用户名:
密 码:
验证码:
看不清
忘记密码?
模糊搜索
作者搜索
标题搜索
正文搜索
摘要搜索
查看新版>>
登录
注册
首页
视频
在场
观观观察局
文汇视讯
文汇艺术
文汇大家聊
文汇馆长说
文汇青年营
潮探007
冲呀花花采访团
魔都三棱镜
汇演
艺见
许蜜桃
我不是唐亿森
速瞰天下
书人茶话
顾问天下
上海时刻
晏秋秋
江江三人行
饭小兔的美学洞窟
Biu比由
文汇科代表
解放日报谢飞君
文汇讲述
新聚场
政情
@康平路
直通200号
伴公汀
上海一周
反腐记
抗战·上海寻迹
交汇点
市政厅
经济
财经连线
产业观察
金融区块链
流量研究所
市场解码
任我行
产经
市场
城生活
财经
城事更新
文化
文旅乐游
文化观澜
文艺清单
文化视点
独家探班
观众席
片场视听
文汇人文之城
台前幕后
文化生活
副刊
新民艺评
朝花时文
海上记忆
上书房
笔会
文汇文艺评论
文汇文艺百家
文汇读书
夜光杯
民生
民声直通车
上海辟谣平台
人民建议
读者
城市的味道
帮侬忙
上海滩
民生调查
侬好上海
谈天
文汇集结号
汇帮忙
区情
浦江眼
前沿风
郊野笔记
上海屋檐下
海上755
区域
Yeah!上海
十六区
郊野大地
评论
观见
时评
文汇时评
文汇微言
新民眼
思想
上观学习
思想汇
学林
论苑
文汇智库
文汇学人
文汇讲堂
深度
纵深
原点
申观察
新民周刊
科创
创新之城
科创前沿
科学新知
科科哒
教卫
教育在线
文汇教育
教育星球
学堂有名堂
医声医事
哎哟不怕
健康生活
第医线
康健园
医本正经聊天室
体育
运动+
文汇体育
新民体育
新民场外音
厉苒苒
东方体育日报
社会
说法
案页
十二公民
新瞰点
新民法谭
新音频
长三角
华东局
江南
城市志
要闻
时政要闻
国内
港澳台
北京来信
山海情
风物
京华传真
国际
世界观
大局观
海外惊奇
文汇环球
国际视点
深海区
侨梁
浩峰说
天下
早读
纵览
时事
话媒堂
上官河
汇闻
新民早报
视觉
图数图说
见识录
大视界
数据洋葱
文汇视觉
图个明白
新民印象
直播
文学报
新批评
文学现场
世界文学
品牌
健面谈
文创+
大区势
企示录
一起来
科创上海
微观上海
车天下
品牌汇
教育汇
文旅在线
新民汇
新民亲选
援疆风采
喀什风情
爱我国防
新民小记者
万象
专题
直播
上观号
电子报
解放日报
文汇报
新民晚报
上海日报
新闻晨报
上海法治报
社区晨报
东方体育日报
文学报
浦东时报
新民周刊
上海宣传通讯
我的位置:
上观号
>
上海市法学会
>
文章详情
李润生|人工智能价值链的法律型塑
转自:
上海市法学会
2025-03-25 07:46:06
人工智能价值链是对人工智能组织过程的科学描述,是人工智能立法的重要线索。相较于有形产品和传统软件,人工智能价值链是一个整体协作、双轮驱动、动态发展和不透明的组织过程,这决定了人工智能的法律规制应当遵循协作规制、全生命周期规制和集中明确规制的核心理念。人工智能价值链的制度建构包含三个主要步骤,即提炼法律身份、选定中心节点和分配法律义务,以通用模型提供者、应用系统提供者、应用系统部署者和受影响者四种法律身份搭建人工智能价值链的组织骨架。其中,通用模型提供者和应用系统提供者位处中心节点,应当担负关键职责,推动构建公平、稳定和可信的人工智能价值链,应用系统部署者和受影响者也应当担负与其功能定位相匹配的义务和职责。
一、引言
欧盟《人工智能法案(Artificial Intelligence Act)》(以下简称《AI法案》)已于2024年5月获得最终批准,我国《人工智能法草案》也连续两年(2023年、2024年)被国务院列入立法工作计划,人工智能专门立法不断涌现,技术中立原则正被不断突破。“我制造了一件管道加工设备,有人购买它制作了枪管,我不知道如何阻止(伤害),因为我没有要制造枪”,这是技术中立原则的经典表述,却在人工智能应用场景发生了错位,原因在于,人工智能的上下游更加紧密的连接整合,相互依赖性显著增加,上游开发者始终保持着对下游使用者不同以往的影响力,通用目的人工智能模型(又称基础模型,以下简称通用模型)的出现进一步强化了此种格局。如何科学搭建人工智能的立法框架呢?欧盟《AI法案》提供了一条有益线索,即人工智能价值链(AI value chain)。“人工智能价值链”一词在《AI法案》(含序言)中前后出现十余次,横贯始终,但遗憾的是,法案并未对其进行明确阐释,具体使用中亦充满着混
乱和模糊。或许,立法者仅仅意识到转向的必要性,却无法言说其中的变化和更新。欧洲政策研究中心将“人工智能价值链”界定为一个组织过程,即开发特定的人工智能系统并投入使用的结构和过程,此种对组织过程的关注将其与传统算法开发相区分,后者更狭隘地关注人工智能系统开发的技术步骤。“人工智能价值链”意在揭示人工智能的开发和运行过程,并由此设定法律身份、分配法律义务、实现立法目标。在技术变革时代,我国应当及时更新法律理念,主动而非被动“形塑”人工智能价值链,经由积极的法律建构,引导和推动可信人工智能的开发和应用。根据笔者的检索,国内法学界对“人工智能价值链”的关注很少,文献寥寥,国外的研究亦十分有限。笔者尝试深入探讨“人工智能价值链”的理论和实践问题,以为推进中的人工智能立法提供参考。本文将聚焦监管法(不包括民事责任法)范畴,深入阐释人工智能价值链的法律意涵和规制理念,并据此提出系统的制度建构方案。
二、人工智能价值链的法理阐释
人工智能价值链是人工智能组织过程的精炼表达,它具有何种法律意涵?法学界对此鲜有论及,欧盟《AI法案》亦未明确。只有深刻洞察人工智能价值链的法律意涵,才能真正理解“价值链”的独特性及其在人工智能立法中的奠基作用。
(一)
价值链的概念溯源和理论要义
与其他许多法律概念一样,“价值链”一词最初由经济学家创造,法学家随后予以迁移和改造。1985年,经济学家迈克尔·波特在其《竞争优势》一书中提出了“价值链”的概念,意指企业之间通过有序协作为客户创造价值的过程。“价值链”与“供应链”相互区分和对应,一般认为,供应链是“商品主导逻辑”,以“有形产出和离散交易为中心”,价值链是“服务主导逻辑”“无形性、交换过程和关系是其核心”。供应链以生产者为中心,生产者以产品集成为目标,向供应商传达零部件的供货指示,供应商在集成调配下各司其职,供应链是分工明确、职责清晰的“条块化”组织过程,旨在整合供应和生产流程,提高效率,减少浪费,著名的苹果供应链(“果链”)即科学管理、提升效率的典范。相较之下,“价值链”更加强调用户导向,注重价值创造,是一种整体协同式的组织过程,主张共同创造价值,共同面对风险,相互依赖,双向互动,参与者行动既会直接影响用户利益,也会产生错综复杂的相互影响,价值链是紧密衔接、混同交织的“整体化”组织过程。可见,供应链偏重于条块分割、单向指示和分工负责,价值链偏重于上下连接、双向互动和整体协同。诚如学者所言,作为企业竞争的战略理论,价值链的重要性日益提升,伴随商业竞争的加剧、创新要素的地位提升、扩展型企业治理模式的发展以及全球性价值创造过程的普及和深化,从供应链思维转向价值链思维,已经成为确定的趋势。从供应链到价值链,不仅是企业竞争思维的转变,也深刻影响着法律规制的逻辑。
(二)
人工智能价值链的特殊构造
作为下位概念,人工智能价值链是人工智能技术的整体协同组织过程,那么,它有何特殊构造?该构造如何影响法律治理?这是概念迁移和法律建构的关键论题。
1.人工智能与有形产品组织过程的比较
人工智能属于软件和无形产品范畴,与硬件和有形产品相对应。通常而言,有形产品开发以集成者为中心而分工组织,集成商负责开发设计和定义需求,供应商负责提供符合要求的零部件,各供应商分工明确,职责清晰,相互独立,互不影响(或影响较小)。软件产品开发则呈现不同样态。自20世纪70年代以来,“模块化”始终是软件开发的主流形态,大型软件系统通常被分解成更小的模块和组件,由不同人员负责开发,虽然各模块是分别和单独开发的,但模块之间却是相互依赖和影响的,这既包括直接衔接模块之间的接口对接,也包括相距遥远模块之间的远程连接。当一个模块需要调用另一个模块的功能、使用其数据或与之交互时,便形成了模块之间的依赖关系。软件模块间的依赖关系不限于程序编译时即可确定的静态依赖,还包括模块调用过程中产生或变动的动态依赖,包括同步调用、异步调用和回调等。现代软件是复杂连接、纵横交错的系统产品,每个参与者的工作都用于满足其他参与者的需求,各软件开发者本质上并非独立个体,必须置于整体功能和特定场景中理解其任务和职责。
软件产品与有形产品开发形态的区分生动展现了价值链与供应链的不同取向。有形产品开发体现了浓厚的供应链思维,强调专业分工,各司其职,提升效率,降低成本。软件开发则更多运用价值链思维,强调用户价值的共同创造以及参与者的相互依赖和协作。某种意义而言,传统产品法就是供应链思维的法律展现,我国《产品质量法》中的“产品”一般专指“有体物”,不包含纯粹的软件,产品管理法以“生产者”为中心展开,生产者负有供应链管理的法律义务,并对集成后的产品质量负责;产品的流通则由“销售者”负责,包括建立和执行必要的进货查验制度等,“运输者”“仓储者”等亦需对产品的运输、仓储等环节担负品质管理义务。这是一种供应链思维指导的以有形产品生产、销售、运输、仓储等各流程为依托的分工分段型管理架构。其他国家或地区的产品管理法也是类似的框架和思路。但是,当我们转向软件产品时,直接套用有形产品的规制范式可能存在障碍。软件产品的参与主体不同于硬件,前者通常并无单独的运输和仓储环节,主要通过授权下载或远程访问等方式交付,可以低成本、无延时的复制传播。软件的生产和销售过程往往高度重合,除分销渠道外,主体身份也高度同一。由此产生的诸如软件生产者和集成过程的界定、软件的组件管理、不同参与者任务
和职责的划定,以及模块供应者之间的相互影响如何协调等问题,简单套用硬件产品的管理逻辑不可避免地造成各种冲突,这也是各国立法者对待软件“产品化”问题犹疑不决的重要原因。从供应链思维转向价值链思维,意味着立法理念和规制逻辑的更新,也预示着制度架构的全面调整。
2.人工智能与传统软件组织过程的比较
人工智能不同于传统软件。广义而言,人工智能就是模拟人类智能所有方面的机器,只要它们可以精确描述。通用模型也属于深度学习范畴下的大规模计算系统。狭义而言,人工智能主要指称机器学习,而排除传统规则型算法,这也是立法论的概念界定。机器学习虽是人工智能的子集,但却为人工智能的核心领域,当前两者对于医疗器械而言含义基本相同,故我国《人工智能医疗器械注册审查指导原则》从医疗器械安全有效性评价角度出发对两者不做严格区分,统一采用人工智能进行表述。本文亦采狭义概念。
人工智能与传统软件的第一个重大区别在于驱动因素。传统软件的驱动因素为单一的算法(代码),人工智能则由算法和数据双轮驱动,数据要素愈发重要。机器学习意味着数字系统不再需要完全编程,而可通过后续的数据投喂不断学习和成长,编程人员不再需要预先知晓系统运行的所有可能状态,系统行为也不再完全由编程人员预先设定。训练数据量和参数量成为影响通用模型性能的关键要素,模型性能表现与规模强相关,与算法弱相关,模型越大,性能越好,单纯增加训练数据量和参数量即可提升模型性能,且暂未见其瓶颈。训练方式也会影响模型性能,例如,基于人类反馈的强化学习可以训练模型与人类价值观对齐,ChatGPT即在GPT-3.5之上经由基于人类反馈的强化学习实现了优异表现,DeepSeek-R1-Zero则通过纯粹的强化学习获得了媲美甚至超越OpenAI o1的推理能力,但究其本质,训练方式属于算法和数据的融合形态,并未超出算法与数据的二元结构。
由此,人工智能的组织过程更加多元杂糅,数据作为重要驱动要素贯穿始终。数据供给主体多元、方式便捷,模型和系统开发者可以供给数据,系统部署者和使用者亦可提供反馈数据,反哺模型和系统。人工智能正愈发围绕数据而组织,数据流连接起不同的组织和人员,各参与者共同工作,通过各自行动支持或促进他人的行动,并产生特定的结果,虽然各参与者可能并不知晓其他参与者的工作乃至存在,也未有意识的决定共同努力的结果,但每个人都依赖于其他人所做的事情,个人角色取决于整体行动。人工智能价值链以数据要素为纽带将不同环节参与者整合为水乳交融的共同体,这客观上要求法律规制尊重数据要素的现实影响,体现参与者整体协同的组织过程。
源于数据驱动,人工智能与传统软件的第二个重大区别在于动静属性。一般而言,传统软件是静止不变的,相同输入在不同时点将获得相同输出,除非开发者进行代码更新,软件运行前后一致,但人工智能始终处于学习和变化之中,“此一时,彼一时”,持续学习构成了人工智能的重大特色和优势。上下游参与者以数据为媒介,与模型和系统连接互动,持续产生影响,用户亦成为事实上的开发者。各参与者的数据供给成为人工智能组织过程的重要变量,“智能体”即数据驱动、全域协同、持续进化的开放系统。这便要求立法设计贯穿人工智能的全生命周期,体现不同周期的风险特性并予以针对性规制,注重软件更新的适应性调整,精准界定算法驱动型更新和数据驱动型更新、重大更新
和轻微更新,以契合人工智能的运行特性。
数据驱动和动态演化共同导致了人工智能的第三个重大不同:不透明性。一般而言,传统软件透明可控,因其规则由人类预先设计并运行,但人工智能是数据而非规则驱动,是一个技术“黑箱”,即使是编程人员亦无法完全理解其决策逻辑。动态演化进一步加剧了不透明性,人工智能并非按照预先设定的规则重复演算,而是根据既往运算经验不断调整运算规则。通用模型引入后,数据和参数规模几何量级增加,训练数据集(如自然语言、图像、视频、语音等)以高度异质化的方式分布,模型输出呈现高度的不确定性,提示中的微小变化可能引发模型输出的重大改变,加之不时迸发的“智能涌现”,人类尚无科学理论解释模型行为。人工智能的组织过程具有浓厚的不透明性,对厘清功能定位、追溯行为责任造成很大障碍,这要求立法者充分回应技术“黑箱”的风险影响,通过制度设计达成发展和安全的最佳平衡。
(三)
人工智能价值链的规制理念
人工智能价值链的特殊构造为有效法律规制指明方向。人工智能价值链的法律塑造应当贯彻三大核心理念。
第一,协作规制理念。人工智能价值链是一个相互依赖、紧密连接的有机整体,只有充分协作,才能有效管理风险。人工智能价值链由算法和数据双轮驱动,具有双向互动性,不但上游开发者能够影响下游用户,下游用户也在时刻影响和塑造模型和系统,因而,协作规制应当秉持双向贯通原则,构建上下流动的反馈循环。协作规制应当围绕两大主题展开:信息共享和行为协助。其一,信息共享是行为协助的前提。只有保证重要信息的及时、充分共享,才能采取有效行动。部分法律文件已经充分认识到信息共享的重要性,欧盟《AI法案》明确规定,通用模型提供者“应当预见适度的透明度措施,包括起草和不断更新文件,以及提供有关通用人工智能模型的信息,供下游提供者使用”,欧盟为此构建了统一的官方数据库,通用模型和高风险人工智能系统应当在数据库中登记,共享关键信息。模型卡和数据表是欧盟《AI法案》明文规定的信息共享工具。同时,欧盟《AI法案》还建立了自下而上的严重事件报告制度,当发生法定严重事件时,部署者等应当及时向上游提供者报告,并配合开展必要的调查和纠正行动。其二,行为协作是信息共享的目标和延伸。只有各方有序协作,良性互动,才能构建完整、稳健和可持续的人工智能价值链。欧盟《AI法案》多次提及“行为协作”,序言部分指出,“具有系统性风险的通用目的人工智能模型的提供者应当持续评估和降低系统性风险,并与整个人工智能价值链的相关参与者合作”,“人工智能委员会可制定并建议高风险人工智能系统提供者与其他第三方之间的自愿示范合同条款,以促进价值链上的合作”;正文部分指出,“当高风险人工智能系统存在危害人的健康或安全或基本权利的风险时,提供者应立即与报告风险的部署者合作调查原因,并采取相应的纠正行动”,等等。协作义务是广泛且场景化的,除设定特定场景的协作义务外,仍有必要规定行为协作的基本原则,以弥补具体规定的不足。应当指出,信息共享
和行为协助并非新鲜事物,属于最基本的风险规制工具,其他如个人信息处理、行政许可和处罚、合同管理等领域均有相应的制度体现,但像人工智能法这般视之为理论基石并贯穿始终者并不多见。人工智能场景下的共享与协作是双向互动和跨越层级的,遍布模型和系统的提供者、部署者和使用者,关注个人用户对人工智能组织过程的影响和义务,这充分体现了价值链思维的独特性及其对规制逻辑的深刻影响。
第二,全生命周期规制理念。人工智能价值链具有鲜明的生命周期属性,由规划设计、数据处理、模型构建、验证部署和操作监控等多个阶段构成,每一阶段均会对组织过程产生重大影响,并时刻处于动态演进之中,这便要求充分贯彻全生命周期规制理念。经济合作与发展组织(OECD)发布的报告《推进人工智能的问责:治理和管理可信人工智能全生命周期的风险》明确将“治理和管理可信人工智能全生命周期的风险”作为监管目标和路径,并提出了不同阶段的规制策略和建议。欧盟《AI法案》主张人工智能的“风险管理是一个连续的迭代的过程,应当在其整个生命周期进行规划和运行”。我国《人工智能医疗器械注册审查指导原则》明确将“全生命周期质控”作为人工智能医疗器械注册审查的基本原则,并明确划分出需求分析、数据收集、算法设计、验证确认和更新控制五个阶段,细致规定了每一阶段的风险事项和审查重点,这是重要的理念更新。人工智能的不同生命阶段具有不同的风险属性,应当配以不同的监管工具。依据适用阶段的不同,各国规定的人工智能监管工具大致可以划分为三类:上市前预防类、风险评估缓解类和上市后管理类。预防类工具主要包括禁令和许可等,禁令的典型代表是欧盟《AI法案》第5条所规定的“禁止的人工智能实践”,许可则在医疗AI、自动驾驶等领域普遍存在。风险评估缓解类工具主要体现为上市时的各类评估制度,例如欧盟《AI法案》第8条为高风险人工智能系统所设定的“合格评估制度”,这本质上是一项认证机制,而非行政许可,包括自我认证和第三方认证,提供者应于系统投放时进行充分的合格性评估。上市后管理类工具主要指产品投入市场后的监管机制,主要包括上市后监控、不良事件报告和处理、召回等。欧盟《AI法案》规定了多种上市后监管工具,如严重事件报告和召回等。全周期覆盖应当成为人工智能规制的基本理念,各国可以根据技术应用的不同领域和阶段选用不同性质和强度的监管工具组合。
全生命周期规制理念还包含着对人工智能运动特性的法律回应,承认数据要素的地位提升和现实影响,科学、适度调整软件更新制度。一般认为,人工智能软件更新可分为算法驱动型更新和数据驱动型更新。其中,算法驱动型更新是指人工智能软件所用算法、算法结构、算法流程、算法编程框架、输入输出数据类型等发生改变,通常属于重大软件更新。此外,算法重新训练即弃用原有训练数据而采用全新训练数据进行算法训练,亦属于算法驱动型更新。数据驱动型更新是指仅由训练数据量增加而发生的算法更新,包括后端使用数据的持续反馈所引发的更新。数据驱动型更新是人工智能价值链的独特形态。数据驱动型更新是否属于重大软件更新,原则上以算法性能评估结果(基于相同的测试集和算法性能评估指标)为准,算法性能评估结果若发生显著性改变则属于重大软件更新,即算法性能评估结果与前次评估相比存在统计学差异,反之属于轻微软件更新。轻微软件更新,无需再次评估和认证,通过现有的质量管理体系控制即可,如果构成重大软件更新,则应再次评估和认证,防止风险属性的根本改变或者产生不可容忍的新风险。人工智能价值链赋予全生命周期规制理念以独特含义和使命,这亦反向推动了人工智能组织过程的安全、稳定和可信。
第三,集中明确规制理念。责任感的严重错位已在人工智能的组织实践中被反复证实。有研究团队对27位人工智能从业者进行了深度访谈,受访者来自北美、亚洲、欧洲和非洲等地,雇主包括超大型跨国公司、小型初创公司、大学和科研机构等,身份角色包括机器学习工程师、研究科学家、系统集成商和项目经理等,访谈结果揭露出令人震惊的责任感错配现象,受访者讲述了他们正越来越多的被要求解释AI系统可能造成的危害,但他们认为这超出其机构、能力或责任范围。在责任感中,对伤害的承认是一致的,但另一个人的工作却是要解决的,责任者几乎总是在更广泛的生态系统中的另一个位置,在自己的直接团队之外,更重要的是,所有受访者看上去更像是在陈述事实,而不是在为自己开脱。人工智能价值链的特殊构造导致了身份和职责分配的模糊,这成为人工智能有效监管的主要障碍。由此,笔者提出集中明确规制理念,以破解难题。它有三层含义:(1)明确中心节点,选定全流程负责人,由其集中、全面管控风险,并与各阶段负责人沟通协作、厘清职责(以法定或约定的方式);(2)各阶段负责人重点管理阶段内风险,并按照全流程负责人的指示和要求协助管理溢出风险;
(3)全流程负责人应当对各阶段负责人进行监督检查,并推进风险管理体系的整合。集中明确规制本质上是一种双重责任架构,即全流程责任叠加各阶段责任,从而建构起以全流程负责人为中心的角色清晰、职责分明、体系周延的规制体系。
集中明确规制理念的提出并非空中楼阁,其灵感来自药品管理领域的上市许可持有人(Marketing Authorization Holder,简称MAH)制度。所谓MAH制度,是指拥有药品技术的药品研发机构、科研人员、药品生产企业等主体,提出药品上市许可申请、获得药品上市许可批件并对药品质量在其整个生命周期内承担主要责任的制度。MAH制度是欧盟、日本等国家或地区普遍采行的制度,我国于2019年修订《药品管理法》时引入该制度。MAH制度的改革初衷在于改变原先药品管理各管一段、权责不清的弊病,以“上市许可持有人”为龙头,构建权责清晰、体系严密的监管架构。MAH制度的特色和基础在于双重责任架构,MAH承担全流程责任,各阶段负责人承担阶段内责任。同时,MAH对各阶段负责人负有监督检查职责,负有推动管理体系整合协同的义务。事实证明,MAH制度改革达到了预期目标,不但有效祛除了职责不清、相互推诿等行业痼疾,而且有力推动了药品创新,绝非安全与创新的零和博弈。这对于面临类似困境的AI监管具有重要的启示意义,尤其考虑到,人工智能价值链错综杂糅、动态演化且不透明的特性,集中明确规制将有更大的发挥空间和适应性。但是,集中明确规制理念在人工智能立法中并未得到充分重视。以欧盟《AI法案》为例,它虽将人工智能系统提供者列为规制重心,并设置了广泛义务(包括合格评估、风险管理、数据治理、信息共享等),但主要局限于开发设计阶段,并未覆盖全流程,法案也未明确规定提供者对其他下游主体的监督检查和体系整合义务,并未超越传统分段规制范式,属于“以提供者为重心”的分段规制架构,尽管提供者在特定场景下被课以少量的阶段外义务。我国《生成式人工智能服务管理暂行办法》也属于分段治理架构,以“技术支持者—服务提供者—内容生产者”为义务主体建构轮廓,以“生成式人工智能服务提供者”为规制重心。
三、人工智能价值链的制度建构
基于人工智能价值链的法律意涵和规制理念,我们将进一步探索合乎立法目标的制度建构方
案。其建构过程主要包含三个步骤,即提炼法律身份、选定中心节点和分配法律义务,三者逻辑清晰、前后衔接,共同构筑人工智能价值链的全景制度。
(一)
提炼法律身份
提炼法律身份是制度建构的先导步骤,法律身份的科学塑造是法律义务公平分配的前提。法律身份的提炼以何为据呢?笔者认为应当遵循两条核心准绳:其一,体现人工智能开发运行中价值创造和利益分享的主要节点,此一节点应揭示人工智能价值链的特殊构造,围绕数据和算法的二元结构展开;其二,体现人工智能开发运行中风险制造和管理的主要节点,此一节点应展现人工智能价值链的风险特性,展示控制与依赖、多元要素输送的关键特性。从现行法看,我国《生成式人工智能服务管理暂行办法》规定了两类主体,即“生成式人工智能服务提供者”和“生成式人工智能服务使用者”,前者“是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人”,后者“是指使用生成式人工智能服务生成内容的组织、个人”。我国似乎缺失了对“生成式人工智能模型提供者”的界定和规制,这也符合我国网络信息领域一直秉持的“技术支持者—服务提供者—内容生产者”的监管范式,服务提供者是重点监管对象,内容生产者是一般监管对象,技术支持者很少受到硬性约束,主要适用软性的伦理规范,生成式人工智能模型提供者为终端应用系统提供底层技术支持,属于“技术支持者”范畴。反观部分条款,如第4、7、14条,立法者似乎又默认生成式人工智能模型提供者与服务提供者的身份绑定,不可分离,但这明显有悖于技术开发和应用的现实。“生成式人工智能服务使用者”的概念界定也过于宽泛,涵盖普通用户和职业用户,很难形成公平合理的统一规则。我国人工智能立法尚处于早期探索阶段,法律身份的提炼未臻完善。
欧盟《AI法案》的制定经过了长期辩论和反复调整,最终确定的法律身份具有较高的合理性和代表性,鉴于数字立法的“布鲁塞尔效应”,本文选择以欧盟方案为参照,结合前述原则和理念,提炼法律身份,阐释法律理由,并对我国的制度现状进行必要评述。欧盟《AI法案》主要提炼了九种法律身份:通用模型提供者、应用系统提供者、应用系统部署者、受影响者、授权代表、进口者、分销者、经营者、下游提供者。其中,前四种法律身份属于全场景法律身份,而“授权代表”“进口者”和“分销者”属于特定场景的特殊法律身份,“经营者”则是“提供者、产品制造者、部署者、授权代表、进口者或分销者”的统称,属于集合型概念,“下游提供者”则是为彰显模型与系统的上下游关系而创设的特殊概念,属于“应用系统提供者”的子概念。因此,人工智能价值链的组织骨架主要由四种全场景法律身份所搭建。
1.通用模型提供者评释
通用模型提供者即最初创建(预训练)通用模型并将其投放市场的实体,欧盟《AI法案》将其界定为“开发通用模型,或已开发通用模型,并将其投放市场或以自己的名义或商标提供服务的自然人或法人、公共机关、机构或其他团体,无论有偿还是无偿”。通用模型提供者位于人工智能价值链的顶端,构成一系列下游应用的基础,属于智能生态的关键节点。通用模型提供者是数据和代码的最重要贡献者,它设计了模型的算法架构,并以大量数据开展预训练,由此塑造了模型的基本形态和性能边界。通用模型提供者既是价值的创造者,也是利益的分享者,尤以非开源模型为典型。此外,通用模型提供者也是生态风险的主要制造者之一,数据及代码瑕疵将广泛、直接和快速的传导至下游系统,从而可能引发“遗传性”和“系统性”风险。人工智能风险的源头管理极其重要,鉴于上下游参与者的控制依赖关系,以及风险防控的实际能力和效果,通用模型提供者显然构成风险管理的重要节点。值得
一提的是,欧盟《AI法案》最初并未将通用模型提供者纳入规制框架,因为通用模型具有广泛的目的(无明确目的),不与终端用户直接连接,这超出了传统的“基于风险和目的”的规制架构,但最终获批版本不但明确将其纳入,而且为“具有系统性风险”的通用模型提供者设定了广泛的义务,这反映了立法认知的深化和多方利益的博弈。我国目前对通用模型的规制首先出现在医疗领域,国家药品监督管理局2024年发布的《人工智能医疗器械质量要求和评价第5部分:预训练模型》(YY/T1833.5-2024,2025年10月实施)首次明确提出了对通用模型的评价要求,尝试将审评范围向上延展至模型层,但它只是推荐性行业标准,缺乏法律强制力。明确通用模型提供者的法律地位是我国人工智能法制建设的当务之急。
2.应用系统提供者评释
应用系统提供者即创建应用系统并将其投放市场的实体,欧盟《AI法案》将其界定为“开发人工智能系统,或已开发人工智能系统,并将其投放市场或以自己的名义或商标提供服务的自然人或法人、公共机关、机构或其他团体,无论有偿还是无偿”。应用系统提供者既可基于通用模型进行衍生开发,也可单独开发,本文主要讨论前者。应用系统和通用模型提供者的主体可能发生分离,例如,视觉中国(网络数字版权公司)、秘塔搜索(AI搜索公司)、奇安信(网络安全公司)等已将DeepSeek-R1模型整合进各自的应用系统和产品。应用系统提供者以特定场景为导向进行定制开发,直接回应终端用户需求,是重要的价值创造者,作为一项中介资产,通用模型自身并不提供任何价值,只有通过下游调整和改造才能满足用户需求。应用系统提供者也是仅次于通用模型提供者的数据和代码贡献者,基于特定场景,应用系统提供者需要进行适当的后续开发,添加更多的代码组件(包括但不限于用户界面),并利用额外的场景数据对模型进行优化训练,强化和突出特定功能。此外,应用系统提供者还是特定应用场景的风险制造和管理节点,一方面,它所提供的代码和数据对系统品质具有直接影响;另一方面,它与部署者距离较近,互动较多,并具有丰富的专业知识和控制手段,能够通过各种措施管理风险。我国目前人工智能的法律规制主要指向应用系统提供者,《生成式人工智能服务管理暂行办法》所界定的“生成式人工智能服务提供者”、《互联网信息服务深度合成管理规定》所界定的“深度合成服务提供者”、《互联网信息服务算法推荐管理规定》所规定的“算法推荐服务提供者”和《人工智能医疗器械注册审查指导原则》所规定的“人工智能医疗器械注册人”等基本属于“应用系统提供者”的范畴。
3.应用系统部署者评释
应用系统部署者是将应用系统部署至实际场景的实体,欧盟《AI法案》将其界定为“在其授权下使用人工智能系统的任何自然人或法人、公共机关、机构或其他团体,但在个人非职业活动中使用人工智能系统的情况除外”。也就是说,应用系统部署者是在职业活动中部署和使用人工智能系统的实体。职业用户是以职业目的使用人工智能系统的个体,而非职业用户则是业余使用人工智能系统的个体。职业用户属于“部署者”范畴,负有明确清晰的义务,而非职业用户则被划归“受影响者”。欧盟《AI法案》最初并未使用“部署者”的概念,而以“用户”指称,并进一步将“用户”划分为“职业用户”和“非职业用户”,赋予其不同的法律地位。这似乎“混淆了将人工智能系统投入运行的实体与实际操作使用系统的个体之间的差别,容易引发不必要的误解”,因此,拟议谈判版本(2023年6月)将“用户”统一修改为“部署者”,并将“职业用户”纳入“部署者”范畴。应用系统部署者既是人工智能技术的直接受益人,系统部署有助于提升其运营效率和质量,也是价值创造的主要评定人,只有为部署者带
来实际效用的资源投入才是真正的价值创造。部署者的部署和使用也会反馈丰富的应用数据,反向影响模型和系统,尤其对于定制化系统的部署者,影响更为显著。此外,应用系统部署者也构成风险制造和管理的重要节点,“虽然与人工智能系统有关的风险可能来自此类系统的设计方式,但也可能来自系统的使用方式,高风险人工智能系统的部署者在确保基本权利得到保护方面起着至关重要的作用,是对提供者在开发人工智能系统时所承担义务的补充”。依据法律规定和提供者指示(说明书)合理使用人工智能系统是部署者的基本义务,部署者是最了解、最容易识别运行风险的实体,它深入使用场景,与受影响者(尤其是各类弱势群体)直接接触,在向自然人提供必要信息以保障基本权利方面发挥着关键作用,部署者应当告知自然人享有知情同意、获得解释等法定权利。我国现行法并未采用“部署者”的概念,而以“使用者”“用户”指称,例如,《生成式人工智能服务管理暂行办法》中的“生成式人工智能服务使用者”、《互联网信息服务深度合成管理规定》中的“深度合成服务使用者”、《互联网信息服务算法推荐管理规定》中的“用户”、《人工智能医疗器械注册审查指导原则》中的“用户”,但并未进一步区分职业用户和非职业用户,这种形式化的一体纳入可能损害实质公平。
4.受影响者评释
欧盟《AI法案》(拟议谈判版)第3条曾将“受影响者”明确界定为“受人工智能系统影响的任何自然人或群体”,但最终批准版删去了“受影响者”的定义项,但序言及正文中沿用了此概念。这一变化的原因可能在于,“受影响者”的构词简单明确,无需进一步解释;“受影响者”是受保护对象和权利主体,将其与“提供者”“部署者”等受规制对象并列,可能产生不合理的联想。本文沿用“受影响者”的原初定义。结合法案文本及基本法理,“受影响者”包括两部分群体:非职业用户和处于被动接收端的接收者。就本质而言,非职业用户属于人工智能系统的使用者,但在使用场景和用途、个人能力和条件以及对其他主体的影响方面,与职业用户有显著差别,而与单纯接收者的地位更为接近,宜划归重点保护对象,欧盟《AI法案》亦将其纳入“受影响者”范畴。根据学者的描述,“接收者”处于管道的被动接收端,是被影响和支配的弱势者,需要法律的特别保护,现实世界的典型例子包括新闻阅读者、生日贺卡接收者以及接受人工智能系统辅助诊疗的患者等。受影响者是人工智能法的重点保护对象和权利的主要享有者,但笔者认为,受影响者也是人工智能价值链的重要参与者,是维持人工智能生态有序运转的重要节点,应当负载相应的义务。处于下游的受影响者通过数据反馈实际参与模型和系统的演化,上游开发者所建立的终端用户评级系统实时接收终端使用数据,据此优化和改进模型,无论非职业用户还是纯粹的接收者(如患者),均以自身行为参与人工智能生态的构建和演进。因此,受影响者不但是立法保护对象,也是风险制造和管理节点,实践已反复证明,终端用户的虚假乃至恶意反馈,包括但不限于对抗性攻击、数据投毒、模型投毒、模型规避,会对模型和系统产生不容忽视的影响,诱发种族主义、性别歧视、色情暴力等严重问题。受影响者的诚实反馈(如患者的诊疗反馈)、及时报告和投诉举报也会持续推进模型和系统的正向演化。我国没有单独的“受影响者”概念,而由“使用者”“用户”等概念直接涵摄。例如,《生成式人工智能服务管理暂行办法》中的“生成式人工智能服务使用者”并未限定使用的目的和场景,既可以是职业用户,也可以是普通用户。《人工智能医疗器械注册审查指导原则》的规定则更为明确,“用户”包含了“医务人员、患者”等群体。
(二)
选定中心节点
选定中心节点是制度建构的关键步骤,科学选定中心节点是人工智能价值链法律型塑的重中之重。全景观之,人工智能价值链是以通用模型为底座、以应用系统为依托、面向不同场景和任务、不断向外延展的丰富生态,此一生态共包含两个中心节点,即通用模型提供者和应用系统提供者,分别位于网络和链条的中心,可谓之“网管”和“链主”。两者虽同属中心节点,但功能定位有所不同,应当合理分工、有序协作,共同构建公平、稳定和可持续的生态体系。
1.中心节点的选定逻辑
中心节点的选定以何为据呢?这仍应回归价值创造和风险管理的核心逻辑。我们首先探讨通用模型提供者的功能定位。通用模型提供者驻守网络中心、编制算法框架、贡献基础数据、奠定模型性能,既是价值泉源,亦是风险聚落。通用模型之“通用性”,一方面意味着效率和能力的普遍提升,另一方面意味着模型缺陷的普遍传导和继承。通用模型正日趋同质化,几乎所有最先进的自然语言处理模型都改编自少数几个经典模型,如BERT、GPT、LLaMA,模型风险由此进一步放大。通用模型愈发具有基础设施属性,逐步成为支撑社会数字化转型的新型基础设施。同时,通用模型提供者也是利益分享和风险管理的关键节点,模型发布的不同方式深刻影响着利益分配的格局。在非开源生态下,通用模型提供者攫取了利益的最大份额,具备强大的控制力,并逐步走向自然垄断,基于算力、数据和算法的独占优势,通用模型市场最终将演化为类似传统互联网领域(如搜索、社交、电子商务等)的寡头垄断格局,具有系统重要性的实体(如微软、谷歌、OpenAI)正利用定制的高级计算资源和专业知识、代表真实世界部署和用例的大量数据,以及跨人工智能和非人工智能客户群的规模经济,塑造智能生态,控制下游行动。开源生态具有一定的特殊性,开源通用模型以公开和免费的方式对外发布,模型源代码、参数等技术文档上传至公开的存储库,允许任何人根据许可条款下载、修改和分发,典型如深度求索公司的DeepSeek系列模型、Meta公司的LLaMA系列模型。开源发布意味着通用模型开发者失去了对下游使用的控制,下游用户可以自由访问、使用、修改和分发模型,可以自主决定模型的用途,可以利用额外数据训练和修改模型,还可以在特定场景中自主提供风险和质量管理。开源模型缺乏充分的护栏保护,容易导致技术的滥用,优质的开源模型天然具备快速的传播力和广泛的影响力,例如,DeepSeek-R1模型在极短的时间内席卷全球,被整合进各类应用系统,成为下游开发者的普遍选择,全面而深刻的影响着人类的生产生活,就此而言,开源模型提供者理应承担与之地位和影响力相称的生态维护义务。总之,通用模型提供者位处中心节点,应当担负关键职责,实现要素匹配。
依托于通用模型,应用系统提供者以场景为依归,开发适于特定目的的应用系统,由此成为场景任务管理的中心节点。它是具体产品的开发者,通过产品分发获取利益,它亦是真正的行业专家,以专业知识解决行业问题,并与部署者、受影响者等直接互动。相较于通用模型提供者,无论能力或意愿,应用系统提供者均是无可争议的“链主”。以制药行业为例,人工智能技术已广泛赋能药物设计、靶点发现、临床试验等主要环节,但由于极高的行业壁垒,通用模型提供者通常仅提供基础能力,而
由专业制药公司依托自有知识和数据定制开发面向行业的人工智能系统,主要由后者开展风险管理以满足监管要求。因此,面向特定场景的系统开发、部署和运营,应用系统提供者处于最佳位置,应视其为“中心节点”,担负全面义务。
2.中心节点的义务导向
虽同属中心节点,但通用模型和应用系统提供者具有不同的义务导向,不可等同视之。
第一,通用模型提供者的义务导向是智能生态的一般安全,没有特定的目的和场景,属于抽象性义务,通用模型提供者应当对模型品质承担一般保证义务,持续监测生态运转,修复模型缺陷,维护生态安全。通用模型提供者的义务重心在于内在评价,即专注评估通用模型的内在品质,不设想具体的下游任务,聚焦于模型架构的科学性、数据治理的有效性、训练方法的适当性、开发组织的合规性、开发人员的多样性、代表性和开发流程的规范性等一般事项。这是科学合理的法律设定。作为一项没有明确用途的中介资产,构建基于通用模型的全面风险管理体系几乎不可能,它将迫使模型开发者识别和分析由其衍生的所有可能应用程式的运行风险,制定和实施所有风险的缓解策略,并开展所有预期场景的准确性、稳健性和网络安全性测试,整个分析必须基于抽象的假设性调查,并结合再次假设的风险缓解措施和性能测试,这不仅成本高昂,而且完全不可行。欧盟《AI法案》对通用模型提供者的义务设定具有类似取向,例如,通用模型提供者主要承担抽象性的风险管理义务,包括透明度义务(即编制和更新技术文件信息)、模型评估义务和软硬件安全防护义务等,不对特定场景的具体风险负责。相反,美国加利福尼亚州《前沿人工智能模型安全可靠创新法案》的失败在很大程度上可归因于对通用模型提供者的过度苛责,模型开发者不但被要求采取全面的风险减缓措施,而且需要对具体应用场景的系统损害承担繁重的民事责任,包括民事罚款、损害赔偿和惩罚性赔偿等。
第二,应用系统提供者的义务导向是特定应用场景的具体安全,属于具象性义务,应用系统提供者应当对系统品质承担具体保证义务,持续监测系统运行,建立有效的风险管理体系,维护场景应用安全。应用系统提供者的义务重心在于外在评价,即专注于应用系统在特定场景中的性能表现,主要从预期用途、使用场景、核心功能等维度构建评价体系,重点规制措施为合格性评估(认证性)或注册审评(许可性),应用系统提供者的义务设定类似于药品管理领域的MAH,是集中明确规制理念的主要承载者,其义务包含两大部分:一为阶段性义务,包括合格性评估、数据治理、信息共享和行为协助等,二为超越阶段的全流程义务,主要是对其他主体的持续监督和体系整合义务。
(三)
分配法律义务
分配法律义务是制度建构的最终步骤,公平分配法律义务是实现规制目标的现实依托。限于篇幅和主题,本文无意展开细致的微观评述,仅就各主体的义务框架进行探讨,描绘制度建构的蓝图。
1.通用模型提供者的主要义务
依托功能定位和义务导向的建构逻辑,通用模型提供者主要担负四项关键义务。
第一,模型评估和品质保证义务。通用模型提供者应当采取必要措施,保证算法设计、数据集构建以及模型训练的科学性和公平性。此一义务应定位为过程性义务,即采取符合要求的保障措施提升模型品质,并与现有技术发展水平相适应。通用模型提供者还应开展持续性评估,根据风险监测信息,不断改进模型。欧盟《AI法案》拟议谈判版本曾经全面详细的规定了通用模型提供者的各项义务,
包括适当设计、测试和分析、数据治理、维持适当性能、可预测性、可解释性、可纠正性等,但最终批准版本未予保留,仅使用了“模型评估”“评估和减轻风险”等概略性表述。应当说,模型评估和品质保证义务具有充分的理论和现实基础。一方面,通用模型提供者处于人工智能价值链的中心节点,负有保障智能生态源流安全的天然职责;另一方面,通用模型提供者也是唯一具有技术和资源实力开展模型评估的实体,其可借助标准化量表在模型设计、训练、微调和运行的全流程进行测评和改进。
第二,信息共享和行为协助义务。通用模型提供者应在尊重和保护知识产权的前提下,通过模型卡、数据表等适当方式共享模型重要信息,以使下游参与者清晰理解模型的能力及局限。这是实现可信人工智能的制度保障。鉴于所处位置和能力资源,通用模型提供者应当成为协作规制的关键支点,协助事项应限于模型共性问题。通用模型提供者掌握着模型设计和运行的全面信息,这些信息是下游系统开发、部署和使用的基本前提,信息共享和行为协助属于通用模型提供者的基本义务。欧盟《AI法案》一度将通用模型排除规制范围,但也例外要求通用模型提供者协助提供“必要、相关和合理预期的信息”。这是我国目前最为欠缺的规范领域,应当及时补足,以提升人工智能价值链的运行效率和安全性。
第三,网络安全防护义务。根据欧盟《AI法案》的表述,“网络安全在确保人工智能模型和系统具有抵御恶意第三方利用系统漏洞改变其使用、行为、性能或破坏其安全属性的能力方面发挥着至关重要的作用”,“在整个模型生命周期内,提供者应当酌情确保对模型及其物理基础设施提供适当水平的网络安全保护”。智能安全已经成为我国国家安全的重要组成部分,通用模型基本符合我国《关键信息基础设施安全保护条例》所界定的“关键信息基础设施”,《生成式人工智能服务管理暂行办法》也设置了专门的网络信息安全条款,但应进一步涵盖通用模型提供者。
第四,价值观塑造和传递义务。作为智能化内容生产平台的供给者,通用模型提供者扮演着“守门人”角色,是国家开展网络信息内容治理的重要合作者。我国历来主张“网络信息内容生态治理”,强调多元主体参与,通用模型提供者处于关键生态位,应当在其能力范围内,通过必要的技术和制度措施,助力良好网络生态建设。除“违法信息”和“不良信息”外,我国创造性地提出了“有益信息”的法律概念,并为互联网新闻信息服务提供者等主体设定了明确的作为义务和法律责任,先进价值观正属于“有益信息”的范畴。《生成式人工智能服务管理暂行办法》第4条也包含有“价值观”条款,但应进一步涵盖通用模型提供者,并设定明确的责任条款。
应当指出,开源通用模型提供者具有一定的特殊性,模型开源是技术普惠的重要形式,DeepSeek常被科学界冠以“技术民主化先锋”的美誉,因而有必要适度减免开源模型提供者的法律义务,例如,可考虑适度降低开源模型提供者的模型评估和品质保证的义务标准;豁免信息更新和行为协助义务,毕竟下游开发者可能数量众多,且遍布世界各地和各行各业等。当然,此处之“减免”只是“适度的减免”,而非“完全的豁免”。更重要的则在于国家的权利赋予和资源支持,国家应当给予针对性、多
维度和制度化的支持,包括但不限于:构建企业合规补贴制度、设立专项科研援助资金、建立政府采购优先通道,明确税收优惠政策等。
2.应用系统提供者的主要义务
鉴于高风险人工智能系统是各国立法规制的重点,本部分以其为例进行阐释。根据功能定位和义务导向的建构逻辑,应用系统提供者应当担负两类义务:阶段性义务和全流程义务,这是集中明确规制理念的制度实现。
就前者而言,应用系统提供者的具体义务包括:第一,评估认证或许可审批义务。应用系统提供者应当通过各种工具证明系统能够实现预期目的、处理特定任务并达到行业通常水准。欧盟《AI法案》规定的合格性评估制度以及各国对医疗AI、自动驾驶等设置的许可审批制度即属此类。我国《生成式人工智能服务管理暂行办法》《人工智能医疗器械注册审查指导原则》等均有相应规定。第二,品质担保义务。在模型微调和系统开发阶段,应用系统提供者应当确保系统适应特定任务、达到特定品质(结果性义务),履行具体的要素控制义务,包括数据治理、功能搭建、界面设计等。此一义务应定位为结果性义务,即通过各种方法及措施保证应用系统达到可合理预期的安全效用标准。我国《生成式人工智能服务管理暂行办法》第4、7、10、13条也对应用服务的品质要求、数据治理和功能设计等进行了相应规定。第三,信息共享和行为协助义务。应用系统提供者应当以应用场景和预期目的为指针,编制并不断更新技术文件,制作简明、完整、正确和清晰的使用说明书,以使部署者准确理解、合理使用智能系统。与应用系统相关的重要信息(如系统特点、能力限制、修改情况和人工监督要求等)应当及时、充分共享。当系统运行已经或可能危及安全、健康等重要利益时,应用系统提供者应当提供行为协助,与部署者密切合作,调查原因并采取纠正行动。
就后者而言,应用系统提供者的具体义务主要有二:第一,风险监测和管理义务。应用系统提供者应当建立全面的风险监测系统,包括后市场监测及不良事件报告机制,以实现风险监测的闭环。在此基础上,应用系统提供者应当积极担负“链主”责任,建立完善的风险管理体系,根据风险状况变化,采取适当的风险管理措施。风险管理是一个持续迭代的过程,应当定期审查、更新。我国已在人工智能医疗器械领域构建起全面的风险监测和管理体系,但其他领域暂未建立类似体系,需要逐步扩展和完善。第二,监督检查及体系整合义务。应用系统提供者应当对部署者、进口者、分销者等其他下游主体开展持续的监督检查,并推进风险管理体系的整合。这是集中明确规制理念的重要体现,通过双重责任架构,构建以应用系统提供者为龙头、体系周延、分工明确的管理体系,以适应人工智能的组织特性。这是目前各国人工智能治理所缺失的重要环节,也是破解人工智能价值链多元杂糅、责任厘定困难的主要工具,我国应当在未来的人工智能立法中明确细致规定。
3.应用系统部署者的主要义务
本部分同样以高风险人工智能系统为例进行阐释。依托功能定位和义务导向的建构逻辑,应用系统部署者应当对系统的适当部署及合理使用负责,这是典型的阶段性义务。第一,合理使用义务。应用系统部署者应当按照说明书的要求进行部署和使用,不得超出预定目的和场景,这是其首要义务。“合理使用”还应包含对输入数据的必要控制,即确保输入数据与预设目的相关性,具有真实性和代表性,防止终端输入对系统或模型产生反向损害。欧盟《AI法案》第26条第4款对此亦有明文规定:“在不影响第1款和第2款的情况下,如果部署者对输入数据行使控制,则应确保输入数据与高风险人工智能系统的预期目的相关,并具有充分的代表性。”我国《生成式人工智能服务管理暂行办法》第9、10条涉及合理使用义务,但规定较为简单,且缺乏对输入数据的控制性规定。第二,监测、反馈及协助义务。应用系统部署者应当实时监测系统运行状况,并将重要信息(如不良事件、风险隐患等)及时反馈至上游,协助开展分析调查及纠正行动。我国《生成式人工智能服务管理暂行办法》仅规定了
投诉举报的权利和义务,暂无信息监测和反馈的明确规定,但人工智能医疗器械的“使用单位”(主要是医疗机构)负有明确的信息监测、反馈和协助义务。第三,人工监督义务。应用系统部署者应当指派合格人员监督系统运行,最大限度地减少滥用和风险事件,监督人员应当具备必要的能力,包括适当的知识、充分的培训和必需的权力。在高风险应用领域(如医疗、交通),我国始终强调人工智能系统的辅助定位,禁止无人工监督状态下的全自动运行。第四,权利保障义务。在保障受影响者的基本权利方面,应用系统部署者处于重要位置,后者应向前者告知人工智能系统的实际参与及现实影响,尤其当最终决策依赖智能化系统做出并将对个体产生法律影响或类似重大影响时,应当明确提示后者享有获取合理解释等权利。我国目前仅在《个人信息保护法》中有少量相关规定,但在专门的人工智能治理文件中鲜有明确规定,这也导致特定应用场景(如医疗)中,自然人(如患者)普遍处于无意识的被支配状态。
4.受影响者的主要义务
根据功能定位和义务导向的建构逻辑,受影响者既是权利的保障对象,亦应承担相应的义务,以实现风险管理闭环。受影响者,尤其是其中的非职业用户,应当担负特定的作为和不作为义务。第一,受影响者应当担负两项关键的作为义务:一是合理使用和真实反馈义务。非职业用户应当合理使用人工智能系统,按照预定目的输入指令,并确保指令的适当代表性。受影响者还应进行真实反馈,为系统优化提供可靠素材。二是及时报告和适当协助义务。当发生不良事件或具有风险隐患时,受影响者应当及时向上游主体报告,协助开展调查和纠正行动。第二,受影响者的不作为义务主要指向恶意攻击及滥用行为,受影响者不得对系统及模型进行恶意攻击(包括数据投毒、模型投毒等),不得利用人工智能从事非法或不当活动(如设计和制造生化武器、生成和传播虚假新闻等)。欧盟《AI法案》仅规定了受影响者的权利,而未明确设置义务。我国目前仅规定了“受影响者”的不作为义务(如《生成式人工智能服务管理暂行办法》第4条),暂无作为义务的明确规定,此种做法虽可在一定程度上防范恶意攻击和滥用,但无法主动推进模型和系统的改进、实现风险的早期识别和化解。
结语
人工智能价值链是人工智能法律建构的重要线索,从“供应链思维”转向“价值链思维”,应当成为人工智能立法的理论导向。人工智能价值链是一个整体协作、双轮驱动、动态发展和不透明的组织过程,这决定了人工智能的法律规制应当遵循协作规制、全生命周期规制和集中明确规制的核心理念。提炼法律身份、选定中心节点和分配法律义务是人工智能价值链的法律建构的基本步骤,三者逻辑清晰、前后衔接,有序搭建合乎立法目标的制度体系。人工智能技术仍在快速发展,人工智能价值链仍在持续演化,本文仅是初步的探讨,仍需结合实践发展,不断深化和丰富人工智能价值链的法学研究。
往期精彩回顾
马国洋|论“人工智能法”框架体系的多维动态模式
目录|《东方法学》2025年第2期
何勤华|论中华法律文化对东亚的影响
张韬略|谁有权获得POI数据上的权益
林艳祺|自愿披露隐私损害与侵权行为认定
姜漪|公共数据开发的边缘计算风险及其规制
上海市法学会官网
http://www.sls.org.cn
