人工智能侵权的新兴责任主体研究*

贺栩溪

(湖南工商大学法学院,湖南 长沙 410205)

一、问题的提出

随着人工智能技术的快速发展和广泛应用,由其带来的侵权问题开始逐渐显现。无论是物理性接触侵权如自动驾驶汽车造成的交通事故,还是非物理性接触侵权如隐私权、个人信息受侵害,算法“杀熟”、算法歧视和“信息茧房”等问题均开始逐渐进入社会关注的视野,并成为目前学界争议的热点和立法亟需解决的问题。

面对人工智能技术对人类权益的上述侵害,有学者认为现行民法的基本理念和基本规则足以应对而不需要发生断层式的发展,并以自动驾驶汽车为例,认为现有机动车交通事故责任规则和产品责任规则能够基本适用自动驾驶汽车侵权案件(1)杨立新.用现行民法规则解决人工智能法律调整问题的尝试[J].中州学刊,2018,(7):40-48.。诚然,无论是具备物质实体的智能机器人,还是不具备物质实体的人工智能系统均往往与普通产品类似,一般都是先由开发者投入大量人力物力予以开发,然后以盈利为目的提供至使用者手中(2)不具备物质实体的人工智能系统往往被应用于大量软件当中,通过“应用商店”向消费者供应,虽然大部分常见应用可免费获得,但并不能改变这种行为的销售性质:人工智能时代下的对价支付不一定需要金钱或其他传统等价财物,聚沙成塔的流量,网络足迹所形成的数据才是当代科技社会的宝贵资源。。因此在传统侵权责任法律中,人工智能侵权的责任主体应当对应人工智能生产者、销售者、使用者和第三人。按照普通产品侵权责任的归责,上述主体已经具有一定全面性,尤其是“第三人”还具有一定的兜底特性,笔者亦认为产品责任、使用者责任和第三人责任可以并应当在人工智能侵权责任的归责过程中继续适用,但上述传统主体能否完全满足人工智能侵权责任的归责需求,笔者仍持否定态度,主要理由如下:

第一,就以自动驾驶汽车为代表的具有物质实体形式的智能机器人来说,首先,自动驾驶技术的设计者与生产者往往不再为同一主体(3)例如华为造车消息曾不胫而走,引发社会广泛关注和讨论,但华为表示其不参与造车,只作为智能部件供应商,采用HUAWEI Inside模式,把华为的自动驾驶硬件、麒麟芯片、鸿蒙系统等带进更多汽车制造商的产品里;百度与吉利汽车为战略合作伙伴关系,百度提供智能驾驶专业知识和技术,吉利负责进行汽车制造。,而智能技术将成为自动驾驶汽车发生事故的主要原因之一,若仍然由生产者承担因智能设计缺陷导致的侵权责任,该责任分配的公平性值得商榷;其次,自动驾驶汽车在行驶过程中不仅依靠自动驾驶系统本身,还需要大量行车数据、道路数据的实时更新和传输共享,以实现车与车、车与环境之间的信息交换,自动驾驶系统正是在此基础之上进行运行从而作出各种决策。若上述数据出现问题导致自动驾驶系统决策发生错误从而造成交通事故,传统产品责任能否涵盖出厂及销售后还在不断更新变化的数据所引起的责任,笔者持有保留态度。

第二,以不具备物质实体形式而存在于虚拟空间中的人工智能来说,首先,大数据对这类人工智能的影响,相比具备物质实体的智能机器人来说有过之而无不及,其算法决策需要大量数据予以支撑,数据缺陷成为人工智能侵权的重要原因之一;其次,与智能机器人一般由生产者、销售者直接交向终端使用者不同,不具备物质实体人工智能的开发者和终端使用者之间往往还有中间载体——算法应用平台,平台基于其强大影响力或强制应用需要而拥有众多终端用户,并往往容易成为侵权发生后的第一问责对象,但该主体难以被传统侵权责任主体所包含。

第三,虽然第三人责任因具有兜底特征可涵盖除产品责任和使用人责任之外的一切其他责任主体,但数据责任和平台责任在人工智能侵权责任中的重要地位和特殊性使得将其从第三人责任中独立出来具有现实需要。在传统侵权责任中,第三人责任作为产品责任与使用人责任的补充,适用一般侵权责任规则,承担的是过错责任归责原则。然而,大数据和平台在人工智能应用中的影响力决定单纯的过错责任无法与其地位相匹配,需要基于大数据在人工智能中的作用方式和平台应用领域适用更为严格的多元化归责原则,构建与传统第三人责任并不相同的特殊侵权责任规则。

综上所述,除了传统侵权责任主体之外,算法设计者、数据提供者和算法应用平台在人工智能侵权中所产生的影响不容小觑,需要被正视并予以深入研究。在此背景之下,本文以上述三大新兴主体作为研究对象,对其在人工智能侵权责任归责过程中独立于传统责任主体的必要性、具体归责原则的适用以及其与传统责任主体之间的关系和责任分配等问题展开探讨。

二、人工智能算法设计者责任

(一)人工智能算法设计者独立对外承担责任

在传统侵权责任法中,产品的开发责任仅由生产者向受害者承担,产品设计者并不直接对外承担责任。产品“缺陷”通常可以分为三种类型:设计缺陷、制造缺陷和警示缺陷,包括设计缺陷在内的三种缺陷均由生产者对外承担责任。对于较为复杂的产品,生产者可能无法自主设计出该产品的所有配件构造,因此这类产品往往会有部分或全部设计来源于上游设计者。根据我国现有产品责任规定,即使产品缺陷来源于上游主体,向受害者直接承担产品责任的主体亦是最终生产者而非上游主体。

现有法律的上述规定具有一定的客观事实基础和法律适用优势。首先从产品生产的过程来看,生产者在整个加工、制作过程中仍然处于最有力的位置,其对于成品质量的控制和把握始终居于主导地位;其次,对于大部分产品来说,产品的设计者并不独立而是隶属于生产者存在,其属于生产者的下设部门或者雇员,根据《民法典》侵权责任编第1191条的规定,设计者由于职务设计出现缺陷导致的他人损害应由用人单位承担责任;再次,由生产者承担责任有利于填补受害人损害,并一定程度上预防产品责任的发生。产品的生产一般需要经过设计、制造和组配等过程,由最终成品生产者承担无过错的产品责任,有利于促使其保证各个环节的质量和衔接,避免各自为政、互相脱节,以及损害出现后互相推诿的局面产生,而且从受害人角度来讲,确定产品的最终生产者比确定产品是否具有某项设计缺陷,继而确定该缺陷的设计者要容易得多。

然而,对于人工智能侵权所导致的产品责任而言,学界和立法界开始出现将设计者责任从生产者责任中剥离出来而由设计者单独承担的观点和立法倾向。“基于人工智能产品的特殊性有必要充分考虑将设计者纳入产品责任主体体系。因为人工智能产品不同于一般产品,其必然涉及大量的数据与复杂的算法基础,专业要求度极高。”(4)胡元聪.我国人工智能产品责任之发展风险抗辩制度构建研究[J].湖湘论坛,2020,(1):76.还有学者认为人工智能产品的设计者应当独立承担过错责任:“人工智能设计者过错责任侧重于设计师是否能在设计中谨慎行事,该分析采用合理标准来确定设计师是否合理地设计产品,如果设计师行为不合理,法院会认定为疏忽。”(5)Callier,M.& H.Callier.Blame it on the Machine:A Socio-legal Analysis of Liability in an AI World[J].Wash. J. L. Tech. &Arts,2018,14:49.2016年,美国密歇根州出台关于自动驾驶机动车的法案,其中在侵权责任方面规定:“(1)为了分配事故责任,将机器定为“驾驶员”;(2)为提供AV(autonomous vehicle)系统的技术公司定义责任;(3)将汽车制造商从责任中隔离出来,除非损害是由车辆最初制造时存在的缺陷引起的,或者是由车辆转化为AV机动车之前就存在的缺陷引起的。”(6)S.FISCAL AGENCY,S.B.996-F,(Mich.2016).该规定明确将自动驾驶机动车制造商的责任和技术开发公司的责任相区别,并被学者认为为未来立法分配人工智能侵权责任提供指导意义(7)Callier,M.& H.Callier.Blame it on the Machine:A Socio-legal Analysis of Liability in an AI World[J].Wash. J. L. Tech. &Arts,2018,14:47.。

产品设计是在产品被制造之前,预先形成的构思、计划、方案、图样和安排等,设计是制造的前置阶段,任何产品均需要经过设计才能投入生产和制造(8)冉克平.论产品设计缺陷及其判定[J].东方法学,2016,(2):13.。产品设计具有多样性,就具有物质实体的智能机器人而言,基于其美观或实用而产生的外观设计,基于其安全性能而产生的机械安全设计,或基于其核心能力创造而产生的技术设计等都能称之为智能机器人产品的设计,而且每种类型的设计者绝大可能并不是同一主体;就以电磁形式存在于虚拟空间的智能系统而言,其设计主要表现为核心智能功能技术。并不是人工智能产品上的所有设计均具有与其他产品相异的特殊性,人工智能产品与其他产品相区别的根本在于人工智能的核心技术设计,这种核心设计使人工智能拥有了其他产品无法企及的自主学习能力、自主改造能力及思维决策能力,而这种核心设计即人工智能算法。

笔者认为,人工智能算法系统所产生的设计缺陷责任应当从生产者责任中剥离出来而由设计者直接向受害人承担,除非人工智能的生产者与算法系统的设计者属于同一主体。理由如下:对于人工智能产品而言,算法的设计才是其得以诞生的根源,人工智能之所以能从其他法律客体中突出而被学界重点研究并被认为可能需要进行不同的法律应对,正是由于算法所带来的类似人脑能力的出现,而这种能力来源于算法设计者的设计行为,与生产者的生产行为并无关系。算法设计的高度专业性阻隔了一般生产者对它的深入了解和掌握,因此生产者鲜能在设计过程中占据最有力位置,并控制和把握算法的质量。人工智能侵权的大部分原因可能源自算法设计出现了问题,让完全无法理解算法的生产者承担损害赔偿责任有失公允,对于提高设计质量,减少侵权发生亦毫无意义。事实上,在一些高科技、高度专业化且复杂的产品中,已经存在对产品责任主体予以宽泛理解的先例,尤其体现在航空器产品侵权领域,部分学者早已主张航空器设计者应当作为航空产品责任的主体(9)Speiser,S.M.& C.F.Krause.Aviation Tort Law[M].the Lawyers Cooperative Publishing Co.,1978;郝秀辉,王锡柱.论航空产品责任的承担主体及其归责原则[J].北京理工大学学报(社会科学版),2016,(1):122.。在赫姆诉空中客车公司(Hemme v.Airbus)一案中,法航447号航班空难者家属亦将飞机大气数据惯性系统、飞翔控制计算机微处理器的设计者摩托罗拉公司起诉至法院(10)Hemme v.Airbus,S.A.S.,2010 WL 1416468(N.D.Ill.,2010).。

至于前述关于传统产品责任之所以涵盖设计缺陷的客观事实基础,在人工智能产品侵权中并未发生根本变化,以及其法律适用优势在人工智能产品侵权中亦有继续存在之现实需要。那么,如何在算法设计者独立承担责任的前提之下仍然尊重该客观事实基础及继续保留该法律适用优势,则需要通过构建算法设计者责任和传统产品责任之间的不真正连带责任予以解决。

(二)人工智能算法设计者责任与传统产品责任之关系

由设计者直接向受害人承担因算法设计缺陷所导致的损害,并不意味着人工智能生产者能够完全置身事外。算法设计缺陷所导致的损害宜由设计者、生产者和销售者一起对外承担不真正连带责任,即当受害者认为人工智能侵权是由算法设计缺陷导致的,可以将人工智能产品的销售者、生产者和设计者同时诉诸法院,任何一方向受害人赔偿后,均可向实际侵权人追偿。该规则设计主要基于以下三个方面:

第一,虽然算法设计在人工智能产品中处于最核心地位,但传统产品责任规则构建的客观事实基础仍然存在:生产者是将算法系统最终嵌入人工智能成品并投入市场的主体,其能够最先了解该算法系统并决定是否予以应用,因此对于算法设计损害来说,生产者并非完全没有责任;而且生产者虽然不具备设计者的专业能力,但也能以指示等类似方式影响和改变算法的设计,此时生产者与设计者之间的责任并非常态时泾渭分明,为其构建不真正连带责任能有效解决在该情形下所产生的外部责任承担问题。

第二,该构建能最大程度地保护受害人利益,极大提高受害人损害获得填补的可能性,保留了传统产品责任的法律适用优势。即使由算法设计者独立对外承担责任,受害人亦无需因追责对象错误而耽误救济时间、增加救济成本;新增算法设计者作为对外责任主体反而能够提高受害人获得救济的几率。

第三,算法设计缺陷所导致的损害由设计者、生产者和销售者一起对外承担不真正连带责任符合不真正连带责任规则的内核。不真正连带是各债务人基于不同的发生原因而对于同一债权人负有以同一给付为标的的数个债务。当人工智能算法设计出现缺陷时,算法设计者基于该缺陷的设计行为负有给付义务,生产者则基于整个人工智能产品的生产行为负有给付义务,销售者则基于该人工智能的销售行为负有给付义务。因此仅从不真正连带责任的内核来看,设计者、生产者和销售者亦应对算法设计缺陷所导致的损害承担不真正连带责任。

(三)人工智能算法设计者承担过错责任

从我国现有法律来看,无论是《民法典》还是《产品质量法》,均未对产品缺陷作出类型化的分别规范,而是笼统规定“因产品存在缺陷造成他人损害”的产品责任适用无过错责任归责原则。比较法上的相关规定自其产品责任产生之初亦大抵相近,但随着设计缺陷案件逐步增多,有些国家立法开始将产品缺陷进行分类,并对不同的缺陷类型适用不同的归责原则,其中最为典型的国家为美国。1965年美国《侵权法重述》(第二版)还没有关于产品缺陷的分类,其在402A节中规定对所有产品缺陷统一适用严格责任,并在司法实践中获得较为严格的执行。但从70年代伊始设计缺陷产生并逐年增加,理论界开始出现对统一归责原则的质疑(11)Davis,M.J.Design Defect Liability:In Search of A Standard of Responsibility[J]. Wayne L.Rev.,1993,39:1217.,有些法院虽然宣称将严格责任适用于设计缺陷,但实际上使用的是类似过错的归责原则(12)Owen,D.G.Defectiveness Restated Exploding the “Strict”Product Liability Myth[J].U.ILL.L.REV.,1996(3):743,744.。1979年美国《统一产品责任示范法》出台,其中第104条表明不同缺陷应适用不同归责,规定对设计缺陷不再实行纯粹的严格责任。如果说该法案是设计缺陷从严格责任走向过错责任的过渡,那么1997年发布的《侵权法重述第三版:产品责任》则正式确定了设计缺陷的过错责任归责原则,其中第2节b款规定设计缺陷是指“通过采纳合理替代性设计能减少或者避免可预见的损害风险,而没有采纳合理替代性设计致使产品不具有合理性安全。”该规定使设计缺陷的认定标准明确为传统上用于判断行为人是否存在过错的合理性标准(13)[美]美国法律研究院.侵权法重述第三版:产品责任[M].肖永平等译.北京:法律出版社,2006.4.。

究其原因,美国法律和司法实践在设计缺陷归责原则上的转变主要基于以下几个方面的思考。首先,设计缺陷的无过错责任与人类认知规律相悖。设计隐含着创新和突破,设计者对自己设计是否具有缺陷的判断,取决于设计时的科技发展水平和人类的认知能力。如果设计缺陷适用无过错责任,意味着责任主体需要对无法知晓的风险承担责任,其违背了人类的认知规律,无异于要求责任主体承担绝对责任;其次,基于利益衡量与社会效用的考虑,虽然严格责任更有利于保护消费者,但设计者不得不因此考虑可能承担的责任,在设计时通过牺牲产品功效的保守性方式以获得更加安全的产品,最终损害的将是全社会失去获得有效产品功用的自由和更多产品选择的机会。另外还有学者指出,设计缺陷适用过错责任并不会改变举证责任要求的机理。原告欲证明设计缺陷的存在,往往需要提出一个合理的替代设计与原设计进行对照,当原告证实存在合理替代设计时,不仅能够证明原设计具有缺陷,也能够证明行为人在设计上具有过错,因此两者在举证方面是重叠的,并没有突破过错责任的基石,以免除原告对被告过错举证义务之必要(14)梁亚.美国产品责任法中归责原则变迁之解析[J].环球法律评论,2008,(1):107.。

尽管如此,设计缺陷的过错责任原则并不被所有国家或地区所选择,如欧盟在1985年的《欧共体产品责任指令》中明确规定所有缺陷应适用严格责任,尽管该指令在起草过程中已充分讨论美国产品责任归责原则在司法实践中所发生的变化(15)梁亚.美国产品责任法中归责原则变迁之解析[J].环球法律评论,2008,(1):108.。除此之外采取同样归责原则的还包括我国在内的大部分国家。严格责任以保护弱势的受损害者为主要理念,其存在的价值基础在于:第一,公平。过错责任建立在原被告双方风险具有相互性的基础之上,而在产品责任中开发者能源源不断地因缺陷产品获得利益,打破了上述风险基础,因受害者不能证明开发者过错而使其免于承担责任有违公平;第二,安全。严格责任促使开发者设计和制造更加安全的产品,从而降低对生命和健康损害的可能性已经成为学界和社会的共识;第三,损害转嫁原则。严格责任下的开发者能够将所需负担的责任加入产品的成本之中,由此而由所有消费者分摊该损害代价。

作为此消彼长的相互关系,过错责任与严格责任在设计缺陷上的争议与胶着使算法设计缺陷的归责原则成为难题。一方面,人工智能算法作为科技创新的最前沿领域,尤其符合上述适用过错责任的理由;而另一方面,人工智能正值进入市场之初,人类对于新科技的不信任和恐惧尚在峰值,正如严格责任的产生离不开工业发展,新出现的人工智能算法似乎更需要严格责任予以保驾护航。然而两者比较之下,笔者认为算法设计缺陷更宜适用过错责任。主要理由在于:

首先,算法缺陷与其他设计缺陷不同,其责任的承担者为设计者而非生产者。算法设计活动是人工智能技术发展的核心,是科技创新的灵魂,要求设计者承担无过错责任,无异于为人工智能技术发展套上沉重脚镣,纵有万般设计思路亦会在付诸实践之时趑趄不前。而且,通过无过错责任促使设计更加安全的目的在人工智能算法中较难实现,因为算法不安全更多的是客观不能而非主观不能。人工智能算法设计作为目前人类最尖端的科技领域之一,其每一次进步和创新都是在人类的认知盲点中摸索,设计者只能基于当时的研发水平在现有认知能够延伸的范围之内进行设计,类似于很多航空科技的重大进步都以空难为代价(16)郝秀辉,王锡柱.论航空产品责任的承担主体及其归责原则[J].北京理工大学学报(社会科学版),2016,(1):122.,人工智能算法在发生损害之前,其可能存在的威胁亦很难被设计者所识别。

其次,让设计者承担无过错责任在一定程度上有违风险收益均衡原则。相对于生产者能从每一件人工智能产品的制造和销售中获利,设计者收入相对固定,其依靠设计的智力劳动获得报酬。因此即使人工智能产品的产量和销量在不断增加,算法设计者的边际收益变化也不会如生产者明显,甚至可能为零,但由人工智能算法所带来的风险和损害事故将会随着人工智能产量和销量的增长而增长。算法设计者的边际风险呈现出的是与其边际收益完全不符的变化态势,让设计者承担无过错责任对其有失公允,不符合风险收益均衡的原则。

再次,即使对算法设计缺陷适用无过错责任原则,其责任亦极大可能因开发风险抗辩而免除。无论欧盟还是我国在构建产品缺陷的严格责任时,均认为“将产品投入流通时科学技术水平尚不能发现缺陷存在”情形是行为人的免责事由之一(17)分别规定于《欧共体产品责任指令》第7条e项和我国《产品质量法》第41条第2款。。然而,该开发风险抗辩有可能在人工智能算法设计缺陷的追责中被滥用,原因依然在于人工智能算法设计的尖端科技属性,使该免责事由的适用可能会出现只能由算法设计者自身做自身缺陷的裁判者,而且使用的标准还是被评判的人工智能本身的矛盾情形,导致大部分人工智能算法设计缺陷都得以免责,无过错责任的规定或将形同虚设,无法达到应有的立法目的。

综上所述,算法设计缺陷适用过错责任归责原则更加符合人工智能算法本身的特征。至于因适用过错责任可能导致的受害者损害填补不能问题,可以通过其他方式予以缓解或解决,如强制责任保险制度或人工智能算法系统使用协议等,使受害人损害由保险公司或合同责任主体合理分摊。

三、数据提供者责任

数据提供责任对于我国法律乃至比较法上任何一部法律来说,都是一个近几年才出现并被关注的全新责任类型。大数据、大计算能力以及人工智能算法三者的结合,使数据对人类的影响能力大幅提升,宛如一个人品性的好坏很大程度取决于其所接受的教育,数据对于人工智能算法来说,就是其被培训教育时所使用的素材或知识。因此,数据背后的主体——数据提供者成为了可能影响人工智能侵权的责任主体之一。

(一)数据提供者的界定

目前立法和学界对于数据提供者的名称、内涵和外延规定均不一致。

自从我国《民法典》在“隐私权和个人信息保护”中使用了“信息处理者”称呼后,我国法律开始沿用此概念。2021年11月起施行的《个人信息保护法》是我国目前在数据保护领域规定最为详实的单行法,但两部法律均未对“信息处理者”作出明确界定,仅规定个人信息的处理包括“个人信息的收集、存储、使用、加工、传输、提供和公开等”。国内有研究者使用“数据服务提供者”概念,称数据服务作为大数据时代的一种新型服务形态,是指“市场主体基于用户对特定信息资讯的需求,为其提供相关数据的服务”。并主张数据服务提供者具有数据质量瑕疵担保责任(18)齐英程.数据服务提供者的质量瑕疵担保责任研究[J].大连理工大学学报(社会科学版),2022,(6):76.。有研究者则使用“外部数据供给”:“数据供给的质量和充足程度决定了人工智能算法在单位时间内迭代的次数和质量”,是一种“新兴的社会力量”(19)王德夫.论人工智能算法的法律属性和治理路径[J].武汉大学学报(哲学社会科学版),2021,(5):29.。

欧盟《一般数据保护条例》(GDPR)使用的名称为“数据控制者”和“数据处理者”,根据条例第4条的定义,“数据控制者”是指能够“单独或共同决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他实体”;“数据处理者”则是指“为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他实体”。英国教授维克托·迈尔·舍恩伯格(Viktor Mayer-Schönberger)在其畅销著作《大数据时代》中将数据提供者称为大数据公司,并将大数据公司分为三种类型:第一,基于数据本身的公司。这种公司拥有大量数据或可以收集大量数据,却不一定拥有提取数据价值的能力,如美国Twitter;第二,基于技能的公司。通常为技术供应公司、咨询公司或分析公司等,虽然不一定拥有数据,但具备分析、处理和抓取数据价值并提供决策的技能,如天睿公司(Teradata)为Pop-Tarts和沃尔玛分析零售数据并提供营销策略;第三,基于思维的公司。虽然不一定具备数据分析和处理技能,但能创新性地策划出数据利用新方式以挖掘数据的潜在价值,如Jetpac的联合创始人皮特(Pete Warden)通过用户分享的旅行照片数据来为人们推荐旅行目的地。也有一些公司以上三种能力均具备,如谷歌和亚马逊等“大数据先锋”(20)[英]维克托·迈尔·舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛译.杭州:浙江人民出版社(第一版),2013.。

虽然上述立法或观点各有千秋,但仍然能达成一定共识:尽管数据的源头无不来自于网络社会中的参与者,但数据收集者、处理者、运营者等主体才是数据提供者。每一位网络参与者虽然是数据来源之所在,但他们并没有将数据进行再利用的意思表示,因此无论所产生的数据之好坏,都不具备被追责的法理基础;相反,由于带有他们个人标记的数据被大量收集和利用,数据源头者反而可能成为受害者而向数据提供者追责。

侵权法意义上的“数据提供者”应当是能够控制数据质量和交易的人,只有具有该权能才能对数据侵权产生实质性的影响。维克托教授对于“大数据企业”的分类实际上将数据提供者的范围做了扩大化解释,思维公司与技术公司中利用数据决策部分本质上不会对数据本身产生影响,而是为数据利用提供一种方法,其与人工智能技术结合即变成了人工智能算法系统,因此称之为算法设计者更为妥当。而基于数据本身的公司和技术公司中的处理数据部分能实质性地影响数据质量,决定数据走向,才构成侵权法意义上的“数据提供者”。由此看来欧盟GDPR关于“数据控制者”和“数据处理者”以及我国《民法典》《个人信息保护法》关于“信息处理者”的规定更加符合数据提供者的本质。

而我国法律中的“信息处理者”概念并不能完全契合人工智能侵权的归责主体需要,主要基于以下三个方面的原因:第一,我国法律之所以使用“个人信息”而非“个人数据”是因为“信息”涵盖除电子方式记录之外的其他方式所记录的信息(21)见《个人信息保护法》第4条。,而对人工智能产生影响的信息必然需要电子记录形式,因此在本文使用“数据”而非“信息”更为准确;第二,除了个人数据之外,企业数据亦是人工智能运行的重要数据来源之一。虽然企业数据与个人数据息息相关,但当数据不再具有可识别性时,数据将丧失个人数据属性,而且还有部分数据从最初就与个人数据无关,而我国的“信息处理者”外延并不能涵盖对该部分数据的处理;第三,随着数据产业的深入发展,数据主体已逐步实现精细化分工,市场开始出现诸多专门的数据公司,数据处理者、控制者等主体或已实现剥离,不再为同一主体(22)例如全球金融数据提供商之一路孚特公司(Refinitiv)最近提供一款公司数据产品,该产品是涵盖全球99%市场总值的公司数据的集大成者,该数据产品可用于人工智能并由其作出投资决策,路孚特公司通过提供该数据产品获取收益。https://www.refinitiv.cn/zh/financial-data/company-data?utm_content=CompanyData-APAC-BU-MAN_Baidu&utm_medium=cpc&utm_source=Baidu&utm_campaign=434512_PaidSearchZHBaidu&elqCampaignId=13802&utm_term=%25E5%2585%25AC%25E5%258F%25B8%25E6%2595%25B0%25E6%258D%25AE&gclid=CN2g4bKvsvUCFWBBwgUdoqIIOQ&gclsrc=ds(访问时间2022年1月15日),而人工智能侵权的归责主体应当为对数据具有控制能力并最终提供给人工智能的数据主体,因此我国“信息处理者”概念在本文并不具有最优性。

值得注意的是,虽然欧盟GDPR认为数据处理者的行为是在数据控制者的指示或授权下所作出,并以将成果返还给控制者为目的,按照法理,所产生的数据侵权责任应当由数据控制者承担,但其在第82条“享有赔偿的权利和责任”条文中所规定的责任主体并非完全为控制者这么简单:处理者在未遵守GDPR其他条款,或超出、违背控制者合法指令的情形下应对其侵权损害承担责任;若控制者和处理者两者均参与同一项处理的,为了确保对数据主体的赔偿,两者对外均应对全部损害承担责任。由此可见,GDPR虽然承认控制者应对其控制的所有行为承担责任,但同时为了确保受害人获得损害赔偿,以及行为人处理数据的规范性,GDPR又尽可能地将处理者纳入数据责任主体的范畴,值得我国进行适当学习和借鉴。

综上所述,数据提供者是指以盈利为目的,以收集、处理、存储、管理和运营数据为手段,为人工智能算法提供数据信息资产的主体。数据提供者可因收集、处理、存储等事项的不同而涉及多方主体,一般情形下,因数据缺陷导致人工智能侵权的对外责任承担者应当是最终提供给人工智能的数据控制者,但当其他主体超出或违背数据控制者的合法指令,或者未遵守数据相关权利保护规范导致数据存在缺陷的,亦应当对其引起的侵权损害承担赔偿责任。此外,完全未经授权以更改、增加或减少数据的方式使人工智能侵权的第三人,亦应按照数据提供者责任的规定承担侵权责任。

(二)数据提供责任与产品责任的关系

对于人工智能产品而言,数据作为产品的一部分起着不可或缺的作用。其具有与人工智能产品其他组成部分一样的共同点:数据在产品被设计开发或制造时被嵌入,在销售时已然存在。然而,其又存在与其他组成部分完全不同的特性:数据处于时刻变化和更新的过程之中。由数据引起的侵权责任是否应当纳入产品责任成为首先需要解决的问题。

在销售以后还能够持续改变或更新的产品中,人工智能并非先例,最为典型的就是智能手机系统的升级以及各种软件的更新。立法并没有对这些更新部分的侵权责任作出调整,依然由生产者和销售者按照现有法律承担产品责任。即便如此,笔者仍然认为由数据导致的人工智能侵权责任宜由数据提供者而非产品责任主体承担,理由如下:

首先,人工智能数据相较于人工智能产品其他部分来说具有相当的独立性。对于智能手机或软件而言,可更新的系统和软件是产品的核心,构成了产品的最主要组成部分,缺少这些部分的“产品”还不可谓为完整产品;而人工智能数据虽然重要,但对于人工智能产品的创造而言具有相当的独立性,且很多由生产者之外的其他主体供应。其次,人工智能数据的变化和更新极其必要且非常频繁,人工智能对数据变动的依赖性强,一件人工智能产品的数据或许在消费者购买第二天就已经与购买时的数据完全不同。相对于人工智能数据,智能手机系统或软件的更新较为缓慢,而且一般处于可更或不更的可选择情形;而大部分人工智能运转必须依靠不断变化的实时大数据,没有数据更新,人工智能算法将失去灵魂。再次,人工智能的自主学习能力使数据影响力巨大。人工智能具有自主学习从而自我改变的能力,这种能力使即使是算法设计者亦无法知晓或预测算法结果,其很大程度上取决于算法所学习的数据。因此当人工智能输出因数据缺陷而脱离生产者和设计者创造产品的初衷时,让生产者或设计者为数据所造成的侵权承担责任将有失公允。

(三)数据提供者责任的归责原则

我国关于数据责任的归责原则规定于《个人信息保护法》第69条,采取过错推定责任原则,由个人信息处理者证明自己不存在过错(23)《个人信息保护法》第69条:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。。欧盟GDPR没有关于归责原则的明确适用指引,其“享有赔偿的权利和责任”条文(第82条)第3款只是较为模糊地规定“控制者或处理者若能够证明其对引起损害的事件没有任何责任,则免于承担责任”。因此有学者认为GDPR“对于过错问题有意保持开放,将其交由各成员国立法者自行安排”(24)BeckOK Datenschutzrecht,BDSG 2018,24.Edition,01.08.2017,Wolff/Brink,§83,Rn.19.。但也有学者基于GDPR第5条第2款的规定“控制者应该遵守本条第一款(‘合法性、公平性和透明性’‘目的限制’‘数据最小化’‘准确性’等),并能够证明之。”,认为数据控制者所适用的是过错推定责任原则(25)陈吉栋.个人信息的侵权救济[J].交大法学,2019,(4):50.。2018年德国颁布《联邦数据保护法》,其中第83条规定:控制人处理他人数据违反本法或其他可适用之法,导致损害的负有损害赔偿义务;在非自动化数据处理场合,若损害不可归因于控制人过错,则可免除赔偿责任。由此可见德国区分是否采取自动化数据处理技术,若采取该技术适用的是无过错责任,若未采取则适用过错推定。我国台湾地区的《个人资料保护法》则区分公务机关与非公务机关,对于非公务机关主体违反本法造成信息主体损害的,负担过错推定责任。

各国家或地区立法在规定数据侵权的归责原则时均开始倾向于构建多元归责体系,学理研究亦不例外。叶名怡教授认为应当采取三元归责:公务机关使用自动化数据处理技术的适用无过错责任,非公务机关使用自动化数据处理技术的适用过错推定责任,未使用自动化数据处理技术的主体则适用一般过错责任(26)叶名怡.个人信息的侵权法保护[J].法学研究,2018,(4):93-95.。还有学者则认为应当构建二元归责体系:对于采用自动数据处理技术的主体适用过错推定责任,而未使用自动数据处理技术的主体则适用一般过错责任(27)陈吉栋.个人信息的侵权救济[J].交大法学,2019,(4):51.。

无论立法还是学界,都倾向于将是否采用自动化数据处理或是否为公务机关作为归责原则体系建构的关键考量因素。笔者认为,相对于自动化数据处理技术而言,公务机关身份对数据的影响小得多,不足以为此构建不同的归责原则。诚然,拥有公权力的公务机关在收集、挖掘数据等行为上具有行使便利性,但随着政府信息的公开共享,企业之间因技术竞争所形成的不断增强自身自动化数据处理技术的内在驱动力,公务机关的数据分析、处理和控制能力并不必然高于某些企业,甚至某些行业巨头的自动化处理技术引领全球产业发展方向;而对于民事主体敏感,但因公务处理需要而不得不向公务机关披露的信息,其亦在法律上具有与普通信息不同的保护措施。因此仅就向人工智能提供数据而言,公务机关并无适用更高归责原则之必要,至于公务机关应用人工智能辅助决策或直接决策的行为,与这里的数据提供行为完全不同,将在下部分予以详述。

以自动化数据处理技术作为数据责任二元归责体系的分界点具有相当的科学性。自动化数据处理是指依据计算机自动化装置或系统,在没有人类直接参与的情况下对数据进行采集、存储、加工、检索、传输和变换等过程。广义的自动化数据处理还包括“自动化决策”,即人工智能算法经运行后输出结果。由于本部分只讨论数据提供者责任,因此此处所述“自动化数据处理”限于为给人工智能提供源源不断大量数据而对数据进行的自动化处理。自动化数据处理技术能够给人类带来“自动化危险”,由于技术壁垒的阻碍,局外人几乎难以追溯数据在自动化处理过程中的复杂工序,苛以受害人对数据提供者过错的证明义务或将出现大量举证不能情形,而技术永久存储、即刻检索和调取的能力却使行为人具有举证的天然优势。在非自动化数据处理的情况下,技术带来的上述风险并不存在,原被告之间的诉讼能力和举证能力并无较大差异,无需进行特殊规制之必要,宜采用一般过错责任原则。不过,鉴于大数据技术在实践中的广泛应用以及受害者举证能力的欠缺,宜事先推定所有数据处理均为采用自动化技术。

采用自动化数据处理技术的数据提供者宜适用过错推定责任原则而非无过错责任原则,理由主要有二:第一,数据保护法兴起的目的是为了遏制近几年数据控制者对个体数据权利毫无规制的利用和侵犯,以达到对数据“合理”使用的目的。由于个体亦能从自动化数据处理中获得一定利益,因此实际上社会对数据处理具有一定的容忍度,只要未超出合理的注意义务即可,并无建立无过错责任的必要;第二,现有科技水平仍然处在大数据技术发展的初步上升期,适用无过错责任将极大增加数据提供者的责任,并不利于科技产业的进一步发展。

四、算法应用平台责任

(一)算法应用平台的界定

对于大部分以电磁形式存在于虚拟空间的智能系统来说,在销售者和终端用户之间往往存在另一主体——算法应用平台。该类人工智能由于缺乏有体的物质实体形式,因此大多需要在虚拟或现实空间中寻找能够承载其运行和效用发挥的平台,以服务终端用户或为平台控制者服务。常见的淘宝、百度等应用均是典型的算法应用平台。除线上平台之外,亦不乏应用算法进行辅助决策或直接决策的线下平台,如政府使用算法辅助判断其行政相对人的申请是否应当获得批准。由此可见,算法应用平台是指为提供服务或完成某一任务,对聚集在平台上的用户或相关主体应用人工智能算法系统,并使系统运行后的结果对用户或相关主体的权益产生影响的线上或线下主体。

算法应用平台具有如下特征:第一,平台自身不受算法结果的直接制约。虽然平台是算法系统的应用者,但是平台所有者或经营者不是算法的终端用户和目标人群,应用平台的目标在于将算法作用于该平台上的用户,使平台用户受到算法结果的直接影响和制约;第二,算法应用平台往往具有用户量大,影响范围广的特点。平台上用户会受到平台所使用的人工智能算法的影响,其在很大程度上扩大了算法的作用范围。

根据不同标准,算法应用平台可以进行不同的分类,并对责任承担产生不同影响。首先,根据平台控制者是否兼具算法系统开发者身份,可以区别出应用平台是否会发生责任的竞合:

有些应用软件既为算法提供应用平台,又作为一个整体产品提供给消费者,而且平台控制者和算法系统开发者为同一主体,如淘宝、新浪微博和百度等行业巨头。因此当因产品缺陷造成智能系统侵权时,往往会发生应用平台责任和产品责任的竞合。但应用平台责任仍然有其存在的意义:对于不是由算法设计缺陷造成的人工智能侵权,如本应由算法输出的微博热搜常常被诟病具有人为操控,此时并不能适用产品责任归责,需要应用平台责任对该行为所造成的侵权损害进行救济。

并不是所有应用平台的控制者和开发者均属同一主体,有些应用尤其是在公务机关、事业单位或其他非营利性组织下所控制的应用,往往会出现应用平台控制者与开发者的分离,这时将不再发生责任竞合。其中有些应用也会直接提供给消费者,如普通个体能够下载的带有人工智能算法的政务功能APP;还有一部分算法系统被设计开发或生产之后并不直接销售给终端用户,而是由应用平台购买,应用平台控制者利用该算法对目标人群进行排序、预测等以实现其特定目的。如某企业购买“人事管理算法”对应聘该企业的人员进行筛选,对在职员工升迁去留进行考核;银行购买“信用管理算法”以决定是否通过特定个人所申请的贷款;法院购买“累犯预测算法”以辅助决策某被告人的量刑。

其次,根据平台控制者是否为公务机关主体,将算法应用平台区分为公务机关平台和非公务机关平台。公务机关作为国家职权的行使者,其使用智能系统意味着国家职权的行使方式将一定程度受到科技的制约。由于公务机关的公共属性,其相对人并不能像非公务机关平台用户一样具有可选择性,因此,社会对公务机关算法平台输出结果的正确性具有更高期待。一旦公务机关所控制的算法对相对人造成侵权,是否应当承担比其他算法平台更加严格的侵权责任值得进一步的探讨。

(二)算法应用平台责任的归责原则

平台是将算法系统与用户连接起来的纽带,是算法运行和输出结果的承载地,亦是算法侵权行为的发生之所。因此平台应当对算法结果承担一定的注意义务,一旦发生算法侵权损害,将平台作为可能的侵权责任主体之一进行追责考量,具有充分的法理基础。现有立法也开始明确算法应用平台的义务和责任:

2019年4月,美国参议院、众议院两院提出《2019年算法问责法案》(Algorithmic Accountability Act of 2019),其所规定的监管问责对象之一“拥有用户数或控制的终端数超过100万的企业、合伙和个人”直指算法应用平台。我国亦不例外,2018年出台的《电子商务法》第18条规定电商平台推荐算法搜索结果时,应当同时提供不针对特定个人的选项,第40条规定平台应以多种方式规定搜索结果并显著表明广告,被学者称之为“实质上首次明确了对网络交易平台日常运行中算法的监督”(28)张凌寒.《电子商务法》中的算法责任及其完善[J].北京航空航天大学学报,2018,(6).,但该法律只规定了违反以上义务的行政责任而缺乏民事救济路径,实属规范之局限。2021年12月底,我国国家网信办等四部门联合出台的《互联网信息服务算法推荐管理规定》于2022年3月实施,该规定以“算法推荐服务提供者”为对象,对算法服务行为首次进行了专门性地全面化规制,在人工智能算法监管中具有重要意义。作为一部部门规章,其以行政责任为主,但亦在第三章“用户权益保护”中提及对用户的“相应责任”。

然而,算法应用平台的法律义务和责任依然还不够具体完善,加上平台相对于其他侵权主体在侵权责任中极具明显之位置,使得实践中开始出现对平台过分追责的现象。平台不仅成为算法侵权发生后最先被追责的主体,往往也是唯一被追责的主体。这种倾向既体现在行政规则和执法中,也体现在学界观点及司法实践中:如2016年我国国家互联网信息办公室明确提出对平台服务提供者责任的强化(29)我国国家互联网信息办公室认为:“平台对于第三方提供的内容,能够证明尽到合理注意义务的可少负或不负责任”的归责理念已经逐渐发生了变化,平台服务提供者不仅需要对自己发布的内容负责,对于第三方提供的内容,在有些情况下也需要负完全的责任。参见中华人民共和国国家互联网信息办公室官网.强化网站主体责任正当其时[EB/OL].(2016-12-22)[2019-11-14].http://www.cac.gov.cn/2016-12/22/c_1120166441.htm.;上文提及的《互联网信息服务算法推荐管理规定》对算法推荐服务提供者加以大量义务及责任,这些义务本需要算法应用平台、算法设计者和数据提供者等多方主体共同履行,但由于《规定》并没有对“算法推荐服务提供者”予以明确,因此该主体首当其冲指向了算法应用平台;再如学界将美国《统一计算机信息交易法案》(The Uniform Computer Information Transactions Act)中的“电子代理”(30)该法案第2条第6款:“电子代理”系指非经人的行为或审核,全部或部分独立发起某种行为或应对电子记录或履行的计算机程序、电子手段或其他自动化手段。(算法所实施的行为)解读为“运营商对外延伸获取信息的长臂”(31)Chopra,S.& L.F.White.A Legal Theory for Autonomous Artificial Agents[M].Ann Arbor University of Michigan Press,2011:6.,其帮助和代替运营商进行分析判断,因此虽然电子代理的被代理人为平台上的客户,但电子代理人行为应归责于运营商而非被代理人(32)高丝敏.智能投资顾问模式中的主体识别和义务设定[J].法学研究,2018,(5):49.。此处的运营商即是本文所表达的算法应用平台;2012年澳大利亚音乐人迈克(Michael Trkulja)因谷歌的搜索自动补足算法将其名字与谋杀联系在一起而起诉谷歌获得胜诉,理由在于谷歌为信息缓存与发布者(33)Sottek,T.C.Google Loses Australian Defamation Case After Court Rules That It Is Accountable as a Publisher[EB/OL].(2012-11-26)[2020-04-26].http://www.theverge.com/2012/11/26/3694908/google-defamation-australia-publisher.。上述观点和做法的问题在于其表达出一种倾向:算法应用平台之所以承担责任,仅仅只是单纯地因为平台为受害者损害产生的原因或途径,却并没有考虑平台是否实施了违法行为或是否具有过错,这无异于绝对责任的一种表达形式。

算法应用平台并不具备“全能性”,智能算法系统不是能够被应用平台完全控制的普通工具。不能仅仅因为平台是损害发生的原因或渠道就要求其承担全部责任,应当通过适度引入过错责任和平台应负义务以限制对算法应用平台的过度追责,充分考虑平台与其他责任主体之间的责任分担。有些学者亦意识到这点,认为应建立“风险防范下责任承担的双轨制:平台责任与技术责任”(34)张凌寒.风险防范下算法的监管路径研究[J].交大法学,2018,(4):58.;“面对天马行空的代码程序,利用算法提供服务的运营商和接受算法服务的消费者同为信息弱势方。”(35)唐林垚.人工高智能时代的算法规制:责任分层与义务合规[J].现代法学,2020,(1):201.

就算法应用平台的归责原则来说,笔者认为应当以是否属于公务机关职务行为作为标准,建立二元归责体系:首先,非公务机关算法应用平台宜适用过错推定责任。算法虽然在应用平台的管理和“控制”之下,但这种“控制”仅限于决定整个算法的应用与否,或对某个个别结果的删除,而对于算法内部的运行及自动化输出并不拥有实质性的掌控力。平台利用算法的行为类似于普通经营者利用某特定产品帮助经营的行为,如美容院利用某光子嫩肤仪为顾客提供美容服务,因该仪器发生对顾客的侵权损害,美容院承担的是过错责任而非严格责任。算法由于具有自主学习和自我改变的能力,因此与美容仪器相比,其对于应用平台来说更具不确定性和难掌控性,算法平台没有理由承担更加严格的责任,其应当只需在具有过错的情形之下才为算法侵权负责。但由于算法侵权的过错相对于其他侵权来说更加难以证明,如美容院侵权极有可能是操作不当的疏忽,而算法平台侵权过错却具多样性:或是算法审核时的疏忽,或是指示算法设计,篡改某个算法结果的故意等。由于算法内部的黑箱属性,这些过错在外部看来难以分辨和甄别,并且难以与其他责任主体的过错相区分,因此宜事先推定算法应用平台具有过错,由其证明自身不存在过错以免除责任。

其次,公务机关算法应用平台宜适用无过错责任。通过赋予公务机关严格责任促使其审慎地使用智能算法系统,能尽可能地减少权力的异化风险。目前算法已从不同层面嵌入进公权力的运行,算法借助其构建监管体系,辅助甚至代替公务机关决策,却缺乏公权力本身应有的规制,极易造成权力异化,甚至产生与公权力合谋的权力滥用:传统限制公务机关权力行使的正当程序制度对算法运行过程无效;算法的黑箱性使本应公开的公权力行使缺乏透明度;公务机关对算法技术和外部科技资源依赖的加强极易造成对权力专属原则的违背。个体在公务机关面前本就处于无法抗衡的弱势地位,算法的使用实际上强化了公权力与个体既有力量的强弱差序格局(36)Schmitz,A.J. Secret Consumer Scores and Segmentations[J]. Mich.St.L.Rev.,2014:1411.。因此当发生算法侵权时,由公务机关承担严格责任更加符合其自身的特定地位和职能。此外,相对于非公务机关平台来说,公务机关具有财力、物力上的优越性,让其承担无过错责任无需有像对普通平台一样的责任承担过重而负担不能,最终影响行业发展之担忧(37)需要指出的是,由于公务机关算法应用平台造成的侵权问题涉及的是行政法上的国家赔偿责任,因此并不属于侵权法意义上的责任主体。。

值得注意的是,上述归责原则并不能影响算法应用平台与其他责任主体对外责任的承担规则。对于某些人工智能来说,算法应用平台作为算法设计缺陷与数据提供者侵权等原因的必要条件,与销售行为类似:如果没有算法应用平台的存在,人工智能将失去对其相对人进行作用的空间和舞台,自然不会有侵权损害的产生。该情形符合不真正连带责任的内核,算法应用平台对外宜与直接原因的责任主体一起承担不真正连带责任。平台赔偿后有权向直接原因的责任主体追偿,若平台自身具有违法行为,则按照上述归责原则予以归责。

五、结语

人工智能侵权往往是多个主体交错作用的结果,随着新兴责任主体的增多,新兴主体责任与传统主体责任之间以及新兴主体责任之间的混合将日益频繁。一般来说人工智能侵权各责任主体之间的混合包含下述几种:一是按份责任。如算法设计者设计具有缺陷与数据提供者提供不当数据行为之间无意思联络,却共同造成受害人损害;二是连带责任。如某电子商务平台欲利用算法“杀熟”功能使自身利益最大化,因而与某智能公司达成以设计交付一项“杀熟”算法为内容的协议。三是不真正连带责任。如上文所述生产者、销售者和算法设计者对外承担不真正连带责任,以及算法应用平台和直接原因责任人对外承担不真正连带责任。

除了本文内容之外,人工智能侵权新兴责任主体在构成要件、责任承担方式及配套制度等方面均有值得探讨的特殊之处,如新兴主体的具体违法行为、算法设计责任与人类责任的过错划分,某些算法应用平台所涉及的数量巨大侵权行为的救济方式等。受制于篇幅有限,本文只对人工智能新兴责任主体的种类、归责原则及其与传统责任主体之间的关系进行了初步探索,未解决的问题将在今后的研究工作中进行更加详细的探讨。