ChatGPT類應用風險的治理誤區及其修正
——從“重構式規制”到“階段性治理”

許中緣，鄭煌杰

（中南大學 法學院，湖南 長沙 410083）

2023 年被認為是生成式人工智能（Generative Artificial Intelligence）元年，也是人工智能（以下簡稱AI）領域的重要拐點，以ChatGPT 為代表的生成式人工智能應用的崛起，標志著人類社會正在經歷一場知識革命。埃隆·馬斯克認為ChatGPT 類應用的影響力不亞于iPhone；比爾·蓋茨也坦言到目前為止，只見過兩個真正具有“革命性”的技術，一個是用戶圖形界面（現代操作系統的先驅），另一個就是在OpenAI 研發出的GPT 模型。申言之，ChatGPT類應用之所以能現象級躥紅，主要是因為GPT 模型在算法（如Large Language Models，LLM 等大語言模型）方面實現了新的突破，即可以基于其訓練數據，獨立自主地創造文本、代碼、圖形等連貫性、具有意義的內容。同時，在海量數據與強大算力支撐下，ChatGPT 類應用既能“明白”人類語言，“理解”自主學習期間獲得的“經驗”，也能“記住”知識進而生成高質量內容。這種人機互動、橫跨多領域應用以及自我生成內容的技術特性，正在加快ChatGPT 類應用與人類社會形成更加穩固、廣泛與深刻的聯系。

但ChatGPT類應用在給公眾帶來意外驚喜的同時，也引發了諸多潛在風險。比如，意大利數據保護機構以保護個人信息與隱私為由，臨時封禁了ChatGPT，在OpenAI 采取相應措施后才解除封禁；又如，美國AI 與數字政策中心（Center for AI and Digital Policy）向監管機關投訴，提出對OpenAI進行合規調查，并要求其在建立安全防護措施之前禁止發布新的AI模型，這一系列事件表現出社會大眾對于目前AI 技術的擔憂。為了規范ChatGPT 類應用的使用，美國白宮于2023 年7 月21 日召集AI 七大公司（包括亞馬遜、谷歌、Meta、微軟、OpenAI等），要求其作出保障用戶權益的承諾，包括同意進行安全測試、采用“水印”功能以告知用戶哪些內容是由AI生成等以應對相關風險。我國網信辦聯合國家發改委、科技部等七部門于2023年7月10日發布了《生成式人工智能服務管理暫行辦法》（以下簡稱《暫行辦法》），其中明確了生成式人工智能技術的適用范圍、責任主體認定等方面內容，旨在為ChatGPT 類應用產業的安全發展提供前瞻性建議。

在上述背景下，針對ChatGPT 類應用的法學研究也十分火熱，學者們對于如何回應ChatGPT 類應用風險基本存在兩種立場：一種立場認為應根據ChatGPT 類應用的特性，制定不同的產業政策和專項立法以系統治理其風險。該立場主張在ChatGPT類應用成熟之前，利用法律手段對其進行監管和規范，以確保其應用符合法律和倫理標準[1]。另一種立場則認為ChatGPT 類應用尚未成熟，故法律應避免過度干預技術發展，不宜過早對其進行治理，以免阻礙其技術的持續創新[2]。這兩種立場的分歧在于法律是否需要對ChatGPT類應用風險采取專門立法的方式進行治理，即本文指稱的“重構式規制”。從更深層次而言，前一主張本質上是一種“技術悲觀主義”，其以大數據、區塊鏈、元宇宙等數字技術風險為參照對象，認為技術的創新必然會引發全新類型的風險，ChatGPT 類應用亦是如此。后一主張則屬于“法律有限主義”，即法律在調整社會關系或人們行為過程中發揮的功能是有限的，過窄或過寬地實施治理措施只會限制技術創新與發展的空間，故面對ChatGPT 類新興技術，法律所需要提供的只是一種技術激勵機制和發展方向上的指引[3]。然而，現階段應如何應對ChatGPT類應用風險，不能僅僅從單一視角切入，因為法律難以完全預見技術創新的發展方向，也無法精準判斷其引發的所有風險及損害范圍，唯有進行整體性分析，包括對ChatGPT類應用的發展現狀和趨勢進行深入研究，評估其現階段具體存在哪些風險，以及對現有法律框架的適應性進行考量，才能確認技術風險及產生的損害后果是否需要法律專門治理。因此，“ChatGPT類應用風險是否需要法律專門治理”這一問題也就能細分為四個子問題：第一，現階段ChatGPT類應用存在哪些潛在風險；第二，這些風險及其損害后果是否需要法律專門治理；第三，倘若需要，應選擇何種方式對ChatGPT類應用風險予以回應，是直接選擇“重構式規制”，抑或是還存在其他治理方式；第四，在確定某種治理方式后，其治理框架具體應如何構建。本文將基于以上問題展開論述分析，并提出有針對性的因應之策，希冀對ChatGPT 類應用及相關技術的治理與發展有所裨益。

一、ChatGPT類應用的運行機制及風險研判

（一）ChatGPT類應用運行機制闡釋

ChatGPT 類應用目前主要包括兩種類型：生成式對抗網絡（Generative Adversarial Network，GAN）和生成式預訓練轉化器（Generative Pre-trained Transformer，GPT）。GAN是一種廣泛應用的生成建模AI 技術，由生成器和判別器兩個神經網絡組成，并通過對抗訓練的方式來提升生成模型的能力。生成器網絡負責從隨機噪聲中生成新的樣本，而判別器網絡則通過對比生成器生成的樣本和真實樣本來判斷生成器的性能。通過不斷地迭代訓練生成器和判別器，GAN 可以生成高質量、逼真的樣本。GPT 則使用大量公開的文本數據進行訓練，并結合自回歸模型的思想，在給定的上下文語境中生成連貫、自然的文本。而ChatGPT是OpenAI公司研發的大型語言模型，根據其官方介紹，可以將ChatGPT 的運行機制大致劃分為準備階段、運行階段和生成階段（見圖1）。在準備階段，ChatGPT通過學習訓練和算法升級來獲取知識和技能，其需要大量數據作為輸入內容，以便從中提取模式和規律；在運行階段，ChatGPT 利用自身算法模型來處理輸入數據；在生成階段，ChatGPT不僅會生成高質量結果，還會根據算法模型的反饋來優化自身輸出的結果，以實現真正的自我學習[4]。

圖1 ChatGPT運行機制的具體步驟

（二）ChatGPT類應用引發的潛在風險

基于對ChatGPT類應用的準備階段、運行階段、生成階段的剖析，可以將其引發的潛在風險歸納為內部風險與外部風險。內部風險主要包括數據侵權風險、算法安全風險，外部風險則主要包括應用濫用與知識產權風險。

1.數據侵權風險

目前我國數據安全法律體系主要建立在《數據安全法》《網絡安全法》《個人信息保護法》體系的基礎上。ChatGPT類應用在此體系下引發的數據侵權風險具體表現在以下三個方面：

首先，數據來源風險。ChatGPT 在準備階段需要收集大量數據進行訓練，ChatGPT 的訓練數據有些來自個人信息匯集（如用戶的人臉等可識別信息）。根據《個人信息保護法》第十三條規定，個人信息的處理應事先取得信息主體的同意，但“取得信息主體的同意”這一步驟在ChatGPT 訓練過程中難以實現，目前還是未經用戶同意就將獲取的個人數據用于訓練。此外，ChatGPT 在訓練階段獲取的個人信息，也容易違反《個人信息保護法》第六條規定的“限于實現處理目的的最小范圍”的要求。即使OpenAI提出其獲取的數據只用于特定目的，卻沒有說明用于特定目的的數據是否包括模型中的訓練數據（如用戶提問的“數據內容”），也沒有對其承諾行為作出法律保證，這將增加個人數據被過度處理的可能性。

其次，數據使用風險。ChatGPT 在運行階段主要存在以下風險：其一，數據泄露風險。用戶向ChatGPT披露的個人信息（如用戶的姓名、地址等）、商業信息（如商業機密）等內容會面臨被泄露的風險。如果這些信息被未經授權的人訪問或獲取，將導致用戶的隱私權受到侵犯以及商業利益受到損害[5]。另外，用戶的輸入（提問信息）和交互信息也會被用于持續迭代訓練，這也增加了信息安全的隱患。盡管OpenAI聲稱采取了安全保障措施（如脫敏處理、隱私計算等）來保護用戶數據①，但在客觀上無法完全消除數據泄露風險，例如，黑客攻擊、技術故障或人為失誤等因素都會導致用戶數據的泄露。其二，個人信息刪除權“履行不能”風險。根據《個人信息保護法》第四十七條與《網絡安全法》第四十三條的規定，在一定條件下，個人信息的權利主體有權請求侵權人刪除相關信息。雖然OpenAI的隱私政策也規定了用戶享有查閱、更正和刪除個人信息等權利②，但由于ChatGPT的運行機制較為復雜，運營主體是否滿足我國相關法律要求并真正刪除個人信息，還存在較大不確定性。其三，數據跨境流動風險。當國內用戶使用ChatGPT 時，相關信息會被傳輸到境外運營商的數據處理中心，處理后的結果再由其進行反饋。根據《個人信息保護法》第四十四條規定，信息主體對其個人信息的處理享有知情權，用戶的個人信息在被傳輸前應告知用戶并獲得其明確同意，但這個步驟在現階段是否能夠得到落實也有待考量。未經審批許可的數據出境行為也會增加數據侵權風險。在數據跨境流動過程中，如果企業或個人未經相關部門的審批許可，擅自將用戶個人信息傳輸至境外，將導致用戶個人信息被未經授權的第三方訪問和使用，進而違反《數據安全法》第十一條等相關法律規定③，這不僅會對用戶個人信息的安全性和隱私保護造成威脅，也會對企業及個人的聲譽和信譽造成嚴重影響。

再次，數據可靠性風險。ChatGPT 的訓練數據質量直接影響到其輸出結果的準確性。在準備階段，研發者從網絡中選擇和獲取數據，這種方式容易造成生成內容不準確，這種“不準確”來自數據的不全面性、虛假信息的存在以及錯誤信息的傳遞[6]。具言之，一方面，訓練數據無法涵蓋所有語言和命題。網絡上的信息體量非常龐大且具有多樣性，但研發者無法獲取到所有數據，這意味著訓練出的模型將在某些特定領域或語言上表現不佳。例如，如果訓練數據主要來自英文網站，那么模型在其他語言上的表現會受到限制，這種局限性會導致模型輸出的不準確性。另一方面，訓練數據中存在虛假或誤導的信息，如果這些信息被用于訓練模型，那么模型會在生成內容時重復并進一步“擴大”這些錯誤信息的應用范圍。

2.算法安全風險

ChatGPT在運行階段主要是借助算法模型來分析與處理數據的，其將預訓練與微調體系引入算法模型之中，進而改變數據的產生及流通方式，但也進一步增加了算法安全風險，具體如下：

第一，算法“可解釋性”風險。由于AI算法的復雜性和黑箱特性，人們很難理解和觀察算法的規則及決策過程。這種“算法黑箱”現象也給設計者和用戶帶來了困擾，因為有時人們無法預見AI作出何種決策，也無法驗證其決策是否合理和公正[7]。為了解決“算法黑箱”問題，各國紛紛推動算法披露和公開的政策，并賦予“被決策者”解釋算法的權利。比如，歐盟頒布的《通用數據保護條例》（GDPR），要求企業在作出基于算法的決策時，必須提供其可解釋性所涉及的原理、邏輯、技術規則等內容④。美國民主黨則提出《算法責任法案》，其中要求AI算法的開發者應當提供解釋算法決策的方法和工具⑤。然而，實現算法可解釋性并不容易。一方面，算法可解釋性要求通常比較抽象，缺乏具體指引。目前還沒有統一的標準和方法來衡量和評估算法的可解釋性。另一方面，算法的可解釋性程度較低。盡管有一些可解釋性的AI算法，如決策樹和邏輯回歸⑥，但在處理復雜的任務和大規模數據時，這些算法的性能還不夠理想。

第二，算法“公正性”風險。ChatGPT 在訓練生成式模型時，使用的數據集事先可能存在各種偏見和歧視，其可能源自數據采集過程中的人為因素，也可能來自社會中存在的不公平現象[8]。如果這些內容未能得到有效處理，那么ChatGPT 的生成結果將受到影響，并進一步放大不公平現象，進而造成“公正性”風險。以教育領域為例，當使用生成式模型如ChatGPT 來為學生論文評分時，如果訓練數據偏向某類人群，例如偏向男性學生或某個特定種族的學生，那么生成的評分結果會對這些群體有利，而對代表性不足的群體產生不公正的評分，這將直接加大原本就處于劣勢的人群與優勢人群之間的“鴻溝”。

第三，算法“可問責性”風險。算法在一定程度上具有“技術中立性”，這使得其可以充當一種信任工具而應用于眾多領域，但也使得對其進行問責存在較大困難。理由在于算法侵權可能只是一種“應然”風險并非“實然”發生的現象，或者只是損害結果的原因之一，這使得難以直接將算法行為和損害結果建立因果關系。例如，算法導致某個產品的銷售量下降，但是很難確定究竟是算法的問題還是由其他因素導致的。進一步而言，就算能夠證明算法與損害結果之間存在因果關系，在客觀上也會面臨操作困境。比如，當算法被定性為商業機密，那么企業往往會以保護商業利益為由進行抗辯，進而拒絕透露相關信息。就算企業抗辯不成功，那么也需要中斷算法的運行對其進行審查，一次兩次尚無大礙，但如果頻繁發生，也會對企業的正常運營造成不利影響。

3.應用濫用與知識產權風險

從ChatGPT 類應用濫用風險層面來看，德國哲學家卡爾·雅斯貝爾斯曾言，技術在本質上既非善也非惡，只有人才賦予技術以意義。易言之，ChatGPT類應用的“好壞”在一定程度上也取決于其使用者。如不法分子為了謀取私益而濫用ChatGPT類應用，甚至將其異化為犯罪工具，進而威脅個人和社會利益。具體來說：一方面，濫用ChatGPT進行網絡詐騙。ChatGPT 作為一種強大的語言模型，具備生成文本、回答問題和模仿人類寫作的能力，導致利用其進行網絡詐騙的成本大幅降低。已有研究表明，GPT-3 生成的釣魚郵件“成功欺騙率”達到45%，GPT-4 則直接達到81%⑦。另一方面，濫用ChatGPT 進行政治操縱，生成虛假新聞和政治言論等。不法分子可以利用ChatGPT 類應用生成假新聞、扭曲事實、偽造來源，以影響公眾對特定政治議題的態度[9]。正如美國民主黨眾議員伊薇特·克拉克在一份聲明中所言：“在即將到來的2024 年選舉周期，美國歷史上將首次有AI 生成內容被用于競選、政黨和超級政治行動委員會的政治廣告。如果AI生成內容能夠大規模操縱和欺騙人們，就可能對我們的國家安全和選舉安全造成毀滅性后果。”⑧

在ChatGPT類應用生成內容的知識產權風險方面，ChatGPT使得AI 生成內容的知識產權問題變得更為復雜。早期弱AI時代的機器人，基本是充當人類的工具，承接一些基礎體力勞動、進行簡單的互動，此時AI生成內容難以成為“作品”。正如有學者所言，AI 的驅動力本質是算法程序，其無法完全表現人類創作的個性，因此其成果不能成為著作權法意義上的作品[10]。而ChatGPT的出現給此類結論帶來巨大挑戰，尤其是GPT4.0版本的參數值已經接近100 萬億，并加入了規則獎勵模型（rule-based reward models，RBRMs），這使得其具備了與人類相當的思考能力和創作能力，也使得其生成內容具有一定的獨創性。基于此，ChatGPT 生成內容在知識產權層面存在三個詰問：第一，ChatGPT的生成內容是否具有版權。由于ChatGPT生成內容經過復雜的信息抽取和語義識別等過程，類似于著作權領域中的改編行為，故其生成內容具有一定的獨創性。但也存在另一個問題，用戶創作作品并不是完全依賴于ChatGPT，也許只是將后者作為一種輔助工具，那么此時應如何確定版權又是一個新的難題，這需要理論界與實務界繼續深入研究。第二，ChatGPT 生成內容的版權主體應如何確定。ChatGPT在應用過程中往往會涉及多個主體，包括用戶、技術開發者等，那么其內容生成的利益應當如何界定？有學者認為可以參照職務作品的規定，將生成內容利益歸屬于投資者，將用戶的輸入行為視為一種生產行為，但這種方式忽視了用戶的收益權利[11]。因此，需要思考如何建立一個公平的利益分享機制，確保所有參與者都能分享由ChatGPT 生成內容帶來的利益。第三，ChatGPT 生成內容的侵權風險應如何承擔。ChatGPT的侵權風險主要源于數據獲取路徑的不透明，當用戶的行為涉及未經授權或超越授權的爬取數據時，將侵犯他人的復制權、信息網絡傳播權等著作財產權。詳言之，當用戶與ChatGPT 進行互動時，生成內容大多基于外來數據源，那么應如何確保其爬取的數據已經過訪問路徑的全部授權？如確認是未經授權，著作權人相關權益又如何得到保障？是追究用戶的責任還是追究研發者的責任？這些問題也亟須予以回應。

二、ChatGPT類應用風險的治理誤區：“重構式規制”的質疑

（一）“重構式規制”的邏輯缺陷：“新風險”等同于“新治理”

前已述及，ChatGPT 類應用會帶來諸多法律風險，但這些風險需要通過專門立法的方式加以治理嗎？換言之，是否必須使用“重構式規制”的治理方式？答案是否定的，理由如下：

首先，將ChatGPT 類應用作為調整對象超出了法律的規范邏輯。法律不是針對某個特定的技術產品或服務進行具體規定，而是調整相應的社會關系或相關行為。雖然目前許多學者傾向于采用交叉學科領域的研究方式，這在一定程度上有利于治理新興風險，但法律自始至終的調整對象都是法律關系，而不僅是新興技術引發的各種風險。因此，當前法律治理新興應用或技術的核心還是在于其“使用行為”與“使用主體”，而不是被“新瓶裝舊酒”的表象所迷惑，將風險的“新興”等同于需采取“新型”治理方式。

其次，現有法律制度尚能應對ChatGPT 類應用所引發的風險。適用“重構式規制”的前提應該是法律制度完全不能應對或預防“新興”風險，然而實際情況卻是這些風險尚能劃入當前法律制度的調整范圍，如有學者認為將《數據安全法》《著作權法》《網絡安全法》等進行延伸性解釋，足以應對ChatGPT類應用引發的相關風險[12]。又如歐盟在針對ChatGPT 相關風險時，采取的方式是成立特別工作小組，也是在不立新法的前提下，探索ChatGPT治理的通用政策⑨。從區塊鏈技術到元宇宙再到ChatGPT 類應用等相關立法舉措來看，會發現這些新興數字技術的立法思路通常是以其現實應用的“場景化”“領域化”“技術化”為基礎，關注調整在不同應用場景下的法律關系變化，已經出臺的《暫行辦法》就是最好的例證。即對于新興技術而言，義務型規范還是其治理規則的核心內容，只不過其規則邏輯可以進一步細化，如將ChatGPT 的風險治理分解為準備階段的數據安全、運行階段的算法模型安全、生成階段的算法輸出結果安全。

再次，使用“重構式規制”治理方式應對ChatGPT 類應用風險，極易陷入“技術規制法”的邏輯誤區。審視近幾年許多學者主張的“重構式規制”內容，如“加快技術立法的進程，以緩和法律與技術之間的矛盾”“法律存在滯后性，難以應對新興技術風險”等，可見其逐漸呈現出“新技術必然引發新風險，而新風險理應需要新型治理制度加以解決”的現象。《數據安全法》《網絡安全法》《個人信息保護法》等具有“技術性”特征的法律出臺，的確是我國在數字法治體系建構過程中的典范。如今，不管是數字技術安全治理架構，還是其規則適用，我國法律制度體系已經有能力應對各種層出不窮的新興技術風險。如果還是一味采取“重構式規制”的主張，那么將引發重復立法、超前立法等問題。

（二）“重構式規制”的誤區成因：“風險類型”等同于“風險大小”

“重構式規制”并不是一種應對新興技術風險的學術思潮，而是在大數據、區塊鏈、元宇宙等新興技術概念影響下才應運而生的，其產生的本質原因在于法律制度自身的穩定性與迭代創新的高新數字技術之間的脫節。在該主張的影響下，有些學者在研究新興數字技術相關法律風險時，一旦發覺現有法律制度體系“貌似”無法預防或規制這些風險及其后果，就直接根據“立法者在立法時存在一定局限性，難以預見所有風險”之類的理由，提出應進行“重構式規制”。《數據安全法》《個人信息保護法》等“技術性”法律規范文件，確實是為了解決現有法律制度無法處理的“真問題”，但不是所有新興技術風險都等同于“真問題”，都有資格成為立法的必要事由，特別是在AI技術領域。

具體來說，ChatGPT 類應用風險評估通常不以其已產生的損害結果為標準，而是以其可能引發的風險為依據，同時基于其評估結果，這些技術風險在法律層面上的定性，如因果關系、侵權類型、免責事由等都存在特定性。以前文所述的ChatGPT類應用風險為例：在數據侵權風險方面，履行數據保護義務的主體還是“法律主體”（如研發者、運營者等），其產生風險的原因也還是“法律行為”（如未采取有效的用戶數據保障措施等）；在算法安全風險方面，將大模型算法擬制為侵權主體顯然與我國民事法律主體相關規定相悖，因此需承擔法律責任的主體依舊是算法技術背后的“操縱者”（如設計者、使用者、運營者等）；在應用濫用風險方面，不管犯罪行為構成是適用“三要件”還是“四要件”，ChatGPT 始終也只是充當犯罪行為的輔助工具，犯罪行為的認定不會因為行為人是否借助ChatGPT類應用而有所不同，這些高新數字技術的濫用只是屬于“社會危害性”“量刑情節”等方面的參考因素。由此可見，基于ChatGPT所引發的風險而主張“重構式規制”無法自證其理，究其本質在于許多學者將“風險類型”等同于“風險大小”。申言之，ChatGPT類應用風險只是在客觀上加大了“既存”風險發生概率以及風險損害后果，但仍然能適用現有的《數據安全法》《網絡安全法》等相關法律規定加以解決。

（三）“重構式規制”的誤區澄清：以技術應用場景與方式為基礎

就ChatGPT類應用風險治理而言，不提倡“重構式規制”并不等同于不承認其發揮的重要作用，而是為了闡釋三個問題：

首先，雖然ChatGPT類應用使得AI技術向強AI時代邁出了重要的一步，但其需適配的法律條款體量、責任規定認定數量以及配套技術規范等還是不能達到制定單行法的標準。這也是由于立法往往滯后于技術的發展，造成法律必然無法全面覆蓋技術的應用規范。同時，隨著ChatGPT 類應用的商業化落地，其將廣泛應用于不同場景，這種廣泛性特征在理論上恰好也證明了其風險的產生仍然是以應用場景為導向的。在實踐中亦是如此，我國先后出臺了《互聯網信息服務算法推薦管理規定》《互聯網信息服務深度合成管理規定》等，也是為了規制算法在“推薦服務”“深度合成”等應用領域引發的安全風險。因此，合理的立法邏輯應當是以技術應用場景與應用方式為基礎，針對不同類型的AI技術應用制定相應的義務規范，待到相關技術應用較為成熟，與現有相關法律制度內容的不適應性逐漸消解后，再將這些規范整合成通用的技術治理規則。

其次，不提倡“重構式規制”并不意味著不承認以產業保障機制推動AI 技術創新發展。“重構式規制”關注的是禁止性義務，旨在預防潛在的安全風險，而“產業保障式”立法則側重于監管機構提供的產業保障政策和創新促進服務。這兩種立法導向在AI 技術的發展與治理過程中都起到重要作用。具體而言，“重構式規制”可以更好地規范AI技術的應用，以有效保護公眾利益和個人隱私安全等合法性權益；而“產業保障式”立法則可以為AI產業提供支持和保障，如通過數字技術基礎設施的建設、算力資源的統籌兼顧等方式促進技術的創新和發展。

再次，不提倡“重構式規制”是為了厘清ChatGPT 類應用風險治理的立法邊界，即需要達到何種程度才有必要采取立法的手段以應對相關風險。過去區塊鏈、云計算等信息技術風險確實符合“重構式規制”立法的要求，但隨著我國技術規范法律體系逐漸完善，彼時的立法空白已經得到了較大程度的填補。在此背景下，對于ChatGPT 類應用進行專門立法至少應滿足兩個前提條件：其一，立法能夠較大程度地降低企業合規成本，為相關技術主體提供明確的行為指引，細化其權利與義務的內容，界定其法律責任范圍；其二，立法是無法避免的“過渡性選擇”，待到ChatGPT類應用相對成熟時期，再將這些專門立法條款進行體系化整合，形成通用性原則或規則，以確保ChatGPT 類應用的合理使用與發展。

三、ChatGPT類應用風險的治理路徑：“階段性治理”的契合

（一）數字技術的法律治理：理論范式與思路探討

當前，一些學者嘗試引用其他學科的理論范式來闡釋法律對數字技術的治理邏輯，然而，由于新興技術的風險治理往往與其應用場景及方式難以同步，導致容易陷入先驗性法律研究的尷尬境地。數字技術在不斷地迭代更新，故其理論研究邏輯不應只針對特定的技術或相關產品展開，而是需基于過去技術治理的制度經驗，進而形成具有普遍性的理論范式。審視目前學界的研究成果，主要存在“敏捷治理”“元治理”“生產治理”等理論范式。這些治理范式提出了靈活適應技術變化的治理方法、跨學科的規制框架等內容，有利于實現法律與技術的良性互動和協同發展。

首先，“敏捷治理”（Agile Governance）理論是一種對傳統治理的改良，其宗旨是將治理理論由相對模糊的理念轉變為具有可操作性的方案。其中“敏捷”二字意味著對于未預料到的變化作出反應的能力，這一理論最早應用于公共管理學領域，此后逐漸演變為迅捷、協調的管理學理論范式，我國政府提出“政務一體化服務”“一網通辦”也是其應用的典范[13]。這種治理方式強調快速反應和靈活調整，此類特征正好與高新數字技術的復雜架構相契合，故有學者主張該理論適用于技術治理領域，不僅可以幫助監管者及時應對技術發展中的不確定性，也能加強與技術開發者和用戶的溝通和合作，以便及時了解他們的需求和反饋，從而更好地指導技術的發展和應用[14]。

其次，“元治理”（Metagovernance）理論即“治理的治理”，旨在整合與平衡不同治理機制之間的關系。該理論最初應用于德國食品安全領域的治理問題，不同于國家治理模式（依賴于政府的直接干預），其核心思想在于通過自我治理，使治理對象獲得法律授權，并通過內部的標準體系來實現治理的目的[15]。近年，也有一些學者開始將該理論引入技術治理領域，以應對新興技術風險的挑戰：以滴滴網約車為例，滴滴平臺扮演著重要的治理角色，通過建立有效的內部管理機制，平臺可以實現自我治理并確保其服務質量和安全性[16]。這種基于“元治理”理論的治理方式，不僅能夠提高行業的自律性，還能夠減輕政府的監管負擔，實現高效與靈活治理[17]。

再次，“生產治理”（Production Management）理論是指法律制度應保證新型生產方式（涵蓋生產資料與生產關系）的合法性[18]。在這一理論框架下，有學者以腦機接口（Brain-Machine Interface，BMI）技術風險治理為例，提出法律對于技術的治理主要體現在兩個方面，即判定新興技術是否合法及如何合理分配生產利益[19]。然而，在客觀上存在立法難以“先于”技術以及技術創新很可能直接改變生產關系等情況，造成法律在治理新興技術風險上還存在較大困難。申言之，法律治理技術的基本思路應是通過四個階段展開：其一，法律需要跟隨新興技術的發展，及時確認新興技術的合法性。這意味著法律應當對新技術進行審查和評估，確保其符合法律的要求，并為其提供合法的發展環境。其二，法律應當區分新技術的單一功能和通用功能的技術模式。對于單一功能的技術模式，法律可以通過特定的規則來確保其合法使用；而對于通用功能的技術模式，法律則需要更加靈活和開放，以適應其多樣化的應用場景。其三，法律應當關注技術的平臺化模式。隨著技術的發展，越來越多的技術以平臺的形式存在，故亟須確保平臺的合法性和公正性。其四，法律也應當固化技術的應用場景。技術的不斷創新使得其應用場景也在不斷擴大，故法律應確定其應用的邊界，以保證技術的合法應用，防止其濫用和侵害他人合法權益。

（二）ChatGPT 類應用風險治理的基本立場：以“階段性治理”為原則

分析前述各種理論范式，不難發現一個共同點：法律不是萬能的，其對于技術的治理功能是有限的。因此，法律不僅需要與其他治理工具相結合，以實現應然的治理效果；還需要確定其自身的調整目標，以合理公正地分配各方利益。然而，學界在理論層面習慣于討論“法律如何治理技術”這一問題，卻忽略了另一個重要問題，即技術對法律有何需求，換言之，什么樣的法律才是技術所需要的。如今，法學理論研究正面臨著技術帶來的諸多挑戰，傳統法學理論范式和基礎概念逐漸呈現出無法適應技術發展之態，這也引發了學者們對法律與技術之間關系的研究。以ChatGPT類應用的核心部分——算法為例，過去算法只是計算機技術學科的基本內容，如今卻是法學理論界與實務界研究的前沿問題。從更深層次來看，創新性數字技術的出現不僅使得算法的影響范圍發生了巨大變化，也使得法律對其的治理方式發生改變。具體來說，曾經算法對人們權利的影響只是局限于對應的產品或服務，因此法律主要也是以產品或服務為調整對象。然而，隨著數字平臺的崛起，算法作為平臺信息服務的重要工具，通過收集、分析、使用相關數據加強市場力量，但也極易引發“算法歧視”“算法合謀”等負面效應，進而損害消費者的選擇權、知情權等合法權益，使得學界重新審視算法的法律屬性[20]。最典型的現象就是，許多學者開始質疑“技術中立”的合理性，雖然算法本身難以直接造成侵權后果，但當其從抽象代碼轉化為具體服務或產品時，相關主體行為就容易受其影響[21]。由此可見，算法在不同發展階段的法律屬性有所差異，法律也是基于其發展階段性特征而在治理方式上作出相應調整。因此，對于ChatGPT類應用，也應以其發展的階段性特征為基礎進行治理，而不是忽略其發展的客觀規律，直接討論未來不明確的技術應用趨勢對當前法律關系有何影響。

四、ChatGPT類應用風險的治理框架：“階段性治理”的貫徹

（一）數字技術發展與法律治理協同：“階段性治理”的意涵

倘若“階段性治理”的意涵只是包括法律需要基于技術發展階段的特征來調整其治理方式，那么該主張的價值就顯得無足輕重。審視我國的技術立法進程，會發現其主要是基于技術創新與技術風險預防而展開。具體而言，技術創新的立法思路是根據市場、資源、政策等客觀因素來制定相應的法律條文，如《上海市促進人工智能產業發展條例》《廣東省數字經濟促進條例》等地方性法規。技術風險預防的立法思路則是以主體的權利義務為依據，強調數字平臺、數據處理者等法律主體在技術應用場景中的義務及其履行方式，如《暫行辦法》《互聯網信息服務深度合成管理規定》等規范性文件[22]。由此可見，我國立法者基本還是以技術發展階段性特征為依據進行相應立法，而不是按照“重構式規制”主張那般創設全新的法律制度體系，這恰好也是技術發展所需要的法律治理方式。

在貫徹“階段性治理”的意涵之下，高新數字技術的法律治理可以大致劃分為三個階段，即“技術概念創新化”的第一階段、“技術應用具體化”的第二階段、“技術應用普遍化”的第三階段。首先，“技術概念創新化”是技術發展的起點，其主要特征是在概念層面提出具有可行性的技術概念，并通過產業界對未來可能的應用場景及其風險進行設想。在這一階段，技術的創新主要集中在概念層面，具體的技術應用尚未出現，因此，法律對技術的治理主要還是在理論層面，以評估技術概念的風險與現有法律制度概念的適配性為限。由于技術本身存在許多不確定性，故在此階段尚不必針對其相關風險進行專門立法[23]。其次，“技術應用具體化”是技術發展的關鍵階段，此時技術開始在實踐中進行單一應用或試點應用。這個階段的技術發展方向和應用場景已經相對確立，未來技術風險的發生及其種類也得到了確認，故法律對技術的治理方式轉向行政監管制度的構建和相關法律模式的選擇，以制定有關技術應用方式和應用場景的禁止性規范，其規范的主要目的是限制技術的不當使用。再次，“技術應用普遍化”是技術發展的最終目標，涉及技術商業化和廣泛應用。在完成了特定場景下的試點應用之后，技術開始商業化，甚至在特定行業中已經出現相對安全和成熟的產品或服務。相對于前兩個階段，該階段實現了技術安全風險的具體化。此時，法律對技術的治理方式從自上而下的監管制度構建，轉向了平等法律主體之間權利義務的確認，故需要明確技術開發者和使用者等相關主體應承擔何種限度的安全保障義務，以確保技術在普遍推廣應用中的合法性。

基于當前ChatGPT 類應用的發展狀況，可知其尚處于“技術概念創新化”階段到“技術應用具體化”階段的過渡時期。換言之，ChatGPT類應用尚未完全“具體化”，更不用說“普遍化”了，故其治理方式不應選擇“重構式規制”，而應選擇合適的治理框架與治理舉措。易言之，一方面關乎推動科學技術的持續發展與創新，另一方面關乎保障人們在數字時代下的合法權益，如何在現行法律制度體系下有效平衡兩者的關系，這不僅是ChatGPT 類應用風險治理的難題，也是數字法治亟須解決的核心問題。

（二）ChatGPT類應用風險的治理路徑：“階段性治理”框架的建構

首先，“階段性治理”框架在整體上應堅持包容審慎原則。ChatGPT類應用的崛起為數字經濟帶來了新的機遇，同時也迫使傳統應用程序進行功能上的升級和轉型。比如，ChatGPT 可以解決傳統搜索引擎搜索廣告過多以及檢索結果質量低下的問題。雖然ChatGPT 類應用會對傳統應用服務如翻譯、搜索和潤色等造成沖擊和挑戰，甚至逐漸取代其應用的市場份額，但這正是由技術革新引發的經濟形態所帶來的正向競爭收益，也是市場正常競爭的一種值得鼓勵的行為。因此在這個過程中，法律應該保持謙抑并扮演激勵性的引導角色[24]。當然，ChatGPT類應用的發展也必須遵循法治的軌道，“技術中立”不應被當作技術濫用的借口，更不能打著技術創新的“幌子”侵害他人的合法權益及社會公共利益。簡言之，應堅持包容審慎的治理原則，以確保將ChatGPT類應用引發的法律風險降至合理限度。需要強調的是，現階段ChatGPT 類應用治理的目標主要在于降低并控制風險，但不阻礙其創新與發展，即法律的角色定位在于提供一個持續創新和公平競爭的環境，并確保技術的合規性與合法性，同時根據技術發展的階段性特征靈活調整其治理方式。

其次，應加強對ChatGPT 類應用機制的階段性合規審查。在AI技術發展的初期階段，技術研發者往往會以技術創新為原則，使得技術能夠快速進入“具體化應用”階段，從而更好地為使用者服務。在這一階段，AI技術的應用場景主要是基于小型數據樣本進行訓練，鑒于其自我學習能力與算力有限，無法主動爬取與分析互聯網上的各種數據信息，故該階段的風險主要來源于使用者（包括前端研發者、運營者等）提供的小型數據樣本是否合規[25]。申言之，此時風險治理的重點應是對使用者的資質及行為的審核，以確保數據的合法獲取和有效管理；而對AI技術本身還是需秉持包容審慎治理的原則，以平衡技術創新和風險控制之間的關系。然而，隨著ChatGPT類應用的問世，AI的訓練數據量不斷增大，模型算法和算力也日益強大，從而導致風險覆蓋的范圍也不斷擴大，涵蓋了模型訓練（準備階段）、應用運行（運行階段）以及人機交互后的模型再訓練（生成階段）；同時由于算法作用過程和決策機制具有隱蔽性與復雜性特征，這些綜合因素所引發的技術合規風險已經不容忽視，故亟須采取一系列措施來應對并控制其風險，否則將導致技術被濫用。具體而言，其一，在模型訓練階段，一方面應加強對數據的質量管理和隱私保護，確保訓練數據的獲取和使用符合相關法律法規，并且避免數據的偏見或歧視；另一方面應積極探索研究如何確保模型訓練的透明度和可解釋性，以便更好地理解模型的決策過程和結果。其二，在應用運行階段，需要健全監管機制和審查程序，保證ChatGPT 類應用系統運行的合規性，并且能夠對其進行持續的監測和評估，這需要借助第三方審查機構或獨立監管機構對其系統的功能和決策進行審核和驗證。其三，在人機交互后的模型再訓練階段，應重視用戶的參與權和知情權。在處理或傳輸用戶數據前，應以明確的方式（如設置“未經許可無法進行數據處理”的標識語等）征得用戶的同意，并保障其數據的安全和隱私不受侵犯，否則需承擔相應的法律責任。

再次，可以充分利用AI標準認證和科技倫理等軟法治理手段，構建一個標準化的AI治理社會化服務體系，以契合“階段性治理”的邏輯[26]。在AI標準認證方面，我國在《國家標準化發展綱要》中已提出，標準化在推進國家治理體系和治理能力現代化中發揮著基礎性、引領性作用⑩。AI 標準認證是推動AI技術發展和治理的重要手段，其主要包括技術標準和治理倫理標準。具體而言，技術標準是AI標準認證的核心組成部分之一，通過制定科學的技術標準，可以確保AI 系統在各個方面的性能和安全性。技術標準可以涉及AI算法的設計和開發、數據的處理和使用、運行系統的可靠性和穩定性等階段。例如，針對ChatGPT類應用算法，可以制定對其可解釋性、公正性、可問責性等方面的評估標準，以及對數據的隱私、安全性等方面的要求。同時，治理倫理標準在AI 標準認證中的作用也同樣重要。在AI技術發展的過程中，AI系統的應用會涉及一些敏感問題，如個人隱私的保護、公正性和歧視性等問題，通過制定治理倫理標準，可以確保ChatGPT類應用符合人類價值觀和法律法規的要求，同時有效控制其潛在風險。當然，為了評估AI系統的可信性和合規性，建立市場化的AI治理社會化服務體系也是必要的。通過授權第三方機構，采取認證、檢測、評估等方式，并依據技術標準和治理倫理標準，對ChatGPT類應用進行系統性評估與審查。英國是構建AI 治理社會化服務體系的典范，其在2021 年12月發布的《建立有效人工智能認證生態系統的路線圖》中提出，希望在未來5 年培育一個世界領先、規模龐大的AI認證行業。美國政府也計劃通過第三方平臺讓用戶（包括使用者、AI 專家等）對OpenAI等公司的AI模型進行評估，以探索ChatGPT類應用如何遵循AI 相關標準[27]。鑒于我國目前在AI 產業領域與英美等國處于激烈競爭的階段，亟須加快構建AI 治理社會化服務體系，發揮下游AI 標準認證的優勢，以更好地承接與貫徹上游的立法和監管要求。而在科技倫理治理方面，我國2022年3月出臺的《關于加強科技倫理治理的意見》也提出，需要明確創新主體的科技倫理管理責任，包括開展科技倫理風險監測預警、評估、審查等活動。ChatGPT類應用不能僅僅依賴事后補救的手段來解決倫理問題，而應積極主動采取多種方式履行科技倫理管理責任，如AI風險管理機制、倫理嵌入代碼設計、AI倫理培訓等。國外主流科技公司在這方面已經積累了一些成功經驗，比如，IBM 公司首席技術人員Christina Montgomery 提出，AI 相關企業應當構建內部治理程序，委任一名AI倫理主管負責公司的可信AI 戰略，同時創建AI 倫理委員會或類似職能部門，以統籌協調機構落實該戰略；IBM 認為，倘若AI 企業不積極主動公開并貫徹自己的原則，那么將在市場上無法立足。

最后，可以建立“監管沙盒”以預防ChatGPT 類應用的“階段性”風險。監管沙盒是英國為促進金融科技監管提出的一種監管模式，旨在實現金融科技企業的創新與監管的有機統一[28]。引入該模式是為了給ChatGPT 類應用企業提供一個測試環境，以便評估技術創新對社會與公民利益的影響。從監管機構的角度來看，監管沙盒具備諸多優勢：一方面，它使得監管機構能夠更全面地評估技術運行風險，這對于制定有針對性的監管政策和規定至關重要。通過在監管沙盒中進行試驗和模擬，監管機構可以更好地理解企業的創新實踐，從而為其監管過程提供有價值的信息。另一方面，監管沙盒有助于提升監管效率。相比傳統的監管方式，監管沙盒能夠更快地響應市場上的變化和創新，有助于降低審批流程的時間成本，從而提高監管的效力和敏捷性。對于企業來說，監管沙盒也存在諸多益處：其一，它可以協助企業縮短獲得監管批準的審批流程。在傳統監管模式下，企業需要經歷煩瑣的審批程序才能將其技術創新應用于市場；然而，在監管沙盒中，企業可以通過與監管機構合作，根據具體的監管要求進行測試和驗證，從而加快創新產品的上線速度。其二，監管沙盒有助于企業與監管機構建立有效的溝通機制。通過監管沙盒，企業可以與監管機構分享其技術創新的細節和數據，共同探討并解決可能出現的問題和隱患，從而建立一種協同合作的關系。對于ChatGPT 類應用的用戶而言，監管沙盒意味著可以更好地保障隱私與數據安全等合法權益。在ChatGPT 類應用產品上線之前，企業必須在監管沙盒中進行多次測試和驗證，以確保產品滿足相關的隱私保護和數據安全標準。概言之，建立監管沙盒，有利于監管機構、企業和用戶共同推動AI技術的可持續發展，并在保護公民權益的同時提升市場效率和整體社會福利。

五、結語

數字技術的理論創新已經超乎人們的想象，科技概念的創設也不再只是空想，而是對技術發展方向的前瞻。技術創新迭代周期不斷縮短，這一趨勢帶來了技術風險類型的不斷變化。但法律的權威性來自其穩定性和確定性，故僅僅根據技術風險就推斷需要對技術進行特別治理，容易陷入技術與法律僅能是“一一對應”關系的治理誤區。法律與技術之間并不是純粹的治理與被治理的關系，而是相輔相成、相互需要的關系。技術在不同發展階段存在不同的治理需求，可能是鼓勵創新、控制風險、限制應用，或是對現有法律進行解釋等。在ChatGPT等AI應用領域，采取“重構式規制”并不是其風險治理的契合之策，這種立法邏輯只會導致不斷對“新興”風險進行專門立法，難以跟上科技創新的步伐，而是應基于技術發展的階段性特征，積極引導企業和個人在使用AI 技術及其產品時采取合法且合理的方式。同時，在數字時代只是依靠技術更新、漏洞修補等傳統方式很難真正預防和化解技術風險，需要轉向更為綜合的“階段性治理”框架，該框架應涵蓋包容審慎原則、“階段性”合規審查、軟法治理手段、監管沙盒等方面內容，并進行全面的風險評估，以預防并控制相關技術風險，進而加快我國產業的數字化轉型。

注釋：

①OpenAI遵守嚴格的數據隱私政策，承諾保護用戶數據不被濫用或禁止未經授權的訪問。OpenAI的隱私政策明確規定了收集、使用和保護用戶數據的方式，并承諾不會出售、共享或透露用戶數據。參見https：//www.163.com/dy/article/I3E1NRL D0556383F.html，2023年8月10日訪問。

②OpenAI 如何確保用戶隱私和數據安全？在用戶控制和選擇上，OpenAI尊重用戶對自己數據的控制權和選擇權。用戶可以隨時訪問、更正或刪除他們的個人信息。同時，OpenAI也會讓用戶選擇是否接收特定類型的通信或推廣信息。參見https：//www.leixue.com/ask/how-openai-ensures-u ser-privacy-and-data-security，2023 年8 月11 日訪問。

③《數據安全法》第十一條：“國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。”

④歐盟《通用數據保護條例》（GDPR）實務指引（全文版）規定，根據DPA第33、34條，數據控制者必須向數據主體提供一定的關于數據處理的最低限度的信息。被提供的信息應足以保證數據主體能夠作出充分知情的選擇。信息提供必須使用數據主體能夠理解的語言，復雜的法律術語是不合適的。參見http：//rank.chinaz.comwww.xiia.org.cn/xwzx/gjzx/202109/t20210917_5351.htm，2023 年8月10日訪問。

⑤2023年4月10日，美國參議院三位民主黨議員提出《算法責任法案》（Algorithmic Accountability Act of 2019），該法案將授權聯邦貿易委員會（FTC）審查面向消費者的自動決策系統的使用，以識別偏見、隱私和安全風險。參見https：//www.1987web.com/？id=26554，2023 年8 月10 日訪問。

⑥決策樹（decisiontree）一般都是自上而下地生成的。每個決策或事件（即自然狀態）都可能引出兩個或多個事件，導致不同的結果，把這種決策分支畫成圖形很像一棵樹的枝干，故稱決策樹。邏輯（logistic）回歸則主要用于預測，如收集了若干人的健康記錄，包括其年齡、性別、家庭病史等變量的數據，因變量為得了癌癥（Y=1），沒有得癌癥（Y=0），通過訓練得出得癌癥和沒得癌癥的概率擬合公式。參見https：//blog.csdn.net/ogghanxi/article/details/38496287，2023年8月10日訪問。

⑦研究人員揭示，GPT-4比GPT-3更容易產生欺騙性信息，根據監管機構NewsGuard 的專家分析，OpenAI 最新的GPT-4 語言模型存在誤導性信息的問題，甚至比其前身GPT-3.5 還要嚴重。NewsGuard 在報告中指出，GPT-4 在受到指令引導下，100%都會回應虛假的新聞故事，這一發現讓人不安。參見https：//new.qq.com/rain/a/202303 24A005WA00，2023年8月11日訪問。

⑧據今日美國報網站2023 年5 月3 日的報道，在美國總統拜登上周宣布競選連任后，共和黨全國委員會立即發布了一則攻擊他的廣告，包括金融市場崩潰和移民從邊境擁入等畫面。這個時長30秒的短片炫耀地附上一條免責聲明：“本片完全由人工智能（AI）圖形工具生成。”專家說，這則廣告預示了2024 年的美國總統選舉情形。參見https：//baijiahao.baidu.com/s？id=1765130887615 176484&wfr=spider&for=pc，2023年8月11日訪問。

⑨2023 年4 月14 日，歐洲數據保護委員會（EDPB）宣布，它已成立一個ChatGPT 特別工作組，幫助各國應對ChatGPT帶來的風險。EDPB是歐盟內部的一個獨立機構，其目的是確保歐盟《通用數據保護條例》的一致應用，并促進歐盟數據保護機構之間的合作。參見https：//baijiahao.baidu.com/s？id=1763143038317437176&wfr=spider&fo r=pc，2023年8月11日訪問。

⑩參見中共中央、國務院印發的《國家標準化發展綱要》，《國務院公報》2021 年第30 號，https：//www.gov.cn/gongbao/content/2021/content_5647347.htm？eq id=f01b6dba0002a21000000006645af59d&eqid=8e 87dbad0018386a00000003647b2d99，2023 年8 月10日訪問。