数字经济视域下算力盗用的双维风险及法治应对*①

吕桐弢

( 西安交通大学 法学院,陕西 西安,710000 )

近年来,随着算力的不断增强,人工智能、大数据分析、区块链、虚拟现实等技术在数字经济中得到了广泛应用。2022年“东数西算”工程在全国范围内启动,算力也首次被提升到基础资源的高度,高性能的计算资源变得越来越宝贵。受算力实际价值和潜在利益的驱动,部分不法行为人试图通过计算机系统与网络中存在的漏洞和安全弱点,盗用他人算力并获取非法收益。为了有效防范和遏制算力盗用现象的出现,国家发展改革委员会会同有关部门在2021年5月,研究制定了《全国一体化大数据中心协同创新体系算力枢纽实施方案》,其中明确要求“建立健全数据中心能耗监测机制和技术体系”,以此强化能耗监测管理,提升对算力盗用行为的感知度。然而,算力作为人工智能领域中与算法和数据密切相关的概念,国内法学界却鲜有关注和系统深入的研究。事实上,算力盗用是一种新型的侵权行为,具有特殊的技术特征和经济属性,亟待学术界的深入研究。鉴于此,基于我国数据处理能力保护的现实困境和算力盗用的风险隐患,就如何在制度设计和监管实践层面进行有效的法治应对,无疑具有重要的理论价值和实践指导意义。

一、算力盗用行为:窃取数字经济未来的钥匙

“算力”(computing power)也被称为计算力,是衡量设备对数据处理能力的统称。在数字经济的任意场景里,都能看到数据、算法和算力的身影。通常而言,数据提供了输入信息,并通过算法模型将之转化为有用的输出信息,而算力则为数据处理和算法运行提供了强大的支撑。计算机科学界将之形象地比喻为,“数据是燃料、算法是引擎、算力是加速器”。(1)王艳鑫、韩笑、张少波:《算力:大数据时代发展的关键“底座”》,《解放军报》2022年3月25日。随着数据的积累和算法的复杂化,数字经济发展对算力的需求长期保持高速增长。尤其是以ChatGPT为代表的生成式人工智能(Generative AI)的多模态和大模型,更是“大数据+强算法+大算力”结合的产物,其显著拉动了对算力基础设施的供应需求。美国人工智能研究实验室OpenAI在2018年发布报告称,大模型的AI训练所需要的计算量自2012年以来一直呈指数级增长,算力需求增长超30万倍,相当于每3.4个月翻一番,基础算力愈发难以满足人工智能应用中多样繁杂的计算需求。(2)OpenAI, AI and Compute, May, 2018, pp.4-33.当前算力发展存在的供需失衡现象,可能会导致一系列经济和社会问题,包括引发不法行为的可能性。

数字经济以数据作为关键生产要素,以算力作为核心生产力,通过信息通信技术的有效使用来挖掘数据中的商业价值,从而引导、实现经济结构的快速优化配置与发展。在万物互联的大背景下,生产资料的积累维度已经从之前的物理世界延伸到了虚拟世界,数据日益成为数字经济的核心生产资源,被誉为数字经济的宝藏。得益于数字化浪潮的推动,经济社会的数据规模日益充盈且完备,数据要素带来新生产力,而转换数据价值需要算力。算力有助于大数据的高效分析、价值挖掘,超大规模的数据量正对处理效率不断提出更高的要求。如若缺少充足算力提供稳定、快速的网络连接和信息处理能力,数字技术在行业中的落地和应用就会顷刻间失去关键支撑。因此,有学者认为,算力之于数据,就好像纺织机之于羊毛、钻井机之于石油。(3)娄攴手居:《第四产业:数据业的未来图景》,北京:中信出版社,2022年,第41页。可以说,谁掌握了先进算力,谁就获得了开启数字经济宝藏的钥匙。

人类社会的发展过程就是不断使用新的劳动工具来弥补人类自身局限的过程。生产力发展经历人力、畜力、动力等时代演进,当前已经进入算力时代。算力从根本上改造、升级了生产力的三要素,成为数字经济时代的核心生产力,驱动着人类社会的转型升级。(4)在数字经济的社会形态下,劳动者由传统的人变成了“人+AI”,数据成了新的劳动对象,劳动资料也由传统的机械升级为计算力驱动的信息化设备。罗峰、张东飞、高智芳:《算力网络详解》,北京:清华大学出版社,2023年,第10页。2020年,国家明确提出新型基础设施建设的范围包含以数据中心、智能计算中心为代表的算力基础设施,算力供给基建化已成为趋势。算力将像电力、热力、水资源一样成为社会的基础设施,以各式的设备形态出现在人们的日常生活和工作中。工业经济时代,国家与企业的发展依赖各种化石能源;数字经济时代,则将取决于数据的占有和对数据进行处理的算力资源。因此,类似于工业经济中的资源掠夺,算力盗用只是目标从人力、物力转向了数字经济中的算力。故而有美国学者认为,盗用算力的行为社会危害性不应低于传统违法犯罪行为。(5)Huang, Danny Yuxing, et al., Botcoin: Monetizing stolen cycles., NDSS Symposium., Vol. 2014. pp. 1-16.

通常而言,“算力盗用”是指未经授权或非法获取计算资源,用于进行数据挖掘、加密货币挖矿等一系列计算密集型任务的行为。算力盗用是伴随数字经济发展而出现的新兴问题,市场和公众认知存在严重滞后。从狭义的角度讲,算力盗用在区块链技术里面可以理解为,未经授权非法占用他人计算资源,执行工作量证明或其他类似的电脑算法来获取加密货币的行为。而广义的算力盗用,则涵盖了非法侵占通过操作系统逻辑化的各种数据处理能力和存储能力的行为。(6)罗峰、张东飞、高智芳:《算力网络详解》,北京:清华大学出版社,2023年,第6页。典型如,国内某视频网站平台就长期未经用户授权,在电视端默认打开“在线视频数据分发功能”(HCDN),将用户设备变为一个节点服务器。通过此功能该平台能将用户设备储存的缓存资源分享给其他用户,可以将平台自身服务端压力转移到各个客户端,进而有效降低平台服务器的布局成本。但不可忽略的是,用户上传的流量在不断计费,且硬件存储设备在待机状态下依然不间断运转同样会大量损耗使用寿命,因算力盗用而造成用户损失的该平台至今并没有承担任何法律责任。

二、数字经济视域下算力盗用的双维风险

现代社会的治理离不开法律,算力盗用现象的出现及其兴起,要求加强对算力的保护和监管。而要有效地运用法律保护算力,就必须深入分析算力盗用行为的风险及其所可能侵犯的权益,理解其背后的技术逻辑和风险。这是当下的数字化、信息化和智能化社会,法治所要面临的“复杂性”挑战。(7)刘东亮:《技术性正当程序:人工智能时代程序法和算法的双重变奏》,《比较法研究》2020年第5期。算力资源既依赖于实体的物理设备和能源,又通过数字信息技术赋予了它们虚拟的特性和数字化的操作方式。在数字经济视域下,算力资源已然兼具实体与虚拟财产属性,可能会对社会运行的方方面面带来风险与挑战。

(一)实体维度的风险

实体风险是与物理世界和实际资产相关的风险。算力盗用行为的实体维度风险涉及硬件设备的损耗、能源成本的增加以及影响所涉数据的商业价值等多个方面。首先,算力盗用可能会导致被攻击设备的性能受损。计算资源的物质基础是数据的获取、传输、存储和处理系统,包括中央处理器(CPU)、图形处理器(GPU)、内存、硬盘和服务器等。在算力盗用行为的实施过程中,不法行为人通常会将被盗用的算力资源用于执行计算密集型任务,使得设备负载过重。不仅会降低性能和响应速度,影响正常使用体验,更为重要的是,长时间的高负载计算会增加硬件的损耗,导致计算资源被滥用,进而加速硬件的磨损和老化,缩短设备的使用寿命。尤其是超算中心、算力网络、数据中心等已成为数字经济发展的重要基础设施,其中每一个环节都需要大规模投资和长期建设,很多设施具有公共产品属性,而且对设备维护的防尘、湿度和温度等有特殊环境要求。算力盗用行为不但涉嫌侵犯硬件设备所有者的相关权益,而且可能妨害社会管理秩序和经济秩序。

其次,算力盗用会消耗社会公共能源成本,产生实际的物理资源浪费。计算是以能源为本位的,尤其是智能算力已经成为名副其实的“耗能大户”。有调查数据表明,当前我国各类数据中心年用电量已占全社会用电总量的2%左右,耗电量增速连续多年保持在10%以上,以至于东部一些地区明确将数据和计算中心定位为高耗能产业加以限制发展。(8)张福波、张云泉:《算力经济:从超级计算到云计算》,北京:机械工业出版社,2023年,第39页。在我国,电力资源是有限的社会公共实体能源,计算作为一种典型的能源密集型产业,带动了能源消耗的快速增长。在此意义上,数字经济时代的计算资源也兼具了一定程度的公共资源属性,算力盗用行为本质亦是在侵犯社会公共利益。因此,司法实务中普遍将算力盗用行为的侵害对象限定为计算机信息系统安全,存在着法律保护范围过窄问题。(9)汤道路:《算力盗用:一种新型财产侵害》,《政法论丛》2022年第3期。计算资源被盗后的高强度使用会产生高功耗,导致电网负荷增加,对社会的能源供应和能源成本产生不利影响。

最后,算力盗用会影响相关平台和企业的营收效益,造成直接的经济损失。数字经济的核心是数据,而这些数据在企业中发挥商业价值之前需要经过有效的处理和分析,算力新基建囊括了数据流通和发挥商业价值的全链路。算力盗用会对数据的处理和分析过程产生负面影响,从而折损数据的商业价值。例如,北京市海淀区人民法院在2019年依法判决,前百度的系统维护工程师安某在担任服务器运维管理人员期间,利用工作便利、超越权限,盗用百度公司服务器的算力进行“挖矿”行为,影响百度公司的正常运营,造成数十万元的直接经济损失。(10)汤道路:《算力盗用:一种新型财力侵害》,《政法论丛》2022年第3期。高性能计算是第四次科技革命的核心驱动力,为数字经济的各个领域提供产业升级的新思路和技术支持,要推动产业数字化、智能化转型升级,并实现高水平发展,就需要确保足量数据的处理能力。中国国家信息安全漏洞库(CNNVD)发布的《2022年网络安全威胁态势报告》称,企业数字攻击面持续增长将成为常态化趋势,云计算平台及其中的应用系统已经成为恶意攻击者最关注的攻击目标。(11)国家漏洞库:《2022年度网络安全漏洞态势报告》,2023年7月20日。

(二)虚拟维度的风险

计算是连接物理世界与虚拟世界的桥梁。在计算机科学和信息技术领域,计算可以通过虚拟化技术将实体的硬件资源分割成多个虚拟实例,从而为不同的应用程序和计算任务提供算力。(12)Premsankar G, Di Francesco M,and Taleb T., “Edge computing for the Internet of Things: A case study”, IEEE Internet of Things Journal, 2018,Vol.5,No.2, pp.1275-1284.虚拟风险通常与数字和计算机系统有关,涉及网络安全、数据隐私和信息技术。虚拟风险不直接涉及物理资源的使用和消耗,而是更侧重于信息和数据的安全和风险。不法行为人通过植入恶意软件或脚本感染计算设备,非法获取算力,在虚拟维度中引发了一系列严重的风险和问题。

一方面,算力盗用会阻碍计算资源的高效、合理使用,造成计算资源浪费。在百年未有之大变局背景下,计算资源已经成为衡量一个国家数字经济发展水平和产业变革的重要指标,以算力为核心的科技竞争正成为大国竞争的战略焦点。高性能芯片供应短缺和高精度算力不足,正在成为限制中国生成式人工智能诞生的最直接因素。2023年8月15日施行的《生成式人工智能服务管理暂行办法》也强调,要“促进算力资源协同共享,提升算力资源利用效能。”如若放任算力盗用行为肆意掠夺优质计算资源从事非实体经济或挖矿产业,会影响供给侧改革的成效,进一步吸引资金流入虚拟经济。典型如2020年5月,位于英国爱丁堡大学的超级计算机ARCHER就遭受到网络攻击,入侵者获得超算的访问权限后,部署了挖掘加密货币的应用程序,盗用并浪费了大量高精度的计算资源。因此,由美国领导的西方世界纷纷加快对计算资源的保护。2020年11月,美国国家科学技术委员会(NSTC)发布《引领未来先进计算生态系统战略计划》,其中明确指出,未来的先进计算生态系统将是一个跨越政府、学术界、非营利组织和行业的国家战略性资产,为此政府有必要确保算力供应链中关键软硬件的可用性、完整性和安全性。(13)Subcommittee on Future Advanced Compating Ecosystem, Future Advanced Computing Ecosystem: A Strategic Plan, 2020, pp.1-28.

另一方面,数据隐私泄露亦是算力盗用在虚拟维度中的主要风险之一。如前文所述,数据存储能力亦是广义的算力之一,但在特定情况下,算力盗用行为就是被用于访问、获取或窃取存储在算力系统中的敏感数据,如个人信息、文件、商业秘密等。例如,2019年一名新加坡黑客(Cracker)盗用亚马逊AWS和谷歌云的算力资源,在5个月内窃取了大量相关用户的信用卡账户和身份信息,开设欺诈性账户,从而欠下了约500万美元的未付账单。(14)United States of America, V. HO JUN JIA, No. CR19-007JLR,2019.数据隐私作为数字经济中最为敏感和特殊的调整对象,对于用户、企业和社会都带来了极大的风险,也间接影响到数字经济的发展和创新,限制其潜在的价值和成长空间。正因如此,联合国大数据与数据科学专家委员会(UNCEBD)于2023年发布了《隐私增强技术指南》,倡导在保护隐私信息的前提下,实现数据价值分析和挖掘的技术体系,做到“数据可用不可见”。增强处理敏感数据的技术,提升计算的准确性和安全性,即隐私保护计算(privacy-preserving computing,PPC)。(15)UN Global Working Group on Big Data, UN Handbook On Privacy-Preserving Computation Techniques, 2023, pp.3-50.

三、算力盗用行为治理的现实困境

计算资源是数字经济中一种可扩充、可再生的虚拟资源,但无论是自然资源还是计算资源,合理的可持续利用和管理都是非常重要的。工信部于2021年7月印发的《新型数据中心发展三年行动计划(2021-2023年)》中明确要求,“形成布局合理、技术先进、绿色低碳、算力规模与数字经济增长相适应的新型数据中心发展格局。”然而,如何有效保护计算资源,对算力盗用行为进行治理是一个艰巨的挑战。算力技术类监管方略和制度的确定少有一劳永逸的情况,实施过程也并非一帆风顺。在现阶段的实践中,困扰算力系统长期健康稳定运行的法治问题依然不少,主要表现在法律体系失当、行政监管失位和社会治理失灵几个方面。

(一)失当:算力盗用法律规范的体系性不足

时下,我国算力盗用行为的法律监管规定间存在着不融贯的问题,规范的适用不尽合理,未能有效地构建出全面和适应性强的法律规范体系。例如,现有司法判决将算力盗用行为几乎都定性为“非法获取计算机信息系统数据、非法控制计算机信息系统”,并以此进行处罚和规制。但法律决策的运作是一个复杂、多面和斡旋的过程,实质正义的实现有赖于宽严相济的法律规范体系。不同类型的算力盗用行为可能涉及的侵害对象、技术手段和行为模式都存在着一定程度的差异,因此,其产生的损害结果影响力和社会危害性亦不可一概而论。

随着算力产业的日益丰富,各种数字经济业态关系日渐紧密,不同类型的计算资源满足了个人、企业和科研机构在各自领域的计算需求。按照适用主体及算力级别,计算资源可分为:个人算力、企业算力、超级算力与AI算力。(16)刑庆科:《算力:数字经济的新引擎》,北京:北京大学出版社,2022年,第3页。虽然在性质上统称为算力,但四者在用途、精度和规模方面却不尽相同。在实践中,各类算力盗用行为的判罚标准存在诸多争议,相关裁判规则和判定方法尚有待确立。一般而言,个人算力规模相对较小,企业算力和AI算力规模因所处理任务不同而有变化,超级算力则需要处理大体量的数据和计算任务。盗用个人算力通常涉及个人隐私泄露和设备性能下降,但在社会危害性上相对较低。而盗用企业算力和AI算力,不但会直接影响企业、网络平台的运营和商业机密的保护,更有可能引发计算资源被浪费,间接导致技术滞后,阻碍市场主体的合法创新和发展,对企业造成严重的经济损失。此外,在数字经济时代,算力亦是国家核心竞争力之一。社会危害性最严重的盗用超级算力,甚至可能导致科学研究受阻、预测模型不准确等问题,进而影响一个国家的科技创新水平和公共治理能力。

法律规范通过授予权利和课予义务的方式,指引人们在社会活动中的各类行为,为执法和司法提供明确的适用依据。面对复杂、多层次的算力盗用行为,我国现有法律体系并未提出有层次的针对性治理规划和方法,由此产生了一系列的制度设计空白。因此,在实践中将各类算力盗用行为的管控,简单等同于对计算机信息系统安全的治理,并采用同一法律规则加以匡正,难免显得左支右绌。在数字经济时代,创新会选择制度高地,风险则会留在制度洼地。法律适用的单一性恰恰体现了当前保护计算资源的法律规范体系尚不完善,缺少合理的、结构性的顶层设计。立法缺乏对应关系,没有按照不同层次的风险属性和定位,以及相关算力盗用行为的法律性质做出差异化安排,将不利于监管机构稳妥地把握监管重点与力度,也必然导致算力保护零散、无序的状态。

(二)失位:算力盗用的行政监管力量欠缺

健全的法律实施机制是保护合法权益的关键。在数字经济时代,算力资源越来越多地呈现出公共权利的特性。对大规模积聚的数据和算力实施盗用行为,通常是以不特定的公民个人亦即社会公共利益为客体的,能够直接影响到社会管理和经济秩序,在某种程度上,已经完全突破了仅侵犯私权的范围。然而,当前算力盗用行为的研究和规制鲜有从公共属性的视角展开,法律治理路径也主要集中于刑事矫正。刑事司法的谦抑性、资源的有限性与刑罚严苛的适用条件,均在一定程度上拘束了对计算资源的保护。一方面,构成算力盗用的行为通常有较高的技术门槛,司法机关要查明违法行为及相关事由,在技术和信息资源上存在一定的壁垒。另一方面,刑事“精密司法”带来的诉讼周期较长问题,与数字经济对效率的追求有所相悖,难以完全满足防范多层次算力盗用风险的现实需求。

相较而言,作为专业公共执法机构,行政监管力量具备执法的统一性,容易形成专业化力量,相对节省社会资源和司法资源。行政监管通常具有主动(proactive)对违法行为进行调查的法律权限、物质资源、专业监管与执法人员,可以对具体情形灵活处理。相对于司法机构的被动型(reactive)执法,能更好地为了不断增强法律的完备性而改动现有规则,以适应社会经济与技术变革的需要。(17)Pistor K,and Xu C., “Incomplete law:A conceptual and analytical framework”, NYU Journal of International Law and Politics, 2002, Vol.35, p.931.随着数字技术的日趋复杂化和专业化,算力盗用安全风险亦相应增加。同时,数字经济市场安全问题的存在,也要求完善国家治理制度能力的各要素,确保政府性治理在算力安全监管过程中发挥更加积极的作用。

此外,行政监管的失位使得当前计算资源的保护在组织协调性上缺少保障。政府部门共同制定与执行公共决策是数字经济统筹治理的重要环节,完备的议事协调机制则是提高公共决策效率的关键要素。行政监管在数字经济发展中起到统筹协调的作用,可以有效协调各个部门和机构的合作,让各个利益相关方的想法、诉求得到充分考虑和采纳,从而提高监管资源的配置效率和治理效果。然而,相关部门仍未形成应有的监管合力,相关监管职责亦尚不明晰,存在一定程度的算力盗用监管供给失衡的情况。

(三)失灵:算力盗用的社会治理能力孱弱

现代社会存在多元的利益诉求和观点,计算资源的保护作为一个牵涉多方利益主体,关联技术、法律、道德等多个领域的复杂问题,需要综合性的社会治理能力来横向构建共治同心圆,帮助实现“良法善治”。传统静态单向的“命令—控制”治理模式过于刚性和僵化,已与数字经济的发展速度和发展趋势不相匹配,逐渐显现出局限性。(18)刘权:《数字经济视域下包容审慎监管的法治逻辑》,《法学研究》2022年第4期。有效的社会治理能从多个方面辅助计算资源保护的综合施策,维护算力的安全和合理利用。然而,算力盗用作为数字经济发展中的新问题,我国社会公众对这一新的违法违规形态认知难免有限,对计算资源进行有效保护的社会共识和价值基础尚未形成。一般而言,社会共识的构建代表着公众普遍认同某种价值观或行为规范。在社会治理中,社会共识可以凝聚社会力量,衍生一致的监管态度共同应对问题,确保监管行为的合法性和合规性,减少争议和抵触。因此,社会共识在很大程度上是社会治理的基础和支撑,缺乏共识会极大地影响治理的效果和力度。(19)Hamilton M., “Debating algorithmic fairness”, UC Davis Law Review Online, 2018, Vol.52,No.2,p.261.

算力盗用的社会治理能力的孱弱,又具体表现在行业自律性规范的指引作用匮乏和社会约束的法律责任不明确两个方面。其一,拥有算力资源的企业和大型互联网平台是重要的社会治理力量,但因缺乏有效引导,大多企业没能充分履行应尽的社会责任。例如,有些个别视频网站平台未经授权,盗用个人用户的计算资源分担其服务器的压力,既侵犯了用户的权益,也违背了网络安全和合法经营的基本原则。社会治理主体身份内在地要求平台履行相关的社会责任。但在该案中,行业协会自律性监管和企业行为准则拘束的空缺,使得平台非但没有切实地保护计算资源,反而因为逐利动机严重偏离社会期许。行业内部共识机制的匮乏,致使相关的企业和平台在合规领域表现颇为消极,甚至被一些企业利用来谋取不正当的竞争优势。

其二,“白帽”黑客作为善意第三方的相关法律责任,在我国算力盗用的监管环境下存在高度的模糊性。尽管“白帽”黑客通过他们的技术和专业知识,可以帮助识别与披露系统漏洞、弱点和安全风险。但在主体身份层面,“白帽”黑客往往是未经专业认证的社会自治行为方,其所实施的漏洞挖掘及披露行为同样被现有监管规则所涵摄,且缺少正当化事由或免责事由,长期处于罪与非罪的夹缝之中。(20)郑丁灏:《合作主义:网络安全漏洞治理的范式转型》,《信息安全与通信保密》2021年第8期。加之算力盗用行为涉及虚拟空间,很难确定攻击来源和真实身份,促使“白帽”黑客的善意行为在法律监管规则上至今尚未能做出可靠的区分。换言之,法律条款规定的不明确性,使得算力盗用的自治第三方可能会面临与恶意黑客相类似的法律风险。长久以往,“白帽”黑客作为善意第三方维护算力安全的积极性将逐步消解。

四、算力盗用行为的法治监管路径

算力规模的演进推动了技术的升级换代、应用的创新发展、产业规模的不断壮大,是支撑数字经济兴盛的坚实基础。在新科技变革与产业革命中,算力作为新的生产力参与价值创造与分配,影响到数字经济及多个产业的竞争力。保护算力不被非法盗用,避免计算资源被蓄意破坏和浪费,有助于维护数字经济的稳定和健康发展。但在国内,算力盗用行为目前仍然缺少可行且成体系的法律治理模式,立法及监管规则乏善可陈,亟须在算力分级监管、技管结合、多元合作共治等方面进行回应性制度变革,并根据我国数字经济发展的特性、资源禀赋和路径依赖等因素进行适应性制度调适。

(一)建立健全算力分级监管体系

监管制度体系化的价值在于为社会提供一种有序、稳定和可预测的运行框架,为经济活动建构层次分明的法律规范结构。(21)Dubey S, Eswari R,and Vamshi A., “Mobile Anti-Theft and Privacy Protection Framework using Blockchain”, Research Square,2023,p.18.然而,涉及算力的相关规则早期多为产业促进类文件,近期则是治理类文件分散出台,暂无规范体系化的迹象。当前的治理规则难以周全地适配算力保护的公私属性,无力全面遏制算力盗用乱象。如前文所述,各领域计算资源面临的风险差异意味着监管所保护的客体可能不尽相同,监管原则和手段也应当有适配的调整。因此,有必要系统性地对当前的治理对策进行分析、思考,根据不同算力盗用行为的风险程度进行差异化分级,将更多的监管资源和注意力优先集中在对风险较高的算力盗用行为进行监管,从而统筹监管资源配置,为数字经济的行稳致远保驾护航。通过纵向对比各类算力的主要载体、特点与用途、盗用的行为模式以及所侵害的权利与法益,我们不难发现,实践中算力盗用的情况复杂多样,欲实现对算力盗用行为的秩序生成与规则重构,就需要在监管上构建算力保护的立体、多层次法律规范体系。(见表1)

依据算力保护的重要程度和发生安全事件的影响范围,综合国家安全、公众权益、个人隐私和企业合法利益等因素,可以在全流程监管上对各类算力的保护进行一定程度的差异化区分,以确保行权手段与风险后果的相统一。在事前监管层面,可以考虑对超级算力、AI算力和大型互联网平台使用的企业算力等大规模计算资源的运用实施适当的事前控制。例如,依法报备计算规模和能源需求等指标、不定期抽查技术安全标准的实施情况,以及对AI算力等专业性较强的行业设置相关的准入门槛等。在事中监管层面,通过监管规则和手段的差异化,按照不同分类和等级实施不同程度的安全控制,强化算力能耗的监测管理。逐步建立分级、分类的算力保护模式,有序推进敏捷监管和响应式监管。在事后监管层面,设置与各类算力盗用行为性质相对应的惩戒措施,包括自律性惩罚、行政处罚和司法规制,依据社会危害性调整具体认定规则,确保罪责刑相适应。

短期而言,建立健全算力分级监管体系可能增加了监管部门的工作量,需要监管机构去更为深刻地认识各类算力盗用行为的性质并细化相关定义。但是从长远来看,实现差异化监管有益于促使监管规则的制定更具科学性,避免监管上的“一刀切”做法。此外,算力分级监管可以根据风险程度将监管重点放在高风险领域,从而更有效地应对潜在威胁,顺应技术和市场的变化。实现算力的精细化管理与差异化防护,也可以降低危害结果发生后的调查成本,减少无效监管和监管资源浪费的情况,有利于监管成本与监管效益的统筹考虑。(22)吕桐弢:《人工智能时代程序化交易监管的制度完善》,《现代经济探讨》2023年第2期。

(二)推动政府规制与科学技术的融贯

健康发展是数字经济最为重要的主题,其牵连技术、经济、社会体制的多维互动。立法机关和监管部门对算力保护的顶层设计,在很大程度上形塑着数字经济创新迭代的空间,但法律的滞后性使得数字经济快速发展中产生的新型风险,大多需要通过回应型立法进行规制。随着算力的应用场景持续扩展和深化,算力保护的规则可能不断面临“一立法就落后”的常规误区。(23)刘艳红:《数字经济背景下元宇宙技术的社会安全风险及法治应对》,《法学论坛》2023年第3期。因此,有学者主张,应当把科学技术和政府规制纳入法律范围,通过法律解释将包括新技术在内的新兴事物与现象涵摄进现有的法律条文内,实现政府规制和科学技术之间的融贯,即“技管结合”。(24)郭春镇:《生成式AI的融贯性法律治理——以生成式预训练模型(GPT)为例》,《现代法学》2023年第3期。在信息技术和数字经济领域,技管结合意味着将先进的技术手段应用于管理和治理中,通过对法律进行更广义的理解,由技术和数据驱动监管规则变革,以充分完善对市场主体的全生命周期监管。

规模性的算力产业仍属于新生事物,在实践中推动政府规制与科学技术对其监管的融贯,不仅需要有专业的政府机构坚持包容审慎监管,还需要相关的技术方案有效渗透。一方面,算力监管需要设立专门的、具有行政性质的调查、监管、处罚权力的算力保护机构。算力监管兼具复杂性和技术性,专设的监管机构由于目标任务单一,机构和工作人员的个体荣誉都与监管成果相连,所以相较一般的政府管理机构更具有视算力监管为己任的理念。(25)缪因知:《中国证券法律实施机制研究》,北京:北京大学出版社,2017年,第50页。因此,应当厘清各部门的监管边界和监管主体权责,从现有监管组织架构中剥离涉及算力保护的政府规制力量,进一步优化监管职能并统一监管标准,形成具有专业性的监管机构。专设的监管机构能够在一定程度上摒弃科层制低效、复杂、死板的管理组织框架,着力提升算力业监管的灵活性和及时性,形成适应建设高标准市场体系要求的算力行业监管组织体系和流程机制。此外,政府规制亦需要具有专业知识和了解产业特点的监管机构,才能够深入了解产业动态和技术变化,从而进行包容审慎的监管。专业化的监管机构便于灵活地应对复杂多变的新业态新形势,以容错机制激励市场创新,能够最大限度维系创新和监管的平衡,处理好“有限、有为、有效”三者之间的关系,进而在一定程度上弥补因数字经济发展迅速而产生的法律滞后现象。

另一方面,“技管结合”既关注监管机构的专业化,也注重技术方案的实质渗透。针对大型算力集群的建设,监管机构应充分了解算力的运行机制、技术特点以及可能的风险。在算力规模集中的算力中心或超级计算机开发阶段“融入”可审计性,提高相关设备使用的透明度,要求算力中心的核心系统数据可追溯与可复盘。例如,纽约州参议院于2022年6月通过相关法案,要求审计大型加密货币算力供应方所消耗的电能数量与能源使用的燃料类型来源,追踪并暂停纽约州使用算力工作量证明方法来验证区块链交易的业务。(26)Kartkar V V, Sward J A, Worsley A, et al. “Strategic land use analysis for solar enengy development in New York State”, Renewable Energy, 2021, pp.861-875.通过确保算力中心的核心系统数据是可追溯和可复盘的,既可以追踪到计算资源的每一个操作和使用的来源,也可以重现系统的历史操作过程,便于监管机构能够更好地履行相应的职责,从而保障算力的合规和安全运行。以技术标准为代表的“软法”治理有助于在算力中心开发阶段、事后追责阶段建立完整的可通约性路径规划。(27)孙跃元:《算法决策应用的外部风险及其公共治理路径研究》,《河北法学》2023年第4期。更为重要的是,数据是监管科技的重要依托,强化算力系统的信息追溯便于监管机构在数据的反馈和经验的提炼下,持续改进优化算力监控的技术方案,以便对法律法规中不适应市场发展的规范逐步清理,避免被技术及其背后的资本所俘获。

(三)构建多元共治的算力监管生态

在监管实务中,算力盗用行为往往是知其存在却难以查明,愈发成为难以治愈的公共性问题。如果只强调“命令—控制”的监管路径,单独依靠刑罚的单一惩治模式,而缺乏公众参与、行业治理和企业自律,不仅会导致在立法层面缺乏理论、前置法的充足支撑和法律法规修改的滞后性问题,还表现在执法司法层面算力盗用行为惩治面临“抽刀断水水更流”的“越打越多”怪象,无法全方位地应对算力盗用风险。(28)金鸿浩:《网络黑灰色产业链的犯罪特征与治理对策优化》,《刑法论丛》2021年第4期。因此,为了应对算力产业的多样性、复杂性和高速发展的特点,实现更加全面、有效、灵活的监管,有必要构建多方主体参与的算力保护内部共识机制,形成社会共治的监管机制。多元共治强调社会参与和监督,鼓励企业、公民、社会组织等各方面积极参与到社会事务管理中来,其可以充分发挥不同参与方的优势,避免单一监管机构的盲点和疏漏,形成协同效应并相互制衡。(29)袁康:《社会监管理念下金融科技算法黑箱的制度因应》,《华中科技大学学报(社会科学版)》2020年第1期。

首先,互联网平台和企业需要承担一定程度算力保护的公共义务。由于技术赋能和法定义务地不断增加,平台作为算力使用的主要渠道,愈发具有广泛的社会影响力,已明显不同于传统市场经营者。因此,监管部门应当敦促互联网平台和企业充分运用行业技术和信息优势,在传统算力监管维度之外,辅以监管科技,形成算力保护的双重监管逻辑。大型互联网企业可以开发和采用高级的安全性工具和技术,包括入侵检测系统(IDS)、入侵预防系统(IPS)、防火墙及加密技术等,以保护算力资源不受盗用。互联网平台和企业作为拥有算力资源的重要市场参与者,具有能力和责任参与到算力盗用的监管中,提供一定程度的技术支持,帮助制定监管技术方案,更好地识别和应对算力盗用行为。

其次,要建立硬性规制和软性规制兼具的协同治理体系,促成算力行业的自律性监管。传统的规制强调政府部门与机构在制定、监督与执行规则过程中的作用,但囿于算力技术的复杂性和多变性,政府机构对其认知和规制必然存在一定的局限,可能导致政府性监管的长期相对滞后。此时,需要更为重视多元利益权衡的软性规制,充分考虑利用行业信息优势,建立行业主体间的协商、对话和合作机制,使行业间的自律性组织发挥有效的监管作用,规范其商业行为。(30)潘静:《从政府中心规制到社会共治:互联网金融治理的新视野》,《法律科学(西北政法大学学报)》2018年第1期。例如,美国金融业监管局(FINRA)考虑到云计算带来的机遇和挑战,通过其金融创新办公室进行了系统性的市场调研分析。美国金融业监管局工作人员与近40个在该领域运营的市场参与者进行了积极对话,其中包括经纪交易商公司、云服务提供商、行业分析师和技术顾问,以详细了解算力服务在该领域的采用状况和安全运行方式,为进一步推动预防算力盗用的自律性监管打下了夯实的基础。(31)FINRA,Cloud Computing in the Securities Industry, August 2021,https://www.finra.org/rules-guidance/key-topics/fintech/report/cloud-computing。相对于政府监管,自律性组织可以更加灵活地调整规则,行业内部的自律机制可以加强合规和规范的建设,及时制定和调整行业准则,以弥补监管空白、适应行业变化。

最后,需要有序引导第三方组织或个人对算力盗用行为的监督和披露。如前文所述,“白帽”黑客尽管不具有传统意义上的法定授权,但其作为专门从事网络安全领域的善意第三人,能够对算力运行过程实施有效的系统性监督,属于学理上的第三类无授权的规制者。(32)[英]科林·斯科特:《规制、治理与法律:前沿问题研究》,安永康译,北京:清华大学出版社,2018年,第95页。当前,“白帽”黑客亟待建立系统性的算力监管参与机制,以确保他们能够在合规、透明和可问责的框架下进行第三方的监管活动。为此,需要建立“白帽”黑客的认证管理制度,明晰“白帽”黑客等善意第三人的权责边界,规定“白帽”黑客活动的合法范围和条件,为“白帽”黑客提供法律责任的豁免制度。例如,比利时2023年通过立法,在“白帽”黑客的活动不具有造成伤害或获取非法利益意图的前提下,第一时间向比利时网络安全中心(CCB)报告发现的网络安全漏洞,且不向公众披露相关信息,其行为即不再属于比利时刑法对黑客行为的刑事禁止范围。(33)Vernooij C and Doorne V,“Veilig klokken luiden”, Zorgvisie, 2021, Vol. 51, pp.19-19.

五、结语

伴随数字经济的发展,算力已然成为各行各业实现高质量发展的内生动力。算力基础设施作为各个行业信息系统运行的算力载体,为产业升级提供了新的思路,越来越多新业态也相继浮出水面。在此意义上,算力驱动着数字经济的未来。新的经济环境与形势,意味着迫切需要与之相适应、相配套的监管理念与监管方式。算力盗用行为已经逐步脱离了对个人或单位财产侵犯的单一范畴,其所涉风险已经扩展至数字经济的社会安全和管理秩序。然而,当前算力盗用的规制手段却较为片面,监管体系也不健全。防范虚实结合的算力盗用风险,需要在充分尊重技术规律的基础上,根据风险塑造行政前置性的思维和规则,在多元共治的监管框架内,探求最优的解决方案。唯有法治,才可以理顺算力监管的治理逻辑,在现有法律体系下完善相关制度安排,形成监管合力并逐步控制风险。