◇决策参考报告202312◇综述:AI浪潮下,更须守护数据安全
2023-04-03 08:58:00
字号:大 中 小
目录
AI浪潮下,更须守护数据安全
一、人工智能的强大功能隐藏着法律风险
(一)ChatGPT存在提供虚假信息这一隐患
(二)ChatGPT的广泛应用可能导致个人数据与商业秘密泄露
(三)ChatGPT的广泛使用易产生侵权问题
(四)围绕人工智能展开的无序商业行为或违反法律规定
二、人工智能安全治理的国内探索
(一)国家立法
(二)地方立法
1.北京:将研究人工智能领域立法工作及探索建立伦理规范
2.上海:构建体系化治理框架,兼顾人工智能产业发展与安全可控
3.深圳:人工智能的基础研究须与伦理道德并重
三、人工智能安全治理的国外经验
(一)多个国家协同治理
(二)欧盟:立志于为符合伦理的人工智能技术的发展铺平道路
1.高风险人工智能规制具有五大特点
(1)建立欧盟独立的高风险人工智能系统数据库
(2)强制使用“高质量”训练数据以避免偏见
(3)强制性的风险管理
(4)明确的透明度要求
(5)编写和留存详细的运行记录
2.《草案》的创新和意义
(三)英国:人工智能数据安全是国家数据安全治理发展新方向
1.数据安全治理制度体系特征
(1)以关键法为核心制度,形成较为健全的数据安全治理制度体系
(2)重视个人数据安全与人权
(3)制度涉及领域广
(4)制度演进由外及里
2.跟随技术的发展更新技术标准和监管原则
(四)美国人工智能规制的公法路径
1.立法性路径
2.司法性路径
3.综合性路径
四、我国人工智能法律规则发展布局面临的挑战
(一)责任划分和承担
(二)个人信息保护
(三)算法歧视
(四)网络安全
五、深化数据安全治理、推动可信人工智能创新发展的对策建议
(一)完善“一中心一张网”的数据安全治理机构体系
(二)构建多利益主体间数据伦理协作机制
(三)建立监管沙盒机制有效防控数据安全风险
(四)完善数据跨境流动安全的制度体系
六、结语
最近,由美国人工智能研究室OpenAI开发的全新“聊天机器人”ChatGPT火了。作为一款人工智能语言模型,它不仅能和人展开互动,还可以写文章、制定方案、创作诗歌,甚至编写代码、检查漏洞样样精通,上线仅两个月全球活跃用户破亿。ChatGPT的问世掀起了新一轮人工智能浪潮,但其使用过程中可能涉及的法律问题不容忽视。
一、人工智能的强大功能隐藏着法律风险
(一)ChatGPT存在提供虚假信息这一隐患
第一,人工智能生成的信息并不总是准确的,需要一定的专业知识才能辨别真伪。第二,或有不法分子恶意“训练”人工智能,使其提供诈骗信息、钓鱼网站等内容,损害公民人身财产安全。
(二)ChatGPT的广泛应用可能导致个人数据与商业秘密泄露
ChatGPT依托海量数据库信息存在,其中包括大量的互联网用户自行输入的信息,因此当用户输入个人数据或商业秘密等信息时,ChatGPT可能将其纳入自身的语料库而产生泄露的风险。
(三)ChatGPT的广泛使用易产生侵权问题
第一,人工智能主要通过挖掘人类日常交流以及文本,进而统计分析,因此,对于一些受著作权保护的文本、视频、代码等,如果没有经过权利主体的授权,直接获取复制到自己的数据库中,并在此基础上修改、拼凑,极可能侵害他人的著作权。第二,ChatGPT在建立语料库、生成文本时,如果使用并非公开的开源代码、使用开源代码商用未办理许可证或者未按照许可证的要求实施的,可能会导致侵权。第三,ChatGPT的文本数据挖掘技术可能导致其在他人享有著作权的作品中“借鉴”部分内容。对于这部分内容,若不能构成我国著作权法所规定的“合理使用”的情形,则可能引发侵权纠纷。
(四)围绕人工智能展开的无序商业行为或违反法律规定
第一,国内围绕ChatGPT账号展开的买卖行为可能构成非法经营。ChatGPT的正版服务由境外机构提供,而未经我国相关部门批准利用VPN跨境提供经营活动是被明确禁止的,所以国内这些代问、代注册的商家以营利为目的,搭建或使用VPN进行注册账号,未办理国家相关行政许可,擅自经营买卖国外账号,可能会受到行政处罚甚至刑事处罚。第二,借ChatGPT名称热度“搭便车”的牟利“山寨”软件激增。此类软件打着正版软件的旗号进行宣传,欺骗消费者进行下载,可能构成虚假广告。第三,“山寨”软件使用的名称及标志如与正版软件相同或相似,引导他人误认为与正版存在特定联系,可能构成反不正当竞争法中规定的商业混淆行为,将受到行政处罚。
二、人工智能安全治理的国内探索
ChatGPT浪潮澎湃,其背后暴露出的人工智能法律风险、围绕ChatGPT展开的无序商业行为亦汹涌来袭,法律规范与政府监管必不可少。
(一)国家立法
面对人工智能可能产生的风险和挑战,我国政府一直在思考如何限制人工智能的行为,控制和降低人工智能的不安全因素,实现人工智能安全治理。
全国信息安全标准化技术委员会(TC260)自2002年成立以来,在生物特征识别、汽车电子、智能制造等部分人工智能技术、产品或应用安全方面展开标准化技术工作。《信息安全技术虹膜识别系统技术要求》《信息安全技术汽车电子系统网络安全指南》《信息安全技术个人信息安全规范》《信息安全技术大数据服务安全能力要求》等国内标准相继发布和实施。
2017年7月,中国国务院印发《新一代人工智能发展规划》提出“制定促进人工智能发展的法律法规和伦理规范”、“建立人工智能安全监管和评估体系”、“建立人工智能技术标准和知识产权体系”等保障措施。
我国算法行业在此前的标准制定时已经初步尝试了以场景和架构为基准的思路。2018年7月,中国科学院软件研究所联合15家产学研单位共同编制首个国内人工智能深度学习算法标准《人工智能深度学习算法评估规范》。这一规范基于深度学习算法可靠性的内部和外部影响,结合实际应用场景,确定了由7个一级指标和20个二级指标组成的算法可靠性评估指标体系,做了场景化和精细化算法治理实践的有益尝试。
2019年6月,国家新一代人工智能治理专业委员会发布《新一代人工智能治理原则——发展负责任的人工智能》(以下简称《治理原则》),提出了人工智能治理的框架和行动指南。《治理原则》旨在更好协调人工智能发展与治理的关系,确保人工智能安全可控可靠,推动经济、社会及生态可持续发展,共建人类命运共同体。强调了和谐友好、公平公正、包容共享、尊重隐私、安全可控、共担责任、开放协作、敏捷治理等八条原则。
“十四五”我国已启动了重点研发计划“网络空间安全治理”重点专项,围绕一系列安全挑战开展基础性研究。其中,在安全治理方面,针对网络空间存在的数据垄断、滥用和泄露等问题,重点突破重要数据的安全保障、个人数据的隐私保护和跨境数据流动的安全等核心技术。
2021年6月,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(以下简称《数据安全法》)。《数据安全法》以数据安全为核心,涵盖个人信息、政务数据等各类型数据,涉及数据利用与安全发展,规定了数据安全工作机制、职责与保护制度,兼顾政务数据安全与开放,是我国首部比较全面的、效力层级较高的、专门针对数据的法律。《数据安全法》《个人信息保护法》与《网络安全法》共同形成了数据治理法律领域的“三驾马车”,标志着我国数据安全法律架构已初步搭建完成。
2021年9月,国家新一代人工智能治理专业委员会发布《新一代人工智能伦理规范》,提出增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当、提升伦理素养等6项基本伦理要求。旨在将伦理道德融入人工智能全生命周期,为从事人工智能相关活动的自然人、法人和其他相关机构等提供伦理指引。
2022年出台的《互联网信息服务算法推荐管理规定》中明确要求,人工智能的算法应当坚持社会主义主流价值观,不能利用算法危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益。
2022年12月,最高人民法院发布《关于规范和加强人工智能司法应用的意见》,进一步推动人工智能同司法工作深度融合,全面深化智慧法院建设,创造更高水平的数字正义,推动智慧法治建设迈向更高层次。
2023年1月10日起施行的《互联网信息服务深度合成管理规定》中明确,任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。
由阿里主导的《大数据安全与隐私过程》(项目编号ISO/IEC27045)国际标准项目进入工作组草案阶段,这意味着中国的数据安全技术和管理经验有望成为国际标准,为全球化数据安全管理提供参考方案。
(二)地方立法
1.北京:将研究人工智能领域立法工作及探索建立伦理规范
根据中新网报道,北京将深入研究人工智能应用领域立法工作,并将探索建立人工智能治理的道德规则和伦理规范,引导科研机构和高校院所在研发人工智能技术时遵循相关原则。
根据实施方案,北京将研究起草《北京市数字经济促进条例》,针对数据权属、数据交易流通机制规则、数据跨境流动、预防平台垄断、算法解释、算法与产权、算法与竞争等关键问题,为数字经济和人工智能发展提供法律框架。
北京还将利用“两区”政策先行先试,在数据跨境流动、央地数据融合、高级别自动驾驶试点等方面,争取国家政策支持。探索建立国家层面的数字经济“监管沙箱”,适配人工智能高频跨界创新特点,建立容错机制,在人工智能应用领域创新探索。
实施方案指出,北京将深入研究人工智能应用领域立法工作,起草制定算法决策与歧视、隐私数据保护、算法安全与责任、防止算法滥用等领域的制度措施,对人工智能场景应用进行创新监管,为人工智能创新应用和产业发展提供制度保障。
2.上海:构建体系化治理框架,兼顾人工智能产业发展与安全可控
2022年9月,上海市十五届人大常委会第四十四次会议表决通过《上海市促进人工智能产业发展条例》。《条例》兼顾人工智能产业发展与安全可控,明确人工智能产业发展相关行为底线,保障人工智能产业健康、安全发展:一是坚持总体国家安全观,保障产业链供应链安全。二是明确市政府及有关部门要根据人工智能快速迭代的特点,制定、修改或者废止相应的监管规则和标准,对高风险和中低风险人工智能产品和服务采取不同的治理模式;规定市有关部门可以就人工智能产业发展过程中的轻微违法行为等制定依法不予行政处罚清单。三是明确人工智能伦理专家委员会职责,发挥其在人工智能领域伦理规范方面的作用。四是明确相关主体开展人工智能研发和应用,应当遵守法律、法规规定,增强伦理意识,并不得从事相关禁止行为。五是注重劳动者、老年人、残疾人、妇女、未成年人等群体的保护。
上海市经济和信息化委员会副主任张英表示,在落实条例中将进一步注重促进创新与防范风险相统一,一方面研究出台并动态调整高风险人工智能产品和服务清单等,另一方面制定人工智能领域伦理规范指南,开展相关伦理安全教育和宣传,促进人工智能产业在规范中发展,在发展中规范。
3.深圳:人工智能的基础研究须与伦理道德并重
2021年9月,《深圳经济特区人工智能产业促进条例》公布,立法中涉及人工智能伦理,提出通过伦理安全规范、伦理审查机制、社会价值观引导为人工智能产业长期健康有序发展保驾护航。
首先,《条例》确立了多元主体协调共治的治理机制。确立人工智能治理国际公认的和谐友好、公平公正、包容共享、尊重隐私、安全可控、共担责任、开放协作、敏捷治理等八大治理原则。
其次,《条例》设立了专门的人工智能治理机构。规定市政府应当设立人工智能伦理委员会。
第三,《条例》明确了行为底线和法律责任。明确在人工智能研究和应用活动中不得侵害国家安全、公共利益和个人权益,禁止实施歧视用户、侵害消费者权益、滥用技术等行为,并强调相应的法律责任,要求各方主体严守行为底线,有效预防风险。
三、人工智能安全治理的国外经验
(一)多个国家协同治理
在中国的积极参与下,二十国集团于2019年通过《G20人工智能原则》,该原则提倡需要以人为中心和以负责任的态度开发人工智能。原则包含两个部分,分别是“可信人工智能的负责任管理原则”和“实现可信人工智能的国家政策和国际合作的建议”,具体内容包括“包容性增长、可持续发展和福祉”“以人为本的价值观和公平”“透明度和可解释性”“健壮性和安全性”和“问责制”。
2021年11月25日,联合国教科文组织在法国巴黎发布《人工智能伦理建议书》,提出发展和应用人工智能首先要体现出四大价值,即尊重、保护、提升人权及人类尊严,促进环境与生态系统的发展,保证多样性和包容性,构建和平、公正与相互依存的人类社会。
(二)欧盟:立志于为符合伦理的人工智能技术的发展铺平道路
2021年4月,欧盟委员会针对人工智能技术的监管法规草案,延续“基于风险”的监管理念,对人工智能技术应用进行风险划分。根据《草案》,欧盟将全面禁止大规模监控和利用人工智能技术的社会信用体系,同时对特定领域的“高风险”应用进行严格限制,为实现可信赖的人工智能生态系统提供初步法律框架。
按照风险高低,《草案》将人工智能应用场景分为“最低风险、有限风险、高风险、不可接受的风险”四个风险等级,等级越高的应用场景受到的限制越严格。
1.高风险人工智能规制具有五大特点
(1)建立欧盟独立的高风险人工智能系统数据库
该草案要求欧盟与各成员国合作,建立并共同维护面向高风险人工智能系统进行登记的数据库,还提出“欧盟数据库中的信息应向公众开放”,欧盟委员会是该数据库的控制者,向系统供应商提供充分的行政支持。
(2)强制使用“高质量”训练数据以避免偏见
《草案》要求,用于训练、验证和测试的数据应是具有相关性、代表性、没有错误且具有完整性。应依据预期目的,考虑高风险人工智能系统所投放使用的地域、功能设置的特征或要素。为了确保对高风险人工智能系统的偏差监控、检测和纠正,在严格必要的情况下,此类系统的提供商可以处理法定情形下特殊类别的个人数据,但需对自然人基本权利和自由予以适当保障。同时,欧盟将增加对人工智能领域投资,并在整个欧盟范围内汇总公共数据,以帮助训练机器学习算法。
(3)强制性的风险管理
风险管理应嵌人高风险人工智能系统运行迭代的全生命周期,并需要定期更新,包括:识别和分析高风险人工智能系统相关的已知或可预见的风险;评估高风险人工智能系统在误用(misuse)情况下可能出现的风险;在上线后动态监测系统所收集的数据,对其他可能的风险进行评估;其他适当的风险管理措施。
(4)明确的透明度要求
《草案》要求人工智能系统的提供者要确保用户知道他们正在与人工智能系统进行互动,并要求高风险人工智能系统告知以下信息:提供者的身份和联系方式;系统的性能特征、功能和局限性,包括预期目的、准确性、鲁棒性和网络安全级别等信息;初评合格后系统及其性能的更改情况;人为监督措施,包括为便于解释系统的输出结果而采取的技术措施;系统预期寿命以及确保该系统正常运行(包括软件更新)的任何必要维护措施。
(5)编写和留存详细的运行记录
《草案》要求,高风险人工智能系统的设计和开发应具有能够在其运行时自动记录日志的功能,这些记录功能应符合公认的标准或通用规范,以确保全生命周期的可追溯性。
2.《草案》的创新和意义
第一,作为全球首部人工智能立法,《欧盟人工智能法案(草案)》体现欧盟利用规则确保人工智能可信可控,着力维护欧盟技术主权的思路。该法案以风险分析为区分方法,以分级分类监管为主线,并对其采取不同层级义务规定的思路值得借鉴。
第二,该法案着眼于技术风险,探索平衡风险管控与鼓励创新的进路值得肯定。
第三,欧盟正引领制定新的全球规范,以确保人工智能值得信赖。通过制定标准,欧盟可以为在世界范围内推广符合伦理的技术铺平道路,并确保欧盟在此过程中保持竞争力。
第四,人工智能存在诸多风险,欧盟的提议旨在提升其作为全球卓越枢纽的地位,确保和维护欧洲价值观,并充分激发人工智能在工业领域的潜力。
第五,《草案》专节规定了支持人工智能创新的措施,包括将“监管沙盒”的机制引人人工智能开发应用场景中,允许在沙盒内测试人工智能新应用,以改进司法体系、医疗保健等,而不必担心受到监管处罚。
(三)英国:人工智能数据安全是国家数据安全治理发展新方向
人工智能发展过程中带来的数据安全风险,如决策风险、失实风险等是英国未来一段时期国家数据安全治理新方向。
1.数据安全治理制度体系特征
英国国家数据安全治理制度体系具有以关键法为核心制度、重视个人数据安全与人权、制度涉及领域广、制度演进由外及里等较为典型的特征。
(1)以关键法为核心制度,形成较为健全的数据安全治理制度体系
《数据保护法》和《信息自由法》贯穿国家数据安全治理始终,随着技术的发展和数据的增长两部关键法与时俱进,不断进行修订,其在英国国家数据安全治理制度体系起着核心作用。
(2)重视个人数据安全与人权
在英国国家数据安全治理方面对于个人数据安全和个人权益保护受欧盟治理制度影响较深,其认为只有确保个人数据安全和赋予公民足够的法制权力,才能更好地保护国家数据安全。因此,英国在出台的《数据保护法》《数据保护监管行动政策》等制度中均突出个人数据安全和公民权利。
(3)制度涉及领域广
英国国家数据安全治理涉及电子通信、数字经济、政务开放、个人数据安全等领域,如《通信法》《电子通讯法》《数字经济法》《公共部门信息再利用条例》《开放数据宪章》《政府开放标准指南》等。除此之外,英国在2021年发布全球首部未成年人数据保护法《适龄设计规范》,其主要为欧盟《通用数据保护条例》适用儿童使用数字服务场景时设立标准和提供解释,各类组织需遵守该准则,并证明其服务遵守《数据保护法》,公平、有效地使用儿童数据。
(4)制度演进由外及里
英国数据安全治理由欧盟的个人数据保护演进而来,形成的数据安全治理理念和体系深受欧盟影响,如重视个人数据保护与人权、网络安全治理、警惕人工智能技术发展带来的风险等。
2.跟随技术的发展更新技术标准和监管原则
英国政府通过制定人工智能发展标准和监管原则,确保人工智能数据安全。
2015年11月英国率先提出了“监管沙盒”概念,同时金融行为监管局发布了《监管沙盒报告》,旨在为企业创新和监管之间,提供一灵活的、受控的合作环境,允许企业用真实的消费者在市场上测试创新,以此实现在保护创新的同时又不会削弱消费者保护,降低风险的不确定性。
为处理人工智能技术创新发展与数据隐私安全的矛盾,英国官方采取“监管沙盒”机制充当创新与监管之间的桥梁和合作空间。英国的“监管沙盒”在各个领域得到应用与发展,包括绿色金融、基于区块链的支付服务、监管科技主张、数字身份等,实现了人工智能技术创新发展与数据隐私保护之间的协同。
2016年11月英国政府科学办公室发布《人工智能:未来决策的机会与影响》报告,阐述人工智能对个人隐私、就业的影响,并指出人工智能在政府层面大规模使用的潜在可能性。
2017年10月英国政府发布《在英国发展人工智能》报告,对当前人工智能的应用、市场和政策支持进行分析,从数据获取、人才培养、研究转化、行业发展四方面提出促进英国人工智能产业发展的重要行动建议,该报告被纳入英国政府2017年《政府行业策略指导》白皮书中,成为英国人工智能发展的重要指引。
2018年4月英国议会发布《英国人工智能发展的计划、能力与志向》,报告概述了人工智能不应用于削弱个人、家庭、社区的数据权力或隐私等五项人工智能道德的核心原则。
英国作为人工智能发展的世界领先者之一,希望增加自己的影响力,率先制定相关的标准,尤其提出要把类似的“机器人三原则”加入人工智能的发展,体现出英国政府对人工智能数据安全的关注,随后政府又发布了《对上议院人工智能委员会报告的回应》。
2020年9月英国政府发布《人工智能研究与开发合作宣言》后,同年,英国数据伦理与创新中心发布了《人工智能晴雨表》,针对英国人工智能和数据使用相关的机遇、风险和治理挑战进行了分析。
2021年11月英国内阁办公室中央数字和数据办公室发布《算法透明度标准》,该标准旨在为政府和公共服务部门提供有关利用算法工具支持决策的具体指导,要求算法工具要保持适当的透明度,特别是在可能对个人产生法律或经济影响的情况下。其中《算法透明度数据标准》作为《算法透明度标准》的一部份,规定了一种收集政府如何使用算法工具信息的标准化方式。
2022年7月,英国数字文化传媒体育部发布了新的人工智能规则提议《建立一种支持创新的人工智能监管方法》,该方法强调监管的合比例性,并基于人工智能的特征提了一个促进创新的监管框架。
(四)美国人工智能规制的公法路径
近些年来,美国法学研究对于人工智能监管提出了多种法律监管思路:一是立法性路径;二是司法性路径;三是综合性路径。
大体来看,美国法治实践中对人工智能的监管大体遵循一种综合性的法律路径,往往将立法、行政和司法相结合,并力图构建一种全过程的监管机制。但比较而言,司法监管受重视程度最高,包括法院对人工智能引发民事责任和公法责任的追究。立法监管相对滞后,一般不追求制定专门统一的关于人工智能监管的法律,由各州根据自身需求自行立法,先行先试。行政监管手段最为广泛,既有事前激励,又有事后惩戒;既有主动干预,又有被动反应;既有命令控制,又有合作治理。这种多样化措施的探索已经引发监管理念、监管机制和监管模式的公法变革。比如,在美国无人机领域,其行政监管已经经历了从反应性监管到积极性监管,从命令控制到合作治理,从行为监管到产品监管的理念转变。
1.立法性路径
这种路径主张通过制定关于人工智能监管的专门性法律,来创设专门的监管机构,赋予其具体的监管职责,设计一套具体的监管机制来实现其监管目标。比如马修·谢勒提出,应当制定专门的《人工智能发展法令》,创设一个独立监管机构来承担确保人工智能系统安全的任务。
该法令不是赋予这个新的监管机构一种权力去禁止它认为不安全的产品,而是创设一套责任体系。其中,经监管机构认证了的产品设计者、生产者和销售者可以承担有限责任,而未经认证者将承担严格的连带责任。
2.司法性路径
这种路径强调将现有法律适用于人工智能监管领域,重点关注现有规则与人工智能监管的冲突,特别聚焦于法院在具体个案的法律适用过程中对人工智能问题的基本态度,以及形成之后进行监管的先例。在美国,对人工智能的私法救济,往往被生产者以“商业秘密”为由抵制。对人工智能的公法救济,则往往是将其视为“言论”加以保护。作为一种言论,对人工智能的司法审查标准主要有二。
一是防止禁止性言论。在2003年的搜索王诉谷歌一案中,俄克拉荷马州法院认为,搜索引擎根据算法生成的结果是一种言论,网页排名是一种意见,它涉及特定网站对某一检索指令响应的意义,可能构成一种“歧视性论”或者“仇恨性言论”。该案就形成了对人工智能监管的司法先例,被四年后的兰登诉谷歌一案所援引。这一路径在美国司法界居主流地位。
二是正当法律程序原则。丹妮尔·西特鲁恩等主张,正当程序应该要为此类人工智能评分系统可能带来的歧视提供基本保障,监管者应当可以检测系统以确保其公平性和正确性,个人有权要求纠正对他们进行错误分类而带来不利影响的机器决策。他们认为,缺乏正当程序的保护,基于偏见和武断的数据基础上的算法必然带来污名化的后果。自20世纪70年代以来,美国法院关于判断程序正当与否形成了主导性的“利益衡量标准”,该标准强调综合考察私人利益、执法效率、财政与行政负担以及社会成本等多项内容,进而形成客观化的评价标准。显然,此种考量在人工智能领域极其复杂,能否形成客观化判断还有赖于更多的司法判例来检验。
3.综合性路径
这种路径主张为了保护公共利益,应当建立一种事前、事中和事后全过程监管机制,区别不同情况并采取不同的监管措施,通过综合施策实现其监管目的。比如,尼古拉斯·佩蒂特认为,为了更有效地保护公共利益,应当依据人工智能应用所导致的外部性来调整监管反应的强度。当人工智能导致的外部性是具体的,应对其采取一种事后的诉讼救济,即司法路径;当人工智能导致的外部性是系统的,应对其采取一种事前监管,即立法路径和执法路径,但必须仔细测试其效果。
在美国,事前监管对象主要包括人工智能的生产者、研发者和使用者。
对于生产者,其监管内容主要包括与生产者共同制定监管政策,提出和制定监管编码,对生产者进行许可和伦理培训,规定生产者必须达到特定的资质要求,并负有对人工智能算法的说明义务、避免算法设置的偏见、限制人工智能的使用权限以及设有摧毁人工智能系统(即“自杀开关”)等内容。
对研发者的监管,主要是规定人工智能研发者的安全测试义务,即要求其研发的人工智能产品必须通过安全测试鉴定,并且研发者将测试结果提交给独立监管机构。
同时,进行安全测试的机构职员中应当特别包含对当下人工智能发展大势有深人研究的专家。对使用者即公众的监管,主要是规定公众对人工智能的使用许可。
目前来看,这种事前监管机制,往往是抽象性规则与具体性措施相结合,技术监管措施与法律监管措施相结合,激励性措施与惩罚性措施相结合。
四、我国人工智能法律规则发展布局面临的挑战
从目前来看,我国人工智能发展规划基本覆盖了现有领域和应用,体现了政府对于人工智能法律规则建构的考量。但不可否认,当前的法律规则无法充分应对人工智能应用带来的法律问题,部分法律规则仍不清晰需要进一步明确。由于人工智能技术正在快速发展,加之其具有长期积累、短期爆发以及影响深远的特性,机遇与风险并存,一定要长远布局,规则先行。
当前飞速发展的人工智能技术给现有法律体系带来了一系列潜在的冲突和挑战。主要涉及责任划分和承担、个人信息保护、算法歧视以及网络安全四个方面。
(一)责任划分和承担
产品责任划分的承担问题伴随人工智能的发展而来,尤其是感知智能领域的产品责任问题。2016年,联合国教科文组织与世界科学知识与技术伦理委员会联合发布《关于机器人伦理的初步草案报告》中指出,由于机器人一般被视为通常意义上的科技产品,机器人以及机器人技术造成的伤害,很大一部分可由民法中产品责任的相关法律进行调整。但当高度智能、脱离人类控制且独立运作并作出判断的人工智能产品造成人身或者财产损害,如何分配并承担法律责任?当前以人类行为者为中心的侵权责任和以产品生产者、销售者为中心的产品责任,在应对这一问题时,侵权法以及产品责任法等法律规定的不充足性和局限性将逐渐显现出来,对新的法律规则的需求也将变得越来越迫切。
(二)网络安全
首先,网络系统往往会存在脆弱性,任何操作系统都容易受到错误操作的影响和恶意人侵的攻击,人工智能系统也不例外,也存在被黑客攻击利用实施网络破坏活动的可能,为监管带来严峻挑战。
其次,考虑到当前人工智能发展的技术瓶颈,操作系统目前难以确保百分之百的安全可靠。操作系统出错的概率不小,即使精心设计的操作系统也会出现问题。用户可能因为安装一个有漏洞的应用程序,而影响系统的核心程序,系统也会被恶意的病毒所感染,一个新的硬件外设也可能不经意降低人工智能系统的性能。硬件问题经常是操作系统故障的根源之一,而人工智能系统需要管理更加复杂和庞杂的硬件组件,系统越复杂,越难以预测会出现何种问题。
再者,黑客的刻意攻击,更是令操作系统的安全性雪上加霜。例如对自动驾驶汽车系统而言,黑客可以从汽车端、应用端和云平台以及三者交互的通信渠道实施攻击,复杂的系统组成要素则大大增加了黑客人侵成功的可能性,为乘客人身安全和社会安全带来巨大隐患。
(三)算法歧视
算法并非绝对客观世界的产物,从某种程度上来说,算法是“设计者或开发者以数学方式或者计算机代码表达的意见”,算法的整个的设计过程以及数据的使用等都是设计者、开发者的主观选择,不可否认人类文化是具有差异性的,设计者或者开发者可能将自己喜好和观念有倾向性地写人算法系统。
而且,针对数据的选择和使用也会存在偏见,著名的GIGO原则指出,垃圾进,垃圾出。算法需要数据进行训练,如果输人的数据存在偏见,那么结果必然不客观。
再者,有些时候算法的歧视并非人为产品,而是在自我学习以及交互过程产生的副产品,是算法难以预料的、无意识的属性。最重要的是,当企业对算法主张商业秘密时,如何对算法进行监管?这更增加了解决算法歧视问题的难度。对此,美国FTC在2016年1月发布的《大数据:包容性工具抑或排斥性工具》报告中特别关注大数据中的歧视和偏见问题,防止大数据分析中采取歧视等不公平行为。
(四)个人信息保护
人工智能的发展有赖于利用数据训练算法,在这个过程中需要收集和使用大量的数据,数据的价值日益凸显。随着人工智能以及大数据产业的快速发展,推动着社会各领域转型升级的加速,数据在流动的过程中的侵犯和泄露公民个人信息问题也日益凸显。例如,人工智能产品和服务往往由多个主体共同参与提供,智能产品的产业链上有开发商、平台提供商、操作系统和终端制造商以及其他第三方等多个参与主体,这些主体均具备访问、上传、共享、修改以及使用用户提供的个人信息的能力,主体在进行数据挖掘和收集的过程中可能会出现未经授权获取数据行为以及超过授权范围使用用户数据的行为。
如何合法合规地收集和使用个人信息是智能应用产业链上的每个主体要面对的重要问题,这已经成为人工智能技术发展的短板限制,需要法律进一步制定制度框架予以规范。
五、深化数据安全治理、推动可信人工智能创新发展的对策建议
全球合作背景下我国不但应有大国担当,而且还应吸取经验,进一步加强数据安全方面的国际交流与合作,积极参与国际数据安全治理规则体系的制定,逐渐强化全球数据安全规则制定权和国际话语权,为推进互联网全球治理法治化贡献中国智慧,提供中国方案。
(一)完善“一中心一张网”的数据安全治理机构体系
具体以国家网信办为数据安全治理的核心机构,发挥各地区、各行业、各领域中网信工作机构的职能,并且充分调动第三方数据安全监管机构积极性,形成上下联动、左右协调、协同参与的完整治理机构,最有效地发挥治理体系互联互动、各司其职的作用。
(二)构建多利益主体间数据伦理协作机制
我国在面对数据伦理问题时不能采取“一刀切”的形式,重点关注多利益主体数据伦理内容与机构协作机制的建立。
第一,注重经济发展与数据伦理相平衡。根据我国的实际情况,在经济发展和生产经营中,应明确平台收集消费者基础信息、消费行为信息等具体的边界,将道德和社会责任考虑在内,完善各领域数据伦理规范和应用标准。
第二,加强数据伦理机构间协作。数据伦理安全问题呈现出治理的复杂性和交互性,我国应设立专门机构研究数据伦理问题,同时细化机构的工作职能,并加强部门间的协同,提高治理效率。
(三)建立监管沙盒机制有效防控数据安全风险
2019年1月国务院批复同意北京市在依法合规的前提下探索“监管沙盒”机制;2019年12月中国人民银行批复北京市率先在全国开展金融科技创新监管试点,探索构建中国版的“监管沙盒”。这些探索均在金融监管领域试行,我国应结合大数据创新发展趋势和数据安全治理实际情况建立“监管沙盒”机制,以寻求创新发展和安全风险间的平衡。同时还要明确实行“监管沙盒”的目的是实现防范与化解数据安全风险。因此应避免使其成为规避监管并进行监管套利的工具。首先,根据我国目前数据安全治理机构权责,可由国家网信办牵头,会同工信部、市场监管总局等相关部委,以部门规章的形式制定、出台“监管沙盒”制度。
其次,对测试项目的豁免仅限于现行的数据安全相关的管理办法,不得与《网络安全法》《数据安全法》《个人信息保护法》等国家法律和行政法规等上位法相抵触。可适当放宽业务规范而不放宽机构准入,以鼓励相关机构和企业进行业务创新。
通过构建各领域数据安全治理“监管沙盒”机制,全面降低数据安全风险发生的机率,提升数据安全治理的效能。
(四)完善数据跨境流动安全的制度体系
数据跨境流动的敏感性、安全性使其成为数据安全治理的重点与难点。我国作为全球规模最大的数字服务市场,需要规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
由于数据交易和流动内容既包括政府、医疗、金融等多种类型数据,还包括数据存储能力、通信能力、算法、算力等系统性的解决方案,因此,国家网信办发布的《数据出境安全评估办法》中明确指出坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
未来一个阶段以《数据出境安全评估办法》为中心,我国应加强在各行业、各领域建立完善的数据跨境流动风险评估监管制度,实行领域数据分级分类风险评估,构建领域数据跨境交易和流通安全一类一策的制度体系,同时注重所属部门管辖领域职权范围内制定制度时的协调,确保制度能够并行使用。
六、结语
人工智能具有技术属性和社会属性高度融合的特征,其快速发展带给人类的收益是前所未有的。但是,如果不对其进行有效限制,人工智能一旦脱离人类期望的发展方向,其带来的危害也将是巨大的,甚至是毁灭性的。因此,需要给人工智能打造一款“规则”的牢笼,使其更好地服务人类。我们应当认识到:对人工智能的约束和监管并不是为了遏制人工智能的发展,相反,唯有安全的人工智能才能走的更远。同时,人工智能技术的不断发展和成熟也将有利于解决人工智能安全问题,因此,需要树立“审慎监管”的理念,在监管和发展之间取得平衡。安全是为了更好地发展,发展是为了未来的安全,一切的出发点都是为了人类的共同利益。
参考文献
[1]韩丹东,王意天.记者调查:ChatGPT火爆背后有何法律风险?[N].法治日报,2023-02-13.
[2]科技部.发展负责任的人工智能:新一代人工智能治理原则发布[EB/OL].(2019-06-17)[2023-03-01].https://www.most.gov.cn/kjbgz/201906/t20190617_147107.html.
[3]青岛海关.《数据安全法》微解读[EB/OL].(2021-10-25)[2023-03-01].https://mp.weixin.qq.com/s/K8KPTpTzaTGptRYooPLxWQ?scene=25#wechat_redirect.
[4]密码头条.最高法发布《关于规范和加强人工智能司法应用的意见》 要求强化网络安全、数据安全和个人信息保护能力[EB/OL].(2022-12-12)[2023-03-01].http://www.scmgj.gov.cn/scsmmglj/c103261/2022/12/12/cbca890651d04ab7a855cbfb5ceecd85.shtml.
[5]杨舒.AI浪潮下,更须守护数据安全[N].光明日报,2022-07-30.
[6]薛澜.新兴科技发展中的人工智能治理[J].中国网信,2022,1.
[7]周丽娜.深圳为人工智能立法[J].瞭望东方周刊,2022,9.
[8]上海出台人工智能领域首部省级地方法规 10月1日起施行[N].中国日报,2022-09-23.
[9]赛博研究院.G20达成《贸易和数字经济声明》,首倡“G20人工智能原则”[EB/OL].(2019-06-12)[2023-03-01].https://www.sohu.com/a/319969277_120076174.
[10]杜燕.北京将研究人工智能领域立法工作及探索建立伦理规范[EB/OL].(2021-06-10)[2023-03-01].https://m.gmw.cn/baijia/2021-06/10/1302349951.html.
[11]王志新.人工智能导致的法律挑战及其政策调适[J].改革与开放,2019(11):47-50.
[12]郝英好.人工智能安全风险分析与治理[J].中国电子科学研究院学报,2020,15(6):501-505.
[13]程莹,崔赫.欧盟高风险人工智能监管的五个特点——欧盟人工智能法案(草案)初步解读[J].互联网天地,2021(6):38-41.
[14]韩春晖.美国人工智能的公法规制[J].国外社会科学,2022(2):46-58.
[15]张涛,崔文波,刘硕,蔡庆平,马海群.英国国家数据安全治理:制度、机构及启示[J].信息资源管理学报,2022,12(6):44-57.
[16]杨婕.全方位推动我国人工智能法律规则部署[J].中国电信业,2018(5):14-17.