。生成式人工智能的潜在社会风险开始显露,它在数据安全、隐私风险和算法安全等方面的问题引起了广泛关注。德国、法国、意大利等欧洲国家开始考虑对其采取更严格的监管,针对生成式人工智能的监管风暴已经来临。2021年,欧盟提出了《人工智能法案》草案,目的在于提供化解人工智能风险、保护欧盟公民权利的基本法律框架。2023年7月10日,我国国家网信办等七部门审议通过了《生成式人工智能服务管理暂行办法》(以下简称《暂行办法》),旨在为生成式人工智能“立规矩”。可以预期的是,针对生成式人工智能的监管制度将会越来越严格。但是,总体而言,当前各国的监管立法并没有对生成式人工智能的出现做好充分准备,监管方案普遍存在若干认识误区,亟待厘清和匡正。
误区一:未形成统一的生成式人工智能责任框架
生成式人工智能存在数据泄露、虚假信息、知识产权不合规等风险,这并无争议。有争议的是,由谁以及以什么样的方式对哪些风险负责?鉴于生成式人工智能从生产内容到发布的链条性,责任框架的建立应使受影响的人能够在整个责任链内提出责任申索,因此需要建立一个统一的责任框架。虽然有法律尝试对责任作出规定,但是由于立法观念未及时更新,往往零散而不成体系。例如,欧盟委员会在2022年通过了两个提案,即《人工智能责任指令》与修订的《产品责任指令》,由此形成了欧盟人工智能监管的基石。但是,《人工智能责任指令》以过失责任为基础,而《产品责任指令》则以严格责任为基础,且两个提案与前述的《人工智能法案》草案在内容上交织互补,并没有形成和谐统一的责任框架。我国的相关规定也存在类似问题:更多强调开发者和提供者的行政责任与刑事责任,未涉及民事侵权责任,更没有规定承担责任的原则,对生成式人工智能可能造成的权益损害需要诉诸《民法典》、知识产权法等法律部门,而受害者在证明开发者与提供者的过错时面临着极大的困难。
误区二:重视生成式人工智能的当前风险而不是长期风险
尽管现在对人工智能风险的讨论如火如荼,但是立法上的动作却非常缓慢。美国发布了《人工智能权利法案蓝图》,其中涉及“算法歧视保护”,但是美国至今还没有通过一部规制生成式人工智能的法律。前述欧盟的法律也未将重点放在人工智能恶意使用问题上。我国的《暂行办法》是全世界第一部真正关注生成式人工智能恶意使用风险的法规。但是,无论是当前的讨论还是法律规制,都在处理当前突出的算法歧视、隐私权和责任等“灰犀牛”问题,对可能在长期以及未来出现的“黑天鹅”问题缺乏了解与关注。我们必须清楚地认识到,我们对生成式人工智能能力的认识,仅限于我们正在积极测试与研究的部分,生成式人工智能实际具有的能力可能远比我们想象的更多,其中可能隐藏不为人知的风险。对未知能力引发的未知风险进行预防,应当是每一种生成式人工智能监管制度必须认真考虑的问题。
诺姆·柯尔特在《算法黑天鹅》一文中,将生成式人工智能的隐藏风险分为三类:第一类是通用性风险,即生成式人工智能系统在社会中得到普遍运用,在高风险领域一旦出现伦理与安全问题就会造成灾难性后果;第二类是扩散与不当使用风险,即生成式人工智能很容易被改造用于实施网络攻击或金融欺诈等违法犯罪行为;第三类是系统性风险,即生成式人工智能可能会使公众判断失灵、价值观受到负面影响,进而对政治和意识形态安全带来挑战。因此,我们需要一种“算法上的准备”以指导监管制度的完善,预防未来可能出现的算法“黑天鹅”。
误区三:监管重点未置于应用层面而是预训练层面
现有的立法将监管重点直接置于生成式人工智能本身可能带来的风险上,强调对预训练层面进行干预以确保生成符合监管要求的成果。但是,研究表明,将重点置于应用特别是高风险应用层面可能会更有效。生成式人工智能模型本身具有高度可变性与通用性,开发者自己未必能够充分评估并预见可能带来的高风险。很多开发者都具有这样的预见可能性:自己开发的生成式人工智能一旦投入运用,就很有可能被用于高风险项目。既然在技术上无法排除高风险应用,那么生成式人工智能很容易被视为高风险系统,开发者在现有的监管模式下将始终处于动辄得咎的风险中,这对于生成式人工智能的健康发展并无益处。简言之,现有的监管模式对开发者提出了一项“不可能完成的任务”。因此,将监管重点置于预训练层面,对开发者而言负担过重且无必要,而应置于应用特别是高风险应用层面。
当然,监管重点的转换存在两个重要例外:一是算法上的非歧视性,这本身就是应当在预训练层面解决的问题;二是数据保护,用于预训练的数据本身应当满足数据安全与个人信息保护的合规要求。
匡正一:建立统一的生成式人工智能责任框架
对于生成式人工智能责任,应当在一部统一的立法中予以规定,以避免不同法律的相互冲突与受害者的举证困难问题。立法上的要点是如何平衡科技创新与权利保护的关系。对此,有两方面的问题需要关注:一是合理分配归责原则,以合理确定权利保护的边界和强度。对于因非法开发与应用以及被禁止的高风险应用所造成的损害,可以考虑适用严格责任原则;对于合法开发与应用以及高风险应用所造成的损害,可以考虑适用过错推定原则;对于使用生成式人工智能的用户所遭受的损害,可以考虑适用过错原则。二是为科技创新的可持续性留下必要的公共空间。应当充分考虑科技创新和产业发展的需求,也通过安全港、监管沙盒等制度保护开发者的创新积极性,通过比例原则实现对生成式人工智能开发者的创新性保护与对受害者保护的动态平衡。
匡正二:重视生成式人工智能的长期风险
一方面,立法不可能一蹴而就,而是要不断监控生成式人工智能的升级迭代,持续评估其可能的风险。立法需要以预防生成式人工智能未来可能出现的大规模社会危害为目的,始终坚持认知上的开放性,实现“在监管中学习”,保持足够的灵活性以适应新情况的变化,并考虑与新兴技术及其应用相关的信息演变特性,设计更具适应性、前瞻性的监管框架。另一方面,立法必须保持足够的规范弹性,要求立法能够完全预见所有可能发生的风险是强人所难。由于立法程序的繁复性,要求立法随时修改以适应新情况的需要,也是勉为其难。因此,应当考虑建立一种弹性的监管框架,善于利用空白规范和一般性、概括性条款为未来的监管留下空间。当然,在这个过程中必须平衡好法条的明确性与模糊性的关系。
匡正三:将监管重点置于应用层面
监管者须知道,不可能强制要求生成式人工智能的开发者建立一个无所不包、能预防未来可能带来的任何风险的风险管理体系。因此,对生成式人工智能的监管应将重点转移至应用层面,至少是高风险应用层面。较为理想的做法是,对于高风险应用(例如,生成敏感内容、社会经济决策咨询等),开发者(提供者)与获得授权的使用者建立合作关系,相互共享必要的信息,开发者(提供者)对审查是否授权承担责任,而使用者对不当使用承担责任。立法应当对此建立最低限度的合规框架。当然,这种合作可能涉及国家秘密与情报、商业秘密和知识产权等重要信息的保护问题。这就需要修改相关法律,以形成一个协调一致的监管框架,同时考虑第三方中立机构介入的可能性。
来源:《中国社会科学报》
