以風險為基礎的人工智能治理

陳吉棟

一直以來，人工智能法律研究在治理法與責任法之間游移，未能正確處理人工智能法律制度展開的邏輯起點——風險及其治理理論研究與風險分配規范設計。以風險為基礎的治理（risk-based regulation）是人工智能法研究的起點。基于風險的治理要解決的問題是在何種程度上和以何種方式可以治理和減少風險。①See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.p.4.如何治理風險，并且進行規范設計，一直是困擾人工智能立法探索的卡脖子難題。在上海市、深圳經濟特區地方立法作出了相關探索后，2023 年4 月11 日，國家互聯網信息辦公室發布了《生成式人工智能服務管理辦法（征求意見稿）》試圖對生成式人工智能（GAI）風險分配進行破題。在這種背景下，重提“風險”似乎是人工智能的法律研究導入正確邏輯的前提。從風險角度展開討論，需要將人工智能系統研發與應用風險的認知作為起點，將風險如何影響治理作為過程，本質上是從恢復過去的損害轉向防止損害的發生，邏輯終點則是風險治理與民事責任的溝通，如此構建以風險為基礎的人工智能法律治理體系。限于篇幅，文章在分析風險分級的基礎上，梳理立法進展，引入“規制空間”理論，提出并論證人工智能治理制度展開的要點與邏輯。

一、GAI 風險的具體種類及其風險挑戰

GAI 本質上仍是人工智能系統（AI System）之一。對其分析仍然需要遵循數據、算法、算力與智能體（agent）的基本邏輯。如一切人工智能系統一樣，GAI（如ChatGPT）輸出結果的過程，需要大量的數據作為支撐，通過大量的計算資源來計算的過程，其背后仍然是一個數學模型。計算量、數據量與語言模型的方法上的優勢，僅使其可以更快速地計算出更為準確的概率。GAI 與決策式/分析式人工智能（Discriminant/Analytical AI）不同，在根據既有數據集執行任務之外，還能通過學習數據中的聯合概率分布，創造出全新的內容。然而，無論是在法學還是在倫理學的既有理論中，似乎缺少了觀察生成式人工智能及其風險的理論與方法，因此對其風險開展治理，設計一個涵蓋法律與倫理在內的綜合框架成為較主流的選擇，但這注定將是一項任重道遠的工作。

依據已有的觀察，GAI 風險大致有如下類型。除了個人信息侵害與隱私泄露風險，更為顯著的風險是真實性風險、偏見與歧視風險與主體依賴風險等。其一，真實性風險。人工智能生成內容的真實性與準確性無從保證。虛假信息的不當應用進一步導致傷害與責任歸屬問題。在此背景下，法律很難區分不同風險的承擔。《生成式人工智能服務管理辦法（征求意見稿）》第5 條規定：利用生成式人工智能產品提供聊天和文本、圖像、聲音生成等服務的組織和個人，承擔該產品生成內容生產者的責任。但該辦法第16 條也規定：提供者應當按照《互聯網信息服務深度合成管理規定》對生成的圖片、視頻等內容進行標識。其二，偏見與歧視問題。生成式人工智能所使用的訓練數據來自人類社會，因此它也有可能繼承人類社會中的固有歧視因素。其三，主體依賴風險。這里的依賴風險包括兩個方面：一是對GAI 的功能依賴。二是對GAI 產生情感依賴。盡管用戶明確知道ChatGPT 這種交互式對話機器人并非真人，仍可能將其作為人類對待并產生依賴，陷入情感迷失和混亂，遠離現實世界的人際交往，從而影響個體社會情感與交往能力的培養。

面對人工智能復雜難知的風險，監管機構多基于風險的治理理念，制定風險治理的制度框架評估與降低風險。許多國家的監管機構越來越傾向于采用“基于風險”的策略進行治理。②See Black,Julia,and Robert Baldwin.＂Really responsive risk-based regulation.＂ Law &policy 32.2 (2010): 181-213.這一治理框架在食品安全、醫藥、環境治理等領域顯示出了豐富的內涵。③例如，在金融領域中，對于風險及其分級監管并非人工智能或者技術治理的首創，在金融領域也有所應用。資本框架即以風險為中心，因為不同的活動造成不同的損失可能性，資本制度應調整要求以考慮到具體活動的風險，分層因此成為重要的風險防控原則。面對人工智能的這些風險特征，構建全生命周期分層的監管成為立法的主流選擇。如，在歐盟高風險人工智能系統獲得市場批準后，歐盟和成員國層面的當局將負責市場監督，終端用戶確保監控和人工監督，而提供商則應建設一個上市后監控系統，供應商和用戶也會報告嚴重事故和故障。如此就形成了一個覆蓋上游和下游全生命周期的監管體系。此外，自然人也能夠監督高風險人工智能系統，這被稱為人工監督要求。針對人工智能更新、流變的創新設計，則形成了進入市場以后的監督。

二、風險分級及其在歐盟人工智能法上的實踐

人類社會對于風險的認知以及對于風險監管的認知經過了長期的變化過程。現階段，一般將風險監管定義為：“以證據為基礎的手段，根據一個透明的、系統的和可以辯護的框架，有針對性地使用資源和優先關注最高風險。”④Black,J.,&Baldwin,R.(2010).Really responsive risk-based regulation.Law and Policy,32(2),186.這種對于風險的功利主義理解，被越來越多的政策制定者接受。

歐盟委員會提出了世界上第一個《關于制定人工智能的統一規則（人工智能法）并修正某些歐盟立法文件的提案》（簡稱《歐盟人工智能法提案》，the AI ACT，AIA）。當地時間5 月11 日，歐洲議會發表聲明，議會內部市場委員會和公民自由委員會通過了AIA 的談判授權草案。試圖在促進產業發展的同時，減輕或防止人工智能技術使用的風險，推動人工智能可信，完善人工智能生態，并使歐洲在全球人工智能監管中發揮領導作用，為此提出了基于風險的分級監管方案。AIA 結合“風險金字塔”的風險理論方法與分層執行機制，設計了基于風險的分級監管框架。依據風險金字塔的理論，沒有無風險的人工智能系統，大多數人工智能系統構成的風險有限，應支持其應用幫助解決社會問題，但必需解決這些風險以避免不良后果。在這一考量下，對風險進行分類分級成為可欲的選擇。針對不同層級的風險，設計不同的規則。AIA將人工智能系統相關的風險區分為不可接受的風險、高風險、有限風險和較低或者最低限度的風險四級，法律應對策略分別為“禁止”、“事前合格性評定和認證標志”、信息披露和無義務。風險可以忽略不計的AI系統應設計較輕的法律制度，而風險不可接受的人工智能系統將被法律禁止。在這兩個極端之間，隨著風險的增加，規則設計愈發嚴格。從附有行為準則的非約束性自我監管、軟法影響評估，到整個應用程序生命周期皆需經過外部審計的嚴格合規性要求。在這一制度設計下，如果提供者提供人工智能系統，首要問題是根據AIA 中確定的風險水平，確定其應采取的行動（義務）。

不可接受的風險表示最高風險類別，這些系統被徹底禁止。包括：（1）實時生物識別系統；⑤這種情況也有例外，適用于執法和國家安全背景下的犯罪預防和刑事調查。（2）社交評分算法；（3）操縱系統利用特定個人的弱點。

AIA 并未對高風險進行界定，⑥此點與《數字服務法》（Digital Service Act）和《數字市場法》有很大不同。而是采取了由官方直接列舉的風險種類，為此編制了一個動態調整的高風險人工智能目錄。⑦高風險人工智能系統列于附錄III。如果一種風險不屬于禁止性風險，又符合如下特征，就是高風險。⑧其中包括：（1）對自然人進行生物識別和分類；（2）關鍵基礎設施的管理和運營；（3）教育和職業培訓，如用于評估教育環境中的學生或分配人員進行培訓的人工智能系統；（4）就業和工人管理，如用于招聘或評估員工的人工智能系統，包括晉升、績效管理和解雇等問題；（5）獲得基本服務，如管理私營和公共部門服務和相關行動的人工智能系統，包括信譽評估、信用評分或確定獲得此類服務的優先順序；（6）執法，包括廣泛的人工智能系統，例如，用于評估任何個人實施犯罪或再次犯罪的風險；預測刑事犯罪的可能性，以及檢測和調查欺詐性內容；（7）邊境管制管理，包括用于控制和管理邊境、移民和庇護程序的人工智能系統；（8）司法管理和民主程序，包括通過評估和解釋事實和/或針對事實提出法律建議來協助司法程序的任何人工智能系統。高風險人工智能系統構成人工智能系統的大多數，是AIA 整個制度設計的核心。按照AIA 的規定，在高風險人工智能系統進入市場之前，應該完成四個步驟。（1）進行內部事前人工智能影響評估和遵守由包容性多學科團隊監督的行為準則。（2）經過合規評估，并在其生命周期內持續符合歐盟人工智能法案中規定的人工智能要求。對于某些系統，外部認證機構將參與合格評定審核。這一動態過程確保了基準測試、監控和驗證。此外，在改變高風險人工智能系統的情況下，必須重復步驟（2）。（3）在專門為高風險人工智能系統所建設的歐盟數據庫完成注冊。（4）必須簽署符合性聲明，高風險人工智能系統必須帶有CE 標志。

AIA 中的第52 條要求提供者向用戶表明他們正在與人工智能系統交互和/或正在被提供人工生成的內容。以此允許用戶作出明智的選擇，是否與人工智能系統及其可能生成的內容進行交互。透明義務意在保護人們知道是否以及何時與機器的算法而不是人類進行交互的權利。直接與人類互動的人工智能系統（聊天機器人、情感識別、生物特征分類和內容生成系統）的提供商，需要遵守一定的透明度義務，唯一免除這些透明度義務的是最小風險人工智能系統。

低風險人工智能系統包括既不使用個人數據也不做出可能直接或間接影響任何個人的預測系統。此外，在獨立人工智能系統之外，還需要關注嵌入式人工智能系統，所謂嵌入，即指這些人工智能的部分僅是其他歐盟法規涵蓋的產品或服務的組件，如玩具或醫療設備。雖然這些系統不屬于AIA，但是它們仍然必須符合AIA 在協調指令下規定的要求。對于未被禁止的人工智能系統，當其風險較低且不在現有部門法規的涵蓋范圍內，將適用“高風險人工智能系統”的規則。這些系統必須經過符合性評估。不過，合格評定可以不同方式進行。例如，一些人工智能系統是消費產品的一部分，這些產品在投放市場之前已經經過了測試和認證（如醫療設備）。對于這些嵌入式人工智能系統，不需要額外的合格評定程序。取而代之的是，AIA 中規定的要求將被納入現有特定部門的安全立法。

三、風險分級的來源與風險治理理論的提出

（一）“巨石疑案”與分級治理的前提

Jervan der Heijden 以“巨石”設問演示了風險問題的復雜性。一塊可能從懸崖上掉下來的巨石是否總是構成風險，還是只有當它可能損害或破壞對人類有價值的東西時才構成風險?為了估計風險，僅僅知道巨石墜落的客觀概率就夠了，還是需要其他形式的知識（例如，巨石墜落的政治和社會后果）?誰的知識將被用于這種估計——專業的巨石專家的知識，直接受巨石墜落影響的人類的知識，其他人的知識，或所有這些人的知識的組合?

這些設問涉及風險的本體論、認識論與評估，對于這些問題的解答揭示了風險認知的建構主義與實在主義的強烈矛盾。解析“巨石疑案”，有助于我們了解風險理論的基本特征。對風險的本體問題，建構論雖然認為巨石墜落的危險是真實的，但存在于人類的感知中；實在論則認為風險是世界的一種狀態，無論特定的風險是否被人類體驗到，風險都是真實的。在風險的認識問題上，建構論認為風險及其后果只能被主觀地認識，對風險的認識是一個社會過程；實在論則認為風險發生的概率以及其后果可以被客觀地了解、描繪，因此可以被治理和監管。在風險的評估上，還原主義認為風險估計只應依靠由專家和專業人員收集的定量的技術知識以及經濟效益-成本分析；系統性方法則認為除了這些硬數據和知識，還有其他形式的數據和知識（非專業人士或政策制定者對風險或對風險發生時的非經濟影響的看法）。⑨See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.雖然爭議很大，但在風險理論的研究中，研究者也多兼采兩者，如貝克即認為，只要這些理論有助于理解我們所處的風險社會中復雜又矛盾的風險本質性，便可以同時使用實在論和建構論。⑩［德］烏爾里希·貝克《再談風險社會：理論、政治與研究計劃》，載芭芭拉·亞當等編《風險社會及其超越社會理論的關鍵議題》，趙延東等譯，北京出版社2005 年版，第321 頁。

與理論的激烈爭論不同，在風險管理制度設計與實踐上往往是“僅得乎中”的結果。因此，雖然人類對于風險的認識歷經長期演變，但逐漸被認可的觀點是，所謂“風險”意味著按照某種概率發生的不利后果或者損害，因而是可以預測和計算的，屬于人們進行選擇和決定之際存在的問題。?參見季衛東：《決策風險、問責及法律溝通》，載《政法論叢》2016 年第6 期。在這個意義上，風險雖與“不確定性”（uncertainty）相關，但風險又并非完全的不確定性。因為不確定性是反映出物及其發展過程充滿變數、難以把握的特性。不確定性無處不在，但在一定時期內，有理論認為有些概率是可預測的，由此區分為可預測的不確定性和完全的不確定性。當然，這些認識還可能隨著時間的推移而改變，對于風險的新理解已經將公共治理的對象從物質和事項轉移到了人類行為，治理的模式也從恢復損害和預防損害轉移到了將公認的行為規范強加給人們并使其內化。?See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.p.8.就人工智能風險而言，主要是指與人工智能風險相關的技術未來狀態的不穩定與無法確定。因此，對人工智能風險治理的討論不止于技術本身，還包括“使用這些工具的人”。?參見［美］卡里·科利亞尼斯：《算法規制：作為治理工具的機器學習》，孟李冕、宋華琳（譯），載《湖湘法學評論》2022 年第2期。不過，人工智能風險屬于技術風險,與自然風險又有不同，因為自然發生的風險是不可避免的。?徐旭：《技術風險認識研究》，東北大學出版社2022 年版，第8 頁。技術風險是一種客觀結果與主觀認知的結合,是事實判斷與價值判斷的綜合體。?毛明芳：《現代技術風險的系統學審視》，人民出版社2020 年版，第50 頁。

然而，面對復雜問題和監管實踐的動態性，基于風險的治理需要對受監管對象的行為、制度環境、監管控制的相互作用、監管績效和變化等五個要素做出反應性的監管。此外，監管機構在不同的監管任務中面臨的挑戰也各不相同，包括檢測、響應開發、執法、評估和修改等方面。因此，對基于風險的治理進行修訂和更細致入微的理解變得至關重要。在立法和規則制定的過程中，定義清楚治理對象是一件非常重要的事情，以納米材料為例，David A.Dana 討論了面向風險的適應性監管的內容。?See Dana,David A.＂Toward risk-based,adaptive regulatory definitions.＂ The Nanotechnology Challenge: Creating Legal Institutions for Uncertain Risks.Cambridge University Press,2011.105-116.Jervan der Heijden 回顧了風險治理以及基于風險監管的實例，為將面向風險的治理方法引入到人工智能安全風險評估與管控領域提供了啟發。?See van der Heijden,Jeroen.＂Risk governance and risk-based regulation: A review of the international academic literature.＂ State of the Art in Regulatory Governance Research Paper Series (2019).總的來說，定量評價人工智能產品與服務的安全風險評估指標，需要綜合考慮多個方面的因素，包括AI 的性能、效率、公平性、透明性、可解釋性等，并需要在實踐中不斷探索和完善。同時，也需要建立一套統一的評估標準和方法，以便在全球范圍內進行比較和交流。對此文章不再予以展開。

在人工智能風險治理上，進行必要的風險分級是治理制度設計的基點。技術研發及其產品生產與應用的潛在失敗可能給更廣泛的社會主體包括企業和家庭帶來成本，因此隨著人工智能復雜性、規模和互聯性的增長，監管機構通過更嚴格的法規將面臨更高的治理成本。隨著企業系統重要性的增加，其失敗的社會成本也在增加。因此，科學的人工智能治理框架設計的重要原則是，該框架必須通過一個持續的過程來發展，吸納可能出現的新風險。“分級”是一種“定性”分析方法，除上文提到的AIA,還被《通用數據保護條例》（GDPR）所接受。不過，分級也需要確定風險指標進行評分甚至加權。?［美］道格拉斯·W.哈伯德：《風險管理的失敗：為什么失敗以及如何修復》，中國金融出版社2021 年版，第25 頁。

前文對于“巨石疑案”的解析已經顯示，風險僅可在風險發生時才可被評估，且風險的評估受評估主體主觀認知的影響，如上風險理論所提出的疑問是，在立法上對于風險進行預先的分級是否是科學可行的？不過，這種疑慮在對于實踐做法的觀察中似乎又有所緩解，原因是實踐中對于風險的評估幾無例外地采納了分級的做法。理論上的解釋是，對于風險進行標準化的立法是必要的，原因是鑒于人工智能系統巨大風險，迫使立法者基于功利的思想或者“成本-效益”分析，必須對其進行事前的監管。而且，對于風險的事前分級并未排除具體個案風險評估中對于具體因素的考量。如果將風險的分級作為治理的基礎，這種靈活性還體現在分級的具體模式上，比如建設動態調整的高風險人工智能系統的目錄。

（二）治理理論與風險的交融

對于人工智能治理框架的整體思考，有必要區分規制（Regulation）與治理（Governance）兩個概念。整體來看，廣義“規制”概念與“治理”概念多有重合。狹義上來說，規制是治理的一大領域，是供給（Providing）與分配（Distributing）之外的對事物與行為的調控。?See Julia Black,Critical Reflections on Regulation.Australian Journal of Legal Philosophy (2002) 27,1-36.John Braithwaite,Cary Coglianese,David Levi-Faur,Can regulation and governance make a difference? Regulation &Governance (2007) 1,1-7.

1.規制與治理的分野

“規制”聚焦于政府或其他主體通過規則對其他主體進行控制，而治理尤其是公共治理則聚焦于對不同主體如何通過合作來共同完成公共治理目標。與此相關，“規制法”是事關如何控制規制主體使其合法行事的法，包括在其規則制定、規制策略選擇等規制活動中應當受到的合法性控制等；而治理法則是不同主體如何相互合作共同實現公共任務的法，包括不同主體設定共同目標、制定與執行規則、相互協商與合作、分擔責任的法律框架等。?參見王瑞雪：《規制法的體系分析——評〈規制、治理與法律：前沿問題研究〉》，載章劍生主編《公法研究》第21 卷，浙江大學出版社2022 年版，第383-395 頁。對于人工智能風險的治理，屬于治理法的內容。而其治理框架的設計，也需要借助治理法的基本理論方得以建立。

2.盧曼對風險的二階觀察及其啟示

當我們試圖對風險分級治理進行深入探究時，就會超越風險管理的決策分析，進入到法律或者法學理論對于風險的理解領域。在法律領域，德國學者盧曼對風險的研究影響深遠，其中風險的事實與觀察的二階觀察（second-order observation）最富洞見。風險的一階觀察其實是一個觀察“什么”的問題。對于一階觀察者來說，客觀世界的區分已經被設定好了，觀察意味著把區分標識出來，以獲得視覺、認知上的效果。而對于二階觀察者來說，在一開始的觀察中，并不存在“那兒有”的想法，世界并未被區分好，觀察意味著設定區分和標識區分。因此，二階觀察者要觀察的并不是“什么”的問題，而是一個“如何”的問題。或者說，當二階觀察開始時，二階觀察者要觀察的就是特定主體作為觀察者的角色，觀察他觀察的方式，也就是觀察他的標識一個方面，而非區分是怎樣的。?參見賓凱：《政治系統與法律系統對于技術風險的決策觀察》，載《交大法學》2020 年第1 期；張戍凡：《觀察“風險”何以可能：關于盧曼〈風險：一種社會學理論〉的評述》，載《社會》2006 年第4 期。在這里，行動者自己的一階觀察與把行動作為他人決定來把握的二階觀察會導致對決定的風險作出完全不同的評價；當人們清楚地認識到未來有賴于決定，而決定具有風險時，行動者與行動評價者的視角分歧就會變得非常大。某種損害產生的可能性，對決定者而言是可以選擇的風險，但對受決定影響者而言則成為不得不承受的危險。由此推而論之，一個決定可以在決定者（行動者）與受決定影響者（行動評價者）之間劃分出鴻溝，也可能產生出潛在的糾紛以及抗議運動。由于這類鴻溝與矛盾、抗議運動起因于人們分別作為行動者和行動評價者的不同視角的“二階觀察”，所以在解決這類問題時有必要部分地返回行動者、決定者自身的一階觀察層面通過實踐進行檢驗，或者在二階觀察的層面通過信息公開和合情合理的說明來加強溝通和相互理解。?同前注⑩。

3.技術風險治理與風險預防原則

盧曼的二階觀察與人工智能風險治理的關系為何？換句話說，盧曼對我們的指導為何？答案是，盧曼的風險理論對人工智能風險的分級治理的直接啟發，應該是科技與法律的結構耦合確實可用于解釋風險預防原則。這一點賓凱教授曾作了分析。風險預防原則（the precautionary principle）的核心內容在于，當法律系統在面對將來的環境和技術不確定性所導致的過量復雜性時，運用科學技術方法對科學技術本身進行評價，然后根據評估結果在各種價值之間進行衡量并做出能夠降低環境風險的決定。簡言之，風險預防原則包含最為關鍵的兩個要點：對現有科學在因果關系上不確定性程度的評估；對風險決策所可能導致的損失和收益之間的權衡。在一定意義上，風險預防原則可以看成是法律系統與科學系統相互作用的結構耦合（structure coupling）。法律系統運用合法/非法的二元符碼（code）進行溝通操作，保證了系統的規范性和封閉性。法律系統同時運用“如果……那么……”的程式（programme）對外部刺激保持認知性和開放性。例如，科學系統在環境保護中所扮演的重要角色，就是通過程式進入到法律系統，并把法律系統外部的刺激帶進法律系統內部，以維持法律系統對外部的認知性，也即從系統的環境中學習的能力。?參見賓凱：《政治系統與法律系統對于技術風險的決策觀察》，載《交大法學》2020 年第1 期。經過這樣的雙重計算，人類社會就可以對風險預先進行干預。當然，風險預防原則并非法律系統應對未來不確定性的唯一工具，風險評估和風險防治也是工具箱中的備選項。比如，環境影響評估就是一項被廣為接受的法律工具。歐盟指令就包含了對公用或私人所涉及的環境項目的影響性評估。另外，責任也是風險應對的一種工具。先放下責任問題，單就風險預防問題而言，正是疏通了預防原則，才能使得對人工智能分級治理有了更為堅實的理論基礎。當然，盧曼的二階觀察理論也支撐了上文對于現代技術風險包含人的認知與價值判斷的觀點。這為將盧曼的二段觀察納入風險理論，尤其是現代技術風險理論內部，構建現代技術風險理論體系（包括風險分級）提供了可能。換句話說，現代技術風險具有了融通內外的特性，具有超越盧曼二階理論傳統理解的特質。

四、規制空間的引入及其應用

（一）規制資源與規制空間建設的基本邏輯

“規制空間”（Regulatory Space）理論被用以觀察規制權威的分散，是對規制權力擴張的一種更為具體的解釋方案。?參見［英］科林·斯科特：《規制、治理與法律：前沿問題研究》，安永康譯，宋華琳校，清華大學出版社2018 年版，第31 頁。在規制領域，控制的核心問題在于關鍵規制資源的碎片化。規制空間隱喻的核心觀點認為，要占有規制權并有能力實施規制，需要有相關的資源，而資源呈現分化或碎片化的樣態。這些資源不限于由立法或合同演化出的正式國家權力，還包括信息、財富和組織方面的能力。這些資源分散于各種政府主體之間以及政府與非政府主體之間。被規制企業可以結合其擁有的信息與組織方面的能力，獲取相當大的非正式權力，這種權力甚至能對規則的形成或實施結果產生重大影響。換言之，這種因占有關鍵資源而獲取的能力，未必以科層制的方式運作于規制空間之中，規制者未必凌駕于被規制者之上。在規制空間中，不僅同時存在規制者與被規制者，還存在很多其他政府與非政府主體，這些主體在不同程度上分享著規制資源。并且在各主體之間橫向存在著復雜多變的關系，彼此相互依賴、相互協商。?同上注。

有效的規制是規制空間內各主體所擁有的資源、價值觀及其之間的關系相互作用的產物。制度設計或者規制改革自然應當關注各個主體并使其發揮潛力，在事實上形成政府主體之間的分權，以及政府與非政府主體之間的分權。這種分析促使我們質疑規制者在規則制定與執行過程中做出專業化、技術性決定的能力，使得我們更加關注能以怎樣的程序在規制空間中形成和塑造多元化、相互交疊的權力。?同前注?，第51 頁。調整各規制者所承擔職能之間的關系，可以間接地改變規制空間內規制主體的視角，規制空間中的行為也會發生相應改變。?同前注?，第52 頁。為此需要形成“規制空間內部的動態變化”。?同前注?，第53 頁。該理論所提出的解釋方案，實際上是認為規制能力、規制角色與規制責任之間互為因果關系，有循環論證之嫌。但其洞見仍對我們理解廣義規制概念極有助益，提醒我們不僅公權力可以產生高權關系，私人主體基于信息、財富與組織能力亦有可能成為規制過程中的權威。

除此之外，規制權威的分散化，使得在規制空間內各主體之間形成了可協商的相互依存的關系。與資源分散這個主題相關的是，規制空間觀念還鼓勵我們重新考慮可問責性（accountablity）的性質，并將其同民主控制與規制復活等議題相聯系。?同前注?，第40 頁。限于本文的論證主題與篇幅，不再討論這一問題。

治理者在風險治理中面臨的一個挑戰是：他們可能會在事情平靜的時候被批評得過于嚴厲，而在風險已經實現的時候又過于松懈。換句話說，風險監管的增長可能會給政府帶來合法性問題：如果它試圖解決的問題沒有發生，它如何能證明其有效性？這樣就導致了監管者高度依賴第三方評估及對其問責的問題。或許正是由于問責制，提高風險治理制度的開放性成為努力方向。?See van der Heijden,Jeroen (2019).Risk governance and risk-based regulation: A review of the international academic literature.State of the Art in Regulatory Governance Research Paper -2019.02.Wellington: Victoria University of Wellington/Government Regulatory Practice Initiative.p.23-24.

（二）構建以技術為基礎的風險治理框架

由規制空間理論觀察對于人工智能風險的治理，正在形成一個“金字塔結構”，從塔底到塔尖依次是技術及其標準、商業模式、倫理準則與法律。尤其是在法律3.0 的視角下，本來作為治理對象的技術，所發揮的基礎治理作用越發被人重視。就風險監管而言，促進技術向生態化、人文化轉變具有基礎作用。此外技術上的努力至少包括對風險的預警、評測（量化處理）等方面。這需要在具體應用場景中發展具體的標準與實驗方法。就實驗方法而言，目前國家網信辦正在推動的人工智能社會實驗廣受關注。

在倫理與法律的雙螺旋中，倫理是綜合監管制度設計的基準與底線。GAI 的開發與應用作為人類科技實踐活動，應當與人的目的相一致，與社會核心價值、發展目標相契合。為此，應充分考慮社會各界對GAI 應用的高度倫理關切，全面研判潛在倫理風險，重點參照國內外具有較大影響力的倫理指南、政策文件、標準共識，貫徹落實《中國新一代人工智能倫理規范》《關于加強科技倫理治理的意見》等重要文件精神，制定相關倫理治理原則，將增進人類福祉作為第一要義，負責任地開發GAI。

結合具體場景設計具體規范作為指引，完善合法與違法的二元化編碼規范體系。盡管倫理原則彰顯了AIGC 倫理治理的價值導向，仍須在此基礎上，根據GAI 的具體應用情境和技術條件，制定更具操作性的倫理與法律規范和行為準則。首先，應加強對GAI 各領域及其特征的分析研判，識別潛在倫理風險；其次，針對應用實踐，梳理各類影響因素并據此確定具體應用規范和治理指南；再次，應全流程記錄規范的實施過程與實效結果，及時反饋評估以期規范的動態調整與可持續地發揮作用。為了減少時間限制、防控決策風險，現代法治國家的制度設計普遍推行以“合法”與“違法”的二元化編碼為特征的規范圖式。“通過合法與違法的二元化編碼和規范思維的形式性要求，可以把決定者從問責的重負中適當解放出來并同時對自由裁量權加以制約，可以使風險溝通的復雜性大幅度簡化，有助于就決策的妥當性和問責標準達成共識。”?同前注⑩。此外，這一規范模式中結果指向的實質性判斷重視風險意識的作用，也促使法律責任從過失責任轉向危險責任，并不斷加強行動者、決定者的注意義務。?參見［德］烏爾里希·貝克：《風險社會》，何博聞譯，譯林出版社1992 年版，第77-78 頁。

（三）風險溝通與協調的監管格局

正如季衛東教授所指出的，風險社會的實質是問責以及相應的溝通。民主參與的實質是處理風險溝通問題的制度安排，或者說是通過溝通來管理風險的制度安排。?同前注⑩。為了凝聚社會風險治理的合力，還需要進行如下方面的努力：多渠道進行科技倫理與法律宣傳、活動與交流，提升公眾的科技倫理意識，廣泛聽取專業意見，建立可靠的監督機制，推動形成多方參與、協同共治的科技倫理與法律治理格局。學界應積極推動跨學科融合對話，以GAI 治理為導向，采眾學科之長，實現學科內部的“精耕細作”和跨學科研究的“集團作戰”。企業應增強責任意識，完善企業在倫理與法律風險方面的決策、咨詢與調控的制度框架，提高企業對AIGC 風險的識別、評估、處理能力。民眾應主動學習科技倫理與法律知識，增強科技倫理意識，提升對虛假信息的鑒別能力，自覺踐行科技倫理原則，堅守科技倫理底線。通過這些制度的建構，最終有助于形成當今中國化解風險溝通難題的一種合理對策，誠如季衛東教授所言，這一對策的典型特征是將政治問題法律化、法律問題程序化、程序問題技術化、技術問題論證化。

法律規則本質上也是溝通機制。在對立法價值與規范目的進行設定之后，規則設計的最大挑戰可能是價值的精確表達。但立法者常常無法提供這樣的精確性，要么因為個人本身無法將此具體化，要么因為就所需的精確程度而言，并不存在社會共識。回顧立法歷史，立法規則的顆粒度都不高，立法者一般會選取“合理”“可行”和“適當”等寬泛的術語。正是由于價值偏好的不確定性、混亂和分歧，法律經常依賴于空洞的術語。按美國法律學者卡斯·桑斯坦（Cass Sunstein）的話說，這種價值精確性的挑戰是“未完全理論化合意”（incompletely theorized agreements）。因此，在開發整合性的設計選擇時，應盡可能公開程序；當具有可行性時，應通過咨詢委員會、公開聽證會或公眾評論期的設置，給公眾和專家以參與的機會。這種技術必要性引發的兩個實際問題，將會困擾依靠將人排除于決策之外的算法系統的政府官員，并可能成為對其使用的最為實質性的限制：第一是價值完整性問題，第二則是價值精確性問題。在此不再贅述。

（四）合理處理風險與民事責任的互動關系

風險與責任的互動關系尚未被重視，在歐盟AIA 中也并未涉及責任承擔的問題。不過，在民事責任領域，風險與侵權歸責存在緊密的關系。在過錯責任中，風險關系著過錯的判斷；無過錯責任歸責的基礎就是風險。此外，風險也影響著侵權責任的承擔。?Johanna Chamberlain，The Risk-Based Approach of the European Union’s Proposed Artificial Intelligence Regulation: Some Comments from a Tort Law Perspective，European Journal of Risk Regulation (2023),14,1-4.人工智能風險分級與損害發生后的責任承擔存在何種互動關系，在歐洲議會關于《人工智能民生責任制度的決議》中已經有所提及。?European Parliament resolution of 20 October 2020 on a civil liability regime for artificial intelligence,2020/ 2014(INL).具體來說，與AIA 類似歐洲議會也采納了分級的觀點：不同的責任規則對應著不同的風險。歐洲議會建議協調成員國民事責任賠償的法律框架，對高風險人工智能系統的運營商施加無過錯責任。對于未列入高風險人工智能附件中的人工智能系統，則承擔過錯責任。進一步說，對于有限風險的人工智能系統進行過錯推定，對于最低風險的人工智能系統則采用一般過錯責任。?Johanna Chamberlain，The Risk-Based Approach of the European Union’s Proposed Artificial Intelligence Regulation: Some Comments from a Tort Law Perspective，European Journal of Risk Regulation (2023),14,1-4.在我國的人工智能地方立法實踐中，雖然《上海市促進人工智能產業發展條例》《深圳經濟特區人工智能產業促進條例》均采納風險分級的制度，但限于地方立法權限并未涉及責任制度。這為國家層面的人工智能立法進行了留白，而上述歐盟法對于風險與責任互動關系的認識，對于未來人工智能國家立法或有助益。