高级检索

学术资源

行政法学

当前位置: 首页 -> 学术资源 -> 行政法学前沿 -> 行政法学 -> 正文

曾雄、梁正、张辉:欧盟人工智能的规制路径及其对我国的启示——以《人工智能法案》为分析对象

信息来源:《电子政务》2022年第9期 发布日期:2023-07-31

 :欧盟发布的《人工智能法案》基于风险预防的理念为人工智能制定了一套覆盖全过程的风险规制体系,其提出的风险分类思路、产品规制路径、负责任创新和实验主义治理理念等对我国人工智能的立法规制具有重要的借鉴意义。立法必要性、立法体例、立法内容和立法的价值取向是讨论我国人工智能立法的四个重要面向。研究认为,我国人工智能立法是大势所趋,在立法体例上可以采取综合性立法方式,单独制定一部人工智能法;在立法内容上进行事前-事中-事后全链条监管机制设计;对于立法的价值取向,应坚持规范与发展并行的原则,制定一部兼具规制治理与产业发展相结合的人工智能法。

关键词:人工智能;数字治理;智能治理;实验主义


一、欧盟《人工智能法案》的制定背景与规制逻辑


人工智能具有模糊性、复杂性、自主性和无法预测性等特征,这给社会带来诸多风险和问题。为了确保人工智能的发展尊重人权并获得信任,2021421日,欧盟发布了《人工智能法案》(Artificial Intelligence Act),为人工智能治理提供硬法支持。

(一)通过立法确保人工智能尊重人权并获得信任

《人工智能法案》提案需要获得欧洲理事会和欧洲议会的批准才能成为正式法律,整个过程可能需要数年时间。基于欧洲特定的技术环境、社会经济环境、政治环境等,欧盟积极推进人工智能方面的立法,确保人工智能安全和尊重人的基本权利,并致力于促进人工智能领域的投资创新,将欧洲打造成为一个可信任人工智能的中心。

第一,在技术应用方面,传统的人工智能主要是基于规则的算法rule-based algorithms),它们通过自动执行由程序员编制的程序代码规则执行复杂任务。如今学习算法learning algorithms)盛行,为了实现学习,机器学习系统需要强大的算力和大数据支持。

第二,在社会经济方面,人工智能加速经济增长和提升各经济体的全球竞争力,欧洲各行业正加速推进向智能化转型,欧洲亟需抓住人工智能发展的时代机遇。但人工智能带来社会经济效益的同时,也给个人或社会带来风险,如利用人工智能欺骗或操纵人类的选择,对人的基本权利甚至整个社会带来威胁。欧盟一方面想抓住发展时机,另一方面想规避风险,从而需要寻找一条平衡之路。正如欧盟委员会主席乌尔苏拉莱恩(Ursula von der Leyen)所言:为了释放人工智能的潜力,我们必须找到一条欧洲道路,在数据流动和广泛使用之间取得平衡,同时保证高水平的隐私、安全和伦理标准。

第三,在法律保障方面,欧盟尚缺关于人工智能的具体法律框架,虽然欧盟《通用数据保护条例》(General Data Protection RegulationGDPR)涉及了自动化决策系统的规制,比如第22条规定了解释权,且第35条规定了数据保护影响评估制度,但是这些规定在执行层面遇到各种挑战,而且各个成员国的做法不一,执行起来存在很大的不确定性。

第四,在政治背景方面,人工智能一直是欧盟委员会工作的重点领域,2018年欧盟委员会就任命了人工智能的高水平专家组(High-Level Expert Group on Artificial Intelligence),并提出可信人工智能的伦理指引,同时提出可信人工智能的政策与投资建议。20202月,欧盟委员会发布人工智能白皮书,确定了监管的政策选项和以投资为导向的路径。202010月,欧盟发布系列报告呼吁解决人工智能系统存在的模糊性、复杂性、偏见、不可预测性、自主性等问题,确保人工智能不侵犯人的基本权利,并积极推动法律法规的修订。因此,该法案是欧盟委员会推进人工智能治理路线的一个重要环节,未来将有更多的匹配政策出台。

(二)遵循特征-问题-目标-举措的规制逻辑

该法案以分析特征-问题-目标-举措的基本思路制定规则。

第一,在特征方面,人工智能与其他新技术相比,具有一定的独特性,包括复杂性和模糊性,因而产生明显的不可预测性,再加上自动化程度增强,人工智能的自主性越来越显著。此外,由于机器学习算法的流行,人工智能对数据存在很强的依赖性,数据的质量直接影响算法的质量。

第二,人工智能将越来越普遍地运用于人类生产和生活中,比如自动驾驶汽车、人脸识别等,随时可能危害人类社会的安全和侵犯人类基本权利。但由于其技术原理的复杂性、模糊性和不可解释性,现有法律规则供给不足,监管机构面临规制困境,人们对人工智能失去信任和信心,反过来不利于新技术发展,不利于生产力提高。虽然欧盟各个成员国就治理人工智能出台过分散和零碎的政策,但是这些政策都呈现出碎片化的特征,无法满足欧盟单一市场的规制需求。

第三,面对这些问题,欧盟委员会确立了四项关键目标,包括确保人工智能的安全与合法、实现对人工智能的科学治理和有效执法、弥补法律空白,以及形成人工智能的单一市场。

第四,为实现前述四项目标,欧盟委员会设计了多个规制工具,比如风险管理体系、质量管理体系以及监管沙盒等(参见图1)。

3A689


二、欧盟《人工智能法案》的规制理念


人工智能法案》集中体现了欧盟采取基于风险的规制(risk-based approach)、倡导负责任的研究与创新(responsible research and innovation)以及坚持实验主义治理(experimentalist governance)的理念。

(一)基于风险的规制

基于风险的规制具有以下特征:起点是风险,评估风险是关键环节;不限于一个特定阶段,而是覆盖规制的全过程;强调灵活性,规制手段随着风险类型和大小程度进行动态调整。

风险评估:根据风险程度的等级对人工智能进行分类

欧盟采用基于风险的规制思路,具体表现为:对不同人工智能的风险程度进行分类,分为不可接受的风险、高风险、有限风险、最小风险,并对不同风险程度采取不同的监管措施(参见表1)。

8394B

覆盖全过程:风险管理措施覆盖入市前和入市后

欧盟基于风险的规制为人工智能设计了全生命周期的规制措施,覆盖人工智能产品入市前和入市后阶段,实现事前、事中和事后的完整规制。这种机制设计带有德国法的痕迹,即借鉴了德国法的产品跟踪观察制度。欧盟将人工智能规制周期分成五个阶段:设计开发、评估、注册、CE标志(欧洲共同市场安全标志)、监测。

在设计开发阶段,应建立和维护风险管理系统。风险管理应该涵盖人工智能系统的整个生命周期,即设计和开发阶段就应该实施和维护风险管理系统。风险管理包括图2所示的四个步骤。

在设计研发阶段,具体的技术要求包括:数据治理。应在满足一定质量标准的数据上进行训练、验证和测试,采集、标注、清洗数据遵守管理规范,并保障数据具有代表性、准确性和完整性。技术文件。应在人工智能系统上市之前起草技术文档,向主管机构提供必要技术信息,评估人工智能系统的合规性。记录保存。人工智能系统在设计和开发时应该有自动记录功能(日志),对风险和损失进行监视,保证人工智能系统整个生命周期的可追溯性。透明度要求。应向用户提供人工智能系统的准确和完整的信息,包括人工智能系统的提供者、人工智能系统的性能和缺陷、人为监督措施等。人为监督。应设计人-机界面工具,便于人工智能系统在使用中受到人的监督,并保证人对人工智能系统可实施干预,如通过停止按钮中断系统。准确性、鲁棒性和网络安全性。应保证人工智能系统具备适当的准确性、鲁棒性和网络安全性。

在评估阶段,人工智能系统的供应商应在系统上市前进行合格评估(conformity assessment procedure),由评定机构对人工智能系统是否满足法案第二章所规定的各项要求进行验证。

在注册阶段,人工智能系统上市前,供应商应将系统注册到欧盟数据库中,数据库的控制者为欧盟委员会,而且数据库向公众开放。

CE标志阶段,供应商应为每个人工智能系统制定一份书面的欧盟合规声明(declaration of conformity),并且在人工智能系统上市或投入使用后交由主管机构保存10年。供应商还应为人工智能系统贴上CE标志。在欧盟,加贴CE标志的商品表示其符合安全、卫生、环保和消费者保护等一系列欧盟指令的要求,没有CE标志的商品不得上市销售,已加贴CE标志入市的商品,若发现不符合安全要求,应该从市场上收回。

在监测阶段,人工智能系统上市后,供应商应该建立和记录售后监测系统,收集分析人工智能系统整个生命周期内运营性能的数据。入市后供应商建立的监测系统应该以技术文件中的入市后监测计划为基础,欧盟委员会将在未来的立法中建立入市后监测计划的模板,列出所应包括的要素清单。供应商还应该就人工智能系统的相关事故或故障通知监管机构,即在供应商意识到严重的事故或故障的15日之内通知相关机构。

保证灵活性:敏捷评估风险变化并及时采取纠正措施

人工智能技术发展变化快,其风险程度和风险类型随时发生变化,预防和规制措施需要适时调整。在风险评估上,法案要求每年对高风险清单进行评估并修改;在技术监测上,法案要求人工智能系统提供者采取入市后监控措施,包括保留日志记录功能,确保人工智能系统在整个生命周期中具有可追溯性;在合格评估上,高风险的人工智能系统若发生实质修改,应该重启新的评估程序;如果主管机构发现高风险人工智能系统不再满足法案第二章规定的各项合规要求,应中止或撤回签发的各种证明。

(二)倡导负责任的研究与创新

负责任的研究与创新RRI)是欧盟在科技发展中提倡的重要理念,并将该理念贯彻在人工智能领域,比如在20194月,欧洲议会秘书处(Secretariat of the European Parliament)发布报告《算法的可问责和透明的治理框架》(A governance framework for algorithmic accountability and transparency),该报告提出应该发挥RRI的作用,促进算法实现公平。根据2011年欧盟发布的一份报告,RRI是指社会参与者与创新者彼此负责的一种透明和互动的过程,在该互动过程中考虑创新及其产品在伦理方面的可接受性、社会的可持续性和社会的期许性,目的是让科技进步嵌入到社会生活中。其中,伦理上的可接受性是指要求符合欧盟保护人的基本权利的价值准则和安全保护水平。因此,RRI的核心要义是让社会的利益相关者共同参与到研究创新中,实现包容发展。

为实现负责任的研究与创新,具体路径包括:其一,建立人工智能科学家和工程师的道德责任;其二,研究人工智能的伦理设计,主要目标是将人类的伦理道德嵌入到人工智能中,使其具备道德判断的能力;其三,建立健全人工智能发展的政策法规;其四,推动人工智能跨学科、多主体之间的对话,加强社会公众的参与程度。欧盟出台本法案的目的就是为了保证人工智能发展尊重人的基本权利,体现了RRI的理念。另外,法案规定监管机构鼓励和推动企业起草自愿遵守的行为准则,具体要求包括环境方面的可持续发展、顾及残障人士、让利益相关者参与人工智能系统的设计和开发,以及让开发团队多元化等,这些要求集中体现了欧洲倡导的人本主义,即实现可持续发展、科技向善、多方共治和社会包容等人文目标。在行为准则的制定方面,法案提出让供应商、行业组织、用户以及其他利益相关者及其代表组织共同参与,强调了社会不同利益相关者之间的互动。

(三)坚持实验主义治理理念

实验性法或实验性规制最早可以追溯到17世纪的法国立法,早期的实验性法律允许地方政权根据当地的环境和预算调整中央制定的法律和政策。法律实验也在19世纪为英国皇帝所使用,以实现对特定区域的统治。在美国,则允许州在自己的权力范围内实验执行多个法律,并在现有的联邦倡议的范围外进行创新。

实验性规制通常有三个特征:短期性、试错性、合作(即不同利益相关者共同参与)。查尔斯萨贝尔(Charles F. Sabel)和乔纳森蔡特林(Jonathan Zeitlin)总结欧盟的治理实践,提炼出实验主义治理理论。实验主义治理强调在不确定环境中,先建立临时性行动框架,再在执行过程中对临时性框架进行修正。[8]这一理论所倡导的方法具有灵活性和敏捷性,监管沙盒regulatory sandbox)正是在这一理论指导下产生的一种制度设计。在计算机领域,沙盒指隔离的测试环境,即允许一个监督系统阻止有害的程序侵害电脑系统。在规制领域,规制沙盒指在人为创造的规制环境中测试新服务和产品。欧洲理事会将监管沙盒定义为在限定的时间和行业领域或区域,以合适的真实环境测试创新的技术、产品、服务或方法,……,通过一定的规制监督保证安全[9]“监管沙盒最早来自于金融领域,因为金融领域存在系统性风险,传统监管手段是事后监管,监管成本较高,不利于金融创新。监管沙盒的机制满足了弹性监管原则,体现了事中监管和动态监管的理念,能促进监管者与被监管对象之间的合作。为了平衡欧洲人工智能领域的创新与监管之间的矛盾关系,法案引入了监管沙盒机制。人工智能监管沙盒是指人工智能系统入市或投入使用前,主管机构提供一个受控的环境,在指定时间内对人工智能系统进行开发、测试和验证。对人工智能系统开展沙盒实验时,一旦发现对人的健康、安全和基本权利产生任何风险,应采取措施立即降低风险。


三、对欧盟《人工智能法案》的基本评价


欧盟《人工智能法案》作为全球首部人工智能立法,引入了市场规制路径,并采取全链条的规制措施。这些规制措施也引发了一些争议,比如规制的有效性、对人工智能界定和分类的合理性都受到业界的质疑。

(一)引入市场规制路径,责任机制存在缺陷

欧盟以监管产品的思路来监管人工智能是一种有效路径,因为人工智能的发展必然伴随着相关产品进入市场得以推广和应用。对人工智能产品设定市场准入门槛和建立全生命周期的监测体系可以保障人类安全,提高人工智能的可信赖度。各个国家在消费者保护和产品质量监管方面都建立了成熟的制度体系,将人工智能产品纳入现有的规制体系中,并对现有体系进行调试和完善,无疑是一种高效、便捷的治理路径。为了匹配人工智能法案的实施,欧盟将修订涉及人工智能相关产品的产品责任规则,修订行业安全方面的法律规则,如机械指令(machinery directive)。从法律适用效果看,法案依据效果主义effects test)的原则规定了长臂管辖,即不管人工智能产品的提供者在何处,只要其生产的人工智能系统运用于欧盟区域,就需要遵守法案的要求。这与GDPR的法律适用原则是一致的,即最大程度上保护欧盟公民的权益。以规制对象看,法案侧重于对人工智能产品提供者进行规制,包括要求人工智能提供者开展风险评估,秉持了谁提供谁负责的原则。但人工智能产品的用户也是重要的责任主体,以人脸识别技术为例,最终负责日常运营的实际上是用户,比如由物业公司运营。人脸识别的大部分风险可能来自于用户的日常运营活动,比如用户自身的违法行为,而此时人脸识别的提供者已经脱离了技术的使用场景。法案仅要求人工智能产品的提供者评估人工智能系统在初期的风险是不够的,应将实际参与运营的用户纳入责任体系中,加大用户预防和规避风险的责任和义务。

(二)超前制定监管措施,引发妨碍产业发展的担忧

欧盟在数字领域的立法一直走在世界前列,对于政府机构出台的规制政策,实务界总会充满担忧。此次欧盟发布人工智能法案同样引起不少质疑,有观点认为欧盟颁布的人工智能法案将使人工智能企业在欧洲承担过高的成本,而且大部分的合规要求在技术上无法实现。比利时智库欧洲国际政治经济中心(European Centre for International Political Economy)的一项研究分析了对科技公司事前监管的成本,以2018年的数据为基准,事前监管导致高达850亿欧元的GDP损失和1000亿欧元的消费者福利损失。这种观点认为欧洲在人工智能领域的发展本来就相对滞后,欧盟实施的GDPR和未来的人工智能法案将迫使创业者和创新者转移至监管环境宽松的地方,因此欧盟委员会的超前和过度的监管会进一步强化欧洲人工智能产业落后的局面。欧盟委员会在设计法案时对过度监管的问题有一些考虑,包括采用分级监管的思路,将人工智能系统的风险区分为低、中、高等不同等级,并对高风险的人工智能附加监管要求。欧盟委员会预测行业里大部分人工智能应用将落入在低风险类别中,因而认为法案对人工智能产业发展的负面效果有限。另外,为了保护行业创新,法案还引入了监管沙盒机制,为人工智能开发者提供了一定的创新自由度。但不论如何,诸多事前监管环节都将影响人工智能的开发进程。总体而言,欧盟《人工智能法案》属于偏规制型的立法文件,其对产业促进方面的规定较少。

(三)过于倚重企业自治,规制的有效性受到质疑

该法案对人工智能系统提供者附加的合规评估义务仅涉及内部程序,缺乏外部监管,主要由提供者的自我评估来证明存在高风险的人工智能系统遵守了法案。对此,非政府组织欧洲数字权利(European Digital Rights)认为,该法案给企业自我规制的空间过大。欧洲数据保护委员会(以下简称“EDPB”)和欧洲数据保护专员公署(以下简称“EDPS”)也提出因缺乏对人工智能系统提供者是否遵守其行为准则的监督机制,可能降低这一治理工具的有效性和可执行性。而且法案对批准入市后的人工智能系统的监管过于宽松,这种对人工智能系统入市前和入市后的不对称监管也将降低规制的有效性,因为人工智能系统一旦被开发和运用,便会迅速普及和扩散。

(四)对人工智能进行明确定义和分类,但界定和分类的合理性受到质疑

法案对人工智能的定义不清晰,而且定义得非常宽泛。按照法案的定义,从输入法的单词预测到各种App的自动推送、从语音助手到地图导航,几乎所有常见的互联网服务都会被纳入或部分纳入监管范围中。人工智能技术的变化和演进飞快,如今智能手机每天处理的事情在20年前被认为是人工智能处理的事情。对人工智能进行定义要么迷失于各种概念中,要么对人工智能的定义滞后于技术发展现状。对此,为了提高监管的精准度,法案以列表的形式对监管对象进行了明确。但技术是不断演进的,总是存在挂一漏万的缺陷。比如该法案没有将深度伪造(deep fake)界定为高风险应用。EDPBEDPS指出,法案列出的高风险清单存在遗漏,没有涵盖使用人工智能系统确定保险费或者评估医疗方法适用于健康研究目的的场景。


四、欧盟《人工智能法案》对我国的启示

人工智能作为一种颠覆性技术,将改变就业结构、冲击法律与社会伦理、侵犯个人隐私、挑战国际关系准则等,甚至对公共管理、经济安全和社会稳定乃至全球治理等带来深远影响。因此,针对人工智能引发的各种问题以立法手段予以应对已是势在必行。

(一)人工智能立法的必要性问题

相比于传统的科技风险,人工智能引发的风险更具有复杂性、系统性和不可预见性,将产生一系列严峻的治理挑战。首先,人工智能的强技术性特征,加剧监管者、社会公众与技术人员之间的信息不对称,新型风险超出传统监管范围。其次,人工智能的应用往往跨多个行业、多个政府机构、多个司法管辖区域和利益相关者团体,大幅增加了协调监管的难度。最后,人工智能的发展速度远远超过任何传统监管体系的更新调整步伐,人工智能的风险、收益和发展轨迹都具有高度的不确定性,事前的、具有前瞻性的监管决策将变得愈加困难,现有监管机制和法律规则显得滞后。

软法治理人工智能成为全球的治理新趋势。据美国亚利桑那州立大学的软法治理项目汇编统计,20012019年,全球共发布634个人工智能软法项目。另外,算法观察组织(Algorithm Watch)梳理了一个在线人工智能伦理准则全球清单,截至20206月,共列出超过150个框架和准则。而软法治理也存在明显的缺陷,因缺乏法律的强制约束力,软法无法真正发挥约束的效用。以伦理规范为例,学界关注到伦理洗白ethics washing)的问题。虽然企业建立了内部的伦理委员会,但仍然频繁出现伦理危机事件。实际上伦理委员会的治理模式存在问题,因为企业的伦理委员会缺乏独立性、透明性和外部监督,容易受到企业利益的绑架。为此,应将广泛接受的伦理标准上升为法律规则,通过立法将软法硬化,并建立配套的惩罚责任制度,将相对成熟的软性约束落到实处。因此,人工智能立法是一条必然出路。

据咨询公司Cognilytica发布的《全球人工智能法律和规范报告》(Worldwide AI Laws and Regulations)显示,目前大多数国家对人工智能立法秉持观望态度,由于立法机构尚无法判断新技术给社会产生的实际影响,对人工智能进行立法面临艰巨的挑战。该报告显示,欧盟在提议和制定新的立法方面表现得最为活跃,目前已经对包括人脸识别、自动驾驶、自动化决策等人工智能应用提出了立法方案或发布正式规则。美国则一直保持较为宽松的规制态度。总体而言,以美国和欧盟为代表的一些国家和地区在人工智能相关立法方面采取的基本策略是差别化和场景化,即对人工智能不同应用领域进行专门立法。

在我国,2017720日,国务院印发的《新一代人工智能发展规划》在战略目标中对法律体系建设提出了三步走要求:到2020年,部分领域的人工智能伦理规范和政策法规初步建立;到2025年,初步建立人工智能法律法规、伦理规范和政策体系,形成人工智能安全评估和管控能力;到2030年,建成更加完善的人工智能法律法规、伦理规范和政策体系。我国地方层面已经有立法尝试,比如深圳出台首部人工智能的地方性法规。深圳的立法坚持了促进性立法的理念,体现了全面促进与合理必要的规范,核心目的是促进人工智能产业发展。我国已经完成了《网络安全法》《数据安全法》《个人信息保护法》等的立法工作,这些法律规则作为底层的规则基石为人工智能的健康发展提供了坚实保障。但在人工智能应用层面,相关立法仍然缺位,一些人工智能应用已经进入法律的空白区。因此,需要加快人工智能的立法研究,特别是应就人工智能的产品和流通进行立法规范,才能充分保障社会和个人的安全。

(二)人工智能立法的体例问题

国内不少观点提出对人工智能进行专门立法,比如吴汉东提出人工智能是高科技行业,其自身不确定的因素比较多,且该领域出现的监管问题具有鲜明的特殊性,因而需要确立一部专门监管法加以规范。胡元聪等提出出台《人工智能发展法》和《人工智能监管法》。他们认为《人工智能发展法》针对智能产品的质量安全和检测问题及各项技术标准进行规范,《人工智能监管法》则解决监管原则、监管职责划分、监管者和被监管者的违法责任、监管的具体措施以及各项程序性问题。朱体正提出应当制定一部人工智能单行法并辅以配套的法律法规、法律解释及伦理准则,确保人工智能运行安全可靠,风险合理控制。也有观点提出对既有科技法规则进行调整,让人工智能立法成为科技法的特别法。比如龙卫球提出以人工智能科技作为特殊规范对象,将其定位为科技法的特别法,从人工智能的科技市场、科技风险和科技政策等具体问题入手,通过对既有科技法价值的继承和发展,对既有科技法规则进行优化和调整,形成一套专门适用于人工智能研发和应用的具体规范体系。

目前,用于应对人工智能风险的制度规则过于分散,而且法律位阶较低,不利于相关机构开展监管活动,也不利于企业自我合规。因而应为人工智能制定一部专门的综合性法律,将人工智能用于不同场景中所遵循的共性规则进行提炼,成为规范人工智能多场景应用的基本规则。对此,申卫星提出需要构建综合性立法和具体场景立法相结合的-式立法体系。综合性立法是进行人工智能顶层设计的最佳形式,他认为通过专门的中央立法可以强有力地指导各地、各领域的人工智能发展;具体场景分别立法的领域包括自动驾驶、自动化决策、精准医疗等,区分不同行业和场景对人工智能技术进行规范。本文也认为应为人工智能制定一部单行法,因为综合性立法比分散立法的规范效率高。

(三)人工智能立法的主体内容问题

危险是无法改变的客观存在,但可以通过采取相关措施的方式减小危害事件发生的可能性或者后果的严重程度,风险管理就是研究风险发生规律和风险控制技术的管理科学。对人工智能的风险管理包括对数据质量、算法质量、设计人员伦理素质等管理,而且重视对过程和结果的控制。借鉴危机管理生命周期框架,可以从风险管理(事前)、应急管理(事中)、善后学习(事后)三个阶段提出应对人工智能风险的举措。在风险管理阶段,包括风险预知、风险研判和风险预警;在应急管理阶段,包括应急响应和应急处置;在善后学习阶段,主要是总结反思并重建。比如2021年全国信息安全标准化技术委员会发布的《网络安全标准实践指南——人工智能伦理安全风险防范指引》,该文件遵循了人工智能研发和应用生命周期的逻辑,将研究开发者、设计制造者、部署应用者以及用户都纳入行为规范范畴。因而,本文提出应进行事前-事中-事后全链条的监管机制设计。在事前阶段,在人工智能产品流入市场前进行风险评估,实现风险管控;在事中阶段,进行持续的市场监督,实施产品召回制度;在事后阶段,进行善后学习,实现人工智能风险事故的数据共享和风险监测。具体举措如下:

首先,在事前阶段,可以采取分类分级的思路,根据人工智能在不同应用场景的风险程度匹配不同的规制措施。对于那些对人类安全、人格尊严和自主意识产生显著危害的应用采取禁止措施,比如禁止开发人工智能武器。而对于其他一些风险可控的人工智能应用采取风险管控措施,包括风险评估制度、备案注册制度等。

其次,在事中阶段,需要建立人工智能产品后续观察义务制度。人工智能产品的生产者是风险源开启者,而且是利益获得者,应负有产品跟踪观察义务。人工智能产品生产者的产品跟踪观察义务包括:要求企业建立内部产品质量监控机制,保障产品在生产过程中符合各项安全指标,还应建立产品质量信息反馈机制;生产企业应及时向社会公众发出警示信息,让用户或社会公众了解产品风险信息,将可能的危险降低;建立缺陷产品召回或强制销毁制度,一旦发现产品有缺陷或风险后,生产企业除了发布警示信息外,还应该提供修理或召回的政策,将在市场上流通的产品及时召回。

最后,在事后阶段,建立人工智能风险数据平台加强风险监测和预防。人工智能产品具有快速扩散的特征,一旦需要召回可能存在诸多困难。建立统一、科学、权威的检测监控体系是建立召回制度的基础。在美国,缺陷消费品信息主要来源包括企业的义务报告,因为企业在早期阶段就了解产品的潜在安全问题,义务报告是最及时的信息来源。此外,还包括伤害事故档案、死亡证明文件、深度调查文件、国家电子伤害监视系统、24小时免费热线等。在欧盟,缺陷消费品信息主要来源于欧盟非食品类消费品快速预警系统(RAPES),该系统已经在欧盟范围内实现了全覆盖,欧盟内部可以快速交换、传递产品质量安全信息。该系统是一个集消费品质量安全风险信息收集、监测、风险评估、风险应对和风险处置为一体的消费品风险管理信息化平台。可见,欧盟形成了以法律体系为基础、以风险管理为核心、以多元主体为力量的产品召回制度。而在我国,缺陷产品信息来源为消费者主动提供的消费品缺陷信息、网络舆情中的产品事故和伤害报道、国外监管机构外部的召回和预警信息,信息来源质量不高且缺乏专业性和系统性。应该拓宽缺陷信息采集渠道,搭建人工智能风险数据平台,实现风险监测和预防。

(四)人工智能立法的价值定位问题

人工智能立法应该是规范与发展并行的立法。政府的立法难免引起产业界的担忧,数据保护的立法就出现此类情形。欧盟出台GDPR时,不少观点提出此类规制法案将影响产业发展和技术创新。比如《金融时报》报道GDPR实际上有利于那些已经积累了海量用户数据的企业。202012月《欧洲竞争杂志》发布的一项研究也表明,GDPR损害了中小企业的利益,实际上有利于大型平台企业。欧盟发布《人工智能法案》也引起了类似的担忧,据数据创新中心(Center for Data Innovation)发布的报告预测,欧盟《人工智能法案》将给欧洲经济增加超过300亿欧元的成本。特别是因人工智能定义的模糊性和不确定性,企业将面临沉重的合规压力和隐性成本。

对于立法与规制是否会阻碍产业发展和技术创新,国内学界也有不同观点。一些来自企业智库的研究人员认为,在过去20余年的互联网发展中,欧盟落后于美国和中国的一个主要因素就是法律政策。因欧盟在平台责任、隐私保护、网络版权等方面比美国更早制定了规则,未能给欧洲互联网创新提供适宜的法律制度土壤。周汉华对此进行了否定,他反对这种贴标签的研究方法,他提出不能将制定个人信息保护法与阻碍创新划等号,也不能将不保护隐私与更有利于创新划等号,制造隐私保护与创新不可兼得的局面。政府的立法与规制行动对产业发展的实际影响需要扎实的实证研究的支撑,很难直接下定结论。不管如何,应始终坚守一个基本原则,即政府对产业治理的根本出发点是为了实现更好的发展。在推动立法的过程中,也应坚持规范与发展并重的原则。《深圳经济特区人工智能产业促进条例》作为我国人工智能领域的首次地方性立法,明确了对人工智能产业实行包容审慎监管的方针,同时强调使用政策指南、沙盒技术、应用试点等监管工具。深圳作为人工智能产业发展较为迅速的区域,已经开展立法活动,可以为国家层面的人工智能立法提供经验。