生成式人工智能服務(wù)提供者的數(shù)據(jù)安全保護(hù)義務(wù)研究

王良順 李 想

(中南財(cái)經(jīng)政法大學(xué) 刑事司法學(xué)院,湖北 武漢 430073)

一、問(wèn)題的提出

科技迭代促使人工智能迅猛發(fā)展,生成式人工智能作為一種新的技術(shù)范式應(yīng)運(yùn)而生。ChatGPT是由Open AI開(kāi)發(fā)的一種大語(yǔ)言文本智能對(duì)話模型,其可以根據(jù)接收到的指令理解和生成文本、圖片、聲音、視頻、代碼等內(nèi)容[1]69。ChatGPT的橫空出世表征人工智能技術(shù)正在發(fā)生快速的升級(jí)革新,這項(xiàng)技術(shù)的進(jìn)一步成熟和落地為元宇宙的普及與應(yīng)用清掃了諸多障礙,將元宇宙的實(shí)現(xiàn)至少提前了10年[2]。然而,以ChatGPT為代表的生成式人工智能在推進(jìn)社會(huì)繁榮的同時(shí),由之觸發(fā)的風(fēng)險(xiǎn)會(huì)接踵而至。2020年3月,中共中央、國(guó)務(wù)院印發(fā)的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》將數(shù)據(jù)要素與土地、勞動(dòng)力、資本、技術(shù)四大傳統(tǒng)生產(chǎn)力要素并列,這表明在我國(guó)數(shù)據(jù)已成為重塑社會(huì)公眾生活、推進(jìn)各經(jīng)濟(jì)實(shí)體創(chuàng)新乃至國(guó)家經(jīng)濟(jì)發(fā)展的重要?jiǎng)恿υ慈?。從生成式人工智能的運(yùn)行機(jī)理來(lái)看,其語(yǔ)料庫(kù)的數(shù)據(jù)獲取、語(yǔ)言模型的訓(xùn)練與最終文本的輸出等各個(gè)環(huán)節(jié)都依賴(lài)于大量的數(shù)據(jù)處理,而大規(guī)模數(shù)據(jù)的流動(dòng)、聚合與分析勢(shì)必蘊(yùn)含巨大的數(shù)據(jù)安全風(fēng)險(xiǎn)[3]107。意大利數(shù)據(jù)保護(hù)局正是因?yàn)镃hatGPT存在極大的數(shù)據(jù)安全風(fēng)險(xiǎn),才宣布封禁ChatGPT的使用[4]456。如果生成式人工智能附隨的數(shù)據(jù)安全問(wèn)題得不到及時(shí)解決,不僅會(huì)危及個(gè)人的人格利益或企業(yè)的經(jīng)濟(jì)利益,而且會(huì)給公共利益與國(guó)家安全造成難以估量的損害。因此,應(yīng)認(rèn)真審視生成式人工智能的數(shù)據(jù)安全問(wèn)題,并構(gòu)建合理的數(shù)據(jù)風(fēng)險(xiǎn)治理模式予以應(yīng)對(duì)。

倘若缺乏明確的責(zé)任主體與義務(wù)約束,貿(mào)然將生成式人工智能大規(guī)模應(yīng)用于公眾的虛擬社交場(chǎng)景,必定會(huì)引發(fā)一系列數(shù)據(jù)安全事件。生成式人工智能責(zé)任論認(rèn)為,生成式人工智能已具有類(lèi)人化的自主意識(shí)和辨認(rèn)控制能力,具備成為法律責(zé)任主體的資格[5]33。事實(shí)上,所謂生成式人工智能的自主意識(shí)和辨認(rèn)控制能力只不過(guò)是算法運(yùn)行的外在表象,它的用戶指定的參數(shù)和它被訓(xùn)練的數(shù)據(jù)最終定義了它的決策和輸出[6]107。由此可見(jiàn),生成式人工智能僅僅是一種工具,其行為射程和效用狀態(tài)仍然要服務(wù)于服務(wù)提供者和使用者的特定利益需求,故最終可能承擔(dān)法律責(zé)任的主體應(yīng)是與之相關(guān)的服務(wù)提供者或使用者。探究生成式人工智能發(fā)生數(shù)據(jù)安全事件的原因,往往是因?yàn)榉?wù)提供者怠于履行數(shù)據(jù)安全保護(hù)職責(zé)所致。例如,近期ChatGPT因?yàn)橐粋€(gè)開(kāi)源庫(kù)中有一個(gè)錯(cuò)誤導(dǎo)致用戶的支付相關(guān)信息意外可見(jiàn),而Open AI公司在安全事件發(fā)生的九小時(shí)后才關(guān)閉服務(wù),致使大量數(shù)據(jù)泄露[7]?；趶脑搭^防范數(shù)據(jù)安全風(fēng)險(xiǎn)的治理邏輯,作為在數(shù)據(jù)安全治理格局中發(fā)揮核心角色的服務(wù)提供者在享有相應(yīng)利益的同時(shí)也應(yīng)承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)。2023年7月頒布的《生成式人工智能服務(wù)管理暫行辦法》(以下簡(jiǎn)稱(chēng)《暫行辦法》)將數(shù)據(jù)安全保護(hù)義務(wù)這一積極義務(wù)施予了生成式人工智能的服務(wù)提供者,自此我國(guó)正式從制度層面確立起“以服務(wù)提供者義務(wù)為中心”的生成式人工智能數(shù)據(jù)安全治理模式(1)數(shù)據(jù)安全保護(hù)義務(wù)是指有關(guān)組織或個(gè)人負(fù)有的采取必要措施,保護(hù)數(shù)據(jù)的安全,從而防止未經(jīng)授權(quán)的訪問(wèn)以及數(shù)據(jù)的泄露、篡改、丟失,并在已經(jīng)或可能發(fā)生數(shù)據(jù)泄露、篡改、丟失時(shí)采取相應(yīng)補(bǔ)救措施的義務(wù)。參見(jiàn)程嘯:《論數(shù)據(jù)安全保護(hù)義務(wù)》,《比較法研究》,2023年第2期,第60—61頁(yè)。《暫行辦法》雖然沒(méi)有明文規(guī)定生成式人工智能的服務(wù)提供者應(yīng)承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù),但依據(jù)《數(shù)據(jù)安全法》第二十七條之規(guī)定,只要實(shí)施數(shù)據(jù)處理活動(dòng),任何組織和個(gè)人均應(yīng)履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù);又根據(jù)《暫行辦法》第七條,服務(wù)提供者是開(kāi)展生成式人工智能數(shù)據(jù)預(yù)訓(xùn)練、優(yōu)化訓(xùn)練等數(shù)據(jù)處理活動(dòng)的主體,因而讓生成式人工智能的服務(wù)提供者承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)具有實(shí)定法依據(jù)。。作為生成式人工智能數(shù)據(jù)安全保護(hù)的義務(wù)主體,如果服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù),理應(yīng)承擔(dān)包括刑事責(zé)任在內(nèi)的法律責(zé)任。然而,生成式人工智能的服務(wù)提供者承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)的理?yè)?jù)何在,服務(wù)提供者的數(shù)據(jù)安全保護(hù)義務(wù)包括哪些事項(xiàng),以及服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任又該如何配置,這些關(guān)鍵問(wèn)題《暫行辦法》都未進(jìn)行明釋。因此,亟須從理論上明確生成式人工智能服務(wù)提供者的數(shù)據(jù)安全保護(hù)義務(wù)及其法律責(zé)任。但是,目前學(xué)界大多是在討論生成式人工智能的技術(shù)風(fēng)險(xiǎn)時(shí)附帶性提及數(shù)據(jù)安全問(wèn)題,對(duì)生成式人工智能數(shù)據(jù)安全問(wèn)題的專(zhuān)門(mén)性研究略顯薄弱,特別是基于積極義務(wù)視角探討生成式人工智能數(shù)據(jù)安全風(fēng)險(xiǎn)的治理策略的理論研究幾乎處于空白。鑒于此,筆者擬以《暫行辦法》為指引,結(jié)合《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等法律的相關(guān)規(guī)定對(duì)前述問(wèn)題展開(kāi)分析,以期彌補(bǔ)理論缺憾與對(duì)司法實(shí)務(wù)有所裨益。

二、服務(wù)提供者承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)的正當(dāng)性基礎(chǔ)

義務(wù)制度構(gòu)建的前提在于找準(zhǔn)角色定位,《暫行辦法》的相關(guān)規(guī)定為生成式人工智能服務(wù)提供者承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)提供了規(guī)范依據(jù)支持。理由是將人的行為與規(guī)則聯(lián)系起來(lái)的最佳紐帶,如果某個(gè)法律規(guī)范系統(tǒng)缺少理由來(lái)支持或證成自身行動(dòng),它就連被考慮的資格都沒(méi)有[8]48。因此,服務(wù)提供者承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)的正當(dāng)性基礎(chǔ)是什么,仍待進(jìn)一步探究。

(一)服務(wù)提供者處于數(shù)據(jù)控制者的角色地位

海量的高質(zhì)量語(yǔ)料基礎(chǔ)是生成式人工智能技術(shù)突破的關(guān)鍵,而服務(wù)提供者是生成式人工智能語(yǔ)料庫(kù)數(shù)據(jù)來(lái)源篩選與控制的主體。ChatGPT的語(yǔ)料體系由預(yù)訓(xùn)練語(yǔ)料集和微調(diào)語(yǔ)料集組成,其中預(yù)訓(xùn)練語(yǔ)料集主要來(lái)源于Common Crawl數(shù)據(jù)集、英文維基百科數(shù)據(jù)、WebText語(yǔ)料庫(kù)、Reddit鏈接、書(shū)籍、報(bào)紙雜志等。微調(diào)語(yǔ)料集包括代碼微調(diào)語(yǔ)料和對(duì)話微調(diào)語(yǔ)料。前者由多種編程語(yǔ)言撰寫(xiě)的代碼、代碼中的注釋和說(shuō)明文件構(gòu)成,后者則囊括了生成、問(wèn)答和聊天等超過(guò)九種類(lèi)型的標(biāo)注數(shù)據(jù)[9]8。依據(jù)數(shù)據(jù)的來(lái)源,可以大致將數(shù)據(jù)分為公有領(lǐng)域的數(shù)據(jù)、獲得個(gè)人授權(quán)的數(shù)據(jù)與未經(jīng)個(gè)人授權(quán)的數(shù)據(jù)。對(duì)于不承載個(gè)人信息權(quán)益與不影響公共安全、國(guó)家安全的公有數(shù)據(jù),服務(wù)提供者可以不受限制地使用和加工。但這類(lèi)數(shù)據(jù)未必都是準(zhǔn)確、真實(shí)的數(shù)據(jù),在納入語(yǔ)料庫(kù)時(shí),服務(wù)提供者應(yīng)進(jìn)行嚴(yán)格甄別。服務(wù)提供者處理獲得個(gè)人授權(quán)的數(shù)據(jù)的正當(dāng)性根據(jù)來(lái)自合同約定,在處理過(guò)程中應(yīng)推動(dòng)個(gè)人信息的匿名化處理,保障個(gè)人數(shù)據(jù)的信息安全和個(gè)人隱私。如果服務(wù)提供者利用網(wǎng)絡(luò)爬蟲(chóng)技術(shù)爬取個(gè)人數(shù)據(jù)而未經(jīng)個(gè)人授權(quán),由于這類(lèi)數(shù)據(jù)作為初始數(shù)據(jù)本身就已經(jīng)構(gòu)成侵權(quán),服務(wù)提供者再對(duì)其進(jìn)行加工并訓(xùn)練數(shù)據(jù)語(yǔ)料庫(kù)模型的行為就處于非法獲取的延長(zhǎng)線上。由此可見(jiàn),除生成式人工智能服務(wù)提供者之外的其他主體并無(wú)任何權(quán)限控制數(shù)據(jù)的來(lái)源,僅服務(wù)提供者有權(quán)決定哪些數(shù)據(jù)可以納入語(yǔ)料庫(kù)。這種特殊的優(yōu)勢(shì)地位要求服務(wù)提供者對(duì)于語(yǔ)料庫(kù)的數(shù)據(jù)不能局限于被動(dòng)的事后管理,也要事前積極審查數(shù)據(jù)來(lái)源的合法性與真實(shí)性,當(dāng)生成式人工智能的數(shù)據(jù)來(lái)源出現(xiàn)合法性與真實(shí)性偏差時(shí),作為控制數(shù)據(jù)來(lái)源主體的服務(wù)提供者就應(yīng)對(duì)此負(fù)責(zé)。

算法是生成式人工智能得以開(kāi)展海量數(shù)據(jù)訓(xùn)練的基礎(chǔ),而服務(wù)提供者是生成式人工智能算法設(shè)計(jì)或部署的主體。以ChatGPT為代表的生成式人工智能是一種由生成式預(yù)訓(xùn)練和算法語(yǔ)言轉(zhuǎn)換相結(jié)合的內(nèi)容生成式人工智能,其工作的基本原理是:預(yù)先對(duì)既有的文本語(yǔ)料進(jìn)行自主學(xué)習(xí)訓(xùn)練,然后通過(guò)Transformer模型構(gòu)建與人類(lèi)表達(dá)方式和邏輯高度類(lèi)似的語(yǔ)言算法模型,從而在特定場(chǎng)景根據(jù)服務(wù)使用者的指令輸出高質(zhì)量的結(jié)果[10]52。算法作為ChatGPT等生成式人工智能運(yùn)行的底層邏輯,具有極強(qiáng)的專(zhuān)業(yè)性,使得非專(zhuān)業(yè)人士無(wú)法掌握或理解算法的運(yùn)行和決策原理,很容易在專(zhuān)業(yè)人士與非專(zhuān)業(yè)人士之間形成技術(shù)鴻溝。專(zhuān)業(yè)人士可以借助諸如逆向工程等技術(shù)方法觸摸到算法的底層邏輯,并通過(guò)機(jī)械可解釋性方法以可視化、可交互的形式顯示其成果[11]。服務(wù)提供者作為生成式人工智能的算法設(shè)計(jì)者、部署者,相比于服務(wù)使用者或者其他主體具有更加明顯的專(zhuān)業(yè)技術(shù)優(yōu)勢(shì),實(shí)際上直接控制支配了用戶所能接收到的數(shù)據(jù)范圍和內(nèi)容,具有極強(qiáng)的數(shù)據(jù)安全保護(hù)能力,能夠從源頭上更為便捷地化解生成式人工智能的數(shù)據(jù)安全風(fēng)險(xiǎn)。這迫使政府不得不轉(zhuǎn)變角色,以立法形式構(gòu)建起一套“以服務(wù)提供者義務(wù)為中心”的生成式人工智能數(shù)據(jù)安全治理模式,即通過(guò)施予作為數(shù)據(jù)實(shí)際控制者的服務(wù)提供者以相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù),確保生成式人工智能的語(yǔ)料體系始終處于有效保護(hù)與合法利用的狀態(tài)。

(二)服務(wù)提供者需要履行數(shù)據(jù)財(cái)產(chǎn)權(quán)的社會(huì)義務(wù)

隨著信息時(shí)代的到來(lái)與數(shù)字經(jīng)濟(jì)的勃興,我國(guó)在國(guó)家政策層面和立法層面都存在數(shù)據(jù)確權(quán)的需求。自從2020年3月數(shù)據(jù)成為一種新型生產(chǎn)要素后,同年5月公布的《民法典》第一百二十七條便將數(shù)據(jù)原則性地規(guī)定為一項(xiàng)新興的財(cái)產(chǎn)權(quán)客體,但具體法律規(guī)則闕如而使得數(shù)據(jù)財(cái)產(chǎn)利益仍處于權(quán)利化的進(jìn)程中。為推動(dòng)數(shù)據(jù)基礎(chǔ)制度建設(shè)和充分釋放數(shù)據(jù)要素價(jià)值,中共中央、國(guó)務(wù)院于2022年12月印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度 更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(以下稱(chēng)“數(shù)據(jù)二十條”),明確提出“建立數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營(yíng)權(quán)等分置的產(chǎn)權(quán)運(yùn)行機(jī)制”。這一政策性文件的出臺(tái)標(biāo)志著我國(guó)正式確立了“三權(quán)分置”數(shù)據(jù)產(chǎn)權(quán)制度框架。然而,在解讀“數(shù)據(jù)二十條”的過(guò)程中,學(xué)界形成了兩種截然相反的立場(chǎng):反對(duì)數(shù)據(jù)確權(quán)與主張確立數(shù)據(jù)產(chǎn)權(quán)是一項(xiàng)新型財(cái)產(chǎn)權(quán)[12]1。筆者采取數(shù)據(jù)確權(quán)肯定論的立場(chǎng),即數(shù)據(jù)之上直接承載的權(quán)益主要體現(xiàn)為一種財(cái)產(chǎn)權(quán)益。

《數(shù)據(jù)安全法》第三條將數(shù)據(jù)與信息區(qū)分為兩個(gè)不同的事物,借用康德的概念體系,信息沒(méi)有被記錄前是一種不可知的“自在之物”,而以電子或者其他方式記錄的信息則是一種感性直觀的“現(xiàn)象之物”[13]47-48。在作出以上區(qū)分之后,可以推斷,以零碎化形態(tài)存在并被人們所捕獲的信息不符合數(shù)字化利用的需要,信息的數(shù)據(jù)化是信息在大數(shù)據(jù)時(shí)代成為可用之物的關(guān)鍵。洛克的勞動(dòng)財(cái)產(chǎn)權(quán)理論認(rèn)為,要使某個(gè)事物擺脫自然屬性而變成專(zhuān)屬于他個(gè)人的財(cái)產(chǎn),他就應(yīng)在這個(gè)事物中摻進(jìn)自己的勞動(dòng)[14]123。在數(shù)據(jù)處理活動(dòng)中,數(shù)據(jù)處理者需要長(zhǎng)期辛勤勞作和付出巨大成本以將彌散在社會(huì)中的原始信息不斷地轉(zhuǎn)化為數(shù)據(jù),同時(shí)要在保障數(shù)據(jù)安全、提升數(shù)據(jù)質(zhì)量等方面持續(xù)投入大量資源。數(shù)據(jù)處理者在獲取原始信息后所實(shí)施的一系列對(duì)數(shù)據(jù)的存儲(chǔ)、保管和清洗加工等勞動(dòng)行為改變了原始信息的自然狀態(tài),使蘊(yùn)藏在原始信息中的財(cái)產(chǎn)價(jià)值不斷凝聚。一如洛克的勞動(dòng)財(cái)產(chǎn)權(quán)理論,沒(méi)有以電子或者其他方式記錄的信息以非數(shù)據(jù)形式存在,屬于自然狀態(tài)下的消極共有物(即便不屬于自然狀態(tài)下的消極共有物,但至少不能視為服務(wù)提供者的個(gè)人財(cái)產(chǎn));服務(wù)提供者利用生成式人工智能而實(shí)施的數(shù)據(jù)處理行為將信息數(shù)據(jù)化可被算法利用,應(yīng)歸類(lèi)為洛克眼中的勞動(dòng)行為,其通過(guò)對(duì)原始信息附加自己的勞動(dòng)而獲得了相應(yīng)的數(shù)據(jù)財(cái)產(chǎn)權(quán)。

服務(wù)提供者對(duì)生成式人工智能語(yǔ)料庫(kù)中的數(shù)據(jù)享有數(shù)據(jù)財(cái)產(chǎn)權(quán),同時(shí)要負(fù)擔(dān)與這種私人財(cái)產(chǎn)性權(quán)利相對(duì)應(yīng)的社會(huì)義務(wù)。古典自由主義的“財(cái)產(chǎn)權(quán)絕對(duì)”觀念,是近代以來(lái)法律保護(hù)財(cái)產(chǎn)權(quán)的思想基礎(chǔ)。例如,在最具典型性的偉大啟蒙思想家洛克看來(lái),“只要他確定了對(duì)財(cái)產(chǎn)的所有權(quán),就沒(méi)有人能夠從他手中奪走對(duì)土地的所有權(quán)”[14]127。但是,讓財(cái)產(chǎn)權(quán)走向完全的自由張揚(yáng)反而會(huì)與社會(huì)形成對(duì)立而最終導(dǎo)致財(cái)產(chǎn)自由的毀滅,故“財(cái)產(chǎn)權(quán)絕對(duì)”觀念引發(fā)了學(xué)界的激烈批駁。例如,“財(cái)產(chǎn)權(quán)絕對(duì)”觀念雖然得到了《德國(guó)民法典》第九百零三條的確認(rèn),但在《德國(guó)民法典》第一草案的討論中,基爾克、門(mén)格等人就指出“此種想法是違反文化的一種荒謬”,會(huì)“損害關(guān)于等級(jí)、傳統(tǒng)及信念和道德上對(duì)家鄉(xiāng)熱愛(ài)的穩(wěn)定”[15]243。受社會(huì)本位主義的沖擊和影響,以保護(hù)私人自由為中心的古典自由主義的財(cái)產(chǎn)法理念開(kāi)始讓位于財(cái)產(chǎn)權(quán)的社會(huì)關(guān)聯(lián)性。法國(guó)《人權(quán)宣言》第十七條規(guī)定“私人財(cái)產(chǎn)神圣不可侵犯,除非當(dāng)合法認(rèn)定的公共需要所顯然必需”,就是“財(cái)產(chǎn)權(quán)負(fù)有社會(huì)義務(wù)”觀念最為生動(dòng)的體現(xiàn)。目前,我國(guó)為了公共利益而讓財(cái)產(chǎn)權(quán)人承擔(dān)社會(huì)義務(wù)的立法例已不勝枚舉。例如,土地是人類(lèi)生存不可或缺的資源,具有易破壞性和不易回復(fù)性等特質(zhì),所以《土地管理法》第十條規(guī)定享有土地利益的使用者有保護(hù)、管理和合理利用土地的義務(wù),而不能在土地遭受破壞時(shí)袖手旁觀。在百年未有之大變局和信息革命的雙重影響下,數(shù)據(jù)已成為我國(guó)的國(guó)家基礎(chǔ)性戰(zhàn)略資源和新型生產(chǎn)要素,數(shù)據(jù)安全不僅關(guān)系到我國(guó)經(jīng)濟(jì)高質(zhì)量發(fā)展和國(guó)家社會(huì)安全,而且在很大程度上會(huì)帶來(lái)國(guó)際格局的變化。在此背景下,《暫行辦法》要求享有數(shù)據(jù)利益的服務(wù)提供者承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù),化解生成式人工智能蘊(yùn)含的數(shù)據(jù)安全風(fēng)險(xiǎn),這種數(shù)據(jù)安全保護(hù)義務(wù)即是在履行數(shù)據(jù)財(cái)產(chǎn)權(quán)的社會(huì)義務(wù)。

(三)服務(wù)提供者處理的數(shù)據(jù)系屬?lài)?guó)家基礎(chǔ)性戰(zhàn)略資源

數(shù)據(jù)往往關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展與社會(huì)公共利益,已經(jīng)成為各國(guó)的基礎(chǔ)性戰(zhàn)略資源。中國(guó)共產(chǎn)黨的第二十次全國(guó)代表大會(huì)報(bào)告明確指出“國(guó)家安全是民族復(fù)興的根基”,并對(duì)國(guó)家安全作了系統(tǒng)性闡述?？傮w國(guó)家安全觀是國(guó)家從治國(guó)理政總體布局的高度強(qiáng)化對(duì)國(guó)家安全的保護(hù),對(duì)于我們認(rèn)識(shí)和處理新時(shí)代變局下的國(guó)家安全問(wèn)題具有重大指導(dǎo)意義,而維護(hù)數(shù)據(jù)安全則是總體國(guó)家安全觀的題中應(yīng)有之義。在總體國(guó)家安全觀方法論這一系統(tǒng)思維的指引下,《數(shù)據(jù)安全法》構(gòu)建了一個(gè)包含數(shù)據(jù)基本要素與數(shù)據(jù)基本子制度的數(shù)據(jù)安全制度模型,以為防范與化解數(shù)據(jù)安全風(fēng)險(xiǎn),強(qiáng)化數(shù)據(jù)資源全生命周期安全提供法律支持[16]31?！稊?shù)據(jù)安全法》第二十一條依據(jù)數(shù)據(jù)對(duì)國(guó)家安全、公共安全影響程度以及出現(xiàn)數(shù)據(jù)安全事件后造成的危害后果,對(duì)數(shù)據(jù)自上而下地劃定了兩個(gè)主要的數(shù)據(jù)類(lèi)型,即重要數(shù)據(jù)和一般數(shù)據(jù)(2)《數(shù)據(jù)安全法》第二十一條出現(xiàn)“核心數(shù)據(jù)”一詞,但整個(gè)《數(shù)據(jù)安全法》僅在此處出現(xiàn)一次。目前學(xué)界存在兩種認(rèn)識(shí)。一是核心數(shù)據(jù)獨(dú)立于重要數(shù)據(jù)之外。參見(jiàn)王玎:《論數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù)》,《當(dāng)代法學(xué)》2023年第2期,第43頁(yè)。二是核心數(shù)據(jù)是重要數(shù)據(jù)中的重要數(shù)據(jù)。參見(jiàn)洪延青:《國(guó)家安全視野中的數(shù)據(jù)分類(lèi)分級(jí)保護(hù)》,《中國(guó)法律評(píng)論》2021年第5期,第75頁(yè)。如果持第一種見(jiàn)解,《數(shù)據(jù)安全法》就應(yīng)對(duì)核心數(shù)據(jù)設(shè)計(jì)相應(yīng)的監(jiān)管規(guī)定,但立法并未如此,因而本文采取第二種觀點(diǎn)。?！爸匾獢?shù)據(jù)”概念雖然是于2016年11月出臺(tái)的《網(wǎng)絡(luò)安全法》首次提出,但直到2017年4月,由國(guó)家互聯(lián)網(wǎng)信息辦公室頒布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》)第十七條才對(duì)此作出界定。盡管2022年7月出臺(tái)的《數(shù)據(jù)出境安全評(píng)估辦法》對(duì)“重要數(shù)據(jù)”的定義與《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》并不完全一致,但兩者均肯定重要數(shù)據(jù)是指那些與公共利益(包括國(guó)家利益與社會(huì)利益)緊密相關(guān)的重要數(shù)據(jù)資源,一旦遭受竊取、泄露或非法利用將會(huì)給公共利益造成重大損失,嚴(yán)重的會(huì)危及國(guó)家安全。又根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》第四條之規(guī)定,如果一般數(shù)據(jù)達(dá)到一定體量,也會(huì)與公共利益產(chǎn)生聯(lián)系。生成式人工智能的技術(shù)框架來(lái)自境外,技術(shù)模型主要是基于西方價(jià)值觀設(shè)計(jì),其所依賴(lài)的技術(shù)底層邏輯也即算法在被設(shè)計(jì)和編寫(xiě)的過(guò)程中帶有先天性的西方價(jià)值偏向[17]6,易受歐美國(guó)家行為體、非國(guó)家行為體的操控?，F(xiàn)代數(shù)字技術(shù)通過(guò)與資本的合流于事實(shí)層面加速推進(jìn)世界由分散向全球化演進(jìn),并在這一過(guò)程中形成了技術(shù)、經(jīng)濟(jì)、政治一體化的復(fù)合型霸權(quán)主義[18]65。這種新型霸權(quán)主義可能會(huì)從與傳統(tǒng)不同的維度影響數(shù)字主權(quán),并通過(guò)數(shù)據(jù)安全的緩慢滲透繼而危及一國(guó)的國(guó)家安全。高度智能化的生成式人工智能可能經(jīng)由強(qiáng)大的數(shù)據(jù)檢索和分析能力,通過(guò)關(guān)鍵詞提示等方式有針對(duì)性地大范圍收集數(shù)據(jù)而生成關(guān)鍵設(shè)施位置、重大政策傾向等國(guó)家重要數(shù)據(jù)。例如,生成式人工智能設(shè)計(jì)國(guó)的政府完全可能借助生成式人工智能技術(shù)有針對(duì)性地收集我國(guó)軍事、金融、能源、電信、港口運(yùn)輸?shù)戎匾I(lǐng)域的重要數(shù)據(jù)。一旦我國(guó)的這些重要數(shù)據(jù)被他國(guó)非法獲取并進(jìn)行算法技術(shù)分析,將會(huì)對(duì)我國(guó)國(guó)家安全、社會(huì)安全造成毀滅性打擊。因此,從控制我國(guó)的數(shù)據(jù)外泄、保障我國(guó)數(shù)據(jù)主權(quán)完整、促進(jìn)我國(guó)經(jīng)濟(jì)繁榮等角度,為服務(wù)提供者設(shè)定數(shù)據(jù)安全保護(hù)義務(wù)具有充分的正當(dāng)性。

三、服務(wù)提供者數(shù)據(jù)安全保護(hù)義務(wù)的類(lèi)型及其內(nèi)容

根據(jù)《暫行辦法》第七條第(五)項(xiàng),服務(wù)提供者所需要履行的數(shù)據(jù)安全保護(hù)義務(wù)的基本內(nèi)容主要由《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》確定。遺憾的是,這些法律規(guī)范對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)定不僅表現(xiàn)出較強(qiáng)的抽象特征(例如,《數(shù)據(jù)安全法》第二十七條規(guī)定應(yīng)采取技術(shù)措施保障數(shù)據(jù)安全,但需要采取什么技術(shù)措施該法并沒(méi)有明確),而且分散于各個(gè)法律規(guī)范中的義務(wù)內(nèi)容還存在一定的交叉與競(jìng)合。因此,有必要將生成式人工智能服務(wù)提供者應(yīng)當(dāng)履行的數(shù)據(jù)安全保護(hù)義務(wù)加以整理并進(jìn)行類(lèi)型化。根據(jù)服務(wù)提供者義務(wù)履行的時(shí)間節(jié)點(diǎn),即是否發(fā)生數(shù)據(jù)安全事件,可以將數(shù)據(jù)安全保護(hù)義務(wù)劃分為技術(shù)安全保障與數(shù)據(jù)風(fēng)險(xiǎn)管理的事前防范義務(wù),以及發(fā)生數(shù)據(jù)安全事件后立即采取處置措施并及時(shí)告知報(bào)告的事后處置義務(wù)。

(一)事前防范義務(wù):技術(shù)安全保障與數(shù)據(jù)風(fēng)險(xiǎn)管理

1.技術(shù)安全保障

生成式人工智能的服務(wù)提供者應(yīng)當(dāng)為數(shù)據(jù)安全提供技術(shù)支持,以有效化解生成式人工智能在數(shù)據(jù)安全保護(hù)方面面臨的困境。技術(shù)措施是指服務(wù)提供者為確保生成式人工智能的數(shù)據(jù)處于安全狀態(tài)所需要采取的各種技術(shù)方法或技術(shù)手段?！稊?shù)據(jù)安全法》的相關(guān)規(guī)定、《網(wǎng)絡(luò)安全法》第二十一條和《個(gè)人信息保護(hù)法》第五十一條都明確規(guī)定保護(hù)數(shù)據(jù)安全應(yīng)當(dāng)采取安全技術(shù)措施,并對(duì)數(shù)據(jù)安全的技術(shù)治理作出制度性擘畫(huà),這為生成式人工智能的數(shù)據(jù)安全保護(hù)提供了規(guī)范依據(jù)。首先,服務(wù)提供者需要對(duì)生成式人工智能的語(yǔ)料庫(kù)采取加密技術(shù)措施?！毒W(wǎng)絡(luò)安全法》第二十一條第(四)項(xiàng)和《個(gè)人信息保護(hù)法》第五十一條第(三)項(xiàng)都明確規(guī)定數(shù)據(jù)處理者對(duì)數(shù)據(jù)應(yīng)當(dāng)采取加密技術(shù)措施。數(shù)據(jù)加密是將可讀取的數(shù)據(jù)以技術(shù)手段轉(zhuǎn)化為不可讀取的密文之過(guò)程,沒(méi)有密鑰便不能訪問(wèn)該數(shù)據(jù),從而確保數(shù)據(jù)安全控制于得到授權(quán)的人員手中,避免他人未經(jīng)授權(quán)訪問(wèn)或?qū)χM(jìn)行非法竊取、篡改等。因此,生成式人工智能的服務(wù)提供者需要通過(guò)加密技術(shù)的運(yùn)用實(shí)現(xiàn)訪問(wèn)控制,確定可以讀取數(shù)據(jù)、修改數(shù)據(jù)的主體。此外,《個(gè)人信息保護(hù)法》第七十三條第(三)項(xiàng)還要求數(shù)據(jù)處理者采取去標(biāo)識(shí)化的技術(shù)措施。從我國(guó)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(2020年第1號(hào))第3.15條的表述邏輯來(lái)看,加密是去標(biāo)識(shí)化的主要技術(shù)手段之一。因而加密與去標(biāo)識(shí)化之間屬于手段和目的的對(duì)應(yīng)關(guān)系,即數(shù)據(jù)加密的目的就是為了去標(biāo)識(shí)化,兩者并不位于同一制度層面。其次,服務(wù)提供者需要對(duì)生成式人工智能的語(yǔ)料庫(kù)采取防范技術(shù)措施。在生成式人工智能進(jìn)行大規(guī)模的數(shù)據(jù)匯集、流通和分析過(guò)程中,語(yǔ)料庫(kù)中存儲(chǔ)的大量數(shù)據(jù)很可能會(huì)受到其他不法行為人的惡意攻擊。例如,不法行為人可以通過(guò)逆向推導(dǎo)生成式人工智能模型的參數(shù)或訓(xùn)練數(shù)據(jù),從而獲取敏感信息或泄露隱私,或者通過(guò)訪問(wèn)生成式人工智能模型的解釋信息來(lái)獲取敏感數(shù)據(jù)[19]24。這些攻擊均可能造成生成式人工智能語(yǔ)料庫(kù)中的數(shù)據(jù)被竊取、刪除和篡改等。所以,服務(wù)提供者需要采取防范技術(shù)措施提高系統(tǒng)免疫力,防止他人侵入生成式人工智能語(yǔ)料庫(kù)中非法獲取、刪除、篡改相應(yīng)的數(shù)據(jù)。最后,服務(wù)提供者需要對(duì)生成式人工智能系統(tǒng)采取監(jiān)測(cè)技術(shù)措施。《數(shù)據(jù)安全法》第二十九條規(guī)定“開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)”?！毒W(wǎng)絡(luò)安全法》第二十一條第(三)項(xiàng)也作出類(lèi)似規(guī)定,要求“采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施”?；诖?服務(wù)提供者應(yīng)當(dāng)對(duì)其提供的生成式人工智能服務(wù)產(chǎn)品采取相應(yīng)的數(shù)據(jù)安全監(jiān)測(cè)技術(shù)措施,以便能夠及時(shí)發(fā)現(xiàn)并處置生成式人工智能可能潛在的數(shù)據(jù)安全風(fēng)險(xiǎn),從而從源頭提前預(yù)防數(shù)據(jù)泄露等數(shù)據(jù)安全事件的發(fā)生。如果服務(wù)提供者通過(guò)監(jiān)測(cè)技術(shù)措施發(fā)現(xiàn)生成式人工智能存在數(shù)據(jù)安全隱患問(wèn)題,其應(yīng)當(dāng)立即采取補(bǔ)救措施防止數(shù)據(jù)發(fā)生泄露或者被竊取、篡改。

2.數(shù)據(jù)風(fēng)險(xiǎn)管理

第一,服務(wù)提供者在開(kāi)展生成式人工智能的預(yù)訓(xùn)練、優(yōu)化訓(xùn)練等訓(xùn)練數(shù)據(jù)處理活動(dòng)前應(yīng)對(duì)數(shù)據(jù)處理影響進(jìn)行評(píng)估。《數(shù)據(jù)安全法》第三十條規(guī)定重要數(shù)據(jù)的處理者應(yīng)對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,這是因?yàn)橹匾獢?shù)據(jù)一旦遭受泄露或被非法獲取、利用,就很可能會(huì)危及國(guó)家安全、公共安全等重要利益。故此,當(dāng)生成式人工智能服務(wù)提供者處理的是重要數(shù)據(jù),應(yīng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估。倘若服務(wù)提供者處理的數(shù)據(jù)包含有個(gè)人信息,符合《個(gè)人信息保護(hù)法》第五十五條規(guī)定的五種特殊情形的,應(yīng)進(jìn)行事前個(gè)人信息保護(hù)影響評(píng)估。然而,對(duì)可能造成什么樣的影響才需要進(jìn)行評(píng)估,法律留下了空白。在此可以根據(jù)影響的對(duì)象與形態(tài)進(jìn)行類(lèi)型化考察:一是有無(wú)對(duì)個(gè)人產(chǎn)生有形的或無(wú)形的影響,前者主要包括個(gè)人的身體權(quán)益損害、經(jīng)濟(jì)損失等,后者主要包括名譽(yù)損害、社會(huì)性歧視等;二是有無(wú)對(duì)社會(huì)產(chǎn)生影響,如惡化營(yíng)商環(huán)境等;三是有無(wú)對(duì)國(guó)家安全產(chǎn)生影響,如危及國(guó)家軍事安全、國(guó)防安全等。《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》規(guī)定的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度雖然在功能與內(nèi)容方面存在不同之處,但是兩者的共同目的均是為了保護(hù)數(shù)據(jù)安全,在數(shù)據(jù)安全事件發(fā)生前消除可能存在或現(xiàn)實(shí)存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。

第二,服務(wù)提供者需要對(duì)存儲(chǔ)于生成式人工智能語(yǔ)料庫(kù)中的數(shù)據(jù)進(jìn)行分類(lèi)管理。《網(wǎng)絡(luò)安全法》第二十一條第(四)項(xiàng)規(guī)定網(wǎng)絡(luò)運(yùn)行者要采取數(shù)據(jù)分類(lèi)措施,且《數(shù)據(jù)安全法》和《個(gè)人信息法》均要求數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng)當(dāng)包括處理的數(shù)據(jù)種類(lèi)。數(shù)據(jù)分類(lèi)是指按照某種標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行歸類(lèi)(如數(shù)據(jù)的重要程度),方便數(shù)據(jù)處理者或者國(guó)家采取對(duì)應(yīng)的保護(hù)措施。之所以要求服務(wù)提供者采取數(shù)據(jù)分類(lèi)措施,是為了與其數(shù)據(jù)處理所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)相適應(yīng)。高風(fēng)險(xiǎn)意味著更重的義務(wù)與責(zé)任,如果服務(wù)提供者從事的是高風(fēng)險(xiǎn)的數(shù)據(jù)處理活動(dòng),則應(yīng)采取更高規(guī)格的安全保護(hù)措施,承擔(dān)更高的注意義務(wù)。例如,對(duì)于重要數(shù)據(jù)和敏感個(gè)人數(shù)據(jù),服務(wù)提供者應(yīng)當(dāng)采取比一般數(shù)據(jù)更強(qiáng)的技術(shù)措施確保生成式人工智能語(yǔ)料庫(kù)中的這類(lèi)數(shù)據(jù)始終處于安全狀態(tài)。服務(wù)提供者通過(guò)對(duì)數(shù)據(jù)進(jìn)行分類(lèi),從而有利于在數(shù)據(jù)全生命周期安全內(nèi)構(gòu)建起輕重有別、重點(diǎn)突出的數(shù)據(jù)安全保護(hù)體系。

第三,服務(wù)提供者需要確定生成式人工智能的數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全管理機(jī)構(gòu)。明確數(shù)據(jù)安全負(fù)責(zé)人(或者個(gè)人信息保護(hù)負(fù)責(zé)人)和管理機(jī)構(gòu)是服務(wù)提供者履行數(shù)據(jù)安全保護(hù)義務(wù)的法定內(nèi)容之一:一方面,如果服務(wù)提供者處理的是重要數(shù)據(jù),根據(jù)《數(shù)據(jù)安全保護(hù)法》第二十七條第二款之規(guī)定,服務(wù)提供者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu);另一方面,服務(wù)提供者處理的數(shù)據(jù)含有個(gè)人信息的,且個(gè)人信息的數(shù)量達(dá)到了國(guó)家網(wǎng)信部門(mén)的有關(guān)規(guī)定,根據(jù)《個(gè)人信息保護(hù)法》第五十二條第一款,服務(wù)提供者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。當(dāng)然,服務(wù)提供者確定的數(shù)據(jù)安全負(fù)責(zé)人和個(gè)人信息保護(hù)負(fù)責(zé)人可以是同一主體。確定數(shù)據(jù)安全負(fù)責(zé)人(或者個(gè)人信息保護(hù)負(fù)責(zé)人)和管理機(jī)構(gòu)的重要意義在于將數(shù)據(jù)安全保護(hù)作為一項(xiàng)基本義務(wù)內(nèi)嵌于服務(wù)提供者的組織管理體系,從而讓專(zhuān)職人員或?qū)I(yè)機(jī)構(gòu)監(jiān)管服務(wù)提供者的數(shù)據(jù)處理行為,防止數(shù)據(jù)安全事件發(fā)生,推進(jìn)數(shù)據(jù)安全保護(hù)的落地落實(shí)?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》第二十八條以有限列舉的形式詳細(xì)設(shè)計(jì)了重要數(shù)據(jù)處理中數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全管理機(jī)構(gòu)的六項(xiàng)職責(zé)。但截至目前,并沒(méi)有一部法律法規(guī)、部門(mén)規(guī)章明確達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定的數(shù)量究竟是多少。為緩解這種法律缺失困境,可以在參照《個(gè)人信息保護(hù)法》第四十條的基礎(chǔ)上結(jié)合《數(shù)據(jù)出境安全評(píng)估辦法》第四條第(二)項(xiàng)進(jìn)行擬定,即服務(wù)提供者處理100萬(wàn)人以上個(gè)人信息的,就應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。

(二)事后處置義務(wù):立即采取處置措施并及時(shí)告知報(bào)告

服務(wù)提供者通過(guò)監(jiān)測(cè)技術(shù)措施發(fā)現(xiàn)生成式人工智能存在數(shù)據(jù)安全風(fēng)險(xiǎn)后,應(yīng)立即采取補(bǔ)救措施消除風(fēng)險(xiǎn)。這里的補(bǔ)救措施是針對(duì)生成式人工智能的數(shù)據(jù)安全缺陷、漏洞等數(shù)據(jù)安全風(fēng)險(xiǎn)而言的,既包括技術(shù)措施,如修復(fù)生成式人工智能的系統(tǒng)漏洞、對(duì)語(yǔ)料庫(kù)的數(shù)據(jù)進(jìn)行加密;也包括組織措施,如重新確定數(shù)據(jù)安全負(fù)責(zé)人或數(shù)據(jù)安全管理機(jī)構(gòu)等。這些舉措都屬于一種事前的防范義務(wù)。服務(wù)提供者所需要履行的事后處置義務(wù)與事前防范義務(wù)不同。首先,在生成式人工智能已經(jīng)現(xiàn)實(shí)性發(fā)生數(shù)據(jù)安全事件的情況下,服務(wù)提供者應(yīng)立即采取處置措施,防止危害結(jié)果進(jìn)一步擴(kuò)大,并及時(shí)告知用戶以及向有關(guān)主管部門(mén)報(bào)告。可見(jiàn),只有在生成式人工智能出現(xiàn)數(shù)據(jù)安全事件的情況下,服務(wù)提供者方才需要采取處置措施。所謂數(shù)據(jù)安全事件,是指由于人為原因(如工作人員的疏忽或者黑客攻擊)、生成式人工智能的系統(tǒng)缺陷或故障(如ChatGPT的開(kāi)源庫(kù)錯(cuò)誤)等,導(dǎo)致語(yǔ)料庫(kù)的數(shù)據(jù)發(fā)生泄露或被竊取、篡改等對(duì)社會(huì)造成負(fù)面影響的事件。從概念本身進(jìn)行解讀,生成式人工智能發(fā)生數(shù)據(jù)安全事件的原因歸納起來(lái)主要有三類(lèi):一是生成式人工智能本身的系統(tǒng)缺陷或故障;二是服務(wù)提供者組織內(nèi)部的人為失誤;三是來(lái)自外界的黑客等惡意攻擊。服務(wù)提供者需要立即采取的處置措施包括暫停服務(wù)、修復(fù)程序漏洞等,阻止危害結(jié)果進(jìn)一步擴(kuò)大,減少或者消除因數(shù)據(jù)安全事件給他人合法權(quán)益、社會(huì)利益和國(guó)家安全等帶來(lái)的不利影響。其次,如果數(shù)據(jù)中包含有個(gè)人信息,還應(yīng)遵守《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定?！秱€(gè)人信息保護(hù)法》第五十七條規(guī)定的補(bǔ)救措施應(yīng)作廣義理解,既包括存在數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)所需要采取的補(bǔ)救措施,還包括在發(fā)生數(shù)據(jù)安全事件后應(yīng)采取的處置措施,以此才能與“發(fā)生或者可能發(fā)生”的含義相適應(yīng)。最后,與《數(shù)據(jù)安全法》不同,在《個(gè)人信息保護(hù)法》中,不論是已經(jīng)現(xiàn)實(shí)性發(fā)生個(gè)人信息安全事件,還是僅存在個(gè)人信息安全風(fēng)險(xiǎn),都需要通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。此外,如果現(xiàn)實(shí)性發(fā)生了個(gè)人信息安全事件,《數(shù)據(jù)安全法》要求按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告,而依據(jù)《個(gè)人信息保護(hù)法》并不需要及時(shí)告知個(gè)人,但履行個(gè)人信息保護(hù)職責(zé)的部門(mén)認(rèn)為可能造成危害而要求通知個(gè)人的除外。從表面看來(lái),兩個(gè)法律規(guī)范之間對(duì)發(fā)生數(shù)據(jù)安全事件后的通知對(duì)象存在矛盾,但事實(shí)并非如此。由于《個(gè)人信息保護(hù)法》相對(duì)《數(shù)據(jù)安全法》來(lái)說(shuō)屬特別法,因而在涉及個(gè)人信息的場(chǎng)景應(yīng)優(yōu)先適用《個(gè)人信息保護(hù)法》。賦予生成式人工智能服務(wù)提供者通知義務(wù),意義不僅在于促使服務(wù)提供者認(rèn)識(shí)到發(fā)生數(shù)據(jù)安全事件將提高其經(jīng)營(yíng)成本,還能反向督促服務(wù)提供者在生成式人工智能發(fā)生數(shù)據(jù)安全事件前采取更為有效的數(shù)據(jù)安全保護(hù)措施。

四、服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任

我國(guó)現(xiàn)行的民法、行政法、刑法能夠在某種程度上對(duì)服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任進(jìn)行分散追責(zé),但尚未形成周延的法律責(zé)任體系。如果缺乏整體法秩序意義上的理論認(rèn)識(shí)與體系規(guī)制,就容易導(dǎo)致服務(wù)提供者法律責(zé)任的片段化。故在對(duì)服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任進(jìn)行分別性界定的基礎(chǔ)上,還應(yīng)注重不同法律責(zé)任之間的體系銜接與功能協(xié)同。

(一)義務(wù)違反的法律責(zé)任配置

服務(wù)提供者因未履行數(shù)據(jù)安全保護(hù)義務(wù)而對(duì)個(gè)人利益、公共利益造成實(shí)質(zhì)危害的場(chǎng)合,其在承擔(dān)侵權(quán)和違約的私法責(zé)任的同時(shí)也可能需要承擔(dān)公法責(zé)任。在承認(rèn)私法與公法二元結(jié)構(gòu)劃分之前提下,民法屬于私法,而行政法與刑法系屬公法,公法與私法對(duì)應(yīng)的法律責(zé)任分別是私法責(zé)任與公法責(zé)任。社會(huì)和諧是中國(guó)特色社會(huì)主義的本質(zhì)屬性,法治為社會(huì)和諧提供保障,國(guó)家為了維護(hù)社會(huì)安定有序而建構(gòu)的整體法秩序都是以保護(hù)法益為己任,公法和私法都概莫能外。依據(jù)《暫行辦法》第二十一條、《數(shù)據(jù)安全法》第五十二條之規(guī)定,服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)而發(fā)生數(shù)據(jù)安全事件的,從法律歸責(zé)的視角出發(fā),服務(wù)提供者可能既要承擔(dān)私法責(zé)任,又要承擔(dān)公法責(zé)任。由此可見(jiàn),服務(wù)提供者的數(shù)據(jù)安全保護(hù)義務(wù)是一個(gè)橫跨民法、行政法、刑法領(lǐng)域的問(wèn)題,各部門(mén)法對(duì)于服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的調(diào)整存在多種法律責(zé)任的交叉與競(jìng)合。因此,在對(duì)服務(wù)提供者的具體法律責(zé)任予以分別性界定的同時(shí),應(yīng)注意防止不同法律責(zé)任之間的體系銜接錯(cuò)位。公法責(zé)任是國(guó)家權(quán)力機(jī)關(guān)對(duì)不法者行為的否定性評(píng)價(jià),其主要目的體現(xiàn)在懲罰和預(yù)防,私法責(zé)任是平等民事主體之間因法律規(guī)定而形成的法律關(guān)系,主要是為了實(shí)現(xiàn)個(gè)人權(quán)益的救濟(jì)和補(bǔ)償。由于法律功能的內(nèi)生性差異,對(duì)同一行為的公法責(zé)任與私法責(zé)任通常會(huì)作并科處理,兩者不存在競(jìng)合問(wèn)題。但是,公法責(zé)任通常具有比私法責(zé)任更為鮮明的強(qiáng)制性色彩,對(duì)行為人的影響要更加顯著,故而公法責(zé)任通常是對(duì)私法責(zé)任的保障。然而,中國(guó)國(guó)家治理在整體布局上偏愛(ài)于有立竿見(jiàn)影效果的公法,對(duì)民法等私法的適用關(guān)注度不夠或者相對(duì)被動(dòng),當(dāng)下大量行政性法律法規(guī)的出臺(tái)、積極刑法立法觀的盛行就是最真實(shí)的寫(xiě)照。注重公法治理對(duì)于防控社會(huì)風(fēng)險(xiǎn)、維護(hù)社會(huì)穩(wěn)定方面固然效果要更加明顯,但權(quán)力的過(guò)度膨脹可能會(huì)對(duì)公民權(quán)利有所損害。為了更好地保障公民權(quán)利,對(duì)于各類(lèi)違法失范行為的治理應(yīng)優(yōu)先啟用私法,而不是動(dòng)輒入罪入刑[20]45。據(jù)此,應(yīng)從強(qiáng)制力或者調(diào)控手段上使服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任呈現(xiàn)階梯性,即私法責(zé)任具有基礎(chǔ)性地位,公法責(zé)任只是保障,而不能將各種法律責(zé)任置于一種簡(jiǎn)單耦合的狀態(tài)。

私法責(zé)任的救濟(jì)和補(bǔ)償功能存在先天缺陷,故在私法保護(hù)法益不充分的情況下需要?jiǎng)佑霉ㄟM(jìn)行保障。其一,生成式人工智能服務(wù)提供者因未履行數(shù)據(jù)安全保護(hù)義務(wù)而造成數(shù)據(jù)主體權(quán)益損害的,在民事責(zé)任層面需要承擔(dān)高昂的金錢(qián)賠償,其會(huì)為自己的不作為付出巨大代價(jià)。但針對(duì)生成式人工智能龐大體量的數(shù)據(jù)主體來(lái)說(shuō),個(gè)體的權(quán)益救濟(jì)往往是象征性的。例如,假設(shè)Open AI公司沒(méi)有采取任何防范技術(shù)措施防止他人侵入ChatGPT系統(tǒng),攻擊者通過(guò)ChatGPT系統(tǒng)的數(shù)據(jù)安全保護(hù)漏洞竊取了大量數(shù)據(jù),造成1000萬(wàn)人次的個(gè)人數(shù)據(jù)泄露。如果最終Open AI公司需要支付的民事賠償金額是1000萬(wàn)元,但由于群體數(shù)量過(guò)于龐大最終均攤到利益受損害的個(gè)體手中的金額可能僅有1元,對(duì)于個(gè)體的權(quán)益救濟(jì)幾乎沒(méi)有意義。其二,如果服務(wù)提供者所處理的是非個(gè)人數(shù)據(jù),在其未履行數(shù)據(jù)安全保護(hù)義務(wù)而導(dǎo)致數(shù)據(jù)安全事件發(fā)生,危及社會(huì)利益與國(guó)家利益的場(chǎng)合,私法對(duì)于法益的保護(hù)基本上處于失靈狀態(tài)。這是因?yàn)椴徽撌乔謾?quán)責(zé)任還是違約責(zé)任均是對(duì)個(gè)人權(quán)益的救濟(jì),私法的觸角延伸不到超個(gè)人法益領(lǐng)域。其三,《數(shù)據(jù)安全法》的立法目的不僅是強(qiáng)化個(gè)人、組織合法數(shù)據(jù)權(quán)益的法律保護(hù),更在于維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益(《數(shù)據(jù)安全法》第一條)。即使服務(wù)提供者處理的是個(gè)人數(shù)據(jù),但如果這些數(shù)據(jù)涉及國(guó)家安全和發(fā)展利益,服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)而導(dǎo)致這些數(shù)據(jù)泄露或被竊取、篡改的,僅讓其承擔(dān)民事責(zé)任未免有失公允。在確定私法責(zé)任擴(kuò)張的這一基調(diào)后,公法責(zé)任自然就處在服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)法律責(zé)任的保障性地位。在公法責(zé)任內(nèi)部,由于只有當(dāng)其他非刑事懲罰手段在解決社會(huì)問(wèn)題不起作用的情況下,刑法才被允許使用,因而在服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的公法責(zé)任分配中刑法不宜擔(dān)當(dāng)?shù)谝回?zé)任,其只是一種補(bǔ)充性的制裁手段。由此看來(lái),行政責(zé)任應(yīng)是民事責(zé)任的輔助,當(dāng)行政處罰能夠有效應(yīng)對(duì)生成式人工智能的數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí),就不要啟用刑事手段干預(yù),刑事責(zé)任是對(duì)行政法律保護(hù)數(shù)據(jù)安全不周延的最后性補(bǔ)充。

總而言之,在整體法秩序的視野下,對(duì)于生成式人工智能服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任體系之構(gòu)建,私法責(zé)任是基礎(chǔ),公法責(zé)任則是保障;而公法責(zé)任中行政責(zé)任是輔助,刑事責(zé)任只是補(bǔ)充。這一梯度性法律責(zé)任配置完全符合《數(shù)據(jù)安全法》第五十二條的條文邏輯,即服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的不作為行為在不構(gòu)成刑事犯罪的情況下,屬于違反治安管理行為的可以依法給予行政處罰,但不得將行政違法人為拔高為刑事犯罪。而對(duì)于服務(wù)提供者行政責(zé)任或者刑事責(zé)任的追究并不影響其民事責(zé)任的承擔(dān),但是當(dāng)承擔(dān)民事責(zé)任已經(jīng)足夠修復(fù)被侵害法益的情況下,就不應(yīng)再追究服務(wù)提供者的行政責(zé)任乃至刑事責(zé)任。

(二)義務(wù)違反的法律歸責(zé)限度

數(shù)據(jù)安全涉及有效保護(hù)與合法利用兩個(gè)面向?！稊?shù)據(jù)安全法》強(qiáng)調(diào)“國(guó)家統(tǒng)籌發(fā)展和安全,堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展”。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》進(jìn)一步提出“堅(jiān)持促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用與保障數(shù)據(jù)安全并重”的基本原則。具有數(shù)據(jù)安全風(fēng)險(xiǎn)只是表明生成式人工智能的數(shù)據(jù)可能會(huì)遭受泄露或被竊取、篡改等,但并不一定會(huì)發(fā)生數(shù)據(jù)安全事件,即使發(fā)生數(shù)據(jù)安全事件也不一定產(chǎn)生刑事可罰性,在法益侵害未構(gòu)成犯罪的場(chǎng)合則可能受到民法或行政法調(diào)整。如果服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)就要承擔(dān)相應(yīng)的法律責(zé)任,就會(huì)因?yàn)榉傻墓茌牱秶^(guò)于寬泛而反向限制生成式人工智能服務(wù)提供者對(duì)數(shù)據(jù)的獲取、使用或處理,進(jìn)而影響人工智能產(chǎn)業(yè)的發(fā)展。據(jù)此,對(duì)未履行數(shù)據(jù)安全保護(hù)義務(wù)的服務(wù)提供者采取結(jié)果主義的違法責(zé)任模式,不僅有助于激勵(lì)生成式人工智能產(chǎn)業(yè)的創(chuàng)新發(fā)展,也可以防止陷入“不實(shí)施行為即違法”的無(wú)邊界法律之困境。以下筆者基于結(jié)果主義的違法責(zé)任模式的邏輯路徑,就服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律歸責(zé)問(wèn)題展開(kāi)分析。

1.服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的民事歸責(zé)

服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的民事責(zé)任囊括侵權(quán)責(zé)任與違約責(zé)任。由于違約責(zé)任需要服務(wù)提供者與數(shù)據(jù)主體在有效的合同中加以約定,并適用《民法典》“合同編”的相關(guān)規(guī)定,故本部分主要探討服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)而致他人人身利益、財(cái)產(chǎn)利益損害的侵權(quán)責(zé)任問(wèn)題?！皬谋举|(zhì)上講,歸責(zé)是一種法律所確認(rèn)的價(jià)值判斷標(biāo)準(zhǔn),但僅有價(jià)值判斷是不夠的,具體的個(gè)案還要求將單純的價(jià)值判斷轉(zhuǎn)化為法律技術(shù),用以標(biāo)定受害人權(quán)利救濟(jì)和行為人行為自由的界限,因此在侵權(quán)的基本范疇內(nèi)就需要更為具體可依的價(jià)值判斷原則——侵權(quán)責(zé)任的歸責(zé)原則?！盵21]12《數(shù)據(jù)安全法》第五十二條第一款實(shí)際上是一種指引性規(guī)范;而按照《民法典》第一千一百六十五條和第一千一百六十六條,假如法律規(guī)范沒(méi)有作出特別規(guī)定,對(duì)他人民事權(quán)益造成損害的都應(yīng)適用過(guò)錯(cuò)責(zé)任原則。從我國(guó)現(xiàn)行法律框架來(lái)看,只有《個(gè)人信息保護(hù)法》第六十九條第一款對(duì)個(gè)人信息權(quán)益的侵權(quán)專(zhuān)門(mén)性規(guī)定過(guò)錯(cuò)推定責(zé)任。詳言之,個(gè)人信息處理者在處理個(gè)人信息過(guò)程中侵害他人信息權(quán)益的,如果其不能證明自己沒(méi)有過(guò)錯(cuò),就應(yīng)推定存在過(guò)錯(cuò)而承擔(dān)相應(yīng)的民事侵權(quán)責(zé)任。之所以采取過(guò)錯(cuò)推定原則,主要是因?yàn)樾畔?quán)利人與個(gè)人信息處理者存在信息、技術(shù)、資金等能力的不對(duì)等,其很難了解個(gè)人信息處理者在處理活動(dòng)中具有何種過(guò)錯(cuò),更無(wú)法提出證據(jù)證明[22]63。因此,當(dāng)生成式人工智能服務(wù)提供者處理的是個(gè)人數(shù)據(jù),其未履行數(shù)據(jù)安全保護(hù)義務(wù)而導(dǎo)致個(gè)人數(shù)據(jù)泄露或被他人竊取、篡改等,應(yīng)適用過(guò)錯(cuò)推定原則。但是,如果服務(wù)提供者所處理的是非個(gè)人數(shù)據(jù),其違反數(shù)據(jù)安全保護(hù)義務(wù)對(duì)他人民事權(quán)益造成損害的,因?yàn)闆](méi)有法律規(guī)范特別規(guī)定,所以被侵權(quán)人需要依據(jù)《民法典》第一千一百六十五條第一款的規(guī)定證明服務(wù)提供者存在過(guò)錯(cuò),否則便不能將侵權(quán)結(jié)果歸屬于服務(wù)提供者。

2.服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的行政歸責(zé)

強(qiáng)調(diào)公法的謙抑性適用對(duì)于保護(hù)人權(quán)、防止公權(quán)濫用以及推進(jìn)中國(guó)法治事業(yè)建設(shè)具有重要價(jià)值。《數(shù)據(jù)安全法》第四十五條和第五十二條共同規(guī)定了未履行數(shù)據(jù)安全保護(hù)義務(wù)的行政責(zé)任。有學(xué)者認(rèn)為,數(shù)據(jù)安全保護(hù)義務(wù)是一項(xiàng)程序性義務(wù),只要行為人未履行數(shù)據(jù)安全保護(hù)義務(wù)便違反了行政法律規(guī)范,不論行為是否造成危害后果,其都應(yīng)承擔(dān)行政法律責(zé)任[23]47。按照這種必罰主義的邏輯,只要生成式人工智能的服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)就應(yīng)接受行政處罰。然而,對(duì)于危害性闕如的行政違法行為施予行政處罰,或者對(duì)輕微行政違法行為予以重罰,勢(shì)必會(huì)引發(fā)社會(huì)公眾對(duì)法的正當(dāng)性質(zhì)疑?！缎姓幜P法》第三十三條規(guī)定“違法行為輕微并及時(shí)改正,沒(méi)有造成危害后果”和“當(dāng)事人有證據(jù)足以證明沒(méi)有主觀過(guò)錯(cuò)”兩種不予行政處罰的情形,這表明即使形式上該當(dāng)于行政法律規(guī)范規(guī)定的構(gòu)成要件行為,只要具備這兩種情形之一就能免于行政處罰。一方面,應(yīng)予處罰的行政違法行為都是具有危害性的行為。只要行為違反行政管理秩序,符合行政處罰法律規(guī)范規(guī)定的各種客觀要素,都屬于行政違法行為。但形式上違反行政管理秩序只是違法行為受行政處罰的前置性條件,只要“一個(gè)人的行為不具有危害性,那么他的行為就應(yīng)該是自由的”[24]227?；诖?缺乏危害性的行政違法行為,不得予以行政處罰。對(duì)于行政違法行為“危害性”的判斷標(biāo)準(zhǔn)《行政處罰法》采取了結(jié)果主義的立場(chǎng),即只有造成危害結(jié)果的行政違法行為才具有應(yīng)罰性?！拔：蠊卑ā翱赡艿奈：蠊迸c“實(shí)際的危害后果”,通常情況下應(yīng)罰行為的危害后果是指可能的危害后果,特殊情況才將實(shí)際的危害后果作為必備要件[25]25。另一方面,應(yīng)予處罰的行政違法行為都是有過(guò)錯(cuò)的行為。“凡是出于我的故意的事情,都可歸責(zé)于我”[26]136,即使行為人實(shí)施的形式上該當(dāng)于行政處罰法律規(guī)范規(guī)定的構(gòu)成要件行為造成了嚴(yán)重的危害后果,但如果其在責(zé)任層面欠缺非難可能性,同樣不能對(duì)其施予行政處罰。故而行政機(jī)關(guān)只能對(duì)具備責(zé)任能力且在主觀上存在過(guò)錯(cuò)的行為人所實(shí)施的行政違法行為追究行政責(zé)任。此外,《行政處罰法》第三十三條還規(guī)定對(duì)“可以型”不予行政處罰的行政違法行為,即行為人初次違法且危害后果輕微并及時(shí)改正的,行政機(jī)關(guān)可以不追究其行政責(zé)任?！翱梢圆挥栊姓幜P”意味著行政機(jī)關(guān)“能不罰就不罰”,而不是授予行政機(jī)關(guān)便宜行事的處罰裁量權(quán)。綜上,如果服務(wù)提供者未履行行政法律法規(guī)規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù),但其行為明顯缺乏實(shí)質(zhì)危害性,或者主觀上沒(méi)有過(guò)錯(cuò),不得施加行政處罰。

3.服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的刑事歸責(zé)

根據(jù)刑法學(xué)界的通說(shuō),具體結(jié)果應(yīng)歸責(zé)于作出決定或負(fù)有監(jiān)督義務(wù)的人[27]79。不作為犯具有違反積極義務(wù)的特質(zhì),在對(duì)不作為犯的作為義務(wù)進(jìn)行實(shí)質(zhì)判斷時(shí),只有當(dāng)行為人對(duì)于危害結(jié)果的發(fā)生處于保證人地位才可能成立不作為犯罪。換言之,如果服務(wù)提供者對(duì)于生成式人工智能數(shù)據(jù)安全事件的發(fā)生處于保證人地位,就負(fù)有阻止結(jié)果發(fā)生的作為義務(wù),未履行這種義務(wù)而導(dǎo)致法益侵害結(jié)果發(fā)生的則應(yīng)承擔(dān)刑事責(zé)任。德國(guó)學(xué)者納格勒首次提出保證人理論,即某種法益處于危險(xiǎn)狀態(tài),負(fù)有防止該法益侵害結(jié)果發(fā)生的特別義務(wù)的保證人。德國(guó)學(xué)者阿明·考夫曼繼受了納格勒的保證人理論并經(jīng)過(guò)完善提出了功能的二分說(shuō)。功能的二分說(shuō)依據(jù)社會(huì)功能的不同類(lèi)型將保證人義務(wù)劃分為對(duì)特定法益的保護(hù)義務(wù)與對(duì)特定危險(xiǎn)源的監(jiān)督義務(wù),前者是為了避免特定法益不受來(lái)自危險(xiǎn)源的侵害,后者則是保證特定危險(xiǎn)源不侵害他人[28]835。奧拓和他的學(xué)生布拉姆森試圖將保證人位置建立在“社會(huì)團(tuán)結(jié)內(nèi)部的相互期望之上”,即保證人地位就是行為人在某種特定場(chǎng)域被社會(huì)期待實(shí)施特定作為行為的社會(huì)角色,因而不作為犯的處罰基礎(chǔ)在于不為刑法規(guī)范期待應(yīng)為的特定行為,或不著手實(shí)行被期待的特定行為[29]537。在高橋則夫看來(lái),功能的二分說(shuō)所劃分的法益保護(hù)義務(wù)與危險(xiǎn)源管理義務(wù),歸根結(jié)底都是被社會(huì)性期待具有某一社會(huì)角色的行為人直接或間接保護(hù)該法益[30]140。為了找尋不作為犯的處罰基礎(chǔ),許乃曼采取的是一種與作為犯類(lèi)比的方式,即處罰不作為犯的理論基礎(chǔ)在于,不作為犯對(duì)于法益的侵害類(lèi)似于作為犯基于犯罪支配所擁有的地位(結(jié)果的原因支配說(shuō))。如果人們認(rèn)為在積極作為之中犯罪支配是正犯構(gòu)成要件實(shí)現(xiàn)的核心標(biāo)準(zhǔn),則在與作為同等的不真正不作為中也應(yīng)當(dāng)要求一個(gè)支配地位,所以許乃曼從“對(duì)結(jié)果基礎(chǔ)的支配”中推導(dǎo)出保證人義務(wù)。存在“對(duì)結(jié)果基礎(chǔ)的支配”這樣一種支配關(guān)系的,不僅僅有支配了危險(xiǎn)來(lái)源的監(jiān)督型保證人,也有將被害人的無(wú)助作為結(jié)果基礎(chǔ)予以支配的保護(hù)型保證人[31]681-682。筆者贊同結(jié)果的原因支配說(shuō),即只要服務(wù)提供者支配了有可能導(dǎo)致結(jié)果的危險(xiǎn)的原因,就能肯定其保證人地位,從而肯定其刑事作為義務(wù)。

依照結(jié)果的原因支配說(shuō)的理論邏輯,只有當(dāng)服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的行為形成了對(duì)導(dǎo)致數(shù)據(jù)安全法益侵害危險(xiǎn)的原因的控制支配,才能肯定其保證人地位,從而讓其承擔(dān)刑事責(zé)任。服務(wù)提供者是生成式人工智能語(yǔ)料庫(kù)數(shù)據(jù)來(lái)源篩選與控制的主體,也是生成式人工智能算法設(shè)計(jì)或部署的主體?；诜?wù)提供者在生成式人工智能應(yīng)用中所扮演的角色地位,其對(duì)于生成式人工智能可能存在的數(shù)據(jù)安全風(fēng)險(xiǎn)有能力進(jìn)行事前的評(píng)估、監(jiān)測(cè)、預(yù)警與在發(fā)生數(shù)據(jù)安全事件后及時(shí)進(jìn)行補(bǔ)救和處置,事實(shí)上形成了對(duì)生成式人工智能語(yǔ)料庫(kù)的數(shù)據(jù)這一特定脆弱法益侵害危險(xiǎn)的原因的控制支配,這是生成式人工智能服務(wù)提供者保證人義務(wù)的實(shí)現(xiàn)基礎(chǔ)。服務(wù)提供者在自己的管轄領(lǐng)域(生成式人工智能本身)有責(zé)任防止他人侵害數(shù)據(jù)安全法益,而生成式人工智能數(shù)據(jù)安全的保護(hù)也強(qiáng)烈依賴(lài)于服務(wù)提供者實(shí)施特定的行為。因此,服務(wù)提供者應(yīng)積極履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù),從而消除生成式人工智能存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。當(dāng)其未履行數(shù)據(jù)安全保護(hù)義務(wù)并造成嚴(yán)重危害結(jié)果的,可能構(gòu)成不作為犯罪。但是,倘若服務(wù)提供者切實(shí)履行數(shù)據(jù)安全保護(hù)義務(wù)仍不能回避危害結(jié)果,就不宜承擔(dān)該當(dāng)于構(gòu)成要件結(jié)果的不作為刑事責(zé)任。

五、結(jié)語(yǔ)

生成式人工智能的數(shù)據(jù)安全保護(hù)是人工智能時(shí)代法律治理需要重點(diǎn)關(guān)注的新興問(wèn)題。生成式人工智能的深度運(yùn)用與數(shù)據(jù)安全保護(hù)產(chǎn)生了博弈,法律的介入要盡可能周全而不能盲目過(guò)度,即在不破壞生成式人工智能產(chǎn)業(yè)生態(tài)的情況下實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的嚴(yán)密保護(hù)。探究生成式人工智能發(fā)生數(shù)據(jù)安全事件的根源,往往是因?yàn)榉?wù)提供者怠于履行數(shù)據(jù)安全保護(hù)職責(zé)所致。基于從源頭預(yù)防數(shù)據(jù)安全風(fēng)險(xiǎn)的治理邏輯,明確生成式人工智能服務(wù)提供者的數(shù)據(jù)安全保護(hù)義務(wù)及其法律責(zé)任,對(duì)于防范生成式人工智能的數(shù)據(jù)安全風(fēng)險(xiǎn)意義重大?！稌盒修k法》確立的“以服務(wù)提供者義務(wù)為中心”的生成式人工智能數(shù)據(jù)安全治理模式具有實(shí)質(zhì)合理性,為服務(wù)提供者承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)提供了規(guī)范依據(jù)支持。通過(guò)對(duì)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》有關(guān)規(guī)定的詳細(xì)梳理,可以確定生成式人工智能服務(wù)提供者需要履行的數(shù)據(jù)安全保護(hù)義務(wù)的基本事項(xiàng),包括技術(shù)安全保障和數(shù)據(jù)風(fēng)險(xiǎn)管理的事前防范義務(wù)、發(fā)生數(shù)據(jù)安全事件后立即采取處置措施并及時(shí)告知報(bào)告的事后處置義務(wù)。在對(duì)服務(wù)提供者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任予以分別性界定的基礎(chǔ)上,應(yīng)注重不同法律責(zé)任之間的體系銜接與功能協(xié)同,避免服務(wù)提供者法律責(zé)任的片段化。對(duì)未履行數(shù)據(jù)安全保護(hù)義務(wù)的服務(wù)提供者采取結(jié)果主義的違法責(zé)任模式,既有助于激勵(lì)生成式人工智能產(chǎn)業(yè)的創(chuàng)新發(fā)展,也可以防止陷入“不實(shí)施行為即違法”的無(wú)邊界法律之困境。在未來(lái),如何構(gòu)建更加符合生成式人工智能產(chǎn)業(yè)鏈特性的法律歸責(zé)模式,仍需持續(xù)不斷地探索。