魏东：人工智能算法安全犯罪观及其规范刑法学展开_

作者简介：

魏东，四川大学法学院教授、博士生导师、刑法教研室主任，四川大学刑事政策研究中心主任，中国刑法学研究会理事、国际刑法学协会中国分会理事，国家社科基金项目法学类评审专家、司法部部级课题评审专家，四川省刑法学研究会常务理事、副秘书长，四川省犯罪防控研究中心学术委员会委员，国家重点基地中国人民大学刑事法律科学研究中心、北京师范大学刑事法律科学研究院等高校科研机构兼职研究员，国家检察官学院四川分院、西南科技大学法学院等高校兼职教授，全国律师协会刑事专业委员会委员、四川省律师协会刑事专业委员会主任。

本文原载于《政法论丛》，因参考文献较多，予以省略。

一、人工智能犯罪研究的第三种视角

人工智能犯罪的规范法学研究视角目前有两种：一种是当下视角，立足于传统刑法教义学原理知识的运用，以有效解决当下弱人工智能犯罪的解释适用为基本内容。对于当下弱人工智能（即弱人工智能机器人，又称专用人工智能机器人）所实施的犯罪，刑法学界秉持弱人工智能“产品论”、“犯罪工具论”和“犯罪对象论”的立场，具体检讨人工智能产品的设计者、生产者、所有者、使用者在现行刑法框架内的犯罪与责任归属问题。另一种是将来视角，立足于刑法发展论和刑法立法原理知识的运用，以（超）强人工智能犯罪所引发的规范法哲学思考和刑法立法发展完善为基本内容。认为未来研究的重点在于“人工智能对刑法人类中心主义的挑战，人工智能犯罪主体的范畴、责任范围与程度，刑法如何介入对人工智能的规制以及人工智能犯罪的刑罚适用”。有学者认为，“人工智能被赋予公民身份这一事件对刑法提出了挑战，人工智能能否成为刑事责任主体变成了一个值得讨论的话题”，并且指出“真正对当下刑法提出挑战的是人工智能与生物工程结合后改造人类自身”。这表明，人工智能犯罪第二种研究视角提出的核心问题是：对于将来可能出现的（超）强人工智能所实施的犯罪，可否超越弱人工智能“产品论”、“犯罪工具论”和“犯罪对象论”，从而使得（超）强人工智能机器人本身成为可归责主体的问题？对此问题，理论界存在赞成（超）强人工智能机器人可以成为可归责主体的肯定论立场与反对（超）强人工智能机器人成为可归责主体的否定论立场之间的争议。对此争议，本文囿于研讨主题的限制而不能在此予以充分展开，仅作如下简要说明：即使不考虑“人工智能被赋予公民身份这一事件”的具体语境，我们也要注意民法上“公民身份”的刑法意义本来就是有所限定的，例如未成年人、精神病人根本就不能成为（刑法规范意义上的）犯罪主体和可归责主体，有民事行为能力甚至有刑事责任能力的人所实施的“不可归责的”行为也不能定罪，因此“人工智能被赋予公民身份这一事件”本身并不足以证成肯定论；同时，“人工智能与生物工程结合后改造人类自身”——正如有学者所指出的那样，随着科技的进一步发展，有机体与无机体相结合的新型人类，即赛博格的出现必将成为现实，今后人工智能设备与人类有机体相结合的赛博格将成为人类的新型存在形式，并且“当仿生人可以被看作人类的时候，我们必然要对‘何为人’进行反思”，例如在自然人肉身基础上植入人工智能产品的情况下到底以何种标准来判断其属于“人”（即“嵌入人工智能产品的自然人”与“纯粹的自然人”之间的关系论）的思考——仍然具有“人”的属性，仍然属于当下法律意义上的“人”，而不能简单地将其归属于人工智能（机器人），这种结论可能已经融入了人工智能（机器人）的机理和伦理等哲学思考。由此可以说，人工智能本身是不能成为（规范意义上的）犯罪主体和可归责主体的。这一结论的得出，当然还包括其他更多理由，例如笔者曾经指出，基于人工智能犯罪作为“算法安全犯罪”的生成机理和内在逻辑分析，应当主张否定论，即否定（超）强人工智能机器人成为犯罪主体和可归责主体的立场，认为人工智能犯罪的犯罪主体和可归责主体只能是作为算法安全社会关系主体的“自然人-法人”二元主体（即“自然人-法人二元主体论”），并提出了初步的论证理由。应当说，人工智能犯罪研究的两种视角可能存在较为突出的不足：一是，当下视角过度局限于现行刑法的立法状况和既有刑法教义学原理知识的有限运用，从而关照人工智能犯罪发展方向和规范供给的思考不足。二是，将来视角较多局限于人工智能主体性（及其刑罚适应性）问题——尽管这是一个非常关键的重要问题——的思辨性讨论而忽略了其他实体问题，例如并没有针对犯罪化根据论、犯罪行为与违法的类型化、归责类型等具体规范问题提出建设性意见，从而显得过于单一和抽象，难以获得成功，甚至被认为是“虚假”的“反智化”的理论泡沫，实质上尚未系统、深入研讨刑法发展论和刑法立法论的具体内容，完全脱离了规范性和可操作性，难以为人工智能时代的刑法立法规范发展和刑法学理论增量发展作出贡献，这是存在缺憾的。三是，既有的两种研究视角存在“两张皮”现象，形成了某种“理论空隙”，缺乏一种既关照人工智能犯罪的现状与发展，又关照规范刑法学乃至刑法教义学的现状与发展的综合性研究。因此，人工智能犯罪的规范法学研究视角问题就成为一个值得进一步思考的问题：可否有同时关照当下和将来的人工智能犯罪规范法学研究第三种视角？

本文试图提出并探索人工智能犯罪研究的第三种视角，即将当下弱人工智能犯罪和将来（超）强人工智能犯罪的共同特征抽象为“算法安全犯罪”，将当下视角和将来视角进行“视域融合”——即融合成为“算法安全犯罪”规范一体的研究视角（立场）——来展开人工智能犯罪研究，力求借鉴吸纳当下视角的刑法教义学智识以及将来视角的刑法规范进化发展论思考，提出并解决一些非常务实的、可操作的、符合规范刑法学特质的“真问题”。例如，按照人工智能犯罪的共同特征是“算法安全犯罪”，而“算法安全犯罪”的保护法益是作为公共安全的算法安全，因此应将“算法安全犯罪”作为危害公共安全犯罪来进行规范刑法学思考：在当下视角现行刑法规范基础上的刑法教义学思考中，算法安全犯罪可能表现为以危险方法危害公共安全罪、破坏交通工具罪、交通肇事罪、非法制造枪支罪等罪名（均属于危害公共安全犯罪），而非单纯的“产品论”罪名（如生产、销售伪劣产品罪或者生产、销售不符合安全标准的产品罪等），甚至也非一般的“网络数据”犯罪（如非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪等），因为这些单纯的“产品论”罪名和“网络数据”犯罪并不能归属于作为危害公共安全犯罪的“算法安全犯罪”；在将来视角刑法发展完善论基础上的刑法立法论思考中，算法安全犯罪的刑法立法规定完善方案（如制定刑法修正案）必须按照危害公共安全犯罪的刑法规制要求来设置罪名、配置法定刑以及确定罪刑关系，为此，本文归纳了危害“算法安全”的五类犯罪行为（定型）并建议新增规定五种罪名（即：设计、制造、销售、使用不符合算法安全标准的人工智能产品罪，非法设计、制造、持有、买卖、运输、使用人工智能武器罪，擅自改变人工智能产品算法与用途罪，滥用人工智能罪，人工智能肇事罪），并建议将它们规定在危害公共安全罪一章之中（例如作为《刑法》“第115条之一”至“第115条之五”共五个法条来规定）；在当下视角和将来视角进行“视域融合”的规范刑法学思考中，自始至终将“算法安全犯罪”作为危害公共安全犯罪进行规范刑法学原理研讨，其中包括对建议新增规定的五种罪名进行实质意义上的刑法教义学（刑法解释学）阐释，既为刑法理论研究和学术批评提供具体的“批评把子”，也为刑法立法完善提出可操作性的参考资料，还为当下视角和将来视角的刑法教义学（刑法解释学）提供“前见”和参考文献。可见，这种新的研究视角，突出强调了“算法安全犯罪”规范一体的立法论建构和解释论建构的“视阈融合”，既要把将来视角的刑法发展完善论研究成果具体化为“应有的”刑法立法规范（形式），又要把当下视角的刑法教义学（以及刑法解释学）研究成果运用于“应有的”刑法立法规范的有效诠释，研究视角上必须兼顾将来视角与当下视角的融合、刑法规范立法论与刑法规范解释论的融合。

“算法安全犯罪”规范一体的研究视角（立场），首先是符合规范刑法学的学术使命的，必须努力完成一种科学合理的刑法规范的立法论建构。“法学的使命不是赞赏科技发展带来辉煌的成就，而是要审视科技可能带来非理性的后果，以及如何通过法治降低科技发展可能带来的风险与非理性”；面向未来时代的法学研究“应以人工智能的发展与规制为主题，形成制度性、法治化的社会治理体系，包括以安全为核心的法律价值目标、以伦理为先导的社会规范调控体系和以技术、法律为主导的风险控制机制”；国家需要及时合理地规范人工智能的风险状态，满足人们的安全信赖，人工智能犯罪主要在犯罪主体、犯罪行为和犯罪责任三个方面对原有刑法观念和刑法规范产生冲击，需要根据本国刑法应对计算机网络犯罪的实践经验和理论积累进行不断探索，内化生成体系化的预防性规范以应对冲击。本文提出危害“算法安全”的五类犯罪行为（定型）以及新增规定五种罪名，对此展开规范刑法学理论研讨，根本要旨正在于完成规范刑法学的学术使命。其次是充分运用刑法教义学（以及刑法解释学）研究方法和既有研究“经验法则”的，将“应有的”刑法规范的立法论建构成果视为“已有的”刑法规范进行刑法教义学理论建构和法理阐释。刑法教义学是对由本国（现行有效的）立法条文和司法案例中的法规范构成的实定法秩序做出体系化解释的法学方法，既是方法论也是本体论、（地方性）知识论，其精髓在于运用刑法教义学方法解决问题并完成学术使命。概括起来就是，“算法安全犯罪”规范一体的研究视角（立场）必须努力完成一种科学合理的刑法规范的立法论建构，并在此基础上提出一种科学合理的刑法规范的解释论建构，最终以完成一种科学合理的“算法安全犯罪”刑法规范的立法论和解释论构建为目标。

采用“算法安全犯罪”规范一体的立法论建构和解释论建构的“视阈融合”视角（立场）展开人工智能犯罪研究，还需要提出这样一种进一步的问题意识：将人工智能犯罪诠释为“算法安全犯罪”的法理根据——包括人工智能犯罪之保护法益化的根据、犯罪类型化的根据、归责类型化的根据——能够在“应有的”刑法教义学上获得有效确证吗？或者说展开这种“算法安全犯罪”规范一体的、“视阈融合”视角（立场）的规范刑法学研究是可行的吗？如果答案是肯定的，那么就可以说这种“视阈融合”视角（立场）是可以成立的，接着就可以展开“算法安全犯罪”规范一体的立法论建构和解释论建构研究。申言之，提出人工智能犯罪研究这种“视阈融合”视角（立场）转换以及“进一步的问题意识”，还缘于以下研究路径的思考：

其一，是从规范刑法学法益论上确证有效性。人工智能犯罪的保护法益如果可以在刑法教义学意义上客观化、类型化，可以遵从法益保护原则，发挥法益概念的方法论、批判功能论和解释论价值功能，即可获得有效确证。因此，（刑法上的）法益论——在本质上是刑法论，刑法上“行为的实质意义在于侵害或者威胁法益”，因而“法益保护原则一直是刑事立法的基本指导原理”——不仅仅是考察人工智能犯罪的保护法益存在论，更重要的是考察保护法益的可涵摄性（可以涵摄全部人工智能犯罪）、可归属性（可以归属于既有立法和将来立法的保护法益之内）、可诠释性，这是一种最基础的刑法教义学审查。如果人工智能犯罪的保护法益根本就不能归属于刑法教义学上的法益论，那就缺失了刑法论——而不是民法论、知识产权法论或者宪法论——的法理根据，就无法在刑法教义学上有效诠释人工智能犯罪。这种刑法上的法益论考察也回应了部分刑法学者所提出的部门法比较法观点，例如，民法、知识产权法甚至宪法上如果确认了人工智能的法律主体地位，是否就可以确证刑法上人工智能的法律主体地位？对此，有学者认为“在假设人工智能（AI）已经成为民商事法律主体的前提下，应当承认AI具备刑法可谴责性的条件”。但是本文不认同这种观点，因为如前所述，根据刑法上的法益论，应强调“刑事立法中出现的法益概念的抽象化、处罚的早期化以及重罚化现象，并不意味着法益保护原则面临危机，相反说明需要发挥法益概念的批判性机能”，不能单纯地根据民法等部门法确认人工智能的法律主体地位就可以直接确认刑法上人工智能的法律主体地位，而是需要从刑法教义学法益论上来确证。

其二，是从规范刑法学违法论上确证有效性。人工智能犯罪的行为定型及其相对应的违法形态如果可以在刑法教义学意义上规范化、类型化，可以遵从行为定型论、违法类型论和犯罪形态论等刑法教义学原理，即可获得有效性确证。尽管刑法上的法益论是违法论的重要实体内容乃至方法论内容，但是在刑法教义学上行为定型论和违法类型论具有突出的规范性特点，因而在法益论的基础上必须特别审查人工智能犯罪的行为定型和违法类型，只有“符合构成要件的行为侵害或者威胁了刑法所保护的法益时，才具有刑法上的违法性（结果无价值论的法益观）”，才能从刑法教义学上确证人工智能犯罪违法论的有效性和可诠释性。在人工智能犯罪研究中，如果仅停留于刑法上的法益论而不深入讨论行为定型论、违法乃至犯罪类型论，那就可能仅仅是对人工智能犯罪的抽象的哲学反思、宽泛的法社会学观察或者事实性的犯罪学描述，而不是规范法学意义上的刑法教义学研究，因而只有进一步展开行为定型论和违法类型论的规范检讨才符合刑法教义学违法论的诠释有效性。

其三，是从规范刑法学归责论上确证有效性。人工智能犯罪的归责形式和内容如果能够在刑法教义学意义上规范化、类型化，可以遵从责任论的刑法教义学原理，即可获得有效性确证。在人工智能犯罪的违法论基础上，必须进一步讨论人工智能犯罪的可归责性及其归责形式和内容（以及可归责主体），如故意、过失的归责根据、范围与程度，均需要进行刑法教义学意义上的有效诠释和具体确证。

需要说明的是，本文采用“算法安全犯罪”规范一体的立法论建构和解释论建构的“视阈融合”视角(立场)，并不同于那种“力图让AI法律和法律AI汇合所长、避其所短，实现法律与人工智能的双向融合”的“第三道路”，而是属于“人工智能法律”(AI法律)研究道路之下的人工智能(犯罪)刑法研究并且是将当下视角和将来视角相融合的第三种视角。

二、人工智能“算法安全”法益命题的划时代意义与重大刑法价值

关于人工智能犯罪的保护法益问题，刑法学界的既有看法可谓纷繁复杂、莫衷一是，大致可以归纳为数据权利（安全）、算法安全、新生法益、伦理和法律秩序、社会风险治理秩序、多元法益等六种见解。（1）数据权利（安全）论。林维教授提出了“作为一种新兴法益的数据权”观念，指出，数据权在刑法上并没有作为单独法益予以保护，数据权属的界定也颇具争议，并且由于立法上的不确定性，数据的司法保护无从谈起。《人工智能安全与法治导则（2019）》中提出了“数据安全”（以及“算法安全”）的概念，该导则从算法安全、数据安全、知识产权、社会就业和法律责任等五方面，对人工智能发展的安全风险作出科学预判，提出守卫人工智能发展的“安全基因”。有学者指出，当下网络社会“海量的产销数据、管理数据、关系数据、身份数据、行为数据、语音数据等成为重要的生产生活要素”，必须重视数字善治、数字正义、数字权利等范畴和命题，必须“加强对数据安全的保护力度”。这些论述表明，数据权利（安全）是人工智能犯罪的保护法益。（2）算法安全论。除前述《人工智能安全与法治导则（2019）》中提出了“算法安全”的概念外，有学者从算法与数据（权）的关联性上确认算法（安全）的重要性，认为不加限制的数据利用更可能产生“算法合谋”“算法歧视”等破坏市场秩序的结果，而“通过对数据权利生产机制考察发现，算法在数据价值与数据权利的形成中处于核心地位。因此，可通过算法规制反向实现数据确权”；“算法是人工智能的核心，决定人工智能是否符合有益性，规范人工智能算法应当是人工智能安全立法的重要内容。”因此认为，算法安全是人工智能犯罪的保护法益。（3）新生法益论。除前述“作为一种新兴法益的数据权”观念外，还有学者指出，“既有法律规范难以有效涵盖和调整新的法益”，数据和算法已成为智能互联网时代的重要生产要素，面对这些新生事物、新生关系、新生法益，决策权正在“从人手中转移到算法手中”，既有的法律概念、规则和原则难以对其予以有效涵盖，也难以对其做出及时有效的规制调整。可见，新生法益在部分学者的论述中是与数据和算法相关联的概念。（4）伦理和法律秩序论。有学者指出，必须坚持“特别注重防范人工智能异化的法律机制建构”的保守态度，“更注意人工智能所面临的伦理法理问题，对人工智能发展持更加谨慎的态度，更担忧人工智能对现存伦理和法律秩序的威胁。”由此认为，现存论理和法律秩序是人工智能犯罪的保护法益。（5）社会风险治理秩序论。有学者指出，“人工智能的成功将是史无前例的，但充满不确定性、失控性及全球化的风险却如影随形般威胁着人类社会”，应当将人工智能犯罪的保护法益确定为社会风险治理秩序。（6）多元法益论。有学者指出，人工智能时代的数据犯罪呈现出犯罪类型与范围扩大化,犯罪手段与方式智能化,犯罪侵害的法益多元化等特点；利用弱人工智能产品可以实施危害国家安全、国防利益、公共安全和社会管理秩序的行为，强人工智能产品当然有能力对刑法所保护的客体造成侵害。因而认为应当坚持多元法益论。

出现上列观点分歧，根本原因是由认识论和方法论上的差异性所决定的，尤其是对于人工智能犯罪机理的不同认识，对于保护法益的归类方法的不同立场，均可能得出不同结论。例如，从存在论立场观察，数据权利（安全）论、算法安全论、新生法益论都有一定道理，人工智能犯罪侵害了数据权利（安全）、算法安全、新生法益的观点似乎都说得通，那么，在刑法规范论上到底应该选取哪一种观点更科学、更合理呢？这就需要从研究问题的认识论和方法论上进行选择和论证。再如，法律秩序论、社会风险治理秩序论的见解在相当意义上也是存在论观点，所有犯罪几乎都可以说是侵犯了法律秩序、社会风险治理秩序，那么其对于具体犯罪的规范法学研究的意义是什么？如何运用一般法益（犯罪的一般客体）、同类法益（犯罪的同类客体）、具体法益（犯罪的直接客体）理论来确定人工智能犯罪的保护法益（内容）？还有多元法益论，同样也需要运用复杂客体理论（复合法益论）来确定其中的主要客体（主要法益）与次要客体（次要法益）的关系论及其规范论价值。例如，我国传统犯罪中的抢劫罪，刑法教义学上将其侵犯的财产权利作为主要法益、其侵犯的人身权利作为次要法益，以此为据将抢劫罪规定为侵财罪之中，由此可见多元法益论还需要在方法论上进行刑法教义学审查并确定其主要客体（主要法益）与次要客体（次要法益）的关系论及其规范论价值。因此，人工智能犯罪的保护法益需要进行规范刑法学甄别——亦即刑法教义学审查——以合理确定其具体内容。

本文认为，人工智能犯罪的保护法益应当在规范刑法学意义上界定为算法安全。可以说，将算法安全确定为人工智能犯罪的保护法益是一个至为重要的理论发现，具有非常重大的刑法教义学价值、法规范论和方法论意义。算法安全是人工智能犯罪区别于其他所有犯罪的根本特质，抓住了算法安全就抓住了人工智能犯罪规范刑法学理论研究的牛鼻子，忽略或者淡化了算法安全（法益）范畴就无法正确认识和合理建构人工智能犯罪的规范刑法学理论体系。

（一）从犯罪观看人工智能犯罪的保护法益

犯罪观具有方法论意义，人工智能犯罪观影响并决定了我们对人工智能犯罪保护法益的基本观点和根本看法。“法益保护原则的基本观点是,刑法的目的与任务是保护法益,即为了使法益不受侵害或者威胁而制定刑法。”人工智能犯罪在生成机理和内在逻辑上只能是妨害人工智能“算法安全”犯罪，其立法根据、目的与任务只能是保护人工智能“算法安全”这一法益。从人工智能（产品）研发和应用面临的特殊安全或风险问题看，人工智能不确定的技术风险、偏离设计应用的风险、被非法使用的风险以及人工智能的伦理风险，欧盟委员会2019年发布的《可信人工智能伦理指南》、美国国家标准与技术研究院在2019年发布《美国如何领导人工智能：联邦参与制定技术标准及相关工作的计划》、我国国家新一代人工智能治理专业委员会2019年发布的《新一代人工智能治理原则——发展负责任的人工智能》以及我国国务院2017年发布的《新一代人工智能发展规划》等所提出的“可安全信任的技术伦理”与“安全可控”原则等内容，均可以归属于“算法安全”法益的考量和保护。人工智能时代越是发展并强调人工智能的算法自主性和智能性，就应当越是强调算法安全，由此确保人工智能“可安全信任的技术伦理”与“安全可控”。人工智能算法自主性和智能性是智能机器人的本质属性和关键功能，算法自主性越强大，则算法智能性越强大，反之亦然；以算法自主性和智能性为标准，方有弱人工智能与（超）强人工智能之分。有学者从算法与人的智力相比较的角度提出算法概念，认为“从属于人工智能这个大概念的算法，仍然是对于人的模拟，即人在智力方面比人工智能更好，这就是弱人工智能；相反，如果人工智能和人在这方面一样好，那么拥有人工智能的机器就成为更好的人，这就是强人工智能”。人工智能算法自主性是由“人”预设和主宰的结果，因而只具有相对的算法自主性与绝对的客体性，基于人工智能算法自主性所实施的全部行为后果——无论是有利于社会还是有害于社会——均应由作为其主宰者的“人”享有和承担。基于马克思主义犯罪观应当认为，人工智能犯罪仍然是人的行为，是人基于人工智能算法所实施的危害社会的行为，“人”才是人工智能算法的真正主人，人工智能算法自主性仅具有相对性并且是在根本上是由“人”创设和控制的，因而人工智能算法相对于“人”而言具有相对自主性与绝对客体性。因此，算法犯罪观认为：相对于人的主体性而言，人工智能算法突出地具有客体性（算法的客体性），因而以人工智能算法自主性为内核的人工智能当然具有客体性。以超级计算机的诞生为例，它实际上就是从普通计算机（弱智能自主性）走向超级计算机（超强智能自主性），其内核就是算法智能自主性及其发展方向。人对“算法智能自主性”（犯罪）的定罪逻辑始终是“人力可控时可定罪，人力不可控时不定罪”。由此可见，人工智能犯罪观的核心内容是人工智能算法安全观和算法安全犯罪观，算法安全才能保障人工智能安全，人工智能犯罪的保护法益是人工智能“算法安全”。

（人工智能）算法安全法益命题具有划时代意义与重大刑法价值。算法安全不同于数据权利（安全），如果说数据权主要体现的是一种网络时代性和主体权利属性，那么算法安全就集中体现了人工智能时代性和公共安全性。不妨可以说，在互联网时代和人工智能时代产生交集的时代就是互联网+人工智能时代，这个时代现在已经开启并且正在走向纵深发展，数据安全和算法安全交织一起，需要在整体保护的原则下进行法益类型化考察，这一点后文细说。算法安全在相当意义上是一种新生法益，但是使用“新生法益”概念并不具体，难以揭示算法安全作为人工智能时代公共安全的规范属性，也难以发挥法益批判功能和规范功能。算法安全可以说也是法律秩序、社会风险治理秩序、多元法益中的必然内容，但是如前所述，这三种观点均需要进行规范刑法学的甄别审查以合理确定人工智能犯罪保护法益的具体内容并发挥法益规范功能。

（二）从类型化功能论看人工智能犯罪的保护法益

如前所述，作为人工智能犯罪保护法益的人工智能算法安全是与数据权利（安全）密切关联的，甚至可以说其在本质上可以包含“人工智能数据算法安全”。此外，我国有学者提出了“作为正当程序的算法”的命题，认为“在法律介入算法这件事情中，涉及到算法黑箱、算法权力和算法操纵这三件事情”，因为“算法的拥有者像统治者一样在行动，它们约束着使用者的空间，它们制定规则和政策”，因而“需要以正当程序的标准来审查算法权力的滥用”，在算法权力的滥用侵害算法安全法益的场合就可能进入刑法评价。因此，从类型化功能论看，作为人工智能犯罪保护法益的算法安全是不同于纯粹的数据权利（安全）的，尽管算法安全经常性地与数据权利（安全）发生关联。

从我国刑法立法规定和刑法教义学立场看，数据权利（安全）是一种十分重要的保护法益，在法理上可以分为三种具体样态：一是虚拟数据权利（法益样态）。它可谓是纯粹的数据权利，主要反映的是虚拟空间的纯粹的数据权利，通常不代表权利主体在现实世界的真实身份和财产，因而侵犯这种虚拟空间的纯粹的数据权利的行为就可能被评价为扰乱了作为公共秩序的网络秩序。例如我国《刑法》第285条第2款规定的“非法获取计算机信息系统数据、非法控制计算机信息系统罪”即是如此。但是，在双层社会语境下，虚拟数据的生产和运用也能体现出创造性、身份性、资源性和财产性，因而刑法教义学上尽管通常不将其纳入财产性法益予以保护，但是在特定语境下仍然承认其财产性法益——即对虚拟财产性质的认识也呈现出从非财物到财物再到数据的演变过程——并且呈现出逐步纳入财产罪的趋势。我国还有学者提出了虚拟世界的法律化问题，指出人类有走向虚拟世界的一面，因此“应在去人类中心主义的多维复合的多中心主义的思维框架下，理解虚拟世界的自适与极化的法律化特征，探索一种从人类中心主义到去人类中心主义的法律机制之转型的可能性路径”，其核心直指虚拟数据权利及其法律保护。这些论述表明，数据权利主要体现了网络时代的特性，而非人工智能时代的特性，这也是本文主张将人工智能犯罪的保护法益不界定为纯粹的“数据权利”的根据之一。二是真实数据权利（法益样态）。它主要体现的是现实物质世界的身份性和财产性法益，因此它通常被纳入了侵犯身份犯罪与侵财犯罪的保护法益。例如通过网络技术盗窃银行存款数据与公民个人身份信息数据等的行为，就可能触犯相应的侵财罪和侵犯公民个人信息罪。三是人工智能数据权利（法益样态）。它可谓是真实数据权利的进一步细化和公共安全化，尽管其在某种意义上仍然可以归属于身份性和财产性的数据权利，但是其一旦与人工智能算法相关联就不同于普通的真实数据权利，而是具体地、动态地表现为人工智能数据算法安全（可以简称为“算法安全”）。例如，增删、篡改、盗取用于工业生产、医疗卫生、商业经营以及军事用途的人工智能数据，就直接侵犯了相关的人工智能（产品）算法安全——侵害或者威胁不特定多数人身财产安全，例如使得本来是工业生产和医疗卫生通途的人工智能成为杀人机器或者财产毁灭机器——而具有危害公共安全的性质；再如研发、制造、使用存在算法安全漏洞的人工智能（产品），同样也具有危害公共安全的性质。法理学者认为，人工智能研发运用不应该超越人类文明价值底线，不应该伤害作为文明秩序基础的伦理，不能任意扩大人工智能的使用范围或领域，人工智能使用也应该更加规范化，要不然后果就不堪设想。这种法理思考在刑法保护法益的功能论上就可以归属于人工智能数据“算法安全”。所以，人工智能数据算法安全不同于普通的真实数据安全的特点在于：它是用于人工智能的、体现人工智能算法安全的真实数据，这种真实数据一旦同算法相结合就具有公共安全的性质，而不仅仅是、甚至主要不是体现身份与财产权利的性质。

因此，三种数据样态所体现的法律属性是不同的，虚拟数据和通常的真实数据主要体现的是网络时代的数据权利，侵害这两类数据通常只是侵犯了纯粹的数据权利或者真实身份与财产性利益，这可以说是网络时代数据权利犯罪观的突出特点；而人工智能数据主要体现的人工智能时代的算法安全，侵害这类数据就可能侵犯了作为公共安全的算法安全，这可以说是人工智能时代算法安全犯罪观的突出特点。可见，从类型化功能论看，人工智能犯罪的保护法益只能是作为公共安全的（数据）算法安全，而不是单纯体现纯粹的数据权利、身份与财产权利的数据权利（安全）。从人工智能犯罪保护法益的这种类型化功能论可以看出：设计、制造、销售、使用不符合算法安全标准的人工智能产品的行为，擅自改变人工智能产品算法与用途的行为，非法设计、制造、持有、买卖、运输、使用人工智能武器的行为，滥用人工智能的行为或者引起人工智能肇事的行为，这五类行为均具有侵害作为公共安全的人工智能算法安全这一保护法益的性质，因而应当将该五类行为单独设立五种罪名并规定在危害公共安全罪一章之中；围绕上列五类行为和五种罪名展开的保护法益论、犯罪类型论、罪刑规范配置论与归责论研讨，就构成人工智能算法安全犯罪观及其规范刑法学的实体内容。

三、侵犯人工智能算法安全行为定型与具体罪名及罪刑规范设置的法理审查

关于人工智能犯罪的犯罪行为类型化研究，目前理论界主要有当下视角——即基于现行立法框架——的刑法教义学研究成果。如前所述，有学者认为，当下作为“工具”和“产品”属性的弱人工智能可能涉及的刑事犯罪主要存在“工具利用型”和“产品缺陷型”两种犯罪类型。例如，行为人利用人工智能实施其他犯罪，造成了严重危害社会的结果，在这种情形下，由于第三方行为人才是实施犯罪行为的主导者，人工智能产品仅因作为犯罪工具才直接作用于被害人，可以称之为“工具利用型”犯罪类型；可以将“犯罪对象型”人工智能犯罪类型纳入“工具利用型”中予以讨论，并将其具体区分为“故意‘破坏’人工智能的智能系统实施其他犯罪”与“利用人工智能的‘不智能’实施其他犯罪”，利用人工智能的“不智能”实施其他犯罪是指行为人首先采取手段行为使得人工智能机器或者系统陷入错误的状态，然后再利用人工智能的错误运行（即“不智能”）去实施目的行为；由于人工智能产品自身的缺陷，特别是智能系统的运行故障，从而导致严重危害社会的结果发生，可以称之为“产品缺陷型”犯罪类型，可以考虑认定产品的设计者、生产者、所有者、使用者或者管理者作为危害结果的责任承担者。但是，这种当下视角的人工智能犯罪行为类型化研究存在很大不足，仅局限于普通的工具论犯罪观与产品责任论犯罪观——而没有从人工智能算法安全犯罪观——的规范刑法学立场来阐释刑法法理，根本就不适应、也无法完成人工智能时代刑法学算法安全犯罪观和教义学（解释学）的使命。

同时，学术界也有从将来视角展开刑法发展论和立法论的理论研讨。例如，有的学者提出增设“滥用人工智能罪”并确立研发者或使用者的严格责任以及确立智能机器人刑事责任主体地位；有的学者指出，人工智能犯罪的犯罪行为当中的实行和参与观念的更新需要接受预防性犯罪化理念的指导，并对商业流程环节和行政把关环节进行预备行为实行化和共犯行为正犯化的考量，然后对客观归责和正当事由进行理论的预防性更新，因此“在人工智能犯罪时代，更要注意刑法规范的有效供给”，而“不能一味套用德日刑法的现有教义学体系来试图解决人工智能犯罪的刑法问题，因为现有的刑法教义产生的社会实践是前人工智能时代”。但是，除针对智能机器人刑事责任主体地位问题和“滥用人工智能罪”的罪责问题有所论述外，目前学界从这种将来视角所进行的关于刑法发展论和立法论的理论研讨总体上比较简单、空泛，仅仅是提出一些碎片化的立法思考，完全不能适应人工智能时代算法安全犯罪观和规范刑法学的发展需要。

（一）人工智能犯罪（行为）类型化的根据与原则

人工智能犯罪（行为）类型化研究，需要紧扣其保护法益即算法安全（即保护法益类型论）这一实质核心，系统梳理、抽象规范侵犯人工智能算法安全行为的具体类型，运用犯罪化理论和刑法立法论原理，将行为定型论、罪名设置论、法定刑配置论、罪刑关系论等法理整合起来进行一体化研究。这种刑法法理尤其不同于民法、知识产权法等其他部门法的部门法理学。前述《人工智能安全与法治导则（2019）》指出在算法安全上面临着技术缺陷、设计偏见、算法黑箱等三类风险挑战，其中，技术缺陷（即算法模型存在的技术性缺陷）和设计偏见（即算法设计者自身存在价值偏见）可能导致人工智能系统无法正常运行，算法黑箱可能导致技术失控等问题。而另有学者指出：算法时代起初最主要的争议是算法黑箱和算法操纵——算法黑箱意味着对算法拥有者或设计者之外的人而言，无法知道它如何将输入的内容变成输出的结果；算法操纵意味着由于算法越来越普遍而广泛地影响我们的生活，算法越来越操纵或控制了我们的生活——两个相互冲突的事实，由于算法黑箱并不当然承载负面价值，所以它是一个值得法律保护的事项，而“避免算法操纵”是另外一个值得法律保护的事项，于是算法黑箱与避免算法操纵之间就形成了价值上的冲突关系，法律上价值权衡的结果是“采取了对算法黑箱的保护，而彻底放弃对因算法操纵所侵害的那些利益的保护”，因为法律上可以“将算法（黑箱）视为（转译为）言论”并且“言论自由之绝对权利的性质，导致在法律上对它提供彻底的保护，成为唯一合适的选择”，或者可以将“特定算法看作商业秘密来对待”并且“必然不会要求算法的拥有者公开算法代码，更不会要求拥有者以人们能听懂的方式，向公众说明该算法的工作原理，算法黑箱就因此被视为算法的正常情形”；新近的观点认为，算法的法律性质“应当围绕着算法黑箱、算法操纵和算法权力这三个概念展开”并且应当“将正当程序这个规范性观念引入到算法领域”。但是，刑法上犯罪类型的限定由于必须考虑犯罪化根据、犯罪行为定型、保护法益等诸多因素，并不完全等同于民事权利法律保护的法理。例如，针对技术缺陷、设计偏见、算法黑箱、算法操纵等算法问题，民事法律主要考量的是权利保障和救济的制度合理性，其中虽然也考虑到了必要的社会风险防控，但是重点却是前者，突出表现在算法操纵问题上采取了理解和包容的策略；刑法则主要考量的是重大社会风险的防控，同时也考虑到尽量避免妨害权利救济，突出表现在算法操纵问题上需要完全摒弃民法上“彻底放弃对因算法操纵所侵害的那些利益的保护”的立场，而改采算法安全的重点防控策略，即重点针对严重危及算法安全的“算法操纵”——这里沿用“算法操纵”概念，但是需要赋予其特定含义，特指对算法、算法技术及算法技术缺陷等的操纵和管理——进行犯罪化考量。因此，从刑法保护算法安全法益的周全性、规范侵害算法安全行为定型论以及合理限定算法安全犯罪标签化理论看，严重危及算法安全的算法操纵行为（定型）——无论是因为基于恶意（故意）的算法操纵还是基于过失的算法技术缺陷的“准”算法操纵——就成为刑法上人工智能算法安全犯罪（行为）类型化的根据与核心。

刑法教义学在本原意义上是针对“现行立法”，因此这里应当从刑法发展论上提出立法完善方案之后，才能够具体地讨论规范法学意义上的刑法教义学解决方案。那么，从刑法发展论看，非法的算法操纵行为（定型）到底应该如何进行立法规范设计才能够更为合理、更能适应当下和将来的人工智能犯罪防控？这是“算法安全犯罪”规范一体的研究视角（立场）所必须重点思考和解决的问题。对此，本文提出人工智能算法安全犯罪行为类型化应当考虑以下三个原则：

其一，行为定型可涵摄性原则。这里的可涵摄性，意指行为定型能够涵摄那些在实质上侵害了作为人工智能时代公共安全的算法安全法益的行为，能够周全地保护算法安全，防止出现真正的立法漏洞。因此，行为定型可涵摄性原则，既要考量行为定型本身的规范需要，还要考量这些行为定型能够有效涵摄算法安全法益的保护范围，从而在行为定型（如前述“五类行为”）与算法安全法益之间形成稳定的规范联系。

其二，行为定型可限定性原则。可限定性，是指应适当限定行为定型而不至于扩大受处罚行为（定型）的范围。有的学者提出增设“滥用人工智能罪”并确立研发者或使用者的严格责任以及确立智能机器人刑事责任主体地位，但是如果不具体限定该“滥用”行为的范围，就可能出现背离“可限定性原则”的问题，因而应当具体限定“滥用人工智能”行为的范围。我国有学者都指出，“促进我国人工智能发展和保障合法权利都是我国刑法的重要任务，人工智能刑事法治需要平衡两方面利益”，而“为了在甄别和防范风险的同时保护人工智能开发的积极性和创造性，有必要更多地采取软法方式，而不是简单地提高硬法的惩戒力度。”可见，刑法作为一种“硬法”必须严格限定处罚范围，这是行为定型可限定性原则所欲实现的根本要旨。

行为定型可涵摄性原则与可限定性原则需要综合考虑并理性权衡。例如，非法的算法操纵行为（定型）可能表现为“设计”不符合算法安全标准的人工智能产品的行为，因为“单纯的”设计算法研发行为而不打算或者实际上不可能将不符合算法安全标准的算法用于人工智能产品制造，则实质上不具备侵犯算法安全保护法益的性质。这里强调必须是用于“设计”不符合算法安全标准的人工智能产品，有利于恰当处理好保持刑法克制与促进算法创新研发之间的紧张关系，尤其是对于那些出于试验性、试错性的算法研究——这种算法研究本身是对于促进算法创新发展具有非常重大意义的——就不至于被不当地纳入刑法规制。同理，非法的算法操纵行为（定型）还可能表现为明知故犯地“制造”“销售”“使用”不符合算法安全标准的人工智能产品，这些行为同“设计”行为一起均在实质上具备了侵犯算法安全法益的性质，把这些行为同不符合算法安全标准的人工智能产品勾连在一起也是为了有利于恰当处理好保持刑法克制与促进算法创新研发之间的紧张关系。非法的算法操纵行为（定型）还可能表现为明知故犯地“擅自改变”人工智能产品算法与用途，例如通过网络技术侵入人工智能（产品）系统改变算法、将用于工业生产甚至军事打击的人工智能（产品）改变用途用于医疗手术和家政服务等的行为，同样应在法规范意义上认定为非法的算法操纵行为（定型）。再如，人工智能武器在非军事领域进行运用，例如非法设计、制造、持有、买卖、运输、使用人工智能武器的行为（定型），以及滥用人工智能的行为或者引起人工智能肇事的行为，在实质意义上也属于非法的算法操纵行为（定型），本身具有突出的危害公共安全的性质，应当予以刑法规制。总之，非法的算法操纵行为定型论既要考虑可涵摄性而不至于出现规范漏洞，又要考虑可限定性而不至于过度扩张犯罪化范围。

其三，犯罪类型明确化原则。基于算法安全保护法益和非法的算法操纵行为（定型）的周全考量，人工智能犯罪在本质上可以抽象为“算法安全犯罪”，即人工智能犯罪毫无例外地被限定为通过算法或者针对算法所实施的、在实质意义上属于非法的算法操纵行为（定型），都可以归属于危害公共安全犯罪。因此，人工智能“算法安全犯罪”明显地具有不同于网络数据犯罪以及其他通过非智能算法和数据所实施的传统犯罪的突出特点，可以将前述“五类行为”（定型）具体地划分为五种罪名——即：设计、制造、销售、使用不符合算法安全标准的人工智能产品罪，非法设计、制造、持有、买卖、运输、使用人工智能武器罪，擅自改变人工智能产品算法与用途罪，滥用人工智能罪，人工智能肇事罪——并将它们规定在危害公共安全罪一章之中。

（二）人工智能犯罪的具体罪名与罪刑规范

在提出增设人工智能犯罪五种罪名的立法建议的基础上，为进一步阐释相关的规范法理，有必要将各种罪名的罪状规定与相应的法定刑配置关联起来进行具体说明。人工智能犯罪的五种罪名中，前三种罪名——即：设计、制造、销售、使用不符合算法安全标准的人工智能产品罪，非法设计、制造、持有、买卖、运输、使用人工智能武器罪，擅自改变人工智能产品算法与用途罪——的共同特点是，在客观上已经形成或者可能形成“不符合算法安全标准的人工智能产品”，针对人工智能产品进行了非法的算法操纵，侵害了作为公共安全的人工智能算法安全，应当对设计、制造、销售、使用不符合算法安全标准的人工智能产品罪和擅自改变人工智能产品算法与用途罪配置相同于现行《刑法》第114条、第115条第1款的法定刑，对非法设计、制造、持有、买卖、运输、使用人工智能武器罪比照《刑法》第125条的立法规定设置罪状和法定刑；后两种罪名——即：即滥用人工智能罪和人工智能肇事罪——的共同特点是，在客观上都不当使用了人工智能产品，都针对人工智能产品实施了非法的“准”算法操纵行为，发生了危害公共安全的重大事故，侵害了作为公共安全的人工智能算法安全，应当分别配置相同于现行《刑法》第115条第1款（针对滥用人工智能罪）、第115条第2款（针对人工智能肇事罪）的法定刑。在此前提下，需要进一步讨论以下问题：

1、设计、制造、销售、使用不符合算法安全标准的人工智能产品罪

本罪的罪状规定和法定刑配置需要重点考虑以下内容：一是需要明确规定“不符合算法安全标准的人工智能产品”的法律规范，需要由国家权威部门制定并以规范文件形式（例如2018年4月3日工业和信息化部、公安部、交通运输部《关于印发〈智能网联汽车道路测试管理规范（试行）〉的通知》）规定人工智能产品“算法安全标准”，需要在条件成熟的情况下在国家最高立法机关主导下由人工智能科学家和法学家共同努力来完成，其实质标准是结合人工智能产品性质、领域和用途等因素考虑而不至于发生公共安全事故，因此应当将那些不至于发生公共安全事故的人工智能产品排除在本罪之外（即使其发生了产品质量事故也不构成本罪）；二是需要明确规定“设计、制造、销售、使用”等行为的具体内容，其核心是针对人工智能产品“算法安全”的“设计、制造、销售、使用”，由此要将那些较为纯粹的、不具体针对特定人工智能产品的算法“研发”行为排除在本罪之外，以有利于恰当处理好保持刑法克制与促进算法创新研发之间的紧张关系为原则（可限定性原则）；三是需要明确规定“情节严重”等处罚条件，例如将本罪处罚条件限定为针对重大算法安全实施该行为、反复多次实施该行为、发生重大公共安全事故或者有发生重大公共安全事故危险等情形，以此限定本罪成立条件；四是需要明确规定“故意”这一主观违法性要件，以排除那些不具有故意的行为构成本罪，对于非故意的行为分别按照人工智能肇事罪（以有过失为条件）或者意外事件（以既无故意也无过失为条件）定性处理；五是需要明确规定单位犯本罪的，应依法定罪处罚；六是本罪的法定刑，按照现行《刑法》第114条、第115条第1款的规定配置。基于以上内容的考虑，本文提出设计、制造、销售、使用不符合算法安全标准的人工智能产品罪的法条设计如下：

“第115条之一：设计、制造不符合算法安全的国家标准、行业标准的人工智能产品，或者销售、使用明知是以上不符合算法安全的国家标准、行业标准的人工智能产品，危害公共安全，情节严重，尚未造成严重后果的，处三年以上十年以下有期徒刑，并处罚金；情节特别严重，或者造成严重后果的，处十年以上有期徒刑、无期徒刑或者死刑，并处没收财产。