童云峰|走出科林格里奇困境：生成式人工智能技术的动态规制

童云峰，华东政法大学中国法治战略研究院特聘副研究员。

一、问题的提出

美国OpenAI公司推出的聊天生成预训练转换器（ChatGPT，GPT是Generative Pretrained Transformer的缩写），使生成式人工智能成为科技前沿。所谓生成式人工智能，是能够根据用户的文本提示（“输入”）生成新的图像、文本、视频或其他内容（“输出”）的技术。生成式人工智能已经应用到各个领域，包括司法行政管理、预测正义、在线争议解决、刑事司法（如“预防性警务”）。2024年2月16日，OpenAI发布Sora大模型，仅需通过文本即可自动生成视频，这也是继文本模型ChatGPT和图片模型DallE之后，又一极具颠覆性的大模型产品。与此同时，生成式人工智能技术的负面新闻也时见报道，如侵犯隐私、错误信息泛滥、侵害版权和生成非自愿的图像等。

生成式人工智能技术创新价值和负面效应并存的现实，给监管者带来了科林格里奇困境。所谓科林格里奇困境（Collingridge's Dilemma），是英国技术哲学家大卫·科林格里奇在《技术的社会控制》（1980年）一书中提出的命题，它是指对一项新兴技术如果过早地采用严苛监管措施会阻碍其创新发展，若放任自流或监管迟滞会使其走向失控。生成式人工智能是初创技术，且我国当前正处于技术追赶阶段，我国在该领域有打破西方世界技术封锁的雄心壮志。这也意味着生成式人工智能技术的科林格里奇困境在我国当前阶段更为明显，具体表现为两个侧面：一方面，若一味追求技术创新而放任其发展，会忽视其中的风险（风险侧面）；另一方面，若一味维护安全局面而过度监管，会扼杀技术创新的潜力（安全侧面）。面对此种两难困境，我国行政立法创设了《生成式人工智能服务管理暂行办法》（2023年8月15日起施行，以下简称《人工智能办法》），如何精准适用该办法以消除科林格里奇困境是我国当前需要直面的问题。换言之，寻找法律规制生成式人工智能的限度标准是本文所要解决的核心问题。

二、科林格里奇困境的风险侧面：生成式人工智能技术风险的类型化

科林格里奇困境的风险侧面表现为，如果过于追求生成式人工智能技术的创新价值而疏于监管，会导致技术风险泛滥甚至是失控。

（一）技术运作流程与风险类型的关联性

生成式人工智能技术起源于机器学习理论，1956年图灵描述了智能推理和思维的存在，20世纪60年代形成机器学习理论，机器学习工作系统建立于80年代至90年代。目前对AI的定义是“能够参与类人过程的计算系统，如学习、适应、合成、自我校正和使用数据来完成复杂的处理任务”。科学家们利用计算机不断增长的能力和内容，开发出一系列软件程序，人工智能在生成图片、文本或音乐等能力方面可以与人类相媲美。生成式人工智能建立在前述技术基础之上，呈现出多模态特征（如语音+文本、图像+文本、视频+图像+文本、图像+语音+文本、视频+语音+文本）。

“人工智能”实际上是先进算法与“大数据”的耦合体，以及许多利用这些技术的技术。生成式人工智能应用程序建立在大型语言模型（简称LLM）的基础之上，这些模型可以识别、预测、翻译、总结和生成语言。LLM是生成式人工智能的一个子集，其特征是“大”，是训练模型学习语言规则所需的大量数据。数据是大模型竞争的关键要素，生成式人工智能的高度智能化正是因为其接受海量数据的训练，所以其所衍生的风险均与数据相勾连。生成式人工智能的具体运作呈现为“输入数据→计算数据→输出信息”的流程，三个阶段对应着程序运作的三个层次：（1）输入层是数据被提供给模型的地方，其中的每个节点都具有被设计用于接收输入数据的单个元素的存储器；（2）隐藏层（预测）是应用程序中大部分处理发生的地方，该层之所以被称为“隐藏层”，是因为在其中处理的数据不能直接从模型中输入或输出；（3）输出层是将隐藏层得出的结论最终提供给用户。这样的运作流程与风险密不可分，即技术所携带的风险也呈现阶段化。这种风险散布在生成式人工智能运行的全生命周期，但不同阶段的风险表现形式存在明显差异。

（二）生成式人工智能技术的共性风险

按照阶段划分的标准，本文将生成式人工智能技术不同运作阶段的风险类型分别表述为输入层风险、隐藏层风险和输出层风险。其中，输入层风险、隐藏层风险是现代智能科技的共性风险，而输出层风险是生成式人工智能技术的个性风险。

在输入层，生成式人工智能技术风险表现为数据泄露。欧洲议会全体会议于2024年3月13日通过了《人工智能法案》，该法案第3条规定，“风险”是指发生危害的可能性和危害的严重性的组合。在输入阶段，生成式人工智能需要爬取和吸收各类数据，风险主要表现为侵犯个人信息、隐私和商业秘密。其一，个人信息权益会被侵害。近年来，为保护个人信息权益，我国立法创设诸多新规则和新制度。但是，相关规则并未具体指涉生成式人工智能。从互联网上抓取公开可用的信息是生成式人工智能模型的主要数据来源，一些科技公司也搜集公开可用的数据来构建大型数据库。生成式人工智能通过抓取训练数据以生成有效信息内容，被抓取的训练数据可能包含敏感性和私密性的个人信息，如银行卡账号、生物识别信息等，一些高频用户的敏感个人信息可能会成为生成内容出现在用户的对话框中。其二，公民隐私被侵犯。生成式人工智能会吸收用户偏好、兴趣、行为等信息，通过算法运作计算出用户的隐私，继而成为企业精准投放广告的依据。其三，商业秘密被泄露。欧盟2022年通过了《数据治理法》，该法引入了“数据利他主义”制度，鼓励企业为实现公共利益捐赠数据，以形成具有研究价值的数据池。然而，投喂至大模型并进行训练的数据一旦包含公司内部的商业机密信息，将可能会给企业带来灭顶之灾。正因如此，中国支付清算协会发布了《关于支付行业从业人员谨慎使用ChatGPT等工具的倡议》，提醒行业内的企业与从业人员谨慎使用生成式人工智能。同时，韩国三星公司芯片机密泄漏事件，再次证明这一风险已由隐患走向现实。概言之，输入阶段可能形成数据泄露风险，这些数据不局限于个人信息、隐私和商业秘密，甚至国家秘密数据都有可能被泄露。

在隐藏层，生成式人工智能风险表现为算法滥用。隐藏层的风险也就是内部算法运作的风险，算法运作过程具有隐秘性和不透明性。算法不透明会衍生算法黑箱，非专业人士要想知悉算法奥秘，需要仰赖算法解释。对于隐藏层的算法，如果没有有效的监管和问责制就会存在算法滥用的风险。这就需要在生成式人工智能系统中植入道德代码，将数字正义、数据伦理和数据权利等规范转化为代码并嵌入算法运作的监管流程。以机器学习算法为基础的生成式人工智能，因欠缺人类主观同情心故天然存在正义忽视和平等盲区。表现为算法的不公平、不正义或不道德，如果算法本身存在问题，就容易生成不符合主流价值观的毒害性信息，会固化社会偏见与歧视。算法歧视所带来的数字非正义和数字不公，是人工智能应用过程中难以扭转的技术事实与共性问题，使现实世界的道德境况被毫无保留地转移至数字世界。此外，算法容易被人操纵，主要表现为信息茧房、诱导沉迷、算法剥削、算法标签以及算法归化。算法操纵行为使得用户成为算法的奴隶，饱受不良算法的残害和剥削。实际上，算法侵害风险包含算法妨害和算法损害，前者是基于风险或过程的抽象性侵害；后者是基于结果的具体侵害。算法风险的如此区分，实际上借鉴了刑法上的危险犯与实害犯、行为无价值与结果无价值的划分。

（三）生成式人工智能技术的个性风险

在输出阶段，生成式人工智能为用户提供个性化服务，主要通过输出信息的方式来满足用户的需求。然而，错误或误导性的训练数据可能会导致虚假输出，对输入的荒谬响应或不相关的输入也会生成错误信息，错误信息的传播可能会造成严重的后果。生成式人工智能会被恶意行为人用来捏造事件、人物、言论和新闻，以达到造谣、网络欺诈、勒索和不法宣传的目的。因此，生成式人工智能技术在输出层主要表现为虚假信息风险，这也是生成式人工智能技术的个性风险。

生成式人工智能产生的虚假信息案件在国外已经发生多起，例如，ChatGPT生成澳大利亚赫伯恩郡郡长布莱恩·胡德（Brain Hood）的基本信息时，错误输出其曾因接受贿赂入狱的虚假信息。又如，ChatGPT编造了美国乔治华盛顿大学法学教授乔纳森·特利（Jonathan Turley）曾性骚扰女学生的谣言。虚假信息还可能造成财产损失，例如人工智能给出的错误答案直接导致投资公司Alphabet的股价蒸发了超过1000亿美元。目前，据估计，OpenAI每月为ChatGPT花费约300万美元来运营，这约为每天10万美元。

我国也发生了生成式人工智能产生虚假信息的案件，2023年2月16日杭州某小区业主群讨论ChatGPT，群内直播让ChatGPT写作杭州取消交通限行的新闻稿，被群内其他不明就里的业主截图转发，导致错误信息传播。

面对前述虚假信息问题，生成式人工智能企业可能会开发一些防范或检测虚假信息的程序和软件，但这些技术手段很容易被更新的技术措施攻破。事实表明，技术措施并不能彻底解决生成式人工智能的虚假信息问题。技术方案只能作为辅助手段，仍然需要从法律层面塑造解决问题的体系性制度。对此，我国行政立法严禁虚假信息，除《人工智能办法》拒斥生成虚假信息外，《网络音视频信息服务管理规定》和《互联网信息服务深度合成管理规定》均在相关条文中强调服务提供者不得利用新技术新应用制作、发布、传播虚假新闻信息。此外，Sora等新型生成式人工智能产品的迭代更新，虽能够在一定程度上改进技术，但也会加剧虚假信息的风险。

由上可知，面对生成式人工智能类型化风险，监管层面不宜一味追求技术创新而忽视风险防控，否则会陷入科林格里奇困境的风险侧面。面对现实，监管者、立法者和学者需要共同提出走出困境的方案。

三、科林格里奇困境的安全侧面：生成式人工智能技术监管的过度化

科林格里奇困境的安全侧面表现为，若一味追求生成式人工智能技术使用过程中的安全价值，监管者会采用过度监管措施（甚至是禁令），这样会束缚技术发展和阻碍技术创新。当我们还在纠结应当采取何种监管措施时，国外新型的生成式人工智能技术产品可能就已诞生。这就意味着对具有颠覆性创新价值的技术，严苛监管模式可能会阻碍技术创新。

（一）生成式人工智能技术监管模式的比较法观察

当前各国均试图寻找规制生成式人工智能技术风险的良方，但既有规制方案容易走向两个极端。

一方面，美国以鼓励创新为核心采用相对宽松的监管方案。在美国，人工智能技术由具体的行业进行细化监管，确保监管的相称性与适应性。虽然美国政府倾向于采用促进创新的方案，但技术风险也被理论界与实务界广泛关注，两方势力相互缠斗使得美国至今尚未颁布系统性、统一性的人工智能法律。目前能够直接规制生成式人工智能技术的规范是由美国总统拜登于2023年10月30日签署的《关于安全、可靠和可信的AI行政命令》，该行政命令颁布的目的是确保美国在把握AI的前景和管理风险方面处于世界领先地位。此行政命令吸纳了美国总统之前颁布的行政命令中的规则，强调赋予企业更多的自治权，使政府行政监管退居幕后，包括促使15家领军企业自愿承诺推动安全、可靠和可信的AI发展的工作。该行政命令树立了八项目标，其中“促进创新和竞争”与“提升美国在海外的领导力”是最重要的两项目标，凸显美国鼓励技术创新的价值趋向。美国是生成式人工智能技术的领跑者，占据先进技术的领先地位，在具体个案中往往扮演着加害方的角色。换言之，美国基于自身技术的优势会成为风险的制造者和加害者，这就决定着美国作为技术霸凌者，会更加追求技术创新以攫取更多的国际利益，而不会太重视防控技术异化以减少给他人带来风险和损害。

另一方面，欧盟以侧重安全为核心采用较为严苛的监管方案。欧盟采用的是强监管模式，通过制定统一的人工智能法案以实现对人工智能应用的全面监管，意图在欧盟层面建立一个加强监督和执行的共同制度。2023年4月，意大利宣布禁用ChatGPT，随后多个欧盟国家跟进并与OpenAI公司沟通合规问题。欧盟《人工智能法案》于2024年3月13日通过，标志着欧盟在立法监管人工智能领域迈出了坚实的一步。该法案规定：“本条例的目的是改善内部市场的运作，特别是为联盟内符合联盟价值观的人工智能系统的开发、投放市场、提供服务和加以使用制定统一的法律框架，促进以人为本和值得信赖的人工智能的应用，同时确保对健康、安全和《欧盟基本权利宪章》所规定的基本权利的高度保护，包括民主和法治以及环境的保护，防止人工智能系统在联盟内产生有害的影响，并且支持创新。”欧盟《人工智能法案》采取的是以风险分类法为基础的强监管模式，例如其第二编专门规定了“禁止的人工智能实践”，第5条明确规定了禁止使用人工智能的情形。强监管模式对生成式人工智能服务提供者施加了相对严格的义务，企业需要投入巨大的成本以完成合规业务。与美国相比，欧盟的人工智能技术发展相对滞后，欧盟消费者使用的人工智能产品几乎均由美国企业开发和销售，在具体个案中欧盟往往是人工智能技术风险的接受者和受害方。例如，在个人数据的跨境流动领域，欧盟消费者经常遭受美国企业的侵害，欧盟与美国的数据流动协议已进行多次谈判，从“安全港协议”到“隐私盾协议”甚至到最新的斡旋和谈判，都不足以给欧盟民众足够的安全感。换言之，在生成式人工智能技术领域，欧盟处于相对弱势的一方，在技术创新层面欧盟无法超越美国，且又要时时刻刻提防美国企业带来的风险和损害，这就使欧盟不得不选择趋于安全的监管策略。

其他国家或地区，在生成式人工智能技术监管方面大多追寻欧盟模式。例如，2024年2月2日东盟数字部长会议期间，东盟发布了其AI治理框架《东盟人工智能治理和伦理指南》（ASEAN Guide on AI Governance and Ethics），该指南借鉴了欧盟模式将人工智能风险划分为低风险、中风险、高风险。再如，泰国于2022年发布关于AI服务的法规草案，整体而言，泰国的AI法规草案与欧盟非常相似，都采用基于风险的方法。又如，巴西也借鉴了欧盟模式。巴西参议院于2023年5月12日审议了2023年第2338号法案，该法案规定了巴西AI系统的运行要求，包括要求此类系统接受供应商自己进行的初步评估，以确定它们是否可以被归类为“高风险”或“过高风险”。目前大多国家尚未制定关涉生成式人工智能技术的专项法律，欧盟率先制定了《人工智能法案》，该法案是全球首部人工智能领域的全面监管法律。在生成式人工智能领域，其他国家或地区的状况和欧盟几乎一致。一方面，在技术创新上均难以超越美国；另一方面，都会遭受来自美国的技术霸凌和技术风险。换言之，欧盟《人工智能法案》是防御美国技术霸凌的范本，大多国家或地区在进行人工智能立法时多会以欧盟《人工智能法案》为参考蓝本，最终都会选择相对严苛的技术监管模式，这一逻辑在个人信息的国际立法实践中已体现得淋漓尽致。

（二）生成式人工智能技术严苛式监管模式的检视

当前国际社会对生成式人工智能技术的监管趋于两极化，我国应当采用哪一种监管模式是我国当前智能技术发展必须要回答的问题。我国《网络安全法》《数据安全法》和《个人信息保护法》等数字法律都有直接或间接规制人工智能技术风险的规范，但是这些规范都相对抽象和缺乏针对性，只能作为塑造具体规则的价值方向。就生成式人工智能技术的具体规范而言，我国《人工智能办法》第1条规定，制定该办法是“为了促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益”。前述法律规范共同指明，我国法律规制人工智能技术的目的是在技术创新与风险规避之间寻找平衡的尺度。前述规范目的是由我国国情决定的，我国在生成式人工智能技术领域的境遇与美国、欧盟均不完全相同。一方面，我国不会像美国那样利用技术优势践行技术霸权主义，但我国也需面对美国的技术霸凌及因其而生的技术风险；另一方面，我国的人工智能技术仅次于美国，欧盟模式是无法打破美国技术霸凌和防控技术风险的妥协结果，但我国有追赶和打破美国技术“卡脖子”的能力和雄心。换言之，我国不宜在欧盟模式和美国模式之间选边站队，而是要选择更加适合中国国情、更能推动中国争取国际技术话语权的模式。我国的基本国情和立法目的均要求我国在技术创新与风险规避之间寻求平衡，不宜采用欧盟那种过于严苛的技术监管模式。

首先，严苛式监管会吞噬技术创新的空间。每一次技术创新都是“摸着石头过河”的实践，因为畏惧风险而直接杜绝风险发生机会的思维并不符合构建创新型国家的需求，面对科技创新的潜力，国家需要秉持适度宽容的态度。新兴技术的研发都是科研人员对未知世界的探索，技术所携带的风险在研发阶段实际上无法被完全明确。每一次技术进步都是研发者“与狼共舞”的结果，技术使用者不能在危险的边缘“疯狂试探”，使用者和监管者均需要谨慎对待新兴技术。如果对新兴技术的监管采用高压态势，技术研发者和使用者面对“达摩克利斯之剑”，会如履薄冰、畏手畏脚，在创新过程中“坐立不安”或充满“后顾之忧”，这种局面会使技术创新只能成为空中楼阁和“乌托邦幻想”。同时，严苛式监管模式会给社会公众一种“生成式人工智能技术等于风险集聚地”的错觉，消费者或用户会拒绝使用交互式大模型产品，这不利于大模型产品的应用与推广，最终会使新型人工智能技术遭受严重污名化。新兴技术需在创新中监管，要给予技术创新适度的自由空间，监管不宜走在创新的前端。监管者需对具有中立性的新兴技术保持适度宽容，监管过度化或法律的提前介入会严重阻遏技术创新的潜力。

其次，严苛式监管不利于我国打破技术封锁的境遇。人类社会通过两次工业革命进入了现代文明社会，如今信息技术革命不断深化，正促使人类生活再次发生翻天覆地的变化。信息技术革命的新阶段是人工智能革命，人工智能技术已经成为国际社会竞争的新领域。我国曾经错过第一次、第二次工业革命，导致清朝末年屡遭列强侵辱，我们深刻领悟“落后就要挨打”的“丛林法则”。换言之，我国比任何国家都要清楚掌握核心技术优势的重要性。在新一轮人工智能技术革命的争夺中，我国显然不能再错过机遇，否则再想“弯道超车”将几无可能，也无法打破西方国家的技术封锁，甚至可能被迫面临新一轮的“技术殖民”。应当明确，美国生成式人工智能技术的迅猛发展，从大语言模型到多模态大模型直至Sora模型的技术突破，离不开美国相对宽松的监管政策和宽容市场环境的支撑。我国虽不宜采用美国过于宽松的监管模式，但也肯定不能接纳欧盟过于严苛的监管模式。

最后，严苛式监管不符合构建中国自主数字法学知识体系的需求。如果我国直接移植欧盟模式抑或美国模式，可能会束缚技术创新或者可能面临“技术霸凌”的境遇，更为严重的是可能会使法律规制体系、监管模式和学术知识体系被“殖民化”。基于此，我国需要立足国情建构自主的监管模式、法律体系和学术体系。例如，我国学者提出了数字法学的概念，构建数字法学就是为了回应我国数字社会转型的发展需要。关于数字法学，理论上存在不同称谓，有“网络法学”“数据法学”“计算法学”和“人工智能法学”等表述。本文认为，以“数字法学”统称更为合适，其他称谓反映了数字法学的某一侧面，例如，计算法学是强调将计算的思维、方法和技术融入法学，它是在表达数字法学的方法论。同时，数字法学契合中国顶层制度设计的话语表述，有助于实现技术话语与规范话语的统一，能够涵盖法学研究关涉技术应用的全流程。生成式大模型不断更新体现了现代化社会的复杂性，我们不仅需要革新社会治理制度，更需要发挥数字技术对化解时间与空间复杂性问题的作用。同时，也应将现有法律概念和标准嵌入到AI系统，法律应成为多智能体价值对齐的应用哲学。法律措施与技术措施的融合是数字法学的核心要义，对于生成式人工智能技术的向善发展，要建构具有中国特色的监管模式、数字法律体系和学术体系。概言之，数字法学作为一种叙事话语新形态，对于中国式现代化和人类文明共同体秩序的重构具有重要意义。

四、科林格里奇困境的消解方法：生成式人工智能技术规制的动态化

科林格里奇困境是现代数字科技存在的共性问题，就生成式人工智能技术而言，需要立足新背景、新变量和新要求等，寻找最适宜的困境消解方法。本文认为，生成式人工智能技术具有初创性和前沿性，其迭代更新非常迅速，所携带的风险具有易变性，对其应当选择动态化规制模式。

（一）生成式人工智能技术的动态化规制

与其他数字科技不同的是，生成式人工智能技术的迭代更新更为迅速，在人们尚未完全掌握某一代智能产品的功能和特性的情况下，它就可能已经被最新一代的智能产品所取代，从ChatGPT到Sora，这种更新换代的频率让人们感受非常深刻。换言之，我们不能直接将规制既有技术的方案简单套用至生成式人工智能技术，需要确立具有场景性的和反映生成式人工智能技术特性的动态化规制方法。

基于生成式人工智能技术的易变性，法律监管应摒弃静态思维，走向动态模式。所谓“动态化规制”主要包含三大要件：（1）在主体角色上，搭建“后设规制”的基本框架，要求政府监管角色后撤和强化企业自律的作用，充分发挥企业合规作用以应对具有易变性的生成式人工智能技术风险，政府只需掌控监管大局即可。（2）在监管方式上，践行合规监管模式，以事后的合规效果监管机制代替全流程的行为约束机制，赋予生成式人工智能企业更多的自治权，通过奖惩结合的方式促进企业完善合规措施；（3）在法律结构上，以“软法”先行引导“硬法”完善。“硬法”具有稳定性和滞后性，面对迅速迭代的生成式人工智能技术，“硬法”的规制功能无法有效施展。“软法”虽然强制力较弱但具有灵活性和敏捷性，可以引导生成式人工智能技术的合规发展。可发挥软法的试验性作用，将其中具有稳定性的一般规则和基本原则升级为硬法。概言之，动态化规制符合生成式人工智能技术的特性。

动态化规制是立足具体的技术场景，将技术与政府监管、法律规制有效融合，使技术与法律深度合作以共同应对风险与损害，这是新型的数字法学思维。此种模式符合数字时代权益保护的场景化需求，具有合理性和可操作性，应当被提倡。与此相对，传统规制数字技术的静态化思维，试图以统一标准来划定技术行为的合法性边界。在人工智能技术日新月异的背景下，此种静态化思维似乎不能为化解科林格里奇困境寻找统一标准。即使暂时能够确定某一标准，也会因技术迅速更新而被颠覆。于是立法者会选择“膝反射式立法”和“无限循环立法”，新法迅速走向消亡，法律的功能走向象征化和虚无化，严重影响法律的权威性和稳定性。由此可见，立法者和监管者不应忽视生成式人工智能技术的动态发展规律，应立足生成式人工智能的技术特点，通过场景化、分类化的方法完善技术标准，建立动态化的监管体系。面对生成式人工智能技术的科林格里奇困境，动态化规制是相对可行的方案。

（二）将企业自治塑造为规避技术风险的第一道防线

生成式人工智能深受技术设计者的影响，开发生成式人工智能技术和提供智能服务的平台企业应是风险规避的第一责任人。对于生成式人工智能技术风险，应当优先加强企业内部合规建设，只有企业自律失效时政府行政监管才应介入。以合规措施约束大模型设计者的研发行为，是推动生成式人工智能技术向善的必由之路，平台企业的合规建设集中表现为履行数据安全保护义务。

进入数字社会，各种数字技术服务都是通过在线平台予以提供。欧盟《数据服务法》（Digital Services Act）第2条第（h）项规定，“在线平台”是指应服务对象的要求，存储信息并向公众传播信息的托管服务提供商。生成式人工智能产品的普及离不开在线平台的作用，而平台背后是拥有丰富数据资源的互联网企业。占据强大数据资源和具备技术优势的智能平台企业，应当承担智能服务过程中的守门人角色。守门人合规职能作为一种新型治理手段，是数字经济时代公私合作治理模式的新实践。超大型生成式人工智能服务平台应当在法律上被界定为“守门人”，守门人对技术设置、算法运行和风险管控发挥决定性作用，按照控制者义务理论的要求，生成式人工智能服务平台应当承担更为严格的义务。欧盟《数据市场法》第48条也强调，守门人应当引入合规职能，该职能独立于守门人的运营职能，由一名或多名合规官履行，包括合规职能部门的负责人。我国《数据安全法》第28条规定，开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。这就要求占据守门人地位的大型在线平台企业，在研究、开发和应用生成式人工智能技术时，应当加强合规建设，其所提供的技术服务不仅要合法合规也要符合伦理道德。

生成式人工智能技术的应用可能会带来数字鸿沟、数字歧视等问题，而能够第一时间解决这些问题的是智能平台企业。智能平台企业及其内部工作人员基于其专业性，能够较早发现问题和提出解决问题的对策。对于数字鸿沟，智能平台应致力于提供平等的访问机会，通过降低技术门槛等方式帮助不同群体跨越数字鸿沟。智能平台可以为老年人、低收入家庭和农村居民等群体提供在线和离线的信息技术教育与培训课程，提高全民数字素养；智能平台应设计和提供更加人性化、易用的数字服务和工具，针对特殊需求群体（如视障人士、听障人士等）提供特殊的创新产品和服务，确保技术创新成果可以被用户群体广泛使用。对于数字茧房，智能平台需要优化算法推荐机制，避免过度同质化的内容服务，鼓励多元化信息呈现，拓展用户视野。在生成式人工智能服务过程中，专业信息纠察员的存在是必要的，人工编辑可以对内容进行筛选和整合，形成更全面的推送，智能平台内部应对算法进行自纠自查，以破除信息茧房现象。对于数字歧视，智能平台应建立公平的数据收集和处理机制，定期审查算法以识别并消除潜在的偏见和歧视；明确算法从开发到决策各环节的责任主体，确保算法设计者、编译者、运维者、决策者等都对算法的公正性负责；在算法设计阶段就应当考虑公平性和透明度，避免设计者自身的价值倾向导致歧视，并确保算法不依赖不完整或有偏见的数据；规范数据收集和处理，确保数据的多样性和代表性，避免数据偏见导致算法歧视。对于数字伪造，智能平台应加强内容审核，采用技术手段识别和过滤深度伪造等虚假内容；开发和部署人工智能模型来识别深度伪造内容，这些模型通过分析视频内容的统计特性、面部特征匹配、音频以及上下文信息来检测异常和篡改。平台应建立严格的内容审核机制，要求在生成或编辑的信息内容的显著位置进行标识，向公众提示深度合成情况。对于数字泡沫，也就是由技术、市场或社会因素引起的一种过度乐观或不切实际的期望，智能平台应提供清晰、准确的信息，让用户和投资者了解平台的运营状况、财务健康度和市场表现；充分保障用户和投资者的知情权益，提高他们的风险防范意识；避免通过不切实际的营销或夸大其词的表达人为地提高产品或服务的价格，保持价格与价值的一致性。智能平台企业应持续加大技术创新的投入，推动技术的实际应用。对于数字迷恋，智能平台应倡导健康使用数字产品的理念，提供工具帮助用户管理使用时间；调整推荐算法，避免无限滚动和过度个性化推荐，减少用户陷入无尽的浏览循环；允许用户设置每日或每周的使用限额，超过限额后限制功能或提醒用户；为家长提供控制儿童使用数字软件的工具，帮助他们监管和限制儿童的在线活动。对于数字垄断，智能平台企业不得滥用市场支配地位，应强化数据的可携带性、互操作性与开放性。智能平台企业应当增强自身算法的透明度，确保算法应用可验证、可解释、可追责，保证不同用户和参与者之间的公平性。对于数字陷阱，智能平台应建立严格的安全机制，防范网络诈骗等行为，提供清晰的隐私政策和服务条款，确保用户充分理解其数据如何被收集、使用和保护；定期向用户推送网络安全和隐私保护的教育内容，提高用户的自我保护意识；采取严格的数据保护措施，包括加密技术、匿名化处理和访问控制，以防止数据泄露和滥用；建立健全内容审核机制，对虚假信息等有害内容进行监控和处理；明确在数字陷阱发生时的责任归属，为用户提供明确的投诉和申诉渠道；持续投入研发，利用人工智能、机器学习等技术提升监测和防御网络威胁的能力；定期进行自我检查和第三方审计，确保业务操作符合相关法律法规和标准。

概言之，解决前述具体问题离不开智能平台企业的自治行为。应当要求智能平台企业承担解决生成式人工智能服务过程中具体问题的义务，如果智能企业有能力解决而拒不履行义务继而产生严重损害后果，智能企业应当承担法律责任，严重者需要承担不作为犯罪的刑事责任。

（三）合规效果监管机制替代全流程行为约束模式

企业自治是防控风险的第一道防线，而政府行政监管是规避技术风险的第二道防线。在动态规制下，政府部门应将生成式人工智能技术带来的具体问题先交给企业自治，政府只是把控宏观行为和最终结果。政府传统的行政监管措施是全流程的行为约束机制，企业经营的每一个行为都会受到政府监管的约束，此种监管机制可能不利于生成式人工智能企业释放创新潜力。本文认为，政府应采纳合规效果监管机制，即政府原则上不再进行事前或事中监管，而是在要求企业合规自治的基础上考核企业合规效果，对于完成合规计划的企业予以奖励，对于未完成合规计划或造成损害结果的企业予以惩罚。换言之，该机制是倒逼企业不断完善合规建设的一种政府事后监管机制。合规效果监管机制的落实，需要企业和政府监管部门协同完成。

其一，智能平台企业应当提交符合自身实际情况的合规计划。政府监管部门下达的合规指标是以企业合规计划为基础，平台企业在履行合规义务时，具有选择合规计划方案的自主权，但不能提交对自身要求较低的合规计划，这就要求政府对企业合规计划方案进行审核。但政府最终想要获得的是企业合规建设的效果，政府有权力对企业合规计划进行调整，基于此下达相应的合规指标。智能平台企业的合规计划内容的准确度及完成度，将是其后续是否承担法律责任和减免法律责任的重要依据。实际上，政府行政规制也是一种法律规制，但更多的是行政程序法律规制。

其二，政府监管部门应当为智能平台企业下达合规目标。合规效果监管机制需要政府以考核结果为基础，通过奖惩方式督促智能平台企业主动完善和加强合规建设，积极履行风险防范义务，约束和引导平台用户的行为。政府监管考核的依据是事前为特定企业下达的合规目标，而合规目标是政府在审核特定企业合规计划的基础上下达的指标。换言之，政府先要求企业提交合规计划，再立足特定企业的现实状况，以合规计划为蓝本上调或下降特定企业的合规目标。在考核期满后如果企业完成了考核指标，政府适当予以激励；如果企业未完成考核指标，政府应当予以惩罚。由此可见，合规效果监管机制是一种动态性监管机制，并非统一化的监管标准，需要立足特定企业的实际情况为其量身打造合规指标。面对生成式人工智能技术风险，一名美国国会议员曾提出了一项不具有约束力的决议，呼吁建立一个灵活的政府机构来监督AI的发展以管理风险，并确保AI的利益得到广泛分配，设计足够灵活的治理机制，以跟上不断变化的技术。由此可知，合规效果监管机制是当前符合生成式人工智能技术发展需求的灵活性监管机制。

其三，合规效果监管机制包含风险分类分级管理的内容。政府监管与法律规制的共同目标是规避技术风险、保护用户数字权利和提高平台的可信度。在探索人工智能大模型的潜力时，需要考虑其可能产生的影响，应确保生成式人工智能的开发和使用有益于社会进步。生成式人工智能技术的监管与其风险类别难以分割，欧盟《人工智能法案》将人工智能技术风险划分为不同的级别，由高及低分别为不可接受的风险、高风险、中风险以及低风险。例如，欧盟《人工智能法案》第9条第8项规定，“对高风险人工智能系统的测试应酌情在整个开发过程的任何时候进行，无论如何应在投放市场或提供服务之前进行。应根据事先确定的指标和概率阈值进行测试，这些指标和阈值应适合高风险人工智能系统的预期目的”。欧盟对人工智能风险的分级管理思维值得我国适度借鉴，即对于不同级别的风险应采用不同的监管方案。对于存在高风险的人工智能企业，政府应当要求其提交更具体、更具有可操作性的合规方案，政府部门需要对该类企业进行不定期合规审计，审查合规计划的一般特征、具体要素与基本功能，审查企业成员的具体行为。未来需要进一步统一平台合规审计的国家标准，避免政府监管权力的过度干涉。对于存在中风险和低风险的人工智能企业，政府可以采用相对宽松的监管措施。

其四，政府部门可以建立评价等级以贯彻合规效果监管机制。政府部门对不同智能平台企业的合规完成程度进行考核后，应当基于具体的合规情况确定合规成绩等级，具体应当包括优秀、良好、合格、不合格等不同等级。对于合规考核成绩为优秀和良好的企业，给予一定的奖励或优惠待遇；对于合规考核为合格的企业，要求其进一步落实合规计划，督促其以更高标准来加强合规建设；对绩效考核为不合格的企业，应当根据具体情况，采取责令其整改、约谈负责人、给予行政处罚、要求退市等不同处置措施；如果构成犯罪的，移交司法机关追究相关负责人和单位的刑事责任。

（四）软法先行引领硬法完善

针对不断迭代更新的生成式人工智能技术及其风险，动态规制论强调通过软法先行以进行试验性探索，继而再升级为硬法规制。软法的优势在于动态性、互动性，而硬法具有强制性和固定性。通过软法与硬法的分工协调，可以逐步形塑相对完善的人工智能法律体系。

首先，软法先行引领硬法完善是欧美关涉人工智能立法的基本共识。就欧盟来看，当前关涉人工智能的立法主要是《一般数据保护条例》和《人工智能法案》。实际上，在正式的法律颁行之前，欧盟已进行多年的软法规则探索。例如，欧盟《人工智能协调计划》和《人工智能伦理准则》较早确立了人工智能治理的四大伦理基石：尊重人类尊严、防止潜在伤害、确保公平性和提升可解释性。基于此，欧盟《一般数据保护条例》和《人工智能法案》确立了人工智能垂直治理架构，在数据保护和隐私等领域践行严格治理，为人工智能系统的开发者和服务提供者制定了一系列明确的义务。就美国而言，已经颁行《国家机器人计划》和《国家人工智能研发战略计划》等软法，美国的人工智能治理模式侧重于创新引领，着重维护和推动人工智能技术的创新发展，美国人工智能治理的架构是分散治理。这些软法中的规制理念，直接影响《加州消费者隐私法》（CCPA）和《弗吉尼亚州消费者数据保护法》（VCDPA）等法律的制定。尽管欧盟与美国针对人工智能治理分别采用严格模式和宽松模式，但二者共同采取了软法影响硬法的法律完善路径。

其次，我国已践行了人工智能治理的软法先行模式。2024年2月29日，全国网络安全标准化技术委员会发布《生成式人工智能服务安全基本要求》（以下简称《人工智能要求》），《人工智能要求》从语料安全要求、模型安全要求、安全措施要求、安全评估要求和其他要求等方面，为生成式人工智能技术的合规建设指明了方向。《人工智能要求》作为典型性软法在《人工智能办法》的基础上，进一步细化了生成式人工智能技术的适用规则，成为探索我国系统性人工智能法的“试验田”。通过软法探索人工智能治理规则的方法实际上是“监管沙盒”模式，“监管沙盒”起源于英国金融领域，是指由公共机构建立的受控环境，在新型人工智能系统投放市场或根据监管部门监督的具体计划投入使用之前，在有限的时间内为其安全开发、测试和验证提供便利。欧盟《人工智能法案》第3条第（55）项规定，“人工智能监管沙盒”是指由主管机关建立的一个具体和受控的框架，为人工智能系统的提供者或潜在提供者提供在监管监督下根据沙盒计划在有限的时间内开发、培训、验证和测试创新人工智能系统的可能性。欧盟《人工智能法案》以专章形式为AI监管沙盒设置了诸多具体规则，通过监管沙盒探索生成式人工智能治理规则的创新方案，是建立敏捷性治理工具箱的必由之路，给新兴技术的发展保留适度的试错空间。虽然欧盟采用的相对严苛的监管方案可能不符合我国的技术发展要求，但欧盟所采用的监管沙盒探索规则的方案值得我国借鉴。“监管沙盒”作为探索规制技术风险的试验性措施，应当被我国软法认可并采纳，以利于通过包容审慎态度探索符合我国国情的监管规则，继而将相关规则升格为硬法。

最后，我国未来需要制定《人工智能法典》。欧盟《人工智能法案》作为人工智能领域第一部系统性法律，是软法规则成熟后升格为硬法规范的表现。欧盟立法所确立的具体规则因过于严苛可能不符合我国技术发展需求，但欧盟立法经验也能给我国带来一定的启示。我国可以通过监管沙盒的不断探索，在已成熟的人工智能软法规则的基础上，制定我国的人工智能法。我国多个领域的法典化讨论日趋深入，且已形成了步骤式的法典化经验。基于此，未来我国可以制定系统性的《人工智能法典》，完成人工智能领域的法典化工作。《人工智能法典》应当包含以下内容：（1）设置权利义务规则。设置用户的基本权益规则、智能服务平台的义务规则和政府部门的监管权限规则。（2）设置合规效果监管机制。避免政府过度监管，激励智能平台企业加强合规建设。（3）设置监管沙盒规则。鼓励通过监管沙盒模式继续探索新型规则，持续推动《人工智能法典》的完善。（4）设置组织机构。一方面，要求政府部门设置监管人工智能技术的专项部门；另一方面，要求智能平台企业设置人工智能技术合规部门或合规专员，专项负责企业智能技术合规工作并与政府监管部门对接。（5）设置层次递进的法律责任体系。在民事责任方面，借鉴我国侵权责任法和消费者权益保护法律上的相关经验，完善民事责任追究制度，解决维权成本高和收益低的问题。在行政责任方面，对智能平台企业未能履行合规义务的行为，按照情节轻重分别设置相应的行政处罚规则。在刑事责任方面，可以在《人工智能法典》中为生成式人工智能平台企业、用户和第三方的不法行为设置特定的罪名与法定刑，使得《人工智能法典》成为真正意义上的附属刑法。

结 语

生成式人工智能作为前沿技术已成为国际竞争的核心领域，各国纷纷推出自己的生成式人工智能服务产品，试图抢占市场份额。美国基于其技术优势采用鼓励创新的宽松监管模式，欧盟基于其被动防御状态而采用严苛监管模式。而我国正处于生成式人工智能技术的突破阶段，一方面需要积极鼓励技术创新以打破域外的技术霸凌和技术封锁，另一方面又要防御技术风险和技术异化。这意味着我国不能直接移植欧美的监管模式，而是需要在技术创新与风险规避之间寻求平衡，如此才能走出生成式人工智能技术的科林格里奇困境。对此，我国应当采用动态化规制模式。首先，激活企业合规自治的功效以打造防范风险的第一道防线；其次，政府监管部门应采用合规效果监管机制替代传统的全流程行为约束模式，赋予企业探索技术创新的充足空间与自由；最后，通过软法的试验性探索引领硬法的完善，最终塑造适应时代发展和符合本土需求的《人工智能法典》。