原创李晓明上海市法学会东方法学收录于话题#法学204#核心期刊202#原创首发290#东方法学43
李晓明苏州大学王健法学院教授、博士生导师,刑事法研究中心主任。
内容摘要
技术规范是有关人类在利用各类技术时应当遵守的行为准则,由于技术的高度专业性,传统刑法规范难以完全适用其中,因此必要时技术规范也可以进入刑法规制。普通法律规范规制“信息技术”可能产生的漏洞与风险,人工智能刑法规制中涉及的高度技术性及其专业性,人工智能时代面临着未来刑法规范的必要转型。未来人工智能刑法规制中“技术规范”的拓展至全方位动态技术监管体系,需要进一步固定与设计技术法律规范的概念标准,需要进一步完善和加强技术法律规范的具体制度,在搭建起数据安全动态监管框架的基础之上,需要考虑进行框架内具体的技术规范制度设计与填充。为避免数据安全技术法律规范原则性的概括指导,应对人工智能技术特征、行为模式、侵害后果进行全面而具体把握,设计一整套全方位、综合性的技术规范,以期实现数据安全风险的最小化。
关键词:技术规范人工智能侵害风险有效规制数据收集社会规范
一、技术规范及其立法规制功能在刑法规制中的应用
(一)技术规范概念之辨明
传统观点认为,所谓技术规范是指人们支配和使用自然力、劳动工具、劳动对象的行为规则。随着各类高新技术的迅猛发展,现代意义上的技术规范并不仅仅局限于人与自然之间的关系法则,更多是指人在处理人与自然、人与社会、人与自己所创造的各种语言符号关系的程序、步骤、方法和技巧的一些原则、传统,是一种知识型的、智能型的行为规范。也就是说,其不仅适用于传统的人与自然的关系,在现代社会背景下,更多地还体现在人与管理技术和操作规程的法则,如交通安全法则、安全生产规章、技术操作规则等的规范。在人工智能时代,一般是指人类在利用数据智能技术时所应遵守的操作准则。
也有学者认为,“所谓技术规范是指由技术本身所构成的调整人与人之间权利与义务关系的规范”。然而,如此也就无法将技术规范与调整人与人之间关系之社会规范进行有效区分,因为其过分强调了规范调整的后果归属,将一切规范调整之目的都解释为人与人之间利益变动的需要,是对规范解读的过分延伸,并不十分合理,更不适合于当今大数据和人工智能时代所需要的技术规范要求。笔者认为,从区分技术规范与社会规范的前提出发,应当仅仅将技术规范限定在调整人类利用各类科学技术时应当遵守的技术行为准则上。
当然,笔者认为本文的技术规范,有别于传统意义的技术规范。一方面,在人工智能和科技时代的背景下,更加强调规范本身的知识性与智能性;另一方面,在规制的价值属性上,技术规范应当是完全中立的,不带任何主观评价色彩,所直接调整的仅仅是人与自然、社会,乃至人的语言、思维等领域的技术行为准则,而不涉及人与人之间的利益关系。
(二)技术规范与法律规范关系之辨明
一般认为,人工智能可具体划分为弱人工智能、强人工智能以及超人工智能。而在弱人工智能时代,人工智能区别于一般网络技术的重要特征之一就是“深度学习”功能,也即“对于某类任务T和性能度量P,在T上以P衡量的性能随着经验E而自我完善”。由于依托大数据及互联网的功能构架,在完成基础的算法编程与数据输入后,其仍会根据其后续环境变化带来的数据扩增进行更为深入地学习理解,也即所谓“数据喂养人工智能”。因此,多数人工智能产品最终的处理变化一般会脱离技术人员的最初设定,若固守只有人类才可以成为法律规制对象的传统观点,一旦人工智能产生对人类的人身或财产的侵害,便极有可能造成对程序员等技术人员的不当处罚,或者对人工智能机器的规制真空,显失公允。然而,这些技术风险又不是完全不可控的,尤其作为编制程序及机器人的制造者,提高自己的技术防范意识才是所讨论的刑法规制中技术规范的核心。
因此,在今后不能单纯认为法律规范完全属于社会规范的范畴,根据调整对象的不同,法律规范可能仅仅具有社会规范的特征,也可能兼具社会规范与技术规范的特征。换言之,技术规范本身与法律规范是可以相互兼容的,它们共同作为行为调整的基本准则。
(三)技术规范在刑法中的功能应用
由于部分规制内容的高度专业化及技术性的特征,传统法律规范无法完全涵盖和适用,故技术规范在我国未来的刑法规制中成为扩展性的趋势。笔者认为,根据技术规范特征及解决问题类型的不同,其在刑法条文中的应用方式主要有两种:
尤其是在人工智能的背景下,技术规范不仅表现出不可替代性,而且愈加表现出不可缺少性。与传统技术规范相比,现代意义上的技术规范不仅包括人与自然之间的法则,而且包括人与管理技术和操作规程方面的法则,如交通安全法则、生产安全规章、国家计量标准、人工智能技术的开发与操作规程、数学通讯符号的设置规则等。正如有学者指出的那样,所谓技术规范是指由技术本身所构成的调整人与人之间权利与义务关系的规范。技术规则本身就是一种规范,尤其在现代计算机及其网络世界里,这种技术规则与规范主要以计算机软件及其合成的人工智能为主要表现形式。显然,这是对传统技术规范突破性的挑战,尤其通过调整人与自然或技术之间的关系来调整人与人之间或整个社会之间的关系,不仅与纯粹的社会规范不同,甚至与传统的技术规范也形成了鲜明的对比。可以说,现代计算机及其网络意义上的技术规范是以技术规则为基础,直接调整人与自然或技术之间的权利义务关系,以及规范制定或操作人工智能技术等的行为之规范。相对来讲,现代意义上的社会规范则直接调整的是人与人之间的关系,即社会冲突、社会利益纷争中的纯人与人之间的利害关系,显然与现代技术规范的功能具有很大层面上的不同。
二、传统规范可能出现的漏洞及人工智能刑法规制的必要转型
“人类在进入到21世纪的三个关键时点,相继进入了三个互相联系又略有区别的新时代,即网络社会时代、大数据时代、人工智能时代,三者共同构成了新的社会时代”。伴随着数据处理技术的飞速提升和互联网运用的全面普及,人类也逐步迈入人工智能时代。不论未来的“强人工智能”,甚至可能超越人类“奇点”的“超人工智能”,仅仅“弱人工智能”的现阶段,已经对法律提出了诸多的挑战与问题,因此面对人工智能,刑法规范必须转型。
(一)普通法律规范规制“信息技术”可能产生的漏洞与风险
普通法律规范具有一定的封闭性,很难应对发展迅速的人工智能犯罪问题。法律当然需要稳定性,立法的连续性与变化的速率不可太大,只有具有适度稳定性的法律才是健康的法律。法律的“朝令夕改”,一方面往往会导致民众的无所适从,损害法律的权威性;另一方面也会导致司法者的同案不同判,可能导致诸多同案不同判的司法不公。然而,在人工智能的背景下,加之借助大数据库和互联网的加持,其发展之快早已超出想象。正如我们还在惊叹于横扫棋坛的前三代“AlphaGo”,谷歌在去年又已推出了升级版“AlphaGoZero”,摆脱了以往预先输入人类知识的学习模式,“从零开始”学习围棋,仅用3天就击败其前辈版本。
而对于此类犯罪,侵害的方式与速率更是千变万化,因此带来高风险。而封闭的传统法律规范显然难以跟上或适应千变万化的技术违规与犯罪,容易给侵害行为留下漏洞。若仍旧依赖传统法律,在相应犯罪大规模产生后就会出现法律滞后和自顾不暇。因此,应尽快进行技术规范方面的立法,包括对刑法规范的补充、修改和完善。当然,在现如今信息技术日新月异的当下,除法律的频繁变动有损权威外,显然也会成倍地加大立法与司法者的工作压力。
纵观现有的立法规定,“中国的法律资源仍然停留于过去的时代,而未能及时跟进当前的新时代”。中国的“信息技术”立法保护从计算机时代开始,着重以计算机信息系统作为犯罪对象的不法规制,走过了网络时代,对利用计算机网络实施传统犯罪的行为给予了高度重视。但在目前人工智能时代,数据呈现高度集中与迅速流动的特点,与之对应的不法侵害也是变化万千。在国家立法并未有进一步跟进的背景下,坚持普通法律规制所带来的问题便开始逐现端倪:
1.技术规范的忽视容易导致法益保护范围上的漏洞及片面性
2.技术规范的忽视容易导致刑事责任主体确定的混乱及不公正性
以“非法获取计算机信息系统数据罪”为例,司法工作者并非没有注意到技术变更带来的犯罪差异,例如,移动设备的不断普及导致数据范围逐渐脱离计算机终端的范围限制,因而为应对爆发式的移动终端数据侵害案件。2011年“两高”公布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,将“计算机信息系统”定义为“具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。将计算机仅仅作为系统设备的一种,扩大了系统设备的涵盖范围,智能手机、智能手表等新型电子设备也一并囊括在内。
(二)人工智能刑法规制中涉及的高度技术性及其专业性
人工智能技术是高技术的核心,可称之为高技术核。智能技术本身的高度专业性决定了其用语规范的专业性,一般抽象的术语描述难以准确概括人工智能数据犯罪的具体特征,既可能过于宽泛遗漏犯罪,也可能描述有误错误打击。因而,引入专业的数据安全技术规范是合理必要的。
1.人工智能时代也给犯罪赋予了技术性和时代性特征
2.人工智能时代也框定出一些特定的违法犯罪行为人
刑法作为规定犯罪和刑事责任及其辩护关系的法律规范的总和,具有引导规制人们日常行为的导向功能。刑法应当引导人们积极学法、懂法、守法,通过简练易懂的语言文字使人们充分理解行为的应当与不应当,从而引导人们实施合法行为。但技术规范往往因其特定的知识领域背景,对于一般民众而言晦涩难懂,难以理解遵守。如此看来,人工智能时代,若大量引入技术规范,则不能有效发挥刑法的规制功能,使刑法闲置无用?但事实并非如此。
(三)人工智能时代面临着未来刑法规范的必要转型
技术的合理有效发展,离不开法律的必要规制。而在人工智能技术的变革发展下,为进一步降低数据集中的风险挑战,也为适应人工智能参与司法的模式转变,刑法必须进行价值观念及规范内容上的必要调整,甚至刑法规范的必要转型。
1.法律价值观念的重构
法律价值指引着法律制度与规范的设计,在“公平正义”这一法律的普适价值之外,考虑到人工智能技术带来的新的社会风险性以及技术本身对法律从业的挑战,有必要重新考量法律的必要价值理念。
首先,在人工智能时代,风险控制应当是法律应当追求的首要目标。不同于一般高科技技术的发展轨迹,人工智能技术在发展之初,已然引发民众对于该技术风险问题的强烈担忧。小到人工智能辅助工具对隐私数据的无所不入,大到最终的“类人机器人”时代的伦理道德约束问题,人们在初尝人工智能技术带来的便利果实,便已开始担忧未来的“失控”可能。因而,未来法律规制首要考虑的应当是对可能风险的防范与控制问题。一方面,在弱人工智能时代,着重保障数据安全,避免数据的可能滥用或泄露;另一方面,在强人工智能甚至超人工智能时代,则应当认真考虑人类如何避免来自“智能体”的不必要侵害。
其次,人工智能时代应当注重法律的效率价值。效率是人工智能参与法律工作的最大优势,也是我们应当追求的价值理念。一方面,对数据犯罪而言,大量的数据泄露势必造成极其恶劣的社会影响,互联网时代的四通八达,晚一天实现对当事者的处置,就有可能导致信息的再次传播与扩散,此时以高效快捷的法律程序处理案件是将损失降至最低、保护受害人的最佳途径;另一方面,人工智能参与法律工作,其本身就具备极强的信息处理能力,承认并充分发挥该速度优势也是应有之义。
2.技术规范的必要运用
人工智能背景下,由于人工智能辅助司法带来的识别学习困难等问题,法律条文需要更多专业客观的文字表述。因此,强调使用更为严谨客观的技术规范,在人工智能时代的题中应有之义。
第三,技术规范的内容具有客观性。从本质上来说,法律在某种程度上是一种意识形态。法律规范是一种立法者价值判断的选择,是立法者认为实现公平正义最佳途径,我们不能否认这样的价值判断符合社会绝大多数人的利益需求,但总会部分利益被排除在外,产生裁判偏差。而“技术和技术规范本质上是一种以确定性、精确性的科学知识为后盾的工具理性,是为了达成某项目的而使用的手段”。因而,技术规范并不需要感性的价值判断,如此也避免了人工智能技术识别法律规范时的困难或偏差。
三、未来人工智能刑法规制中“技术规范”的拓展路径
人工智能技术飞速发展,带来的不仅仅是传统犯罪对象上的扩大与更新,更是对数据本身的保护与流动观念的巨大冲击和挑战。而现阶段,人工智能的监管正处于一种事前监管于法无据,事后监管缺少标准的状况,普通法律规范难以适应高速发展的人工智能技术,对于大规模的数据侵害犯罪更是束手无策,因而必然需要合理运用数据安全技术规范,以填补人工智能数据犯罪方面的监管空白。
(一)全方位动态技术监管体系需要进一步固定与设计
对人工智能安全进行专业性法律规制,必须首先搭建起全方位、全过程的行政监管框架体系。一方面借助网络时代的大背景,数据一旦侵犯泄露,其传播波及范围较之以往更甚,确有必要严格控制;另一方面由于自身具有的深度学习功能,人工智能在运行后可能会对自身程序进行修改而产生异化。因而,对于人工智能技术规范的作用方式也应当是动态深入的。
(二)技术法律规范的概念标准需要进一步完善和加强
第二,数据的定义标准。根据刑法第285条规定的“非法获取计算机信息系统数据罪”,我国刑法所保护的数据往往与计算机信息系统所粘连,保护范围限定在计算机信息系统内部。但在大数据时代,人工智能系统收集数据之多,包括各种如网页浏览纪律、购物纪律等相对零碎且对信息系统技术性无重要意义的数据。因此,亟待厘清“数据”的法律概念。
第三,数据的采集标准。人工智能发展离不开必要信息数据的采集,但任意地采集或对数据的过分挖掘,都容易造成数据的侵害泄露。因而,必须设定必要的技术规范,以明确数据的采集渠道、数据的采集种类、数据的采集程度等标准,以从源头上保证数据安全使用。
第四,数据的存储标准。人工智能技术的发展有赖于庞大数据库的支撑,因此,其所存储利用的数据一旦遭受侵害,损失必然巨大。由此必须明确人工智能产品中数据的存储要求,如设定必要的防火墙、病毒拦截措施、数据加密措施等。
(三)技术法律规范的具体制度需要进一步搭建与完善
1.建立安全等级的划分制度
大数据时代,“数据”早已成为企业生产经营的重中之重,“不仅是信息通信领域这些天然以数据为基础开展业务运营的企业,就连传统企业在信息化、智能化的推动下也开始逐步收集积累数据”。而在人工智能时代,数据的收集与存储进一步集中,相应技术产品对数据的依赖程度较之以往更甚。科技的进一步发展需要数据的不断整合与利用。因而,禁止数据的使用与支持,将一切数据的处理使用均看作是数据侵害犯罪,完全是因噎废食,不合理也更不现实。但这也并不意味着,信息数据保护可以此为借口彻底放弃,转而向市场利益的妥协。
2018年5月25日正式生效的欧盟一般数据保护条例(以下简称条例)第9条,明确了对包含个人种族、政治信仰、个人健康或性生活等信息的敏感数据的保护处理,着重强调除非特殊情况,作为一般法则,禁止处理敏感数据。为体现对敏感信息内容重要价值的重视,给予了更为严格的保护措施。因而,以此种区分保护的做法为借鉴,我们可以建立相应的信息数据的等级分类制度,对于不同安全等级的数据给予不同程度的保护,以达到科学技术的充分发展与对数据安全合理保护之间的有效平衡。
2.制定安全处理的审查规则
首先,针对数据的收集使用技术标准。这里笔者主要探讨两类重要问题:一是数据收集使用的首要前提——数据主体的知情同意原则;二是数据分析使用过程中的“用户画像”问题。
3.建立侵害后果的报告制度
数据的安全管理规范究其本质是为了保护数据主体的合法权益,因而本应当在数据侵害发生后,及时对数据主体进行告知说明。轰动全球的“雅虎数据泄露事件”中,雅虎公司在2013年遭受的黑客攻击事件,却选择在3年后向公众公开曝光,甚至在公开宣布的1年后,雅虎母公司美国电信巨头威瑞森才首度承认,实际泄露用户数量3倍之于通报数量。而同样的,Facebook信息泄露事件中,其用户的数据侵害行为早在2016年已然发生,但直至2018年3月由媒体披露后,Facebook才首度承认并展开调查告知程序。很显然,尽管有诸多形式上的权利保障,数据主体与数据实际控制、使用者之间实际仍是不对等的,数据主体所掌握的事实情况往往局限于数据控制者的主观筛选,也即一直是处于被动的信息接受地位。当然,要求数据主体时时主动联系、关心自身数据使用情况,在如今的数据运用广泛而密集的大数据背景下,是不现实也不合理的,但由此我们才更应该严格要求数据控制者的主动报告义务。
数据主体对于数据的掌控不只限于收集使用前的知情同意,更应体现在侵害发生后的数据控制者所作的结果处理报告上。简言之,数据侵害事件发生后,除监管部门的应急处置、数据控制者的积极配合,还应当实现对数据受害人必要的告知说明,这既是对数据主体知情权的必要保障,也是侵害后及时止损的措施之一,便于数据主体采取补救措施,将对自身侵害降至最低。
4.建立跨境转移的许可制度
“随着互联网应用的迅速普及特别是信息通信技术在云计算模式上的整合,和世界经济和全球贸易需要的人、物、货币和资本的全球流动一样,数据也需要实现全球范围内的流动”。跨国企业间数据的交流合作、云数据库的移动储存等甚至是普通个人日常的境外网络访问、境外网络购物都有可能完成数据的跨境移转。而由于数据自身所存在的个人隐私、公共安全等信息价值,数据的流动不只是技术上的传输问题,也不只是国家间合作互通的问题,更需要考虑的是法律规则上的限制批准问题。
在各国数据跨境转移的规则中,欧盟坚持较为严格的数据转移规则,在其1995年《关于个人数据处理保护与自由流动指令》中明确指出,欧盟公民的个人数据不得移转至数据保护水平低于欧盟的国家或地区,除非符合包括数据主体明确同意等的三种例外情况,或者数据输出方与数据输入方订立了符合欧盟要求的合同条款。尽管在一定程度上限制了市场的自由交易,但在全球数据侵害日益严峻的当下,尤其是面对人工智能技术强大的数据处理与挖掘能力,确实不得不要求市场交易进行必要妥协,而对数据的移转增加必要的约束与限制,这既是对数据安全的着重强调,也更是对技术平稳发展的合理规划。