生成式人工智能的法律風險及其規制

摘" " " 要：生成式人工智能技術作為一種“破壞性創新”，在推動技術變革的同時，也因其獨特的技術邏輯帶來了諸多治理風險。如生成式人工智能巨量化數據的訓練模式存在數據侵權風險，基于人類反饋的強化學習模式則可能加劇虛假信息的生成和傳播，其技術壁壘又會強化互聯網巨頭的壟斷地位，進而帶來一系列風險。而我國現行法律對生成式人工智能的規制雖然形成了初步框架，但仍在宏觀和微觀方面存在困境，以歐盟和美國的監管措施為鏡鑒，我國應當秉持包容審慎的理念，協同多元主體對生成式人工智能進行共商共管，通過“共建”“共治”實現成果“共享”。

關" 鍵" 詞：生成式人工智能；法律風險；規制進路

中圖分類號：D9；TP18" " "文獻標識碼：A" " "文章編號：1007-8207（2024）04-0088-13

一、問題的緣起

自2022年11月Open AI公司推出ChatGPT后，以“大模型、高算力”為顯著特征的生成式人工智能成為推動數字變革的新一輪驅動力。生成式人工智能是基于算法、模型、規則生成文本、圖片、音頻、視頻等內容的一種先進語言模型技術，能夠依據其訓練數據創造出新的、原生性的信息內容，從而實現論文寫作和代碼編寫等功能。生成式人工智能實現了從“決策型”到“創造型”技術模型的轉變，它在掀起新一輪技術革命的同時，也為數字化時代催生出新的商業發展模式。生成式人工智能技術的蓬勃發展對科技創新和產業迭代有著巨大助益，但技術革新往往伴隨著新的風險，學界對生成式人工智能的關注主要聚焦在知識產權和隱私權保護、刑事犯罪以及壟斷競爭等領域。此外，由于生成式人工智能具有技術壁壘高、專業性強的特征，也存在互聯網巨頭利用該技術進行算法歧視并排除限制競爭的情況。

針對生成式人工智能所引發的諸多法律風險，各國積極探索監管措施并對其進行規制，2022年10月，美國白宮科技政策辦公室發布《人工智能權利法案藍圖》，確定了五項基本原則以幫助指導包括人工智能在內的自動化系統的開發和部署。2023年6月，歐洲議會通過了2021年4月由歐盟委員會提出的《人工智能法案》，該法案將人工智能的風險劃分為不同等級并通過區分策略進行普適性監管治理。在我國，2023年7月，國家網信辦聯合發改委等多部門出臺了《生成式人工智能服務管理暫行辦法》（以下簡稱《暫行辦法》），進一步規范了數據處理等活動，滿足了促進生成式人工智能健康發展的迫切需求。我國的監管措施相較于歐美來說尚處于起步階段，而生成式人工智能技術因其自身特點而對治理提出了新的挑戰，在規制方面也存在“多手問題”、算法黑箱等歸責困境。

二、基于技術邏輯的生成式人工智能的法律風險

（一）訓練模式變革誘發數據侵權風險

數據巨量化推動了生成式人工智能技術的發展。不同于以往的用戶產生內容和專業生產內容，生成式人工智能是網絡形態演化產生的生成式網絡信息內容技術，巨量化的數據訓練是其顯著技術特征之一。生成式人工智能的創造性功能依附于大數據語料庫的“投喂”，即依賴于大量數據的預演訓練，生成式人工智能才得以實現內容的創作。數據是生成式人工智能的燃料支撐，但數據源的獲取可能會產生數據侵權風險。

第一，知識產權類侵權，典型表現為著作財產權侵權。以DALL-E-2等AI繪畫工具為例，其工作流程可以分為三個階段：一是爬取大量美術作品作為訓練素材進行數據輸入，通過算法將美術作品進行數字化處理形成可供機器識別的數據格式復制、儲存在數據庫內部；二是人工智能利用算法對數據化的美術作品復制件進行機器解析和學習；三是人工智能進行自主創作，以其訓練素材中的全部或部分美術要素生成AI繪畫作品。顯然，在數據輸入和機器學習階段，爬取美術作品并復制到人工智能訓練數據庫的行為，以及機器學習過程中對原始復制件進行分解而形成永久復制素材的行為，若未經許可均構成對著作權人復制權的侵犯。若AI繪畫輸出的作品表現為原美術作品的全部或部分同質化呈現，同樣存在侵犯著作權的法律風險。［1］

第二，個人信息類侵權，數據獲取過程可能會侵犯個人信息，違反個人信息處理規則。為保障個人信息的合法流通和使用，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第十三條構建了以知情同意模式為原則，輔之以列舉、兜底方式明確免責或例外情形的規制模式，《暫行辦法》在第七條中同樣規定，應當使用具有合法來源的數據開展訓練數據處理活動，對于個人信息應當取得個人同意或符合其他法定情形。但是，就目前生成式人工智能的技術特征和營運傾向而言，知情同意規則顯然無法嚴格貫徹。一方面，要求人工智能的開發者對每一用戶收集到的數據做到“知情同意”不具有期待可能性。《個人信息保護法》采取的是積極同意模式，不同于消極同意模式的“未明確拒絕即視為同意”。積極同意模式要求征得信息主體的明確同意、單獨同意與書面同意，并且在信息處理過程中更改信息處理方式應當重新取得同意。［2］這就導致了合法的信息處理行為成本極為高昂。另一方面，個人信息在與人工智能交互的過程中同樣存在不法利用風險。OpenAI在其隱私政策中表示，“我們可能會使用您提供給我們的非通過API接入的內容來改進我們的服務”。“可能會使用”意味著包括交互內容、登錄信息等用戶信息可能存在個人信息泄露以及數據出境的風險。云安全公司Wiz于2023年9月撰文披露微軟人工智能部門泄漏38TB敏感數據。［3］可見，數據泄漏仍是生成式人工智能開發、使用過程中不容忽視的風險。

（二）人類反饋模式加劇虛假信息傳播

生成式人工智能爆發的虛假信息風險屢見不鮮，有賴于人工智能技術生成虛假信息的便利性，并且由于人工智能的深度偽造技術能夠使虛假信息極為逼真，從而引發社會風險。顯然，生成內容缺乏真實性是生成式人工智能的突出風險，真實性存疑的輸出結果將持續影響公眾政治判斷和選擇，并隱蔽塑造公眾輿論和觀念。究其原因，人工智能生成虛假信息的主要技術成因除預訓練數據本身參差不齊外，更重要的是基于人類反饋的強化學習模式加劇了虛假信息的生成和傳播。

第一，人工智能“自主”生成虛假信息的技術因由在于預訓練數據和訓練人員素質的參差不齊。從技術邏輯上看，人工智能對其學習材料按照語義關聯性進行重組，生成與用戶需求最相關的創作內容，例如ChatGPT等語言模型具有“自回歸特性”，能夠通過對詞頻進行預測生成文本，這種基于語義關聯性和上下文情景的生成方式過分關注生成內容的語意自然連貫而忽視生成信息的客觀、公正與真實。在預訓練數據方面，生成式人工智能所需訓練數據體量龐大，而投喂的數據往往難以保證其質量。盡管開發者往往會聲明對人工智能模型的訓練數據進行了篩選和剔除，但是也有報道稱OpenAI所謂的通過“過濾技術”將具有“虛假性、歧視性以及違法違規的內容”排除的做法僅僅是雇傭廉價勞工進行數據標記。［4］可見，開發者實施的內容過濾的有效性依舊存疑。簡言之，由于訓練數據的真實性和可靠性缺失，內容審查機制的有效性同樣不足，故而滋生了人工智能生成虛假信息的亂象。

第二，人工智能被“操控”生成虛假信息技術的因由在于基于人類反饋的強化學習模式。基于人類反饋的強化學習模式是指輸出內容會經過人類反饋后成為新的輸入內容反饋給機器，由此循環往復、不斷調整完善。為使得人工智能在交互過程中采取最優行動，每一個訓練回合中均設置了獎勵機制，通過人類標注員反饋的方式評估人工智能的學習行為，引導人工智能形成“能夠最大化獲得獎勵”的動作序列。［5］人類反饋模式加劇虛假信息傳播的表現則著重體現在以下三個方面：一是開發者雇傭的人類標注員因意識形態、個人信仰、語言文化等方面存在差異，而不可避免地在標注過程中摻雜個人偏見或歧視。這些帶有偏見或歧視性的內容會在人工智能與用戶交互的過程中顯示出來，而生成式人工智能卓越的情景化和個性化處理能力使其更具“煽動性”，從而隱蔽地對公眾觀念產生影響，進而產生社會風險。二是開發者出于成本和效益的考量存在利用用戶去訓練模型的傾向，給予了普通人對人工智能進行目的性訓練的能力，從而給虛假信息傳播創造了空間，形成“人為操縱型風險”。生成式人工智能在服務用戶過程中所產生和收集的數據同樣會成為其訓練數據的一部分，若就某些訓練樣本量不足的人物或事件對人工智能進行特定訓練，則極有可能生成虛假信息。［6］三是人工智能能夠根據用戶需求“改進”回答內容，這極易造成生成內容濫用的風險。語言模型輔助的內容生成技術能夠更低廉、更有效地生成虛假信息，大模型更是擁有創建高度逼真的合成文本或語音的能力，“地鐵一鍵脫衣”“火車傾覆造成重大人員傷亡”等虛假新聞屢見不鮮，虛假信息識別難度也不斷提高。

（三）競爭壁壘鞏固互聯網巨頭壟斷地位

生成式人工智能所帶來的另一大風險是，因競爭成本的存在而導致互聯網巨頭的壟斷地位得到加強。由于核心技術的公開導致技術壁壘不再成為障礙，但對人工智能進行訓練所需的人力、物力、財力卻成為天然的競爭壁壘限制了中小企業進入市場競爭，而大型互聯網公司因為其龐大的用戶基數，能夠源源不斷生成可供使用的用戶數據，加之有著雄厚資本的支撐，對進入這個高收益市場有著先天優勢。顯然，因為競爭壁壘的存在，生成式人工智能的興起會鞏固科技巨頭的壟斷地位。

第一，科技巨頭能夠通過“壟斷杠桿”效應，將其既有領域市場地位所帶來的優勢和資源傳導至新領域，從而快速獲得新的競爭優勢和支配力量。開發、訓練和維護生成式人工智能成本高昂，據國盛證券估算，為滿足ChatGPT千萬級用戶的咨詢量，初始算力投入成本約為7.59億美元；參考HashrateIndex統計，保障ChatGPT每日運行的電費約為4.7萬美元；基于參數數量和token數量，根據OneFlow估算，GPT-3訓練一次的成本約為139.8萬美元，對于一些更大的LLM模型訓練成本介于200萬美元至1200萬美元之間。在數據方面，則涉及數據的獲取、處理以及質檢的成本。可見，對于大型互聯網公司而言訓練成本雖然高昂但仍可以接受，但是對于中小企業而言卻存在天然的障礙。

第二，科技巨頭投入開發生成式人工智能是為了與自己下游產業相結合，從而強化其原有或衍生業務領域的市場優勢地位，不斷擴展并鞏固自身企業的生態版圖。2019年微軟頗有遠見地與OpenAI公司進行合作，并在ChatGPT展現出巨大的商業價值后對OpenAI完成收購，隨后推出了AI版Office“全家桶”——Microsoft 365 Copilot，使得Word、PowerPoint、Excel等辦公軟件能夠根據用戶需求進行文字、配圖和數據分析等工作。此外，微軟還將ChatGPT嵌入其搜索引擎Bing，這直接使得New Bing軟件的下載量暴漲十倍，也使得全球最大的搜索引擎谷歌面臨25年來的最大威脅。在2023年的微軟開發者大會上，微軟宣布將其幾乎所有主打產品都嵌入Copilot，集成生成式AI功能，并與Open AI一起打造ChatGPT插件生態。［7］微軟收購ChatGPT以來的一系列舉動極大地鞏固了其市場地位，并突破性地拓展了其商業版圖，推動了平臺權力的中心化。

由此可能產生的風險則在于：其一，互聯網巨頭可以利用原有市場份額完成迅速擴張，而初創企業則在各方面受到限制，容易形成行業壟斷；其二，為規避反壟斷制裁，科技巨頭會選擇通過與規模較小的創新企業進行“合作”而非“并購”，這種新型方式使得反壟斷監管的判定更為艱難；［8］其三，用戶數據對互聯網公司而言極為重要，而在生成式人工智能嵌入平臺后，超級平臺能夠以一種新的、更全面的方式收集用戶信息，并將進一步掌握用戶的個人信息和隱私；其四，經人工智能“私人訂制”后的個性化推薦可能加劇信息繭房，影響公眾的知情權和選擇權；其五，可能會造成知識的來源被互聯網巨頭把控的局面，人工智能將成為權力的媒介，人工智能生成的內容會反應科技巨頭的價值觀。同時，上述風險由壟斷產生，又會強化互聯網巨頭的壟斷地位。

三、現行法律規范框架下生成式人工智能的規制困境

（一）生成式人工智能風險規制的現狀

從我國現行法律基礎來看，在宏觀層面已對生成式人工智能的規制形成初步框架，微觀層面也有較為明確的規范指引。從宏觀上看，生成式人工智能的治理框架可以分為“硬法”和“軟法”兩個層級，“硬法”依賴于國家強制力保障其有效實施，而“軟法”則更強調通過公共政策、行業自我約束等手段產生社會實效。在“硬法”層面主要有：⑴頂層法律。《中華人民共和國民法典》（以下簡稱《民法典》）《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）《中華人民共和國數據安全法》（以下簡稱《數據安全法》）《中華人民共和國科技進步法》《個人信息保護法》等法律均涉及對生成式人工智能的規制。⑵地方性法規。上海、深圳等地方人大頒布了《上海市促進人工智能產業發展條例》《深圳經濟特區人工智能產業促進條例》等地方性法規。⑶部門規章。國家網信辦等多部門出臺了《互聯網信息服務算法推薦管理規定》《互聯網信息服務深度合成管理規定》《暫行辦法》等部門規章。在“軟法”層面：⑴產業政策。我國發布了包括《新一代人工智能發展規劃》在內的一系列產業政策。⑵科技倫理。《新一代人工智能倫理規范》明確了人工智能的基本倫理規范。⑶行業標準。包括《人工智能深度合成圖像系統技術規范》《信息安全技術機器學習算法安全評估規范（征求意見稿）》等。可見，我國目前在宏觀層面鼓勵人工智能的創新發展，并對生成式人工智能的透明度、可解釋性以及倫理規范和技術標準予以額外關注，通過“硬法”和“軟法”對生成式人工智能進行多層次的綜合治理，已初步形成對生成式人工智能的規制架構。

從微觀上看，《暫行辦法》是我國首個針對生成式人工智能產業治理的監管辦法，對生成式人工智能服務提供者（以下簡稱AI提供者）的規制提出了更細致的要求。一是在監管方式上，《暫行辦法》提出針對生成式人工智能應進行“包容審慎”和“分類分級”監管，支持行業組織、科研機構、專業機構開展協作；二是在數據合規方面，《暫行辦法》對數據來源和基礎模型的合法性提出了要求，對AI提供者施加了不得侵害個人信息和知識產權的義務；三是在算法規制方面，要求提升算法的透明度和可解釋性，并要求AI提供者按照《互聯網信息服務算法推薦管理規定》進行算法備案；四是在違法救濟方面，AI提供者應當健全投訴、舉報機制并及時處置違法內容。不難看出，《暫行辦法》在一定程度上細化了生成式人工智能的監管要求，便于宏觀監管措施的落地和執行。

（二）生成式人工智能風險規制的困境

在宏觀層面，盡管我國已經初步確立了生成式人工智能的規制框架，但仍存在多方面的困境。一是在規制體系方面，生成式人工智能的規制體系并不完備，立法存在內容交叉或內容缺漏的情況。例如，《暫行辦法》中并未對AI提供者的法律責任進行整合規定，換言之，在AI提供者在不同數據處理情境下的法定義務，不能直接在《暫行辦法》中找到其相應義務承擔方式，仍要依據《網絡安全法》《數據安全法》《個人信息保護法》等法律法規承擔義務，同時《暫行辦法》也未對AI提供者提出更加細化的合規要求。再如，《暫行辦法》要求AI提供者對AI生成的圖片、視頻按照《互聯網信息服務深度合成管理規定》的要求進行標識，但由于在法律層面缺乏設置指示細則和法律責任，實踐中即便是未按照要求主動進行標識也不會出現不利后果，以至標識條款形同虛設、難以落地。二是在規制主體方面，聯合發布《暫行辦法》的七個部門都對生成式人工智能負有監管職責，但各監管部門之間責任劃分并不清晰。誠然，生成式人工智能的監管涉及到多個監管機構的相應職責，也需要多部門進行跨領域配合進行治理，但“九龍治水”的治理模式可能會導致各部門趨利避害，即對于存在利益的“好事”爭相出臺監管政策，將其納入自身職責范圍之內，而對于存在監管障礙的“壞事”則相互推諉，不利于治理工作的進行。三是在規制手段方面，現行規范模糊了原有智能產業領域的治理理念。在原有智能產業領域，對人工智能采取的是服務提供者和內容生產者分層治理的方式，而現行法律未對AI提供者的定位予以明確。就名稱而言，AI提供者應當歸屬于“網絡服務提供者”，顯然AI提供者并不屬于《信息網絡傳播權保護條例》第二十條至第二十三條中規定的四種網絡服務提供者的類別之一，而《暫行辦法》第九條要求AI提供者承擔“網絡信息內容生產者責任”，這似乎意味著規章明確賦予了AI提供者以“內容生產者”的法律地位，但是基于算法的復雜性以及存在用戶誘導的情況，AI提供者并不滿足“內容生產者”對生產、上傳內容具有“控制力”的標準，因此網絡信息內容生產者的概念也難以涵蓋AI提供者。在原有智能產業領域，基于分層治理的理念，服務提供者和內容生產者是二元分離的。［9］而生成式人工智能的技術特性似乎又使得AI提供者兼具了二者的身份，《暫行辦法》中要求服務提供者承擔內容生產者責任的表述存在一定的邏輯沖突，也為生成式人工智能的分層治理帶來了新的困境。

在微觀層面，歸責模式從產品責任的路徑分析顯然不具有合理性和可行性。從生成式人工智能的概念來看，其性質屬于軟件，但是從法律上將其定位為“產品”顯然不妥，包括在《生成式人工智能服務管理辦法（征求意見稿）》中使用的“生成式人工智能產品”的表述也均在《暫行辦法》中統一變更為“生成式人工智能服務”。此外，出于公平和效益的考量，要求生成式人工智能服務提供者承擔產品嚴格責任顯失公平，這意味著AI服務提供者可能要對第三人承擔產品責任，其中蘊含的責任風險過于失衡，并且適用過于嚴苛的責任，也不利于鼓勵和促進人工智能產業的發展。在不適用產品責任的情況下，AI提供者能否以“現有技術不足”①進行抗辯，以及能否根據“避風港規則”②免責成為新的問題。其一，由于生成式人工智能客觀上并不具備以現有技術不足進行抗辯的正當性。根據《暫行辦法》的定義，生成式人工智能屬于“服務”而非“產品”，顯然不滿足產品責任下“現有技術抗辯”的條件，但是AI提供者進行技術抗辯卻存在合理性。賦予生產者以“現有技術抗辯”的原因在于鼓勵產品研發和技術創新，而在較為傳統的產品責任領域尚且存在技術抗辯規則對生產者予以保護，舉輕以明重，在亟待發展的人工智能領域，更應當賦予AI提供者以類似保護。其二，AI提供者不屬于“網絡服務提供者”所指向的類別，對于能否適用《民法典》第一千一百九十五條的“避風港規則”存在疑問。對AI提供者適用“避風港規則”，一方面能夠避免其承擔過重的侵權責任，另一方面也對其設定了義務，要求其在侵權行為發生時采取必要措施遏制侵權內容的生成和傳播。［10］但無論是基于訓練數據還是用戶輸入內容生成內容，人工智能本質上都是其內容的生成和發布主體，這與旨在減輕平臺責任的“避風港規則”相悖，換言之，AI提供者不屬于“網絡服務提供者”范疇，不具有適用“避風港規則”的合法性基礎。

四、比較法下生成式人工智能風險規制的經驗鏡鑒

（一）歐盟

歐盟對人工智能的監管治理持審慎態度，因此對于生成式人工智能的規制也以風險規制為主，兼顧產業創新發展。《人工智能法案》是歐盟近年來對人工智能監管的重要立法，其于2021年提出并于2023年6月通過，將生成式人工智能納入監管范疇，提出了“平衡、相稱的橫向監管方法”。歐盟對生成式人工智能采取“橫向”的監管模式，具體而言，《人工智能法案》采取了風險分級的方式，將人工智能按照預期使用的應用場景劃分為四種不同的風險級別，并按照不同風險級別采取對應的監管措施。［11］其一，被認為“對人們的安全、生計和權利有明顯威脅的”人工智能系統，屬于不可接受的風險，需要嚴格禁止，否則將面臨前一財年全球營業額6%以下的罰款；其二，可能對“個人健康、安全及基本權利”產生重大有害影響的人工智能，例如人工智能在交通、醫療、教育、司法等方面的應用，屬于高風險，應當受到嚴格管控；其三，對于應用于“人類互動、情緒識別”等方面的人工智能，使用者能夠意識到與機器進行互動并自主作出決定，屬于有限風險，在監管方面僅做透明義務要求；其四，允許“自由使用人工智能的電子游戲或垃圾郵件過濾器”等應用，屬于極低風險，不作干預。顯然，人工智能的風險等級越高，則其相應的監管措施也更嚴格，在歐盟“風險分級”的治理路徑下，幾乎所有人工智能系統都被涵蓋在治理框架內，并能根據人工智能的創新發展實時跟進并予以補充，而風險分級的監管手段也可供我國參考借鑒。

同時，歐盟的《人工智能法案》也在風險規制的同時兼顧科技創新。歐盟新設人工智能委員會作為統籌主管部門，為非高風險的人工智能系統制定自發性行為準則，建立監管沙盒以促進創新。在監管沙盒制度下，企業能夠在一個安全、封閉的環境下測試產品、進行服務，而無需考慮可能招致的監管后果，換言之，監管者可以通過沙盒模擬實驗預見人工智能系統在投入使用后產生的風險，并要求企業采取相應措施降低風險至可控標準。對監管者而言，監管沙盒有助于其更好地理解生成式人工智能的創新邏輯，發現新興技術的監管盲區和治理難點，從而推進監管有效實施，對企業而言，其被允許在受控環境下進行模擬測試，能夠更好地了解監管趨勢，避免因監管不確定性帶來的損失。

（二）美國

美國聯邦政府將“推進值得信賴的人工智能”作為重要目標之一，近些年針對生成式人工智能的治理也在立法層面作出諸多嘗試，與歐盟推進統一立法不同，美國在聯邦層面缺乏統一立法，而是針對特定問題擬定立法提案，例如《數據問責和透明度法2020》《人工智能能力與透明度法案》《軍用人工智能法案》等等，相較于歐盟對人工智能的審慎態度，美國在人工智能的治理方面顯得更為開放。2022年10月，白宮科技政策辦公室發布了《人工智能權利法案藍圖》（以下簡稱《法案藍圖》），在表達對人工智能技術美好愿景的同時呼吁大型科技公司承擔責任，更負責地開發和部署人工智能。［12］《法案藍圖》提出了五項重要原則：一是安全有效的系統，即公眾應當免受不安全系統的影響，避免不安全的結果；二是算法歧視保護，即公眾不應當受到種族、性別、膚色、年齡等方面的算法歧視；三是數據隱私原則，即公眾的隱私數據不應被濫用；四是通知和解釋原則，即公眾有權了解系統如何運行以及如何對自身產生影響；五是可替代原則，即公眾有權選擇人工替代方案，允許用戶在適當情況下退出自動化系統。可以看到，《法案藍圖》將公民自由和算法危害納入政府的責任之中，通過提出一系列公司需要遵守的準則，以期構建保護公民權利、自由和隱私和自動化系統，但值得注意的是，《法案藍圖》在性質上不具有強制力，也并非剛性的行業準則，大型科技公司對這些準則的遵守將是有選擇性的。2023年1月，美國國家標準與技術研究院發布了《人工智能風險管理框架》，該框架旨在為人工智能的系統化運行（包括設計、開發、部署和使用）提供指南，進一步降低人工智能技術的應用風險，并提高人工智能的可信度。與歐盟《人工智能法案》相似的是，該框架同樣對人工智能的風險進行了界定，并提出管理目標是將風險控制到“可信”水平，而為達成這一治理目標，該框架從治理、映射、衡量和管理四個模塊對人工智能進行風險管理。該框架的規制對象包括設計、開發、部署和使用人工智能技術的各個主體，但同樣可以看到，該框架可由各相關機構“自愿非強制地”選擇使用。總體而言，美國的監管政策以促進產業發展為主，監管措施也較為寬松。

歐盟和美國對生成式人工智能的規制走在世界前列，相較而言，二者的政策制定均以保障權利和自由為邏輯起點，但歐盟的監管措施更側重風險防范，而美國的政策制定更偏向促進產業創新。在立法體制方面，歐盟的《人工智能法案》顯然有意推進統一立法，并致力于為全球人工智能立法提供參照，而美國在聯邦層面缺乏統一的治理性法律，對生成式人工智能的規制也散見在各立法提案之中，各州層面對人工智能的監管也處于分散狀態。在治理模式方面，歐盟采取風險分級的方式進行分層治理，通過劃分不同風險等級采取相應的監管措施，美國則更側重風險評估、數據問責以及算法透明度方面的治理。在監管機制方面，歐盟新設人工智能委員會作為統籌主管部門，美國則強調公司在民間進行合作，呼吁大型科技公司承擔義務。

五、生成式人工智能法律風險的規制進路

（一）生成式人工智能風險規制的模式選擇：去中心化的多元主體協同共管

《暫行辦法》第三條中表明了對生成式人工智能監管的態度，總體而言，生成式人工智能的規制應當遵循“包容審慎”的治理框架，采取創新和依法治理相結合的方式，鼓勵生成式人工智能創新發展。包容性治理的核心意涵在于“共建共治共享”，邏輯起點在于鼓勵包括政府、業界代表、技術人員和社會公眾在內的多方主體共同參與，通過多元主體的參與治理實現“共建”，以立體治理網絡開展多領域合作的方式進行“共治”，最終保障各利益相關者的權益，實現發展成果和治理成果的“共享”。換言之，應當確立“去中心化的多元主體協同共管”模式作為生成式人工智能的風險規制機制。

第一，人工智能監管方式是從中心化到去中心化的演變，在中心化治理模式下，一般存在一個獨立的監管機構進行總控管理，這一監管機構處于核心地位并且權力高度集中，而去中心化的監管則一般不存在“單一的”核心監管機構，而是存在多個相互平行且重疊的多元治理主體進行協商合作。［13］由于中心化的治理模式缺乏彈性，不僅不能有效應對生成式人工智能帶來的挑戰，更暗含了阻礙科技創新和市場競爭的風險。［14］因此，這一模式遭到業內人士的廣泛批評，并且從人工智能全球治理的發展趨勢來看，多元主體協同共管的去中心化治理仍是未來生成式人工智能治理的發展趨向。首先，去中心化并不意味著不存在監管機構，而是指監管機構并不是唯一的治理主體，即便是在去中心化的治理模式下，監管機構仍是極為重要的履職機構，因此，應當不斷提高監管機構履行監管職責的能力，并通過資金保障、問責制等多種方式確保監管機構嚴格履行法定義務。其次，AI提供者應當主動承擔社會義務，在生成式人工智能的設計、開發、部署和應用等各個環節進行自我內部監督，并建立適當的風險應對機制，以保障系統能夠抵御網絡攻擊或應對可能遇到的其他情況。再次，在社會治理層面，應當重視專業人士的力量，并調動公眾的積極性，使其參與到治理過程中來。一方面，對生成式人工智能進行治理的技術要求極高，無論是對其安全風險進行評估，還是通過技術分析其算法是否存在缺陷，均離不開專業技術人員的介入。另一方面，盡管生成式人工智能的專業性極強，但并不意味著作為技術“弱勢群體”的社會公眾應當被全然排除在外，作為技術風險所指向的對象，普通民眾更應該團結起來，加深對生成式人工智能技術風險的認識和關注，并為其應用設定邊界。

第二，多元主體的存在自然也就要求各方主體協同治理，盡管責任主體和治理方式均是以風險預防和應對作為宗旨和目標，但在具體應用上如何保障系統內部各主體協同互通，通過資源調配實現多元治理是亟需解決的問題。其一，為便利監管機構對生成式人工智能的監管，應當允許監管機構出于安全目的優先訪問生成式人工智能的基礎模型，并查詢包括訓練數據、模型架構、內部審計結果等信息。［15］其二，在監管過程中借助科研機構的力量對生成式人工智能的技術風險進行分析，并提出可供改進的建議和方案。其三，提供能夠讓“弱勢群體”參與監管過程的正式官方渠道，以保障弱勢群體的合法權益并補充履行政府職能。

第三，多主體協同對生成式人工智能進行“共建共治”，旨在整合多方力量發揮系統治理的最大功效、實現治理結果的最優化，從而最大化地滿足各方主體的利益需求，形成治理成果由各方“共享”的良好局面，在社會系統中形成“善治”的閉環。正如我國始終將“增進人民福祉”作為實現高質量發展的最終目標，2023年10月網信辦發布的《全球人工智能治理倡議》也強調“以人為本”的理念，在技術加速迭代發展的背景下，人工智能技術的發展也要牢牢立足于“人民福祉”。盡管生成式人工智能技術幾乎為科技巨頭所壟斷，數據資源也愈發向資源優勢者流去，但對生成式人工智能進行協同治理能夠促進社會公正，消除生成式人工智能帶來的知識鴻溝和信息鴻溝，在保障權利的基礎上共享數字紅利。在個人權益得以保障和資源分配更為合理的基礎上，推動生成式人工智能技術的進步和創新。科技巨頭對生成式人工智能技術進行先導性探索，進行“科技向善”“智能向善”的可信技術實踐，加之引導包括監管機構、學術界、技術人員、業界代表在內的多方力量進行協力共管，從而推動形成具有廣泛認可性和可行性的生成式人工智能技術標準以及治理規范，讓生成式人工智能技術更安全有效地適用于教育、醫療等公共服務領域，讓基礎設施和服務更具智能化、定制化和普遍化，在鼓勵生成式人工智能技術發展的同時，也能夠減少數字鴻溝帶來的負面影響。

（二）生成式人工智能風險規制的具體措施

在法律治理層面，應當著力于完善生成式人工智能的規制體系，理順現行法之間的邏輯。一是在宏觀上應當設定具體合理的分類分級監管策略。人工智能所帶來的風險復雜多樣，風險劃分是高效應對生成式人工智能技術諸多風險的前置條件，一方面，應當根據生成式人工智能的技術特征和產品特性，將可能存在的算法缺陷和刻意誘導所生成的風險考慮在內，劃分“低、中、高”風險區間，建立具有“高擴展性”的風險評估分類標準，避免僵化。另一方面，應當認識到風險的動態變化和不可預測，建立具有“可延展性”的風險評估機制，以動態、變化的方式對風險進行檢測和評估，對新生成的風險類型也要及時予以回應。二是設立問責制。通過定期公開監管數據、匯報監管治理成果等方式，確保監管機構嚴格履行法定義務。《暫行辦法》并未單獨設定一個特殊的部門對人工智能進行監管，而是由七個部門對生成式人工智能協同監管，對此應當明確各個部門的職責劃分，通過建立問責制避免監管部門之間相互推諉。此外，為提高監管機構履行監管職責的能力，應當保障監管機構具有相應的權力。權力的正當性和普遍認可性是監管機構履行職責的首要前提，尤其是面對生成式人工智能這種準入門檻極高的前沿領域，監管機構需要有權力要求研發、部署或使用生成式人工智能的科技巨頭進行信息披露、遵守合規要求等義務。同時，應當出臺實施細則和懲戒措施，化解在執法方面遇到的困境，促進監管措施落地執行。三是明確AI提供者的法律地位，確立其歸責模式和抗辯事由的適用。首先，鑒于現行法律中的網絡服務提供者類型無法涵蓋AI提供者，以內容生產者對AI提供者進行規制存在障礙，因此在立法上應首先明確AI提供者的法律地位。其次，基于鼓勵創新的考量，不能直接要求AI提供者對其內容承擔嚴格責任，應明確AI提供者能夠適用特殊的“避風港規則”或類推適用《民法典》第一千一百九十五條的規定，即AI提供者在受到權利人通知后及時采取補救措施遏制損害，則能夠以此為由豁免責任。再次，盡管生成式人工智能不屬于產品，但若是損害的發生源于投入使用前技術條件無法克服的漏洞和缺陷，則允許AI提供者以“現有技術不足抗辯”，更符合公平理念。

在技術治理層面，算法和數據是各方協同規制的重點。一方面，在內部算法模型應當遵守技術標準生成式人工智能的服務提供者應當保障算法的可解釋性和數據的透明度。一是提升數據的透明度包括以下要求：公布訓練數據來源并驗證數據的真實性，確保系統只使用可信的數據源；采取措施要求設計人員盡可能做出客觀選擇，減少輸入數據的偏差或在產生偏差后進行彌補；使用加密哈希值等手段對數據進行完整性檢查，使數據接收方確保數據在傳輸途中未經受篡改。［16］二是保障算法的可解釋性具有以下要求：對系統目的進行具體說明，并明確生成式人工智能在實現該目的過程中所發揮的作用；確定系統預期的準確性，衡量模型每次能夠識別相關元素和做出正向預測的成功概率；明確責任方的要求，應當明確誰對生成式人工智能系統內的具體要素負責，披露是何主體對生成或維護該要素負有職責，并為每項決策建立數據記錄。另一方面，外部應當建立算法的動態監管體系。一是在監管機構方面，應當建立算法備案制度，要求生成式人工智能的服務提供者對不涉及商業秘密部分的算法進行備案，在對生成式人工智能進行監管的過程中發現算法風險，則回溯至算法本身尋求處罰依據和完善措施。二是在行業規范方面，應當鼓勵行業自律設定行業標準，要求企業自覺形成合規治理結構，提高企業合規水平。［17］三是在用戶治理方面，應當引導用戶規范使用生成式人工智能服務，提升公民的數字素養。此外，應當注重對個人信息進行匿名化處理，對個人隱私進行差分保護，防止出現隱私泄漏和個人信息濫用風險，并提供可供個人進行舉報和反饋的機制，減少科技對弱勢群體的侵害。在算法的透明度和可解釋性要求下，一定程度上避免了互聯網巨頭利用自身平臺優勢收集用戶隱私信息，并私自將其用于人工智能數據訓練的可能性，同時，算法決策的公開化能夠讓監管機構和用戶更清晰地理解生成式人工智能決策作出的過程，各方監督也將進一步保障決策的合理性和科學性，進而能夠保護數字弱勢群體的利益，推動技術創新向更公正的方向發展。

【參考文獻】

［1］劉友華，魏遠山.機器學習的著作權侵權問題及其解決［J］.華東政法大學學報，2019（2）：68-79.

［2］朱榮榮.類ChatGPT生成式人工智能對個人信息保護的挑戰及應對［J/OL］.重慶大學學報（社會科學版），1-14［2024-03-05］.http：//kns.cnki.net/kcms/detail/50.1023.C.20230921.1151.002.html.

［3］38TB of Data Accidentally Exposed by Microsoft AI Researchers［EB/OL］.https：//www.wiz.io/blog/38-terabytes

-of-private-data-accidentally-exposed-by-microsoft-ai-researchers.

［4］Billy Perrigo，Exclusive：OpenAI Used Kenyan Workers on Less Than ￥2 Per Hour to Make ChatGPT Less Toxic［EB/OL］.https：//time.com/6247678/openai-chatgpt-kenya-workers/.

［5］錢力，劉熠，張智雄，等.ChatGPT的技術基礎分析［J］.數據分析與知識發現，2023（3）：6-15.

［6］朱嘉珺.生成式人工智能虛假有害信息規制的挑戰與應對——以ChatGPT的應用為引［J］.比較法研究，2023（5）：34-54.

［7］Microsoft Teams Premium［EB/OL］.https：//www.microsoft.com/en-us/microsoft-365/blog/2023/02/01/microsoft-

teams-premium-cut-costs-and-add-ai-powered-productivity/.

［8］陳永偉.超越ChatGPT：生成式AI的機遇、風險與挑戰［J］.山東大學學報（哲學社會科學版），2023（3）：127-143.

［9］張凌寒.生成式人工智能的法律定位與分層治理［J］.現代法學，2023（4）：126-141.

［10］徐偉.論生成式人工智能服務提供者的法律地位及其責任——以ChatGPT為例［J］.法律科學（西北政法大學學報），2023（4）：69-80.

［11］Michael V，Frederik B Z.Demystifying the Draft EU Artificial Intelligence Act—Analysing the good， the bad，and the unclear elements of the proposed approach［J］.Computer Law Review International，2021（4）：97-112.

［12］美國發布《人工智能權利法案》藍圖文件［EB/OL］.中國科學院自動化研究所網站，http：/lib.ia.ac.cn/news/newsdetail/68494.

［13］Jonas Tallberg et al.The Global Governance of Artificial Intelligence：Next Steps for Empirical and Normative Research［J］.International Studies Review，2023（9）：1-23.

［14］The governance of artificial intelligence：interim report［EB/OL］.https：//publications.parliament.uk/pa/cm5803/

cmselect/cmsctech/1769/report.html#heading-4.

［15］Ada Lovelace Institute，Regulating AI in the UK［EB/OL］.https：//www.adalovelaceinstitute.org/report/regulating-

ai-in-the-uk/.

［16］確保人工智能安全：人工智能的可解釋性和透明組報告解讀［EB/OL］.微信網，https：//mp.weixin.qq.com/s/PzZzBsfVWvA8z7tLh7Rp3A.

［17］劉艷紅.生成式人工智能的三大安全風險及法律規制——以ChatGPT為例［J］.東方法學，2023（4）：29-43.

Legal Risk and Regulation of Generative Artificial Intelligence

Zhang Lili，Hua Zhiyu

Abstract：As a kind of“disruptive innovation”，generative AI technology not only promotes technological change，but also brings many governance risks due to its unique technical logic. The training mode of generative AI giant quantitative data has the risk of data infringement，the intensive chemical learning model based on human feedback may exacerbate the generation and spread of 1 information，and its technical barriers will strengthen the monopoly position of Internet giants，thereby bringing a series of risks.Taking the regulatory measures of the European Union and the United States as a mirror，China should uphold the concept of inclusiveness and prudence，cooperate with multiple subjects to discuss and co-manage generative AI，and achieve“sharing”of results through“co-construction”and“co-governance”.

Key words：generative AI；legal risks；regulatory approach

（責任編輯：王正橋）

收稿日期：2023-11-09

作者簡介：張莉莉，河海大學法學院副教授，法學博士，研究方向為經濟法、金融法；華志宇，河海大學法學院碩士研究生，研究方向為經濟法學。