回应与超越：生成式人工智能法律规制——以《生成式人工智能服务管理暂行办法》为视角

ChatGPT方兴未艾，Sora横空出世。生成式人工智能因其对社会生产生活诸多领域产生的颠覆性影响，已成为世界各国争相布局的新兴战略行业，但也带来了重大的风险挑战。这既包括技术风险、伦理风险，还包括安全风险、法律风险，需要对治理理念、治理框架、治理规范进行全方位创新。为此，我国国家互联网信息办公室联合国家发展改革委等七部门于2023年7月13日联合公布了《生成式人工智能服务管理暂行办法》（以下简称《办法》），引发社会普遍关注和学界广泛热议。无论是在产业发展层面抑或在法治建设层面，生成式人工智能仍存在诸多争议，需要深入剖析并系统探讨。因此，有关生成式人工智能的法治理论与实践问题依然是法学研究的重大课题。基于此，本文以《办法》等最新人工智能立法为切入点，对生成式人工智能带来的安全风险及监管路径进行探讨，重点研究生成式人工智能法律规制的目标、理念、模式和框架，对生成式人工智能的法治建设问题作出回应，从而为生成式人工智能的健康发展提供理论支持。

一、生成式人工智能带来的风险挑战与立法回应

生成式人工智能研究应坚持问题导向，从社会实践和现实需求出发，找准其治理面临的新的法律真问题。申言之，生成式人工智能可能带来了新的问题，也有可能仅仅凸显了原本已存在的问题；可能带来技术层面或伦理层面的新问题，也可能带来法律层面的新问题。如果法律所调整的社会关系并未发生根本性改变，则现有法律基本框架将仍可适用，反之亦然。因此，应当对生成式人工智能带来的风险和挑战进行分析。

（一）生成式人工智能带来的新风险

从技术革新角度看，“人工智能”概念自从1950年被提出后，大致经历了从专用人工智能（又称“弱人工智能”，Artificial Narrow Intelligence，简称“ANI”，如工业机器人）到生成式人工智能（又称“强人工智能”，Artificial General Intelligence，简称“AGI”，如ChatGPT、Sora）的发展历程，未来可能发展到超人工智能（Artificial Super Intelligence，简称“ASI”）阶段。以大规模生成式语言模型为核心技术的生成式人工智能，为通用人工智能实现任务目标提供了一种可能方法和重要基础，使得人工智能技术范式正逼近通用智能。即以ChatGPT、Sora为代表的生成式人工智能基于其强大的语言理解能力、深度学习能力和内容生成能力，被认为是人工智能领域从感知理解世界到生成创造世界的一次历史性跃迁，成为新的深刻影响经济和社会的生产力工具和创造力引擎，已然使得通用人工智能不再遥不可及、不可想象，正在将人类文明推向技术奇点。

然而，生成式人工智能具有的极强通用性、泛化能力和涌现能力等技术特点决定了其存在包括技术、伦理、安全、法律等诸多风险，由此引发社会各界对生成式人工智能产品（服务）的强烈担忧。对此，学界已有较多论述。我们可以从受害主体角度，将生成式人工智能带来的风险分为个人风险、社会风险和国家风险。个人层面风险主要体现在侵犯自然人人身权利、财产权利、知识产权等方面，譬如泄露个人信息、窃取企业信息、泄露商业秘密等；社会层面风险主要体现在损害公共利益、市场秩序、社会伦理等方面，譬如编造虚假信息、通过算法共谋形成数据垄断、生成蕴含种族偏见歧视内容等；国家层面风险主要体现为危害网络安全、国家安全、意识形态安全等方面，譬如推动形成意识形态霸权、煽动暴力与对立、危害数据主权等。特别是生成式人工智能的技术特点导致其可能会超出创造者的预想和控制，从而产生不符合人类社会利益和价值观的行为。关键还在于生成式人工智能因算法鸿沟、技术鸿沟加剧数字不平等，进而加剧社会不公。实际上，在人工智能领域，目前美国等西方发达国家基于技术优势和资源优势仍占据主导地位，其在数据收集、算法设计和预训练中更多地考虑发达国家文本而忽视发展中国家制度文化，带有西方先天性的立场偏好、思维导向和价值取向，从而必然会对社会主义核心价值观和主流意识形态进行渗透和破坏。

也正是基于对生成式人工智能在信息信任、人类主体性乃至人类文明等方面可能带来的灾难性风险的考虑，一些科学家和非营利性组织呼吁全球暂停训练比ChatGPT-4更强大的人工智能系统。因此，需要全方位评估生成式人工智能已经或可能带来的风险，不断优化人工智能规制顶层设计和法律制度，并有针对性制定规制路径和治理方案。

（二）生成式人工智能治理范式面临的挑战

从内容生成模式变革角度看，人工智能的发展经历了从“专业生产内容”（Professional Generated Content，简称“PGC”）到用户生成内容（User Generated Content，简称“UGC”）再到人工智能生成内容（Artificial Intelligence Generated Content，简称“AIGC”）阶段，实现了从1.0时代到2.0时代的跨越。在人工智能2.0时代，人工智能风险的损害方式更隐蔽、损害范围更广泛、损害结果更严重、损害责任认定更模糊，对人的认知方式和认知能力以及既有法治体系和法律秩序带来挑战。更何况，生成式人工智能的风险类型更为复杂多样且充满不确定性，导致传统治理理念、治理模式和治理规则面临严峻挑战，可能陷入困境。

从治理理念层面看，生成式人工智能带来了新的价值判断难题，即治理应侧重于鼓励技术创新，还是侧重于防范潜在风险？人们对待ChatGPT等生成式人工智能的态度和情绪较为复杂，有的持乐观支持态度，赞赏其为工作生活带来的便利；有的持谨慎忧心态度，担心其可能会造成威胁或蕴含风险。生成式人工智能作为新一代人工智能发展范式，催生了诸多新业态、新模式，是一场新的工业革命。本质上，现代经济是知识信息经济，既要推动技术进步、促进产业发展，又要防范风险、维护竞争秩序，从过去的人机二元对立时代迈向人机协同共生时代。

从治理模式层面看，传统人工智能时代应对算法滥用和数据安全等数字经济风险，通常采用回应型治理模式和集中型治理模式。所谓回应型治理模式，又称事后治理模式，是指监管部门基于鼓励技术创新理念对人工智能风险采取适度包容态度，主要对已经发生的风险进行回应的治理模式。所谓集中型治理模式，是指为了解决监督权力分散、应对风险不集中等问题而由国家监管部门统一行使治理权限、采取行业整体监管的治理模式。在生成式人工智能阶段，技术不断迭代更新，风险持续急剧增加，需要秉持更加积极主动的前瞻性治理理念，即采取积极的风险防范主义，从而实现从鼓励技术创新到兼顾风险防范的转变。同时，由于生成式人工智能风险监管涉及多个利益主体，需要改变过分依赖政府的规制模式，由不同部门联动甚至跨境机构协作展开数据监管即进行协同治理，从而有效应对生成式人工智能风险。因此，生成式人工智能给传统人工智能治理提出了法治挑战，从行为规制转向过程规制，从对物的规制转向对数据、算法和算力的规制。

从治理规则层面看，传统人工智能时代通常采用分散立法模式，即通过知识产权、隐私和个人信息保护、反不正当竞争和反垄断、网络安全和国家安全等法律制度进行数据治理和风险防范。然而，这一模式已无法直接有效地适用于生成式人工智能的治理，现有法律规则显示出不适恰性而亟须制度创新。譬如，就目的限制规则和知情同意规则而言，其作为人工智能企业获取个人信息必须遵守的基本准则在现实中存在适用困境，即由于缺乏明确统一的标准，人工智能企业在收集使用个人信息时往往会以切换不同场景的方式来实现对上述限制规则的突破。所以，生成式人工智能带来的新风险必然对传统人工智能法律规则提出严峻挑战。这迫使我们不得不重新审视生成式人工智能时代的风险规制问题。其一，法律关系的主客体是否发生了根本性变化？其二，生成式人工智能引发的风险是否属于新风险及其源头是什么？其三，应当采取何种路径防范生成式人工智能风险以及主要责任主体是谁？其四，法律在防范生成式人工智能风险中有何作用以及建立何种法律框架从而充分回应时代需求。

（三）生成式人工智能的立法回应及其有限性

虽然有学者认为，不能将技术风险程度的变化与技术风险类型的增加予以混淆，以“风险立法论”解决生成式人工智能滥用技术风险难以自证其理，生成式人工智能治理仍应当置于现行立法体系。但更多的学者指出，面对人工智能的技术迭代与风险迭代，迫切需要制度创新，以专门立法规制生成式人工智能，对此诸多国家立法已经作出回应。

欧盟委员会于2021年4月发布了《关于制定人工智能统一规则》立法提案，并经数次讨论后于2022年12月达成提案最终版。2023年6月14日，欧洲议会通过了《人工智能法案（AI Act）》，设置了生成式人工智能专门规制条款，包括禁止实时面部识别、新的透明度要求等。与欧盟注重风险防控与强制性立法不同，美国传统上以发展为主要导向，侧重于对人工智能的软法治理，引导企业和行业自我规制。面对人工智能在个人信息保护和数据安全方面骤增的风险，美国于2022年10月发布了《人工智能权利法案蓝图》，于2023年1月制定了《人工智能风险管理框架》，于2023年4月11日发布了“人工智能问责政策”征求意见稿，就是否需要对ChatGPT等人工智能进行监管征求意见。

相较其他国家，我国在生成式人工智能立法方面似乎已经走在了世界前列。除了《国家安全法》《网络安全法》《反恐怖主义法》《治安管理处罚法》《民法典》《数据安全法》《个人信息保护法》《网络信息内容生态治理规定》《网络音视频信息服务管理规定》《互联网跟帖评论服务管理规定》《互联网信息服务管理办法》《数据出境安全评估办法》《个人信息出境标准合同办法》《互联网信息服务算法推荐管理规定》之外，国家网信办等三部门于2022年11月25日公布了《互联网信息服务深度合成管理规定》，对人工智能内容风险作出了较为全面的规制，《办法》更是对生成式人工智能作出专门规制。可以说，我国生成式人工智能治理基础法律框架体系已经形成。

但整体而言，国内外对生成式人工智能治理仍处于探索阶段，传统人工智能治理主体、治理手段、治理规范均存在诸多不足。譬如，在治理主体方面，为了有利于发挥各部门的专业性从而便于应对生成式人工智能风险的多领域性，目前仍主要采用政府分散监管模式，导致分工不明、职责推诿、效果不佳等问题。又譬如，在治理手段方面，为了保证所谓的监管高效性仍过分依赖传统行政手段，忽视了生成式人工智能治理所涉及的自然人、企业、行业、社会公众、国家等多方利益，对企业自律、行业自治、行政监管、社会监督、专家参与、司法审查等多手段的协作统合重视不够，尚未形成全方位、多层次、复合型的治理框架。再譬如，在治理规范方面，由于生成式人工智能仍处于产业发展初期，诸多法律问题尚未凸显，现有法律规范难免存在粗陋抵牾之局限。虽然《办法》对生成式人工智能的技术发展与治理、服务规范、监督检查和法律责任等方面作出了规定，但依然存在规范不完备、笼统抽象、效力有限等问题。譬如，生成式人工智能改变了传统知识权威性来源，能够将散落的用户数据再次聚集从而形成网络集权，使得平台权力再次走向中心化，对传统反垄断制度带来挑战，《办法》对此显然回应不够。所以，生成式人工智能治理，需要从法律规制层面确定目标和理念。

二、生成式人工智能法律规制的目标与理念

我们既要拥抱生成式人工智能对经济发展带来的变革，勇于把握其所提供的发展机遇，又要面对其对社会治理产生的不良影响，积极应对其所带来的风险挑战。生成式人工智能法律规制要在自由与秩序、效率与公平、安全与发展等价值追求之间保持适度张力。

（一）以发展与安全并重为目标

前已述及，生成式人工智能作为数据、算法和算力共同作用的结果，广泛应用于消费端和产业端，对于鼓励新要素创造、促进产业发展、推动社会治理意义重大。同时，其又蕴含着重大的不确定的技术风险、社会风险、法律风险与伦理风险，引导生成式人工智能向善发展，从而推动技术进步、经济发展和增进人类福祉，是生成式人工智能治理的基本出发点。2019年经济合作与发展组织（OECD）发布的《确定OECD的人工智能发展原则》确立了人工智能发展的五项原则，蕴含着“发展”与“安全”的基本思想。就我国而言，中共中央、国务院于2022年12月2日发布了《关于构建数据基础制度更好发挥数据要素作用的意见》（简称“《数据二十条》”），初步构建了数据基础制度体系；2023年2月27日，中共中央、国务院印发《数字中国建设整体布局规划》，进一步强调“创新”和“安全”的动态平衡关系；《办法》第3条更是直接明确把“发展和安全并重”作为生成式人工智能的治理目标，这是在客观评估生成式人工智能积极作用和消极影响的基础上，适合人工智能技术未来趋势和中国现实国情的合理选择。

但从更广阔的视野看，生成式人工智能作为互联网信息技术发展的新趋势，已经展现了爆炸性和革命性的潜力，成为国家参与国际竞争的关键领域，是国家综合竞争实力的重要因素，“发展”应当成为现阶段生成式人工智能规制的首要目标。固然，生成式人工智能带来诸多风险，甚至会对人的主体性造成严峻挑战，如果不加以规制容易导致技术失控。但作为一种颠覆性技术，生成式人工智能有助于提升市场主体的竞争能力、创新能力以及国家的调控能力和治理能力，在新一轮科技革命浪潮中具有举足轻重的地位。我国生成式人工智能产业发展水平和行业竞争力仍与美国存在不小差距，亟须实施扶持鼓励措施以及创造相对宽松环境。党的二十大报告旗帜鲜明地将人工智能作为新的增长引擎之一，这要求充分发挥我国“集中力量办大事”的举国体制优势，持续投入经济、科技和人才等方面的资源与力量，攻克生成式人工智能核心技术，提高算法算力水平，推动场景有效落地。

因此，将发展与安全作为生成式人工智能法律规制的目标是必然选择。这一双重规制目标要求法律层面既要以技术创新和产业发展全面赋能经济社会发展，又要贯彻总体国家安全观以防范风险，加强数据合规监管，即通过法律和政策指引既促进人工智能技术的创新和产业化应用，又保证生成式人工智能的规范化运行，引导其向有利于人类福祉的方向发展。申言之，法律监管并非越宽松越好，亦非越严格越好，监管过于刚性会抑制技术创新和行业发展，反之亦然。对于当前我国生成式人工智能而言，采取激励式监管更为适宜，应构建审慎的治理框架，在风险可接受的范围和限度内鼓励生成式人工智能的创新和发展。

（二）积极风险防范的理念

具有划时代意义的生成式人工智能必然对生产方式、生产关系、法律制度等产生影响，采取何种治理理念，学界有不同观点，各国也有不同选择。不同国家的人工智能治理理念和治理方法反映各国不同的行业发展水平、法律体系和文化传统，包括欧盟、美国在内的其他地区与国家在人工智能治理方面的法治探索为我国实现生成式人工智能良性治理提供了富有启发性的借鉴。

欧盟确立了生成式人工智能强监管规制理念，重视风险控制。2018年3月，欧洲科学与新技术伦理组织发布的《关于人工智能、机器人与“自主”系统的声明》提出制定共同的、国际公认的人工智能治理伦理和法律框架；同年5月，欧盟出台《通用数据保护条例》，确立了被称为迄今为止最全面的数据隐私标准；同年12月，欧盟委员会高级专家组发布了《可信赖的人工智能伦理准则（草案）》，明确提出人工智能所带来的总体收益要大于风险。2020年，欧盟委员会发布《人工智能白皮书》，提出以“高风险”作为范围限定标准建立一个共同的人工智能欧洲监管框架；同年2月，欧盟和微软、IBM等科技巨头共同签署了《人工智能伦理罗马宣言》，推动建立全球数字经济监管标准，规制人工智能的负面影响。2021年4月，欧盟委员会通过了《人工智能法》提案，对人工智能作出了系统化规制，细化了人工智能四级风险框架，并将生成式人工智能作为“高风险人工智能系统”从而课以较重义务。至此，欧盟人工智能强监管理念已经确立。随着生成式人工智能技术场景的广泛应用，意大利、法国、西班牙等国的数据保护（监管）机构对ChatGPT及Open AI公司收集个人信息和数据处理规则的行为进行调查，并要求欧盟隐私监管机构展开隐私保护水平评估。

美国确立了生成式人工智能轻监管规制理念，重视技术创新。2018年5月，美国通过《2019年国防授权法案》，据此成立了美国国家人工智能安全委员会（NSCAI）和联合人工智能中心（JAIC）进行研究和执行人工智能战略。2019年2月，美国总统特朗普签署行政令《保持美国在人工智能领域的领先地位》，倡议建立可信安全的人工智能开发使用的国家标准和技术标准；同年10月，美国出台《算法问责法案（草案）》对算法作出具体规制，着重要求对“高风险”的自动决策系统进行影响评估。2020年1月，美国先后发布（出台）了《人工智能应用监管指南备忘录（草案）》《2020“国家人工智能计划”法案》《生成人工智能网络安全法案》《数据问责和透明度法2020》，确立了人工智能审慎监管原则，将算法自动化决策纳入监管。2021年1月，美国正式颁布了《2020年国家人工智能倡议法案》以及出台《算法正义和互联网平台透明度法案》和《军用人工智能法案》；同年7月，围绕人工智能治理、数据、表现和监测四个主题，美国发布了《人工智能问责框架》。2022年6月，美国公布了《数据隐私和保护法案（草案）》，旨在联邦层面建立消费者隐私数据保护法律框架；同年10月，美国发布了《人工智能权利法案蓝图》，其作为一个不具有强制性的行动准则，从科技、经济以及军事等方面为美国人工智能发展提供指引。由这些政策文件可以发现，美国为了确保其在人工智能领域的全球领先地位，采取了鼓励创新的自由开放策略和较为宽松的监管理念。

结合我国当前人工智能产业发展现状，应在坚持鼓励生成式人工智能技术创新的同时防范风险，从而确立具有中国特色的人工智能规制理念——积极的风险防范主义，即以系统性、前瞻性思维审视生成式人工智能创新和风险，采取包容审慎、敏捷灵活的监管思路，对技术创新给予更大的包容度和试错空间。正如有学者指出的，安全是相对的而不是绝对的，“零风险”不是生成式人工智能治理的科学目标。当前，生成式人工智能已经成为世界各国在人工智能领域竞争的主阵地。这不仅事关技术主权和数字主权，而且关乎未来产业体系甚至国家综合实力。同时，生成式人工智能具有技术更新迭代快的特点，如果在早期采取严格且僵化的监管要求极可能抑制或阻碍技术的创新和应用。因此，需要秉持“边发展，边治理”的政策立场和包容审慎的监管态度，强力支持市场主体积极参与相关产业布局，从而塑造良好的产业生态。当生成式人工智能技术应用出现负面影响时，坚持问题导向和积极治理，避免出现简单“一刀切”的做法，有针对性地对相关内容进行整治。

总之，“所需追问的不是如何‘规制技术’，而是现有的法律和规制框架应该如何变革”。“先发展再治理”“弱发展强治理”“边发展边治理”是不同的规制理念，对于生成式人工智能所带来的冲击，既要着眼于其在当前已经造成的安全风险并进行合理规制，又要考虑其在未来可能带来的泛化的安全风险，基于积极的风险预防主义，对其在各行各业可能造成的暂不显著的安全风险进行提前预防，从而在最大程度上发挥生成式人工智能的技术效能，减少新兴技术对社会发展造成的负面冲击。在此基础上，选择适合我国的生成式人工智能法律规制进路和模式。

三、生成式人工智能法律规制的进路与模式

在建设科技强国和贯彻总体国家安全观的双重目标下，我们要实现风险防范与科技创新二者之间的动态平衡，建立健全与生成式人工智能时代相适应的法律规制模式，提升风险防控措施的针对性、适应性和有效性。

（一）双层多元化规制模式

生成式人工智能多元化规制模式包含两个层次：一是规范层次，即形成“技术＋伦理＋法律”的综合治理范式；二是主体层次，即形成“企业＋行业协会＋政府＋社会”的协同共治模式。

就规范层次而言，生成式人工智能风险首先是技术风险，理应优先依靠技术手段予以内部优化而非外部法律控制。其逻辑在于，因技术而引起的风险需要从技术入手，即利用有效的技术工具和技术手段等，譬如数字水印技术、数字版权管理技术治理技术问题，从而实现治理的高效性和便捷性，外部政策与法律只有在内部优化无法实现时才予以介入。就生成式人工智能而言，数据库是基础，算法是关键，在数据获取、数据分类、数据管理、算法设计、产品研发和应用等过程中采取数据来源与操作审查、模型效果检验、算法开示与可解释等技术控制以实现数据和算法的安全可靠，矫正算法偏见、防范内容误导（虚假），从而推动技术治理与伦理、监管相融合。科技伦理在生成式人工智能治理中的独特价值早已被社会所认知。我国国家新一代人工智能治理专业委员会于2021年9月发布的《新一代人工智能伦理规范》、国家网信办等部门于2021年12月联合发布的《互联网信息服务算法推荐管理规定》、中共中央办公厅和国务院办公厅于2022年3月印发的《关于加强科技伦理治理的意见》、科技部等十部门于2023年10月联合印发的《科技伦理审查办法（试行）》等，都是与生成式人工智能科技伦理相关的文件规定。当然，生成式人工智能时代的科技伦理不能仅以行业伦理规范或职业道德规范为限，更应当与现行法律制度有效衔接，实现道德规范与法律规范的融合。

就主体层次而言，企业在生成式人工智能治理中的重要地位自不待言，当今社会日益重视民主协商在社会治理中的重要作用，行业协会作为市场自治组织的重要代表既熟悉相关企业运作又能与政府保持沟通，还可以制定标准规范，因而在生成式人工智能治理中具有独特作用。所以，企业自律和行业自治是生成式人工智能多元规制的重要组成部分。然而，资本逐利的天性决定了企业自我规制风险面临动力不足的内在障碍，甚至存在形成垄断的发展趋势；行业市场自治模式亦面临手段有限和权威性不足的内在障碍，甚至存在偏袒行业利益之虞。与企业、行业组织以及其他机构相比，政府具备更足充的执法资源和更强的执法能力，应当发挥更大的监管作用。但是，政府作为公共利益的代表者和公共政策的制定者，应当在生成式人工智能风险规制中充当“掌舵者”而非“划桨者”角色。对我国而言，要坚持总体国家安全观，推动在联合国框架内建立国际多边互联网监管机构，通过双边或多边的合作形式与享有共同利益或秉持共同价值体系的国家或地区构建生成式人工智能治理规则。总体国家安全观作为一个内容丰富、开放包容、不断发展的思想体系，强调既重视发展问题又重视安全问题，既重视外部安全又重视内部安全，既重视传统安全又重视非传统安全。在人工智能领域，诸多风险属于各国共同面临的全球性风险，其所带来的挑战属于各国共同面临的治理挑战，需要加强国际合作，推动国际治理规则的构建。

总之，生成式人工智能技术的复杂性、专业性和应用场景的广泛性、多样性以及风险的系统性、迭代性，决定了需要构建企业、政府、用户和消费者、社会公众、媒体等多方参与的多元共治模式。

（二）全生命周期监管机制

国务院印发的《新一代人工智能发展规划》提出了“设计问责和应用监督”并重的双层监管结构，《办法》更是进一步提出“全过程、全要素”监管思路，其核心思想都是从生成式人工智能全生命周期出发，建立全方位全链条全过程监管和分类分级监管机制。

生成式人工智能在研发、应用、维护等不同周期的风险表现不同，监管重点、责任主体和治理手段亦应当有所差别。加之生成式人工智能技术迭代极快，迫切需要分类分级监管和场景化规制。对此，欧盟《人工智能法案》和《数字服务法》以及我国《办法》都有明确规定。从生成式人工智能的生产架构视角看，其呈现“基础模型——专业模型——服务应用”分层业态特征，可纳入各行各业并具有强大赋能性，需要构建分层治理体系和监管规则，适配不同层次的规制策略和规制工具。详言之，在基础模型层，宜以发展为导向，将其作为新型基础设施而采取鼓励创新措施；在专业模型层，宜以审慎包容为理念，对其差异化监管并优化“避风港”规则；在服务应用层，宜以敏捷治理为思路，对其快速反应并建立合理容错制度，从而最终实现从单一场景算法治理转向适应不同治理目标的复合型系统性治理。

难点在于如何确定风险等级。算法是生成式人工智能的核心，算法安全与网络安全、信息安全、数据安全等概念既密切相关又有本质区别，算法往往由于价值缺失、设计缺陷或信任危机而带来严重风险，以算法为核心对生成式人工智能全生命周期进行安全风险评估。在风险等级的标准设定方面，应注意应用场景的风险力与区分规制硬性标准的协同，即应用场景风险程度的高低对应行为规制强度的大小、应用场景的风险情形对应不同层级的接受监管义务。譬如，将涉及犯罪行为、国家安全、社会安全等公共利益方面的风险纳入较高风险等级，履行较重的公法审查义务；将知识产权侵权、信息侵权、隐私侵权等私人利益方面的风险纳入一般风险等级，履行较轻的私法审查义务。生成式人工智能法律规制的整体框架和具体规范就成为绕不开的话题。

四、生成式人工智能的法律规制框架与规范

制度创新与技术创新之间是正相关关系，技术创新推动制度创新，制度创新会进一步推动消费、投资和技术创新。防范生成式人工智能风险，除了采取数据加密、匿名保护、访问控制等安全技术措施，还应当加强制度创新和政府监管，动态构建生成式人工智能法治体系，以法律规制引导高质量人工智能技术创新。

（一）生成式人工智能的法律规制框架

从规制内容视角看，生成式人工智能的法律地位、成果属性、可问责性是生成式人工智能立法应当解决的三个关键问题。从哲学思维模式看，在实体论、关系论和进化论角度，生成式人工智能分别是道德主体、人工主体和超级主体。但在法律层面上，至少现阶段的生成式人工智能仍不具有人格属性，只能是“物”。因而，《办法》把生成式人工智能服务提供者、技术开发者、服务使用者作为规范主体，是较为适宜的。就成果属性而言，存在的问题是人工智能“生成物”能否成为著作权法上的“作品”。生成式人工智能引发了知识革命，以ChatGPT、Sora为代表的人工智能“生成物”具有独特属性，对传统知识产权保护模式提出了挑战。可以说，知识产权风险是生成式人工智能蕴含的主要风险之一，也是《办法》首要防范的法律风险。有学者提出，传统作者中心主义与三步检验法限制了生成式人工智能的发展，应构建适应人工智能的著作权合理使用制度；也有学者提出，应以“独创性表达”这一法律形式作为判断其可版权性及权利归属的关键。整体而言，“工具论”仍是学界通说，即认为生成式人工智能并非人类创作的主体，而仅仅是辅助工具。但生成式人工智能给传统知识产权法律制度带来的颠覆性挑战不可小觑，应基于可解释性原则重塑人工智能成果保护模式，构建全流程知识产权保护体系，在激励作品创作与促进作品传播以及改善公共福祉之间达至平衡。

相对而言，生成式人工智能可问责性问题更为复杂。在“数据驱动、算法控制”下的生成式人工智能法律行为呈现“人机交互、虚实同构”的典型特点，给传统围绕“意思表示”建立的法律行为理论带来了重大挑战。通常而言，侵权行为、主观过错、损害结果以及因果关系是追究侵权法律责任的构成要件，但在生成式人工智能服务法律关系中，这些构成要件的认定异常困难。申言之，生成式人工智能民事责任是否属于侵权责任？即使是侵权责任，具体是一般侵权责任还是特殊侵权责任？造成的损害是财产损害还是人身损害？适用过错责任还是无过错责任抑或推定过错责任？可见，责任承担机制不明是生成式人工智能可问责性的重要难题，甚至生成式人工智能强大的技术能力对犯罪危害结果的表现形式、因果关系判定以及评价标准均带来了颠覆性的改变。当然，也有学者以ChatGPT为例，认为生成式人工智能不具备教唆犯或帮助犯的主体资格，本质上仍可依据刑法进行应对。需要注意的是，在责任主体方面，《办法》与《互联网信息服务深度合成管理规定》的规定并不完全一致，前者将服务提供者界定为内容提供者，后者将服务提供者界定为技术服务提供者，二者应当协调统一。

从规制进路看，生成式人工智能立法主要涉及三个核心问题：一是采用风险立法模式还是体系立法模式？这涉及生成式人工智能的立法理念问题。所谓风险立法，是指生成式人工智能立法以风险治理为导向，侧重于研发者、服务者、使用者的义务性规范。其内在逻辑是将生成式人工智能风险作为新型的专门治理对象，通过预设违法违规行为防范潜在安全风险。所谓体系立法，是指生成式人工智能立法以风险防范和产业保障为双重导向，既要防范生成式人工智能风险又要促进生成式人工智能产业发展。相对而言，体系立法更能适应数字时代对生成式人工智能技术和产业发展的需求。二是采用分散立法还是统一立法模式？这涉及生成式人工智能立法形式问题。所谓分散立法，是指将生成式人工智能纳入知识产权、隐私信息、侵权责任、不正当竞争等传统部门法之中予以规制的立法模式。所谓统一立法，是指通过单独制定《（通用）人工智能法》模式治理生成式人工智能问题。有学者认为，我国现有法律框架属于行政法、民法、刑法等分散治理模式，既未形成周延的法律体系又缺乏统一的治理规则，需要通过整体原则统合分散的治理体系，基于全场景生成式人工智能治理理论形成统一治理原则。有学者则认为，不能将技术创新与新型技术风险相等同，现有立法体系尚未显示出与人工智能技术风险的不匹配性，以新型风险为由主张人工智能特别立法缺乏正当性基础，提出目前人工智能技术应用规范的条款体量、制度架构以及责任认定等尚未具备满足单行法的立法需求，应依托网络法治体系健全人工智能治理规范，在法律实施与技术应用趋于成熟稳定之后，再形成通用型的人工智能技术治理规则。从我国实际来看，《办法》属于生成式人工智能规制单独立法，具有前瞻性，符合人工智能立法趋势。考虑到生成式人工智能风险的复杂多样性，以及我国人工智能产业与美国、欧盟等正处于激烈竞争阶段的情况，应当从法律层面对生成式人工智能产业化布局和体系化治理作出回应，适时出台《（通用）人工智能法》，对调整对象、基本原则、法律主体、权利义务、责任体系等基本问题作出系统规定，实现对生成式人工智能风险的法律源头治理。需要说明的是，单独立法路径并非单纯的防范风险，而应当兼顾产业发展和风险控制。三是采用软法模式还是硬法模式？这涉及生成式人工智能立法内容问题。有学者赞同前种模式，认为法律干预技术创新风险的方式终究有限，软法有助于生成式人工智能技术创新，有助于防范不同业态与场景下的生成式人工智能应用风险，也有学者赞同后种模式。笔者赞同构建软硬法混合规范框架性体系观点。申言之，生成式人工智能治理离不开企业自律与行业自治，也离不开政府监管，软法更能够满足技术发展的自由需求，更能充分利用企业自身资源，并有效发挥行业标准效能；而硬法在确立生成式人工智能风险规制目标、确定治理基本原则、设定规制机关权力职责及其他主体权利义务方面则具有不可替代性。

（二）生成式人工智能的法律基本准则

生成式人工智能治理的法律规则，不仅应当蕴含不同国家、地区以及企业构建的相关原则中的共性内容，而且应当充分考虑中国的实践和国情；不仅应当尊重科技风险治理的客观规律，而且应当彰显社会主义核心价值和中国法治的内在逻辑。生成式人工智能法律规范应当是一个内容庞杂但脉络清晰、逻辑严密的科学体系，其中基本准则即“元规则”至少应当包括以下几方面。

其一是算法可解释规则。算法歧视和算法黑箱客观存在，且目前尚无全局性解释技术方案，局部补充解释工具的可信度亦受到质疑，但算法可解释性是人类对人工智能施加算法控制权的着力点，对于评估模型决策行为、验证决策结果可靠性和安全性具有重要意义。因此，无论是以美国《算法问责法》为代表的系统问责治理路径，还是以欧盟《通用数据保护条例》为代表的个体赋权治理路径，抑或以我国《互联网信息服务算法推荐管理规定》为代表的主体责任治理路径，均着眼于通过算法可解释性要求研发者和服务者履行算法透明义务。应在《办法》基础上，结合生成式人工智能技术发展和应用场景，优化细化算法可解释性规则，强化算法公开义务，提高算法透明度。为此，需要进一步完善披露义务规则。目前，我国《深度合成管理规定》《算法推荐管理规定》《办法》《网络音视频管理规定》等法律法规中都有关于披露的规定，将披露义务主体主要限定于服务提供者，显性披露和隐性披露两种披露方式均包含在内，应进一步扩大披露义务主体，丰富披露方式方法，明确披露豁免范围。

其二是“安全港”规则。传统网络环境下，网络平台与内容生产者角色分工相对清晰，前者主要是技术服务提供者，即承担提供工具角色；后者主要是内容制作、复制、发布者，即承担直接行为人角色。但在生成式人工智能时代，内容的生成不仅涉及使用者，而且涉及服务提供者，要求服务提供者承担内容提供者相关责任的呼声日益高涨，传统二元责任主体划分体系显然已很难适用，“安全港”规则应运而生。“安全港”规则源自美国《通信规范法》第230条和《数字千年版权法》第512条所确立的“避风港”规则。申言之，“避风港”规则作为网络平台侵权责任机制，其目的在于克服版权法严格责任带来的弊端，将网络平台认定为技术服务提供者而不承担内容提供者的法律责任，从而为互联网行业发展提供较为宽松的法律环境。其核心内容在于，网络平台在权利人发出通知时必须提供定位侵权内容的网络链接，并在收到合格侵权通知后采取删除等必要措施。在生成式人工智能场景下，“避风港”规则难以适用：生成的内容并非固定存储于模型内部，算法黑箱导致权利人无法定位侵权内容，服务提供者也很难在技术上删除侵权内容。为此，需要在“避风港”规则基础上创设一种全新机制，此即“安全港”规则。质言之，“安全港”规则是一种免责规则，即生成式人工智能服务提供者在合规路径（采取相应措施）下开展活动时免于追究法律责任，从而推动人工智能技术创新和产业发展。为此，需要进一步明确“安全港”规则的具体内容，特别是免责条件情形。

其三是侵权判断规则。传统著作权人许可并支付报酬模式，程序较为繁琐、成本较高、可操作性差，难以满足生成式人工智能大模型对巨量数据的需求，制约人工智能产业发展。只有让公众接触作品，才能发挥其价值，最终促进文化创作与传播。应进一步扩大著作权合理使用主体范围，将其拓展至商业主体；进一步扩大合理使用行为范围，将其拓展至“复制、改编、广播和信息网络传播”等，便于人工智能企业获取更多训练数据以提升产品竞争力。

其四是“投诉—针对性阻止”规则。在《办法》征求意见稿中，规定了投诉机制并将其与服务提供者采取针对性阻止措施义务挂钩，被认为容易导致投诉机制的滥用进而阻碍生成式人工智能进步。最终，《办法》第15条将投诉机制与针对性阻止措施义务脱钩，保持了与《深度合成管理规定》第12条和《网络信息内容生态治理规定》第16条的一致。应在“安全港”机制基础上进一步完善“投诉—针对性阻止”规则，包括投诉主体、投诉对象、投诉内容、投诉形式等内容。