【名家视角】王秀梅、张雪：涉人工智能犯罪的刑事责任与处罚

刑法规制的对象是人的行为。目前刑法能否以及在多大程度上适用于人工智能实施的犯罪尚缺乏明确性。应否承认人工智能刑事责任的主体资格?人工智能实施的行为能否归责于与之相关的研发者、设计者、销售者或使用者?刑法对这些问题没有作出明确规定。本文将在厘清人工智能概念的基础上,讨论人工智能的刑事主体资格,剖析涉人工智能犯罪的刑事责任及定罪处罚问题。

一、人工智能是模拟、扩展人的智能的技术

我国刑法并未定义人工智能,学界对该术语也没有统一认识。现有的定义和讨论大多建立在以人为本或人类中心主义的价值观基础上,体现人工智能的工具价值和“有益智能”理念。

在规范层面,人工智能的明确定义分散于政府规章和规范性文件中。比如,中国电子技术标准化研究院编写的《人工智能标准化白皮书(2018版)》将人工智能定义为:“利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。”2022年广东省深圳市人大常委会《深圳经济特区人工智能产业促进条例》第2条将人工智能定义为:“利用计算机或者其控制的设备,通过感知环境、获取知识、推导演绎等方法,对人类智能的模拟、延伸或者扩展。”

学界也从不同角度诠释了人工智能的概念。有学者通过分别界定“人工”与“智能”来定义“人工智能”。人工表示由人类创制的机器抑或人类研发的程序系统,智能表示模拟人类大脑能动性的智慧与思维,也即“智慧机器”。有观点则进一步认为,仅智能这一部分的认定就至少需要沟通交流能力、内部知识、外部知识、目标驱动行为和创造能力这5个基本构成要素。此种定义模式的问题在于从法律层面分别界定人工和智能本身就存在困难。就人工一词而言,设想超级智能机器人A通过深入学习功能复制出另一个智能机器人B,那么B是否属于人工智能?另外,对智能的界定更难把握。当下主流观点认为,人类是唯一拥有智慧的生物。但是,“目标驱动”“创造力”这些用来界定智能的要素似乎影射人工智能具有自由意志,而刑法并未认可人工智能的责任主体地位,人工智能是否具有“自由意志”在学界也未达成共识。

总体来看,无论规范性文件还是学界对人工智能的界定,都凸显人工智能对于人类的工具价值,其存在是为了便利人类生活。原因可能在于,现阶段的人工智能大多属于弱人工智能,至多是强人工智能的初级阶段,其研发、设计和使用都受人类控制或监督。鉴于上述分析,笔者认为,将人工智能定义为模仿人去完成某项任务的技术或模拟、扩展人的智能的技术,既符合以人为本的价值理念,又能避免分别解释人工与智能潜在的困境。

二、涉人工智能犯罪的刑事归责机制

随着人工智能技术的深入发展,学界对未来刑法是否应该赋予人工智能法律人格存在争论。需要指出的是,对弱人工智能,否定其法律主体资格鲜有争议。至于超级人工智能,对其法律主体地位的讨论至多是一种理论上的假设,实现超级人工智能还有很长的路要走。因此,目前关于人工智能主体地位的争议主要是对于强人工智能而言的。

(一)人工智能法律主体地位的必要性及与刑法的兼容性之争

支持人工智能法律人格的观点主要基于两点理由:第一,与人类一样,人工智能通过深入学习功能能够获得自由意志和意识,具有一定程度的自主权,能够基于自己的意志作出独立的决定。第二,既然刑法赋予了单位主体资格,那么承认人工智能体的法律人格也具有可行性,而且,与单位相比,人工智能的自由意志更强。对于第二点理由,有观点认为,法人是生物人的集合,“能够通过‘归入’技术与生物人的行为建立起联系”,而人工智能更接近于动物,两者均不具备规范性认知能力,不具备独立的责任能力,因此没必要赋予人工智能法律主体地位。笔者认为,人工智能的“规范性认知能力”可以通过深入学习功能获得,该条件并非否认其法律人格的充分理由。那么,即便人工智能进化至类似于人(或超越人)的意识和意志,具备刑法规范意义上的“辨认和控制能力”,刑法是否有必要赋予其独立的主体地位?刑法的规制对象是人的行为。如果人工智能仍然受到人类控制,其犯罪行为仍然可以由相关个人(设计者、研发者、销售者或使用者)负责。当人工智能进化至不受人类控制的程度,刑法没必要也不可能规制其违法行为,其危害行为应有更有效的技术手段应对。我国规范性文件,例如国家新一代人工智能治理专业委员会《新一代人工智能伦理规范》《新一代人工智能治理原则——发展负责任的人工智能》都对人工智能系统的“安全可控性”提出要求。人工智能的研发必须具有可控性,即使不承认人工智能的法律主体地位,刑法仍然可以通过追究相关人员的责任实现对涉人工智能犯罪行为的预防与惩处。

(二)故意与过失责任

1.故意责任与“事实认识错误”原则。对涉人工智能犯罪行为进行归责时应考虑以下因素:在人工智能系统的设计、编程、销售或使用过程中相关个人或单位是否存在故意、知情或疏忽等过错,是否能够控制或干预涉案人工智能系统。以行为人利用人工智能实施某种犯罪为例,如果行为人故意利用人工智能犯罪,人工智能被评价为犯罪工具,追究行为人的犯罪责任不存在任何障碍。比较困难的情形是基于深度学习和自主操作功能,人工智能的行为可能会偏离行为人的指令。此时,犯罪故意的内容具有不确定性,可以根据“事实认识错误”原则具体分析。如果人工智能实施的实际行为虽然与行为人认识的事实有所不同,但没有超出同一犯罪构成的范围,按照主流观点,犯罪主体的故意内容允许人工智能系统在实施犯罪行为时有所偏差(具体的事实认识错误)。如果人工智能实施的行为超出了行为人所认识的内容,且超出同一犯罪构成的范围,则需要按照责任要素和刑法所保护的客体等要素具体分析。

2.基于注意(预见)义务和结果回避义务产生的过失责任。人工智能系统的研发者或使用者违反注意义务,致使重大且不合理的风险或危害结果发生的,可能会承担过失刑事责任。需要指出的是,如果行为人不存在任何过错,危害后果是由人工智能基于深入学习功能自主造成的,则适用意外事件条款,阻却刑事责任。在这一点上,有观点认为:“当智能机器人在程序设计和编制范围外实施严重危害社会的行为时,智能机器人具有辨认能力和控制能力,因而具有刑事责任能力,应当独立承担刑事责任。”有观点则通过“人工智能算法自主性的相对性与绝对客体性”以及援引“原因自由行为论”来反驳人工智能的独立责任说。实际上,独立责任观点的逻辑前提在于设想人工智能发展至类人的辨认和控制能力,从而被承认法律主体地位。然而,如前文所述,如果人工智能算法真正发展到脱离人类控制的程度,那将不是包括刑法在内的人类规范体系能够应对的情形。

对于基于注意义务产生的过失责任,有观点认为,人工智能系统的研发者、设计者和销售者与使用者承担的过失责任应有所差别。与后者相比,前者应当承担更多的注意义务。因为人工智能系统投入使用时,使用者仅需遵守已经设定好的程序系统,其注意义务的全部内容在于遵循人工智能系统操作或使用指南。笔者认为,首先需要考虑的不是哪一方应承担更多的过失责任,而是注意的内容和标准,也即承担刑事责任所要求的疏忽大意或过于自信的程度。传统刑法判断注意义务一般采取以主观标准为主,同时参考客观标准的方式,即一般理智正常的人能够预见到的危害结果。但鉴于人工智能行为的不确定性,“理智的正常人”标准很难适用于涉人工智能过失犯罪案件。目前我国缺乏相关立法,也尚未出现涉人工智能过失犯罪案件,对此类案件适用注意义务的标准不得而知。这一法律空白有待未来的立法及司法解释加以明确。另外,选择统一适用于人工智能领域的注意标准,还是对不同行业或技术分别确立不同的注意标准,也是未来刑事立法需要思考的问题。

除了基于注意义务产生的过失责任,刑法总则并未直接规定监督过失责任。然而,刑法分则危害公共安全罪和渎职罪章节实际上包含了监督过失理论。尽管如此,人工智能系统的研发者或使用者不属于刑法分则规定的监督过失罪的法定主体。据此,现行刑法不能追究人工智能研发者、使用者的监督过失责任。考虑到人工智能的风险性,应对人工智能系统的研发者或使用者设定一定的监督义务,研发者和使用者违反监督义务的,将构成监督过失罪。

(三)共犯与间接正犯责任

刑法总则规定的共犯理论可以适用于涉人工智能犯罪,只是由于现行刑法没有赋予人工智能系统独立的法律主体地位,只有与相关个人共同实施犯罪行为才能构成共犯。此种情况下,人工智能系统仅被视为共同犯罪的工具。行为人与人工智能之间成立间接正犯,处罚的依旧是行为人,人工智能不承担刑事责任。传统刑法理论认为只有最终造成侵害的行为才是正犯行为。然而,对于涉人工智能行为人的参与行为,如提供技术帮助的行为,往往是法益侵害的关键行为。对于明知他人利用人工智能系统实施犯罪行为,仍然提供技术支持或帮助,造成严重危害的,应属于需要独立处罚的技术帮助行为,直接按照共犯行为正犯化理论以正犯行为处罚。刑法规定的帮助信息网络犯罪活动罪可以适用于此类犯罪。

刑法规定只有共同故意犯罪才成立共犯,共同过失不以共同犯罪论处,应负刑事责任的,按其各自所犯罪行分别处罚。然而,司法解释和刑法理论并未完全否认共同过失犯罪理论。2000年最高人民法院《关于审理交通肇事刑事案件具体应用法律若干问题的解释》第5条第2款规定:“交通肇事后,单位主管人员、机动车辆所有人、承包人或者乘车人指使肇事人逃逸,致使被害人因得不到救助而死亡的,以交通肇事罪的共犯论处。”在人工智能时代,如果研发者在研发人工智能体时因过失使得人工智能体存在缺陷,而使用者在使用过程中也因过失违反了人工智能体的操作规范的,人工智能体由此造成的危害结果可以由研发者和使用者共同承担过失责任。

三、涉人工智能犯罪的定罪处罚体系及其改革

当下,现有的刑法罪名能够应对大多数涉人工智能犯罪。然而,不可否认的是人工智能的发展冲击了传统刑法体系,传统刑法罪名不足以应对涉人工智能新型犯罪行为。因此,刑法有必要通过立法改革实现自我完善,从而有效应对人工智能带来的刑事风险。

(一)涉人工智能犯罪可适用的罪名体系

与人工智能相关的刑事风险大致可以分为三类。第一类涉及针对人工智能系统本身实施的犯罪。刑法第285条规定的非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪以及第286条规定的破坏计算机信息系统罪可以适用于此类犯罪。在全国首例人工智能犯罪案件中,杨某为李某创立的“快啊答题”平台提供图像识别客户端,该平台运用人工智能机器深度学习方法训练机器,可以自动快速地识别图片验证码,轻松绕过网络服务提供者设置的账户安全登陆保护。杨某与李某明知陈某、张某、林某以及朱某等人开发的软件具有批量识别某账号信息(扫号)的功能,仍开放接入端口,协助软件破解服务器下发的验证码,从而绕过验证码策略,完成验证账号密码的一致性认定问题。陈某、张某、林某以及朱某等人将各自编写的软件接入“快啊答题”平台,供他人使用软件进行批量扫号等违法活动。浙江省绍兴市越城区法院经审理,认定杨某、李某、陈某、张某、林某以及朱某等人构成提供侵入计算机信息系统程序、工具罪。

第二类犯罪是利用人工智能的“智能”技术实施的犯罪。在上述案件中,还存在胡某等人通过网络购买等方式获取大量账号密码形式的数据,随后利用软件进行批量账号密码匹配并出售获利的行为。他们违反国家有关规定,以其他方式非法获取公民个人信息,构成侵犯公民个人信息罪。以侵犯公民个人信息罪定罪处罚的争议点在于账号密码数据是否属于公民个人信息。账号密码数据本身的数字当然不具有个人信息的特性,然而获取了匹配的账号密码数据等同于掌控了账号关联的注册认证信息、好友资料、空间动态、关联财产账户信息等,而上述信息能够直接与特定自然人关联,反映特定自然人的活动情况、财产状况等。因此,违反国家规定,通过购买等方式获取他人账号密码的,属于侵犯公民个人信息的行为。

第三类是人工智能产品缺陷型犯罪,如无人驾驶汽车由于智能系统故障导致的重大责任事故即属于产品缺陷型责任。刑法第140条和第146条分别规定了生产、销售伪劣产品罪和生产、销售不符合安全标准的产品罪,可以用来追究涉人工智能产品缺陷责任。也就是说,如果损害结果是由人工智能系统固有的缺陷或营销过程中的不当指令造成的,可以用该类罪名追究研发者、制造者或销售者的责任。在自动驾驶领域,如果危害结果是由自动驾驶汽车使用人的不当或违法操作造成的,还可适用危险驾驶罪或妨害安全驾驶罪。此归责逻辑的问题在于,生产、销售伪劣或不符合安全标准产品的行为是故意犯罪。如果将自动驾驶汽车违反交通规则导致交通肇事的结果归责于汽车的研发者,就意味着使研发者“承担了原本属于过失犯罪的交通肇事罪转化而来的故意犯罪——生产伪劣产品罪的刑事责任”。为解决这一矛盾,未来刑法修正案有必要对现有的涉人工智能罪名体系进行修订,以符合合法性原则。

(二)涉人工智能罪名体系改革

虽然现有罪名体系能够应对大多数涉人工智能犯罪行为,但传统罪名体系在处理人工智能体犯罪行为时会产生冲突。有观点提出通过对现行刑法中传统的计算机罪名和新型网络罪名解释来扩展适用于人工智能系统,因为人工智能是计算机技术的分支领域。然而,该路径不能有效解决人工智能引发的新的法律问题,例如智能聊天机器人发表的刑法所禁止的言论的定性问题、人工智能假肢引发的故意伤害罪的认定问题等。原因在于刑法规制的是人的行为,而人工智能体在某种程度上代理了人的行为。但人工智能又并非刑法拟制的责任主体,因此,对涉人工智能行为归责时会力有不逮。

对于由人工智能体引发的新的犯罪行为,增设新型罪名不仅是回应司法需求的当务之急,也是罪刑法定原则的基本要求。有观点提出增设滥用人工智能罪和人工智能事故罪,并建议对人工智能事故罪确立严格责任制度。严格责任适用的前提是将数据保护、自主武器系统的有效控制等义务规定在前置法律法规条文中,而后由刑法规定违反上述义务,造成严重危害结果的,人工智能的研发者和使用者承担刑事责任。这种严格责任实际上是一种过错推定责任,是相对的严格责任。相对严格责任并不一定要求被告人主观上没有任何过错,而是不要求控方证明被告人的主观过错。反对者可能会提出我国尚未建立严格责任制度,新增严格责任制度势必会对建立在过错基础上的传统刑法责任体系造成冲击。笔者认为,相对严格责任并没有脱离过错责任体系,只是证明责任进行了转移,即控方无须证明被告人的过错。被告人仍然可以提出无过错抗辩。虑及人工智能潜在的风险性,研发者和使用者对风险具有一定的事前控制能力,使其承担严格责任具有合理性。然而,对于人工智能研发者而言,如果对其设计的人工智能产品适用严格责任,可能会造成刑法体系的不协调,因为刑法确立的传统产品责任属于故意犯罪。对此,在确立相对严格责任时,需要同时改革传统刑法中的产品责任。具体而言,可在生产伪劣产品或不符合安全标准产品犯罪中也确立相对严格责任标准,或对涉人工智能犯罪确立特殊的标准,不必区分研发者主观上的故意或者过失,只要行为人所实施的客观行为符合相关犯罪的构成要件,即可追究行为人的刑事责任。问题在于,这种相对严格责任模式可能会阻碍人工智能技术的发展。因此,涉人工智能刑事立法改革需要考量预防人工智能带来的风险及社会危害与科技创新之间的平衡。

(三)涉人工智能刑罚体系不必重构

无论基于报应刑罚观,还是功利主义刑罚观,或两者兼有的合并论刑罚观,现有的刑罚体系完全可以应对涉人工智能犯罪行为人的行为。对于强(或超级)人工智能犯罪,有观点提出了删除数据、修改程序、永久销毁等专门用于惩处人工智能的刑罚种类。暂且不论这些刑罚种类是否符合以人为基础确立的刑罚观,这些措施本身与其说是刑罚,不如说是技术措施。如前所述,建立在规制人的行为基础上的刑法没有必要确立独立的人工智能法律主体地位,罪名体系的改革也是针对社会出现的新型犯罪作出的适时、局部的调整,并非对刑法体系的全面改革,由此,作为刑法学体系末端的刑罚也没有必要重构。

作者:王秀梅,北京师范大学法学院暨刑事法律科学研究院教授、博士生导师,国际刑法学协会副主席暨中国分会秘书长,G20反腐败追逃追赃研究中心主任,中国廉政法制研究会副会长;张 雪,北京师范大学法学院暨刑事法律科学研究院博士后研究人员。

(本文共四部分,现摘发前三部分,注释及全文见《人民检察》2023年第19期)