人工智能法的理論體系與核心議題

陳吉棟

內容摘要：數字時代的法治圖景應以何種名目展開，存在計算法學、數據法學和人工智能法學等不同見解。可以確定的是，作為復雜性科學技術，人工智能的研發、生產和應用應遵循基本人類價值，為相關活動提供安全、可信、公平、可解釋性并保障主體權利等基本價值指引。傳統民法學所形成的精神主線為人工智能法提供了體系框架。在法律主體領域，元宇宙中的數字身份問題開始起步。如何認定數字身份的法律地位并構建可行的身份認證方案，仍待理論與實踐的融合探索。在法律行為領域，智能合約研究正從理論探索向應用分析轉變，知情同意規則呈現出持續沖突與初步調適的雙重面貌， 電子簽名效力規則亟待細化。在權利領域，新興權利進入勃興期，以解釋權為核心的算法權利研究進一步深入，有關數據權利的研究眾多卻未取得重大突破，加密正在成為一種權利，而信用權等權利的研究尚有不足。

關鍵詞：人工智能數字身份算法新興權利數據權利元宇宙

中圖分類號：DF0 文獻標識碼：A 文章編號：1674-4039-（2023）01-0062-78

2022年是人工智能法的重要年份。人工智能技術創新有了新進展，人工智能產業增添元宇宙等新賽道，自動駕駛等人工智能產品應用取得新突破，數據、算法和算力等基礎要素流通開始破局，國內外人工智能的專門立法開始出現。人工智能法學釋義學研究的序幕已經緩緩拉開。如何超越碎片化的技術表象，擺脫科幻化的應用猜想，認知技術及其應用的體系性，思考法律應對的整體框架，甄別人工智能法的理論體系與核心議題，啟發更有價值的學術討論，已成為理性且可欲的選擇。〔1$〕本文遵循傳統法學理論所形成的相對清晰的精神主線：法律主體通過法律行為創設權利義務，并為自己的行為可能引發的損害負法律責任，在當事人之間權利義務不明確、不周延時，以法律原則予以解釋，嘗試以此精神主線觀察人工智能法的學術成果，探析紛繁復雜的學術成果所呈現的新進展與舊問題。〔2$〕以此思考人工智能法的基本方法、理論框架和核心議題，描摹人工智能法的未來形態。

一、定名之爭：計算法學、數據法學抑或人工智能法學

為回應人工智能時代的法治需求，法學界出現了互聯網法學、信息法學、認知法學、人工智能法學、數據法學、計算法學、未來法學、數字法學等不同名目主張，在一定程度上出現了“群名競舞”的局面。

馬長山高舉“數字法學”的大旗。〔3"〕數字法學是新法科的重要學科，是以數字社會的法律現象及其規律性為研究內容的科學，是對數字社會的生產生活關系、行為規律和社會秩序的學理闡釋和理論表達，但數字法學并非現代法學的二級學科，而是其進階升級。〔4"〕

計算法學的討論走向深入。左衛民建議推進以實證研究方法為底色的計算法學學科建設，〔5"〕認為應抓住可供計算的法律數據特征，以統計學為根基的機器學習應成為法律計算的主要方式。左衛民所界定的計算法學基本是實證方法的進階版本， 大致與我國學界引入人工智能問題討論時的法律人工智能屬于一路，雖然其本人有意與后者劃清界限。〔6"〕相較計算法學的既有研究，左衛民所主張的計算法學范圍有所限縮。季衛東主張，在更為宏大的時空架構中定位計算法學，指出法教義學的推理與概念計算、科學技術指向的實驗與制度演算兩條基本思路。通過其以“法律數學”構想為背景和線索，對計算法學在通信技術時代分析，可以發現其發掘的五個主要維度：（1）基于統計和預測模型的計量法律學；（2） 法律推理電腦化和專家系統算法；（3） 法律信息學的大數據挖掘與機器學習；（4）對法律網絡結構的圖譜和矩陣演算；（5）包括數據倫理和算法公正在內的人工智能治理等交叉和相輔相成的關系。其中，最后這一維度反映了計算法學的超越性，揭示了深入研究關于價值排序和價值函數元算法的重要意義，反映出季衛東試圖引入價值議論賦予計算法學以超越性的努力。〔7"〕此外，計算法學尚未回應既有批評，即“計算”作為一種方法，本身是否足以涵蓋其支持者所欲討論的基本問題。

人工智能法學鮮見新作出現。人工智能法支持者早年所提出的問題意識〔8"〕亦未被認真討論和對待。

相較之下，在基本問題意識上，本體論的數字法學與傳統法學研究志趣更為接近，也更容易被接受，但“數字”不只是昭示方法，仍需負載內容。胡銘將數字法學的研究內容定位為要素類、平臺類和產出類等內容，〔9"〕然而舉凡數據、算法等在具體場景下，均可成為既有法律部門調整的客體。數字化浪潮改革徹底且宏大，每個傳統的部門法在數字時代均有不同程度的更新，〔10"〕以致每個部門法都有自身的數字法學，也都有自身的數字法理。如此一來，數字法學是否會過于泛化而喪失定名的意義，是否存在被歸屬理念或者方法、束之于部門法總論中之風險，猶未可知。

如果定名與本體可以相符，就應被認真討論。無論選擇怎樣的名目，均應承認我們面對的是一個正在迅速變動的信息生態體系，這個體系至少包括網絡環境、虛實界面、數據處理、認證機制與內容生產等，〔11"〕法學研究的并非這一系統的數字表現形式或一部分，而是以涉及數據、算法和算力，以及在此基礎上形成的人工智能系統且以之為核心得以展開。因此，名之為“人工智能法”大致仍然可取。而且，歐盟已經出臺了人工智能法案，我國上海市、深圳經濟特區等也先后頒行了人工智能產業條例，這些立法進展已經初步顯現了人工智能法的基本內容和核心議題；人工智能法回避了更為基礎或者抽象的數字法學，其名目下的具體資料亦非計算法學所能涵蓋。當然，無論上述任何一種主張，都依賴對事物本質的研究和回應。在此意義上，人工智能法是否可以超越傳統部門法及其方法在一般意義上作為本體形成與確立，僅能讓未來告訴未來。

二、人工智能法的基本原則初步浮現

法律原則是法律帝國（或者說法律規范大廈）的基石。基本原則是人工智能法基本價值的沉淀，也是其成型成熟的基本標志，不僅關系對人工智能法的整體認知，還構成了討論人工智能法律關系的基本價值依歸。在人工智能法尚未成型之時，既有研究已經開始注意人工智能作為復雜科學技術，其開發和應用應遵循人類社會的基本價值，為相關活動提供安全、可信、公平、可解釋性并保障主體權利等基本價值指引。

（一）可信

可信是人工智能法的首要原則或“帝王條款”。可信對應的是人工智能的不確定或風險。現階段，確保人工智能可信已經成為政策制定和學術研究的重點議題。技術上，穩定性、泛化能力（可解釋性）、公平性、主體權利保護等，構成了可信人工智能的基礎。現階段法學界理論研究尚未足夠重視可信作為原則的基礎作用，主要聚焦算法可信治理和數據可信利用的研究。

算法“可信”意指這樣一種狀態，即算法基于其可理解性、可靠性和可控性而能夠獲得人們的信任。既有研究多聚焦于算法可信治理，意在排除有現實和潛在威脅的算法，達至合法性和正當性且具有相當可信度的算法。有學者試圖在算法自動化決策問題上通過“信任原則”重構算法解釋權，將算法解釋權定性為一種動態、溝通、相對性的程序性權利，而非實體性權利。〔12#〕但可信作為基本原則，其調整范圍并不限于算法治理，如徐珉川提出公共數據開放可信治理的規范性架構，可以通過公共數據內在信用基礎和開放行為外在信任框架兩個方面展開，討論了開放公共數據自身的信用保障和公共數據開放的信任交互關系。〔13#〕

可信內涵廣泛，基本含義是透明或“可解釋”。目前涉及的問題主要是透明（用戶或社會公共利益）與不透明（使用者或社會公共利益，如創新）如何權衡。算法可解釋的確立使其正當性論證成為可能，有助于接受算法服務一方的權益保護和處理出現錯誤甚至歧視時的責任分配問題。但當前對于“可解釋”的研究進展不大。例如，可解釋性的本質、規范性乃至研究方法均未清晰。一般來說，評估特定的人工智能系統是否可信不僅要通過識別、治理人工智能系統的風險平臺，更重要的是在可信原則下設計人工智能系統規則體系。這一規則體系不限于對于人工智能風險的分階段尤其是分層級調整規則，在廣義上還包括協調當事人間的權利義務（比如平臺與用戶），數據上不同主體之間的權益配置，還可以解釋具體權利的發生基礎（比如算法解釋的權利等）。在根本上，如果將可信作為一種關系概念，其不僅決定了不同主體間的溝通協調，還可以打通技術與法律秩序，事關未來智慧法治的整體構造。可信還包括對相關風險的治理。〔14#〕為了實現可信，加強人工智能外部治理已經成為共識。有學者注意到作為極具顛覆性和不可預見性的新興工具，算法的負外部性不僅容易引發多重權益侵蝕風險，并易與監管權力合謀形成權力濫用風險。〔15#〕為了應對算法的風險以及因此引發的負面影響，有觀點認為應實行公權力賦權、算法權力限權與追加義務、個體充權的多元治理路徑。〔16#〕從私權的視角，有學者主張打開算法黑箱，披露、解釋算法，以私法保護為基礎解決算法帶來的侵害。例如通過合同法實現對算法侵害精神性一般人格權益的救濟，通過侵權法來回應侵害行為的事后救濟。〔17#〕這一討論將問題轉化為現有的民法規范能否妥善處理算法權力給民事法律關系帶來的風險問題，具有重要意義。

在根本上，創建值得信賴和道德的人工智能不僅需要了解技術本身，還需要了解存在的社會和道德條件，以及如何適當地解釋與評估它們對人工智能的設計、構建和測試方式的影響，還有人工智能與人類互動的方式。它必須是可持續的和環境友好的，必須確保人工智能系統的可追溯性，個人可以完全控制自己的數據。這些基本需求如何轉化為規范研究，或者說，如何將規范研究建立在上述根本思考之上，仍是未來的課題。

（二）安全

在數字時代，安全再次從“幕后”走向“臺前”，成為制定法關注的重要價值與法益，安全原則也因此成為一項法律原則，成為安全與效益之間的法益衡量工具。

趙精武將安全分為三個層面：廣義層面的安全將國家作為描述對象，強調的是國家在國際社會和所處地區的主權和社會安全；中義層面的安全則是側重社會結構或社會某一領域或行業的秩序穩定、公共安全；狹義層面的安全則是強調以社會治理過程中某個具體環節為對象，既包括傳統的財產與人身安全， 也包括新興的技術與行業安全等。狹義層面的安全或可體現在民法保護的根本法益———安全法益上。安全原則在民法中的具體立法形態呈現為“零散規則—區塊化規則—體系化規則”三個基本階段。比如，當下大數據、人工智能、區塊鏈等新興技術的高速迭代拉開了私法調整范疇與實踐立法需求的距離，目前的立法也呈現這三個階段的趨勢。在數字化和智慧化疊加應用的背景下，安全觀念不僅是物理空間中穩定的自然狀態，而且涵蓋虛擬空間中民事活動不被他人監視、跟蹤與記錄的自由狀態。因此，當下學界熱議的知情同意規則、刪除權益等規定也歸于信息時代安全原則的調整范圍。在這一背景下，安全原則的回應體現在三個層次的安全法益架構，分別是主體之間的互動安全、主體心理感知層面的信任安全和主體所處環境的穩定，安全法益的形成會使民法體系內部和外部均產生“規則事域化”的指向性影響，包括規則重心從“事后規制”轉向“事前預防”和傳統法律主體、客體的類型有所擴張。根據安全原則的要求，具體到數據安全法秩序，應從過去的“權利人—義務人”的二元主體結構延伸為“監管機構—信息處理者—信息主體”的三元主體結構。〔18#〕

此外，隨著數據安全法的出臺，學界掀起了對數據安全制度的研究，學者發表了若干的初步討論成果，〔19#〕構成了研究安全原則的規則轉化例證與基本資料，但限于篇幅在此不再展開討論。從人工智能法的整體視閾來看，安全作為人工智能法的底座，可以從兩方面觀察：一方面，重新發現安全，即傳統財產的數字化轉型疊加新的數字財產不斷產生，倒逼對安全的新認知。另一方面，整體安全被提出，虛擬空間架構的安全成為新的問題。在此背景下，“安全原則”應為人工智能法的基本原則。

（三）公平

公平，在傳統法上雖確有規則體現，但更多的是作為基本原則———理念或者基礎價值存在，并非嚴格意義上法律原則。人工智能在數據處理、算法設計及其系統應用階段均可能存在偏差，會導致歧__視、不公平競爭和濫用等，從而產生公平問題。公平尚未作為一種法律原則予以討論，既有研究多聚焦算法歧視帶來的問題。

公正的核心要義是反對歧視。歧視來源于偏見，是人工智能倫理的核心問題。人工智能偏見來源眾多，數據本身蘊含的、開發者的以及算法等偏見。現階段對歧視的研究，主要聚焦于算法歧視，較少涉及數據偏見及其風險的研究。算法黑箱使得人類無法理解算法決策的運作機理，對于隱私、知識產權乃至個人自由等方面都提出了前所未有的挑戰。〔20#〕而營利性實體為了獲取商業競爭力，報告自身算法的計算表征與決策方式意愿不足。〔21#〕因此，在外圍進行算法審計、算法認證或者核驗成為學術研究的新方向。

目前，學者多將算法偏差分為三種類型：算法歧視、不公平競爭和算法濫用。〔22#〕有學者認為，算法歧視的認定需要以存在橫向權力關系為必要前提。當算法控制者以用戶固有的、難以改變的特性對其進行分類，并單方決定適用于用戶的算法規則，用戶只能被動接受決策結果而無退出算法系統之自由時，即形成橫向權力關系。在算法歧視的具體認定上，算法歧視以區分決策為行為要件，以用戶遭受差別不利對待為結果要件。算法控制者若能證明差別對待具有合理性，則不構成算法歧視，更重要的是需要進行個案分析。〔23#〕對算法歧視問題的監管層面，從最初的監管算法技術深入到監管算法權力，意味著實現對算法歧視的預防和救濟有賴于對算法權力的規制。為此，具有公權力屬性的算法權力遵從正當程序原則，引導、規范算法權力回歸正當程序，將市場壟斷與技術監管相結合以制約算法權力。〔24#〕在責任歸屬上，算法歧視應追責到人，算法的開發者和使用者應對算法歧視負責。〔25#〕

公平原則的意涵豐富，不限于算法歧視問題，但其調整范圍與具體規則，仍有待進一步研究。誠如鄭戈所言，數字化帶來的影響在不激進地改變現有法律結構的情況下，法律上可以做的事情是限制強者、保護弱者，避免“強者為所能為，弱者受所必受”的情況。法律是社會的公器，它必須找到符合公共利益的社會關系調整方式。〔26#〕

三、元宇宙視領域下數字身份研究開始起步

主體是權利的載體，制度既是法律的起點，也是終點。在既往人工智能法的主體研究中，人工智能體（AI#Agent）以及區塊鏈去中心化自治組織（DAO）被持續關注。元宇宙的興起改變了這一狀態。元宇宙是人類以技術手段為自己構筑的虛擬世界，〔27#〕其作為新一代全真互聯網形態，〔28#〕已逐漸成為政府和企業投資布局的重點領域。如今，“元宇宙”已滲透到人類世界經濟和生活的多個方面，技術的產業化進展與應用推進擴寬了人類生活的虛擬向度。〔29#〕個體以“數字人”〔30#〕的身份在賽博空間中活__動，〔310〕引發了因數字身份產生的各類法律問題。在此背景下，妥善解析數字身份的法律性質，探索構建可信身份認證體系的可行之道，成為因應“元宇宙”法律挑戰的題中之義。

（一）數字化身的法律性質

隨著“元宇宙”應用的不斷成熟，現實社會與網絡社會在物質層面的隔閡正不斷被打破，一個虛實相融的數字世界正在生成。〔320〕“元宇宙”用戶以“數字化身”進行數字化行為也開始對現實社會產生直接影響。〔330〕“數字化身”與“數字身份”既有聯系又有區別，但兩者關系仍待澄清。〔340〕一方面，典型的數字化身，譬如利用語音合成和深度學習技術塑造出的具有人類形象的“數字播音員”，具有一定的財產屬性，有學者甚至將其定性為一種虛擬財產；〔350〕而數字身份則更多強調特定主體的識別功能，側重體現主體的人身權益。另一方面，兩者在數字身份認證這一命題上具有緊密的聯系：數字身份是元宇宙建設及其問題的起點與歸宿，而只有通過數字身份認證，驗證數字化身背后的自然人的真實身份，才能在元宇宙中破解數字化身所致的信任難題。〔360〕

在厘清數字身份與數字化身關系的基礎上，分析數字化身的法律性質，可發現學界就此問題始終未形成明確共識。有觀點認為， 用戶的數字化身本質上屬于民法典第127條規定的“網絡虛擬財產”，并不具有獨立的法律地位。只不過，數字化身與其他人工智能系統并無本質區別，也需通過反饋訓練，這一過程類似人工智能體，〔370〕但這并不足以使其獲得獨立人格。有學者進一步認為，數字化身作為用戶在平臺、人工智能等交互中創造的事物，屬于美術作品，應當被納入版權法的保護范圍之內。〔380〕不過也有學者提出了數字化身“人格相對獨立論”，主張數字化身既非財產又與自然人非同一人格，其自身具有獨立人格。〔390〕區分兩者的獨立性，亦即采用人格獨立和財產獨立原則，而非將兩者混同，有利于對物質世界和元宇宙世界中成員的信賴利益的保護。更為綜合的觀點則認為，數字化身與“真身”的關系不能一概而論，而應當區分“與真身結合的智能數字人”和“與真身分立的智能數字體人”這兩個概念。〔400〕該觀點進一步提出前者實現了“真身”與“化身”的統一性，其主體地位應當遵循物質世界的主體地位規則，而后者本質是一種“脫離人體獨自進行認知的延展認知技術”，應當賦予其獨立的法律主體地位并按照人工智能組織體〔410〕予以規范。

拋開抽象的法理哲思，妥善確定數字化身的法律性質，需要綜合考量數字化身技術的既有水平與現實主體參與數字身份構建的具體情形。現階段，元宇宙的核心仍在于增強虛實世界的交互，而非肉身向其中“移民”。不能忽視的事實是，“數字化身”仍然僅具有工具屬性，不能脫離主體而獨立存在，主體對化身的支配，需要數據的“投喂”，甚至情感的投射，需要配備專有算法來處理和分析在自適應交互中產生的復雜信息。可見，在既有的數字化身技術下，數字化身主要體現為一種工具而非主體。因此，強調數字化身具有獨立人格或在部分情況下肯定其主體地位的觀點，并不符合現階段人工智能技術與元宇宙應用的發展現狀。__

（二）可信數字身份認證的建構路徑

身份問題，本質是在追問“我是誰”，其形成離不開社會關系中的人際互動，對身份的控制也成為公民信息權益的重要表現。〔42@〕網絡空間拓展了人的身份建構的空間，使得每個人都可以根據自己的選擇形成各種各樣的“數字身份”。然而，賽博空間中的“數字人”不斷具有影響現實社會的力量，使得建構可信數字身份認證體系成為人工智能法的起點問題。

身份認證問題的核心在于建立行為與特定主體之間的連接，因而確保數字身份的真實性、互操作性、安全性與合規性應當是可信數字身份認證體系的基本原則。〔43@〕數字身份認證系統的構建路徑方面，多數學者主張建立分布式而非中心化的數字身份認證體系。于銳認為，中心化的身份認證系統多由互聯網平臺控制，平臺出于利益驅使泄露用戶信息和隨意決定終止用戶賬號權限的情況層出不窮，并進一步提出分布式數字建設的兩種思路：一是“傳統數字身份+區塊鏈模式”；二是由用戶控制身份，創建全新的區塊鏈數字身份系統。〔44@〕類似地，傳統的集中式或聯合式身份認證系統賦予個人較低的數據控制能力，難以迎合數據要素市場發展的需求，采用去中心化的數字身份系統或可實現數據訪問控制的透明度，并可改進既有無效、滯后的同意規則，為數字身份系統用戶提供連續性、實質性的同意。〔45@〕

此外，構筑可信數字身份認證體系離不開強有力的監管框架。隨著下一代互聯網的發展，去中心化身份等可信身份責任模型應用不斷推廣，從驗證層、應用層和信息層三個技術層面完善責任監管正在落地。〔46@〕行政主體是否可以作為元宇宙區塊鏈中的驗證節點，將現實世界中已經存在的關于身份和財產的信息與元宇宙中的進行互相驗證，提升數字身份認證系統的可信性與權威性，〔47@〕成為制度設計的選擇之一。

四、法律行為領域研究未取得實質進展

法律行為制度是實現主體權益的執行機制。數字財產權利的變革，需要依托于新的執行機制方可真正實現，從而達到虛實空間交互的根本目的。因此，研究法律行為的數字形式注定是人工智能法最為重要且最為困難的領域。然而，當前行為論的研究無論在智能行為的外延抑或內涵方面并未有實質性的進展。

（一）智能合約研究從理論探索到應用分析轉變

智能合約是智能行為中最受關注的部分，智能合約的有關文獻數量不斷增加。相關研究內容可大致劃分為三類主題：一是對于智能合約基礎理論的進一步研究，如智能合約的定義、法律性質等；二是關于智能合約在具體領域的應用，如著作權保護、政府采購等應用場景；三是聚焦智能合約的適用困境以及可能的解決之道。

1.智能合約的基礎理論研究有待進一步深化

對于智能合約的認知，既有研究從技術與法律兩個角度進行了論述。從技術層面來講，智能合約自動執行的基本邏輯可以歸納為“若發生某種情況，則執行某項結果”。從法律層面來講，早前學說多__主張從廣義和狹義兩個層面對智能合約進行定義，有學者重提這一分類，但對兩種類型賦予了不同內涵。前者所指稱的智能合約包括自動履行、區塊鏈技術使用許可、標的、價款、爭議解決方式等一切約定在內，而后者所謂的智能合約僅指合約中“if.A.then.B”的自動履約條款。〔48.〕

相關研究成果也對智能合約法律性質繼續展開討論。既有研究大多認為智能合約雖然以代碼而不是文字的形式呈現，但其本質上仍屬于合同，系電子合同的“升級版”。目前來看，較多學者仍支持該觀點。〔49.〕夏慶鋒認為，智能合約應當被定性為一種區別于傳統合同的數字合同。〔50.〕這種觀點雖強調了智能合約與傳統合同的不同，但卻承認其符合合同的本質，因此仍未脫離“合同說”的范疇。

利用傳統民法理論試圖為智能合約定性的另一嘗試是“負擔行為說”。該說指出，“合同說”難以解釋智能合約對當事人合同撤銷、變更、解除權利的限制問題，因此將智能合約分為廣義和狹義兩種形態，并認為將狹義上的智能合約（即自動履行條款）定性為一種負擔行為，負擔行為不僅可以合理解釋其對當事人合同撤銷、變更等權利限制的問題，亦可以囊括其應用匯票承兌、遺囑等更多私法領域的可能性。〔51.〕這種學說的解釋力究竟如何，恐怕仍有待未來進一步的類型化研究。

2.智能合約的具體應用場景不斷豐富

雖然有關智能合約基礎理論的研究略顯不足，但關于智能合約的應用場景的研究成果增多。在著作權交易與保護領域，智能合約有助于提高著作權交易速率、降低成本，維護著作權交易安全，最大限度地保障著作權人的合法權益。〔52.〕在NFT藝術品保護這一特殊領域，區塊鏈對于即時權屬信息變更發揮著公示的效用。〔539〕本年度至少還有如下智能合約的應用場景被觸及：一是在防治保險欺詐領域。〔54.〕二是在政府采購的招投標領域，〔55.〕三是在司法領域。〔56.〕

綜上所述，既有研究多將智能合約作為區塊鏈法律問題的一個分支，較少文獻能夠從智能合約技術構造、應用場景，尤其是未來元宇宙數字化空間的應用前景分析智能合約對法律行為制度的挑戰，總體研究水平尚未取得實質的提升。是否有必要跳出“合同”和“負擔行為”的理論紛爭，根據智能合約的具體類型與應用場景論證并驗證其法律屬性，有待后續研究。隨著智能合約技術應用的進一步推廣，智能合約的法律問題的研究價值將進一步得到凸顯，未來有關的學術研究將逐漸呈現理論與實務“兩條腿走路”的發展趨勢。

（二）知情同意規則爭議與調適

民事主體的“同意”在私法秩序的建構中具有重要意義。進入數字時代，知情同意規則成為取得數據產品等數字財產的重要方式之一，〔57.〕個人信息保護法也將個人信息主體對信息處理行為的“知情同意”確立為信息處理行為合法性的基礎之一。當前學界對于知情同意規則的討論除了涉及知情同意中“同意”的性質與有效條件等基礎理論外，還逐步深入該規則應用的具體領域，針對其適用中可能存在的沖突與矛盾開展了有針對性的研究。

1.知情同意規則中“同意”的性質與有效條件

對知情同意規則中“同意”性質的不同認識，將導致知情同意規則適用的較大差異。然而，目前就同意的性質問題，學界卻仍存在較大分歧，主要可以分為“意思表示說”和“法律行為說”兩類觀點。持__“意思表示說”觀點的學者目前占多數。在明確法律效果是否按照主體意思產生是判斷行為屬于意思表示還是事實行為的關鍵的基礎上，于海防教授指出“同意”行為的法律效果之產生根據為信息主體的意思自治而非法律的規定，同意因此應當被界定為一種“意思表示”。因為法律對個人信息處理“同意”的規定只是對信息主體“同意”的一種限制，并不能因此認為“同意”欠缺產生法律效果的內心意思。〔58-〕夏慶鋒在承認“同意”為意思表示的基礎上，認為網絡公司應當充分盡到通知義務，設置更為嚴格的動態匿名化方法，以確保用戶“同意”這一意思表示的真實性。〔59-〕在意思表示定性的基礎上，有學者將個人信息主體的同意界定為一種“單方法律行為”，認為基于主體的“同意”，信息處理者取得了一項“得為的地位”，并由此可在同意范圍內對主體的信息利益進行干涉。〔60-〕

然而，也有觀點認為，個人信息處理中的“同意”并非嚴格意義上的法律行為，而應當被歸為一種準法律行為〔61-〕。其理由在于，知情同意規則中的“同意”雖然具有行為意思、表示意思，但是在效果意思方面存在缺陷，因此只能被定性為準法律行為而非嚴格意義上的法律行為。

關于知情同意的有效條件，既有研究多從知情同意的實質性和形式性兩個方面進行闡述。王洪亮等認為，“有效同意”的構成要件除了信息主體的同意能力、作出同意的自愿性、明確性、充分知情性等實質性要件外，還應當符合一定的形式要件，即同意主體的同意應當以明示方式作出，默示同意、預設同意和不作為都不能構成一個有效的同意。〔62-〕但就默示同意是否構成有效同意這一問題上，姜曉婧、李士林等則主張不能一概而論，通過引入場景理論，將信息處理行為分為數據性和信息性行為，認為“信息性行為”應當嚴格適用知情同意原則，默示同意不構成有效同意，而對于“數據性行為”只需信息主體的“知情”，而“同意”則不作為生效要件，更無需討論同意的有效條件問題。〔63-〕姬蕾蕾也認為，默示同意下信息主體在無意思表示的前提下“被簽訂”合同，這種不自由、不真實的承諾呈現效力瑕疵。〔64-〕

2.個人信息提供中“三重授權原則”的沖突與調適

“三重授權原則”〔65-〕在“新浪微博訴脈脈案”判決中被首次明確提出，其經典表述為“用戶同意+平臺授權+用戶同意”，即第三方通過平臺方獲取正常經營范圍所需用戶數據時，平臺方須經用戶授權，第三方既須經平臺方授權也須經用戶重新授權。〔66-〕“三重授權原則”的法律依據是個人信息保護法第23條，目的在于促進個人信息保護的同時也對數據信息產業的健康發展進行適當引導。

但“三重授權原則”的機械適用違背其初衷。學界從不同角度主張對“三重授權原則”的適用進行反思。向秦認為，應當從主體、客體和場景三個方面對三重授權原則的適用范圍進行限制。〔67-〕具體而言，從主體方面，個人信息保護法第23條中的“個人”僅限于自然人，提供方既可以是商業領域提供者也可以是國家機關處理者，而平臺方則僅限于非國家機關處理者。在客體方面，公開數據的處理和提供不適用三重授權原則，但第三方仍需受到“合理”范圍內處理的限制。在適用場景層面，爬蟲和手機系統等場景不適用三重授權。徐偉認為，個人向信息處理者提供的個人信息若涉及第三人信息，應主__要著眼于個人與第三人的法律關系：在第三人提出異議前，兩者并不存在權利沖突，此時不構成侵權；而當第三人提出異議后，第三人的信息權利超越了個人的信息權利，此時信息處理者應當按照第三人請求采取刪除等措施。〔68-〕

類型化討論“三重授權原則”適用成為學者們努力的方向。類型化有助于達成個人數據權利、數據持有企業的數據權益以及數據市場競爭秩序保護三種法益間不同主體利益的“納什均衡”。〔69-〕劉輝主張，將數據分為可識別的個人數據和衍生數據，前者的流轉無需數據持有企業同意而必須經過數據主體同意，而后者則恰好相反。謝晨昀則從法律經濟學的角度出發，認為“三重授權原則”有悖于經濟學中的“卡爾多—希克斯效率”原則，需要通過區分合規接入和插件接入的不同條件，分別適用數據可攜帶權和“三重授權原則”，來保障數據的自由競爭，平衡兩者間的價值沖突。〔70-〕

3.具體領域中的知情同意研究

除了對知情同意規則在理論層面的探究，該規則在具體情境下的適用問題得到了關注。人臉識別技術是將自然人探測圖像（通常為視頻、照片形式）轉換為面部數字模型或模板的技術，具有檢測、驗證和識別等基本功能。目前，學界普遍認為人臉識別技術所采集、處理的人臉識別信息屬于敏感個人信息，一經泄露導致的損害后果可能伴隨終生，因此需要給予其更高強度的保護對“知情同意”規則在該領域的適用作出相應調整成為努力的方向。〔71-〕譬如，姜野提出健全人臉識別信息知情同意的動態擇入和擇出制度，〔72-〕采用以擇入機制為主的“知情同意缺省”規則，通過同意的“動態驗證”進一步拓展擇出機制的范圍與方式，同時要求信息處理者承擔一定的信義義務，以緩解信息主體與信息處理者之間的地位不平等情形，避免數據鴻溝的產生。葉濤在區分人臉識別技術應用的不同場景的基礎上，提出公共場所中的人臉識別技術可分為絕對應用場景、相對應用場景和禁止應用場景。〔73-〕對于其中的禁止應用場景， 當技術應用具有安全風險或者存在倫理歧視時應當嚴格禁止技術應用，且排除知情同意規則作為違法性阻卻事由的可能性，由此防止形式上的知情同意實質損害公共利益和個人利益，從而引導科技向善發展。

隨著數據要素市場的不斷完善，個人數據作為一種重要的數據類型在數據交易等過程中不斷得到流通，由此引發學界對個人數據交易中如何適用知情同意規則的關注。林洹民認為，個人數據交易由基礎合同關系和數據處理關系組成，前者受合同規則調整，以主體的承諾為生效要件，后者則是個人信息法的保護對象，受到知情同意規則的限制，應當分別適用不同的規范路徑，兩者并行不悖，并可以相互補充、相互影響。〔74-〕苗澤一認為，個人信息主體與數據服務方實質上并非平等，用戶為使用數據方提供的服務，不得不簽署用戶協議，然而這種同意僅為獲得精準服務，并不以提供數據交易的原始數據為目的。對此，需要設置數據個人信息處理特別義務，要求交易數據供給方明確提供用戶對數據交易的授權為交易的前置環節，以避免數據供給方利用自身優勢地位對于個人信息進行肆意處理。〔75-〕

“知情同意”作為一個專業的法律術語最早源于醫療衛生領域，即醫生通過讓病人了解醫療行為的目的、手段、性質及后果，由病人出于自愿接受醫療行為。而在個體基因保護領域，由于個人基因信息具有一定的家族延續性和種族關聯性，使得其關涉的主體不僅僅是本人，還包括其他具有血緣關__系家庭成員，〔76，〕導致知情同意的主體具有不確定性，因此傳統的知情同意規則顯然不能適應實踐的需要。基于此，有學者主張在知情同意模式的選擇上，要從“個體的一次性特定同意”走向“共同體的動態概括同意”，制定匿名化基因信息的再識別規則，推進知情同意原則的改良創新，實現個人基因信息利用與保護的“良法善治”。〔77，〕

（三）數字簽名的效力問題

數字簽名在數字合同訂立過程中具有“表其主體，示其同意”的雙重功能，其自身的可靠性是合同效力的重要來源。〔78，〕“信任，但需要驗證”，〔79，〕為保障數字簽名技術成為當事人真實意思表示的傳遞者而非各種欺瞞、詐騙手段的協助者，需要對有效數字簽名的認定規則進行分析。首先，數字簽名是目前電子商務、電子政務中應用最普遍、可操作性最強、技術最成熟的一種電子簽名技術。〔80，〕邢愛芬提出，可靠的數字簽名需要同時具備專有性、專控性和防篡改性。〔81，〕專有性需要在給簽名人頒發數字證書前驗證簽名人身份，并要求簽名人設置專屬于自己的密鑰，以此保證數字證書不被冒用，數字簽名為簽名人專有；專控性是指在數字證書申請過程和電子簽名過程中，與此有關的數據電文、申請資料等均由證書申請者、電子簽名人控制，而非被他人控制；防篡改性則是從技術層面對數字簽名提出的要求。

其次，也有學者結合電子簽名法的最新修改，提出了有效數字簽名的雙重認證規則，即在區分一般數字簽名和可靠數字簽名的基礎上，從“識別”和“認可”兩個層面采取一體化的有效性認定規則。〔82，〕具體來講，在識別視角下，只有當電子簽名的制作數據與簽名人本人存在“穩定且獨特”的聯系時，我們才能認定這一電子簽名高度穩定地發揮了識別功能；在認可層面，如果電子簽名系簽名人真實的意思表示，那么這就要求相關數據電文與電子簽名必須都具有“完整性”，即必須保證兩者的內容自簽名人簽署后不會發生改動。

綜上所述，目前學界對數字簽名效力的討論多局限于物理世界的電子簽名法，尚未充分考慮元宇宙技術應用背景下數字簽名帶來的新改變，既有的數字簽名可靠性檢驗規則能否滿足元宇宙身份驗證的需要，還有待進一步討論。在關于法律行為的研究上，對于這一問題的基本內容、具體表現與理論內涵等，尚缺乏基本的梳理與回應。

五、新興權利的勃興及其體系化

權利是法學的核心范疇，也構成了人工智能法的核心制度。從傳統法律觀察，人工智能法的權利多屬于“新興權利”。這些權利多因人工智能法新的利益產生、確認而生成，尤其以財產權利最為明顯，但又不限于財產權利。可以樂觀地估計，在人工智能法疆域里新興權利將進入勃興時代。

（一）以解釋權為核心的算法權利研究進一步深入

算法是人工智能體系中相對透明和確定的因素，“算法黑箱”并非人為“黑幕”，而是因基本原理所限導致的驗證性和解釋性的不足。〔83，〕界定算法權利在客觀上有助于規范算法使用人算法權力的行使、防御算法權力濫用風險的權利類型。既有研究一般認為，算法權利是算法相對人享有的一系列旨在規范算法權力行使、防御算法權力濫用風險的權利類型，本質上是一個具有開放結構和規范彈性的權利束，具體包括算法解釋權、理解權、自動化決策權和技術性正當決策權利。算法權利束之所以能形成，原因在于這些權利都趨向于促成權利束的中心價值。〔84+〕因此，如何通過梳理這一系列權利及其共同指向的中心價值，以此確定算法權利的束點仍是研究的方向。

現階段，霍費爾德的法學核心范疇成為學者分析算法權利的常用武器，在“要求權、特權、權力、豁免、義務、無權利、責任、無權力”概念體系下，其中“權利”是某人針對他人的強制性的請求，特權則是某人免受他人的權利或請求權約束之自由。有學者提出，算法權利只是霍氏理論中“要求權”與“特權”的組合，其“要求權”體現在針對義務承擔者為特定解釋、更新或糾錯的強制要求，“特權”則意味著是否行使算法解釋權是權利人的自由，屬于“一階權利”。與之相對的算法權力則屬于霍氏理論中的“權力”，是一種可以改變“要求權”和“特權”、能夠改變既有狀態（法律關系）的“二階權利”。算法權利與個人信息權均為大數據、算法技術發展催生出的內含多個權利的權利束，兩者的權利內容難免有許多重復之處，在立法尚未給予回應時，算法權利理論工作應與個人信息權利束深度結合、將其融入個人信息權體系之中。〔85+〕

在算法權利的諸多權利內容中，“算法解釋權”是研究熱點。個人信息保護法第24條第3款是算法解釋權的基本規范。算法解釋權意在平衡算法使用者與用戶之間不對等的風險負擔和責任分配，包括企業和用戶之間的權利義務、以及基于自動化決策產生的風險負擔。〔86+〕一般認為，賦予用戶要求算法使用者對算法解釋權利〔87+〕的目的在于提高算法透明性與可理解性，提高用戶行使個人信息相關權益的可能性，客觀上起到了制約算法權力的效果。〔88+〕算法解釋權的功能涵蓋事前的知情、事中的理解、事后的修正、更新以及請求救濟，實則超出了單一權利能夠容納的權利功能極限。〔89+〕個人信息保護法第24條第3款適用不要求決定僅由自動決策算法作出，從而將該權利的適用范圍擴張到決策支持型算法、分組型算法與總結型算法等類型，全面規范公私領域中的算法應用。然而，該款并未明確規定算法解釋權的法律效力。基于這一立法現狀，有學者認為，目前為算法解釋權的相對人提供救濟具有必要性和緊迫性，應關注算法解釋權實施中的具體規則，使此種權利能夠盡快落地，實現從權利到利益的轉化。但相反觀點認為，算法“解釋權”理論無法消除算法決策的“非知”，即不透明性，真正可取的路徑是立足歸責規則，在尊重算法決策“非知”的基礎上，要求算法決策控制者承擔法律責任。〔90+〕

既有研究將算法解釋權建構為一種權利框架或權利群，非單獨的、自然的權利，鮮少將算法解釋權置于具體場域。就權利內容而言，算法解釋權的權利主張都是程序性的，其實體性邊界應根據具體場景下個人與算法決策者之間的溝通信任關系而確定，無法抽象化的劃定清晰邊界。就具體解釋方法而言，一方面應要求企業充分了解和掌握算法的系統性解釋；另一方面，應當根據算法所處的領域特征和影響力而要求不同程度、類別的算法個案解釋。〔91+〕在算法解釋的時間要求（事前、事中、事后）方面，有學者認為，在敏感個人信息的自動化決策場合，若算法的事前解釋僅根據個人信息類型的敏感度進行判斷，準確率低容易導致個人信息的侵權風險。除此之外，單純的事后解釋與相應的“拒絕＋刪除”模式無法完滿地救濟被侵權人，還需輔以民法典合同編或者侵權責任編中的損害賠償責任救濟手段，賦予個人信息主體更周延的救濟途徑。進一步地，事前解釋應限定于“可能產生重大影響”的敏感個人信息處理場合，事后解釋則發生在“對個人權益已經產生重大影響”的自動化決策場合。〔92.〕有學者對該觀點進行補充，認為信息主體應滿足“僅通過自動化決策的方式作出決定”和“對個人權益有重大影響”兩個要件，且需與信息主體的其他權利配合行權。〔93.〕

除了私法視閾的討論，因公私法的規范對象與規范目標不同，公法和私法上的算法解釋權相應地呈現不同情形，對此應當通過區別化、精細化的立法使得算法解釋權隨場域的更換而差異化地配置成為可能。〔94.〕

（二）數據權利研究的二重維度

相較于算法權利，數據權利問題研究堪稱學術熱點。數據是人工智能的核心要素，也構成了數字社會主要財產資料。圍繞數據，產生了數據安全與個人信息保護，產生了數字資產、數據壟斷、算法壟斷與空間隔離，進而產生了數字社會國家與社會關系的基本邏輯，權力與權利關系的基本立場。〔95.〕由此我們可以將既有研究劃分為二種不同的維度予以觀察。

1.數字人權維度

數字人權是第一維度。馬長山認為，信息社會帶來了第四代人權，“以人的數字信息面向和相關權益為表達形式，以智慧社會中人的全面發展為核心訴求，突破了前三代人權所受到的物理時空和生物屬性的限制”。〔96.〕也有學者不贊同第四代人權的提法，認為數字人權的概念可以在既有人權體系的框架內得到合理解釋；個人數據信息類權利未構成人權的代際革新。可以由該觀點觀察所謂數據人權的基本內涵：“數字人權”是個人享有的人權，義務主體指向國家和互聯網平臺、商業公司等社會組織；其權利義務關系表現為防御型與合作型并存，即當國家及其政府部門因公共管理的需要而收集個人數據時，應當履行不得泄露、毀損、濫用個人數據等人權義務；從積極義務來說，互聯網平臺、商業公司等社會組織收集個人數據時，國家應當要求這類社會組織履行不作為的消極義務和積極保護的作為義務。〔97.〕數字人權界定的關鍵在于，其是一種新興的權利還是僅表現為基于數字的權利，兩者的區別在于，在新興的權利下人權代際范式發生根本性的變化，即人權主體、義務主體、基礎關系三要素同時擴展而演變為新的代際范式，從而容納新興的人權需求，而基于數字的權利則無需該變化。姚尚建傾向于將數字人權認定為是一種新興的權利，因為借助于商業繁榮帶來的平等關系以及工業革命形成的技術手段，人類可以正視自身的地位并形成權利的聯盟。從數據出發，形成新的社會結構與社會形態，也形成新的權利結構。但是由于權利對于數字的技術性依賴，數字權利的匱乏往往率先在個體身上得到顯示。數字權利因此應遵循兩條遞進的路徑：從數據出發，共享公共數據是權利破繭的法律基礎；從算法出發，個體參與并干預算法是權利維持的外部條件。〔98.〕

2.數據權屬的私法構造

數據權屬的私法構造構成了數據權利研究的第二維度。與前一階段學者聚焦于主張對數據賦權，并致力于建構數據權利體系不同，2022年度反思賦權觀點的成果不斷呈現，這些成果試圖在不賦權的背景下探索數據利益配置問題。無論對于數據賦權持何種觀點，在促進數據流動與發展數字經__濟，乃至促進數據權益在用戶、數據控制者或數據使用者等多元主體之間實現最優配置，〔99-〕并無二致。問題的關鍵是，哪種認識更契合數據的本質特征，正是由于數據要素的非競爭性、非排他性/部分排他性、易復制性、外部性和即時性等經濟特征和數據資產的多次交易性、價值非線性、交易不一定讓渡所有權或使用權的特征導致其確權困難。〔100-〕

現有賦權說的觀點聚焦個人、企業、國家這三個主體之間的利益平衡。從主體角度討論有助于檢視這些觀點的基本問題意識。

在個人層面，基礎性的問題在于能否或應否區分個人信息與個人數據。申衛星提出，隱私、信息與數據之間關系的界定是數字時代構建個人權利的前提和起點。個人信息作為與個人相關的事實狀態之描述處于內容層，私密信息是對隱私事實的信息化描述，個人數據作為個人信息的載體處于符號層。三種客體之上應分別設置隱私權、個人信息權與個人數據所有權三種不同的框架性權利。個人信息權屬于人格權范疇，個人數據所有權歸為財產權。〔101-〕

在國家層面，宋方青等提出國家數據權，強調以“整體數據”為主的數據主權。整體數據是國家主權范圍內部各類數據的總和，包含著所有的個人數據、企業數據和公共數據等。數據的“國家所有權”需要通過具體的行政機關來加以實現，因此政府才是數據所有權的具體代理主體，享有本國范圍內對個人集合數據占有、使用、收益和處分的權能。〔102-〕如何由數據主權過渡到國家所有權，仍有待進一步研究。至于數據國家所有權的理論基礎為何，不過，龐琳認為，數據資源作為一種“類自然資源”包含著豐富的內容，例如數據的管轄、利用、許可、賦權、交易等，具有公共財產的屬性，可推定數據資源國家所有。但數據資源國家所有屬于憲法意義上的國家所有即“全民所有制”，并非等同于民法意義上的所有權。因此需通過數據分類分級的利用規則來完成數據資源國家所有私法路徑的構建。〔103-〕衣俊霖則借助契約主義論證框架，提出公共數據國家所有可置換為一個虛擬的公共信托協議—————國家受全民之托管理公共數據，但最終收益全民共享。〔104-〕

在企業層面，一方面，對于企業數據權利的形成機理，學者們普遍認為合法收集并加工處理是其權利基礎。〔105-〕另一方面，對于企業數據利益配置的基本問題意識是促使平臺企業合法使用數據，推動平臺經濟健康發展的前提〔106-〕。既有研究多數贊同企業作為處理者要尊重并承認信息來源者的權利，并在此基礎上探究其與個人信息主體之間的關系。在承認數字財產的生產者對數字財產享有合法權益的基礎上，鄭佳寧試圖以“不損害在先權利”規則協調數據信息生產者和數字產品生產者之間的利益沖突。〔107-〕

企業數據權益配置的具體方案。目前多數成果舍棄了早先的絕對賦權或者單一的賦權方案，傾向更綜合的利益平衡體系，即通過階層分類的方式實現數據權益配置，該方式強調企業數據權益配置有一定的限制條件，但對于具體的限制條件學者們各有不同觀點。陳兵主張以數據的分類分級制度為基準，結合具體應用場景，根據特定場景下數據的功能與屬性，判斷其荷載的權益類型，配置對應的權屬關系。〔108-〕在明確數據權屬后，建立配套的多元利益分配制度。〔109-〕與該觀點相似的還有類型__化表達制度，余筱蘭主張，對數據權益沖突進行類型化表達，首先表達為多元的數據利益攸關者，其次類型表達為豐富的利益內容類型，當產生利益沖突時，則通過利益衡量方法論的指引有針對性地探索和解沖突的路徑。〔110+〕鎖福濤也主張，構建數據財產權的“三元分配”模式，將數據財產權中的個人信息財產權歸屬于用戶，數據財產權中的數據用益權歸屬于數據平臺，數據財產權中的數據獲取權歸屬于第三方主體，從而實現數字經濟時代個人信息保護、數據平臺利益維護與數據信息自由流通之間的利益平衡。〔111+〕

更為綜合的權益配置方式被陸續提出。包曉麗提出數據權益配置應當遵循“二階序列式”論證規則：一是公共利益與人格利益一般優先，同時，人格利益優先于財產利益；二是財產利益按貢獻度分配。判斷貢獻度的總原則是：對資產評價收入影響更大的一方，得到的產權份額也應該更大。由于企業具有比用戶更強的數據增值動力，因此在企業滿足向用戶提供對價服務、妥善保護用戶隱私等人格利益、維護數據安全的條件下，應當將數據的剩余索取權分配給企業。但按貢獻分配的準則應當與純粹程序正義的觀念相契合，當用戶不同意或者撤回對個人信息處理的同意時，用戶的貢獻減少，但平臺服務商也不得拒絕提供相應的產品或者服務，這是機會正義的基本要求，〔112+〕趙鑫認為在數據確權時注重邊際貢獻思維的運用，充分考慮邊際貢獻度，能鼓勵對數據價值的挖掘，使相關主體擁有更強的投資意愿，擴大最終的產出水平。〔113+〕沈健州則提出“二階四層”的數據類型體系構建，根據數據是否承載個人信息以及是否處于公開狀態，將數據區分為四種類型，即承載個人信息的公開數據、不承載個人信息的公開數據、承載個人信息的非公開數據、不承載個人信息的非公開數據。〔114+〕

主張數據不賦權的觀點不應被忽略。“不賦權說”主張擱置在設定權利類型、表達權利內容等方面的爭議，旨在以規制他人行為的方式間接為數據控制者創設利益空間，從而克服源于權利客體、權利主體、權利內容等方面的困境，實現數據權益保護與數據流通利用之協調。〔115+〕“不賦權說”的基本問題意識是，數字經濟的發展并非一定要將數據完全歸屬于誰，重要的是定義企業之間的數據使用權。企業數據使用權是一種基于責任規則理論的相對權，通過企業之間的合同所定義和分配的，相較企業數據財產權更為契合數字經濟的發展。〔116+〕黃東東等提出“責任規則+管制規則”的組合模式以解決數據權益配置問題：用諸如標準合同、企業數據保護信譽機制、技術標準、數據資產和數據侵權賠償定價機制等，對某些重要的剩余控制權配置予以明確，以支撐相應法律規則的執行或彌補其不足。這種類似分散立法的功能，不僅可以積累經驗，而且可以降低立法成本和立法失敗的社會成本。〔117+〕“不賦權說”具有其合理性，但目前有關“不賦權說”下權益配置的觀點仍待充實。〔118+〕

（三）加密的權益性質仍未獲得必要重視

未來數字資產的權益內容及其實現均依賴于加密，加密必將成為一種新型的權利。但學界對于加密的討論較少。既有文獻主要探討了密碼法實施后，加密技術在保護個人信息的同時，也給個人信息保護的法律機制提出的挑戰。

1.加密對個人信息的保護

劉晗認為，法律賦予公民和法人密碼使用權，將極大改變目前大數據時代信息儲存和傳輸過程__中大面積不受加密保護的狀況。2021（年出臺的個人信息保護法將加密技術與個人信息的法律保護機制相銜接，在具體的法律保護機制（如知情同意等規則）之外，著重規定個人信息處理者使用加密技術的制度，為個人信息的保護提供了一條技術支撐的路徑。同時，對于個人信息處理者而言，運用加密技術也是安全性較高而成本較低的一種合規舉措。〔119（〕劉蓓也贊同此觀點，認為密碼技術是個人信息與數據傳輸、存儲及使用的重要技術保護手段。在互聯網安全中通過防火墻或者IDS（等技術手段設置的“界”異常關鍵。數據保護同樣需要“界”，密碼技術可以承擔起設立“界”的功能。〔120（〕

2.加密對個人信息保護帶來的挑戰

劉晗指出，加密技術也給個人信息保護及其法律規則帶來了新的挑戰，甚至對于互聯網信息和代碼規制提出了新的問題。第一，一旦數據流通之后，其他主體若可以通過解密技術反推，從而還原原始數據，突破個人信息去標識化和匿名化的限制，就會使得個人信息權利重新受到巨大威脅。第二，以隱私計算為代表的新興數據處理技術卻面臨著法律評價上的不確定性。第三，挑戰個人信息保護法體系中預設的去標識化和匿名化的二分法。加密解密技術的發展完全可能產生一種現象，即原先無法復原的數據可以通過新的技術予以復原，從而影響個人信息保護法的適用范圍。該法第4條規定，匿名化信息不屬于該法保護的個人信息。此時，是否應該在密碼法之下的加密規制體系中限制此類代碼的開發和技術的使用，就變成極為關鍵的問題。〔121（〕

結語

當前人工智能法學研究在認識事物本質與促進規范研究兩方面均取得了諸多重要進展。人工智能法具有不同的層次，具有公法面向的國家安全、網絡安全、數據安全和個人信息保護為基礎層以及建基于其上的人工智能法內容層。這一體系涵蓋了法源論、主體論、行為論、權利論、原則論與責任論“六論”。限于篇幅，本文僅綜述近年來權利主體的變化、權益及其變動形式變化（法律行為）以及法律原則的四部分內容，意在廓清人工智能法的一般性議題，對于有專門法規范基礎的研究，如個人信息保護、數據安全乃至通證問題等并未納入綜述范圍。另外，雖然法律人工智能的研究在本年度取得了可喜進展，但限于篇幅，本文不再綜述其內容。

在很長時間內，人工智能法學研究仍需依托具體部門法問題意識與研究方法開展，從這個意義上說，所謂的人工智能法仍是“部門法化的人工智能法”。不過正是這些部門法的探索，促進了人工智能法學研究的規范轉化，描摹了人工智能法的一般議題，促進了人工智能法的研究方法覺醒，拉開了法釋義學研究序幕。