以风险为基础的人工智能治理
2024-01-18陈吉栋
陈吉栋
一直以来,人工智能法律研究在治理法与责任法之间游移,未能正确处理人工智能法律制度展开的逻辑起点——风险及其治理理论研究与风险分配规范设计。以风险为基础的治理(risk-based regulation)是人工智能法研究的起点。基于风险的治理要解决的问题是在何种程度上和以何种方式可以治理和减少风险。①See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.p.4.如何治理风险,并且进行规范设计,一直是困扰人工智能立法探索的卡脖子难题。在上海市、深圳经济特区地方立法作出了相关探索后,2023 年4 月11 日,国家互联网信息办公室发布了《生成式人工智能服务管理办法(征求意见稿)》试图对生成式人工智能(GAI)风险分配进行破题。在这种背景下,重提“风险”似乎是人工智能的法律研究导入正确逻辑的前提。从风险角度展开讨论,需要将人工智能系统研发与应用风险的认知作为起点,将风险如何影响治理作为过程,本质上是从恢复过去的损害转向防止损害的发生,逻辑终点则是风险治理与民事责任的沟通,如此构建以风险为基础的人工智能法律治理体系。限于篇幅,文章在分析风险分级的基础上,梳理立法进展,引入“规制空间”理论,提出并论证人工智能治理制度展开的要点与逻辑。
一、GAI 风险的具体种类及其风险挑战
GAI 本质上仍是人工智能系统(AI System)之一。对其分析仍然需要遵循数据、算法、算力与智能体(agent)的基本逻辑。如一切人工智能系统一样,GAI(如ChatGPT)输出结果的过程,需要大量的数据作为支撑,通过大量的计算资源来计算的过程,其背后仍然是一个数学模型。计算量、数据量与语言模型的方法上的优势,仅使其可以更快速地计算出更为准确的概率。GAI 与决策式/分析式人工智能(Discriminant/Analytical AI)不同,在根据既有数据集执行任务之外,还能通过学习数据中的联合概率分布,创造出全新的内容。然而,无论是在法学还是在伦理学的既有理论中,似乎缺少了观察生成式人工智能及其风险的理论与方法,因此对其风险开展治理,设计一个涵盖法律与伦理在内的综合框架成为较主流的选择,但这注定将是一项任重道远的工作。
依据已有的观察,GAI 风险大致有如下类型。除了个人信息侵害与隐私泄露风险,更为显著的风险是真实性风险、偏见与歧视风险与主体依赖风险等。其一,真实性风险。人工智能生成内容的真实性与准确性无从保证。虚假信息的不当应用进一步导致伤害与责任归属问题。在此背景下,法律很难区分不同风险的承担。《生成式人工智能服务管理办法(征求意见稿)》第5 条规定:利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人,承担该产品生成内容生产者的责任。但该办法第16 条也规定:提供者应当按照《互联网信息服务深度合成管理规定》对生成的图片、视频等内容进行标识。其二,偏见与歧视问题。生成式人工智能所使用的训练数据来自人类社会,因此它也有可能继承人类社会中的固有歧视因素。其三,主体依赖风险。这里的依赖风险包括两个方面:一是对GAI 的功能依赖。二是对GAI 产生情感依赖。尽管用户明确知道ChatGPT 这种交互式对话机器人并非真人,仍可能将其作为人类对待并产生依赖,陷入情感迷失和混乱,远离现实世界的人际交往,从而影响个体社会情感与交往能力的培养。
面对人工智能复杂难知的风险,监管机构多基于风险的治理理念,制定风险治理的制度框架评估与降低风险。许多国家的监管机构越来越倾向于采用“基于风险”的策略进行治理。②See Black,Julia,and Robert Baldwin."Really responsive risk-based regulation." Law &policy 32.2 (2010): 181-213.这一治理框架在食品安全、医药、环境治理等领域显示出了丰富的内涵。③例如,在金融领域中,对于风险及其分级监管并非人工智能或者技术治理的首创,在金融领域也有所应用。资本框架即以风险为中心,因为不同的活动造成不同的损失可能性,资本制度应调整要求以考虑到具体活动的风险,分层因此成为重要的风险防控原则。面对人工智能的这些风险特征,构建全生命周期分层的监管成为立法的主流选择。如,在欧盟高风险人工智能系统获得市场批准后,欧盟和成员国层面的当局将负责市场监督,终端用户确保监控和人工监督,而提供商则应建设一个上市后监控系统,供应商和用户也会报告严重事故和故障。如此就形成了一个覆盖上游和下游全生命周期的监管体系。此外,自然人也能够监督高风险人工智能系统,这被称为人工监督要求。针对人工智能更新、流变的创新设计,则形成了进入市场以后的监督。
二、风险分级及其在欧盟人工智能法上的实践
人类社会对于风险的认知以及对于风险监管的认知经过了长期的变化过程。现阶段,一般将风险监管定义为:“以证据为基础的手段,根据一个透明的、系统的和可以辩护的框架,有针对性地使用资源和优先关注最高风险。”④Black,J.,&Baldwin,R.(2010).Really responsive risk-based regulation.Law and Policy,32(2),186.这种对于风险的功利主义理解,被越来越多的政策制定者接受。
欧盟委员会提出了世界上第一个《关于制定人工智能的统一规则(人工智能法)并修正某些欧盟立法文件的提案》(简称《欧盟人工智能法提案》,the AI ACT,AIA)。当地时间5 月11 日,欧洲议会发表声明,议会内部市场委员会和公民自由委员会通过了AIA 的谈判授权草案。试图在促进产业发展的同时,减轻或防止人工智能技术使用的风险,推动人工智能可信,完善人工智能生态,并使欧洲在全球人工智能监管中发挥领导作用,为此提出了基于风险的分级监管方案。AIA 结合“风险金字塔”的风险理论方法与分层执行机制,设计了基于风险的分级监管框架。依据风险金字塔的理论,没有无风险的人工智能系统,大多数人工智能系统构成的风险有限,应支持其应用帮助解决社会问题,但必需解决这些风险以避免不良后果。在这一考量下,对风险进行分类分级成为可欲的选择。针对不同层级的风险,设计不同的规则。AIA将人工智能系统相关的风险区分为不可接受的风险、高风险、有限风险和较低或者最低限度的风险四级,法律应对策略分别为“禁止”、“事前合格性评定和认证标志”、信息披露和无义务。风险可以忽略不计的AI系统应设计较轻的法律制度,而风险不可接受的人工智能系统将被法律禁止。在这两个极端之间,随着风险的增加,规则设计愈发严格。从附有行为准则的非约束性自我监管、软法影响评估,到整个应用程序生命周期皆需经过外部审计的严格合规性要求。在这一制度设计下,如果提供者提供人工智能系统,首要问题是根据AIA 中确定的风险水平,确定其应采取的行动(义务)。
不可接受的风险表示最高风险类别,这些系统被彻底禁止。包括:(1)实时生物识别系统;⑤这种情况也有例外,适用于执法和国家安全背景下的犯罪预防和刑事调查。(2)社交评分算法;(3)操纵系统利用特定个人的弱点。
AIA 并未对高风险进行界定,⑥此点与《数字服务法》(Digital Service Act)和《数字市场法》有很大不同。而是采取了由官方直接列举的风险种类,为此编制了一个动态调整的高风险人工智能目录。⑦高风险人工智能系统列于附录III。如果一种风险不属于禁止性风险,又符合如下特征,就是高风险。⑧其中包括:(1)对自然人进行生物识别和分类;(2)关键基础设施的管理和运营;(3)教育和职业培训,如用于评估教育环境中的学生或分配人员进行培训的人工智能系统;(4)就业和工人管理,如用于招聘或评估员工的人工智能系统,包括晋升、绩效管理和解雇等问题;(5)获得基本服务,如管理私营和公共部门服务和相关行动的人工智能系统,包括信誉评估、信用评分或确定获得此类服务的优先顺序;(6)执法,包括广泛的人工智能系统,例如,用于评估任何个人实施犯罪或再次犯罪的风险;预测刑事犯罪的可能性,以及检测和调查欺诈性内容;(7)边境管制管理,包括用于控制和管理边境、移民和庇护程序的人工智能系统;(8)司法管理和民主程序,包括通过评估和解释事实和/或针对事实提出法律建议来协助司法程序的任何人工智能系统。高风险人工智能系统构成人工智能系统的大多数,是AIA 整个制度设计的核心。按照AIA 的规定,在高风险人工智能系统进入市场之前,应该完成四个步骤。(1)进行内部事前人工智能影响评估和遵守由包容性多学科团队监督的行为准则。(2)经过合规评估,并在其生命周期内持续符合欧盟人工智能法案中规定的人工智能要求。对于某些系统,外部认证机构将参与合格评定审核。这一动态过程确保了基准测试、监控和验证。此外,在改变高风险人工智能系统的情况下,必须重复步骤(2)。(3)在专门为高风险人工智能系统所建设的欧盟数据库完成注册。(4)必须签署符合性声明,高风险人工智能系统必须带有CE 标志。
AIA 中的第52 条要求提供者向用户表明他们正在与人工智能系统交互和/或正在被提供人工生成的内容。以此允许用户作出明智的选择,是否与人工智能系统及其可能生成的内容进行交互。透明义务意在保护人们知道是否以及何时与机器的算法而不是人类进行交互的权利。直接与人类互动的人工智能系统(聊天机器人、情感识别、生物特征分类和内容生成系统)的提供商,需要遵守一定的透明度义务,唯一免除这些透明度义务的是最小风险人工智能系统。
低风险人工智能系统包括既不使用个人数据也不做出可能直接或间接影响任何个人的预测系统。此外,在独立人工智能系统之外,还需要关注嵌入式人工智能系统,所谓嵌入,即指这些人工智能的部分仅是其他欧盟法规涵盖的产品或服务的组件,如玩具或医疗设备。虽然这些系统不属于AIA,但是它们仍然必须符合AIA 在协调指令下规定的要求。对于未被禁止的人工智能系统,当其风险较低且不在现有部门法规的涵盖范围内,将适用“高风险人工智能系统”的规则。这些系统必须经过符合性评估。不过,合格评定可以不同方式进行。例如,一些人工智能系统是消费产品的一部分,这些产品在投放市场之前已经经过了测试和认证(如医疗设备)。对于这些嵌入式人工智能系统,不需要额外的合格评定程序。取而代之的是,AIA 中规定的要求将被纳入现有特定部门的安全立法。
三、风险分级的来源与风险治理理论的提出
(一)“巨石疑案”与分级治理的前提
Jervan der Heijden 以“巨石”设问演示了风险问题的复杂性。一块可能从悬崖上掉下来的巨石是否总是构成风险,还是只有当它可能损害或破坏对人类有价值的东西时才构成风险?为了估计风险,仅仅知道巨石坠落的客观概率就够了,还是需要其他形式的知识(例如,巨石坠落的政治和社会后果)?谁的知识将被用于这种估计——专业的巨石专家的知识,直接受巨石坠落影响的人类的知识,其他人的知识,或所有这些人的知识的组合?
这些设问涉及风险的本体论、认识论与评估,对于这些问题的解答揭示了风险认知的建构主义与实在主义的强烈矛盾。解析“巨石疑案”,有助于我们了解风险理论的基本特征。对风险的本体问题,建构论虽然认为巨石坠落的危险是真实的,但存在于人类的感知中;实在论则认为风险是世界的一种状态,无论特定的风险是否被人类体验到,风险都是真实的。在风险的认识问题上,建构论认为风险及其后果只能被主观地认识,对风险的认识是一个社会过程;实在论则认为风险发生的概率以及其后果可以被客观地了解、描绘,因此可以被治理和监管。在风险的评估上,还原主义认为风险估计只应依靠由专家和专业人员收集的定量的技术知识以及经济效益-成本分析;系统性方法则认为除了这些硬数据和知识,还有其他形式的数据和知识(非专业人士或政策制定者对风险或对风险发生时的非经济影响的看法)。⑨See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.虽然争议很大,但在风险理论的研究中,研究者也多兼采两者,如贝克即认为,只要这些理论有助于理解我们所处的风险社会中复杂又矛盾的风险本质性,便可以同时使用实在论和建构论。⑩[德]乌尔里希·贝克《再谈风险社会:理论、政治与研究计划》,载芭芭拉·亚当等编《风险社会及其超越社会理论的关键议题》,赵延东等译,北京出版社2005 年版,第321 页。
与理论的激烈争论不同,在风险管理制度设计与实践上往往是“仅得乎中”的结果。因此,虽然人类对于风险的认识历经长期演变,但逐渐被认可的观点是,所谓“风险”意味着按照某种概率发生的不利后果或者损害,因而是可以预测和计算的,属于人们进行选择和决定之际存在的问题。⑪参见季卫东:《决策风险、问责及法律沟通》,载《政法论丛》2016 年第6 期。在这个意义上,风险虽与“不确定性”(uncertainty)相关,但风险又并非完全的不确定性。因为不确定性是反映出物及其发展过程充满变数、难以把握的特性。不确定性无处不在,但在一定时期内,有理论认为有些概率是可预测的,由此区分为可预测的不确定性和完全的不确定性。当然,这些认识还可能随着时间的推移而改变,对于风险的新理解已经将公共治理的对象从物质和事项转移到了人类行为,治理的模式也从恢复损害和预防损害转移到了将公认的行为规范强加给人们并使其内化。⑫See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.p.8.就人工智能风险而言,主要是指与人工智能风险相关的技术未来状态的不稳定与无法确定。因此,对人工智能风险治理的讨论不止于技术本身,还包括“使用这些工具的人”。⑬参见[美]卡里·科利亚尼斯:《算法规制:作为治理工具的机器学习》,孟李冕、宋华琳(译),载《湖湘法学评论》2022 年第2期。不过,人工智能风险属于技术风险,与自然风险又有不同,因为自然发生的风险是不可避免的。⑭徐旭:《技术风险认识研究》,东北大学出版社2022 年版,第8 页。技术风险是一种客观结果与主观认知的结合,是事实判断与价值判断的综合体。⑮毛明芳:《现代技术风险的系统学审视》,人民出版社2020 年版,第50 页。
然而,面对复杂问题和监管实践的动态性,基于风险的治理需要对受监管对象的行为、制度环境、监管控制的相互作用、监管绩效和变化等五个要素做出反应性的监管。此外,监管机构在不同的监管任务中面临的挑战也各不相同,包括检测、响应开发、执法、评估和修改等方面。因此,对基于风险的治理进行修订和更细致入微的理解变得至关重要。在立法和规则制定的过程中,定义清楚治理对象是一件非常重要的事情,以纳米材料为例,David A.Dana 讨论了面向风险的适应性监管的内容。⑯See Dana,David A."Toward risk-based,adaptive regulatory definitions." The Nanotechnology Challenge: Creating Legal Institutions for Uncertain Risks.Cambridge University Press,2011.105-116.Jervan der Heijden 回顾了风险治理以及基于风险监管的实例,为将面向风险的治理方法引入到人工智能安全风险评估与管控领域提供了启发。⑰See van der Heijden,Jeroen."Risk governance and risk-based regulation: A review of the international academic literature." State of the Art in Regulatory Governance Research Paper Series (2019).总的来说,定量评价人工智能产品与服务的安全风险评估指标,需要综合考虑多个方面的因素,包括AI 的性能、效率、公平性、透明性、可解释性等,并需要在实践中不断探索和完善。同时,也需要建立一套统一的评估标准和方法,以便在全球范围内进行比较和交流。对此文章不再予以展开。
在人工智能风险治理上,进行必要的风险分级是治理制度设计的基点。技术研发及其产品生产与应用的潜在失败可能给更广泛的社会主体包括企业和家庭带来成本,因此随着人工智能复杂性、规模和互联性的增长,监管机构通过更严格的法规将面临更高的治理成本。随着企业系统重要性的增加,其失败的社会成本也在增加。因此,科学的人工智能治理框架设计的重要原则是,该框架必须通过一个持续的过程来发展,吸纳可能出现的新风险。“分级”是一种“定性”分析方法,除上文提到的AIA,还被《通用数据保护条例》(GDPR)所接受。不过,分级也需要确定风险指标进行评分甚至加权。⑱[美]道格拉斯·W.哈伯德:《风险管理的失败:为什么失败以及如何修复》,中国金融出版社2021 年版,第25 页。
前文对于“巨石疑案”的解析已经显示,风险仅可在风险发生时才可被评估,且风险的评估受评估主体主观认知的影响,如上风险理论所提出的疑问是,在立法上对于风险进行预先的分级是否是科学可行的?不过,这种疑虑在对于实践做法的观察中似乎又有所缓解,原因是实践中对于风险的评估几无例外地采纳了分级的做法。理论上的解释是,对于风险进行标准化的立法是必要的,原因是鉴于人工智能系统巨大风险,迫使立法者基于功利的思想或者“成本-效益”分析,必须对其进行事前的监管。而且,对于风险的事前分级并未排除具体个案风险评估中对于具体因素的考量。如果将风险的分级作为治理的基础,这种灵活性还体现在分级的具体模式上,比如建设动态调整的高风险人工智能系统的目录。
(二)治理理论与风险的交融
对于人工智能治理框架的整体思考,有必要区分规制(Regulation)与治理(Governance)两个概念。整体来看,广义“规制”概念与“治理”概念多有重合。狭义上来说,规制是治理的一大领域,是供给(Providing)与分配(Distributing)之外的对事物与行为的调控。⑲See Julia Black,Critical Reflections on Regulation.Australian Journal of Legal Philosophy (2002) 27,1-36.John Braithwaite,Cary Coglianese,David Levi-Faur,Can regulation and governance make a difference? Regulation &Governance (2007) 1,1-7.
1.规制与治理的分野
“规制”聚焦于政府或其他主体通过规则对其他主体进行控制,而治理尤其是公共治理则聚焦于对不同主体如何通过合作来共同完成公共治理目标。与此相关,“规制法”是事关如何控制规制主体使其合法行事的法,包括在其规则制定、规制策略选择等规制活动中应当受到的合法性控制等;而治理法则是不同主体如何相互合作共同实现公共任务的法,包括不同主体设定共同目标、制定与执行规则、相互协商与合作、分担责任的法律框架等。⑳参见王瑞雪:《规制法的体系分析——评〈规制、治理与法律:前沿问题研究〉》,载章剑生主编《公法研究》第21 卷,浙江大学出版社2022 年版,第383-395 页。对于人工智能风险的治理,属于治理法的内容。而其治理框架的设计,也需要借助治理法的基本理论方得以建立。
2.卢曼对风险的二阶观察及其启示
当我们试图对风险分级治理进行深入探究时,就会超越风险管理的决策分析,进入到法律或者法学理论对于风险的理解领域。在法律领域,德国学者卢曼对风险的研究影响深远,其中风险的事实与观察的二阶观察(second-order observation)最富洞见。风险的一阶观察其实是一个观察“什么”的问题。对于一阶观察者来说,客观世界的区分已经被设定好了,观察意味着把区分标识出来,以获得视觉、认知上的效果。而对于二阶观察者来说,在一开始的观察中,并不存在“那儿有”的想法,世界并未被区分好,观察意味着设定区分和标识区分。因此,二阶观察者要观察的并不是“什么”的问题,而是一个“如何”的问题。或者说,当二阶观察开始时,二阶观察者要观察的就是特定主体作为观察者的角色,观察他观察的方式,也就是观察他的标识一个方面,而非区分是怎样的。㉑参见宾凯:《政治系统与法律系统对于技术风险的决策观察》,载《交大法学》2020 年第1 期;张戍凡:《观察“风险”何以可能:关于卢曼〈风险:一种社会学理论〉的评述》,载《社会》2006 年第4 期。在这里,行动者自己的一阶观察与把行动作为他人决定来把握的二阶观察会导致对决定的风险作出完全不同的评价;当人们清楚地认识到未来有赖于决定,而决定具有风险时,行动者与行动评价者的视角分歧就会变得非常大。某种损害产生的可能性,对决定者而言是可以选择的风险,但对受决定影响者而言则成为不得不承受的危险。由此推而论之,一个决定可以在决定者(行动者)与受决定影响者(行动评价者)之间划分出鸿沟,也可能产生出潜在的纠纷以及抗议运动。由于这类鸿沟与矛盾、抗议运动起因于人们分别作为行动者和行动评价者的不同视角的“二阶观察”,所以在解决这类问题时有必要部分地返回行动者、决定者自身的一阶观察层面通过实践进行检验,或者在二阶观察的层面通过信息公开和合情合理的说明来加强沟通和相互理解。㉒同前注⑩。
3.技术风险治理与风险预防原则
卢曼的二阶观察与人工智能风险治理的关系为何?换句话说,卢曼对我们的指导为何?答案是,卢曼的风险理论对人工智能风险的分级治理的直接启发,应该是科技与法律的结构耦合确实可用于解释风险预防原则。这一点宾凯教授曾作了分析。风险预防原则(the precautionary principle)的核心内容在于,当法律系统在面对将来的环境和技术不确定性所导致的过量复杂性时,运用科学技术方法对科学技术本身进行评价,然后根据评估结果在各种价值之间进行衡量并做出能够降低环境风险的决定。简言之,风险预防原则包含最为关键的两个要点:对现有科学在因果关系上不确定性程度的评估;对风险决策所可能导致的损失和收益之间的权衡。在一定意义上,风险预防原则可以看成是法律系统与科学系统相互作用的结构耦合(structure coupling)。法律系统运用合法/非法的二元符码(code)进行沟通操作,保证了系统的规范性和封闭性。法律系统同时运用“如果……那么……”的程式(programme)对外部刺激保持认知性和开放性。例如,科学系统在环境保护中所扮演的重要角色,就是通过程式进入到法律系统,并把法律系统外部的刺激带进法律系统内部,以维持法律系统对外部的认知性,也即从系统的环境中学习的能力。㉓参见宾凯:《政治系统与法律系统对于技术风险的决策观察》,载《交大法学》2020 年第1 期。经过这样的双重计算,人类社会就可以对风险预先进行干预。当然,风险预防原则并非法律系统应对未来不确定性的唯一工具,风险评估和风险防治也是工具箱中的备选项。比如,环境影响评估就是一项被广为接受的法律工具。欧盟指令就包含了对公用或私人所涉及的环境项目的影响性评估。另外,责任也是风险应对的一种工具。先放下责任问题,单就风险预防问题而言,正是疏通了预防原则,才能使得对人工智能分级治理有了更为坚实的理论基础。当然,卢曼的二阶观察理论也支撑了上文对于现代技术风险包含人的认知与价值判断的观点。这为将卢曼的二段观察纳入风险理论,尤其是现代技术风险理论内部,构建现代技术风险理论体系(包括风险分级)提供了可能。换句话说,现代技术风险具有了融通内外的特性,具有超越卢曼二阶理论传统理解的特质。
四、规制空间的引入及其应用
(一)规制资源与规制空间建设的基本逻辑
“规制空间”(Regulatory Space)理论被用以观察规制权威的分散,是对规制权力扩张的一种更为具体的解释方案。㉔参见[英]科林·斯科特:《规制、治理与法律:前沿问题研究》,安永康译,宋华琳校,清华大学出版社2018 年版,第31 页。在规制领域,控制的核心问题在于关键规制资源的碎片化。规制空间隐喻的核心观点认为,要占有规制权并有能力实施规制,需要有相关的资源,而资源呈现分化或碎片化的样态。这些资源不限于由立法或合同演化出的正式国家权力,还包括信息、财富和组织方面的能力。这些资源分散于各种政府主体之间以及政府与非政府主体之间。被规制企业可以结合其拥有的信息与组织方面的能力,获取相当大的非正式权力,这种权力甚至能对规则的形成或实施结果产生重大影响。换言之,这种因占有关键资源而获取的能力,未必以科层制的方式运作于规制空间之中,规制者未必凌驾于被规制者之上。在规制空间中,不仅同时存在规制者与被规制者,还存在很多其他政府与非政府主体,这些主体在不同程度上分享着规制资源。并且在各主体之间横向存在着复杂多变的关系,彼此相互依赖、相互协商。㉕同上注。
有效的规制是规制空间内各主体所拥有的资源、价值观及其之间的关系相互作用的产物。制度设计或者规制改革自然应当关注各个主体并使其发挥潜力,在事实上形成政府主体之间的分权,以及政府与非政府主体之间的分权。这种分析促使我们质疑规制者在规则制定与执行过程中做出专业化、技术性决定的能力,使得我们更加关注能以怎样的程序在规制空间中形成和塑造多元化、相互交叠的权力。㉖同前注㉔,第51 页。调整各规制者所承担职能之间的关系,可以间接地改变规制空间内规制主体的视角,规制空间中的行为也会发生相应改变。㉗同前注㉔,第52 页。为此需要形成“规制空间内部的动态变化”。㉘同前注㉔,第53 页。该理论所提出的解释方案,实际上是认为规制能力、规制角色与规制责任之间互为因果关系,有循环论证之嫌。但其洞见仍对我们理解广义规制概念极有助益,提醒我们不仅公权力可以产生高权关系,私人主体基于信息、财富与组织能力亦有可能成为规制过程中的权威。
除此之外,规制权威的分散化,使得在规制空间内各主体之间形成了可协商的相互依存的关系。与资源分散这个主题相关的是,规制空间观念还鼓励我们重新考虑可问责性(accountablity)的性质,并将其同民主控制与规制复活等议题相联系。㉙同前注㉔,第40 页。限于本文的论证主题与篇幅,不再讨论这一问题。
治理者在风险治理中面临的一个挑战是:他们可能会在事情平静的时候被批评得过于严厉,而在风险已经实现的时候又过于松懈。换句话说,风险监管的增长可能会给政府带来合法性问题:如果它试图解决的问题没有发生,它如何能证明其有效性?这样就导致了监管者高度依赖第三方评估及对其问责的问题。或许正是由于问责制,提高风险治理制度的开放性成为努力方向。㉚See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.p.23-24.
(二)构建以技术为基础的风险治理框架
由规制空间理论观察对于人工智能风险的治理,正在形成一个“金字塔结构”,从塔底到塔尖依次是技术及其标准、商业模式、伦理准则与法律。尤其是在法律3.0 的视角下,本来作为治理对象的技术,所发挥的基础治理作用越发被人重视。就风险监管而言,促进技术向生态化、人文化转变具有基础作用。此外技术上的努力至少包括对风险的预警、评测(量化处理)等方面。这需要在具体应用场景中发展具体的标准与实验方法。就实验方法而言,目前国家网信办正在推动的人工智能社会实验广受关注。
在伦理与法律的双螺旋中,伦理是综合监管制度设计的基准与底线。GAI 的开发与应用作为人类科技实践活动,应当与人的目的相一致,与社会核心价值、发展目标相契合。为此,应充分考虑社会各界对GAI 应用的高度伦理关切,全面研判潜在伦理风险,重点参照国内外具有较大影响力的伦理指南、政策文件、标准共识,贯彻落实《中国新一代人工智能伦理规范》《关于加强科技伦理治理的意见》等重要文件精神,制定相关伦理治理原则,将增进人类福祉作为第一要义,负责任地开发GAI。
结合具体场景设计具体规范作为指引,完善合法与违法的二元化编码规范体系。尽管伦理原则彰显了AIGC 伦理治理的价值导向,仍须在此基础上,根据GAI 的具体应用情境和技术条件,制定更具操作性的伦理与法律规范和行为准则。首先,应加强对GAI 各领域及其特征的分析研判,识别潜在伦理风险;其次,针对应用实践,梳理各类影响因素并据此确定具体应用规范和治理指南;再次,应全流程记录规范的实施过程与实效结果,及时反馈评估以期规范的动态调整与可持续地发挥作用。为了减少时间限制、防控决策风险,现代法治国家的制度设计普遍推行以“合法”与“违法”的二元化编码为特征的规范图式。“通过合法与违法的二元化编码和规范思维的形式性要求,可以把决定者从问责的重负中适当解放出来并同时对自由裁量权加以制约,可以使风险沟通的复杂性大幅度简化,有助于就决策的妥当性和问责标准达成共识。”㉛同前注⑩。此外,这一规范模式中结果指向的实质性判断重视风险意识的作用,也促使法律责任从过失责任转向危险责任,并不断加强行动者、决定者的注意义务。㉜参见[德]乌尔里希·贝克:《风险社会》,何博闻译,译林出版社1992 年版,第77-78 页。
(三)风险沟通与协调的监管格局
正如季卫东教授所指出的,风险社会的实质是问责以及相应的沟通。民主参与的实质是处理风险沟通问题的制度安排,或者说是通过沟通来管理风险的制度安排。㉝同前注⑩。为了凝聚社会风险治理的合力,还需要进行如下方面的努力:多渠道进行科技伦理与法律宣传、活动与交流,提升公众的科技伦理意识,广泛听取专业意见,建立可靠的监督机制,推动形成多方参与、协同共治的科技伦理与法律治理格局。学界应积极推动跨学科融合对话,以GAI 治理为导向,采众学科之长,实现学科内部的“精耕细作”和跨学科研究的“集团作战”。企业应增强责任意识,完善企业在伦理与法律风险方面的决策、咨询与调控的制度框架,提高企业对AIGC 风险的识别、评估、处理能力。民众应主动学习科技伦理与法律知识,增强科技伦理意识,提升对虚假信息的鉴别能力,自觉践行科技伦理原则,坚守科技伦理底线。通过这些制度的建构,最终有助于形成当今中国化解风险沟通难题的一种合理对策,诚如季卫东教授所言,这一对策的典型特征是将政治问题法律化、法律问题程序化、程序问题技术化、技术问题论证化。
法律规则本质上也是沟通机制。在对立法价值与规范目的进行设定之后,规则设计的最大挑战可能是价值的精确表达。但立法者常常无法提供这样的精确性,要么因为个人本身无法将此具体化,要么因为就所需的精确程度而言,并不存在社会共识。回顾立法历史,立法规则的颗粒度都不高,立法者一般会选取“合理”“可行”和“适当”等宽泛的术语。正是由于价值偏好的不确定性、混乱和分歧,法律经常依赖于空洞的术语。按美国法律学者卡斯·桑斯坦(Cass Sunstein)的话说,这种价值精确性的挑战是“未完全理论化合意”(incompletely theorized agreements)。因此,在开发整合性的设计选择时,应尽可能公开程序;当具有可行性时,应通过咨询委员会、公开听证会或公众评论期的设置,给公众和专家以参与的机会。这种技术必要性引发的两个实际问题,将会困扰依靠将人排除于决策之外的算法系统的政府官员,并可能成为对其使用的最为实质性的限制:第一是价值完整性问题,第二则是价值精确性问题。在此不再赘述。
(四)合理处理风险与民事责任的互动关系
风险与责任的互动关系尚未被重视,在欧盟AIA 中也并未涉及责任承担的问题。不过,在民事责任领域,风险与侵权归责存在紧密的关系。在过错责任中,风险关系着过错的判断;无过错责任归责的基础就是风险。此外,风险也影响着侵权责任的承担。㉞Johanna Chamberlain,The Risk-Based Approach of the European Union’s Proposed Artificial Intelligence Regulation: Some Comments from a Tort Law Perspective,European Journal of Risk Regulation (2023),14,1-4.人工智能风险分级与损害发生后的责任承担存在何种互动关系,在欧洲议会关于《人工智能民生责任制度的决议》中已经有所提及。㉟European Parliament resolution of 20 October 2020 on a civil liability regime for artificial intelligence,2020/ 2014(INL).具体来说,与AIA 类似欧洲议会也采纳了分级的观点:不同的责任规则对应着不同的风险。欧洲议会建议协调成员国民事责任赔偿的法律框架,对高风险人工智能系统的运营商施加无过错责任。对于未列入高风险人工智能附件中的人工智能系统,则承担过错责任。进一步说,对于有限风险的人工智能系统进行过错推定,对于最低风险的人工智能系统则采用一般过错责任。㊱Johanna Chamberlain,The Risk-Based Approach of the European Union’s Proposed Artificial Intelligence Regulation: Some Comments from a Tort Law Perspective,European Journal of Risk Regulation (2023),14,1-4.在我国的人工智能地方立法实践中,虽然《上海市促进人工智能产业发展条例》《深圳经济特区人工智能产业促进条例》均采纳风险分级的制度,但限于地方立法权限并未涉及责任制度。这为国家层面的人工智能立法进行了留白,而上述欧盟法对于风险与责任互动关系的认识,对于未来人工智能国家立法或有助益。
