清单”也应不断更新,及时纳入属于高风险范畴的人工智能。此种模式可以为人工智能产业提供更高的确定性,减少人工智能新技术新应用分类分级不明确而无法形成一致标准的情况,也与我国《促进和规范数据跨境流动规定》在数据跨境领域实施的“负面清单”相仿,能够在划定安全底线的前提下鼓励企业大胆探索、积极创新。
第三,审慎设置新型权利。近年来,不乏有从权利视角介入人工智能或其他新兴技术治理,主张赋予个体以若干项新型权利的研究和讨论,但从目前技术发展阶段来看,各种新型权利的内涵尚不明晰、权利实现机制尚不成熟;从学术研究角度固然可以进一步探讨其合理性,但在制度设计的维度,则应保持审慎,仅作必要的规定,并留出未来进一步修改、完善和进行制度衔接的空间。
例如,《人工智能示范法(专家建议稿)》设置了人工智能使用者要求提供者作出解释的权利,但对此种“解释权”设置了一定限制,不仅将其适用条件限于人工智能产品、服务对个人权益有重大影响的情形,还允许提供者综合考虑产品、服务的场景、性质和行业技术发展水平等因素作出反馈,而没有就解释的内容、解释方式方法等进行明确规定。这是因为,类似的权利内容在个人信息保护等现有制度中已有体现,通过现有的知情权、监督举报权等权利行使足以满足需要。当然,在人工智能发展过程中,未来可能会遇到需要在特定领域设立某项权利,或广泛赋予个人以某项权利的情况 ;但在技术发展尚不充分、尚不完善的情况下,不应急于通过创设更复杂的权利义务关系解决发展中尚不明晰的问题。如果所设立的权利在实践中无法得到有效实现,或与现有权利内容重复度较高,则既无益于保障权利,也无益于促进发展。
二、《人工智能法》的三重定位
结合现有的研究与实践,未来的《人工智能法》应主要把握促进法、安全法与程序法三重定位。
(一)鼓励发展创新的促进法
与侧重于禁止性、命令性规定的管理型立法不同,促进型立法在设范方式上更加灵活,以鼓励性、任意性规范为主,从服务而非监管的角度,引导、支持特定领域或事业的发展。
第一,在数据供应方面,要在扩大数据供给的同时,降低人工智能训练过程中数据合理使用的制度门槛。人类生产生活过程中产生的数据看似无穷无尽,但经筛选与加工以后真正对人工智能训练有实际价值的数据却并非如此。图书、文献等高质量数据的更新速度远小于网络空间内的信息流规模,在人工智能训练需求不断扩张的趋势下,高质量数据到 2027年就有用尽的风险,甚至低质量数据也可能在本世纪中叶消耗殆尽。因此,既要在现有共享数据库、公用数据库基础上进一步支持人工智能领域基础数据库和专题数据库,扩大用于人工智能训练的公共数据供给范围,也要明确人工智能训练数据合理使用制度、个人信息合理使用制度,减轻人工智能研发者承担的不必要的合规义务。例如,经去标识化技术处理的个人信息在理论上仍可借助额外信息复原,因此《个人信息保护法》仅将这一技术作为安全措施的一种,个人信息处理者即使采用了去标识化技术也不能免于承担《个人信息保护法》规定的其他义务。但是,在人工智能训练场景中,触达训练用原始数据的权限较为可控,个人信息因与其他数据混同用于训练而复原难度大大增加,实际上已几乎不能从人工智能输出的结果反向识别出其训练过程可能涉及的特定个人,个人信息权益受影响风险较其他场景显著降低。故可考虑在人工智能立法中针对人工智能训练出台专门规定,明确人工智能研发者、提供者采用符合国家标准的去标识化技术对个人信息进行处理并仅用于人工智能训练时,可豁免其履行个人信息处理者义务。
第二,在算力供给方面,应通过建立公共算力资源供给制度、推动公共算力资源平台建设与利用、加强算力科学调度等方式,解决企业尤其是中小型企业在人工智能研发过程中所面临的算力资源不足的问题。统筹算力资源既包括我国北京、上海、广州等地正在建设或已经建设的公共算力资源平台,也包括一些科研机构、大型企业为开发自有人工智能系统而筹集的算力资源。在互惠互利、公平合理的前提下,可以探索算力资源市场化交易,促进公共算力资源、私有算力资源的共享互通,提高算力资源利用效率。
第三,在支持算法创新方面,除了鼓励闭源模型的发展外,还要重视开源人工智能生态对人工智能技术创新的驱动作用。开源人工智能以开放式的知识共享机制为核心,不仅能够吸引中小规模研发者参与协作,也有助于大模型的优化完善。可以在立法中明确国家对建设、运营开源开发平台、开源社区的支持与鼓励,也可以探索设立开源人工智能基金,提供专项资金促进开源人工智能生态的繁荣,并可鼓励政府机关先行先试,应用符合要求的开源人工智能。
第四,出于激发人工智能创新活力、促进先行先试和控制负外部性的影响,还可以参考经济特区、浦东新区和海南自由贸易港的授权立法模式,在已有国家新一代人工智能试验区基础上作出更进一步的制度安排,选择人工智能发展要素聚集度好、立法能力强、治理水平高的“试验区”设立“人工智能特区”,建立授权立法机制。人工智能特区所在城市人民代表大会及其常务委员会,可以结合特区内人工智能创新发展实践需要,遵循宪法以及法律和行政法规的基本原则,就人工智能研发、提供、使用活动制定法规,在人工智能特区范围内实施。人工智能特区法规应当分别报全国人民代表大会常务委员会和国务院备案;对法律、行政法规的规定作变通规定的,应当说明变通的情况和理由。人工智能特区法规还可以就同一事项,与部门规章或特区所在省、自治区、直辖市的地方性法规、地方政府规章作出不同规定,并优先适用。
(二)防控安全风险的安全法
突出人工智能立法的安全法定位,主要是划定人工智能研发、提供过程中的安全底线,建立人工智能安全评估、审计和应急处置制度,科学区分人工智能全生命周期中各主体的安全义务。例如,就人工智能技术自身的安全风险,在设置负面清单对高风险人工智能实施更严格监管的基础上,还可以参考《个人信息保护法》对大型平台设置制定平台内规则、处置平台内违规行为等特殊义务的做法,要求基础模型研发者对自身研发模型的安全性负更高的注意义务,并应专门采取合规措施保障基础模型安全。此外,为落实一般主体的安全防范要求,也可以根据主体从事活动的不同,区分人工智能研发者、提供者,有针对性地设置不同义务。人工智能研发者应更加注重所研发的人工智能系统在技术上的安全风险,而人工智能提供者应侧重于及时向研发者和监管部门反馈人工智能运行过程中出现的问题,关注对使用者可能造成的影响。
当然,人工智能立法需要防范的安全风险不止技术自身的潜在风险,也包括人工智能技术发展应用过程中,外部因素干扰所带来的有害信息倒灌、产业链供应链受影响等安全风险。对此,人工智能立法应与《反外国制裁法》等法律法规形成制度衔接,设计对其他国家和地区不合理措施予以必要反制的法律依据。
(三)规范权力行使的控权法
人工智能是新兴技术领域,无论是促进其发展还是对其风险进行治理都无太多先例可循,这一过程中可能产生行政权力过分干预行业发展的情况。未来在人工智能专门立法的框架下,应由人工智能主管部门及时制定类似《网信部门行政执法程序规定》的履职制度,规范与人工智能有关的行政执法程序,避免过于频繁的检查、执法和监测对人工智能研发者、提供者的经营活动造成阻碍。
同时,也需要注重人工智能治理规则的可操作性。例如,关于监管部门制定人工智能负面清单的标准以及基础模型的概念等问题,除了评估其可能对社会秩序、法秩序造成的冲击外,也需要遵循特定的技术指标。在基于清单进一步斟酌清单内外监管制度时,应避免给主管机关、人工智能研发者和提供者增加不必要的负担。对负面清单内的人工智能研发、提供活动,综合防范风险的需求,宜采取许可申请制,实行事前监管;对负面清单外的提供活动,则可以实施以备案为主的事后监管,人工智能研发活动在未转化为实际应用前则可不作备案要求。区分许可与备案、事前监管与事后监管,虽然将清单外人工智能研发与提供活动纳入监管范围,但此处所指“备案”及其他监管执法、风险监测活动,不应成为人工智能研发者、提供者正常经营的阻碍。就备案而言,对于应备案而未履行备案义务、通过不正当手段取得备案等情形,相关主体仍应承担相应的不利后果;但是,只要材料符合形式要求、信息齐备,人工智能主管机关就不应利用备案流程变相实施实质性审查,而应准予备案。在未超出法定期限的前提下,只要申报材料已提交,备案流程的完成也不应成为开展人工智能提供活动的必要前提。
总而言之,人工智能立法不仅要对新技术、新应用带来的风险挑战予以回应,更应着眼于为智能经济、智能社会构建具有基础性、原则性的制度框架。对人工智能带来的新问题新需求,应在充分研究论证的基础上作出必要规定,并留出未来修改、完善的空间;对不便在较宏观的高位阶立法中直接进行规定的细节性问题,应明确主管机关出台配套制度的期限,做好制度衔接。
