欧盟撤回AI责任指令后的智能体责任体系反思
2025年10月6日,欧洲联盟正式在《欧盟公报》上发布公告,撤销了2022年提出的《人工智能责任指令》草案。从立法程序看,这属于欧盟委员会在立法进程受阻时的常规操作,但从规范层面审视,此举意味着欧盟在人工智能治理的义务框架与责任机制之间作出了明显倾斜的制度选择。值得法律界深思的,并非草案条文本身的优劣,而是在《人工智能法》《缺陷产品责任指令》与各成员国过错责任规则三重叠加的背景下,最能保障被侵权人救济权利的环节为何被搁置,以及这种搁置将对人工智能(尤其是智能体)的责任归属秩序产生怎样的结构性影响。
撤销指令所带来的制度代价,首先体现在诉讼架构层面。草案原本旨在构建两项核心制度。其一是证据披露机制,即在涉及高风险人工智能造成损害的案件中,允许法院应原告请求,指令提供方或部署方提交相关的技术文档、运行记录与合规证明。其二是可反驳的因果关系推定,即在被告违反法定合规义务且该违反与损害存在关联的情况下,减轻原告对因果关系的举证责任。这两项机制并未改变过错归责的基本原则,也未引入新的无过错责任类型,而是借助程序性工具对诉讼双方的现实举证能力进行再平衡。2024年修订的《缺陷产品责任指令》虽然将软件与持续性的数字服务纳入了产品范畴,但其责任构成要件仍以缺陷与因果关系的客观认定为重心。当损害并非源于某个孤立的产品缺陷,而是由训练数据问题、基础模型参数调整、部署者微调、使用者提示构造以及第三方接口介入等多层次行为共同导致时,缺陷概念的界定将因链条过于复杂而丧失可操作性。因此,新的《缺陷产品责任指令》难以涵盖原责任指令草案所针对的多主体分工致害情形,也无法承担重新分配举证规则的功能。欧盟委员会以缺乏可预见的立法共识为由撤销草案,实质上将立法进程中的利益博弈转化为被侵权人获得救济可能性的降低,其正当性在以权利救济为法律秩序归宿的制度脉络中存有显著疑问。
深入观察可见,此次撤销并非通常意义上的监管放松,而是一种义务端与责任端之间的非对称调整。一方面,事前合规义务持续扩张,合规文件的审计要求不断提高。另一方面,受害者面临的诉讼门槛几乎未有改变,启动救济的可行性并未同步增强。这种非对称性至少在三个维度上产生不利影响。其一,引导企业将资源偏向于文档化的合规投入,而非致力于实际降低事故概率的系统性安全设计。其二,使人工智能治理的重心从司法个案问责转向行政监管集中,弱化了司法作为实现个案正义渠道的功能定位。其三,将责任配置交由成员国分散的民法传统处理,在单一市场内部因过错证明难度差异而形成司法管辖的不均衡,这与欧盟法律一致性的目标相悖。随之而来的问题是,欧盟对外进行规则输出的影响力,其基础不仅在于立法文本的覆盖广度,也在于司法系统将文本转化为有效救济的实际能力。当后者持续弱化,规则输出将愈发表现为行政层面的监管手段,而非以权利保护为最终目标的法治方案。
围绕撤销的另一官方论点,即在现行《人工智能法》所设立的事前合规体系下,人工智能责任已无专门立法的必要,同样存在规范结构上的混淆。合规义务以系统上市准入与持续运行为规范对象,违反该义务主要触发行政处罚、产品召回及证书撤销等公法后果。责任义务则以已发生的损害及特定受害人的赔偿请求权为规范对象,违反该义务触发的是支付赔偿的私法后果。二者在规范对象、构成要件与法律效果上相互独立,在制度功能上不可互相替代。以合规要求取代责任规则,实质上是以前期预防替代事后救济,而事后救济的独立存在恰恰构成了事前预防机制可信度的基石。当受害人无法通过司法程序将事故成本转移至责任主体时,合规义务因缺乏外部纪律约束而易流于形式。数据保护领域的执法经验显示,在缺乏可启动的民事救济的情况下,行政层面的合规要求容易被经营者视为成本项纳入预算,难以实现真正的行为矫正。
上述欧盟经验对中国法律的借鉴意义,集中体现在对归责原则层面既有观点的重新审视。一种观点认为,人工智能活动属于高风险活动,应适用无过错责任。该观点在概念层面未区分风险与危险。风险是抽象、滞后且具有中性属性的未来不确定性,其规范回应在于风险预防与风险管理等事前治理工具。危险是具体、紧迫且相对确定的法律上的不利益状态,其规范回应方为侵权法意义上的严格责任。某类人工智能活动即便在社会学意义上被归为高风险范畴,若在具体场景中未形成异乎寻常的具体危险,仍不足以论证无过错责任的适用。产品责任扩张论同样难以自圆其说。缺陷的认定不可避免地纳入合理替代设计、可预见性与风险—效益权衡等要素,这些要素在构成上接近于注意义务的判断。将软件与持续性服务纳入产品范畴后,被侵权人的举证负担并未实质减轻,过错责任的分析结构反而以缺陷认定的名义被重新引入。赋予人工智能民事主体资格、进而借助雇主责任或监护人责任来解决归责难题的方案,则在法律教义上难以成立。雇主责任以雇主对雇员的追偿权为内部平衡机制,监护人责任以被监护人认知能力欠缺为规范预设,两者均不适合覆盖缺乏独立财产人格却在特定场景中表现出较高能力的人工智能系统。
在上述基础上,智能体的出现并未构成对过错责任原则的根本性挑战,而是对其具体构成要件提出了精细化要求。智能体以目标为导向自主感知、决策与行动,其自主性被部分文献描述为责任归属失效的证据,并由此推导出所谓的责任鸿沟。此种推论更接近于伦理学意义上的道德责任讨论,与民事责任法的构造并不对应。民事过错的核心构成并非道德层面的可责难性,而是对可预见风险未采取合理防范的行为评价。就此而言,英国法在代理法、替代责任与动物致害三条类比路径下的分析颇具参考价值。在代理法层面,委托人对代理人在实际授权与表见授权范围内的行为负责,代理式人工智能通常在其技术性授权范围内行动,即便偏离具体指令,也大多落入表见授权的外观范围。在替代责任层面,雇主对雇员在工作范围内行为承担责任的判断标准,智能体在资产能力、业务目标、控制结构、风险创造与执行范围等要素上基本吻合,且不存在脱离工作范围的私人领域。在动物致害层面,可将智能体区分为风险已为社会普遍接受的常规类型与风险尚未被社会接受的异常类型,对前者仅在使用者明知其异常特征时承担严格责任,对后者原则上严格问责。上述三条路径均表明,自主性本身不能作为使用者免除民事责任的有效抗辩事由。
然而,上述类比在处理多级代理结构时存在解释力的边界。当智能体能够调用其他人工智能子代理、直接访问外部应用程序接口、执行金融交易指令并在不同司法管辖区留存电子痕迹时,既有的授权范围、工作范围与异常风险等分析框架均面临参数失灵。其一,表见授权以第三人可通过外部信号判断代理权限为制度前提,而在子代理调用链条完全发生于系统内部的情况下,该事实基础随之削弱。其二,替代责任的工作范围判断以业务边界的可识别性为前提,智能体对外部工具的自主选择可能横跨多类业务,使工作范围概念的可操作性下降。其三,动物致害类比所依赖的异常风险识别,面临代理行为组合性所产生的新问题,即单个组件在其自身层面符合常规,但组合后可能产生非常规后果。相应地,人工智能价值链中的归责分析,须从提供者中心主义向多主体分层注意义务演进。基础模型提供者应就其塑造系统整体风险轮廓承担设计阶段的可预见性义务。微调者与代理框架提供者应就其引起系统能力的实质性变更承担相应的风险控制义务。部署者掌握使用场景的具体信息并选择模型与安全配置,应承担较高的注意义务。工具插件与第三方接口提供方则应就其开放能力的安全边界承担合理披露义务。前端使用者的注意义务则视其对系统输出的实际控制程度而定。上述分层配置相较于单一中心的归责模式,更能契合实际的风险控制结构。
过错责任在此背景下的有效运作,需要两项配套制度支持。其一是实体性透明度义务与程序性证据披露规则的配合。前者要求提供者就可解释性模块、日志留存、测试记录、模型卡、安全评估报告、工具调用日志与代理决策轨迹等承担事前披露义务。后者则允许法院在诉讼中命令被告提交相应的技术证据。其二是基于可归责的证据缺口的举证责任再配置。若被告本可合理引入可解释性设计或保留解释性证据而未引入、未保留,导致原告客观上无法完成初步证明,应将该可避免的证据缺口作为重新分配举证责任的事实依据。此两项机制正是被撤销的责任指令草案试图引入的核心工具,新的《缺陷产品责任指令》并无对应配置。就中国法而言,《民事诉讼法》近年来在书证提出命令与证据披露方面的程序改革为此类机制的本土化承接提供了程序基础,但尚需在侵权法层面增设可解释性义务等实体性规则,以防程序工具因缺乏实体支撑而难以启动。具体的制度衔接路径至少包括三个层次。第一,可在《民法典》侵权责任编体系之下,通过司法解释对第1165条过错归责原则在人工智能致害场景中的具体适用作出类型化补充,明确在何种条件下由法院认可举证责任的再分配。第二,可将《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》等行政规范中所确立的透明度义务,通过行政公法与民事私法的规范衔接,转化为民事诉讼中判断注意义务违反的具体参考标准。第三,在证据法层面,可借助《民事诉讼法》第67条及相关司法解释关于举证责任分配的一般规则,在因控制证据的一方未履行合理的证据保存义务而导致举证不能时,允许法院作出对其不利的事实认定。三个层次的有机衔接,能够在不根本改变既有归责原则的前提下,回应人工智能致害的结构性证明困境。
就严格责任的适用范围而言,不宜对人工智能活动统一适用无过错责任,而应借鉴美国法下的指定可赔偿事件机制,针对发生频率较高、损害后果较重且可稳定归因于特定系统类型的事件,例如人脸识别误识、医疗诊断误判、自动驾驶系统未能消除的剩余风险以及稳定复现的诽谤性输出,建立有限范围的法定补偿或严格赔偿制度,并辅以基金化机制或强制责任保险。此种类型化配置既可避免严格责任的泛化对中小经营者形成过度负担,亦可在一定程度上绕过黑箱证明的僵局,并与责任保险形成正向激励。对于非商业性完全开源的人工智能系统,为维护开放研发与独立审计生态,法律秩序应在明确限定条件下承认有限责任豁免。
综上所述,欧盟《人工智能责任指令》的撤销所留下的规范空白,无法由《人工智能法》所确立的事前合规体系与新《缺陷产品责任指令》所确立的产品缺陷归责机制简单拼凑加以填补。人工智能(特别是智能体)的责任归属秩序,其合理构建应回归过错责任的基本框架,通过类型化分流回应不同应用场景,通过证据披露与有限推定回应算法不透明引发的证明困境,通过有限严格责任与基金化补偿吸纳剩余风险,通过开源例外维护技术生态的多样性。治理成熟度的真正标志不在于文本的密度,而在于在利益冲突最集中的环节,制度能否持续保障被侵权人的可追责、可救济与可对抗地位。欧盟此次撤销所揭示的,正是当义务体系与责任体系发展失衡时,法律秩序在权利兑现层面所面临的结构性困境。