果冻九一麻花

【摘要】我国人工智能立法需要引入全球比较视野。目前美国的人工智能立法强调市场主导与公司自我规制，仅在出口管制、涉国家安全信息共享、民权保护、消费者保护等领域进行规制。欧盟则急于发挥布鲁塞尔效应，对人工智能进行统一立法与风险规制，准备将人工智能系统纳入产物责任范畴、确立特殊举证责任。我国人工智能立法应坚持场景化规制进路，不急于统一立法，待时机成熟时再制定综合性人工智能法。我国人工智能法可从一般原则、公法、私法叁个层面展开。其总则应体现发展、平等、开放、安全的价值理念；其公法规制应针对重大公共风险，对其他风险适用场景化规制、尊重行业自治、防止部门越权立法；其私法制度应对终端产物而非人工智能系统本身施加产物责任，其可以制定人工智能特殊侵权规则，但应先通过司法积累相关经验。

【关键字】人工智能立法；风险规制；场景化规制；人工智能侵权；产物责任

人工智能立法面临若干经典难题。其一，人工智能立法需要兼顾发展与安全、活力与秩序的平衡。面对人工智能带来的各类风险，法律要避免人工智能在“法外之地”发展；又要促进人工智能技术发展、造福人民，避免不发展这一“最大的不安全”。其二，人工智能的日新月异与法律的相对稳定性存在紧张。在学理上，这种紧张关系被归纳为科林格里奇困境（Collingridge dilemma）或所谓的“步调”（pacing）问题，即法律与科技发展的节奏与步调相差很大。其三，人工智能议题的场景性与法律的一般性存在紧张。人工智能法律问题既涉及公法也涉及私法，而且在不同场景下又有不同问题，例如人工智能应用于各类产物和服务所带来的风险规制、个人信息保护、言论侵权、消费者保护、人工智能训练数据的合法性、人工智能作品的著作权归属等问题。但传统立法主要以部门法或行业法为基础，强调法律体系统一性与融贯性。其四，人工智能还存在全球竞争与协调的问题。人工智能作为新质生产力的代表，其立法如何在人工智能技术与规则制定方面同时引领世界，已经成为各国的战略议题。对于我国而言，如何进行人工智能立法、是否应当制定统一性的人工智能法，也已经成为各方讨论的焦点。

本文从比较的视野对上述问题进行分析，重点选取美国、欧盟与我国的人工智能立法进行比较分析。之所以选取比较的视野，除了前述第四点提到的人工智能全球竞争与协调必然涉及不同国家与地区，另一个原因是全球的人工智能都面临类似的前面三个问题。例如各国的人工智能立法与政策制定都无一例外提到发展与安全的平衡，各国对于人工智能立法的时机与节奏也一直存在争论，并且对人工智能立法的统一性与场景化提出了不同方案。而之所以采取美国、欧盟、我国三个国家与地区进行分析，是因为中美欧已经成为人工智能与人工智能规则制定领域最为重要的国家和地区。用布莱德福德（Anu Bradford）教授的话来说，就是这三个国家和地区是全球公认的“主导性数字力量”。

具体而言，本文第一、二部分分别对美国与欧盟的人工智能立法进行分析，指出美国与欧盟采取了表面相似但实际迥异的立法进路。第叁部分从美欧以及域外其他国家的比较视野出发，从立法的价值立场、公法与私法叁个维度总结人工智能立法的一般原理，指出美国人工智能立法存在霸权主义与排外主义弊端，但其发展导向、实用主义与场景化的规制进路与我国契合；而欧盟人工智能立法存在价值优越主义、过度规制的陷阱，但其对弱势群体保护的立场也具有合理性。第四部分对我国人工智能的立法现状进行总结，并对我国未来的人工智能立法特别是总体性的人工智能法进行分析。面对美欧协调，我国人工智能立法应当以发展、平等、开放、安全的价值理念为指引，对重大公共风险进行小切口规制，对其他风险适用公司自我规制与私法事后规制。第五部分对全文进行总结，指出我国人工智能立法应当保持战略耐心，既为人工智能发展预留探索空间，又为未来人工智能立法积累足够深入的学术研究与经验积累。

一、美国的人工智能立法

在人工智能产业与技术发展方面，美国处于全球领先的地位，其中美国的法律制度扮演了关键性角色。正如有学者所言，美国之所以在互联网、信息科技等领域领先全球，很大原因是“法律造就了硅谷”。此外，美国的立法体制较为复杂，国内学界常常对美国的一些立法产生误读。因此，有必要首先阐述美国的人工智能立法。

（一）联邦层面

在不少中文论文与网络文章中，经常可以看到美国制定或通过“某某人工智能法案”的论断，例如提到美国在2021年制定了《算法正义与在线平台透明度法案》（Algorithmic Justice and Online Platform Transparency Act）、《过滤气泡透明度法案》（Filter Bubble Transparency Act）、2022年的《算法问责法案》（Algorithmic Accountability Act）。但实际上，上述提案均未通过美国国会的投票，并没有成为法律，至今为止，美国没有在联邦层面通过或接近通过任何人工智能的法案。在美国的立法体制中，平均只有不到百分之几国会提案（bills）最终成为法律（law），将美国国会议员所提起的大量提案作为法律介绍到国内，将可能引发我国学界对美国人工智能立法的误读。

在可预见的将来，美国国会也不太可能进行联邦层面的综合性人工智能立法。其原因有若干。首先，美国的法律与政治文化历来对科技创新具有很高的包容性，对综合性的科技规制立法历来持审慎立场。人工智能作为美国“新质生产力”与国家竞争力的代表，美国不太可能在短期通过立法对其进行规制。其次，人工智能所带来的法律问题涉及各个方面。相比个人信息保护法或信息隐私法，人工智能法远未形成统一的法律传统与成熟的制度框架。即使在制度已经非常成熟、全球绝大部分都已经进行立法的个人信息保护法领域，美国国会也并未通过个人信息保护立法。在人工智能领域，美国更不可能在国会层面进行仓促立法。

在联邦层面，美国现有的人工智能“立法”限于美国总统发布的行政命令。而之所以给这些人工智能“立法”打上引号，是因为总统发布行政命令的权限要么来自于美国宪法第二条所赋予的行政权，要么来自于美国国会的立法授权，这些行政命令可能具有法律的强制力与效果，但本身并不是严格意义上的法。整体而言，美国的行政命令主要集中在国家安全、军事、对外关系等领域。在过去若干年里，美国通过行政命令在人工智能领域制定了一系列涉及对外关系的行政命令，涉及人工智能出口管制、投资、数据跨境等内容。在对内立法方面，美国总统所颁布的行政命令主要对联邦规制机构应用人工智能发布了规范性指引，其对公司所进行的规范主要限于涉及国家安全的人工智能应用中的信息共享责任。

以特朗普政府和拜登政府所颁布的行政命令为例，特朗普政府发布的第13859号行政命令《保持美国在人工智能领域的领导地位》（Maintaining American Leadership in Artificial Intelligence）和第13960号行政命令《促进联邦政府使用值得信赖的人工智能》（Promoting the Use of Trustworthy Artificial Intelligence in the Federal Government）主要针对美国规制机构使用人工智能进行了规定。拜登政府发布的第14110号行政命令《安全、可靠和值得信赖地开发和使用人工智能》（On the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence）的行政命令也主要是要求美国联邦规制机构在刑事司法、教育、医疗保健、住房和劳工等领域制定标准与规范。针对市场化运行的人工智能公司，第14110号行政命令援引1950年制定的《国防生产法》（Defense Production Act），要求公司在涉及国家安全或公共健康安全构成严重风险的人工智能模型训练与联邦政府分享信息。《国防生产法》赋予总统命令公司生产商品和提供服务以支持国防的权力，拜登政府试图引用这部法律对人工智能公司进行有限规制。

美国联邦机构的其他人工智能政策、标准与声明也不具有法律约束力，或者并未进行新的立法。例如美国白宫科技办公室（The White House Office of Science and Technology）发布的《人工智能权利法案蓝图》（Blueprint for an AI Bill of Rights）是一个不具有约束力的保护公民免受基于人工智能的歧视，并确保隐私和安全的框架。美国联邦贸易委员会对于人工智能发布了一系列的声明和意见，但这些声明和意见主要是在人工智能与算法决策领域适用消费者保护法，而非对人工智能进行新立法或综合性立法。对人工智能进行较为全面性标准制定的是美国商务部下属的美国国家标准与技术研究所（NIST）所制定的《人工智能风险管理框架》，该法案对人工智能风险进行了一般性规定，建构了基于人工智能生命周期的风险管理框架。不过，这一框架是一个公司自愿实施、不具有法律或标准强制力的文件。美国国家标准与技术研究所虽然仍然冠有“标准”的抬头，但在软件、人工智能等领域早已经“非标准化”（un-standards），依赖公司的自我规制而非政府制定单一标准来规制相关风险。

（二）州层面立法

美国州层面的立法相对容易通过。目前，已经有科罗拉多州、犹他州等州通过了人工智能或与人工智能相关的某些法律。综合而言，这些美国州层面的立法对于人工智能的规制主要限定在消费者保护、反歧视、民权保护等领域，其对人工智能公司所施加的义务仍然非常有限。而加州则由于聚集了大量的大型互联网与人工智能公司，其正在进行的立法聚焦于重大公共安全风险，其设定的监管门槛将绝大部分公司都排除在监管对象之外，采取了看似强制性规制但实际上以公司自我规制和合规免责为主的制度。

以《科罗拉多州人工智能法》（Colorado Artificial Intelligence Act）为例，该法被认为是美国第一个对高风险人工智能进行规制的州。该法规定，如果人工智能影响消费者的教育入学或教育机会、就业或就业机会、金融或借贷服务、必不可少的政府服务、医疗保健服务、住房、保险、法律服务，或者对产生具有法律性影响或类似重大影响，那么此类人工智能系统就将被视为高风险人工智能系统（high-risk AI system）。从法律规制的范围来看，《科罗拉多州人工智能法》受到了下文将要讨论的欧盟人工智能法的一定影响，都将高风险人工智能作为规制或重点规制对象。不过，与欧盟不同的是，《科罗拉多州人工智能法》明确将这一法律定位于“涉及与人工智能系统交互的消费者保护”，而非对所有领域的人工智能进行规制。

从对高风险人工智能的义务设定来看，《科罗拉多州人工智能法》要求其开发者（developer）和部署者（deployer）采取合理注意义务（reasonably care），避免消费者遭受算法歧视。例如，开发者应当向部署者提供信息以进行影响评估；发现算法歧视风险后在期限内告知总检察长和部署者；在网站上发布高风险人工智能、可预见的算法歧视风险的公开声明、人工智能系统的目的、预期效益和用途。部署者则应当实施风险管理政策和计划、完成人工智能风险的影响评估、向消费者告知使用了人工智能、发现算法歧视后在期限内告知总检察长；在网站上发布其正在部署的高风险人工智能系统，以及可能出现的任何已知或合理可预见的算法歧视风险。当高风险人工智能系统的开发者与部署者满足上述条件，则可以预设其履行了避免算法歧视的合理注意义务。

其他已经对人工智能进行立法的州同样采取了消费者保护或民权保护的进路，将消费者知情权、反歧视等传统法律要求延伸到人工智能领域。不过，相比科罗拉多州，目前其他州所施加的责任要更轻。例如《犹他州人工智能政策法案》（Utah Artificial Intelligence Policy Act）主要规定了使用生成式人工智能时的披露义务。针对律师、医生等“受监管职业”（regulated occupation），这些群体如果使用生成式人工智能与消费者进行互动，他们就必须以“显著地”（prominently）方式向消费者进行披露；而不属于“受监管职业”但受犹他州消费者保护法约束的主体则必须“清晰和醒目地”（clearly and conspicuously）披露其使用人工智能的情况。

加利福尼亚州的立法则聚焦于促进人工智能发展和监管人工智能带来的重大公共风险。目前，加州的SB-1047法案，即《前沿人工智能模型安全创新法案》（Safe and Secure Innovation for Frontier Artificial Intelligence Models Act）正在加州议会审议。该法案将运算能力大于10的26次方的人工智能模型纳入“被监管模型”（covered entity），要求这类模型的开发者制定安全标准，预防“利用化学、生物、放射性或核武器”造成大规模伤亡、造成5亿美元以上损失的针对关键基础设施的网络攻击、造成5亿美元以上损失的违反刑法的行为，以及类似的公共安全伤害。不过，需要注意，该法案的监管门槛其实很高，因为运算能力大于10的26次方的人工智能模型实际上已经将目前现有的人工智能模型基本排除在外。同时，该法案还设置了对受监管模型的“有限责任豁免”（limited duty exemption）。这些豁免条款规定，当受监管模型的开发者满足了风险管理的十项义务，就可以获得法律责任的豁免。综合而言，加州正在进行的立法所针对的监管对象、预防的风险都非常有限，基本上采取了行业自治与合规免责的立场。

二、欧盟的人工智能立法

与美国的分散化、市场化人工智能立法进路不同，欧盟采取了人工智能统一规制的立法进路。在公法监管层面，欧盟首先在2024年正式通过了《人工智能法》（Artificial Intelligence Act），确立了对人工智能风险进行统一化和分类分级的规制进路。在产物责任与侵权领域，欧盟正在起草的《产物责任指令》（Product Liability Directive）和《人工智能责任指令》（AI Liability Directive）则确立了人工智能系统的产物责任与人工智能侵权的特殊举证责任。

（一）统一化的风险规制

欧盟《人工智能法》将人工智能系统分为两类：产物构成类和独立于产物的辅助决策类人工智能系统。前者例如医疗器械、自动驾驶、轮船、玩具等产物内部包含的人工智能系统，后者例如用于招聘雇佣、招生升学、移民筛查、执法检查等各类应用场景的人工智能系统。对于这两类人工智能系统，欧盟《人工智能法》认识到其显着区别，即前者产生的是安全、人身和财产性的产物类损害，后者产生的主要是基本权利类侵害。但欧盟《人工智能法》仍然将这些不同类别的人工智能系统放在一起进行统一规制，既不区分产物类与辅助决策类人工智能系统，也不区分适用于公共部门与私营部门的人工智能系统。

在风险分级上，欧盟《人工智能法》也进行统一分级，将风险分为禁止性（prohibited）、高风险（high-risk）、有限风险（limited-risk）、最小风险（minimal-risk）四类，并着重对高风险进行了规定。其中禁止类的风险主要包括利用潜意识技术（subliminal techniques）扭曲个人或群体的行为，造成重大伤害、利用人工智能危害特定弱势群体、进行社会信用评分（social scoring）、利用人工智能进行特定侵入性的执法等类型。而高风险主要包括应用于现有欧盟产物安全法范围的人工智能系统，以及在生物识别、关键基础设施、教育和职业培训、就业、工人管理和自营职业机会、获得和享受基本的私人服务和公共服务及福利、执法、移民、庇护和边境管制管理、司法和民主进程等特定领域应用人工智能系统。

对于高风险的人工智能，人工智能系统的提供者（provider）需要承担一系列责任，例如在进入市场流通之前承担风险管理系统、数据治理、技术性文件、记录保存、透明度和向部署者提供信息、人为监督，以及准确性、稳健性和网络安全。在进入市场后应建立和记录与人工智能技术的性质、高风险人工智能系统的风险相称“上市后监测系统”（post-market monitoring system）。相对而言，高风险人工智能系统的部署者则需要承担相对较少的责任，例如确保采取适当的技术和组织措施，以按照系统所附的使用说明使用这些系统；确保由自然人进行人类监控；确保输入数据与高风险人工智能系统的预期用途相关且具有足够的代表性；根据使用说明监控高风险人工智能系统的运行，并在必要时向供应商提供信息；保存自动生成的日志等。

随着近年来生成式人工智能与大模型的爆发性发展，欧盟《人工智能法》还在修订过程中提出了“通用人工智能模型”（general purpose AI model）的概念，对其进行特殊规定。这类人工智能的提供者需要承担提供技术性文件、向下游人工智能系统的提供者披露信息和文件、提供模型训练所使用内容的摘要、与主管当局合作等责任。此外，如果此类人工智能具有“高影响能力”（high impact capabilities），就可能成为“具有系统性风险的通用人工智能模型”（general-purpose AI model with systemic risk），需要承担特殊责任，例如进行模型评价（model evaluation），评估和减轻系统性风险，追踪、记录和报告严重事件的相关信息与可能的纠正措施，确保足够水平的网络安全保护等责任。

（二）产物责任与侵权责任

与人工智能的公法规制相应，欧盟在产物责任与侵权责任方面对人工智能也进行了特殊立法。在产物责任方面，欧盟委员会在2022年提出了新的产物责任指令草案，这一产物责任指令草案意图对已经实施了40年的《产物责任指令》进行更新，以适应数字时代的新变化。根据这一草案，软件和独立人工智系统将首次被纳入“产物”的范畴，这些产物的制造者（manufactures）将对具有缺陷的产物承担严格责任。而非独立存在的人工智能系统如果被整合到产物中，或者对于产物发挥功能不可或缺，那么这类非人工智能系统就构成“相关服务”（related service），成为产物的“组件”（component）。针对产物组件，其制造者也需要承担严格产物责任。

在侵权责任方面，欧盟委员会在2022年提出了《人工智能责任指令（草案）》，对基于过错原则的人工智能侵权进行了规定。这一草案可以视为《人工智能法》的侵权法配套立法，聚焦高风险人工智能的侵权责任，特别是高风险人工智能侵权中的举证责任。根据这一草案，如果人工智能系统没有遵守欧盟法或各国法对于人工智能系统的注意义务规定，那么人工智能系统的输出或未能正常输出与相关损害之间存在可反驳的因果关系（rebuttable causation），即法律将假设二者之间存在因果关系，但这种因果关系可以被推翻。此外，各国法院将有权要求高风险人工智能的提供者或使用者披露相关证据与信息，以平衡原告在此类侵权中的信息能力。

新的产物责任指令草案与《人工智能责任指令（草案）》的关系极为复杂，其中的一些交叉之处引起了不少学者的尖锐批评。本文限于篇幅不对这些问题进行详细论述，在此仅指出欧盟对于两部立法的整体意图与思路。新的产物责任指令草案更倾向于实现欧盟各国法律的统一，以促进产物在各国的自由流通，因此采取了严格产物责任的立法进路。而《人工智能责任指令（草案）》则仍然以欧盟各国侵权法为主，因此仍然采取过错责任的进路，只在举证责任方面进行特殊规定。从两部法律的内容与目前的立法进程看，新的产物责任指令草案很可能会率先通过成为法律，而且其适用将很大程度排除人工智能责任指令的适用空间。不过，由于欧盟对于产物责任的救济限于生命权（the right to life）、身体完整权（bodily integrity）、健康权和财产权（health and property），对于人工智能造成的侵犯个人隐私、侮辱诽谤等侵权，未来《人工智能责任指令（草案）》如果通过，这一聚焦于举证责任的立法和欧盟各国的侵权法将仍然能够在人工智能侵权中发挥一定作用。

文章来源：本文转自《比较法研究》2024年第4期，转载请注明原始出处，并遵守该处的版权规定。