大数据时代下，通过收集、整合信息形成数据并加以利用，已经成为企业实现业务运作和升级的重要手段之一，而数以万计的信息、数据的整合离不开系统的有效运作与维护。为克服传统人工运维成本较高等问题，自动化运维产品和服务大量涌现。这些产品使用预定义规则的、可被自动触发的脚本，来执行常见的、重复性的运维工作，从而提高效率、减少成本。

      一般而言，在人工运维情境下，运维人员的主观预判将直接影响系统运作，关系到平台内储存的客户信息、数据的安全性。在因运维人员操作失误或技术人员算法预定错误而导致的数据泄漏案例中，认定雇主因雇员失误而承担替代责任无可厚非。但随着智能运维的普及，当运维者从自然人变成了基于深度学习算法设定的人工智能时，因操作失误导致数据泄漏而损害客户的权益时，又应如何认定各主体之间的侵权责任？本文将对相关问题进行探讨。

       在智能运维情境下，人工智能将承担过去由技术人员负责的大部分职务工作，若根据职责拟人化进而将人工智能视为企业“雇员”，适用《中华人民共和国民法典》（以下简称《民法典》）第一千一百九十一条的规定，将雇主作为“用人单位”而承担替代责任，同时将提供“雇员”的第三方研发企业视为“劳务派遣单位”而承担侵权责任，似乎可使责任分担问题迎刃而解。

      然而，将人工智能视为企业“雇员”，即意味着认可了人工智能的民事主体资格。因为雇员和雇主之间权利义务关系暗含的前提，是双方都属于合格的法律主体。从世界范围内看，人工智能尚不具备此资格。那未来能否通过立法赋予？目前，已有学者明确提出赋予人工智能以法律人格的构想。比如，欧盟议会在关于人工智能的提案中，已有赋予人工智能“特殊的法律身份”或“电子身份”的建议。需要指出的是，虽然该观点使责任认定在理论层面顺理成章，但在可预期的时间里，其仍是对社会制度的一次颠覆性挑战。

      一方面，认定人工智能为民事主体，需要民法进行系统回应，为其量身定做一套法律制度，但现实情况却是短期内很难大刀阔斧地修改法律。另一方面，即使人工智能发展到一定程度，可以模拟人类甚至具备超出人类智识水平的思维模式，但仍不可能有与人类相同的意识、需求及情感。人工智能不具备人类的本能认知，而赋予其享有权利、承担义务的资格，在道德和伦理层面不可行，也没有任何法律意义。退一步来讲，即使其获得了法律人格，适用替代责任条款也未必合理。比如，在传统意义上，用人单位对外承担了无过错责任后，对内可以依据内部规定对雇员予以没收奖金、降薪、降职等处分，以达到追偿效果。而当“雇员”变成了非人类，此种追偿效果则难以实现。相关责任应如何认定，更可行的方案仍是将其置于现行法律制度的框架下进行讨论。

       首先，应厘清人工智能是否属于产品。笔者认为，人工智能是企业运维时使用的一种工具，应作为法律关系客体存在。依据《中华人民共和国产品质量法》（以下简称《产品质量法》）第二条第二款，作为研发机构研发、制作的，并有偿提供给企业使用的工具，应当认可其具有产品属性。需要注意的是，具有产品属性，并不当然适用产品责任。在立法上，存在一部分具有产品属性，但不完全适用产品责任之物，如军工产品、电力等。此类物虽然由自然人研发、制作、使用，但由于其具有高度危险性，无法完全投入市场流通，通常不适用产品责任。与前述物相比，人工智能产品的危险性明显较低，且目前已有相当部分人工智能产品投入市场交易。基于此，在没有立法明确人工智能法律地位的前提下，笔者认为将人工智能视为产品并无不妥。

      其次，应分析人工智能产品的缺陷。依据《民法典》第一千二百零二条的规定，若产品存在缺陷造成他人损害，研发人员作为生产者应承担无过错责任。《产品质量法》第四十六条在法律层面上解释了何为缺陷，其中关键在于如何认定不合理的危险。一般认为，不合理危险仅指在对产品进行合理使用过程中出现的危及使用者人身、财产安全的危险。依据引发缺陷的原因不同，缺陷可进一步划分为制造缺陷、设计缺陷与警示缺陷。

      制造缺陷，指产品使用的原材料、零部件等存在缺陷或因加工、装配等制造导致产品违反强制性标准而存在不合理危险。具体到人工智能产品，主要指研发阶段的硬件选择、环境配置不当，可能导致的产品机械或物理故障。

      设计缺陷，则多因设计上存在欠缺而产生危及他人人身、财产安全的不合理危险。人工智能产品的设计缺陷主要是指算法设计不够成熟。如何判定算法设计存在缺陷，可以借鉴《美国侵权法重述（第三版）》中有关判断一般产品设计缺陷的认定方法，即是否存在合理的“替代设计”。也就是说，受害人需要证明存在一个能减少或避免损害发生的更为合理、但研发者未采用的算法设计方案。因人工智能产品与一般产品不同，要有非常强的专业知识储备才能证明是否存在合理替代设计。另外，受害人也无法知晓算法设计之“内幕”，至多通过人工智能产品的表现反推可能存在算法设计缺陷。因此，笔者建议可以适用举证责任倒置，由生产者举证目前不存在更加合理的算法设计方案。同时，可以引入产品责任保险，以“损害分散”的方式补偿受害人，并防止生产者因承担巨额赔偿责任而影响其后续的研发、生产。

      警示缺陷指未全面、妥当地说明或警告，使产品违反了强制性标准或存在不合理危险的情形。其认定前提在于生产者负有警示义务。对于一般产品，生产者的警示义务多针对产品的性能、结构、安装或使用。除此之外，人工智能产品生产者还需提示消费者产品潜在的算法问题，包括前述的算法设计问题和算法的不可解释性（或称”人工智能产品的算法黑箱”）。

      人工智能区别于其他产品的特殊之处在于其内涵的不可控。这主要取决于人工智能本质上属于一种算法自动化决策并自主优化决策的过程。在不变更算法框架的前提下，人工智能依据算法运作过程中训练得到的网络参数作为决策依据，而部分参数可能无法通过算法的运作原理进行解释。换言之，即使算法设计合理，生产者仍可能无法解释为何人工智能会作出某种决策。此可谓人工智能产品的算法黑箱。那么，此种算法自动优化决策不当，是当然属于产品缺陷还是构成生产者的免责事由，这需要进一步讨论。

      《产品质量法》第四十一条第二款为产品的生产者规定了三类免责事由：未将产品投入流通的；投入流通时引起损害的缺陷尚不存在；投入流通时科学技术水平尚不能发现缺陷的存在。

      第一类免责事由不涉及人工智能产品的特殊性，因此本文不展开讨论。第二类事由旨在豁免生产者为运输、仓储、销售等流通环节或受害人对产品不正当使用所形成的缺陷而承担责任。事实上，算法自动优化决策不当难以确定形成之具体环节。因为人工智能通过训练优化参数的行为可能贯穿于从出厂到使用的全过程，而在真正投入使用前，很难发现优化决策是否存在。基于此，笔者认为算法自动优化决策不当不能视为第二类免责事由。至于第三类免责事由，即所谓的开发风险抗辩，是立法者为权衡消费者利益与相关产业、科学技术发展之间的关系而作出的安排。

      笔者认为，算法自动优化决策不当可归于第三类免责事由。目前，智能运维的研发机构只负责设计人工智能模型的框架和初始配置。然而，在投入实际流通时，模型的表现主要与基于数据学习的映射函数和当前的实际环境特征相关。现有科学技术很难对这两方面与人工智能表现的关系作出准确的评估。人工智能与其他产品相比存在的不可控性所致风险，应当认为是法律所容许发生的。否则，在科技革新的时代下，潜在的研发机构会为了规避风险和责任，而不再愿意投入研发，这将对相关产业的长足发展造成不利影响。值得注意的是，针对普通产品适用该免责事由时，科学技术水平的认定通常以我国社会整体具有的科学技术水平为标准。至于是否存在此类免责事由，根据《产品质量法》第四十一条的规定，应当由生产者承担举证责任。

      根据前述分析，对于智能运维研发机构承担的侵权责任，首先，如果智能运维出现制造缺陷、警示缺陷时，受害人能够举证证明涉案产品客观上存在问题，研发机构即承担产品责任；其次，当涉及设计缺陷时，由于相关技术性要求较高，应当由研发机构举证证明目前不存在更合理的替代方案，否则其也需承担无过错的产品责任；最后，如果研发机构能够举证证明损害是由无法解释的算法黑箱所致，则应当认可研发机构不再承担侵权责任。

      企业使用智能运维产品出现问题而导致客户数据泄漏，面对客户所遭受之损害，企业应承担何种侵权责任？在逻辑上，应先判断此情形下企业行为是否属于特殊侵权，再判断能否以一般侵权责任进行兜底。

      首先，关于是否违反安全保障义务的问题。作为提供公共服务、存储公共信息和数据的企业泄漏数据，是否可能被认定违反安全保障义务？实际上，《民法典》第一千一百九十八条第一款对安全保障义务主体进行了范围限定，仅包括公共场所的管理人和群众性活动的组织者。当企业对收集客户的信息、数据进行存储、管理时，一定程度上具有“公共场所管理人”的属性。但研读法律条款便可发现，目前承担安全保障义务的主体仍限定在物理公共空间。作为信息、数据集合的系统却属于虚拟空间，且作为信息、数据的集合场所，在人员流动上不具有公共性。另外，一般认为构成违反安全保障义务的侵权形态为“不作为”，而企业操作不当导致的数据泄漏明显属于作为侵权。笔者认为，若适用《民法典》第一千一百九十八条来认定责任，则需要对该条进行扩大解释；而若扩大解释以追究责任，还需对虚拟公共空间管理人的安全保障义务内容作实质判断，具体则可能涉及个案分析。基于此，并不必要对该条款规定作扩大解释。

      其次，关于是否构成一般侵权责任的问题。分析这一问题最重要的落脚点在于主观认定。认定提供智能运维企业的主观上是否存在过错，具有一定的难度。由于人工智能能够自行预判、分析及解决问题，甚至无需过多的人工干预。然而，企业能否以此主张自身不具有主观过错？笔者认为，并不当然如此。因为人工智能作为高级机器人，发生宕机等机械故障的概率仍然存在。换言之，智能运维并非意味着无需企业雇佣相关专业技术人员进行监控。因此，在对企业进行主观认定时，仍需着重考察其是否尽到合理的审查和监管义务。比如，是否审慎避免机械故障的发生、是否严格依据研发机构提供的说明书规范使用、是否及时依据研发机构的通知更新版本等。需要说明的是，在多数情况下，技术人员监控只能保证人工智能的正常运作，对其自动优化决策所造成的损害结果，则很难认定使用智能运维的企业是否存在主观过错。考虑到对企业主观认定的技术难度，笔者建议，可考虑适用举证责任倒置，由企业举证证明自身在使用智能运维的过程中，不存在主观过错。

      通过以上讨论可知，分析使用智能运维者应承担的侵权责任，完全可以依据《民法典》的侵权责任编分情境进行类型化认定，即考察使用者利用人工智能所从事活动的危险性大小、致损严重性程度来确定归责原则的适用。笔者认为，在危害性相对较小的情境下，归属于一般侵权行为。但如果使用者利用人工智能从事一些高度危险的作业活动，如从事高空、高压、地下挖掘等，此时依照《民法典》第一千二百四十条的规定，其应承担无过错责任。在此情形下，若属于人工智能产品缺陷所致损害，使用者在向受害人承担完侵权责任后仍可向生产者追偿。值得注意的是，当损害是由人工智能自动优化决策不当造成时，若此损害当然由使用者承担，对于人工智能产品的使用者并不公平、合理；通过立法将不可解释的算法黑箱同样作为产品使用者的免责事由予以确认，或许更加合适。如此，也符合《民法典》侵权责任编区分适用无过错责任和过错责任的价值取向。

      对于因人工智能自动优化决策不当所造成的损害，笔者认为，不应归咎于法律关系中的任何一方主体。那么，损害究竟应由谁承受？

      学者王乐兵主张，算法总是产品生产者精心设计的结果，“黑箱”仍然属于算法设计上的缺陷，应当由生产者承担严格责任。此种安排当然有利于填补受害者损失，实现《民法典》侵权责任编的补偿功能。但算法设计上的缺陷和不可解释的算法“黑箱”，存在根本性差异。人工智能在运作过程中基于历史数据不断优化决策，不受使用者和研发者控制。发生的概率、发生后是否导致损害、导致何种损害及所致损害的严重程度，都不受生产者的主观意志控制。将损害直接归咎于某一主体，似乎存在“一刀切”之嫌。事实上，没有生产者能保证其产品百分百安全，而人工智能与其他产品相比存在的不可控性所致风险，应当认为是法律所容许发生的。

      当然，笔者并非主张风险完全由受害人承担，或可尝试依据公平原则，由社会一同分担损失。比如，由行政机构或行业协会主导，构建一个专门的资金池，用于填补由人工智能产品的算法“黑箱”所致受害人的损失。其资金来源可由社会上所有专门研发、生产人工智能产品的企业按时、按份缴纳，也可由消费者在购买人工智能产品时分摊部分费用。

来源：中国审判