人工智能价值链是对人工智能组织过程的科学描述,是人工智能立法的重要线索。相较于有形产品和传统软件,人工智能价值链是一个整体协作、双轮驱动、动态发展和不透明的组织过程,这决定了人工智能的法律规制应当遵循协作规制、全生命周期规制和集中明确规制的核心理念。人工智能价值链的制度建构包含三个主要步骤,即提炼法律身份、选定中心节点和分配法律义务,以通用模型提供者、应用系统提供者、应用系统部署者和受影响者四种法律身份搭建人工智能价值链的组织骨架。其中,通用模型提供者和应用系统提供者位处中心节点,应当担负关键职责,推动构建公平、稳定和可信的人工智能价值链,应用系统部署者和受影响者也应当担负与其功能定位相匹配的义务和职责。
欧盟《人工智能法案(Artificial Intelligence Act)》(以下简称《AI法案》)已于2024年5月获得最终批准,我国《人工智能法草案》也连续两年(2023年、2024年)被国务院列入立法工作计划,人工智能专门立法不断涌现,技术中立原则正被不断突破。“我制造了一件管道加工设备,有人购买它制作了枪管,我不知道如何阻止(伤害),因为我没有要制造枪”,这是技术中立原则的经典表述,却在人工智能应用场景发生了错位,原因在于,人工智能的上下游更加紧密的连接整合,相互依赖性显著增加,上游开发者始终保持着对下游使用者不同以往的影响力,通用目的人工智能模型(又称基础模型,以下简称通用模型)的出现进一步强化了此种格局。如何科学搭建人工智能的立法框架呢?欧盟《AI法案》提供了一条有益线索,即人工智能价值链(AI value chain)。“人工智能价值链”一词在《AI法案》(含序言)中前后出现十余次,横贯始终,但遗憾的是,法案并未对其进行明确阐释,具体使用中亦充满着混乱和模糊。或许,立法者仅仅意识到转向的必要性,却无法言说其中的变化和更新。欧洲政策研究中心将“人工智能价值链”界定为一个组织过程,即开发特定的人工智能系统并投入使用的结构和过程,此种对组织过程的关注将其与传统算法开发相区分,后者更狭隘地关注人工智能系统开发的技术步骤。“人工智能价值链”意在揭示人工智能的开发和运行过程,并由此设定法律身份、分配法律义务、实现立法目标。在技术变革时代,我国应当及时更新法律理念,主动而非被动“形塑”人工智能价值链,经由积极的法律建构,引导和推动可信人工智能的开发和应用。根据笔者的检索,国内法学界对“人工智能价值链”的关注很少,文献寥寥,国外的研究亦十分有限。笔者尝试深入探讨“人工智能价值链”的理论和实践问题,以为推进中的人工智能立法提供参考。本文将聚焦监管法(不包括民事责任法)范畴,深入阐释人工智能价值链的法律意涵和规制理念,并据此提出系统的制度建构方案。
人工智能价值链是人工智能组织过程的精炼表达,它具有何种法律意涵?法学界对此鲜有论及,欧盟《AI法案》亦未明确。只有深刻洞察人工智能价值链的法律意涵,才能真正理解“价值链”的独特性及其在人工智能立法中的奠基作用。
与其他许多法律概念一样,“价值链”一词最初由经济学家创造,法学家随后予以迁移和改造。1985年,经济学家迈克尔·波特在其《竞争优势》一书中提出了“价值链”的概念,意指企业之间通过有序协作为客户创造价值的过程。“价值链”与“供应链”相互区分和对应,一般认为,供应链是“商品主导逻辑”,以“有形产出和离散交易为中心”,价值链是“服务主导逻辑”“无形性、交换过程和关系是其核心”。供应链以生产者为中心,生产者以产品集成为目标,向供应商传达零部件的供货指示,供应商在集成调配下各司其职,供应链是分工明确、职责清晰的“条块化”组织过程,旨在整合供应和生产流程,提高效率,减少浪费,著名的苹果供应链(“果链”)即科学管理、提升效率的典范。相较之下,“价值链”更加强调用户导向,注重价值创造,是一种整体协同式的组织过程,主张共同创造价值,共同面对风险,相互依赖,双向互动,参与者行动既会直接影响用户利益,也会产生错综复杂的相互影响,价值链是紧密衔接、混同交织的“整体化”组织过程。可见,供应链偏重于条块分割、单向指示和分工负责,价值链偏重于上下连接、双向互动和整体协同。诚如学者所言,作为企业竞争的战略理论,价值链的重要性日益提升,伴随商业竞争的加剧、创新要素的地位提升、扩展型企业治理模式的发展以及全球性价值创造过程的普及和深化,从供应链思维转向价值链思维,已经成为确定的趋势。从供应链到价值链,不仅是企业竞争思维的转变,也深刻影响着法律规制的逻辑。
作为下位概念,人工智能价值链是人工智能技术的整体协同组织过程,那么,它有何特殊构造?该构造如何影响法律治理?这是概念迁移和法律建构的关键论题。
人工智能属于软件和无形产品范畴,与硬件和有形产品相对应。通常而言,有形产品开发以集成者为中心而分工组织,集成商负责开发设计和定义需求,供应商负责提供符合要求的零部件,各供应商分工明确,职责清晰,相互独立,互不影响(或影响较小)。软件产品开发则呈现不同样态。自20世纪70年代以来,“模块化”始终是软件开发的主流形态,大型软件系统通常被分解成更小的模块和组件,由不同人员负责开发,虽然各模块是分别和单独开发的,但模块之间却是相互依赖和影响的,这既包括直接衔接模块之间的接口对接,也包括相距遥远模块之间的远程连接。当一个模块需要调用另一个模块的功能、使用其数据或与之交互时,便形成了模块之间的依赖关系。软件模块间的依赖关系不限于程序编译时即可确定的静态依赖,还包括模块调用过程中产生或变动的动态依赖,包括同步调用、异步调用和回调等。现代软件是复杂连接、纵横交错的系统产品,每个参与者的工作都用于满足其他参与者的需求,各软件开发者本质上并非独立个体,必须置于整体功能和特定场景中理解其任务和职责。
软件产品与有形产品开发形态的区分生动展现了价值链与供应链的不同取向。有形产品开发体现了浓厚的供应链思维,强调专业分工,各司其职,提升效率,降低成本。软件开发则更多运用价值链思维,强调用户价值的共同创造以及参与者的相互依赖和协作。某种意义而言,传统产品法就是供应链思维的法律展现,我国《产品质量法》中的“产品”一般专指“有体物”,不包含纯粹的软件,产品管理法以“生产者”为中心展开,生产者负有供应链管理的法律义务,并对集成后的产品质量负责;产品的流通则由“销售者”负责,包括建立和执行必要的进货查验制度等,“运输者”“仓储者”等亦需对产品的运输、仓储等环节担负品质管理义务。这是一种供应链思维指导的以有形产品生产、销售、运输、仓储等各流程为依托的分工分段型管理架构。其他国家或地区的产品管理法也是类似的框架和思路。但是,当我们转向软件产品时,直接套用有形产品的规制范式可能存在障碍。软件产品的参与主体不同于硬件,前者通常并无单独的运输和仓储环节,主要通过授权下载或远程访问等方式交付,可以低成本、无延时的复制传播。软件的生产和销售过程往往高度重合,除分销渠道外,主体身份也高度同一。由此产生的诸如软件生产者和集成过程的界定、软件的组件管理、不同参与者任务和职责的划定,以及模块供应者之间的相互影响如何协调等问题,简单套用硬件产品的管理逻辑不可避免地造成各种冲突,这也是各国立法者对待软件“产品化”问题犹疑不决的重要原因。从供应链思维转向价值链思维,意味着立法理念和规制逻辑的更新,也预示着制度架构的全面调整。
人工智能不同于传统软件。广义而言,人工智能就是模拟人类智能所有方面的机器,只要它们可以精确描述。通用模型也属于深度学习范畴下的大规模计算系统。狭义而言,人工智能主要指称机器学习,而排除传统规则型算法,这也是立法论的概念界定。机器学习虽是人工智能的子集,但却为人工智能的核心领域,当前两者对于医疗器械而言含义基本相同,故我国《人工智能医疗器械注册审查指导原则》从医疗器械安全有效性评价角度出发对两者不做严格区分,统一采用人工智能进行表述。本文亦采狭义概念。
人工智能与传统软件的第一个重大区别在于驱动因素。传统软件的驱动因素为单一的算法(代码),人工智能则由算法和数据双轮驱动,数据要素愈发重要。机器学习意味着数字系统不再需要完全编程,而可通过后续的数据投喂不断学习和成长,编程人员不再需要预先知晓系统运行的所有可能状态,系统行为也不再完全由编程人员预先设定。训练数据量和参数量成为影响通用模型性能的关键要素,模型性能表现与规模强相关,与算法弱相关,模型越大,性能越好,单纯增加训练数据量和参数量即可提升模型性能,且暂未见其瓶颈。训练方式也会影响模型性能,例如,基于人类反馈的强化学习可以训练模型与人类价值观对齐,ChatGPT即在GPT-3.5之上经由基于人类反馈的强化学习实现了优异表现,DeepSeek-R1-Zero则通过纯粹的强化学习获得了媲美甚至超越OpenAI o1的推理能力,但究其本质,训练方式属于算法和数据的融合形态,并未超出算法与数据的二元结构。
由此,人工智能的组织过程更加多元杂糅,数据作为重要驱动要素贯穿始终。数据供给主体多元、方式便捷,模型和系统开发者可以供给数据,系统部署者和使用者亦可提供反馈数据,反哺模型和系统。人工智能正愈发围绕数据而组织,数据流连接起不同的组织和人员,各参与者共同工作,通过各自行动支持或促进他人的行动,并产生特定的结果,虽然各参与者可能并不知晓其他参与者的工作乃至存在,也未有意识的决定共同努力的结果,但每个人都依赖于其他人所做的事情,个人角色取决于整体行动。人工智能价值链以数据要素为纽带将不同环节参与者整合为水乳交融的共同体,这客观上要求法律规制尊重数据要素的现实影响,体现参与者整体协同的组织过程。
源于数据驱动,人工智能与传统软件的第二个重大区别在于动静属性。一般而言,传统软件是静止不变的,相同输入在不同时点将获得相同输出,除非开发者进行代码更新,软件运行前后一致,但人工智能始终处于学习和变化之中,“此一时,彼一时”,持续学习构成了人工智能的重大特色和优势。上下游参与者以数据为媒介,与模型和系统连接互动,持续产生影响,用户亦成为事实上的开发者。各参与者的数据供给成为人工智能组织过程的重要变量,“智能体”即数据驱动、全域协同、持续进化的开放系统。这便要求立法设计贯穿人工智能的全生命周期,体现不同周期的风险特性并予以针对性规制,注重软件更新的适应性调整,精准界定算法驱动型更新和数据驱动型更新、重大更新和轻微更新,以契合人工智能的运行特性。
数据驱动和动态演化共同导致了人工智能的第三个重大不同:不透明性。一般而言,传统软件透明可控,因其规则由人类预先设计并运行,但人工智能是数据而非规则驱动,是一个技术“黑箱”,即使是编程人员亦无法完全理解其决策逻辑。动态演化进一步加剧了不透明性,人工智能并非按照预先设定的规则重复演算,而是根据既往运算经验不断调整运算规则。通用模型引入后,数据和参数规模几何量级增加,训练数据集(如自然语言、图像、视频、语音等)以高度异质化的方式分布,模型输出呈现高度的不确定性,提示中的微小变化可能引发模型输出的重大改变,加之不时迸发的“智能涌现”,人类尚无科学理论解释模型行为。人工智能的组织过程具有浓厚的不透明性,对厘清功能定位、追溯行为责任造成很大障碍,这要求立法者充分回应技术“黑箱”的风险影响,通过制度设计达成发展和安全的最佳平衡。
人工智能价值链的特殊构造为有效法律规制指明方向。人工智能价值链的法律塑造应当贯彻三大核心理念。
第一,协作规制理念。人工智能价值链是一个相互依赖、紧密连接的有机整体,只有充分协作,才能有效管理风险。人工智能价值链由算法和数据双轮驱动,具有双向互动性,不但上游开发者能够影响下游用户,下游用户也在时刻影响和塑造模型和系统,因而,协作规制应当秉持双向贯通原则,构建上下流动的反馈循环。协作规制应当围绕两大主题展开:信息共享和行为协助。其一,信息共享是行为协助的前提。只有保证重要信息的及时、充分共享,才能采取有效行动。部分法律文件已经充分认识到信息共享的重要性,欧盟《AI法案》明确规定,通用模型提供者“应当预见适度的透明度措施,包括起草和不断更新文件,以及提供有关通用人工智能模型的信息,供下游提供者使用”,欧盟为此构建了统一的官方数据库,通用模型和高风险人工智能系统应当在数据库中登记,共享关键信息。模型卡和数据表是欧盟《AI法案》明文规定的信息共享工具。同时,欧盟《AI法案》还建立了自下而上的严重事件报告制度,当发生法定严重事件时,部署者等应当及时向上游提供者报告,并配合开展必要的调查和纠正行动。其二,行为协作是信息共享的目标和延伸。只有各方有序协作,良性互动,才能构建完整、稳健和可持续的人工智能价值链。欧盟《AI法案》多次提及“行为协作”,序言部分指出,“具有系统性风险的通用目的人工智能模型的提供者应当持续评估和降低系统性风险,并与整个人工智能价值链的相关参与者合作”,“人工智能委员会可制定并建议高风险人工智能系统提供者与其他第三方之间的自愿示范合同条款,以促进价值链上的合作”;正文部分指出,“当高风险人工智能系统存在危害人的健康或安全或基本权利的风险时,提供者应立即与报告风险的部署者合作调查原因,并采取相应的纠正行动”,等等。协作义务是广泛且场景化的,除设定特定场景的协作义务外,仍有必要规定行为协作的基本原则,以弥补具体规定的不足。应当指出,信息共享和行为协助并非新鲜事物,属于最基本的风险规制工具,其他如个人信息处理、行政许可和处罚、合同管理等领域均有相应的制度体现,但像人工智能法这般视之为理论基石并贯穿始终者并不多见。人工智能场景下的共享与协作是双向互动和跨越层级的,遍布模型和系统的提供者、部署者和使用者,关注个人用户对人工智能组织过程的影响和义务,这充分体现了价值链思维的独特性及其对规制逻辑的深刻影响。
第二,全生命周期规制理念。人工智能价值链具有鲜明的生命周期属性,由规划设计、数据处理、模型构建、验证部署和操作监控等多个阶段构成,每一阶段均会对组织过程产生重大影响,并时刻处于动态演进之中,这便要求充分贯彻全生命周期规制理念。经济合作与发展组织(OECD)发布的报告《推进人工智能的问责:治理和管理可信人工智能全生命周期的风险》明确将“治理和管理可信人工智能全生命周期的风险”作为监管目标和路径,并提出了不同阶段的规制策略和建议。欧盟《AI法案》主张人工智能的“风险管理是一个连续的迭代的过程,应当在其整个生命周期进行规划和运行”。我国《人工智能医疗器械注册审查指导原则》明确将“全生命周期质控”作为人工智能医疗器械注册审查的基本原则,并明确划分出需求分析、数据收集、算法设计、验证确认和更新控制五个阶段,细致规定了每一阶段的风险事项和审查重点,这是重要的理念更新。人工智能的不同生命阶段具有不同的风险属性,应当配以不同的监管工具。依据适用阶段的不同,各国规定的人工智能监管工具大致可以划分为三类:上市前预防类、风险评估缓解类和上市后管理类。预防类工具主要包括禁令和许可等,禁令的典型代表是欧盟《AI法案》第5条所规定的“禁止的人工智能实践”,许可则在医疗AI、自动驾驶等领域普遍存在。风险评估缓解类工具主要体现为上市时的各类评估制度,例如欧盟《AI法案》第8条为高风险人工智能系统所设定的“合格评估制度”,这本质上是一项认证机制,而非行政许可,包括自我认证和第三方认证,提供者应于系统投放时进行充分的合格性评估。上市后管理类工具主要指产品投入市场后的监管机制,主要包括上市后监控、不良事件报告和处理、召回等。欧盟《AI法案》规定了多种上市后监管工具,如严重事件报告和召回等。全周期覆盖应当成为人工智能规制的基本理念,各国可以根据技术应用的不同领域和阶段选用不同性质和强度的监管工具组合。
全生命周期规制理念还包含着对人工智能运动特性的法律回应,承认数据要素的地位提升和现实影响,科学、适度调整软件更新制度。一般认为,人工智能软件更新可分为算法驱动型更新和数据驱动型更新。其中,算法驱动型更新是指人工智能软件所用算法、算法结构、算法流程、算法编程框架、输入输出数据类型等发生改变,通常属于重大软件更新。此外,算法重新训练即弃用原有训练数据而采用全新训练数据进行算法训练,亦属于算法驱动型更新。数据驱动型更新是指仅由训练数据量增加而发生的算法更新,包括后端使用数据的持续反馈所引发的更新。数据驱动型更新是人工智能价值链的独特形态。数据驱动型更新是否属于重大软件更新,原则上以算法性能评估结果(基于相同的测试集和算法性能评估指标)为准,算法性能评估结果若发生显著性改变则属于重大软件更新,即算法性能评估结果与前次评估相比存在统计学差异,反之属于轻微软件更新。轻微软件更新,无需再次评估和认证,通过现有的质量管理体系控制即可,如果构成重大软件更新,则应再次评估和认证,防止风险属性的根本改变或者
