AI犯罪刑法规制:安全与发展的平衡点
法律沙龙
content
本期目录
一、涉人工智能“对象型”犯罪的罪名辨析与法益认定
二、涉人工智能“工具型”犯罪中服务提供者的刑事责任边界
三、涉人工智能犯罪不同层级主体“治罪”难点与刑法解释路径
本期召集人 吕颢
上海市徐汇区人民检察院副检察长
当前,全球人工智能技术迅猛发展,深刻影响经济社会与人类文明。习近平总书记在2026世界人工智能大会暨人工智能全球治理高级别会议上强调“强化风险意识,确保安全可控”“要高度重视人工智能引发的各类内生和衍生风险,推动构建法律法规、技术监测、风险预警、应急响应体系,筑牢安全底线,防范滥用恶用,确保人工智能始终处于人类控制之下。”《中华人民共和国国民经济和社会发展第十五个五年规划纲要》提出,“完善人工智能领域法律法规、政策制度、应用规范、伦理准则”。2026年全国检察长会议明确要求对涉人工智能、具身智能、数据知识产权等前沿法律问题加强研究。生成式人工智能的迭代普及,催生了以人工智能系统、数据、算法、算力为侵害客体的“对象型”犯罪,以及将生成式人工智能作为实施工具的“工具型”犯罪。人们对两类犯罪在罪名竞合、新型法益认定、因果关系推定、损失认定及平台责任认定等有不同观点,使得传统刑法罪名面临准确适用挑战。本期“75号咖啡·法律沙龙”,聚焦涉人工智能犯罪行为刑法适用边界,围绕涉人工智能犯罪行为的实务难题与刑事法理展开研讨,以期为涉人工智能的犯罪行为精准适用刑法罪名提供学理支撑。
一、涉人工智能“对象型”犯罪的罪名辨析与法益认定
本期召集人 吕颢
上海市徐汇区人民检察院副检察长
当前司法实践中,利用技术手段突破大模型平台防护、非法占用商用大模型算力、盗用API接口并转售牟利的案件时有发生。这类案件同时呈现“工具型”与“对象型”双重特征,在罪名竞合与选择依据上争议较大。具体来说,第一,行为人到底非法获取了什么“数据”?第二,行为手段“侵入”的认定标准如何确定,传统相关犯罪的保护法益是否可以涵盖“API接口权限”“算力消耗”等数字时代的新型法益?请嘉宾们结合案例谈一谈刑法适用问题。
案例一
向上滑动阅览
张某通过批量注册账号、逆向分析应用程序编程接口API签名规则,明知平台服务协议明确禁止非官方客户端调用,仍绕过平台频次限制,持续调用某大模型集成平台的API接口,接入自建网站并售卖会员积分牟利。嗣后,平台监测到异常后增强动态加密签名验证机制,张某继续通过对官方客户端逆向分析,提取加密算法和密钥,突破该验证措施,继续大规模调用以输入指令参数后获取大模型生成式内容直至案发。张某的行为未获取平台静态数据或模型参数,但占用图形处理器GPU算力、带宽及存储资源,造成平台直接成本增加,未导致系统功能瘫痪。平台按词元(Token)计费,案发后提供了完整调用日志及官方标准单价。
名词解释
应用程序编程接口
(API,Application
Programming Interface)
指软件系统之间实现互联互通和数据交换的标准化接口协议。本案中API接口是平台提供的可供用户或第三方开发者调用人工智能模型能力的付费服务通道。
图形处理器(GPU,Graphics Processing Unit)
指专门用于并行计算的高性能芯片,最初用于图像渲染,现已成为人工智能大模型训练和推理的核心算力硬件。“占用GPU算力”即指调用平台GPU执行人工智能生成任务,会产生电力、硬件损耗等成本。
词元(Token)
指大语言模型处理文本时的最小语义单元,可以是单词、词组或标点符号等。大模型平台通常以Token数量作为计费标准,按用户输入和模型输出的Token总量计算费用。
宋珊珊
徐汇区人民检察院检察官
从实务视角来看,此类案件侵害对象主要涉及三层数据:一是API密钥、Token等身份认证数据,属于服务器电磁记录;二是任务指令数据,属于算力消耗的直接载体;三是模型生成数据,属于转售牟利的直接对象。上述三层数据均可纳入数据安全法益。另外,GPU(Graphics Processing Unit,图形处理器)算力消耗还可能触及财产法益。从行为手段看,API接口未设访问控制措施不构成合法授权,安全边界不仅包括技术壁垒,也涵盖权利人通过产品设计、服务协议、权限配置划定的使用范围。外部人员抓包获取后台接口并自动化访问,绕开预设交互通道和频次限制,属于越权访问,与“侵入”具有同等法律效果,内部人员越权操作亦同。罪名选择上,非法获取计算机信息系统数据罪可完整评价侵入、获取的行为链条;非法控制计算机信息系统罪在两行为属牵连关系时从一重罪处断,各自独立时并列适用。但鉴于核心手段为侵入、首要侵害法益为网络安全秩序,在计算机犯罪已能充分评价时应持审慎态度。
皮勇
同济大学法学院教授、
博士生导师
从行为本质来看,该类利用技术对抗手段突破平台安全防护、非法占用商用算力、盗用付费API服务的行为,属于非法侵入、控制计算机信息系统的行为范畴。行为人并未直接窃取服务器内存储的静态数据,而是无偿占用平台经营性数字服务资源,行为外观近似于传统盗窃电信网络服务的行为模式。但必须指出,依据现行刑法及司法解释,人工智能算力资源、大模型算法、数据使用权、商用API接口服务尚未被纳入盗窃罪的法定保护对象范畴。基于罪刑法定原则,目前以非法控制计算机信息系统罪或非法获取计算机信息系统数据罪定罪更为妥当。当然,从立法论角度,未来随着数据产权制度的完善,是否需要对数据使用权益增设新罪名或扩大解释“财物”范围,值得深入研究。
张勇
华东政法大学教授、
博士生导师
此类行为在刑法评价上普遍存在想象竞合问题,单一行为可能同时触犯多个罪名,应当严格适用择一重罪处罚原则。从法益保护层面审视,现行刑法财产犯罪体系存在一定滞后性。我国数据产权制度已明确包含数据持有权、使用权、经营权三大权益,而当前刑法仅对静态数据、有形财物提供保护,对单纯的数据使用权、算力使用权、商用接口服务权益的侵害行为,暂无独立规制罪名,只能通过计算机信息系统犯罪实现间接保护。对于平台企业因此产生的经营性经济损失,可同步通过民事侵权追偿、行政监管处罚等方式实现多元救济。
林喜芬
上海交通大学凯原法学院
副院长、教授、博士生导师
对于通过批量注册账号、伪造身份认证信息、逆向分析API签名规则等手段,突破平台授权边界,使服务器持续按照指令执行计算任务,从而占用GPU算力、存储、带宽等数字资源并将成本转嫁给平台的行为,其行为重心并非获取数据,而在于非法控制计算机信息系统。这种模式更符合刑法第285条第2款规定的非法控制计算机信息系统罪。根据司法解释,计算机信息系统是具备自动处理数据功能的系统,账号、密码等用于确认操作权限的信息属于身份认证信息;绕过或突破系统安全保护措施,未经授权或超越授权获取数据、控制系统的行为,属于该款评价对象。对于绕过权限、调用系统功能、占用数字资源、转嫁成本的行为结构,因流量、存储和算力等数字资源的价值及硬件损耗、电力成本等难以精确量化,更适宜以非法控制计算机信息系统罪定性。
本期召集人 吕颢
上海市徐汇区人民检察院副检察长
在处理非法调用大模型接口获取生成式数据行为时,我们注意到两种不同的行为模式:一种是行为人直接删除大量训练数据和自主研发模型,导致系统功能瘫痪,对此,司法实践中一般以破坏计算机信息系统罪定罪;另一种则是行为人“持续性非法调用”,并未修改或删除系统数据。由此引发的问题是:在人工智能训练数据、算法模型被侵害的案件中,对算力资源的“消耗性占用”,属于刑法理论中的“控制”还是“破坏”?
皮勇
同济大学法学院教授、
博士生导师
关于两类罪名区分,我认为关键在于行为人是否实施了突破、损毁系统安全保密体系的对抗性违规行为。若行为人仅依托原有权限或轻微违规滥用权限、占用算力资源,未破坏平台底层安全防护机制、未损毁核心数据与程序,应当认定为非法控制类行为;若行为人通过技术对抗手段突破安全壁垒、篡改底层程序、删除核心训练数据与算法模型,直接破坏系统安全体系与数据完整性,则具备破坏计算机信息系统的行为特征。
张勇
华东政法大学教授、
博士生导师
非法控制计算机信息系统罪与破坏计算机信息系统罪的关键区别在于行为性质和侵害后果。非法控制罪以“掌控权限”为本质特征,行为人通过植入木马、破解权限等方式取得对系统的全部或部分控制,主观上意在利用该控制权实施后续操作(如牟利),客观上不要求造成系统无法正常运行,未导致系统功能瘫痪,即可构成。破坏计算机信息系统罪则为结果犯,须达到“后果严重”标准,其行为模式分为三类:一是功能破坏型,即对系统功能进行删除、修改、增加、干扰,致使系统不能正常运行;二是数据破坏型,即对系统中存储、处理或传输的数据和应用程序进行删除、修改、增加,即便系统仍可运行,只要数据的真实性、完整性被破坏且后果严重;三是程序破坏型,即故意制作、传播计算机病毒等破坏性程序,影响大量系统正常运行。非法控制的核心是“获取权限”而不必然损害系统或数据;破坏的核心是“损毁系统功能或数据”,直接侵害系统运行安全或数据完整性。当行为同时符合两罪构成要件时,从一重罪处罚;若行为人控制系统后修改数据以牟利,但未造成系统停运的,优先以非法控制计算机信息系统罪定罪。
林喜芬
上海交通大学凯原法学院
副院长、教授、博士生导师
区分非法控制计算机信息系统罪与破坏计算机信息系统罪,不应只看是否使用了木马、删除命令等技术手段或损害是否永久,而要考察行为对系统产生的实际影响。非法控制的核心在于谁在支配系统功能,即未经授权使系统按行为人意志运行;破坏的核心则在于系统能否按照原定目标正常运行,只有行为导致服务不可用、合法请求大量失败、任务中断等实质性功能障碍,并达到“后果严重”标准,才可能构成破坏。像算力消耗这类情况,若仅造成GPU利用率升高、成本增加或轻微延迟而系统仍能正常服务,通常只是非法控制,会造成一定的经济后果,不构成破坏;只有持续调用最终引发资源饱和、大面积服务不可用、系统宕机或核心功能无法运行等情形,才可能认定为干扰型破坏。此外,经济损失只能作为判断破坏后果是否达到入罪程度的参考,不能代替对行为已造成系统不能正常运行这一事实的证明。
本期召集人 吕颢
上海市徐汇区人民检察院副检察长
在该类案件的处理中,被害单位的损失如何计算是一个亟待解决的难题。对于文字生成式与图片生成式大模型,损失的计算方式是否有所区别?比如,在具体金额上,是按行为人非法获取的词元(Token)市场价值,还是按被害单位实际增加的算力成本价值,或者按行为人转售牟利的违法所得数额?
张勇
华东政法大学教授、
博士生导师
这类案件中被害单位的损失计算,需结合数据类案件的特殊属性,参照现行法律规则和司法实践标准分顺序认定。第一,优先计算实际损失。被害单位为大模型数据投入的研发成本、市场份额流失、商业机会减少等直接损失,都可纳入实际损失范畴。第二,实际损失难以确定时按侵权获利计算。若被害单位无法完整举证自身实际损失,可将侵权人通过非法获取数据牟利的全部违法所得作为损失认定依据。第三,在实际损失和侵权获利均难以完全查清时,可综合考量侵权行为持续时间、数据核心程度、市场影响范围等因素,酌定最终的赔偿或者说损失金额。
林喜芬
上海交通大学凯原法学院
副院长、教授、博士生导师
Token通常不是可以直接计价的犯罪对象。Access Token、API Key等属于身份认证信息;模型计算中的Token只是推理和计费单位,不能据此认定行为人取得了相应价值的“Token数据”。平台积分、API余额和预付额度具有服务请求权或账户财产利益属性,如被直接扣减,或者导致平台向第三方实际付款,相应钱款可以认定为经济损失。损失计算应以平台因非法调用实际增加的成本为核心,包括GPU占用、电力、云服务、带宽存储、外部模型调用及恢复系统功能的必要费用。模型研发成本、设备全部购置价、固定费用、预期利润和品牌损失应予排除,根本原因在于,此类行为的本质是非法占用他人计算资源,侵害的是算力的使用权能,而非设备所有权或无形资产完整性。刑法评价应聚焦于算力被实际消耗的使用价值:研发成本属于历史沉没成本,固定费用不随用量变动,两者均不因盗用行为产生损失差额;设备购置全价代表所有权,若据以定罪将导致“占用”等同于“剥夺”,严重违背罪责刑相适应原则,亦与盗电按电量、盗接通信按通话费计价的同类解释规则相悖;预期利润不确定性强,缺乏刑事证据要求的可计算性;品牌损失因果链条过长,不符合相当因果关系的直接性要求,且难以精确量化,宜归入民事赔偿范畴。平台公开API售价通常不能直接等同于刑事损失,但平台按量购买第三方服务并实际扣费的,可以按结算金额认定。行为人转售会员、积分所得属于违法所得,应与平台损失分别核算。数额认定应依据完整日志、真实成本等客观依据计算,当存在合理误差时,应采用有利于被告人的最低可证数额。
宋珊珊
徐汇区人民检察院检察官
当前算力已从硬件资源中抽象出来,成为独立、标准化的服务商品。非法调用消耗的每一个Token词元,能转化为平台的服务成本与可预期的营收损失。这一认定路径与司法实践中将“盗用电力”认定为财产损失的逻辑一致。在具体计算上,文字生成式模型可按非法消耗的词元数量乘以平台官方标准单价计算,主流平台公开发布的“模型服务价格”可参考适用。如需进一步佐证其市场价值,可援引同类服务的公开定价作为参考。如果是图片生成式模型的,可按非法调用次数乘以单次调用价格计算。
二、涉人工智能“工具型”犯罪中服务提供者的刑事责任边界
本期召集人 吕颢
上海市徐汇区人民检察院副检察长
实践中还发现有的人工智能服务提供者通过修改系统设置、调整提示词、弱化或取消安全过滤机制,使原本合规的人工智能产品能被用于规模化生成违法内容并直接牟利。当人工智能服务提供者修改设置、放开安全限制,但未直接撰写违法内容,其行为能否被评价为刑法意义上的“制作”行为?人工智能产品被用户使用后,生成违法内容,人工智能服务提供者与实际用户之间,是否能用正犯与共犯的刑法理解进行解释?
案例二
向上滑动阅览
席某系某生成式人工智能应用软件的技术开发者和实际运营者。该软件接入了某境外大语言模型,具备人机对话功能,且已配置基础安全过滤机制。为获取用户并牟利,席某故意修改该软件的系统提示词、调整软件模型参数,取消或显著弱化安全过滤机制,使软件运行环境成为可稳定产出违法信息的高风险系统。用户仅需输入特定提示词,即可通过该应用软件由境外大语言模型生成违法内容,并反馈给用户。席某采用付费会员、按次收费模式向用户提供服务并直接获利。后台数据显示,系统设置调整前后,违法内容的产出概率和数量发生了显著变化,且席某曾对违法信息生成效果进行了针对性优化。
名词解释
大语言模型(LLM, Large Language Model)
指基于海量文本数据训练的深度学习模型,能够理解和生成人类语言,具备对话、写作、翻译等多种语言任务处理能力。
提示词(Prompt)
指用户输入给大语言模型的指令性文本,用于引导模型生成特定内容。提示词的设计直接影响模型的输出方向和质量。
皮勇
同济大学法学院教授、
博士生导师
从正犯与共犯区分的法理来看,服务提供者主动改造技术体系、创设违法场景、依托违法模式牟利,主动追求违法结果发生,用户行为仅起到辅助触发作用,不能切断服务提供者对整体犯罪流程的客观支配。本案的归责核心在于谁实质控制、设计并推动了违法内容的持续生成机制。开发者虽然没有直接参与制作违法内容,但主动构建、运营、放任违法内容稳定生成的技术系统,并以此获取利益或扩大传播,要承担法律责任。在传统的共同犯罪中,提供工具的一方通常只是帮助犯。但是互联网时代,例如,App提供方造成大规模用户生成淫秽等违法内容,技术能量的加持让传统的帮助犯已然成为主导者,一旦造成传播,就可能成为主犯。修改提示词并非中性技术行为,突破伦理限制、诱导色情输出,以获取利益,已不再是中性的“工具提供”,而是对内容生产机制的实质性改造与功能设计,属于刑法意义上的制作行为前置化、自动化,开发者对生成结果具有支配力。
张勇
华东政法大学教授、
博士生导师
我们不妨做个假设。如果人工智能服务提供者通过修改系统设置、调整提示词、弱化或取消安全过滤机制,供人工智能软件可生成淫秽物品,根据刑法第363条,服务提供者可以认定为制作或传播淫秽物品牟利罪,在刑法理论上属于直接正犯。客观层面,服务提供者通过修改算法规则、弱化过滤机制,将通用人工智能改造为可稳定生成违法内容的工具,这种对算法运行规则的主动设定与控制,在规范评价上可解释为“制作”行为,如果同时向不特定公众提供该服务,具备“传播”的实质特征。作为算法规则的设定者和系统控制者,其对最终产出具有支配性作用,不能以“技术中立”或“用户触发”为由免责。我国司法实践以“快播案”等为典型,已明确认可网络服务提供者的保证人地位,其