作者:许可,对外经济贸易大学法学院 副教授。
引 言
在生成式人工智能蓬勃涌现一年后,人工智能这一名为“未竟之事”的科技,正在逐步变为现实。与此同时,从欧盟《人工智能法》到美国《关于安全、可靠和可信的人工智能行政令》,从全球首个人工智能国际性声明《布莱切利宣言》,到联合国《抓住安全、可靠和值得信赖的人工智能带来的机遇,促进可持续发展》的决议,对人工智能的规制日益勃兴。在此背景下,我国人工智能立法已箭在弦上。2023年6月,《国务院2023年度立法工作计划》将“人工智能法草案”列入预备提请全国人大常委会审议的立法项目。值此科技与法律变革的重要关口,思考“中国需要一部怎样的《人工智能法》”就显得尤为重要和迫切。大问题需要“大理论”(Grand Theory)。为此,本文试图从“后果论”(Consequentialism)和“道义论”(Deontology)两大相互对立的理论出发,建构科技规制的经典范式,借此检视全球人工智能的法律规制实践,梳理其发展脉络并揭示其不足,进而提出超越“后果论”和“道义论”的第三种范式,以期为中国的《人工智能法》立法开辟出有别于欧美的新道路。
一、后果论:基于风险的人工智能规制
(一)科技的后果论规制范式
“后果论”是一种把判断诉诸事实和后果而非概念和一般原则的理论态度,主张“在任何处境下做对的(正当)的事情就是产生最好后果的行为”。“后果论”含义的宽泛性使之可以容纳享乐主义、功利主义、实用主义及其各种理论变体,从而成为当代最有影响力的理论流派之一。鉴于法律是由种种意欲控制人们行为的命令组成,立法者、执法者和司法者不得不对法律可能造成的后果做出预估,评价社会接受程度,进而依循所欲达成的后果对法律加以调整。这种基于后果的评估、评价与调控作业的理论源远流长。法律后果论的含义同样宽泛,从OECD“规制影响评估”(Regulatory Impact Assessment)到后果取向的法律解释,从美国“布兰代斯诉讼方法”(Brandeisbrief)到英国“目的导向”的成文法解释,从德国的可行性论证、正义论证、利益论证到我国司法中“法律效果与社会效果的统一”,均是妥当的例证。可不论其表现如何,其内在逻辑始终如一:即拒绝从法律规则出发的演绎推理,而是采取审慎推理(prudential reasoning),通过权衡各种因素作出结果上最有利的决策。
法律后果论在实证和规范两个层面展开:前者旨在调查、预测特定决策产生的客观影响、成本收益等“事实后果”,后者旨在评价何种结果是可欲和期待达成的,进而作出最符合评价标准的决策。法律后果论所特有的制度弹性和回应性,恰好与回应科技的“破坏性创新性”和“深度不确定性”的要求高度契合,有助于化解急遽变化的社会现实中“有效法律规则”欠缺和事前规制不足的困境。从根本上看,融法律、架构、市场规则和社会规范于一炉的科技治理,早已摆脱了固化静态的法律体系,迈向了多元动态的法律图景。法律后果论以实践理性和实质正义为指针,通过组合不同实质理据的马赛克拼图,与不同观点和措施协力合作,在复杂推理结构中寻找当前的最适切之法。将法律后果论运用于科技领域,意味着规制重点从“行为与形式”转向了“后果与目标”。问题在于什么是规范层面上的可欲“后果”?
尽管人们对于规范意义上何为最重要的后果的认识充满了分歧,但随着风险社会的来临,科技创造的“人为不确定性”(manufactureduncertainty)”日益成为公众的核心焦虑和政治关切。“安全”由此成为一种支配性的社会需求,以“安全”为标准对科技后果的识别、度量自然成为科技规制的重心。然而,在当代风险社会中,安全早已不是“无危则安,无缺则全”的绝对安全,而是被视为对特定风险可接受度的度量,当风险低于某种程度时,就被认为是安全的。借此,“基于安全规制”开始转向为由统计概率和认知科学所塑造的“基于风险规制”。事实上,如今的“风险”不仅被用于界定规制的对象,而且成为政府干预社会的正当化目标,构成了规制的正当化根据。总之,国家作为科技风险终极管理者的印象已牢不可破。
由于风险能够定义和测度,它可用于确定规制优先级和衡量结果的标准,无需执着于流程和形式上的一致性,从而与“法律合规控制和惩罚违规行为”这一“基于规则规制”迥异。这里不妨比较如下三种“无人机规制方式”:(1)驾驶功率超过特定千瓦的无人机必须申请法定执照;(2)无人机禁止飞离地面120米以上,也不能飞到任何受控空域;(3)不能以危及他人生命的方式驾驶无人机。依循后果论,方式(3)优于方式(2),方式(2)则优于方式(1),因为方式(3)既明确了政府所欲防范的消极结果,又给予被规制者更多的合规选择和回旋余地,作为代价,其实施的不确定性必然随之上升。
“基于风险规制”广泛应用于多个科技领域。以数据处理为例,欧洲理事会《有关个人数据自动化处理中的个体保护公约》第10条明确提出“以风险为基础,辅以数据性质和体量、处理行为的性质、范围和目的,以及控制者或处理者规模等考量”,以设定数据控制者义务。欧盟《一般数据保护条例》(GDPR)明确规定了基于风险规制保护数据的权益。GPDR第35条采取了宽泛的风险界定,第24、25条通过设计与默认方式的数据保护义务落实了基于风险的问责原则,第32、35条分别规定了保障安全义务和数据影响评估制度,不但将风险机制延伸到数据处理的全过程,还确立了基于风险的差异化合规机制。我国《个人信息保护法》同样借鉴了这一思路来把握风险大小与控制措施的合理匹配,并试图在平衡相关价值的前提下,释放数据的流动性。《数据安全法》第21条的“数据分类分级保护制度”可谓“基于风险规制”的中国版本。在平台企业规制中,针对风险规制的地位更加凸显。不过,与GDPR由下而上的风险评估不同,欧盟《数字服务法》(DSA)采取了复合的风险评估逻辑,一方面采取由上而下的风险分类和“非对称管制”方法:针对基础网络服务、宿主服务、网络平台、超大型网络平台(VLOP)的义务不断增强;另一方面允许超大型网络平台自行制定适当的缓解策略,以减少相关的系统性风险。与此类似,我国《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》亦根据中小平台、大型平台、超级平台的管控力及其风险,设定了差异化的主体责任。
(二)基于风险的人工智能规制实践
将后果论运用于人工智能规制,意味着针对人工智能引发的风险开展有条件、有限度的精准干预,从而有效率地分配监管资源并优先关注最高风险。“基于风险的人工智能规制”是被广泛接受的制度实践。2020年2月,欧盟委员发布《人工智能白皮书》明确遵循“基于风险的进路”对人工智能开展不同程度的监管,在最小化人工智能损害的同时,避免过度监管抑制人工智能产业的创新发展。一年后,欧盟委员会正式提出《制定关于人工智能的统一规则(人工智能法案)并修订某些欧盟立法提案》(即《人工智能法提案》),根据风险强度和范围将人工智能区分为不可接受的风险、高风险、有限的风险以及最小的风险四种类型,禁止具有不可接受风险的人工智能,并对高风险人工智能提出要求,为相关经营者设定了义务。2023年1月,美国国家标准与技术研究院发布《人工智能风险管理框架》(AI RMF 1.0),旨在有效应对人工智能风险。AI RMF 1.0提出了治理、映射、测量和管理的核心框架,其中,“治理”涵盖组织的制度流程、组织建设、组织文化、技术能力,是其他要素的基础;“映射”用于确定特定场景及其对应的人工智能风险解决方案;“测量”是指采用定量或定性的工具、技术和方法来分析、评估、测试和监控风险及其相关影响;“管理”则是运用资源处置相应的人工智能风险。同年,美国总统拜登签署《关于安全、可靠和可信的人工智能行政令》,将安全、负责任地管理人工智能的开发和使用视为最紧迫的任务,提出就AI生成的内容和验证、红队测试及其信息共享等议题发布指南、标准并进行最佳实践,确保人工智能不会对关键基础设施和网络安全造成威胁。
我国《生成式人工智能服务管理暂行办法》亦采取基于风险的规制方案。该办法以“发展和安全并重”为宗旨,以“包容审慎和分类分级”为原则,聚焦生成式人工智能在数据训练、基础模型、应用服务等阶段的不同风险,对服务提供者施加数据安全、网络信息安全等相应义务。《人工智能示范法2.0(专家建议稿)》第25条确立了“分类管理制度”,并主张根据“人工智能在经济社会发展中的重要程度,以及一旦遭到攻击、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益、社会稳定、环境保护,或者个人、组织合法权益、经济秩序造成的危害程度”,划定严格监管的“人工智能的负面清单”。不仅如此,该专家建议稿还统摄全生命周期的风险管理、风险识别、风险评估及风险防控,通过设定安全性义务、漏洞管理义务、备案义务、审计义务、建立健全和实施全生命周期的风险管理制度,坚持安全底线思维,以期实现审慎监管的目的。
(三)反思“基于风险的人工智能规制”
准确评估风险是“基于风险的人工智能规制”的前提。但是要实现这一目标,首先面临的困难是人工智能风险评估固有的主观性问题。作为未来危险的可能性,风险主要是推断性和概率性的,即从过往大量重复事件的统计结果和加权平均值做出风险判断,而人工智能规制之所以充满挑战,恰恰在于它前所未有。风险评估的模糊性意味着风险大小不再是客观的描述,而是特定主体的主观判断。这使得欧盟《人工智能法》饱受以“主观上所感知到的风险”而非“实际上的客观风险”为基础的批评。但正如风险规制理论所洞见,风险总是因“无知”而作出的预判,问题毋宁是:由谁来评估风险才能最大程度免受潜在偏见和极化思维的影响。正因如此,在《人工智能法》立法过程中,人们关于如何确定“风险标准”的争议从未止歇,并成为后续法律实施的重大疑难问题。以“高风险人工智能系统清单”为例,虽然欧盟委员会试图将高风险人工智能系统限定在一个较小范围内(约占总数量的5%至10%),相关机构却有着不断扩展高风险范围的冲动,欧盟议会中甚至有人提出将所有医疗分诊以及与儿童互动或影响民主进程的人工智能系统都定性为“高风险”。欧洲数据保护委员会(EDPB)和欧洲数据保护监督员(EDPS)也曾提出,高风险AI清单存在遗漏,没有涵盖确定保费或评估医疗方法等AI。围绕“生物识别”的正当性问题,各方主张反复拉锯,制度设定可谓一波三折。2019年,欧盟委员会表示禁止公共或私人机构在公共场所使用生物识别技术。但由于相关产业主的坚决反对,2021年《人工智能白皮书》不得不作出让步,将其归入“高风险人工智能系统”,允许基于正当和相称的目的并在具备足够的保障下,将生物识别技术用于远程生物识别。在欧盟《人工智能法》正式稿中,远程生物识别虽然最终被禁止,但也给搜寻受害人、定位和识别犯罪嫌疑人、防止恐怖袭击等场景预留了不小的例外空间。其次,风险的分类分级是静态的,不但忽视了人工智能的交互风险,而且忽视了其自身的动态完善。就前者而言,风险积累并非线性的,多个低风险人工智能可能会相互作用,最终酿成重大风险。分类分级规制将注意力限定在人工智能自身风险,忽视了人类错误认识导致的过度依赖、被操纵风险、“人机交互损害”(Human-Computer Interaction Harms)以及人类故意实施诈骗、隐私侵犯、黑客攻击等违法和犯罪行为所带来的风险。就后者而言,随着人工智能应用的频率增加和数据汇聚,诸如就业评估、无人驾驶汽车等高风险人工智能造成损害的概率与严重程度将会逐步减小。在本质上,欧盟《人工智能法》依然坚持了“还原论”的进路,未能洞见人工智能内在的“涌现”特质,其风险无法由其本身加以推理和预测。最后但最重要的是,人工智能风险一般取决于它所执行的功能及具体目的和方式,基于风险的人工智能规制亦以防范特定“用况”(use case)的风险为目标,这意味着该进路的有效性建立在限于特定任务的“窄人工智能”(ANI)之上。然而,生成式人工智能开启的“通用人工智能”(AGI)即将跨越特定场景和预定功能的藩篱,能够理解、学习和应用各种不同领域的知识,并利用普遍性和可拓展的能力,适应各种类型的任务。AGI既能赋能千行百业,又能突破设计和部署时的在先设定,由使用者而非研发者根据其需求不断创新和发展使用场景,从而令事前的风险评估不再可行。正如有科学家所警告的,无论将AGI归入何种风险,都可能引发规制漏洞。为此,欧盟《人工智能法》不得不就“通用人工智能模型”(GPAI)单列一章,并舍弃“高风险”概念,转而借助“系统性风险”的新界定,对可能存在的风险规制漏洞予以回应。欧盟委员会还有权综合考量模型的参数数量、数据集质量和大小、输入/输出模式、商业用户的覆盖范围,径行决定特定GPAI具有系统性风险。这一欠缺确定性和可预测性的风险规制遭到了德国、法国、意大利等国学者们的批评,他们强调,应当区分基础模型和可用于特定应用的通用人工智能系统,因为风险源于应用,而非模型本身。
二、道义论:基于权利的人工智能规制
(一)科技的道义论规制范式
作为与后果论颉颃的大理论,道义论不诉诸行为后果,而是诉诸原则、规范、道德理性,因此,人之“应为”必须出于普遍性、绝对性义务和责任,而非某个实际意图或实现此意图的结果。从古希腊的古典自然法到古罗马西塞罗的《论义务》,从康德的“人是目的”到罗尔斯“作为公平的正义”,道义论同后果论一样源远流长。在法学中,德沃金通过“权利作为王牌”的论证,旗帜鲜明地主张后果论必须让位于“道德独立的权利”,权利能够压倒对政治决定做出正当性论证的某种背景理据,即使这一背景理据为整体共同体设定了一个目标(社会福祉或公共利益)。在道义论看来,后果论无视人的分立性和独特性,德沃金立足于人的尊严,建构出“个人获得平等的关切和尊重”的正当性基础。所谓“平等关切”,即国家应视每个人为平等之身,每个人的人生同等重要;所谓“平等尊重”,即对于拥有价值、自主决定其生活并自我负责的人而言,国家应允许每个人自由地界定和实现其人生理想与计划。
在自然人转向“数字人”的背景下,“个人获得平等的关切和尊重”被转化为“数字人权”理念,成为评价、指引科技应用的价值准则,以重申数字时代人之于科技的自主性。2020年,联合国秘书长古特雷斯发起人权行动呼吁和数字合作路线图倡议,提出人权应成为科技规制的核心。2022年,在坚持《欧洲基本权利宪章》在数字时代发挥关键作用的前提下,欧盟发布《欧洲数字权利和原则宣言》(European Declaration on Digital Rights and Principles),明确“将人置于数字化转型中心”的原则,要求科技服务于人并造福于人,使人能够在完全安全和基本权利被尊重的情况下追求其愿望。在此原则下,个人享有平等的数字连接权和数字公共服务使用权、隐私权和个人数据保护权、数据环境安全权、数字技能的教育权、多样化数据空间的参与权、与算法交互时的知情权和选择权。总之,数字人权横跨个体权与集体权、自由权与社会权,回应了新型科技导致的监控国家、平台操纵、算法歧视、数字鸿沟等重大挑战,成为科技规制的不变锚点。
数字人权不仅是主观权利,还是超越实证法规则的具有建构秩序价值的权利。它一面指向国家,以保护个体或群体免受公权力侵害,另一面则指向“拥有科技的社会权力主体”,要求国家履行保护义务,通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造落实数字人权的制度生态,由此塑造了“基于权利的规制”体系。由于数字人权的抽象性和普适性,这一规制方式和基于风险的规制方式类似,摆脱了既有规则的束缚,但因其含义的模糊性,规制不得不诉诸个案和场景化的权衡。详言之,数字时代的行为、关系和事件多以扁平流动、个性多元的“场景”为基点,数字人权的存在样态和保护方式也被赋予了场景化底色,表现出精细化、互动化趋势。不惟如是,数据人权也是不断发展的开放性权利,而一项权利的保护范围越宽,就越容易与其他法益发生碰撞。基于任何基本权利都不得主张先定优先地位的法理,面对数字人权与其他权利的冲突,只有在具体场景中实践性地权衡不同权利的轻重,才能妥善衡量诸多价值,实现基本权利的最优化目标。
在科技领域,“基于权利的规制”不乏例证。为维护“个人数据受保护权”这一基本权利,欧盟《一般数据保护条例》特别授权人权保护机构针对数据违法行为的调查权和行政处罚权。我国《个人信息保护法》将个人信息权益追溯至宪法性权利,并以此建构辐射一切法领域的客观法。在美国,《格拉姆—利奇—布莱利法案》《健康保险可携带性和责任法案》《儿童在线隐私保护规则》《家庭教育权利和隐私法》等法律立基于医疗、教育、家庭和金融等不同场景,回应多元社会需求,寻求与“具体场景相关的信息规范”,最终形成差异化的个人信息保护规则,以维护具体信息关系与生活秩序的公正性、完整性。
(二)基于权利的人工智能规制实践
将道义论运用于人工智能规制,意味着把权利与伦理注入人工智能的研发与应用过程,从而落实“技术向善”的目标。这一规制范式首先体现在一系列国际性文件中。2023年10月,中国《全球人工智能治理倡议》开宗明义地指出:“发展人工智能应坚持‘以人为本’理念,以增进人类共同福祉为目标,以保障社会安全、尊重人类权益为前提,确保人工智能始终朝着有利于人类文明进步的方向发展。”2024年3月,联合国指出“安全、可靠和值得信赖的人工智能”必须在其整个生命周期内“尊重、保护和增进人权和基本自由”,促请所有会员国和其他利益攸关方不要使用无法按照国际人权法运作或对享受人权构成过度风险的人工智能,特别是对于那些处于弱势的人而言,并重申人们在线下享有的权利也必须在线上得到保护。近期,欧洲《人工智能、人权、民主和法治公约》(Convention on Aritificial Intelligence,Human Rights, Democracy and the Rule of Law)亦把保护人权、尊重人的尊严和个人自主权以及实现民主进程的整全性和法治作为人工智能活动的一般性义务。
随着人工智能技术能力的跃升,各国日益重视促使人工智能的目标与人类的价值观一致,即促进“价值对齐”(value alignment)。2022年,美国白宫科技政策办公室发布《人工智能权利法案蓝图》(Blueprint for an AI Bill of Right),规定建立、部署“对美国公民权利产生影响的自动化系统”应符合民主价值并保护公民权利、自由和隐私,从而强化人工智能伦理治理的特有价值。英国《人工智能(监管)法案》(Artificial Intelligence(Regulation)Bill)确立了安全、保障、稳健、适当透明度、可解释、公平、可问责等监管原则,要求人工智能及其应用的设计应当具有包容性、禁止非法歧视、并满足弱势群体的需要;同时采取场景规制的路径,立足“监管沙盒”发展出因地制宜的监管措施。2024年,欧盟《人工智能法》在之前“基于风险的规制”外,增加基于权利的规制,希冀“确保对健康、安全和《宪章》规定的基本权利,包括民主、法治和环境保护的高度保护”。其序言第27条特别指出:虽然基于风险的规制是一套成比例和有效的约束性规则,但《值得信赖的人工智能伦理准则》中所列出的人类主体性和监督、隐私、透明度、多样性、非歧视、公平、社会和环境福祉等依然重要,借此得以设计符合欧盟《宪章》和欧盟基本价值观的连贯、可信、以人为本的人工智能规范体系。如前所述,基于权利的规制与场景密不可分。美国《人工智能未来法(草案)》、欧盟《人工智能的定义:主要能力和科学学科》均表明:不但规制对象(何为人工智能)的界定本身就是场景化的,而且规制原则(如算法公平)也是高度场景化的,根本原因在于人工智能所运用的算法并非标准化的产物,而是一种人机交互的决策,其法律属性会因具体场景的不同而不同,因而对其规制必须建立在场景化基础上。我国,《个人信息保护法》第24条“自动化推荐”条款可谓“基于权利的规制”之先声。该条要求自动化决策透明、公平、公正,并在作出对个人权益有重大影响的决定时,赋予个人解释权和拒绝权。《关于加强科技伦理治理的意见》和《科技伦理审查办法(试行)》进一步引入伦理之治,将人工智能与医学等量齐观,要求研发者设立科技伦理(审查)委员会,遵循增进人类福祉、尊重生命权利、坚持公平公正等科技伦理原则开展科技伦理风险评估。我国另一部由学者提出的《人工智能法(学者建议稿)》引入了“基于权利的规制”思路,不但将“科技伦理原则”置于所有原则之首,而且依此提出“公平公正原则”“透明可解释性原则”“安全可问责原则”和“正当使用原则”,统筹推进人工智能科技伦理审查具体规则和标准的制定。
(三)反思“基于权利的人工智能规制”思路
在道义论范式下,如何落实数字人权,使人工智能遵从伦理规则是规制的关键。作为并行的社会控制工具,法律和伦理在效力来源、规范内容、实施方式上大相径庭。当然,这并不是说法律无法承载伦理,毋宁是要审慎区分构成合规基础的“硬伦理”和补充合规的“软伦理”。一般认为,只有对社会秩序和人类价值极端重要并被普遍认可的硬伦理才能被纳入法律。因此,道义论范式面临的首个挑战是:究竟何为人工智能的“硬伦理”?
与历史悠久的医疗伦理不同,日新月异的人工智能远未定型,而纷繁芜杂的系统生态和矛盾重重的利益使快速达成人工智能的规制共识几乎不可能完成。即使在人工智能技术社群内部,也存在着“有效加速主义”(Effective Accelerationism)和“超级对齐”(Super-alignment)的理念之争。前者将人工智能视为提升人类“卡尔达舍夫文明等级”的基础,主张加速推进研发,创造出更进步的社会新秩序,从根本上解决贫穷、战争、气候变化等全球问题;后者主张人工智能的意图和目标应当与人类价值观高度一致,因而要求它理解人类情感、道德和文化差异的细微差别,并确保不侵害人类权益。回顾历史,我们从人文科学中汲取的一个教训是,认为存在一套可以直接内置于人工智能中的可定义普世价值观的想法是天真的。不仅如此,基于西方价值观而构建的人工智能,很有可能与非西方价值观发生抵牾。以经典的自动驾驶决策为例,2016年美国麻省理工学院进行了一场道德机器实验(moral machine experiment),通过大规模调查方式探究车祸的伦理权衡问题。基于来自233个国家和地区的海量问卷,研究者发现,北美、欧洲以及其他信仰基督教的地区最倾向不干预自驾车原先行进方向,日本、巴基斯坦、中国台湾地区以及儒家文化或伊斯兰教信仰的地区倾向优先保护行人、遵守交通信号者;中、南美洲的地区最倾向优先保护社会地位高者、年轻人、女性和身材适中者。
正是由于上述分歧,人们不得不使用“公正”“不作恶”“向善”等模糊宽泛的伦理指引,希冀通过妥协避免认知冲突。但这些抽象表述均系“本质上有争议”的概念,包含相互竞争的多种含义,需要经由不同的政治和哲学观念加以阐释。诚然,这保持了满足场景化伦理灵活性的需求,但却掩盖了根本性价值分歧,以至于在某种情形下可能滑入道德相对主义的泥淖。抽象的伦理原则不会直接转化为人工智能的行为指引,任何行之有效的伦理原则都需要经由双重制度化:一是原则的制度化,二是规范实施的制度化。历史上,医学伦理原则通过专业协会和委员会、伦理审查委员会、认证和许可、同行自治、行为准则等机制,将抽象原则转化为日常的最佳实践。与此迥异,人工智能伦理迄今仍未能发展类似的实施机制,从而无法将上位原则转化为中层规范和底层要求。技术、应用、使用环境等因素的缺乏令抽象原则形同虚设,最终沦为“具体问题具体分析”式的实用主义。无怪乎实证研究显示:工程师不论事先有无学习人工智能伦理原则,对于他们在写程序或处理技术相关问题上均没有显著影响。
除此之外,道义论面临着难以解决的困境。最显著的质疑是:如果我们遵守道义论,却获得了一个道德上更坏的结果,那么为什么要遵守它?此外,道义论的绝对性使它难以应对法律上基本权利的冲突。人类价值的多元性、人类生活的社会性、人类资源的稀缺性、法律规范的不周延性,多个主体各自享有的相同或不同的基本权利往往彼此对立,因此,建构一套柔性的价值和权利秩序始终是法律体系化的重要任务。然而,这种权利排序显然与道义论的绝对主张——“不管结果如何,所有义务皆须履行”——相抵牾。这种抵牾充分反映出道义论的演绎推理逻辑与基本权利适用的权衡推理逻辑之间存在鸿沟。
三、超越后果论与道义论:基于规则后果主义的人工智能规制
(一)难以成功的尝试:后果论与道义论并置
甘瓜苦蒂,物无全美。既然后果论和道义论的内在局限性使之无法自我完善,那么混合两者就成为可能的选项。实际上,作为马克斯·韦伯意义上的“理想类型”,法律上并不存在纯粹的后果论或道义论范式,相反,无论是欧盟《人工智能法》还是我国的人工智能法学者建议稿以及中法两国《关于人工智能和全球治理的联合声明》,都试图将后果论和道义论共举,实现“风险规制”和“智能向善”的双重目标。但遗憾的是,当前的尝试止步于原则宣称和条文并置,不但未实现真正融贯,还衍生出更多新的问题。最为典型的例子是自动驾驶中的碰撞回避规则。在通过事前编程在生命与生命之间取舍时,后果论会选择撞向损害较小的一方,也就是允许汽车转向撞伤或撞死一名行人,但这种单纯衡量受害人数量的规则违反了人权保障和生命权绝对保护原则,从而与道义论相冲突。就此而言,试图平行适用后果论和道义论的结果,就是采取所谓掷骰子的随机选择算法,但这显然意味着立法者和人工智能放弃了道德责任。更普遍地说,当欧盟《人工智能法》试图引入道义论并形成“产品风险与基本权利保护”的二元框架后,并没有化解人们对其缺乏人权保障承诺的批评,反而被质疑对于涉及基本权利风险的规制要比对产品安全的规制更宽松,而在此二元矛盾的背后恰恰是后果论和道义论的根本分歧。在后果论看来,基于“问题与解决—挑战与回应”方法,人工智能风险由科技进步所引发,故首先应通过科技进步来化解,此即“解铃还须系铃人”之真义,其规范重心当然落在了技术标准和创新激励上。相反,道义论将严守原则作为人工智能发展的前提,借此划定其应用边界和开放路径。就责任归属而言,后果论倾向于视人工智能为工具,相关责任指向了使用者,研发者只有在无法兑现其技术承诺时,才承担产品责任。此外,为充分矫正不利结果,建立责任保险制度成为后果论的主要观点。与此不同,道义论视人工智能为实体,将伦理规范全面贯彻到研究、开发、部署、使用的全流程之中,以期最终驯服人工智能。
(二)融合后果论和道义论:迈向规则后果主义
后果论和道义论固然相互对立,但两者也在长期诘难中不断接近与融合,而在各种融合的努力中,“规则后果主义”(rule consequentialism)融“规则”(道义论的核心主张)和“人类福祉”(后果论的核心主张)为一炉,不但是伦理学的发展方向,而且是最契合法治的实践理论。“规则后果主义”的简化版本是:当且仅当一个行为是由一套每个人所接受的规制所要求的,并且该规则导致的后果至少和其他规则一样好时,该行为才是正确的。这一理论可依循如下步骤进行证立:(1)规则后果主义奠基于一个普遍信念:我们的行动应最大限度地增加好的事态,减少坏的事态。这里的“好”可以是人的快乐、幸福、偏好满足,也可以是遵守道德、制度公正、不侵害权利,前者属于典型后果论的构成要素,后者是典型道义论的构成要素。(2)规则后果主义相信正确的行为源于最大限度地产生好事态的“规则”。如果特定行为是正确的,那么类似的行为越多越好。这意味着该等行动的正确性将被普遍认可并实行,由此形成了社会公众广泛接受的规则,而不再是对单次行为单独评价的“命令”。(3)规则后果主义主要不是个人伦理的基础,而是立法准则。因为个人行为往往出于自我利益驱动,而非不偏不倚地关注更大的福祉。(4)规则后果主义契合“事前观点”(exante)的法律观,即法律旨在影响、诱导未来的、不特定的行为人选择更好的行为,而非在某事发生的前提下,制定、解释、修改法律,使善后工作在局限下最好。
晚近,规则后果主义理论的集大成者布拉德·胡克(Brad Hooker)提出了一种更复杂的“精致的规则后果主义”(sophisticated rule consequentialism)。他主张:“当且仅当一个行为被一套由规则组成的守则(code)所禁止,该守则在任何地方被新一代人的绝大多数所内化,并在福祉(well-being)方面(对于处境最差的人应优先考虑)具有最大的预期价值时,这个行为才是不正确的。对守则的可期望价值的计算包括内化该守则的所有成本。”该理论不但有效平息了对传统规则后果主义的质疑,而且化解了人工智能后果论或道义论规制的困境。
后果论和道义论分别面临着“风险识别与防范”和“价值分歧与冲突”的难题。对此,精致的规则后果主义用“福祉”取代“风险”,体现道义论色彩的“权利”价值由此被纳入,判断标准更加包容。更重要的是,晚近的“福祉测量研究”涵盖了客观福祉和主观福祉,进而发展出人类发展指数、彭伯顿幸福指数、社会福祉函数等工具,为分析和比较社会福祉奠定了坚实基础。其次,精致的规则后果主义将“权衡理念”运用于特定行为的正当性衡量中,相关规则不再是非黑即白的适用,而是有着程度差异的准则,规范灵活性和体系性因此增强。除弥补经典范式不足外,精致的规则后果主义还从如下两方面充实了人工智能规制理论:一方面,精致的规则后果主义通过强调内化成本,将规则制定与实施成本纳入分析;另一方面,精致的规则后果主义通过对“处境最差之人”的关注,凸显了对弱势群体的特别保护。
规则后果主义为人工智能规制提供了新的可能性。下文依循“原则体系—操作框架”的制度逻辑,将规则后果主义的一般原理转化为人工智能规制实践,以期为我国人工智能立法开辟出第三条道路。
(三)重建“以人为本”的原则体系
人工智能规制的后果论范式以安全为原则,道义论范式的原则涵盖了人类主体性、隐私、透明、公平、环境保护、问责等诸多目标,两种范式混合后的原则则堪称芜杂。从规则后果主义观之,原则不只是抽象规范,还是具有价值理念统一性的内在体系。就此而言,人工智能的规制原则展开就不能停留在逐一罗列上,必须揭示不同原则之间的实质性关联,形成彼此调和与相互支持的融贯体系,搭建人工智能法的骨骼架构,以消解后果论和道义论的分歧。
在各种原则中,“以人为本的人工智能”(Human-centered AI)高度契合规则后果主义“最大化人类福祉”的原理,足以成为统帅其他原则的“纲领性原则”。我国《新一代人工智能治理原则——发展负责任的人工智能》明确宣示“人工智能发展应以增进人类共同福祉为目标”,2023年《全球人工智能治理倡议》第1条再次提倡“坚持‘以人为本’理念,以增进人类共同福祉为目标”,这也与联合国“为人类治理人工智能”(Governing AI for Humanity)的宗旨合若符契。由于“福祉”的含义非常宽泛,规则后果主义试图以清单的形式将其明确。有鉴于此,在“以人为本”的脉络下,“人”的范围依循“个体—社群—人类”的顺序不断拓展,“福祉”由内而外呈现出“个体福祉—社群福祉—人类福祉”三个同心圆,其优先级依随之递减。福祉并非纸面上的承诺,而是人在生活中实现各种有价值功能的实际能力,也就是人得以自由实现的“可行能力”,因此“福祉”的范围通过“以人为本”的内涵拓展得以进一步客观化。
其中,“个人自主”不只是数字人权的关键一环,也是个体福祉的核心。福祉并非快乐。正如电影《楚门的世界》所揭示的,许多人在充分知情和思考之后,会选择快乐之外的事物,比如事情的真相。因此,个人福祉之基是人有权按照自己的选择而非别人的选择来生活。随着人工智能的兴起,机器不再是简单、被动地执行人的指令,而是形成了与人相互协作和增强的模式。起初,人们或许以为找到了得力的仆人,最终它却可能蜕变为决定自己行为的主人。为矫正人机关系的失衡,保持个人真正对人工智能享有最终控制权,不受强迫、欺诈和操纵,“个人自主”可被具体化为“透明原则”(Transparency)和“监督原则”(Human oversight)。“透明原则”不但是最主流的人工智能治理原则,而且被我国算法治理一系列文件所认可。该原则既指向了人工智能模型、算法和数据集的“技术透明”,也涵盖了何人出于何种目的、创制或使用了人工智能,又包含了由谁作出决定并使用系统产出结果的“机构透明”。借此,透明原则要求人工智能的研发者、服务提供者主动披露人工智能的场景、类型、名称和目的,对人工智能生成物适当标注,以确保个人知晓他们是在与人工智能进行交互,并采取必要措施对人工智能的原理、效果和影响做出有意义的解释说明。如果说“透明原则”强调“知情”,那么“监督原则”则指向了“行动”。监督可通过“人在回路中”(HITL)“人在回路上”(HOTL)或“人在命令中”(HIC)等多种机制实现。其中,“人在回路中”意味着在人工智能决定中尽量嵌入人工决策者,即由人工来审核作出决定的“智能”。不过,这种最高强度的人类控制在许多情况下,既不可能、也不可取,完全避免人类接管的自动驾驶设计就是绝佳的例子。“人在回路上”是人类在系统设计周期和监控系统运行期间的事前、事后干预。“人在命令中”指人拥有监督人工智能对经济、社会、伦理的影响,决定何时以及如何使用该系统的能力。在某些场景下,它还包括拒绝、推翻、退出人工智能决策的能力。这就要求在人工智能设计之初,设计者就应认真审视人机互动过程,支持个人对系统评估并提出质疑,协助个人根据自己的目标做出更好、更明智的选择。
“社群福祉”反映了特定范围内共同体的总福祉。正如个体应当有能力发展独特价值一样,群体也应如此。不过,有异于个人自主,社群计算的是累计福利,寻求的是最大多数人内化后的最大认同。借此,社群福祉可细化为人际的“公平原则”“弱势群体原则保护原则”和“多利益攸关方参与原则”。其中,公平原则不但是我国《互联网信息服务算法推荐管理规定》的基本原则,且位列“公平、责任、透明”(FAT)的算法治理原则之首。公平原则关注人工智能导致的歧视、偏见、差异影响以及平等机会和平权行动,而在规范意义上,它包括起点公平、过程公平、结果公平多种内涵。如果说公平原则意味着“把每个人算作一,不把任何人算作大于一”的平等计算,那么弱势群体原则保护则从边际效应递减理论出发,对“处境最差者”的福祉做加权处理,从而使社会整体福祉能够被最大化。弱势群体保护原则既要求人工智能研发者、服务提供者为弱势群体提供定制化的产品,也要求国家承担给付义务,提供物质与服务帮助,创造实质平等的机会与条件,保障公平的数字化参与。国家还应采取行动提升公民数字素养,使之获得有效使用人工智能并高效协同的能力。最后,规则后果主义洞察到相互对立的社群守则,也认识到规范实效不能立足于外在服从,而必须仰赖于对规则的内在接受和自愿维护。故此,守则的确立不应定位于一尊,而应为所有受人工智能规制影响的利益攸关方参与治理提供渠道,将广泛的诉求和观点纳入考量,使立法者在审慎论辩基础上定规立则。此即“多利益攸关方参与原则”。未来的人工智能法可以在《个人信息保护法》第11条、《数据安全法》第9条所确立的“多元共治”基础上,细化多利益攸关方参与的方式、程序和效力,引入“人工智能社会影响评估制度”,采取透明、包容的方式全面评估特定人工智能的使用对相关区域内各利益攸关方的正面和负面影响,鼓励企业、行业、政府、公众、学界相互分享人工智能的愿景、能力和风险,设计可能的替代方案和缓解措施,推动最佳实践、标准和立场的交流融合。
作为“人类共同关切事项”,人工智能是对全人类的挑战,对其的规制关乎全人类的福祉。就此而言,“人类福祉”是我国全球治理的核心立场——“网络空间命运共同体”在人工智能领域可称之为“人工智能命运共同体”。基于《携手建构网络空间命运共同体》白皮书,“可持续发展原则”与“安全原则”构成了人类福祉的双支柱原则。其中,可持续发展原则居于优先地位。这不但是因为,不发展是最大的不安全,因发展而生的问题首先要靠发展解决;更是因为依循可行能力与具体正义的路径,发展本身就是首要的基本人权,将发展作为人权事业的基础,在发展中保障人权,正是我国“以发展为基础的人权”之要义。详言之,可持续发展原则一方面要求国家供给公共基础服务的保障性制度,支持人工智能基础设施、算力、数据和其他公共资源开放共享;另一方面要求立法者尽量弥合人工智能发展与《个人信息保护法》《数据安全法》《网络安全法》《著作权法》等在先法律的矛盾,合理设定监管标准,涤除过重的责任负担,豁免人工智能科学研究和开源模型的合规义务,以实现监管规则总收益和总成本的净差额最大化。同时,在全球环境和生态变化的背景下,可持续发展原则还鼓励研发者积极采用节能减排技术,促进绿色智慧的数字生态文明建设。安全原则既是规则后果主义中“不伤害原则”的体现,也是“基于风险的人工智能规制”的主要内容。在综合安全观的视野下,安全原则既指人工智能自身安全,也涵盖了人工智能应用安全。前者聚焦于人工智能整个生命周期中的内部风险管理,避免因自身设计缺陷、运作故障导致不能稳定、准确地实现其目标。为此,各方在研发时,应采取风险识别与缓解的措施,在部署后监控漏洞和滥用,提高组织治理和风险管理政策的透明度,以回应AI幻觉、虚假内容生成、知识产权侵权、个人信息和隐私侵权,防控和管理因人工使用引致的意识形态、经济发展、社会管理、国家主权等层面的风险。
(四)再造“分类分级”的操作框架
人工智能的分类分级已成为公认的规制框架。其本质意涵在于:国家根据人工智能风险类别的差异性,预先构建规制工具箱以提升规制的针对性和精准性,从而实现敏捷治理。但是,囿于后果论的经典范式,当前的分类分级规制弊端重重。其一,该框架以具体场景下、可计算的风险规模、概率和范围为基础,忽略了内在伦理和主观性权利。其二,该框架仅仅聚焦于人工智能技术本身,缺乏对“人类行动者”及其与“非人类行动者”互动的理解,无法把握未来可能涌现出的风险。其三,该框架立足于人工智能的负面后果即风险,而未考虑正面后果即人工智能对健康、气候、性别、包容性繁荣、基础设施等可持续发展的正面促进作用。不论是欧盟《人工智能法》基于风险的人工智能分类、美国《科罗拉多州人工智能法》下的“高风险人工智能”,还是“示范法”中的“人工智能负面清单”,均是如此。其四,该框架以特定人工智能的直接后果作为评价对象,并未针对人工智能所遵循的规则加以判断,不但落入了行动后果主义的窠臼,致使无视人工智能研发者和服务提供者的利益,对其施加了过分严苛的、最大化社会福祉义务,而且在根本上遗忘了规则内化与实施的成本。分类分级框架的上述缺陷,亟待通过规则后果主义在如下两方面予以矫正。
一方面,在风险之外引入更多元的分类分级要素。将人工智能的影响窄化为“风险”,是风险规制进路的常见误解。由于受到了广泛批评,欧盟最终版《人工智能法》增设“基本权利影响评估”(FRIA),这一做法可谓亡羊补牢。“基本权利影响评估”要求受公法管辖的公共机构、提供公共服务的私人经营者,评估自然人信誉、确定信用评分以及用于人寿、健康保险风险定价的人工智能的供应商、产品制造商、部署者、销售商都必须评估该系统对隐私、平等和言论自由等基本权利的潜在影响。但无论是风险评估,还是基本权利影响评估,其背后都潜藏着人工智能作为“必要之恶”的前见,本质上将人工智能规制视为一种“社会性规制”,而没有看到它所包含的促进效用的“经济性规制”面向。实际上,与西方对人工智能采取“反乌托邦叙事”迥异,中国、日本等东亚文明倾向于“乌托邦叙事”。一旦法律接受作为“技术—社会系统”的中性人工智能预设,我们就能从“人工智能行动者”和“人类行动者”两个维度出发,找出对人工智能进行分类分级规制的如下要素:(A)人工智能:系统自主性程度;(B)人工智能研发者:人工智能的不透明性程度;(C)人工智能服务提供者:人工智能的涉众性程度。其中,具有舆论属性或社会动员能力为风险最高等级;(D)人工智能使用者:个体权利受损风险与收益的差值;(E)直接利益攸关方:个体权利受损风险与收益的差值;(F)确定性:立法者对上述要素的认识程度和预测的可信度。其中,针对窄人工智能,上述因素的结果相对确定性较高;针对通用人工智能,上数因素的确定性相对较低。未来,立法者可以在实证研究的基础上,形成颗粒性更细、更客观的要素指标,基于动态系统论的法学方法,得出从L1到L5的人工智能分类分级结果,即Ln=(要素A×充足度a1+要素B×充足度b1+......)×E。
另一方面,建立更具回应性的监管规则。由于缺乏对规则的分类分级,无论是欧盟《个人智能法》,还是我国的学者建议稿都呈现出“一般规制+特殊规制(针对高风险人工智能、关键人工智能)”的二元结构,而没有发展出“监管最适”的“分类分级规则”。正如美国最高法院大法官史蒂芬·布雷耶所指出的:我们对市场缺陷、经典规制模式以及替代制度的检视,暗示规制失灵有时意味着没能匹配以正确的工具,来处理手边的问题。典型的规制失灵是政府面对所察知的市场缺陷,做了错误的应答。实际上,规则后果主义已经蕴含了对规制工具的甄选,即应经由成本收益分析,实现与分类分级的人工智能相匹配的合比例规制。立基于前述人工智能从L1到L5的分类分级,一个金字塔规则架构从下而上地渐次成型:(1)L1规则:确保市场竞争和技术创新的市场嵌入型规则;(2)L2规则:激励企业在国家划定底线上进行自我规制(Self-regulation)的规则,以及监管机构通过行政检查、合规审计报告对其自我规制有效性进行评估的“元规制”规则;(3)L3规则:强制企业开展算法评估、算法备案、第三方审计、红队测试、AI生成物标识等披露信息的规则;(4)L4规则:要求企业遵循人工智能研发、部署、对外提供服务的实质标准、义务、责任的“命令—控制”(Command-and-control)规则;(5)L5规则。人工智能上市前的“行政许可”规则。
结 语
人工智能并不是法律遭受的第一次重大规制挑战。纵观历史,工业革命以降,在科技一次次重塑经济、社会、政治的进程中,法律亦随之生长与演化。我们必须用更广阔理论视野,才能把握人工智能对法律提出的挑战,找到法律回应挑战的可能路径。当前人工智能规制的实践依然延续着经典科技规制中的后果论和道义论范式,两者各有所长也各有其短。两者所蕴含的“伦理冲突与抉择”正是人工智能及其规制面临的根本课题。本文尝试着援引旨在超越后果论和道义论的“规则后果主义”,为中国人工智能立法找寻理论之基。通过坚持和重新阐释“以人为本”纲领,承认并重新构造“分类分级”框架,中国不但能贡献富有道德感召力的人工智能规制原则,还能与其他国家搭建互操作的人工智能规制方案,从而为人工智能的全球共治探索世纪新路。
(原文刊载于《法律科学》2025年第1期)
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。
