随着生成式AI技术的迅速发展,模型即服务(MaaS)等新型服务模式出现,技术进步为社会带来机遇的同时也伴随着一定的风险,包括数据安全风险、生成虚假有害信息、隐私泄露风险等,对于涉及的参与主体及其义务分配提出了新的挑战。人工智能产业链的复杂性、参与主体的多元性加大了人工智能治理的难度。生成式AI的典型服务模式和人工智能的价值链包含多种类型,不同类型下的主体类型及其应承担的义务应进一步区分。欧盟人工智能法讨论了价值链上主体的分类、风险治理下的义务分配原则、人工智能价值链中的义务分配机制以及对于开源人工智能价值链上义务的豁免,可以作为借鉴。我国生成式人工智能治理应坚持分级分类治理和推动开源共享参与式治理,在义务主体上区分技术支持者、服务提供者与使用者三类义务主体,在义务分配上构建链式义务治理架构,通过对生成式AI产业链不同层级的治理策略分析,促进生成式人工智能产业的健康发展。2022年,美国人工智能公司OpenAI推出的跨时代新产品ChatGPT,使人工智能进入生成式人工智能时代。ChatGPT通过深度学习算法,结合海量数据的训练,实现了从输入到输出的端到端自然语言处理,不仅能够进行聊天对话,还能够生成各种类型的文本作品,包括新闻报道、科技评论、学术论文甚至计算机程序等。2023年,人工智能实现了破圈式的发展,人工智能聊天机器人ChatGPT、AI编程工具GitHubCoPilot和图像生成系统StableDiffusion等GAI应用和工具产品的出现,为文本创建、图像生成、代码生成以及研发流程等工作带来全新的智能体验,极大提升生产力与生产水平。“人工智能”和“新质生产力”成为2024年全国两会讨论的核心话题。2024年政府工作报告强调了加速新质生产力发展的重要性,并提出了实施“人工智能(AI)+”行动的计划。2024年2月16日,OpenAI发布的文生视频大模型Sora惊艳世界。2024年3月22日,央视AI频道正式启动以及我国首个完全由人工智能技术制作的微短剧《中国神话》上线。随着生成式人工智能系统的开发和部署,一个新的产业链正在出现,其服务模式和商业实践日益丰富,并逐渐形成新的产业生态。生成式人工智能产业链可划分为三层架构。一是算力基础层,包括云计算平台和芯片计算硬件,云计算平台是在云部署模型中向开发人员公开的计算硬件,如亚马逊网络服务公司(AWS)、谷歌云端平台(GCP)、微软公用云端服务平台(Azure)等。芯片计算硬件是针对模型训练和推理工作负载优化的加速器芯片,如英伟达等的GPUs、谷歌的TPUs;二是算法模型层,包括开源基础模型、闭源基础模型、模型中心的共享与托管模型;三是垂直应用层,主要包括具有专有模型的面向最终用户的应用程序和没有专有模型的面向最终用户的B2B和B2C应用程序。生成式人工智能产业链的完善致使上下游主体的分工也变得更加精细。因此在生成式人工智能治理中,如何在不同主体之间合理分配法律义务成为重要的法律问题。目前我国涉及生成式人工智能的监管规范《互联网信息服务算法推荐管理规定》(以下简称《算法推荐管理规定》);《互联网信息服务深度合成管理规定》施行(以下简称《深度合成管理规定》);《生成式人工智能服务管理暂行办法》(以下简称《暂行办法》)等。这些规定为中国生成式人工智能服务的监管提供了指导,并初步区分了不同主体。《算法推荐管理规定》将“应用算法推荐技术提供互联网信息服务”界定为算法推荐服务提供者,而将算法推荐技术提供者排除在规定适用范围之外。《深度合成管理规定》采取深度合成服务提供者(提供深度合成服务的组织、个人)、深度合成服务技术支持者(为深度合成服务提供技术支持的组织、个人)和深度合成服务使用者(使用深度合成服务制作、复制、发布、传播信息的组织、个人)的分类方式,这一方式将服务提供者和技术支持者进行了明确区分,赋予不同的法律义务。2023年8月15日,国家互联网信息办公室等七部门联合发布《暂行办法》,是我国首次针对生成式人工智能产业发布的规范性文件。《暂行办法》将产业链的治理主体划定为“生成式人工智能服务提供者”和“生成式人工智能服务使用者”。其第22条将“提供者”的定义为“利用生成式人工智能技术提供服务的组织和个人,包括但不限于通过提供可编程接口等手段。”此定义将技术开发方纳入“提供者”的范畴。由于《暂行办法》中的义务主体仅有服务提供者,因此服务提供者被分配了过重的合规义务。《暂行办法》主要规定了生成式人工智能服务提供者的责任,但是后续治理的措施并不完备,传播平台责任者、服务使用者相关的责任并不明确。《暂行办法》第九条要求AI提供者承担“网络信息内容生产者责任”,这似乎意味着规章明确赋予了AI提供者以“内容生产者”的法律地位,但是基于算法的复杂性以及存在用户诱导的情况,AI提供者并不满足“内容生产者”对生产、上传内容具有“控制力”的标准。笔者认为,为了更全面地应对这些风险,不仅需要识别更多的义务主体,还应为这些主体赋予相应的义务。社会是一个动态变迁的过程,稳定的、守成的法律面对发展的、变迁的社会事实时无可避免地存有问题,在面对新型社会关系和社会需求时,既有法律存在“调整不能”的情形,即一时难以规定的新兴社会事实领域。虽然立法者不可能完全掌握人工智能职工法律关系中各方的利益诉求,但其基于社会利益的考量,为维护公共秩序和善良风俗而推崇体现国家干预的强制性规范,已然是人工智能产业上各方主体利益冲突无法调和的零和博弈的最优解。欧洲议会于2024年3月13日通过了人工智能法(Artificial Intelligence Act)。该法共计13章、113条,为整个人工智能产业链上的相关方提供了一个合规义务框架。本文将深入探讨生成式人工智能应用中主体类型和主体义务分配问题,通过分析欧盟人工智能法与我国现有法律框架的对比,提出一套切实可行的主体划分及义务分配机制,公正地分配多元主体之间的法律义务,进而促进安全可信生成式人工智能生态系统的构建。二、生成式人工智能价值链参与主体的复杂性与典型服务模式人工智能价值链具有复杂性和多样性,随着生成式人工智能产业服务模式日益丰富,产业链上存在多种主体,给生成式人工智能监管带来了挑战。
美国哈佛商学院的迈克尔·波特教授(Michael E Porter)于1985年在《竞争优势》一书中提出了有关价值链的概念。最初,“价值链”概念主要分析单个企业内部的基本活动和辅助活动之间的相互关系,揭示了企业如何通过这些活动实现价值创造并增强其市场竞争力,为企业内部运作的优化与效率提升提供分析工具。企业运用价值链进行分析与管理可提高企业的竞争优势,即企业所处的价值链节点中企业上下游价值链总成本的降低可使企业更具竞争优势。随着社会的发展和研究的深入,价值链理论的内涵与应用范围不断拓展,不仅涵盖了不同企业,还扩展到了整个产业体系中。最近,越来越多的行业、政府和应用研究文献对人工智能系统的价值链进行了研究。欧洲政策分析中心(CEPS)将人工智能价值链界定为构建并实施人工智能系统的一系列关键主体所参与的过程。其主要功能在于识别各参与方在价值链的不同环节中可能扮演的角色,从而指出哪一方主体最适合承担监管义务,以确保人工智能系统的安全性得到有效保障。CEPS将AI价值链归为表1的七种类型。此外,也有研究在探索人工智能系统提供数据资源的价值链中责任和义务的分配问题。国外政策制定者对为人工智能系统提供资源投入和从人工智能系统接收资源产出所需的价值链产生了更浓厚的兴趣。新出现的监管框架都旨在为人工智能系统价值链中的行为者设定义务。首先,AI价值链具有异质性。在AI价值链中存在不同流程类型,这些类型在实践中影响高风险AI系统的监管。特别是在某些AI价值链类型中,确定哪个实体对高风险AI系统的存在负责存在相当大的争议,这种争议在人工智能系统的承包和微调中尤为明显。其次,价值链上主体具有多样性。在具有两个实体的AI价值链中,AI价值链中的两个实体都可能无法单独承担评估和修改AI系统以符合高风险AI系统提供者监管要求的义务。尤其是在带AI代码的软件情况下,任何一个实体都难以完全控制代码和数据。此外,高风险AI系统提供者在价值链上主体之间转移。在具体应用场景下,高风险AI系统提供者在不同实体之间可能存在转移情况,特别是当AI系统的预期用途发生变化或者对AI系统的修改符合“重大修改”的定义时,高风险AI系统提供者可能会转移。最后,在当前生成式人工智能技术迅猛发展的背景下,其所带来的价值链的复杂性将不断增加,这无疑对法律义务的界定提出了更高的要求。由于AI价值链具有复杂性和多样性,给AI价值链上主体监管带来挑战。因此,需要在AI价值链中更加清晰定位主体的角色和其在AI价值链中的位置,从而有效进行监管。以人工智能价值链为导向进行主体义务设置时候,还需要考虑我国人工智能产业发展、经济政策和社会治理环境等方面,从而明确不同环节的实际义务主体,科学合理进行义务分配。
在云计算技术愈发成熟与普及的背景下,软件即服务(Software as a Service,SaaS)、平台即服务(Platform as a Service,PaaS)与基础设施即服务(Infrastructure as a Service,IaaS)构成了云服务市场的三种基本服务模式。由于生成式人工智能的开发需要大规模的计算资源和海量的数据资源,且透明度相对较低,导致某些企业成为行业的主导者,掌握关键的技术和资源。这些企业在整个行业的商业布局中具有重要的影响力。目前,这些企业主要为生成式AI模型的技术提供者(模型开发者),其通过两种途径将其产品和服务提供给市场:一是通过应用程序编程接口(API),二是通过开放源代码软件。生成式人工智能技术的发展催生了新的服务模式:人工智能即服务(Artificial Intelligence as a Service,AIaaS)和模型即服务(Model as a Service,MaaS)。科技企业采用的MaaS商业模式多样,主要有模型订阅、产品嵌入、API调用和定制开发。MaaS基于机器学习的算法与模型,通过应用程序编程接口(Application Programming Interface,API)的形式向终端用户提供服务。此种服务模式的优势在于:(1)允许用户通过编程接口调用云中托管的AI模型,从而整合并动态地利用先进的数据处理能力;(2)使用户不需要投资构建复杂的基础设施,而可以通过应用程序编程接口(API)直接调用服务;(3)提供推理、微调和深度开发等服务,降低了用户的技术门槛,同时显著提升了大模型的应用效率。MaaS模型通常涉及三层架构:首先,平台方构建并提供数据丰富的基础大模型(L0层);其次,利用行业特定数据对这些模型进行再训练,形成行业专用模型(L1层);最终,用户可通过应用程序编程接口(API)或通过模型压缩技术等手段,获取为特定垂直领域优化的模型(L2层)。目前,全球市场上提供MaaS的企业数量正在迅速增长,服务提供者不仅包括亚马逊的Amazon SageMaker、微软的Microsoft Azure Machine Learning、百度的文心大模型和华为的ModelArts,还涵盖了其他领先技术公司的平台,如谷歌的Google Cloud AI Platform、IBM的Watson、以及新兴的技术公司如OpenAI提供的API服务。在MaaS模式下存在以下三方主体。第一,模型开发者,指致力于构建、训练及发布人工智能模型的实体,它们可能是研究机构、企业或个体。这些开发者不仅负责模型的初步开发,还需确保其更新和维护,以适应不断变化的技术和市场需求。第二,服务提供者,指对原始模型进行进一步优化、部署并最终向用户提供服务的实体。他们通常以网络应用或移动应用程序的形式,向广泛的公众提供面向企业(ToB)或消费者的服务(ToC)。第三,终端用户,最终使用上述服务的社会大众,他们依赖于服务提供者所提供的人工智能应用以满足日常需求。服务提供者常常基于与模型开发者的合作关系,将AI模型以网页或移动应用的形式提供给终端用户。ToB用户侧重企业内外赋能,ToC用户直接使用大模型产品用于办公或艺术工具。除了上述的MaaS模式,许多模型开发者也采用了开源模式来发布其服务。在开源模式下,模型的开发者会将模型公开并分发,使得外部开发者能够自由地使用这些模型,并将相应的权利广泛地转让给这些外部开发者。在此模式下,各方主体间的义务分配与MaaS模式相比存在显著差异。欧盟人工智能法对于人工智能相关主体的义务划分是从客体和主体两个方面来划定的。在客体方面,遵循“基于风险的方法”,将人工智能及其相关应用划分为不可接受的风险、高风险、有限风险和极低风险四种风险等级,并对每类风险的人工智能系统提出差异化的监管要求。在主体方面,欧盟将高风险人工智能系统中的相关主体进行分类,即“提供者(providers)”“部署者(deployers)”“进口者(importers)”“分销者(distributors)”等,并分别赋予不同的法律义务。
欧盟人工智能法中未明确给出人工智能价值链的定义,仅在背景陈述9中提到了AI价值链:“对AI价值链上各种参与主体施加义务。”并在欧盟人工智能法主体部分,价值链上不同主体承担不同义务。根据欧盟人工智能法第25条人工智能价值链上的责任规定,对于高风险的人工智能系统,人工智能价值链上的主体包括了系统的直接提供者,部署者、分销者、进口者以及使用者,主体广泛,旨在规范整个人工智能产业链。提供者是指开发人工智能系统或通用人工智能模型,或已开发人工智能系统或通用人工智能模型,并将其投放市场或以自己的名义或商标提供服务的自然人或法人、公共机关、机构或其他团体,无论有偿还是无偿;部署者是指在其授权下使用人工智能系统的任何自然人或法人、公共机关、机构或其他团体,但在个人非职业活动中使用人工智能系统的情况除外;进口者是指位于或设立于欧盟的任何自然人或法人,将带有在欧盟以外设立的自然人或法人的名称或商标的人工智能系统投放市场;分销者是指供应链中除提供者或进口者之外,在欧盟市场上提供人工智能系统的任何自然人或法人;使用者指的是那些在欧盟境内使用人工智能系统的个人或组织,这不仅包括最终消费者,也包括在其业务或职能中部署或运用人工智能系统的企业和机构。这些角色分类较我国目前的监管规范而言更为细化。虽然不同法域的表述和划分存在差异,其核心在于明确产业链中各个环节主体的责任与义务,以确保生成式AI技术的健康发展。
欧盟人工智能法基于风险实施分级分类治理。基于AI系统潜在风险和影响程度将人工智能系统分为四个风险类别,适用不同程度的监管。第一,不可接受风险人工智能系统。有试图操纵人类行为、利用人性弱点或支持政府社会评分等行为的人工智能系统。法案将严格禁止该类人工智能行为。第二,高风险人工智能系统。对健康、安全、基本权利和法治构成重大威胁的人工智能系统。法案对此类人工智能系统规定了特定要求,且法案中的大部分义务对其均适用。第三,有限风险人工智能系统:不会构成严重威胁,透明度缺乏是其相关的主要风险。法案对此类人工智能系统规定了特定透明度义务。第四,低风险人工智能系统。人工智能电子游戏或垃圾邮件过滤器等对公共安全和用户权利影响轻微的人工智能系统。法案通常允许自由使用,具有最小透明度义务。随着ChatGPT等人工智能应用引发全球热议,欧盟理事会于2022年12月6日就法案达成一致意见,特别增加了针对通用型人工智能模型(General Purpose AI Models,GPAI)的义务要求,响应了对GPAI模型及其系统进行规范的全球趋势,并采用了“基于风险的方法”进行管理,进一步将GPAI模型根据是否存在系统性风险进行了区分,并对存在系统性风险的GPAI模型提供者提出了更为严格的监管要求。
“提供者”处于人工智能价值链的中心,其以自己的名称或商标开发人工智能系统或GPAI模型。该法案适用于以下场景的人工智能提供者,无论其设立地点如何,也无论人工智能是免费还是商业用途:将人工智能推向市场,首先在欧盟提供人工智能系统或GPAI模型;将人工智能投入使用,首次直接向部署者提供人工智能系统或供其在欧盟自行使用;产生人工智能输出,开发人工智能系统,产生影响欧盟居民教育、就业、产品安全的输出。提供者的义务包括确保其AI系统符合法规要求,这涉及对AI系统的设计、开发、部署和使用的全过程。提供商必须建立质量管理体系,确保产品的质量与安全性;进行风险管理,评估AI系统可能带来的风险;保留技术文档和相关记录;并在必要时提供必要的纠正措施。提供者还需确保AI系统的透明度,包括提供清晰的使用说明和风险信息。对于高风险人工智能系统的提供者,欧盟人工智能法在其整个开发和使用生命周期中设定了严格的合规要求,包括合格评定、风险管理和在欧盟数据库中的注册。GPAI模型是指在使用大量数据进行大规模自我监督训练时,无论该模型以何种方式投放市场,都显示出显著的通用性,能够胜任各种不同的任务,并可集成到各种下游系统或应用中,但在投放市场前用于研究、开发或原型设计活动的人工智能模型除外。法案根据GPAI模型的影响力,将其分为具有系统性风险的GPAI模型和不具有系统性风险的GPAI模型两类。
图3 通用人工智能模型分类
对于GPAI模型的提供者,欧盟人工智能法要求所有GPAI模型的提供者必须履行透明度义务。这包括编制技术文件和向下游AI系统的提供者提供必要信息、采取措施提高透明度、问责制并遵守欧盟版权法。具体义务有:维护用于训练模型的数据内容的“足够详细”的公开摘要(由人工智能办公室将发布的模板定义);采取遵守欧盟版权法的政策;准备和维护模型的技术文档,如培训和测试流程、该法规定的模型评估结果和向使用模型的人工智能系统提供者提供某些模型信息。当某个GPAI模型被认定存在系统性风险,提供者需依照标准化的协议和工具评估该模型,以识别和缓解潜在的系统性风险,并进行事件报告。部署具有系统性风险的GPAI模型的提供者必须:执行标准化模型评估;评估和减轻潜在的系统性风险;跟踪并报告严重事件;确保足够的网络安全保护。在人工智能技术中,“部署者”是指“在其权限下使用人工智能系统”的人。即使非欧盟部署者运行产生在欧盟使用的输出的人工智能系统,也要遵守欧盟人工智能法。部署者的义务则侧重于AI系统的实际使用。部署者应当采取适当的技术和组织措施来确保AI系统的合规使用,这可能包括对AI系统的监控、维护和数据保护影响评估。部署者还应当在必要时通知数据主体其数据被AI系统处理的情况,并在AI系统做出重大决策时提供解释权。运营高风险人工智能系统的部署者必须遵守数据治理、监控人工智能性能、确保人员的人工智能素养,并在高风险人工智能出现重大故障时通知人工智能价值链中的其他各方等。如果部署者以部署者自己的名称和品牌运营人工智能系统,或者以其他方式出于非预期目的修改人工智能系统,则该部署者可能会被重新归类为高风险人工智能系统的“提供者”。在人工智能价值链中,进口者是让非欧盟供应商的某些人工智能系统进入欧盟市场的把关人。进口者还必须在推出任何欧盟产品之前履行严格的尽职调查和记录保存义务,包括验证供应商的合格评定、技术文件等。进口者还必须在高风险人工智能系统上贴上自己的联系信息和注册商标的标签,类似于清关流程,需要有关产品原产国、内容和相关免责声明的信息。分销者是指提供人工智能系统或GPAI模型以在欧盟市场分销或使用的任何自然人或法人。与进口者不同,分销者不需要在欧盟设立,也不一定是向欧盟发布人工智能的第一方。作为人工智能价值链中的关键环节,首先,分销者必须验证相关供应商和进口商是否遵守人工智能法案。如果分销者怀疑存在违规行为,则必须撤回适用的人工智能,直到此类缺陷得到完全解决。其次,分销者的义务则涉及AI系统的市场流通。分销者在将AI系统提供给最终用户之前,需要确保系统符合欧盟法规的要求,不得销售或分销不符合规定的AI系统。分销者还应当确保其供应链中的产品符合必要的合规标准,并在必要时向市场监管部门提供必要的协助。涉及高风险人工智能系统的进口者、分销者等需要遵守欧盟人工智能法第23条、第24条等相关规定,承担相应的义务。此外,当某些特定情况出现时,部署者、进口者等也可能被视作高风险人工智能系统的提供者,从而需要履行提供者的规范义务。这包括那些对市场上已经投入使用的高风险人工智能系统进行了实质性调整,且调整后的系统依然属于高风险类别的主体。欧盟人工智能法针对开源人工智能有一些独特的规则,为GPAI模型(也称为基础模型)创建了额外的透明度和问责规则。在禁止具有不可接受风险的人工智能和限制高风险人工智能系统方面,对开源人工智能系统没有例外。对于其他非GPAI系统,欧盟人工智能法不适用于公开提供开源人工智能产品的第三方。虽然欧盟人工智能法的最终文本将开源人工智能排除在某些义务之外,但这些排除仅在某些有限的条件下适用。欧盟人工智能法提倡以免费和开源许可发布的工具、服务、流程或人工智能组件(通用人工智能模型除外),鼓励开发者实施广泛采用的文档实践,如模型卡和数据卡,以加快信息共享并推广值得信赖的人工智能系统。对提供工具、服务、流程或人工智能组件的第三方(通用人工智能模型除外),如果这些是在免费且开源许可下提供的,则不强制要求其遵守针对人工智能价值链义务的特定要求。对于GPAI模型而言,若其模型参数以免费及开源许可的形式发布,则该类模型提供者可在透明度要求方面享有例外待遇,此项例外不适用于可能引发系统性风险的模型。开源GPAI模型不必遵循法律要求向欧盟人工智能办公室提供有关人工智能模型的技术文档,除非这些模型存在系统性风险。这些规定反映了立法者在促进开放创新与确保人工智能应用的安全性、透明性之间寻求平衡的努力,旨在构建一个既开放又负责任的人工智能技术发展环境。通过鼓励开源的实践和透明度的提高,可以有效地促进知识共享、技术创新,并在全球范围内推广可靠与可信的人工智能解决方案。同时,此举也体现了在技术治理领域对于风险预防原则的应用,确保了即便在开源文化的推动下,人工智能的发展亦不会偏离公共安全与伦理的基本框架。表2 欧盟人工智能法中与开源人工智能相关条文
一国对人工智能的法律规制不仅影响着本国的产业发展和风险治理,更决定着该国在全球人工智能治理中的话语权。近年来,我国人工智能产业发展态势良好,但在基础研究、原创成果等方面与世界领先水平还有差距。在世界百年未有之大变局和全球激烈竞争的格局下,不发展是最大的不安全,我国人工智能产业“领先的追赶者”的独特国际地位要求我们在技术和产业的国际竞争中必须以发展作为制度设计的主要目标。未来,人工智能法立法的目的应当包括促进科学的发展和技术的创新,使技术更好地服务社会,改善民生,造福于民。当前,中国正处于人工智能技术发展的起步阶段,精准立法条件还不太成熟。在立法上可以借鉴欧盟经验,给予人工智能产业一定的发展空间。待条件成熟之时再推进人工智能法出台,以构建人工智能治理体系,弥补监管体系空白。人工智能法应使人工智能的治理与其产业链相一致,确保对生成式人工智能的监督与其整个生产和部署生命周期相协调。生成式人工智能的治理可以从欧盟划分人工智能价值链中不同参与者(即上游模型提供者和下游部署者)的方法中获得宝贵的启示。考虑到人工智能生产工作流程、社会影响和经济效益,需要划分上游基础模型开发者和下游服务提供者的义务。人工智能治理中可根据不同主体对于人工智能系统的控制力度来加诸相应的义务,实现对人工智能技术的有效监管。在生成式人工智能治理中,应当以国内生成式人工智能产业发展为出发点,实行分级分类治理和开源共享参与式治理。首先,通过产业链上分级分类治理,在我国人工智能立法和监管中进行差异化规制,细化风险管理措施,促进人工智能产业发展和技术实践。其次,积极推动开源共享参与式治理,促进生成式人工智能技术的创新和共享,增强人类对科技的信任,完善开源治理生态和积极参与国际人工智能沟通与合作。在人工智能立法和监管中,人工智能产业发展和技术实践需求扮演了重要角色。我国在推进AI立法过程中,避免采取简单的“一刀切”思路,而应当根据人工智能在不同应用场景的风险程度实施差异化的规制策略,促进人工智能产业发展。对于不同风险等级的应用场景,应创新监管方法,提供多样化的监管工具,并实行分级管理与分类监管。通过分级分类监管划定风险应对的原则和底线,对于生成式人工智能应用的分级分类监管,可以借鉴欧盟人工智能法所确立的以风险为基准的人工智能治理框架。目前,我国地方治理人工智能实践和《人工智能法(学者建议稿)》为人工智能立法提供了具体条文和制度参考。2024年3月16日上午,“AI善治论坛人工智能法律治理前瞻”专题研讨会在北京举办,会议发布了《中华人民共和国人工智能法(学者建议稿)》。《人工智能法(学者建议稿)》提出国家建立人工智能分级分类制度以及人工智能主管部门建立分级分类评估机制。通过细化不同风险级别生成式人工智能的管理措施,明确分级的类别、依据和相应的规制方式,从而平衡不同风险级别生成式人工智能服务的利益,实现整个产业效益的最大化。探索实施基于清单的管理方式,发布生成式人工智能禁止清单、高风险清单和示范清单。在人工智能技术发展较为成熟的城市,如北京、上海、深圳、杭州、重庆等地先行实施并进行试点并成立人工智能创新应用先导区,待条件成熟,推广至国家层面进行全面监管。通过分阶段、逐步扩展的方式,确保人工智能应用得到有效的法律监管,同时为国家层面的监管实践积累经验。以上海为例,《上海市促进人工智能产业发展条例》第五十条规定浦东新区应当发挥人工智能创新应用先导区的作用,开展人工智能领域制度创新试点,加快人工智能、集成电路、生物医药等先导产业互促发展。2019年5月,经工信部批复,全国首个人工智能创新应用先导区在上海浦东新区正式揭牌。截至2023年年底,浦东新区人工智能重点企业超600家,人工智能相关产业规模超1400亿元,已建成基本覆盖人工智能基础层、技术层、应用层的完整产业链。以北京为例,《北京市促进通用人工智能创新发展的若干措施》提出建设若干未来产业先导试验区,积极打造世界领先的未来产业创新发展示范基地;《北京市促进未来产业创新发展实施方案》提出争取在中关村国家自主创新示范区核心区先行先试。近年来北京持续加大对人工智能产业的支持力度,数据显示,2023年北京人工智能产业核心产值突破2500亿元。此外,《人工智能示范法(专家建议稿)》第二十四条提出国家在符合条件的地区设立人工智能特区,推动人工智能创新发展先行先试,促进人工智能产学研用结合,构建有利于人工智能发展的良好生态。第一,发布禁止清单,对于那些可能危害人类安全、侵犯个人尊严以及损害个人自主意识的应用,应予以坚决禁止。例如,上海市《促进人工智能产业发展条例》第九条规定,市经济信息化部门会同有关部门探索建立人工智能科研、应用等领域的负面清单。第二,发布高风险人工智能清单。对高风险的AI实行清单式管理,采用事前评估和审查进行风险的预警;对于中低风险的AI,采用事先披露和事后控制的治理方式。例如,上海市《促进人工智能产业发展条例》第六十五条第二款规定,对高风险的人工智能产品和服务实行清单式管理,遵循必要、正当、可控等原则进行合规审查。对中低风险的人工智能产品和服务采用事前披露和事后控制的治理模式,促进先行先试。《深圳经济特区人工智能产业促进条例》第六十六条第二款规定,高风险的人工智能应用应当采用事前评估和风险预警的监管模式,中低风险的人工智能应用应当采用事前披露和事后跟踪的监管模式。第三,对于具有典型性和创新引领性的人工智能应用,可以发布结合行业应用场景发布人工智能示范清单,推动人工智能赋能千行百业,加快打造人工智能产业集群。例如,上海市《促进人工智能产业发展条例》第四十六条第二款规定,市经济信息化部门应当会同相关部门制定并定期更新人工智能示范应用清单,指导有关方面加强人工智能在经济、生活、城市治理等领域的应用。《徐汇区关于人工智能大模型发展若干意见(试行)》提出支持应用场景建设,鼓励应用场景单位在医疗、金融文化创意、电商零售、智能终端等领域开放场景,联合大模型企业开发垂类大模型、打造行业级示范应用。对具有行业引领和示范效应的技术应用与场景建设项目,最高可按照项目总投入的80%给予不超过500万元的补贴支持。《深圳市前海深港现代服务业合作区管理局关于支持人工智能高质量发展高水平应用的若干措施》中明确提出打造人工智能应用示范。《北京市促进通用人工智能创新发展的若干措施》提出,推动通用人工智能技术创新场景应用,包括推动在政务服务领域示范应用、探索在医疗领域示范应用、探索在科学研究领域示范应用、推动在金融领域示范应用、探索在自动驾驶领域示范应用以及推动在城市治理领域示范应用。通过这些措施,可以在保障生成式人工智能技术创新的同时,有效预防和控制可能出现的风险。生成式人工智能治理中,应坚持多元主体参与、进行开源共享参与式治理。重视构建GAI开源社区,通过GAI开源社区的积极参与和协作,推动GAI技术的创新和共享,从而形成良好的产业生态。开源AI模型通过集体智慧的汇聚,可以有效降低AI模型潜在的安全风险,从而增强了模型的性能与安全性。在国家主管部门的系统布局和政策引导下,随着移动互联网、云计算、人工智能的蓬勃发展,我国开始涌现出大量开源项目的开发者,形成了一批代表性的国内开源社区。开源社区在GAI的发展中扮演着重要角色,通过共享数据、代码和模型,开源社区促进了技术的快速迭代和创新。例如,GitHub等平台上的开源项目吸引了大量开发者的贡献,推动了生成式AI技术的进步。当前开源大模型以Meta的Llama-2、开源GAI公司StabilityAI的StableDiffusion、阿里云的通义千问等为代表,开源模型的发展已经呈现出蓬勃的态势,对人工智能产业的发展起到了积极的推动作用。此外,开源也是保证大型模型开发和部署保持必要透明度的重要手段。打造防范化解人工智能安全风险的开源治理共同体。加强政府主导,提升公众对人工智能安全治理的认知和参与度,规范行业内的行为和准则,支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在人工智能安全风险防范等方面开展协作,积极推动人工智能安全治理从政府主导向“政府+市场”主导转型。中国的人工智能开源治理尚处于早期阶段,核心的开源框架主要依赖于国外,开源社区、代码托管平台和开源基金会等要素尚未成熟,不同开源主体之间的合作模式也还在磨合当中。因此,我国GAI治理需要良好的人工智能开源政策环境、推动开源组织有序分工、夯实开源基础设施,并在完善中国人工智能开源治理生态的基础上,积极参与国际开源治理相关标准和公共服务平台建设,倡导国际社会更自由地阐述和分享观点,逐步建立开发者、开源社区、学术界和民间团体共同参与的监管结构。未来,对生成式人工智能的有效治理,离不开政府、企业、行业组织、学术团体、用户和消费者、社会公众、媒体等多元主体的共同参与,需要更好发挥出多方共治的合力作用,推进践行“负责任人工智能”(ResponsibleAI)的理念,打造安全可信的GAI应用。推动开源共享参与式治理是生成式人工智能可信发展的内在要求。随着GAI技术应用的不断推进,人们发现GAI技术仍存在不可控、不可解释、不可预知、不透明等弊端和风险,并且在使用过程中可能给人身安全、信息安全以及财产安全等带来一定风险,由此引发了人们对GAI技术的不信任,为了消除人们对GAI技术应用的不信任、推动人工智能产业可信发展,GAI开源共享参与式治理是必然选择。而且,GAI开源共享参与式治理有助于削弱主要人工智能实验室在经济、社会和政治等领域的主导地位,分散化的控制有助于增强人类对科技的信任。不同的社会和文化有不同的伦理观念和价值观,而通过推动开源治理需要广泛的参与和共识形成,可以确保人工智能技术的发展反映多元的价值观。反之,如果人工智能技术被少数几个实体控制,可能会导致权力过于集中、滥用技术影响力、损害公众利益。随着生成式人工智能的快速发展,从专用模型向通用模型的转变不仅带来了技术上的革新,也对现有的法律框架提出了新的挑战。在以往的应用场景中,服务提供者通常同时担任技术开发者的角色,能够直接对技术进行调整和完善,从而在面对侵权问题时能够直接采取有效的治理措施。然而,随着通用人工智能技术的兴起,技术开发者和服务提供者是两个不同的实体。技术开发者负责提供基础的算法模型,而服务提供者则基于这些底层模型构建具体的应用场景。在这种新的架构下,服务提供者面临的法律义务也随之发生变化。例如,采用OpenAI的API将ChatGPT集成到向公众提供服务的应用程序中的公司,被归类为生成式人工智能服务提供者,受《暂行办法》管辖。根据《暂行办法》第4条,这些公司必须在算法设计、训练数据选择、模型开发、优化和服务提供过程中采取有效措施防止歧视。然而,实践中这类购买并使用集成服务的公司遵守这一规定具有挑战性,因为它们无法获得训练数据和所采用模型背后的设计选择。人工智能价值链中不同参与者之间缺乏区别和明确的法律地位会产生深远的影响。它可能导致问责制的模糊性,从而破坏人工智能服务的治理和整体成功。如果不成比例的严格法律义务落在为特定使用场景调整这些基础模型的中小企业和初创企业身上,而不是落在拥有大量数据访问和计算能力的基础模型的大公司身上,将会对经济产生不利影响。虽然《暂行办法》首次引入了“基础模型”的概念,这其实反映了从“基础模型”到“专业模型”再到“服务应用”的生成式人工智能产业链,却忽视了技术支持者与服务提供者之间的区别,笼统地使用“提供者”一词,模糊了生成式人工智能产业链中各参与者的不同角色。《暂行办法》对于生成式人工智能服务的监管主体被限定为生成式人工智能服务提供者和使用者,并以服务提供者为监管重心。然而,生成式人工智能时代,以服务提供者为核心的治理体系受到挑战,技术开发者、服务提供者和终端使用者之间的关系极为复杂,仅仅针对单一环节的治理策略难以达到监管效果。首先,技术支持者拥有对底层算法模型的控制权,但难以控制后续服务提供者和终端用户的具体行为。其次,服务提供者虽然向用户提供人工智能服务,但对于由人工智能技术所生成的内容的控制力有限。最后,终端使用者虽然触发内容生成程序,却往往难以判断输出内容的风险性。在生成式人工智能的技术机制下,机器涌现出理解力与创造力,可实现对人类脑力劳动的替代,形成了人机共生的关系。在生成式人工智能的人机交互模式下,生成式人工智能的治理应将用户纳入义务主体治理之中。在这种背景下,将监管责任单一地分配给任一环节的主体显然是不合理的,这要求我们必须综合考虑价值链上的各个相关主体。当人工智能价值链上包含多个彼此依存、紧密相联的主体时,我国《暂行办法》仅针对部分主体构建的事前治理框架难以有效实现治理目标。因此,将价值链上的全部相关主体和相关阶段纳入治理框架成为改革的方向。对生成式人工智能服务进行治理,不仅体现在延伸义务主体链条上,构建起“技术开发者—服务提供者—使用者”的监管框架,更在于对义务分配维度进行分层分类管理,以及在义务分配机制上采取精细化的措施,义务配置应该贯穿人工智能系统的整个生命周期和整个人工智能产业链,确保不同层级的主体根据其在价值链中的位置承担的相应的法律义务。因此,在对生成式人工智能进行规制时,应明确区分技术开发者、服务提供者与使用者三类义务主体,构建“技术开发者—服务提供者—使用者”的监管框架,合理地划分技术开发者、服务提供者以及使用者三方的法律义务,是实现技术创新与风险防控平衡的关键。在当前治理责任主要集中于服务提供者的背景下,需要根据生成式人工智能的技术特点更新监管逻辑,建立覆盖研发、运行、应用全流程的风险监管机制,明晰技术开发者、服务提供者、服务使用者等相关主体在具体应用风险中的利益关系与配套架构,更加系统、准确地构建生成式人工智能责任的链式分配和承担机制。首先,在大层面上对技术开发者、服务提供者及终端用户等各主体在人工智能价值链中的作用和义务进行界定。其次,针对每类主体根据其提供服务方式再做细分,如借鉴欧盟人工智能法先进行整体规定,再对GPAI特定风险进行监管。生成式人工智能产业链中的各个参与者在人工智能系统的整个生命周期中实施不同程度和类型的控制。在生成式AI技术快速发展的当下,其产业链展现出“基础模型—专业模型—服务应用”的分层业态。市场上的下游服务提供者可以通过两种主要方式访问GPAI系统及其底层模型:通过API访问和开源访问。在人工智能产业链中,不同参与主体对模型的控制程度存在显著差异,因此,确定各环节主体及其相应义务范围的关键在于分析各参与方的实际控制力。这种基于控制力的义务划分机制不仅能够确保法律义务的合理归属,同时保障公众利益与保护知识产权,也有助于促进生成式人工智能领域的健康、有序发展。上游开发人员设计和创建人工智能模型或系统。针对底层模型研发阶段的风险防控问题,则应具体针对模型提供者制定相关规范,要求其在研发过程中充分考虑法律风险,采取有效措施进行防控。下游服务提供者在特定环境中部署这些模型或系统(或使用这些模型作为其他系统的一部分),还可以微调模型从而充当已部署系统的下游开发人员。对于应用层面所涉及的平台责任问题,应侧重于规范模型的下游服务提供者和使用者的义务履行,确保他们在应用过程中能够采取适当措施,防范潜在的法律风险。使用者的义务同样是确保技术健康发展和防范风险的关键。通过对使用者合理设置义务,可以促使使用者在享受生成式人工智能技术带来的便利的同时,充分认识到自己在法律和道德层面应承担的责任,共同维护良好的网络环境和技术应用生态,保障技术的健康发展和广泛利益的平衡。API接口模式下,生成式AI模型技术开发者通过控制的应用程序编程接口(API)允许下游服务提供者访问并利用生成式AI模型。在此模式中,技术开发者不仅负责模型的研发、训练及其维护,还通过提供API服务直接影响下游服务提供者的应用创新。由于技术开发者在模型研发的全过程中掌握关键的数据、算法及参数配置,其对模型应用落地的全过程具备较强的控制力。因此,技术开发者应对模型训练数据的合法性以及最终生成内容的合规性承担主要义务。从上游技术开发者角度看,在通过API模式提供服务时,拥有制定访问条件、管理下游使用情况的能力,可以有效防止技术滥用,并保护知识产权。同时,技术开发者需确保其技术的透明性和可解释性,以便下游开发者和最终用户理解其工作原理和潜在风险。若将产业链上游的技术开发者比作服务下游生态的“土壤”,生成式AI的下游服务提供者便是真正面向终端用户的主体。从下游服务提供者角度看,尽管他们可以通过API接口简化开发工作,基于生成式AI开发专业化应用,但他们在模型的功能评估或微调方面可能面临限制。下游服务提供者在选择应用特定生成式AI模型时,需对其使用场景、训练数据的选择及风险质量管理承担一定义务。同时,他们应在合法合规框架内开发应用,确保最终用户利益不受侵害。综上所述,在生成式AI产业链的API接口模式下,责任和义务的分配应基于各方的控制力和影响范围进行合理划分。首先,技术开发者作为技术和服务的直接提供者,应承担起主导责任,确保技术合法合规并对下游开发者和最终用户负责。其监管重点在训练数据处理、模型开发和测试期间的义务。其次,下游服务提供者在利用API开发应用时,也应遵守相关法律法规。其监管重点在于向使用者提供产品和服务阶段的义务。通过此种分层治理策略,可以有效地管理生成式AI技术的风险。此外,上游技术开发者和下游服务提供者应当共同遵守一般性义务,包括安全性义务、可解释性义务等,通过上下游共治实现有效治理。开源模式为生成式AI技术的传播和应用提供灵活途径,其中模型提供者(技术开发者)选择将生成式AI模型或其关键组成部分以开放源代码形式发布,允许任何个体在遵守特定许可协议的条件下自由下载、修改及分发。下游通过自建或租用的计算基础设施,不仅可以对模型进行微调,而且能够调整模型的原始训练参数。在开源访问模式下,模型提供者与下游服务提供者之间的互动主要是一次性的。模型提供者通过将模型代码及数据上传至开放平台或代码仓库,并附上技术文档与使用指南,完成了其责任的初步履行。随着下游部署的广泛化及产业链的扩展,模型提供者对模型的直接控制力将可能减弱。因此,在开源模式下,模型提供者所承担的责任与义务需要根据其在具体应用场景中的控制力程度进行重新评估。从模型提供者的视角来看,虽然开源模式可能减少了对模型使用的直接控制,但仍可通过收集社区反馈和整合下游开发的新功能,间接促进模型的迭代更新和完善。此外,模型提供者在开源模式下需要明确许可协议的条款,确保下游用户的合规使用,并在可能的范围内提供必要的支持和指导。在开源模式下,对于下游服务提供者而言,使用开源模型赋予了他们更大的自由度和灵活性,使他们能够直接访问并修改模型的训练参数。这一点不仅促进了技术的个性化应用和创新,也对他们在安全保障与合法使用方面提出了更高要求。下游服务提供者应确保其对开源模型的使用符合许可协议,同时在开发过程中考虑到模型应用的伦理和法律影响,负责任地管理由此产生的风险。综上所述,在开源模式下,生成式AI技术的义务配置需要兼顾开放性与控制力的平衡。模型提供者在促进技术共享与创新的同时,需通过许可协议设定合理的使用范围和条件,而下游服务提供者则应在享有使用自由的同时,承担起模型应用的合法性和安全性责任。对于开源人工智能,应当给予一定的义务豁免,推动开源人工智能创新发展。2024年4月16日下午,“人工智能治理创新论坛”举行,会议上人工智能示范法起草组发布《人工智能示范法2.0(专家建议稿)》。《人工智能示范法2.0(专家建议稿)》提出了开源人工智能的法律责任减免。首先,普通使用者应合理利用生成式AI服务,不得用于非法目的或活动,尊重知识产权,保护个人隐私和数据安全,对自己的使用行为负责。其次,对于涉及特定行业,例如教育、医疗和艺术领域,专业使用者应当披露自己发布的内容是由人工智能生成。此外,使用者在使用和传播人工智能生成内容时候,应负有不破坏已有标识的义务。模型开发者与服务提供者已经在技术上设置了普通用户难以篡改和删除的水印,用户使用生成内容的同时需履行保持水印的义务以便实现对生成内容的全平台检测追踪和责任认定。最后,老年人和未成年人等数字弱势群体缺乏对AI技术的理解和应用能力,容易受到不当影响,应当承担区分与普通使用者的义务。针对数字弱势群体,确保他们能够安全有效地与AI互动需要包括国家、社会组织、技术开发者和服务提供者等主体等多方共同努力。在国家在制定政策和法规时,政府可以设立专门机构或委员会,负责监督和推动数字弱势群体与AI的安全互动;政府还可以通过资助和支持相关教育和培训项目,提高数字弱势群体的AI技术素养。非营利组织和社会团体可以发挥重要作用,提供针对数字弱势群体的培训、指导和支持服务。可以组织工作坊、讲座和培训课程,帮助这一群体更好地理解和利用AI技术。技术开发者应该考虑数字弱势群体的需求,在设计和开发AI系统时注重易用性和可访问性。开发简单直观的用户界面,提供易于理解和操作的功能,以便数字弱势群体能够更好地与AI互动。服务提供者包括各种在线平台和应用程序,应该提供明晰的使用说明和指南,帮助用户识别和验证AI生成的内容;还可以通过技术手段,例如过滤算法和内容审核系统,限制用户接触可能有害的AI生成内容。以ChatGPT为代表的生成式人工智能是未来新一轮科技革命和产业变革的核心力量。在此背景下,如何结合不同主体在产业链中所处的不同位置制定治理措施,积极构建符合中国特色且能够促进我国生成式人工智能技术产业长远健康发展的治理制度,极具紧迫性和必要性。未来,人工智能的治理需要建立一个针对不同行业领域、基于产业分层治理框架,该框架将基于人工智能产业链中不同参与者的不同角色合理分配义务。在技术开发者层面,进行数据安全的源头控制;在服务提供者层面,关注内容安全和注意义务;在使用者层面,使用者的合理生成和披露义务以及对数字弱势群体特殊考虑。同时,对于开源人工智能应当给予一定的义务豁免。如此,方能在法治道路上实现生成式人工智能安全与发展更好地融合,促进生成式人工智能行业健康发展。往期精彩回顾
张伟 邹鹏|超大城市坚持和发展新时代“枫桥经验”的方法论阐释——以上海市普陀区“靠谱解纷”探索为例的研究周圣 张玙|市域社会治理中的人口老龄化司法应对——基于上海市基层法院2018-2022年涉老年人民事案件审理情况之实证分析尤洁 陆越|综合治理类司法建议助推社会治理效能的提升路径——以长三角四地法院司法建议工作情况为例张海龙 史绪广|社区矫正脱漏管检察监督问题分析——以四省七县交界处D县社区矫正为样本姜浩|社区矫正对象再融入的社会性约束研究——以南京市J区为例上海市法学会官网
http://www.sls.org.cn
