一、问题的提出
人工智能是指以机器学习为基础,为实现特定目标而自主运行的系统。近年来,越来越多的人工智能技术应用进入人类社会日常生活,给现有的法律秩序带来了巨大冲击。为解决人工智能产生的法律问题,欧盟自2017年开始立法工作,就人工智能民事责任陆续草拟了《人工智能民事责任(草案)》、《人工智能非合同民事责任指令(提案)》,2024年先后通过了《人工智能法》、适应数字经济和人工智能时代发展的《缺陷产品责任指令》。国内层面,国务院自2023年开始已经连续两年将人工智能立法列入立法工作计划,人工智能立法即将迈入新阶段,但目前尚无关于人工智能民事责任的专门法律规范。
人工智能的自主决策可能导致他人权益遭受损害,既包括人工智能自主决策作用于物理实体并引发损害,也包括只有纯软件的人工智能的自主决策输出信息造成损害。为应对人工智能在侵权责任领域提出的挑战,学者已进行诸多探讨,较早期研究集中在自动驾驶、医疗等人工智能的典型运用领域。近年来生成式人工智能备受瞩目,促进了其侵权问题的持续研究。基于特定应用场域的类型化的人工智能侵权责任探究固然重要,但若仅限于此,难免碎片化、不一致或重复。随着人工智能的进一步发展,人工智能侵权责任的一般性规则研究也更加深入,大致可分为延续《中华人民共和国民法典》(以下简称《民法典》)侵权责任编分析框架的产品责任路径和新建构的人工智能侵权责任路径。但对若干前提性问题,包括人工智能的法律性质、人工智能侵权责任在不同主体间的分配等,学界仍然探讨不足。详言之,既有研究或直接从人工智能为产品或服务出发,探讨其侵权中的产品责任或服务提供者责任;或针对人工智能构建全新的侵权责任规则,并未区分产品与服务或未提出明确的区分标准,未充分考虑与既有侵权责任规则之间的关系;或聚焦探讨人工智能研发者、生产者、提供者或使用者等某类主体的责任,但未充分考虑何者应当被分配更多的责任。
有鉴于此,本文尝试在解析人工智能技术特性的基础上,结合风险控制思想,讨论人工智能本身是否宜作为独立的责任主体,人工智能新增风险引发的侵权责任如何在提供者与使用者之间分配,以寻求法益保护与行为自由的平衡。进而,在论证人工智能产品属性的基础上,依次深入分析人工智能提供者是否以及如何承担产品责任,立法是否应当为其设计更严格的无过错责任;人工智能使用者是否承担过错责任,如何确定其注意义务。
二、人工智能侵权的特殊性及责任的分配
人工智能及其侵权的特殊性的解析,是讨论人工智能侵权中的责任分配、设计不同的归责原则、建构并完善法律与技术融合的人工智能侵权责任规则的基础。
(一)人工智能侵权的特殊性
人工智能的风险并不是指自身特别危险之物带来的操作风险,而是本身可能并不危险的算法系统所固有的数字自主风险。人工智能及其风险的特殊性导致了侵权责任难题。
1.人工智能的特殊性
人工智能的特殊性突出体现为自主决策和系统互联。人工智能具有学习能力,从环境中获取信息确定规则,并不断自我学习、自我优化,独立地、不受控制地自主探求完成既定目标的最优方案。自主性意味着:第一,人工智能行为有限的可预测性。外部环境的复杂性和自主决策的不透明性使得包括提供者和使用者在内的法律主体事前无法预测或只能在有限的范围内预测人工智能行为。第二,人工智能行为有限的可控制性。人工智能具有自适应性,其算法具有动态性、自主性、迭代性,致使其行为无法被完全控制。第三,人工智能行为有限的可解释性。外部环境中的“输入”和决策过程的记录,是事后对人工智能“输出”进行分析和理解的前提,但数据量的爆发式增长,使得数据存储未必能够实现或在符合成本效益分析的前提下实现。算法黑箱的存在,也导致人类无法完全解释人工智能决策逻辑。
自主决策的人工智能通过物联网实现系统互联,在进一步促进技术应用、便利人类生活的同时,也带来新的风险。一方面,人工智能更容易受到环境中的第三方的影响,意外的缺陷数据造成损害的可能性增加,第三方通过物联网进行攻击的可能性增加。某一人工智能的侵权行为可能由交换获得的数据、参与的人工智能、数据基础设施单独或共同引发,难以确定甚至不可能确定造成损害的危险源。另一方面,系统互联增加了人工智能的自主决策的复杂性。尽管传统产品中也存在大量的部分产品生产者和最终产品生产者,但传统产品中不同生产者在不同层面上的分工无法与物联网时代的人工智能互联相提并论。人工智能价值链上不同参与者之间的合作从生产阶段延伸到了使用阶段,但是,使用阶段缺少像生产阶段的最终产品生产者一样的、对使用阶段的侵权责任予以“兜底”的角色。
2.人工智能的侵权责任难题
人工智能的自主性使得其行为仅具有有限的可预测性、可控制性、可解释性,而系统互联加剧了自主决策的复杂性,这给侵权责任带来了全面的挑战。首先,人工智能侵权中责任主体的确定以及不同主体之间的责任分配更加复杂。人工智能的自主决策意味着,即使通过运行测试的人工智能,也可能作出与预期目的不同的行为,在实际运行中作出“错误”决定。但人工智能价值链涉及主体众多,责任主体确定易陷入困境。与此同时,人工智能的自主决策也影响了各参与主体对风险的控制力。以机动车为例,传统驾驶中由使用者(驾驶员)决定机动车的行进方向和速度,而完全自动化的自动驾驶汽车则是由提供者提供的人工智能控制;而学习能力也使得风险控制力部分地从人工智能提供者转向了数据训练者、更新者,控制力的转变及界限的模糊性使得侵权责任分配更加困难。其次,人工智能的自主决策无法被完全控制,但控制与支配是法律责任理论的逻辑基点之一,“人类对行为承担责任的根据在于对该行为具有一定程度的控制”。由此产生的疑问是,人工智能的“错误”决定是否以及如何归责于人类主体,以何种标准认定人工智能作出了“错误”决定且侵权主体对此存在“过错”?再次,人工智能侵权中因果关系难以确定。人工智能自主决策是算法、算力、数据、人机交互等多种因素共同作用的结果,但其仅具有限的可解释性,不能通过检查底层编码来验证,人工智能侵权中很难确定损害是源于人工智能缺陷、使用不当,还是人工智能的自主“错误”决定。因果关系难以确定可能导致侵权“行为人消失”,不利于受害人救济目标的实现。最后,人工智能侵权中被侵权人易陷入举证困境。相比于传统产品而言,被侵权人更加难以获得并理解人工智能相关技术信息。即便获得信息,人工智能的自主性和系统互联也使得被侵权人很难证明侵权责任的成立。
(二)人工智能侵权的责任主体及分配迷思
为解决人工智能侵权责任难题,一种可能的方案是,由人工智能本身作为法律主体独立承担侵权责任。欧盟曾尝试赋予人工智能电子人格法律主体地位并令其独立承担损害赔偿责任,但是该方案受到广泛批评,其后的立法文件中均不再采纳该思路。实际上,即便不从法理和宪法角度讨论人工智能的意志自由和法律主体资格问题,仅从侵权责任的损害填补和预防功能出发,也应当否定人工智能独立责任主体方案。理由是:第一,承认人工智能的独立责任主体地位不利于风险控制和预防,潜在侵权责任主体将因人工智能的独立责任受到保护,欠缺人工智能侵权风险控制及损害避免的动力。第二,损害超过人工智能责任财产时,被侵权人将无法得到全部赔偿,人工智能独立承担责任可能导致损害风险的外部化。由受害人承担不利后果,不利于人工智能应用被信赖和接受,最终将阻碍技术进步。对此,反对观点或许认为,人工智能技术发展从整体上增进人类社会福利,技术应用必然伴随着风险,该风险导致的损害赔偿责任应当被限制,受害人并非必然理应获得全部损害赔偿。但应注意的是,即便有充分理由证成责任限制的正当性,完全可以直接通过最高责任限额等方式实现,不必舍近求远采取更为复杂的方式。第三,尽管人工智能具有自主性,但其不具有行为认知能力,仍是人类创造性设计的结果,风险产生和控制仍然取决于人类。尤其是在开发阶段,提供者决定人工智能的系统架构,决定使用哪些训练数据,决定人工智能是否独立生成训练数据,决定何时完成运行测试,决定何时投入使用。
更为关键的是,人工智能独立责任主体方案只是绕过问题,并未解决问题。该方案的重要论点是,可以解决责任主体不明晰、甚至无法追责的问题,保障被侵权人的合法权利免受侵害。但是,人工智能独立承担责任的前提是其拥有独立的财产,无论采取行为相关主体提供,抑或责任赔偿基金、强制责任保险方式,都必须回答财产最终来源问题。人工智能责任财产只能来源于至少在一定程度上能够控制该人工智能的法律主体,所以最终还是回到各潜在侵权行为主体承担责任的正当性及责任划分问题上。即便对人工智能法律主体地位和责任能力持有限肯定立场的学者,在论及人工智能的责任时,亦不得不承认无论是何种归责类型,总体均需要适用“穿透人工智能面纱”的原则确定归责路径,在查证因果关系的基础上,确定人工智能责任背后的实际责任主体。而一旦将法律效果归于背后的行为主体,则实际上已经不再考虑人工智能本身的拟人属性。
问题是,人工智能价值链的参与主体众多,如何在不同主体间妥当分配侵权责任。从人工智能提供端和使用端分析,前者包括初始开发者、后续开发者、部分产品供应者、更新者等,后者包括商业和非商业使用者,同一主体还可能存在不同身份的交叉重合。欧盟《人工智能法》采取了提供者(provider)和部署者(deployer)两分的主体架构,前者实际上等于我国学者草拟的两部人工智能法建议稿中的开发者(研发者)加提供者;后者则与两部人工智能法建议稿中的使用者基本是同一概念,都指使用人工智能系统而从中直接受益的主体。
注:箭头方向表示责任承担方向
图1 人工智能侵权中的法律主体及其关系
关于未来人工智能立法中,提供者还是使用者应当被分配更多的侵权责任,德国理论界产生了激烈争论。支持提供者承担更多责任的学者认为,提供者与风险的特殊关系是其承担更多责任的正当性基础。从获益角度看,提供者通过将人工智能投入市场获得经济利益。从风险控制角度看,提供者能够决定人工智能的初始设计、训练数据、算法及学习能力,决定是否将人工智能投入市场,在产品投入市场后持续影响产品的使用,能够采取预防措施避免损害发生,能够将不可避免的损害产生的成本通过投保方式分散、通过价格机制转嫁给使用者,最终使损害成本在所有获利者之间分配。
然而,支持使用者承担更多责任的学者也能从获益和风险控制角度证立其主张。使用者是人工智能风险的最直接开启和受益者,同样能够通过保险等方式分散损害成本。更关键的是,由提供者承担更多的责任将导致低损害风险的使用者对高损害风险的使用者的交叉补贴,因为提供者通过价格机制将损害成本转嫁给使用者,意味着所有使用者支付相同价格,但是不同使用频率和使用领域的人工智能所产生的风险并不相同。但是,上述担忧可以通过市场手段解决,例如与使用频率挂钩的定价模式、基于不同使用场景开发不同的人工智能等。此外,被侵权人保护也是支持使用者承担更多责任的重要论点,损害由多个提供者提供的人工智能导致时,向提供者主张损害赔偿可能面临困难,使用者责任使得被侵权人只需向使用者主张即可。但是,被侵权人保护目标并非必须通过课以使用者更多责任来实现,被侵权人可以向任意已知的提供者主张损害赔偿,再由该提供者向其他责任主体内部追偿;如果被侵权人无法获知提供者信息,立法可以规定使用者不能指明人工智能提供者的,应当承担赔偿责任;如果因无法证明人工智能侵权中的缺陷或因果关系导致被侵权人难以向提供者主张损害赔偿,应考虑的是如何分配证明责任以减轻被侵权人的举证负担,而非将应由提供者承担的责任转嫁给使用者。
我国有学者主张建立开发者、提供者、使用者三分主体架构,分别探讨生产研发端的产品责任和部署应用端的应用责任;生产研发端由开发者承担产品责任;部署应用端基于风险控制力的显著差异,人工智能产品主要由使用者承担责任,人工智能服务则主要由提供者承担责任;在此基础上引入基于风险的类型化思维,确定不同责任主体相应的归责原则。但有待进一步思考的是:第一,研发阶段和应用阶段是否能够以及应当被区分。退一步讲,即便能够被合理区分,人工智能产品责任是否止于静态的投入市场时点仍有待商榷;尤其是针对替代型人工智能,开发阶段与应用阶段的风险控制力未必发生明显转移,责任承担主体转换正当性存疑;人工智能研发者的产品责任与使用者、生产者的应用责任之间的关系也需明确。第二,我国人工智能立法应确定哪些人工智能侵权责任主体。欧盟因不同立法文件存在不同立法主体和程序,各文件中人工智能责任主体不完全统一,存在操作者、提供者、部署者(使用者)、生产者等多种不同称谓的主体。而我国人工智能尚未统一立法,《中华人民共和国产品质量法》(以下简称《产品质量法》)亦有望修改,有必要思考如何批判性借鉴域外立法以避免问题复杂化。第三,人工智能法律属性是否必然为产品与服务二分。人工智能应用越来越广泛,产品与服务恐难以有效区分,且同一人工智能因存在载体不同适用不同侵权责任规则并不合理。
人工智能侵权责任分配的困惑,应当回归侵权责任的功能去找寻答案。在不同的法律体系中,非合同民事责任法的功能通常通过两个基本原则来阐述:补偿与预防。前者将侵权责任法的任务定位为填补所遭受的损害,而后者则为防止损害的发生。但是,原则本身是空洞的。补偿原则未能区分应通过责任进行补偿的损害与应由受害人自行承担的其他损害,从中无法推导出何时应当进行损害填补,而二者的区分正是法律规范的任务。根据预防原则,赔偿义务要求行为人在将来尽最大可能避免损害,侵权责任乃创造行为的社会效率的激励机制。但是,理论上所有的损害都是可以避免的。预防原则本身不能回答哪些损害应当避免,哪些损害不应当避免。因此,无论是补偿还是预防原则,因欠缺明确的标准和界限,无法从众多的行为中有效筛选出引发侵权责任的行为,均不能作为妥当的侵权责任法的规范性指引。法律的经济分析是使预防功能在侵权法上具有规范可操作性的最典型的尝试,其核心理念并非最大化预防,而是最优预防,应当避免的是损害成本高于为避免损害所付出的成本的损害。诉诸矫正正义是使补偿原则在侵权责任法上具有规范性的最有说服力的尝试,法哲学运用道德上的可非难性构建了被侵权人和侵权人之间的关系。但是,注意义务的确定既要考虑损害发生的概率和严重程度,又要考虑避免损害的成本,离不开成本分析。实际上,侵权责任法同时具有补偿和预防功能,而法律的经济分析将不可避免的“权衡”转化为可理解、可验证的形式,提供了一致的分析框架。矫正正义等道德责任论为价值目标提供了正当化根据,而经济分析为矫正正义的实现提供了坚实的逻辑基础。
尤其在技术法领域,法经济学分析框架具有重要意义。新兴科技的迭代发展在推动人类社会变革的同时,也引发新的技术性风险。风险由损害发生的严重程度和概率决定,在很大程度上能够被准确而可靠地量化。通过影响行为决策来管理风险的前提是,行为人对风险具有控制力。根据法经济学,侵权责任分配的基本原则是,损害赔偿责任应当由最小成本预防者(cheapest cost avoider)承担。设计得当的侵权责任是重要的风险管理工具,既能够激励提升安全性的技术的开发,又能够淘汰损害成本更高但无法产生相应附加利益的技术,能够实现风险控制与技术创新的平衡。基于以下理由,人工智能立法宜将侵权责任更多地分配给提供者而非使用者。一方面,从损害成本角度,相比于使用者,提供者是最有能力控制风险者。提供者在技术和信息上均处于优势,人工智能行为更多取决于提供者而非使用者,提供者更能够采取措施避免风险。而使用者对人工智能的支配和管理通常依赖于提供者,取决于提供者是否充分告知正确的操作规范、是否提供必要的风险控制手段、是否提供适宜的更新路径等。另一方面,从技术创新角度,提供者而非使用者是被期待创新者,通过更多的责任产生的创新压力理应由被期待创新的主体承担,也避免使用者因更多的责任而放弃使用人工智能,从而降低人工智能新技术的接受与信任度。
三、人工智能提供者的产品责任
提供者,是指开发人工智能,或已开发人工智能并将其投入市场或以自己的名义投入使用的主体。首先需要思考的是,人工智能提供者是否等同于生产者。欧盟最早使用提供者概念,不妨观察其立法文件及理论上对提供者与生产者关系的认识。欧盟《人工智能民事责任(草案)》中,责任主要由操作者承担,其被进一步划分为前端操作者和后端操作者,前者类似于使用者,后者类似于生产者,对于后者优先适用《产品责任指令》。但其后欧盟《人工智能法》和《人工智能非合同民事责任指令(提案)》均不再采纳该思路,而是将提供者和部署者(使用者)作为责任主体。之所以呈现上述变化,既源于人工智能侵权责任及其在提供者和使用者之间分配立场的变化,也因不同文件的立法主体及其所考虑因素有所不同。现主流观点认为,《人工智能法》《人工智能非合同民事责任指令(提案)》中的提供者实质上等同于《缺陷产品责任指令》中的生产者。
关于人工智能提供者的产品责任,问题焦点是,人工智能是否属于产品?如果是,如何认定人工智能缺陷?立法是否有必要令人工智能提供者承担更严格的无过错责任?
(一)人工智能是否属于“产品”
人工智能的性质界定,是判断人工智能提供者是否承担产品责任的前提。比较法上,欧盟原《产品责任指令》中的产品仅指有体物,例外包括电力,对于软件是否属于产品素有不同意见。相应地,人工智能是否适用产品责任也引发广泛争议。《产品质量法》第2条第2款并未将有形性作为产品要件,将人工智能纳入产品范围,并不面临类似欧盟原《产品责任指令》的巨大解释障碍。但理论上存在不同意见。围绕人工智能侵权责任,有学者并不讨论人工智能性质为产品还是服务,直接将人工智能运行中涉及的责任承担主体统称为“人工智能服务提供者”。有学者认为人工智能既包括产品,也包括服务,并尝试构建统一的人工智能应用责任。也有学者认为,生成式人工智能更为明显地体现人工智能的固有特点和法律问题,因其具有明显的个性化服务特征,不属于产品责任适用对象。
问题的关键,不在于法律规范中产品的定义,而在于产品责任的规范目的,以及人工智能是否符合该目的而应落入产品责任的对象范围。产品责任的本质是应当将现代机器导向的大规模生产引发的损害风险分配给谁的问题。生产者就产品缺陷致人损害承担责任的正当性在于:第一,生产者处于风险控制的优势地位,只有其能及时意识到产品缺陷并设法避免;第二,生产者通过生产并出售产品获益,基于收益与风险一致原则,当然应当承担因产品缺陷给他人造成损害的责任;第三,与使用者相比,生产者在分散缺陷产品相关的损失方面处于更为有利的地位。生产者既可以通过价格机制分散,也可以通过产品责任保险等方式分摊,令其承担严格责任不至于过分严苛;第四,被侵权人通常难以获得“关闭的工厂大门背后的生产过程信息”,二者的信息不对称使得被侵权人面临举证困难。人工智能与传统产品具有相似之处,法律的平等原理要求相同情形相同处理,人工智能提供者理应如传统产品生产者一样承担产品责任。从国际立法趋势看,因包括人工智能在内的软件对产品安全发挥日益重要的作用,为鼓励新技术的发展和运用,同时确保受不同水平的技术影响的被侵权人能够受到同等保护,欧盟《缺陷产品责任指令》明确将对产品而言不可或缺的数字服务也纳入产品范围(第4条第3项)。
鉴于我国学者草拟的两部人工智能法似乎均肯定产品与服务二分的调整框架,还有必要思考的是,人工智能产品与人工智能服务的区分是否具有可行性与必要性。实际上,我国学者在支持二者的区分时,并未提出明确清晰的区分标准,而是直接从法律适用角度,指出二者在侵权责任规则上的不同。但是,本文认为,人工智能服务与产品的区分既不可行,也不合理。一方面,人工智能应用日益广泛,若采纳通说以有形性为产品与服务的区分标准,则越来越多产品中包含人工智能服务,越来越多服务中包含人工智能产品,二者水乳交融。坚持为二者划定泾渭分明的界线,可能陷入为区分而区分的泥沼。另一方面,类型化区分的目的在于有区别地法律适用,但人工智能统一适用产品责任既不存在障碍,也能确保同等情形同等对待,实现法律适用的确定性和安定性。同一人工智能可能既搭载于有形产品被一并提供,又作为独立体被单独提供。不论从人工智能提供者,还是从被侵权人角度,因最终应用形式的不同而确定不同的侵权责任规则不具有正当性。
当然,人工智能本身为产品,提供者承担产品责任,并不意味着生成式人工智能所生成内容也为产品,并不否定人工智能提供者可能同时为服务提供者,人工智能侵权可能同时满足网络服务提供者侵权责任、医疗损害责任等特殊侵权责任的构成要件。于此情形下,构成侵权责任竞合,被侵权人有权选择请求提供者承担何种侵权责任。
(二)人工智能缺陷如何认定
人工智能缺陷的认定是人工智能产品责任中的关键问题。对于产品缺陷的判断,比较法上存在消费者合理期待标准和风险—效益标准。通说认为,《产品质量法》采取的是合理期待的实质判断标准。根据该标准,产品不合理危险超过了消费者的合理期待时,产品即存在缺陷,该标准并非个案中被侵权人的主观标准,而是客观的理性人标准。
就人工智能的缺陷认定,有学者主张根据人工智能自主决策是否达到合理期待的同等情形中的理性人决定的水平来判断。但是,在个案中运用“人类中心主义”的理性人标准判断人工智能是否存在缺陷并不合理。理由在于:一方面,人工智能自主决策与人类决策过程并不相同,相应地,侵权的风险及实现机制不同,应当关注的是人工智能的输出,而非决策的过程。以未来技术上可能实现的人工智能法官为例,其之所以能够作出有说服力的法律文书,与其说是“理解”了相关文件,不如说是确定了如何有说服力地将法律规则运用于相关文件;其并非遵守了法律要求的法官作出裁判文书的行为规则,而是可能进行了系列“如果——那么”指令测试,或者运用了概率论,或者其他人类无法完全理解的“神经网络”机器学习;其不会面临人类法官所面临的问题,可以通过算法设计尽量避免偏见和不公正,但面临黑客攻击、机器学习错误、系统漏洞、无法预见的自主决策风险。另一方面,人工智能缺陷判断中被评价的提供者的权益侵害行为,并非个案中提供者作出的人工智能侵权行为决策,而是对人工智能算法的设计。因此,应当对人工智能本身具有学习能力的设计进行独立评价,而不应当从个案中具体侵权场景出发,将人工智能自主决策与同等情形下理性自然人可能作出的行为决策相比较,仅因人工智能特定自主决策造成损害而认定该人工智能存在缺陷。
人工智能的缺陷认定应当采合理期待的理性人工智能标准,即一个“理性的”人工智能在特定情况下的行为标准,其关键是构建一个可供对照的人工智能形象。首先,理性人工智能标准应当至少不低于其所应用场域下的普通人平均标准。有学者以未来技术上可能实现的人工智能法官为例进行论证,说服力为裁判文书是否妥当的结果性标准,如果经十名专业扎实、经验丰富的法官组成的评委判断,人工智能完成的裁判文书的说服力优于普通自然人法官的平均水平,则其通过了“修正的约翰·亨利测试”(Modified John Henry Test),智能水平足够替代人类,不能因人工智能作出的裁判文书并非源于人类的判断而拒绝使用。其次,理性人工智能标准并不要求完美,也无需达到普通人的最佳标准。同样以人工智能法官为例,理性并非要求在每一个个案中都达成目标,才认定目标实现。人工智能法官所取代的人类法官本身也不完美,不能因为其在个案中“犯错”即认为其存在缺陷。最后,理性人工智能标准为同类型人工智能的平均标准而非最优标准。若以同类型人工智能的最优水平为标准,将导致不公平竞争。率先开发最先进技术并进入市场的人工智能提供者将被豁免责任,而所有未达到最优水平的人工智能的提供者可能承担人工智能侵权的全部损害成本,更难以赶超先进入市场者。而以同类型人工智能的平均水平为标准,能够刺激优胜劣汰,促进人工智能技术的健康发展。
具体而言,诸如能够合理期待的使用、产品投入流通的时间、技术法规与安全标准、产品的说明、产品价格等传统产品缺陷判断中纳入综合考量的因素,也同样适用于人工智能缺陷的判断,但应当结合人工智能的技术特性予以调整。第一,运用人工智能产品的物理实体可能存在制造缺陷,但数字时代人工智能本身很难因代码复制错误等原因产生不符合设计的制造缺陷并进而引发自主决策侵权行为。第二,评价人工智能设计是否合理、有无更为合理且可行的替代设计时,因物联网时代人工智能互联程度越来越高,应当考虑可以合理预期的其他产品对人工智能的可能影响;人工智能具有学习能力,应当考虑机器学习对投入市场后的人工智能安全性的可能影响;数字时代人工智能存在网络安全漏洞也应当被认定为缺陷。第三,评价人工智能提供者是否进行合理的、符合标准的警示和说明时,应当充分考虑人工智能行为有限的可预见性、可控制性和可理解性对信息告知义务和应对手段的影响。第四,不同于传统产品,人工智能投入市场后,提供者通常仍具有影响力乃至控制力,可以利用内置的记录功能对产品进行密切的跟踪观察并获得使用信息,可以通过维护、技术支持、漏洞修复、更新等方式持续地参与到产品的使用中。如果提供者的后续行为可以改变产品的安全性能,仍以投入市场时间点为标准判断缺陷显然不合理。因此,认定人工智能缺陷的“投入市场时间”不应是静态的时间点,而应是动态化的时间段,止于不能再合理期待提供者调整产品适应安全标准的变化之时,在此期间提供者都应当通过更新(如需)等方式确保产品无缺陷。
(三)人工智能提供者是否应当承担严格的无过错责任
我国通说认为,《产品质量法》第41条第1款规定的生产者承担的产品责任为无过错责任,责任的承担不以过错为要件。但是,理论上存在不同见解。有学者指出,“产品缺陷是指产品存在危及人身、他人财产安全的不合理的危险。判断一项危险属于合理还是不合理,更接近过失的认定方法。......就因设计缺陷和指示缺陷而引发的产品责任而言,无论名义上将其称为严格责任还是过错责任,就其责任认定方法来看,实质上与过错责任的认定类似”。从比较法看,为了更好地解决现代化技术生产固有风险的公平分担问题,各国大多规定产品缺陷导致损害即承担侵权责任,归责根据从过失转向了缺陷,但法律定性素有争议。德国主流观点认为,产品责任实质上是过错责任的轻微修改版本,经由客观安全标准的参照,产品缺陷与过失行为的概念具有相似性,缺陷的认定实际上是判断生产者是否未尽到交易所要求的注意义务。
实际上,现代侵权行为在过错责任与无过错责任的发展上,均以意外事故损害填补之课题为发展契机,虽然过错责任乃因未为法律所期待之行为而负责,而无过错责任则是纵使已为法律所期待之行为仍应负责,但二者之间并未有无法逾越的鸿沟,反而显现一定程度的流动性与共通性。无过错责任的正当性在于,特定行为中的损害风险应当由创设该风险的主体来承担,这在某种意义上是指其在创设风险上存在过错。无过错责任中,为避免过度限制行为自由,往往同时规定若干免责事由和责任限制规则。而过错责任中,可能通过提高过错标准、将过错标准客观化、对特定行为者施以过错推定责任等手段更好地实现被侵权人救济,使得过错责任更加接近无过错责任。无论理论上是否将产品责任划归为无过错责任,该责任的成立均以缺陷为必不可少的构成要件。问题是,是否有必要令人工智能提供者承担比处于过错责任和无过错责任中间地带的传统产品责任更严格的无过错责任,换言之,无论人工智能是否存在缺陷,是否只要损害为人工智能自主决策所致,提供者均承担侵权责任。
不考虑人工智能缺陷的无过错责任不乏支持者,其认为:一方面,人工智能提供者开启且能够在一定程度上控制危险源,通过提供人工智能而获得利益,应当承担由此产生的损害赔偿责任。无过错责任能够调节人工智能活动水平,增强人工智能的社会接受度,规范人工智能的健康发展。另一方面,无过错责任作为手段,能够使得人工智能提供者将社会所需要的技术产生的风险内部化,而通常与无过错责任相匹配的最高责任额限制和责任保险,能够使得风险在一定程度上被社会化,提供者承担无过错责任并未使其承受不合理负担。
但是,反对者认为:一方面,侵权法中是否有必要针对特定风险规定无过错责任,取决于其是否带来不可估量、不可避免的巨大损害风险,而非风险的类型。从潜在损害的严重程度看,人工智能可能在某些情形中导致特别严重的损害,但这并非源于其自主性,而是源于其被应用场域中受影响的法律利益。从损害的不确定性看,通过“修正的约翰·亨利测试”的人工智能造成损害的概率并不比普通人平均水平高。另一方面,产品责任能够激励人工智能提供者采取必要的安全措施以避免承担损害赔偿成本,而无过错责任可能遏制人工智能科技创新的积极性,带来寒蝉效应。
由此观之,不同立场的学者均能从风险控制、技术发展、利益平衡等角度证成己方观点并反驳对方观点,人工智能提供者承担不考虑缺陷的无过错责任还是保持与传统产品相同的产品责任,很大程度上成为价值判断和选择的问题。法理念包含三个基本因素,即正义、合目的性及法的安定性,其中法的安定性包括实证性、实用性、稳定性、明确性、溯及适用之禁止。从法律的安定性价值出发,当前技术发展阶段的人工智能提供者宜承担产品责任而非无过错责任,因为“正如技术本身,相关法律在很多方面同样需要调整。但是,二者的不同之处在于,技术需要实践尝试,而立法如果在理论上更为谨慎,则可以避免很多法律问题”。在人工智能商业应用初具规模时期,与其贸然规定提供者就人工智能自主决策产生的损害一概承担无过错责任,不如暂且仍坚持以缺陷为构成要件的产品责任,并结合不同应用场景、不同风险程度、不同发展水平的人工智能特点灵活调整客观化的理性人工智能标准,通过法律和技术融合的侵权责任规则平衡各方利益。此外,提供者继续承担产品责任亦符合比例原则。当前发展阶段的人工智能侵权责任难题,很大程度上源于信息不对称和人工智能自主决策带来的证明责任难题,而非人工智能特殊风险的实现,理应首先寻求通过调整证明责任规则来实现损害填补与风险预防目标之间的平衡,而非对人工智能提供者施以无过错责任。欧盟《缺陷产品责任指令》第8条规定了潜在侵权人证据开示义务,第9条规定了缺陷推定、因果关系推定、特定情形仅要求被侵权人提供表面证据,可为我国未来人工智能民事责任立法批判性借鉴。
此外,还可能面临的质疑是,人工智能存在不同风险级别,应当以之为根据进行类型化区分并确定不同的侵权责任归责原则,实现对不同风险层级的人工智能侵权的区分评价。本文认为,产品缺陷很大程度上是过错判断的客观化,不同风险的人工智能提供者实质上承担的侵权责任的不同可以通过缺陷认定要件得以体现,不必再基于风险区分确定不同的归责原则。详言之,缺陷认定标准为合理期待的理性人工智能标准,其在不同风险级别的人工智能之中必然存在区别。缺陷判断的重要考量因素是产品是否符合国家法律法规所确定的行为规范或安全标准,而目前我国主流观点主张人工智能立法采取基于风险的规制政策,两部人工智能法学者建议稿中也都体现了风险分级治理思想。由此,人工智能事先风险规制法与事后侵权责任救济法之间的联动,既在人工智能侵权责任中贯彻了风险分级治理思维,也使其保持了一定的弹性与动态性。
四、人工智能使用者的过错责任
人工智能被投入市场后,使用者作为其直接管控者,是人工智能损害事后救济中的关键角色。如何设计人工智能使用者的侵权责任,影响着人工智能的接受度,最终也将影响人工智能技术和产业的发展。
(一)人工智能使用者过错责任的证成
从目前法律规范出发,原则上使用者根据《民法典》侵权责任编相关规定承担过错责任。被侵权人依据《民法典》第1165条规定向人工智能使用者主张侵权责任时,应当举证证明使用者因过错侵害其民事权益造成损害。自动驾驶和医疗等当前人工智能典型应用领域,根据特别法优于一般法的法律适用原则,使用者应根据《民法典》侵权责任编“机动车交通事故责任”和“医疗损害责任”规定及其他相关法律规范承担责任。考虑到我国现在正处于人工智能立法阶段,有必要思考,是否有必要规定人工智能使用者的过错推定责任,甚至无过错责任。从风险控制和分配角度,上述问题的回答取决于人工智能使用者的过错责任是否符合人工智能新增风险在各主体之间妥当分配的要求,是否足以实现技术发展与风险控制的平衡。
过错包括故意和过失,通常情况下过失即满足侵权构成,判断标准是行为人是否违反合理的注意义务。现代侵权法过错的认定逐渐客观化,注意义务原则上采取客观化的理性人标准,所以人工智能使用者注意义务很大程度上能够发挥平衡使用者行为自由和受害人权益保护、技术发展与风险控制之间张力的作用。若调高使用者注意义务标准,则使用者责任范畴扩张,能够更好的实现被侵权人救济和损害填补目标。若降低使用者注意义务标准,则使用者责任范围限缩,更有利于人工智能应用被推广。与此同时,使用者注意义务也影响使用者与提供者之间的内部责任划分。因此,注意义务规则可作为使用者侵权责任范围的控制器,法律可基于技术发展的不同阶段、技术应用的不同风险程度等,为使用者设置更高或者更低的注意义务,由此限缩或扩张使用者的侵权责任范畴,以实现不同的利益衡量需求,适时传导社会政策。再者,如上文所论证,人工智能侵权中,并非使用者而是提供者应当被分配更多的侵权责任。在当前人工智能发展阶段,人工智能提供者尚且承担以缺陷判断为中心的产品责任,人工智能使用者无理由承担更重的无过错责任。
(二)人工智能使用者的注意义务
1.人工智能使用者注意义务的成立
人工智能仅具有有限的可控制性并不意味着损害完全不可避免,使用者对其违反注意义务导致人工智能侵权产生的损害承担赔偿责任。使用者注意义务的成立,要求使用者对损害发生具有合理的可预见性及可避免性。就损害发生的可预见性而言,除非一般的抽象危险导致特定人工智能的使用完全被禁止,使用本身不意味着注意义务的违反;使用者对损害发生的可预见性应指使用者对人工智能使用的具体危险的预见可能性。使用者的预见可能性受到人工智能侵权损害的严重性及概率的影响,人工智能使用可能导致的损害越大,发生的可能性越高,通常使用者越有可能预见。应当注意的是,通常情况下,已经发生的损害能够增加未来相同损害风险的可预见性,但是对人工智能未必如此,因为其行为仅具有有限的可理解性,从已知侵权损害中未必能够获知损害原因。就损害发生的可避免性而言,需要判断是否能够合理期待使用者采取避免损害发生所需的措施,其同样受到人工智能侵权损害的严重性及概率的影响,也受到使用者所掌握的人工智能信息及其对人工智能的控制力的影响。此外,损害发生的可避免性还需结合成本效益分析,判断使用者采取某一避免措施是否因导致其承担过高成本而不具有可期待性。
因人工智能风险的控制力很大程度上从使用者转移向提供者,使用者对损害发生的可预见性和可避免性往往以人工智能提供者履行必要的信息告知义务和提供必要的应对手段为前提。若提供者未履行必要的义务,例如未充分告知正确的使用规范、未提供维持人工智能安全的必要的更新、未对可识别的损害风险发出警示等,可能导致使用者不负担相应的注意义务。
2.人工智能使用者注意义务的内容
使用者的注意义务不能一概而论,应当合理考虑不同使用者之间的区别,差异化地确定其内容。同为人工智能,替代型人工智能和辅助型人工智能中人机关系不同,使用者的控制力决定了使用者能做什么以及应当做什么,前者的使用者无监督和接管义务,而后者的使用者仍需再判断并决策。以司法人工智能为例,《最高人民法院关于规范和加强人工智能司法应用的意见》第5点规定了辅助审判原则,“......人工智能都不得代替法官裁判,人工智能辅助结果仅可作为审判工作或审判监督管理的参考,确保司法裁判始终由审判人员作出,裁判职权始终由审判组织行使,司法责任最终由裁判者承担”。同一人工智能在不同行业、领域的应用产生的侵权风险也不同,使用者注意义务存在差别。我国《人工智能法(学者建议稿)》第六章就针对司法、新闻、医疗、社交、生物识别、自动驾驶、社会信用等特殊应用场景分别规定使用者的特殊义务。对同一人工智能,商业使用者和非商业使用者(消费者)的使用行为明显存在区别,具有专业知识的商业使用者很可能也通过大量训练数据影响人工智能的学习过程,而非商业使用者往往只能决定是否使用该人工智能;小微企业对人工智能拥有的风险控制力未必强于消费者,但以运营特定人工智能为主业的企业通常掌握更多的信息、拥有更多的风险控制手段。
但是,因人工智能的技术特征和商业模式仍处于不断发展和演变的过程,存在诸多不确定性因素,目前很难针对性地确定类型化的使用者注意义务。实际上,人工智能风险的事先规制路径尚处于探索之中,比较法上存在不同的人工智能风险的规制对象和规制模式,我国学者也提出了不同的立法方案。在应对人工智能风险时,事先规制法与事后救济法的相互作用能够建立一个稳定但并非不可动摇的法律框架。如同人工智能提供者产品责任的认定,确定使用者注意义务时,也应将人工智能风险规制法确立的使用者义务纳入考量。与事先规制法配套的技术标准更加具体化、场景化、行业化、动态化。例如全国网络安全标准化技术委员会发布的《人工智能安全治理框架》1.0版第5.1条即要求“根据功能、性能、应用场景等,对人工智能系统分类分级,建立风险等级测试评估体系。加强人工智能最终用途管理,对特定人群及场景下使用人工智能技术提出相关要求,防止人工智能系统被滥用”,并于第6.3条、第6.4条分别规定了重点领域使用者、社会公众使用者的义务。欧盟《人工智能法》将在非职业活动中使用人工智能的个人排除在“部署者”之外,既确立了部署者义务的一般规则,也针对高风险人工智能、特定人工智能明确了特殊的义务。人工智能技术及商业应用日新月异,更开放的法律规范利大于弊,参考事先规制法确定事后救济法中使用者的注意义务,有利于后者及时作出弹性调整。当然,应当注意的是,事先规制法建立在预判的基础上,可能存在判断错误、监管不合时宜、不合理地区别对待或同等对待、权利人自由限制过度或不足等问题,其确定的使用者义务可以作为重要考量因素,但与侵权责任中的注意义务不完全等同,侵权责任应当充分发挥事后救济的信息优势灵活调整。
总体而言,人工智能使用者在可能和合理的范围内应当承担的注意义务,既包括按预期用途使用以便人工智能作出“正确”决定,也包括在人工智能作出或可能作出“错误”决定之时采取必要的应对措施。一方面,使用者应当按照预期用途和提供者的指示使用人工智能,负担相应的风险管理义务和信息提供义务,包括安装必要的程序、控制输入数据的质量、按照预期进行数据训练、留存人工智能自动生成的日志等。人工智能的技术特性影响使用者的注意义务,详言之:第一,使用者负有及时更新义务。人工智能投入市场后仍继续机器学习,环境的变化或此前未被预见的因素可能使得有必要通过更新消除错误、弥补安全漏洞,使用者应当按照提供者的指示及时更新。但使用者承担更新义务的前提是,提供者或其他提供更新的主体明确告知且使得使用者能够认识到特定更新与人工智能安全相关。如果更新仅涉及增加新功能或优化用户界面,与人工智能安全性无关,使用者享有是否更新的权利。如果使用者对提供者不再享有提供更新请求权且提供者也不再提供免费更新,使用者能够认识到不更新的人工智能存在损害风险时,则应当停止使用。第二,人工智能的自主性程度影响使用者注意义务的内容。人工智能的自主性程度越高,使用者在使用过程中的干预可能性越低,相应的注意义务要求也越少。第三,人工智能的系统互联增加了其受第三方影响的可能性,提供者应当充分考虑到可能的风险并向使用者提供应对工具,使用者应当履行必要的配合义务,包括使用最新的病毒扫描和分析工具,阻止未经授权的外部访问,在必要和适当的范围内考虑同时使用的不同人工智能之间的兼容性等。
另一方面,使用者能够认识到损害风险时,应当采取可能的应对措施。通常情形下,使用者能够信赖提供者所提供的人工智能并不存在缺陷,能够期待人工智能按照其功能及相应限制完成预期任务,原则上不必主动对人工智能潜在风险进行研究,对人工智能的使用过程也不负担一般性的持续监控义务,但是其负有必要的反应义务。在人工智能或其提供者发出警示信息使得使用者能够认识到损害风险时,使用者应当接管人工智能所控制的系统,根据系统提示进行干预、中断运行或采取其他可能的合理应对措施,使用者的注意义务不因发生的侵权责任可能最终由提供者承担而免除。
五、结论
人工智能能够在不断变化的环境中根据所收集的数据独立自主决策,特殊性突出体现在自主性和系统互联。人工智能的自主决策意味着其行为仅具有有限的可预见性、可控制性与可理解性,系统互联则进一步增加了侵权损害的可能性和复杂性,给传统侵权责任法提出了新的挑战。尤其是,人工智能侵权中的责任主体、责任分配及归责原则问题亟需理论和立法予以回应。
人工智能侵权责任的分配要考虑不同行为主体对风险的控制力和预防能力,实现技术发展与风险控制的平衡。人工智能作为独立责任主体的方案应当被否定,因为其不利于实现侵权责任的损害填补和预防功能,且因必须回答承担侵权责任的独立财产来源问题,最终还是得回到各潜在侵权行为主体承担责任的正当性及分配问题上。人工智能提供者是最能够控制风险者和被期待技术创新者,而使用者对人工智能的控制力有限且很大程度上受制于提供者,因此,人工智能新增风险产生的侵权责任应当更多地被分配给提供者而非使用者。
人工智能属于产品,其缺陷认定不宜采“人类中心主义”标准,而应采体现人工智能的技术特性和风险分级思想的“理性人工智能”标准,缺陷认定时间不宜为静态的“投入市场时间”点,而应为止于不再能合理期待提供者调整产品适应安全标准变化之时的动态化的时间段。人工智能提供者法律地位等同于生产者,从法律的安定性价值和比例原则出发,在当前技术发展阶段,其宜承担产品责任而非不考虑缺陷的严格的无过错责任。
人工智能使用者原则上仅承担过错责任,其注意义务能够作为侵权责任范围的控制器,既平衡使用者行为自由和受害人权益保护,又协调使用者与提供者之间的内部责任划分。使用者的注意义务的成立以其对侵权损害发生的可预见性和可避免性为前提;注意义务的内容存在差异,既包括按预期用途使用以便人工智能作出“正确”决定,又包括在人工智能作出或可能作出“错误”决定之时采取必要的应对措施。
(责任编辑:贺剑)