周学峰：论人工智能的风险规制

正文

请到「今天看啥」查看全文

（三）风险的主观性与客观性

“风险”一词蕴含着可能性，而“不确定性”一词亦含有可能性的含义，但是两者的具体含义有所不同。不确定性是一个欠缺精确界定的概念。广义的不确定性，既包括主观的不确定性，也包括客观的不确定性。所谓主观的不确定性，是指人的一种主观状态，反映的是人对外部世界的认知和心理状态。面对相同的事件或处境，不同的人可能做出不同的主观反映。有的人会因为不确定性而感到精神困扰，而有的人则可能对其置若罔闻或安之如故。客观的不确定性，则是某种事件发生与否或产生何种结果的不确定性，是对外部世界的客观反映，不受人的主观状态的影响。

作为规制范畴的风险应是指客观的而非主观的不确定性。这是因为，法律规制的对象是人的行为，并不是人的心理或主观状态。法律所要防范的风险应当是客观存在的而不是基于人的想象产生的。如果将主观的不确定性作为法律规制的对象将会产生许多荒谬的、不合逻辑结果。这一点对于人工智能风险规制具有重要意义。事实上，自从人工智能的概念出现以来，在人们头脑的想象中出现了许多人工智能方面的风险，但是，其中许多都是超越现阶段人工智能发展水平而仅凭想象产生的，最具典型性的是许多科幻电影中出现的人工智能失控的风险。人工智能作为一项新技术，其令许多人产生了不安全的感受。有时人们出于偏见的影响，并不能理性地看待新兴技术，往往仅关注损害结果而忽略了其发生的低概率。但是，作为法律规制对象的人工智能风险不能仅建立在纯粹的主观认识基础之上，还必须基于科学的方法对人工智能的潜在风险进行分析，理清哪些风险是客观存在的风险，哪些风险是人们主观想象或偏见产生的风险。另外，由于不同的人对人工智能的风险持有不同的态度，有时差异会非常大，如果以人们对人工智能的主观感受作为风险规制的对象，那么，将会导致立法者和监管机构无所适从。

需要说明的是，虽然作为法律规制的人工智能风险只是客观意义上的风险，但是，绝不意味着立法机关或规制机构可以将社会公众对人工智能风险的主观感受完全置之不顾，其应当加强与社会公众之间的沟通交流。环境、食药品等领域的风险规制的教训告诉我们，如果将社会公众对风险的感受完全不予理会，有可能引发信任危机乃至监管机构的政治风险。另外，还需要说明的是，尽管风险具有客观性，但是，如前所述，作为风险定义要素的损害，其含义的界定是无法脱离价值判断和利益衡量的。

（四）风险与概率

风险，作为一种可能性，既包括损害发生与否的不确定，也包括损害何时发生、以何种方式发生的不确定，以及损害的范围和严重程度的不确定。对于风险的度量一直是风险管理所关注的议题。基于长期以来人们应对风险的经验，目前对风险进行量化分析主要依赖两个指标：一是损失发生的概率，二是损失发生时的严重程度。上述两个指标的乘积常被用来衡量风险发生时的预期损失，其在保险学、经济学等领域被广泛应用。在对风险进行规制时，特别是进行成本效益分析时，亦涉及到上述方法的应用。

但是，并非所有的风险或不确定性都是可以度量的。著名的经济学家奈特曾将不确定性区分为两类，一类是可度量的不确定性，即发生概率是可以测算出来的；另一类是不可度量的不确定性，即发生概率完全是无法知晓或测算出来的。为了将上述两类指代的对象区分开来，奈特使用了两个不同的概念，将前者称为风险，而将后者称为不确定性。确实如奈特所言，保险法上的风险都属于可度量的风险，只有那些发生概率可通过精算方法计算出来的风险才具有可保性。但是，如果将风险的概念扩展至其他领域，是否仍应将风险概念限定为可度量的风险，是存在疑问的。

在本文看来，将规制意义上的风险也限定为可度量的风险是不合适的，在人工智能的背景下尤其如此。人工智能不同于先前出现的任何一种技术，其技术模式具有不透明性，在目前阶段难以被人类充分认知，其技术风险存在着极大的不确定性。风险代表着对未来的不可知，如果说对于有些“已知的未知”（ known unknowns ）可以凭借人类的经验和统计学知识在一定程度上计算出损失发生概率或预见到损失程度，那么，对于“未知的未知”（ unknown unknowns ）则是不可能进行量化分析的，而这两类风险却都是我们需要关注和防范的。因此，对于无法度量的人工智能风险是不能被排除在风险规制范围之外。

欧盟《人工智能法》第3条第二款将风险定义为：“风险是指损害发生的概率和损害的严重程度的组合。”其是从风险度量的角度对风险进行定义的，其是否将风险限定为损害发生概率和损失严重程度可事先测定的风险，尚有待解释。

（五）规制法意义上的风险与民法上的危险

作为规制法范畴的风险与民法上“消除危险”中的危险有相近之处，但亦有明显的不同。两者的相近之处在于，其都含有损害有可能发生但尚未实际发生的含义。两者的不同之处在于：

第一，风险关注的是集合意义上的风险而不是个别的、单独的事件。这是因为，只有从集合的角度出发，运用大数法则才能估算出损害发生的概率和损害严重程度，其代表的是各类事件的均值，而个别的、单独的损害事件则有可能偏离均值。民法上的危险，最典型的是我国民法典第179条中的“消除危险”，又被称为妨害防止请求权，其针对的系具体的事实之危险，而对于一般的抽象之危险，并不在其保护范围内。

第二，风险代表的仅仅是一种可能性，而民法上消除危险中的危险则强调的是该危险必须是现实存在的、迫切的，对他人人身、财产安全造成现实的威胁，其存在对法益侵害的充分盖然性，而盖然性程度较低的风险并不能引发消除危险的防御措施。

第三，民法上的危险是指民事主体的人身、财产权益受侵害的危险状态，围绕危险而展开的相关法律规定系以私权保护为目的。但是，规制法范畴的风险所保护的范围并不限于民事权益，对于公共利益和公共秩序的维护亦在其射程范围之内。

第四，对于民事主体所遭受的他人实施的侵害其人身、财产权益的“危险”，权利人可以请求对方消除危险。但是，对于风险，则无法完全排除，特别是考虑到损害发生的可能性以及相关行为有可能带来的益处，有时需要在一定程度上接受风险的存在。

02

对人工智能风险进行规制的正当性与面临的挑战

（一）对人工智能风险进行规制的正当性

风险是面向未来的，但是，恰如卢曼所言，未来发生的一切取决于现在所作出的决定，而只有当前决定对于未来损失有重要影响时，人们才会谈及风险。对于那些有可能造成系统性灾害的人工智能风险，不能等到损害实际发生之后再采取行动，对其进行事先规制是必要的、合理的。

第一，损害赔偿通常是以损害实际发生为前提的，并且损害须是确定的，只有这样才可计算损害赔偿。风险不同于损害，其发生与否尚存在不确定性，损害的范围与数额亦不确定。因此，风险通常无法满足损害赔偿的要求，对于人工智能风险而言尤其如此。例如，对他人隐私和个人数据造成损害的风险受到各国的关注，但是，对于隐私和个人数据损害风险应当如何进行赔付，在国内外都是一个难题。这是因为，风险具有或然性，且难以被固定化或量化，从而难以计算损害赔偿。

第二，人工智能不仅是一种新兴前沿技术，还是一种复杂的技术。人工智能在应用时会涉及人工智能模型设计者、人工智能系统提供者、硬件和软件生产者、服务提供者和用户等多方主体。在当前技术水平下，人们对于人工智能的技术原理认识尚不够深入，当发生损害后，往往难以准确地进行溯源或归因，从而使损害赔偿诉讼中的原告面临证明因果关系的困难、证明人工智能系统存在缺陷或被告存在过错的困难，尤其是原告为普通个人时，其需要付出较高的诉讼成本。当其预期获得的损害赔偿金额较低时，其通常可能因诉讼成本较高选择放弃诉讼。因此，当某一人工智能产品或服务造成大规模的个人损害时，其更适合由监管机构对事故的原因进行调查并承担相关成本，以便判断该人工智能系统是否存在缺陷。

第三，人工智能风险规制所关注的风险并不是单个风险，而是集合风险。只有从集合风险而非单个风险中才能运用统计学的方法推测出损害发生的概率。而且，人工智能风险规制所关注的风险也不是个体的权益，还包括社会层面的集体福利。对人工智能进行规制时，需要从社会层面对人工智能活动所带来的成本与效益进行评估分析，在进行整体权衡后作出决策。因此，人工智能风险适合由监管机构通过风险规制的方式来进行，而在一对一的民事诉讼中，法院所关注的是已实际发生的损害如何在原被告之间的分担而非社会层面的权衡。

第四，随着人工智能在社会经济生活中的广泛应用，特别是在关键基础设施中的应用，有可能产生重大的系统性风险。此类风险一旦发生，有可能导致大规模的、难以恢复的、社会难以接受的环境损害、人身损害或财产损害。对于此类损害风险，应当在实际损害发生之前而不是等到损害实际产生时再采取行动。对人工智能风险进行事先规制的优点在于：其不像损害赔偿那样消极地事后应对风险，而是可以通过制定技术标准、伦理准则或提出规制要求的方式积极地引导人工智能研发者通过事前合规设计和嵌入伦理要求的方式，实现预防风险或降低人工智能风险水平的目的。

（二）对人工智能风险进行规制面临的挑战

尽管对人工智能风险进行规制存在一定的正当性，但是，我们也应当认识到，在当前阶段，对人工智能风险进行规制亦会面临许多挑战。只有对这些挑战有清晰的认识，才能够为其选择适当的风险规制路径。就整体而言，对人工智能风险进行规制存在以下挑战：

第一，人工智能技术作为一项新兴技术，其技术特征、商业模式尚未定型，目前仍处于不断发展和演变的过程，未来走向尚存在许多不确定性。因此，人工智能风险尚未充分暴露出来，并且呈现出未来多变的特点。这使得立法机关或监管机构难以对人工智能风险作出针对性的监管。同时，既有监管措施还可能由于人工智能技术逻辑或商业模式的变化而很容易变得过时，这种监管的滞后性既有可能产生抑制科技创新的后果，也有可能产生监管失败的后果。例如，欧盟在制定人工智能法时，起草之初将人工智能系统依其风险水平进行了分类规制，看似非常完整并呈现出闭环状态。但是，当生成式人工智能系统出现后，立法者才发现其并没有预见到该类系统的出现，最终，立法者在保留原有的人工智能系统风险分类之外，又创设了通用人工智能模型的概念，并对其单独进行风险分类规制。然而，人工智能技术还在不断演进，在人工智能立法完成之后，谁也无法排除未来是否会出现立法时未曾预见到的新型人工智能，届时如何运用已有的人工智能法律框架对其进行规制将会成为一个难题。

请到「今天看啥」查看全文