数字时代设计型规制的理念及其展开
关键词:设计型规制 数字行政法 技术规范性 规制步调 合作规制 风险规制
作者简介:高秦伟,法学博士,中山大学法学院教授。
一、问题的提出
在技术持续迭代并呈现颠覆性创新的数字时代,算法、人工智能的引入使歧视、不透明、不公正现象不可避免,技术成为规范公众的重要方式,确定规制什么、何时以及如何规制变得愈加困难。[1]此种省思成为数字行政法必须应对的重要课题,立法与规制者必须探寻新的理念和方法来确保算法、人工智能符合法治价值。[2]与传统行政法相异的是,数字行政法需要对技术本身加以规制,故而要使数字行政法变得更加积极主动、充满活力与反应迅速,理念更新系前提条件。于是,数字规制议题中,“设计型规制”或曰“通过设计实现规制”(regulation by design)日渐流行。[3]如欧盟《通用数据保护条例》第25条将其视为自动实施行为的法律要求,韩国《个人信息保护法》第29条以及巴西《数据保护法》第46条等均有类似规定。依据该规制方法,数字系统的开发人员必须采取措施,在其软件中反映法律规定的特定要求。[4]那么,此种理念会对一国规制体制及其实施产生何种影响呢?立足于数字时代,设计型规制理念的内涵是指将法律要求纳入算法等设计规范的一系列规制策略,该策略试图摆脱规制无法完全渗透技术发展而失灵的风险,且在规制展开时与现有的合作规制、风险规制举措相关联,进而推动各方主体遵守法律规范和原则要求。此理念意在使数字技术和系统从开发、应用之初便处于问责机制之中,不致使技术问题成为逃避责任的借,并促使立法与规制者关注法律设计的议题。事实上,“设计”一直就被用于规制的过程和目标[5],不过,在行政法与规制理论中,基于规制目标的设计及其应用的研究较为鲜见。[6]引入设计型规制理念,积极的意义在于可以促使数字系统(包括数字政府系统在内)明确责任分配并契合法治要求。[7]但是引入理念会不会导致行政法体系愈加技术化[8],设计型规制应当如何推动和展现技术与法律的有效衔接、互动?值得深入讨论的问题在于,能否将“设计”的权限纯粹交由软件设计者执行,算法对法律的解释可能根深蒂固地嵌套于数字系统之中,是否尚有其他的机制弥补其不足呢?设计型规制主要针对数字技术而兴起,但亦可以适用于对其他事务(尤其是各种新兴技术)的规制,值得探究的是对数字领域以外的经由设计的方法的有效性或局限性何在?这些追问均构成了本文的问题意识,希冀相关的探讨能够有益于数字行政法的深入发展。
二、设计型规制理念的内涵与性质
行政受科技发展的影响及变革由来已久,但并未如现在这般受万众瞩目。数字时代既要继承传统规制的基本做法,亦要创新规制理念,以适应数字时代的更迭。设计亘古有之,亦被视为实现规制目标的工具之一。基于规制目的而使用设计的法学研究并不多见,不过,最近的讨论显现出两种应用型趋势:一是分析可用于实现规制目标的工具选择问题时,规制机关主张利用技术实现行政目标[9];二是关于特定技术或者背景下规制合法性的讨论,主张基于技术的规制当属行政法的研究范畴,而不仅将其局限于有意改变他人行为的技术方法之列。[10]此时,设计便有了法规范的意涵,成为技术与法律互动的桥梁。设计型规制通过防止或抑制被视为不可取的行为或者社会结果展开运作,使技术在促进更广泛的规制目的和过程中能够更加符合法治的价值取向,切实保障公众的基本权利。这一理念的引入促使传统规制概念得以拓展,承认技术具有规制功能,但同时更聚焦技术与法律的交互。
(一)设计的法规范意涵
设计起初系工程学上的概念,作为一种塑造行为的手段,被引入到社会科学中主要涉及对场所、环境的架构,用以鼓励或者劝阻某些行为,典型场景如城市规划中利用环境设计预防违法犯罪。经济学上的机制设计理论则立足于市场竞争,是指在既定的经济环境下,选择能够达成最优效果的机制,从而发掘最佳和最有效的资源配置方式。该理论包含激励相容、实施理论等内涵,应用于诸多现实问题的政策设计过程。[11]此处的问题在于,传统设计理念并不关切技术本身且奉行技术中立主义,而如今使用技术促进规制目标实现时,诸多的技术均可自动执行,与违反规范的行为需要积极监督和执行的要求大相径庭,公众的隐忧在于这些技术本身是否需要经过合法性的检验。[12]单纯利用技术实施规制显然在一定程度上违背了民主问责制,单纯通过技术手段塑造社会结果甚至会严重破坏公众的道德和社会基础。私人主体则因技术应用而深刻地改变了公私之间的权力(权利)平衡;规制机关因采取技术而使透明度、正当程序的要求遭到漠视。设计型规制必须成为一种分析框架,该框架应有助于在法律层面展开概念化阐释和辩析,同时借鉴工程本身开发的工具与知识,将这些见解转化为数字时代的核心规范。
众所周知,法律始终滞后于技术的步调,技术决定论由此产生,主张技术驱动法律变革。[13]相对应的观念为技术例外论,其用以衡量新技术是否具有足够的变革性、足以破坏现有的法律基础。[14]相关争议最为典型的表现就是“马法之争”,有学者主张不应当围绕一个对象来设计一个领域,反对者则主张互联网需要特殊的处理规则。[15]问题在于,例外不一定意味着法律变革,而且技术与法律的变革并非如此简单,事实上法律亦可构建技术。近二十年来,理论界对法律与技术互动更是提出了诸多观点。如“信息法”“技术规制”以及“代码即法律”等,均极力肯认通过技术推动治理。[16]此外,有学者从“情景法”的视角加以阐释,强调技术使用时要重视情景并廓清法律要求:亦有学者自创“法律科技”一词,该词指涵盖法律领域使用所有信息技术的现象。[17]可以说,诸如此类的理论积极回应了技术(包括代码、架构等)的规范性及其意义,不足之处在于片面关注技术本身的设计,并且极其强调技术的中立性,在一定程度上忽视了法治价值的全面实现。一些学者甚至声称技术就是法律,“技术规制”仅指通过技术设备中建构的规范来有意影响个人行为。[18]此种认知失之偏颇,但同时代表了公众的一种立场或者担忧。而且,随着技术的流变,实践亦发生更迭,如“信息法”原先作为私人秩序而存在,但现在的“人工智能法”则涵盖公共与私人秩序的综合性特征,既集中决策又兼具个性化画像,导致单纯依靠工程设计者自我规制难以回应社会难题,尤其需要政府规制的变革,需要从外部的中立性规制转向分析、辩论与风险型的规制。[19]技术正在作为规制机制寻求将人类行为置于某些规则的管控之下,故技术规制同样需要从法律的视角加以设计,此处的“设计”便具备了法规范意涵,一方面,其有可能是现有法律规范的映射,另一方面,其本身也在创造有法律依据或者无法律依据的命令。法学意义上的设计内涵在于,需要在技术设计之时嵌入法律价值[20];设计时反对技术冷漠,不能仅将技术作为工具,因为它有可能强化传统的规制模式,且可能抑制创新与发展。设计型规制系一种合作规制,设计时伴有相关的程序保障,以跨学科的方式展开,涉及组织内技术人员、律师、政策制定者和高级管理者等多主体间的协调,侧重彼此之间的对话;为提升人类应对自动化决策挑战的能力,需要提升设计的规范性,推动技术与法治的协调。唯此,方能找到应对技术发展的法律解决方案,法律才能够跟上数字时代的步伐;才能找到将法治原则融入技术的方法,促进数字行政法的发展。
(二)通过设计保护隐私的经验与反思
传统政府规制以命令控制型规制为主,通常的做法是以法律禁止特定的行为,并辅之以对违规行为的强制制裁。进入数字时代,一方面,传统政府规制因外部技术介入以及规制工具所具有的滞后性的特征,难以有效防范技术进步所带来的负面影响。另一方面,有学者提出代码亦是一种规制工具,如使用摄像、网络技术收集信息并拘束行为,因应出现了前述的“技术规制”概念,但如此可能带来诸多风险。随着技术不断演进,技术规制越来越依赖于由此采用的设计“规则”的准确性和精确度。然而实践与技术的复杂性,导致期待技术人员只需将法律要求转化为技术形式就可以完全达成某项任务或者克服法律不足的想法成为空中楼阁。于是,在技术应用的同时,立足于法律整体的设计型理念也被提升至重要的地位。也就是说,使用技术(设计)仅仅是设计型规制的开始,从全域看,我们既依赖技术设计,又需要在利用技术之初以及整个过程中,促使技术的运用符合法治的要求。[21]如使用大数据预测以帮助执法人员确定检查优先项目时,便需要确定相关考量因素,应当注意平衡算法风险与收益、协调各方主体的行动策略结构、确定均衡的保障机制等。设计型规制的最初表现形态为个人信息保护领域的“通过设计保护隐私”或“通过设计保护个人信息”机制,亦可称为隐私保护设计理论。其源于美国公平信息实践原则,目的在于促成这些原则转化为信息和通信技术设计与操作的规则。加拿大安大略省信息和隐私专员于1995年首次提出该术语,旨在使信息产品在整个生命周期内能够获得普遍的隐私保护。[22]此后该理论被美国、欧盟和许多国家隐私保护立法、行业准则、商业实践所采纳。这也意味着在通过设计保护个人信息的框架下,隐私不再仅仅是法律人的职责,且囊括了其他人利用代码来加强隐私保护的义务。[23]此处的“设计”可以理解为一种机制建构,它用于解释系统如何架构、运行、通信以及其架构、功能和交易如何对人产生影响。[24]
随着对通过设计保护隐私的研究不断深入,该机制逐渐转变为一种有效的规制工具。[25]它作为法律规范出现于欧盟《通用数据保护条例》第25条,要求数据控制者在数据处理过程中采取适当的技术性、组织性措施以及必要的保障措施,并采用保持最新技术以保护数据主体权利。该条款在技术层面,要求考虑系统组件和体系结构的设计、数据及其相互关系的设计、接设计等;在法律层面,要求注重法律与技术的协力,通过数据保护影响评估、第三方认证、审计等组织措施和机制增强信任度。实施隐私保护设计时既需要厘清法律要求,又要对系统功能进行分析,然后对数据与隐私风险展开研判,关注多方利益相关者并对方案的实施进行测试、评估等。实践中,该机制发挥了巨大的作用,并拓展至其他的立法领域,如欧盟《数字市场法》鼓励数字守门人通过设计措施来促进公平公正和市场竞争,《欧盟人工智能法》规定人工智能系统应采用各种设计措施,用以促进公共利益和基本权利,而丹麦则将设计型规制规定为指导数字行政运作的实定法原则。但也有学者指出,此类规定过于灵活,如要求实施适当的技术和组织措施以配合相关处理手段,其可行性仍有待论证。问题的关键可能在于如何理解与执行,为此,需要在法律要求与技术运作之间实现协同。进一步的讨论是,在数字时代,规制机关如何回应,以及是否仍旧依靠传统规制方式(如设定许可),是否对技术全盘吸纳,是否为避免“一刀切”的困境而采取数据分级分类规制方式。[26]其中有些方式因欠缺灵活性而无法适应新技术的发展,有些方式则无法真正渗透技术变革的全过程而难以实现有效规制。虽然数据分级分类规制有利于统筹数据发展与安全价值,但是却未能与规制的目标相结合,且场景化、动态化不足。设计型规制则意在克服各种不适应性,从技术、组织、法律等层面加以整合调适。并且,为解释针对设计保护隐私灵活性的质疑,设计型规制既着眼隐私增强技术的应用,亦强化法律要求的嵌入,更注重组织设计,将律师、技术人员、企业管理者融入设计过程中。设计型规制要求法律为技术设计“设定界限与目标”,法律必须在设计中发挥作用,与先前的规制要求截然不同。[27]
(三)设计型规制的性质与步调
欲使设计型规制得以展开,不致使法律完全技术化或者技术逃逸法治拘束,关键是应准确把握设计型规制的性质。有学者将基于设计而进行的调控视为一种授权,即规制机关授权设计者执行法律要求,以作用于使用数字系统或者受数字系统影响的人;进而将设计者视为规则制定者,即设计者需要确定法律要求的具体含义甚至建立新的规则,并适用于系统预期运行的特定环境。[28]设计者要选择、决定哪些是满足法律要求的技术手段,在有些代码中必须反映法律要求,有些技术则可能要避免使用。由此,可以看出通过对设计的强调,法律与技术之间可形成互动,如将法律要求加以解释并编程进入软件系统。值得讨论的是设计者能否充分、正确地理解法律要求,或者他们的编程工作能否充分、全面地反映法律要求;设计者与某个环节的开发人员之间倘若缺乏足够的互动,前者是否会因不具备相应的技术能力而无法根据法律要求作出及时更改、调整。技术在执行规制时,直接或间接地与数字系统交互的用户、第三方发生关联,由于技术产生的规制效果取决于设计者在创建数字系统时作出的技术决定,因此,法律层面的设计要考虑对技术设计者予以反向规制。然而,实践中的做法是将规则制定的权力完全下放给了设计者,这些人并不受合理程序的拘束,这就导致了以下困境:随着技术越来越复杂,未来此种授权不可避免地失控的可能性进一步增加。这就要求设计型规制应当采用技术和组织实践方面的措施,以减轻相关的授权风险。例如,在数字行政领域,设计型规制需要突破技术壁垒,将算法视为一种“具有普遍约束力的决定、命令”,结合技术与法律要求展开合法性讨论,从而使数字时代行政法教义学体系持续稳定发展。[29]唯此,设计型规制方可将技术与法律要求紧密结合,不至于使数字行政完全将责任推卸于技术。[30]而在私人自动化决策领域,对技术设计本身所展开的法律设计,更是构成了技术规范性的实质性讨论。[31]也就是说对技术的设计方法应当发挥私人主体技术的特长,时刻对市场需求加以权衡,立法及人民法院相关判决也印证了这一点。[32]同时设计型规制又构成了对技术设计裁量的限制,如要求反映决策透明度、结果公平公正等内容,或者要求规制机关以评估、备案等形式事前参与私人设计,实质性地促进私人自动化决策的可问责性。[33]
设计型规制理念可以破解规制步调不一致的难题。[34]为此,近几十年来,计算机科学开发了许多技术和工具以在软件中体现法律要求,如税收和交通管理规则的自动化,使法律要求可以全面地转换为软件代码,并借由其予以执行。这个过程可称为通过设计实现规制,当然,细节性的问题依然需要阐明。一些法律规则或者要求较为复杂,使用简单的条件结构型编程显然难以完成指令任务。如法律原则的编程,其并没有规定条件结构型义务,需要基于特定语境来评估和判断是否承担义务以及义务的具体内容。[35]设计者能否提出相应的技术解决方案,进而能否满足相应的法律要求,这值得省思。技术的持续发展在一定程度上足以解决基于原理、原则的推理难题,然而,相关技术的使用仍然需要设计者在实现目标时进行价值评估。质言之,虽然技术会及时更新,但是设计方法可能因时间的推移而受到影响:一方面法律会因解释而得到续造,另一方面法律会得到修订,那么,是否存在法律变革之后,这些系统便滞后于法律要求,并在一段时间继续执行过时规定的情况呢?当然,规制机关或者设计者会启用新的数字系统加以取代,《欧盟人工智能法》规定,在人工智能系统脱离设计者控制的情形下,设计者应当采取一切适当的纠正措施,使人工智能系统符合要求,或者从市场撤回、召回人工智能系统。故而,设计者应时常关注法律条文或其解释的变化、关注系统运行暴露出的问题(在设计过程中未被发现的偏见)等。这便是通过设计实现规制与先前的技术规制等理念的本质差异,前者需要时刻随着时间的变迁而关注法律要求,在法律要求与技术变革之间保持互动,增强持续性并使规制符合发展的步调。
三、设计型规制的展开及其与合作规制的协同
面对大数据算法、人工智能应用带来的挑战,既有规制方案多局限于外部,或注重对技术应用结果加以规范,以及对算法的提供者加以拘束,并不关注技术本身的问题。[36]而设计型规制理念则试图突破这些局限,通过参与设计准确识别技术偏差的症结并深入剖析技术的运行逻辑。具体展开之时,要求设计者将法律规定转化为技术要求,将法律条款的内容嵌入数字系统的代码中。[37]此处“设计者”一般认为是指数字系统的概念形成至应用过程中,参与创建系统的所有人员,如程序员、项目经理等。首先,作为重要的规制理念,设计型规制旨在根据规制机关制定的目标影响人们的活动。如有学者提出,通过竞争性的设计实现数字市场的竞争保护。[38]其次,设计者有义务确保数字系统符合法律要求,律师等的作用得以在此凸显。实际上,私人主体特别是企业展开了丰富的实践,且体现为积极地作为以及全流程的覆盖。[39]最后,设计型规制呈现为合作规制的形态,规制机关不仅授权设计者实施相关权力,而且自身也要对规制要求的实际内容展开监督。如对于人工智能系统的开发,需要公私行为者的协力合作,其中,规制机关需要在规范、准确、可信、伦理等方面作出判断,法律设计亦需要覆盖系统的全流程,并不断与私人主体展开对话、学习,从而使设计型规制在得到合作规制配合的同时获得整体性的展开。
(一)设计型规制展开要体现阶层性
设计型规制要求被规制者遵守法律义务,将法律义务转化为算法规范,并以规范的形式使技术本身遵循某些价值观;要求规制者监督私人主体的自我规制、履行合作规制的义务以及遵守规制的各项要求,形成规制的阶层模式。在整个过程中,此种围绕技术而形成的合作规制促进了被规制者与规制者协商形成与实现义务的态势,并成为设计型规制展开的重要措施。[40]如规制者将一些技术标准的制定交由私人主体完成,而合作规制义务的履行多以评估、审计、认证为主要方式,从而督促技术设计者在发挥技术专长的同时确保恪守某些价值。此前的合作规制相对静态化,对技术不置可否,导致一些数字系统产生了法治困境。而设计型规制则既确保法律要求与法治实现,又实质性地促进技术领域的合作规制。[41]也即,通过设计实现规制不仅涉及系统的设计过程与对各种技术应用的合作,还包括了业务流程与网络基础设施、相关的组织措施的协同。首先,这是对自我规制的重视,进而形成被规制者与规制者之间的合作。其次,有利于实现技术与法律的互动协同,有研究指出:“若法律在'设计保护'中扮演'实体法'角色,系统则承担'程序法'作用,其决定了法律规范在系统中的牵引力。”[42]协同旨在强调设计保护应阐释价值与法律要求,然后落实于系统设计中,实现“码法共治”。再次,系统设计在要素确定、保护措施选择、流程设计及方案改进等均应呈现更深程度的合作规制。设计在系统开发中长期存在,如何将法律知识编入设计系统框架,从而使由此构建的系统具备合法性,这是法律人应当思考的议题。一般情形下,立法者和规制机关将以明确、易于解释、人类可读以及机器可读的格式发布法律和法规,不过法规范毕竟具有高度抽象性,为此必须转换并加以明确化,法律专家及时介入系统设计初期的工作显然更有利于防止违法行为的发生。最后,随着技术发展,合作规制的治理主体、工具及其关系因复杂化而呈现“空间化”特征[43],有必要深入探讨设计的整体性作用,引导设计者重视原本被忽视的价值。“从根本上说,如果对于大规模、复杂、相互联系的系统不能成功地做出规划,那么,技术失用症将会成为流行病。社会肯定会转向一条不同的技术发展道路……因此,很清楚的是,不对规模系统的状况进行规划和控制,就要冒一种文化衰退的可怕风险。”[44]由此,为防止技术、社会状况朝着不利情形发展,需要在原有法律型合作规制的形态中引入设计型理念,这也导致设计型规制的内涵在数字时代下更加丰沛。
设计型规制可以利用合作规制展开有效的规制活动,旨在应对数字时代提出的挑战,但目前面临三个问题:一是如何能够顺利实现规制目标,使设计不至于构成对被规制者额外的负担?二是授权在何时是合理的?三是设计的执行是否会给合作规制带来挑战?回答第 一个问题的关键在于,数字时代设计义务要求将价值观嵌入到算法中,但迄今为止,除个人信息保护领域外,相关讨论极为粗浅,需要深入探究。非歧视、消费者保护等方面的价值观均应当受到重视,在这方面,需要结合数字宪法、数字人权理论的丰富来加以拓展。回答第二个问题的关键在于,授权的充分性要对被授权者实施某些限制以及责任规定才能够让设计型规制的展开更为有效。当然,此种限制并非任意施加。在此过程中,要谨慎地对待预先设计的方法,其意味着需要对技术采取动态干预的策略。设计型规制是一种积极主动的法律方法,要求在规制问题发生之前对其加以预测和解决,但有的时候并不是强行将法律规范通过“编码”进入技术之中,反而可能更珍视对技术共识的培养。[45]回答第三个问题的关键在于,它涉及规制机关之间的协调机制以及私人实施的能力。设计型规制的展开须仰赖合作规制的协同.后者为设计型规制的展开提供了一个可持续的、可迭代的监测系统,既激励产业自我规制,又促进政府规制。无论由哪个机关负责规制实施,均需深入了解法律和编码、编程,以充分评估设计目标融入算法的功效,这也是设计型规制特别强调的内容。此外,私人主体还需要在培训程序员和律师方面大量投入,以提升其对设计的实施能力。
(二)设计理念要促使规制全过程覆盖
近年来,中国学者开始重视规制设计的议题,但通常将规制与设计、规则制定视为同一事物,此认知显然与学理上长期以来严格区隔规则制定与规制执行有关。[46]故有学者在指出行政法学应引入设计观念并重视规制设计时,却只是形成了一种“立法者的法理学”。[47]技术应用突破了传统事物的运作规律,技术系统集规则制定与执行于一体,数字时代要预防技术及其设计侵犯基本权利与法治价值,就有必要使设计型规制的展开涵盖设计与规制的全过程。此前,规制机关依赖技术实施信息收集或者行为矫正,但当时的行政法学与规制理论较为关注实现规制目标的政策性工具、方法及其革新,较少对某项具体技术予以规范,认为其并非行政法学的研究内容。而基于设计的规制则是将法律要求适用于技术形成、使用的全过程,防止或抑制被视为不可取的行为或者社会结果的发生并影响规制目标。很显然,基于设计实现规制与使用技术来促进规制并非同一过程或议题。在前者看来,技术不再是简单被动的工具,反而在数字时代需要不断促成技术与法律之间的互动,规制机关要时常参与设计过程,淡化规则制定与执行的差异。此时,设计型规制便成为重要的方法论:一是设计可被视为实现规制目标的方法,同时也可将之前对单项工具的关注转向结构化和体系化;二是设计可以实现技术与法律之间的互动,促成从系统形成至功能实现、从规则制定至价值嵌入全覆盖,并重申责任的意义。设计型规制的展开改变了过于强调技术工具性作用的偏颇,开启了技术与法律之间关系的新视角,两者虽然属于不同的功能系统,但简单将两者等同或者对立均是非理性的。[48]从技术出发加以规制,应当考虑不同主体对技术使用的场景及其限制,此时法律的作用在于使技术进入到法律体系之中。[49]在此背景下,规则制定与执行的截然分离变得不合时宜,要使规制目标得以顺利实现,就需要在规则制定之时,以预防性、适应性的思路调和技术与法律的关系,构建更为灵活、更具弹性的规则执行机制,以提升对复杂问题的处理能力。而在规则执行过程中,要时刻秉持设计理念,以开放、透明、共享的方式允许多元主体参与交流对话,并将相应的问题和信息及时、准确地反馈给规则制定者,从而以预防性、精确性、适应性的规制方式持续推进数字行政法的迭代升级。
以现代技术推动政府规制的数字化转型,业已成为数字行政法的重要内容之一。通过设计实现规制的展开则将促使数字行政法进行深刻变革,即经由设计型规制,规制机关可以对各项技术、流程建立规制环境,自动、实时跟踪技术发展,并提供资源共享并进行监督,进而形成一种分布式的规制样态。此种发展与传统行政法并不会渗透到技术管理层面,而多采取行为规制、技术规制的做法不同,在理念导向上是基于预防性、精准性与适应性的行动指引。更为重要的是,设计型规制的展开可使规制实现全覆盖,由于参加设计的主体呈现多元化特点,规制机关与各主体均能够贡献相应的规制资源与信息资源,在协同中利用不同的工具和手段来实现规制目标。同时,设计型规制可实现规则制定与执行的全覆盖和互相参照,这使设计者应当考虑如下问题:一是法律规定与目标技术之间的适配或联系是否充分;二是规制制度在实现其目的方面的有效性;三是用于实现这些目的的手段、制度形式和做法的可接受性与合法性;四是目的本身的可接受性与合法性;五是用于实现这些目的的过程中的可接受性和合法性,以及社会认为这些目的和其他目的被优先考虑的可接受性与合法性等。当前,针对人工智能规制的策略问题,有学者提出了诸多有益的观点,如增强透明度、重视对隐私和数据的保护:侧重对高风险人工智能技术的规制以及呼吁政府应当建立一套判断有据、智能精准、高效协同、动态分级的规制体系等。[50]总体而言,大多数观点认为,应基于风险对不同风险等级的人工智能系统进行差异化规制。[51]然而,此种思路并不利于建立一体化、全覆盖的规制体制,规制执行的信息可能因过于场景化操作而无法有效反馈给规则制定者,从而难以从整体上认知风险的不确定性问题,无助于发挥技术与法律互动及多元主体合作规制的功效。[52]而且,究竟如何定义人工智能的风险,仍需通过技术设计与法律价值之间的权衡,并由各方合作来作出。设计型规制的展开因技术应用变得具有可能性,能够作为将规制对象的社会事实的各种联系转化为与数据的关联和算法、人工智能系统的合作,从而实现对社会事实信息的语义描述与数据操作。传统决策以经验决策为主,割裂、分散且呈碎片化特征,而基于数据、算法的事实则尤其需要具有设计的思维,在规则制定与执行之间形成关联,进而解决规制总是陷入滞后的困境。规制展开时,既可以不针对某种产品或者服务而形成新的规制并加以执行,亦可以形成必要的针对性规制并回应现实需求,而不至于对行业发展和技术进步构成障碍。
(三)设计型规划要形成合作、对话与学习机制
即使有合作规制的配合,设计型规制在展开时遇到的最大诘问在于其会不会助长家长式的管控?事实上,设计型规制本质上是对新技术的法律分析,并非规范自由的扩张或者限缩。然而,此种变化的确可能导致规制要求成为包罗万象的条款,不确定性更加明显。为调和这一矛盾,设计型规制在展开时特别强调合作、对话与学习的功能。首先,经由设计实现规制,规制机关不仅仅关注规范化,而且为技术人员提供指导;通过沟通、协商解决问题,以事前解决问题的方式为主,而非在发生违规违法行为之后介入;合作将避免执法式规制的弊端,使行政法的结构更加强调合作。传统规制使用命令控制的方法,即政府可以彻底禁止某种产品、限制某种行为,并通过法院追究责任,但质效有限。设计型规制的展开,促使企业持续实施监控,促成专业知识与快速变化的技术相适应,具体的做法包括影响评估、自我审计、行为准则、行业认证、和解、咨询等。在设计型规制中,被规制者发挥着重要的作用。但这并不代表不需要规制机关,有效的治理前提反而需要存在一个强大的规制机关,有能力且时刻准备纠正偏差以确保产业、企业在与规制机关合作、达成规制目标时,成为可信赖的合作伙伴。
其次,设计型规制的展开能够带来组织变革,使行政组织以及被规制者(多为企业)将隐私、基本权利等价值和要求嵌入产品和服务之中。设计型规制根据系统本身以及外在环境因素变化调整内部组织,更具整体性;关注技术的运行流程,综合运用技术、法律等手段,使组织得以预见性地展开规制。[53]组织变革使规制机关的政策制定、协同合力的功能在合作与设计过程中得到强化;而面对行政执行能力弱化的可能性,行政法必须有所作为,重塑个人与科技公司、个人与国家的关系。[54]设计型规制的展开也促使规制机关不断调整自身的组织形态,更加关注弱势群体,助推社会正义的实现。就目前而言,科技公司的核心目标意在获得消费者的数据以获取利润(仅承担有限的责任),行政法的任务在于重新思考能否将数据(数据的控制权)合理地分配给其他主体,进而实现数据共享并制约科技公司日益扩张的权力。[55]
再次,设计型规制的展开,可为所有主体就新技术开发和利用提供对话交流的平台,使所有主体面向市场,关注风险与收益,在技术层面与法律层面实现最佳互动与任务分配。对话能够建立强大的反馈机制,进而把握各种技术应用及其规制活动的内在连续性;通过持续对话、沟通以及信息交流与共享,不断优化规制方案。如在对话特征极为明显的“规制沙盒”测试机制中,规制机关与企业就测试时间、对象、范围、豁免条件、规范指引、监测方式、信息披露义务等进行磋商,根据企业的创新需求采取差异化的规制措施。[56]通过对话,优化设计型规制协调开发或者调整方案,充分发挥企业自我规制的效能,增强社会与公众的作用,以消解因算法、人工智能技术的应用而带来的负面影响。
最后,设计型规制的展开可提升学习能力。[57]一直以来,学者侧重于诠释规制对创新的激励,然而,事实上规制的方向亦决定着创新的发展态势。一是规制方向的设计需要理论的支撑。数字行政面临巨大变革,单向度关注数据要素或者静态界定个人信息与隐私保护均非可行之道,需要以人为本,构建各方主体之间的信任基础。传统隐私侧重于个人自主权、控制信息以及远离政府与社会探知的权利,实践并未完全如愿。在目前越来越强调开放、共享的社会中,仅强调自主与控制的概念显然差强人意,亦未能够全面阐释数据流通的关系及其影响。这就需要通过理论建构来确定规制方向。二是理论并非凭空臆造,而是源于不同主体之间的学习。设计型规制推动企业得以持续地开展学习,组织结构和在其中工作的人员均应当加以适应,以促进自我规制的发展。企业存在利润优先、部门孤立和技术人员配备不稳定的情形,构成了设计的障碍。为此,企业必须从战略的角度和高度认识和把握设计和学习的重要性,促进企业内部特别是技术团队与其他部门之间互相学习。强大的组织规范和组织文化的传播,以及稳定的成员关系对团队成员之间的学习至关重要,它可以促进企业成员在学习中形成获得的智识和理论。就规制机关而言,密切关注技术并持学习态度,回应性地调整规制手段,能够使创新、创造力以及竞争力被人们从设计思维的视角来加以阐释和构建。
四、设计型规制的展开及其与风险规制的互动
技术发展是行政法与规制变革的机遇,更是风险规制的缘由。规制机关亟待正确运用诸如算法、人工智能等技术提升效率,并使之契合法治价值;更要将技术工具主义引导至以人为本的发展理念。因此,设计型规制在展开时成为一项风险管理事业。大规模技术运用的现实意味着,公众使用的产品或服务多数是以限制他们选择的方式加以构建。如何使设计能够反映公众真正的个人偏好显然存在一定的难度,因为法律人士与技术人士之间的沟通并非一直通畅。技术人员必须尽早地考虑法律要求,以确保解决方案合法。法律往往较为笼统且并不针对某种特定的技术,而设计之时必须围绕某种具体技术展开抉择。[58]这些问题给技术人员造成压力,实施法律要求时其往往缺乏必要的专业知识。正是这些原因,导致数字系统很难满足法律要求,进而形成不测之险且严重影响公众权益。[59]但即使如此,设计者仍然要作出选择并采取措施将风险降至最低,在某些情况下甚至要采取不使用该系统或者某种技术的方式以防范风险。更为棘手的是,由于新技术表现出不可预知的风险以及高度复杂性,因而要对风险影响因素加以充分把握,此类因素属性较为多元,技术性与社会性的因素经常相互叠加。这就要求设计者、规制者要对风险全过程进行参与和规制,涵盖从数字系统形成前到部署后的全生命周期,设计出的预防性方法能够减少不希望发生的事件出现的可能性,亦可以遏制不希望的行为发生,基于此,可推导出适当的规制措施。[60]同时,基于风险的设计型规制在展开时更要面向未来,形成预期性治理。
(一)通过风险规制为设计提供基础
对技术加以风险规制是目前中外学者的共识。学理与实务上均认为,风险分级手段可以区分差异化的风险,并将有限资源优先分配于较高的风险。然而,如果仅将风险分级手段视为风险规制的全部内容,难免以偏概全。[61]该手段多以结果为聚焦点,始终无法克服规制难以与技术协同发展的窘境。有学者较早地对规制发展的生命周期与设计取向的政策定位进行了对比,阐释了规制机关在最初是如何以非共时的方式来开发实质性和程序性规制工具的。[62]该学者指出,技术发展导致规制机关与被规制者信息不对称,一些规制措施往往使政策和规制行动处于不确定状态。于新兴颠覆性技术背景之下,不确定性更为深刻与普遍,规制机关通常并未完全意识到其试图解决问题的性质,也无法确定规制解决方案的可能样态。如以网约车为例,各国的规制机关耗时许久方找寻到规制的难点与方案。[63]对此,需要一系列实质或程序性的规制工具及其组合方可达成预期的目标。可以认为,规制构成了一种混合体,而非单一离散式的政策工具:它可能来自政府也可能源于产业实体,既包括命令控制型规制亦涵盖自我规制。数字时代,这些模式中的哪一种是适宜的,以及应当如何实施均值得反思。规制的实质性工具通常解决过去或者现在滋生的问题,而程序性工具则更具前瞻性,亦同时预测下一次危机以及应对危机所需的实质性工具种类。两种工具之间的非共时性一直存在,但又会同步发挥作用。从周期来看,当一个行业完全被规制后,规制机关的主要作用便是努力维持现状。相对而言,在这个周期中,行政法对规制的酝酿至成熟之间的阶段研究较少。然而,这却是一个关键的时期,将影响到规制制度的完善程度。对数字行政法而言,了解制度发展早期阶段的力量与风险至关重要。如数字时代使个人信息保护越来越依赖于个人权利和公司内部合规来管理数据收集、处理与利用,结果导致无处不在的商品化和企业监控的具体化,隐私法赋权个人的权利用以平衡企业利益的做法明显造成了更大的不确定性。在隐私保护发生范式转变的同时,传统行政法不介入技术早期的做法显然较为轻率。[64]行政法对被规制者内部遵从法律行为的关注,丰富了行政法的层次与内涵。但仍然需要进一步对其内部结构及其运作加以有效规制,否则,自我规制所固有的弊端便会被无限放大,如隐私影响评估等本意在于识别评估对个人隐私的潜在威胁,以及采取适当的风险缓解措施,但企业将之用来评估利润风险,很少或者并未考量消费者的隐私风险。[65]
设计型规制展开时将全面吸收风险规制的内涵并力图摆脱上述不足,既适用于技术系统,也适用于私营部门以及规制机关,强调从设计着手,从根源上对风险予以探测,将安全、法治的价值自设计到部署、使用和最终处理的全生命周期加以关注。从企业发展的角度来看,设计和风险规制的考量被纳入内部政策和标准之中,可以增强企业运作透明度、提升用户控制力。从规制机关的视角观察,能够使其密切关注技术演进并保持学习态度,动态调整规制工具,有效克服政府规制的被动性特征。设计一个能够确保用户和公众安全,同时促进商业使用和消费者享受颠覆性创新的规制框架绝非易事。当前,各国政府对于规制有的采取间接措施,如依赖侵权法规制人工智能技术;有的则选择较为刚性的措施,直接禁止应用某些技术。[66]无论采取何种策略,规制之前都必须了解面临着什么样的挑战。此类讨论的文献较多,但是却始终无法解决准确把握颠覆性创新的相关风险及其程度,结果产生更多的不确定性与不一致性。也就是说,传统行政法与规制框架缺乏相应机制,用来简明扼要地向立法者与规制者传输有益创新的想法。[67]立法与规制者通常缺乏相关经验或者想象力来预测一项新技术可能造成的负面影响及其概率。[68]于是,如何使构成规制基础的相关事实能够具有确定性,如何使规制在技术进化过程中不总是处于被动局面,就成为了设计型规制关注的焦点。借由设计,可以洞察技术推演的整个过程以增强规制的确定性,进而利用风险规制测试不同的规制方式然后其对结果进行比较,以风险预防原则为基础,使规制与商业、消费者获得创新之间保持联动。[69]基于此,可以为立法与规制设计提供更为详尽的事实,促进数字时代下规制机关基于数据驱动,依靠参与设计并围绕新技术的不同数据来源线索,进而能够确定规制什么、何时以及如何规制。对于立法者与规制机关而言,收集与整理这些数据是持续性的工作,具体规制之时更需要规制机关以灵活、开放的理念来处理技术问题,并允许在未来纳入新知识或在后续发现的基础上对规制加以修正。
(二)基于风险展开设计型规制
如果说风险规制能够使规制机关更好地了解风险以及技术沿革,从而有效展开设计型规制的话,那么,基于风险规制的设计型规制在展开时则能够依据技术特征,实现全过程予以规制并灵活运用各种规制工具,促进各主体参与并探索建立“规制沙盒”测试机制,鼓励企业创新并切实保障公众权利。当前,风险规制的作用举足轻重,如要求算法备案可产生事前风险防范效果。然而,新技术永远具有风险不确定性,即内外部风险的不可预知性。事前风险防范以风险可预见为客观前提,但新技术内部不可预知的情形,可能导致算法备案效果不佳;在新技术外部不可预知的情形下,算法评估制度亦无法平稳开展,技术走向、产业形成以及应用后果均不可知,风险难以预见,算法评估很难发挥事前预防及事后校正的功效。[70]新技术、新产业发展的各个阶段和环节均可能产生难以预知的风险,必须基于风险展开设计型规制,唯有如此,才能够及时应对风险并做出相应调整。基于风险的设计型规制可以对技术发展及其对法律、社会的挑战及时、全面地应对,并形成快速、灵活的响应机制并鼓励企业自我规制,促进政府展开规制实验。其可以从全流程展开规制,而不是在假设的风险或者不合理的分级分类的情形下机械地做出应对,这样能够对训练数据、基础模型、服务应用展开预防与调控并重的规制,并能够利用技术发展解决规制难题(如Open AI利用系统卡等技术为算法透明度提供了技术解决方案),利用技术标准提供规制工具;设计型规制还可利用法律规范设立诸如“规制沙盒”测试的机制,营造有利新技术发展的法律环境。针对各类风险采用不同的应用场景和规制措施,以动态调整的规制方式,允许规制机关将新的应用领域不断纳入现有的风险类别,既能保持各类规制的横向统一性和协调性,又能加快纵向规制创新措施的实施实效。
那么,此种基于风险的设计究竟如何展开,需要综合施策。毕竟此类过程对于行政法学者而言充满陌生与不确定性,即使许多核心价值已通过设计得以嵌入,但仍需加以落实。具体而言:第一,以往的“设计”主体仅仅局限于参与设计的技术人员的范畴,用户或者消费者难以介入,应当利用风险信息交流的方式提升公众参与度。第二,法律嵌入技术时面临着法律解释方法的挑战,因此,保证法律解释方法的一致性以及针对特定情境的响应性变得极为迫切,立法如何与技术设计结合的问题亦值得讨论。对此,必须强调风险评估与设计机制的融合。第三,技术能否承担某种价值?如何保证企业的产品或服务能够在设计中体现某种价值要求?设计是一个长期、迭代的过程,除企业参与者外,其他主体如何参与到这个过程之中?如用户本身就是促进技术人员设计出新产品的出发点,关注用户权利更是目标,因此,必须强调设计的合作与风险特征。[71]第四,将风险效用平衡、合理的替代性设计、可预见的非预期用途和警示义务等作为侵权法的重要理论构成,有助于描述通过设计实现规制的要求。问题在于将权利保障(如隐私权)通过设计来加以实现,确定性的缺失是致命的,公众难以判断某些行为、产品或服务是否符合法律要求,且难以寻求救济。通过设计保护隐私理念所提出的原则似乎并没有提供额外的指导,操作性较弱。[72]如何恰当且有效地指导被规制者便成为关键,通过设计实现规制的理念为被规制者提供足够的信息,让被规制者能够了解规制机关期待什么样的行动、变化或者新的策略。基于风险规制,设计者能够权衡更为安全的设计成本与可预见的伤害。进而,通过设计规制要求科技企业权衡更具隐私保护属性的设计成本(包括隐私默认、数据收集的选择加入选项、及时通知、增强同意、数据最小化、处理限制等),防止可预见的隐私风险和程序实用性或功能的缺失。如果存在一种更为安全、更能增强隐私的选择,且不会在功能上有明显缺失,它便应当成为隐私保护设计的选项。[73]总之,基于风险认知,设计型规制成为打开技术设计“黑箱”的重要工具,以确保公众能够免受歧视和不公正对待。但其是否会扼杀技术创新,目前的证据似乎难以证明,结果反而可能是创造力和创新思维在一定的约束范围内蓬勃发展。[74]
(三)面向未来更新设计理念
设计型规制的适用性并不应当仅从有效设计的技术角度展开评估,还必须从被规制者的视角观察数字时代行政与规制的合法性,因为技术在事实上以有力、崭新的方式约束人类行为,如果不经过合法性的检视,将产生侵蚀基本权利或者法治原则的不利后果。而为了因应技术的持续发展性,设计型规制的展开更需要具有前瞻性,应识别出被规制技术相关的未来机遇和风险,并使系统不会成为过时的技术体系。[75]这一判断构成了设计型规制展开的新内涵,学者为此提出“未来规制”的概念来呈现规制是否影响未来及其与未来发展是否适应的问题,从而防止规制因技术过时而无法适应经济社会的变迁。[76]对此,一方面,要坚持并不因为特定技术变化而设定特殊要求的原则,尽量确保即使技术发生变化,规制框架也能继续以同样的方式运行。以不断变革的互联网广告的规制为例,规制不能因广告技术的变化而失去功效。另一方面,应建构规制沙盒、定期审查规制等机制评估面对技术进步时,现有法律条款是否仍然适用。此类机制允许规制机关在广泛的功能等效技术中使用相同的规制方法,并减少将新技术纳入现有方法所需的调整举措,此举有助于确保规制弹性。[77]此时,仅局限于当下的技术设计并不足以形成稳定的、面向未来的规制框架,需要以公众参与的方法使设计者能够关注到被系统影响的个人和群体的各种特点,甚至与之协力合作。因此,需要设计者采取质量管理流程来识别和解决数字系统运行产生的未来风险,从而确保系统不断更新以持续满足法律要求。设计型规制是一种面对长期风险的规制方法与理念,要在设计中贯彻预见性的理念[78],除依据组织性的措施外(包括隐私保护、影响评估等),同时尚须借助技术手段管理风险,在数据保护与人工智能法的领域更是如此。例如,模块化软件架构允许设计者对系统进行部分修改而不致影响其他部分的功能,自动寄存器允许设计者追踪缺陷或其他不良结果,对既定设计模块加以确定便于增强设计者的合法性并使系统的技术架构更易于理解等。
要构建面向未来且具有持久性的系统,就不能简单地将利用技术系统设计视为真正的“设计”或者是通过设计的规制。真正的设计型规制是指要在技术设计的基础上,于技术中嵌入法治价值,展开时还应考量以下因素:第一,设计要适度克制,保持必要的灵活性。为防止通过技术进行规制的过度扩张,必须在设计时强调克制和可扩展性,以保持适应未来的灵活性。在不确定的环境中进行规制时,技术本身要秉持工程设计上的谦逊原则,这也与法学的审慎态度形成了呼应。即使决定利用技术加以规制,也要努力设计赋权型的价值系统作为默认系统,而不是在选择不透明的情况下强制实施某些行为。专门嵌入价值观的技术应当不断加以发展,使其具有可扩展性(可添加新功能)、抽象性和模块性(使应用程序可以相互独立地构建,并易于拓展)。第二,设计型规制要求以人为本,将人权价值观嵌入技术之中,唯如有此,方可面向未来且具有延展性。传统的工程技术设计确实提高了互操作性、效率等价值,设计型规制则为优先考虑哪些实质性价值作为技术架构提供了起点。技术设计为如何优先考虑不同的价值观奠定了基础,但依然需要在法治、人权保障理念的指导下进一步研究技术运用的层次、阶段及拘束等议题。第三,设计型规制需要确保规制机关拥有适当的工具,在技术专长、权威与能力之间达至平衡。设计时,除鼓励私人主体外,规制机关必须采取积极措施缩小自身在技术专长方面与专家的差距,亦需要改变立法工作的设计,允许更多人员参与其中:在预期性规制时,规制机关应定期对相关规制进行全面审查,以衡量各种价值诉求的实现程度;应展开规制影响评估,协调各规制机关的工作,允许多方利益相关者为设计提供智力支持,为技术人员和被规制者创造激励型环境,使他们合理地引导消费者与行业的发展。
五、结语
技术创新的不确定性给数字时代的政府规制带来了严重的挑战,一方面,技术应用能够对公众行为产生影响,决定其选择与行动,于是技术成为规制的手段;另一方面,技术构成规制的对象,且两个层面时常互动。这些内容均是传统行政法所未涉及或未充分探讨的范畴,导致法律规范中的技术内容不计其数,甚至滋生了技术性规则架空法治的弊端。
设计型规制或通过设计实现规制提出的背景在于,技术应用使其在提供产品或者服务时漠视了公众权利(如隐私、知情权等),必须弥补现有的,特别是事后的解决措施的不足,故而在设计之初以及后续过程中考虑相关的权利保障成为关键。私人主体有义务利用其创造力和判断力来设计不同的工具,评估不同技术的有效性,并根据不同情况调整各种工具的选项,从而确保足以控制特定风险。规制机关应立足公共价值的促进和社会福祉的创造,围绕技术全过程与私人主体展开合作、对话、学习,在法律人与技术者之间架起畅通桥梁,推进合作规制与风险规制的再发展。设计型规制的理念及展开能够克服以软件设计为基础的规制存在的可能将一些风险加以巩固的弊端,使规制者利用设计的理念,时刻与被规制者形成互动态势;同时,能够针对此类风险,保留人的自主性与裁量权,确保法律有能力寻求修改技术规制的可能性,用以减轻或者消解风险。[79]基于设计的方式塑造社会并非新鲜事物,但随着生物技术、神经技术等发展,利用不断增强的计算能力、人工智能的迭代升级等技术优势,可能会产生比以往任何时候都需要更精确、更有针对性、更具浸入性和永久性的规制形式。通过设计实现对技术的规范,符合法治作为元规则的要求,更能够在延续、选择与变迁之中促进数字行政法的深入发展。[80]在未来,数字行政法是否会呈现出偏离传统规制决策模式,其是否是以事实为基础并委托给政治家与专家的模式有待进一步观察,而确定的认知则是人类能够在多大程度上享有其基本权利的讨论始终备受关注,其结果不仅取决于法律与社会规范,亦仰赖于人类所掌握的技术。
【注释】
[1]参见山东省济南市历下区人民法院(2020)鲁0102行初550号行政判决书。
[2]参见刘权:《数字政府建设中数字化与法治化的融合》,载《当代法学》2023年第6期,第15页。
[3]See Avner Levin,Privacy by Design by Regulation:The Case Study of Ontario,4 Canadian Journal of Comparative and Contemporary Law115(2018).
[4]See Peter van Cleynenbreugel,EU By-Design Regulation in the Algorithmic Society:A Promising Way Forward or Constitutional Nightmare in the Making?in Hans-W.Micklitz et al.eds.,Constitutional Challenges in the Algorithmic Society,Cambridge University Press,2021,p.202.
[5]See Karen Yeung,Can We Employ Design-Based Regulation While Avoiding Brave New World,3 Law,Innovation and Technology1(2011).
[6]参见高秦伟:《规制结构与行政法设计型理念的提出》,载《浙江学刊》2024年第2期,第72-88页。
[7]参见谢潇《智慧城市数据的法律治理及其制度因应》,载《西南政法大学学报》2024年第3期,第52页。
[8]技术标准成为数字时代管理风险的关键。参见许娟:《生成式人工智能的“三经九纬”法治新模式》,载《西南政法大学学报》2024年第3期,第147-148页。
[9]“推行行政执法移动应用程序(APP)掌上执法”,参见国务院办公厅印发的《提升行政执法质量三年行动计划(2023-2025年)》。
[10]参见毛海栋:《技术何以规制?-—技术规制的概念证成与意义探究》,载《浙江学刊》2024年第6期,第57-65页。
[11]参见朱慧:《机制设计理论2007年诺贝尔经济学奖得主理论评介》,载《浙江社会科学》2007年第6期,第188-191页。
[12]参见高秦伟:《数字行政中法治价值的设计与实现》,载《比较法研究》2024年第2期,第32-47页。
[13]参见黄晓伟、张成岗:《技术决定论的现代性透视:源起、脉络及反思》,载《自然辩证法研究》2018年第11期,第27-32页。
[14]See Ryan Calo,Robotics and the Lessons of Cyberlaw,103 Calif.L.Rev.513,551-552(2015).
[15]参见戴昕:《超越“马法”?-网络法研究的理论推进》,载《地方立法研究》2019年第4期,第1-17页。
[16]See Roger Brownsword,Code,Control,and Choice:Why East is East and West is West,25 Legal Stud.1(2005);Colin Gavaghan,Lex Machina:Techno-Regulatory Mechanisms and Rules by Design,15 Otago L.Rev.123(2017);Joel R.Reidenberg,Lex Informatica:The Formulation of Information Policy Rules through Technology,76 Tex.L.Rev.553(1997-1998);Lawrence Lessig,Code:And Other Laws of Cyberspace,Version2.0,Basic Books,2006.
[17]See Mireille Hildcbrandt&Bert-Jaap Koops,The Challenges of Ambient Law and Legal Protection in the Profiling Era,73 Modern Law Review428(2010);Gabriele Buchholtz,Artificial Intelligence and Legal Tech:Challenges to the Rule of Law,in Thomas Wischmeyer&Timo Rademacher eds.,Regulation Artificial Intelligence,Springer,2020,p.185.
[18]See Bibi Van den Berg&Ronald E.Leenes,Abort,Retry,Fail:Scoping Techno-Regulation and other Techno-Effects,in Mireille Hildebrandt&Jeanne Gaakeer eds.,Human Law and Computer Law:Comparative Perspectives,Springer,2013,p.67-87.
[19]参见郑玉双:《计算正义:算法与法律之关系的法理建构》,载《政治与法律》2021年第11期,第91-104页。
[20]See Niva Elkin-Koren&Karni A.Chagal-Feferkorn,Lex AI:Revisiting Private Ordering by Design,36 Berkeley Tech.L.J.915(2021).
[21]参见林维:《提升政府转型中的数字法治素养》,载《中国党政干部论坛》2022年第10期,第75页。
[22]See Marc Rotenberg,Fair Information Practices and the Architecture of Privacy(What Larry Doesn't Get?),2001 Stan.Tech.L.Rev.1(2001).
[23]See Deirdre K Mulligan&Jennifer King,Bridging the Gap Between Privacy and Design,14U.Pa.J.Const.L.989,992(2011-2012).
[24]④See Aurelia Tamo-Larrieux,Designing for Privacy and Its Legal Framework:Data Protection by Design and Default for the Internet of Things,Springer,2018,p.209.
[25]参见郑志峰:《通过设计的个人信息保护》,载《华东政法大学学报》2018年第6期,第51-66页。
[26]参见范玉吉、李宇昕:《从权力到权利:算法治理的路径》,载《西南政法大学学报》2022年第1期,第87-90页。
[27]参见段俊熙、徐亚文:《隐私设计的数字权力风险与多元优化路径》,载《长江论坛》2024年第5期,第72-85页。
[28]See Marco Almada,Regulation by Design and the Governance of Technological Futures,14 Eur.J.Risk Reg.697,699-700(2023).
[29]参见查云飞:《算法的行政法属性及其规范》,载《法制与社会发展》2023年第6期,第168页。
[30]参见吉林省长春市中级人民法院(2019)吉01行终260号行政判决书。
[31]See Giovanni De Gregorio,The Rise of Digital Constitutionalism in the European Union,19 International Journal of Constitutional Law41(2021).
[32]参见《互联网信息服务算法推荐管理规定》第8条、浙江省杭州互联网法院(2022)浙0192民初4259号民事判决书。
[33]参见朱晓峰、林睿尧:《论自动化决策中交易条件合理差别待遇的认定》,载《郑州大学学报(哲学社会科学版)》2024年第3期,第58-67页。
[34]参见高秦伟:《互联网广告规制的反思及理念更新》,载《行政法学研究》2025年第2期,第42-43页。
[35]See Lee A.Bygrave,Data Protection by Design and by Default,in Christopher Kuner et al.eds.,The EU General Data Protection Regulation(GDPR):A Commentary,Oxford University Press,2020,p.571-580.
[36]参见王淑瑶、张钦昱:《算法歧视的理论反思与算法决策的规范重构》,载《电子政务》2024年第10期,第102页。
[37]See Emre Bayamglu&Ronald Peenes,The Rule of Law Implications of Data-Driven Decision-Making:A Techno-Regulatory Perspective,10Law Innovation&Tech.295,298(2018).
[38]参见徐则林《通过竞争设计实现数字市场竞争保护-以GDPR隐私设计条款为镜鉴》,载《华中科技大学学报(社会科学版)》2022年第1期,第64-73页。
[39]参见李维扬:《通过设计保护隐私》,载《信息安全与通信保密》2018年第1期,第32-42页。
[40]See Michèle Finck,Digital Co-Regulation:Designing a Supranational Legal Framework for the Platform Economy,43 European Law Review47,65(2018).
[41]See Linda Senden,The Constitutional Fit of European Standardization Put to the Test,44 Legal Issues of Economic Integration337(2017).
[42]何红锋、张宇轩:《数字时代个人健康信息合理使用中的利益冲突与弥合以“设计保护”为进路》,载《科技与法律(中英文)》2023年第4期,第47页。
[43][美]兰登·温纳:《自主性技术:作为政治思想主题的失控技术》,杨海燕译,北京大学出版社2014年版,第204页。
[44]参见李天恩:《构建元规制空间服务市场监管的逻辑机理和实施路径》,载《中国市场监管研究》2023年第11期,第62-65页。
[45]See Bert-Jaap Koops&Ronald Leenes,Privacy Regulation Cannot Be Hard Coded:A Critical Comment on the“Privacy by Design”Provision in Data-Protection Law,28 Int'l Rev.L.,Computers&Tech.159(2014).
[46]参见曹炜:《环境监管中的“规范执行偏离效应”研究》,载《中国法学》2018年第6期,第258-279页。
[47]参见苏宇:《机制设计理论与中国行政法学的转型》,载《财经法学》2018年第2期,第5页。
[48]参见蒋超:《法律算法化的可能与限度》,载《现代法学》2022年第2期,第31页。
[49]参见高秦伟:《数字政府背景下行政法治的发展及其课题》,载《东方法学》2022年第2期,第182页。
[50]参见陈潭、王颖:《人工智能时代政府监管的实践转向》,载《中南大学学报(社会科学版)》2023年第2期,第136-144页。
[51]参见唐要家、唐春晖:《基于风险的人工智能监管治理》,载《社会科学辑刊》2022年第1期,第114-124页。
[52]See Marco Almada,Automated Uncertainty:A Research Agenda for Artificial Intelligence in Administrative Decisions,16 REA Law137(2023-2024).
[53]参见陈凤仙、连雨璐、王娜:《欧美人工智能监管模式及政策启示》,载《中国行政管理》2024年第1期,第88页。
[54]See Amna A.Akbar,Demands for a Democratic Political Economy,134 Harv.L.Rev.F.90,112(2020).
[55]See Paul Ohm,Regulating at Scale,2 Geo.L.Tech.Rev.546,546-547(2018).
[56]参见刘盛:《监管沙盒的法理逻辑与制度展开》,载《现代法学》2021年第1期,第115页。
[57]See Mirella Miettinen,“By Design”and Risk Regulation:Insights from Nanotechnologies,12 Eur.J.Risk Reg.775(2021).
[58]See Irit Hadar et al.,Privacy by Designers:Software Developers'Privacy Mindset,23 Empirical Software Engineering259(2018).
[59]See Atheer Aljeraisy et al.,Privacy Laus and Privacy by Design Schemes for the Internet of Things,54 ACM Computing Surveys1-38(2021).
[60]See Johann Laux,Sandra Wachter&Brent Mittelstadt,Taming the Few:Platform Regulation,Independent Audits,and the Risks of Capture Created by the DMA and DSA,43 Computer Law&Security Review105613(2021).
[61]参见江海洋、魏书敏:《基于风险的通用人工智能监管——从欧盟(人工智能法案>视角展开》,载《科技与法律(中英文)》2024年第2期,第88-97页。
[62]See Marver H.Bernstein,Regulating Business by Independent Commission,Princeton University Press,1955,p.3-12.
[63]参见高秦伟:《分享经济的创新与政府规制的应对》,载《法学家》2017年第4期,第17-29页。
[64]See Anupam Chander,Margot E.Kaminski&William McGeveran,Catalyzing Privacy Law,105Minn.L.Rev.1733,1737(2021).
[65]See Ari Ezra Waldman,Privacy Law's False Promise,97 Wash.U.L.Rev.773,789-803(2020).
[66]参见丁晓东:《人工智能风险的法律规制 以欧盟(人工智能法〉为例》,载《法律科学(西北政法大学学报)》2024年第5期,第3-18页。
[67]See Mark Fenwick,Wulf A.Kaal&Erik P.M.Vermeulen,Regulation Tomorrow:What Happens When Technology Is Faster than the Law?,6 Am.U.Bus.L.Rev.561,573(2017).
[68]See Wulf A.Kaal,Dynamic Regulation of the Financial Services Industry,48 Wake Forest L.Rev.791,799(2014).
[69]See Noah M.Sachs,Rescuing the Strong Precautionary Principle from Its Critics,2011 U.Ill.L.Rev.1285,1298(2011).
[70]参见[德]卡尔·拉伦茨:《法学方法论》(全本·第6版),黄家镇译,商务印书馆2020年版,第472页。
[71]See Ari Ezra Waldman,Privacy's Law of Design,9 U.C.Irvine L.Rev.1239,1252-1253(2019).
[72]参见张继红:《经设计的个人信息保护机制研究》,载《法律科学(西北政法大学学报)》2022年第3期,第37-38页。
[73]参见张宇轩:《人机对话中个人信息的“设计保护”-以ChatGPT模型为切入点》,载《图书馆论坛》2023年第8期,第77-87页。
[74]See Yafit Lev-Aretz&Katherine J.Strandburg,Privacy Regulation and Innovation Policy,22 Yale J.L.&Tech.256(2020).
[75]See Marie-Valentine Florin,Risk Governance and'Responsible Research and Innovation'Can Be Mutually Supportive,25 Journal of Risk Research976(2022);Kyungmoo Heo&Yongseok Seo,Anticipatory Governance for Newcomers:Lessons Learned from the UK,the Netherlands,Finland,and Korea,9 European Journal of Futures Research9(2021).
[76]See Sofia Ranchordás&Mattis van't Schip,Future-Proofing Legislation for the Digital Age,in Sofia Ranchordás&Yaniv Roznai eds.,Time,Law,and Change:An Interdisciplinary Study,Hart Publishing,2020,Ch.16.
[77]参见李仁真、申晨:《监管沙箱:拥抱Fintech的监管制度创新》,载《辽宁大学学报(哲学社会科学版)》2018年第5期,第107-114页。
[78]参见杨素雪、孙启贵:《新兴技术的预期治理:内涵、意义与过程》,载《科技管理研究》2019年第23期,第47-53页。
[79]为了解决并非所有法律要求均可以嵌入技术或者用户并无相应防御权的难题,有些国家在相应的法律规范中明确要求让用户了解相关的技术措施。See Article6 of the Copyright Directive is implemented in Article29a of the Dutch Copyright Act.
[80]See Karrigan S.Bork,An Evolutionary Theory of Administrative Law,72 SMU L.Rev.81(2019).