法国人工智能犯罪治理

France's Response to AI Crime

文/付琴雯

在2023年7月的安理会辩论中，法国将人工智能称为“21世纪的革命”。近年来，人工智能技术成为法国媒体的追踪焦点之一，特别是生成式人工智能ChatGPT带来了爆炸式热度。然而，法国公众对这一现象的看法并不积极。根据法国民调机构奥多克萨研究所（Odoxa institute）最近为甲骨文云计算公司（Oracle）进行的一项调查结果显示，67%的法国人认为人工智能是一种威胁：“现在（持威胁论）的比例明显占多数。去年同期，只有53%的法国人持这种观点。”对于许多法国人来说，人工智能的发展仍是一个令人担忧的问题。

此外，许多法国人也对人工智能发展的国家监管能力提出质疑。甲骨文公司法国分公司总经理克里斯托夫-内格里尔（Christophe Negrier）指出：“整个问题的关键在于人工智能的识别、应用和控制。”82%的法国受访者表示“希望看到政府监管”。

在法国境内，利用人工智能实施不法行为情形日益增多

人工智能技术的快速性、精确性，使其成为许多投机分子实施不法行为的新手段、新方法。近年来，伴随着全球经济衰退，犯罪分子利用人工智能实施不法行为的情形日益增多，这种新兴趋势也成为当前理论界和实务部门的关注焦点。

例如，近年来，法国境内利用人工智能技术实施“网络钓鱼”等金融欺诈的案件频发。这些不法分子可以使用生成式人工智能工具，快速为其“网络钓鱼”电子邮件编写欺骗性内容，并在目标系统上安装恶意欺诈软件。有数据统计，截至2023年1月，“网络钓鱼”成为法国最常见的网络攻击类型，大约四分之三的法国公司成为恶意电子邮件的攻击目标。专注于IT（信息技术）安全治理的波耐蒙研究所（Ponemon Institute）曾于2018年做过一项调查，调查结果显示，54%的法国公司认为网络黑客已较好掌握了机器学习等人工智能技术；人工智能等技术带来的全球数字化转型使网络犯罪分子的攻击能力“呈指数级扩大”。现有网络犯罪技术和方法可以通过人工智能实现自动化和加速化，从而对相关企业产生毁灭性的影响。该调查还显示，计算机黑客、间谍活动、数据盗窃等是困扰法国企业的主要网络威胁，勒索软件等自动化攻击正在增加其频率，尤其是这些“数据勒索攻击”占报告事件总数的比例从13%增加到27%。以加密货币领域为例，这些虚拟货币本来受到复杂算法的保护以确保交易，但现如今，许多不法分子利用人工智能技术在网络钓鱼软件或勒索软件中添加数据泄露功能，产生的数据可以让其访问相关公司的加密货币钱包，从而增加了运用加密货币进行交易操作的风险性。可以说，飞速发展的人工智能技术就像一把“双刃剑”，虽然对人类生活带来了便利，但同时也增加了其被滥用的风险。

又如，法国社会中基于人工智能实施的“合成身份欺诈”案件不断增多。事实上，虚拟远程开展业务作为扩大金融业务可及性的一种方式受到了公众欢迎，但这种做法也为犯罪分子开展欺诈提供了系统漏洞，尤其是人工智能技术为犯罪分子伪造个人身份的恶意行为提供了新的方法。近年来，犯罪分子进一步利用“深度伪造”（Deepfake）技术进行在线欺诈，特别是合成身份欺诈。在这方面，抵押贷款行业特别容易受到影响。“深度伪造”技术诞生于2014年，由一位名为伊恩·古德费洛（Ian Goodfellow）的研究人员所创造，这项技术也被称为“生成式对抗网络”（Generative Adversarial Networks）。“深度伪造”有几种类型，最著名的就是“换脸”，包括通过该人工智能技术替换一张“已知”的脸，或者以完全合成为基础生成一张“不存在”的脸。2018年，一段“深度伪造”美国前总统巴拉克·奥巴马的视频一举成名，人们开始关注这项人工智能技术。值得注意的是，法国政府切实开展“深度伪造”技术的打击活动是基于一个特殊的背景原因，即2022年法国总统选举期间受到了外国社交网络上利用人工智能技术传播虚假信息的干预和威胁。为此，法国政府成立了一个名为“警惕和保护外国数字干扰局”（Viginum）的机构，隶属于法国国防和国家安全总秘书处 ，专门负责监控和防范来自外国的“数字干扰”。

案例1：“假勒德里昂”案——人工智能“换脸”技术造成多位社会名流重大经济财产损失

比利时国王、道达尔公司首席执行官、巴黎大主教、加蓬总统……2015年至2016年间，一个法国骗子团伙利用人工智能“深度伪造”技术，冒充时任法国国防部长让-伊夫·勒德里昂（Jean-Yves Le Drian）或其他内阁成员，与150多位公众人物取得联系并实施诈骗，其惯常采用的诈骗理由是“要钱支付在叙利亚被劫持的法国人质的赎金，并保证迅速偿还”。除了上述社会名流外，上当受骗的还有经营法国波尔多最负盛名的葡萄酒庄之一的玛歌酒庄庄主、伊斯玛仪教派的精神领袖阿加汗和某土耳其富商等，总涉案金额近6000万欧元。

2020年3月11日，巴黎刑事法院分别判处涉嫌策划这一骗局的吉尔贝·奇克利（Gilbert Chikli）和安东尼·扎列维奇（Anthony Lazarevitch）11年和7年监禁。对此，让-伊夫·勒德里昂的辩护律师指出：“在这个假冒伪劣泛滥的时代，一审对诈骗犯的重判向社会释放出了强烈的信号。”

案例2：“数字监管”——法国新闻出版业联合反对利用人工智能进行内容窃取

2023年9月26日，近300家新闻公司聚集在法国新闻联盟，宣布计划“建立法律储备机制”，以防止人工智能公司的网络爬虫无偿使用他们的内容。法国新闻联盟指出，新闻出版物受知识产权保护，对人工智能公司“在不补偿任何价值的情况下”使用相关文章内容的行为表示遗憾，同时，“面对这一现实，新闻出版商必须捍卫自己的权利，保障其商业模式的未来和新闻业的资金来源”。

与搜索引擎机器人一样，一些人工智能研究企业开发了相关爬虫软件，对互联网上的所有数据进行筛选和抽取，如通过OpenAI的ChatGPT、Google的Bard、Meta的LLaMa等生成式人工智能工具进行摄取和合成，但却没有向原始资源生产者支付丝毫的经济补偿。对此，新闻联盟进一步指出，使用相关法律武器可以“使新闻出版业重新获得对其出版物使用的控制权”，并且“这也是与人工智能服务商展开谈判的必要前提”。

在法律领域，法国较早关注到对数据和算法的规制问题

众所周知，数字技术发展在一定程度上是与法律标准背道而驰的。当前，国际社会仍有声音认为不应对算法和人工智能进行监管，其理由主要是在当前制定相关规则“为时尚早”，因为技术发展的速度与法律发展的速度不可同日而语。这种观点忽略了一个现实，即“算法及其使用已经直接或间接地受到许多法律规则的制约”，法国的相关立法实践就是典型例证。

早在20世纪60年代，法国政府就开始注意到信息和通信技术对个人自由带来的风险与挑战。1969年，法国政府提请国务委员会审视信息技术对个人自由带来的威胁。1970年3月，在时任法国总统乔治·蓬皮杜（Georges Pompidou）领导下，法国政府曾尝试创建一个集中的个人数据数据库，又名“SAFARI”数据库，并由法国国家统计和经济研究所（Insee）秘密执行该项目。然而，该项目遭到泄露并引起了法国社会舆论的巨大争议。随后，时任总理皮埃尔·梅斯梅尔 （Pierre Messmer）停止了该项目，并于1974年3月30日成立了“信息技术和自由委员会”，其任务是保护公民的隐私权，防止因计算机文件的发展而可能造成的侵犯。

1975年9月，该委员会提交了著名的《关于保障尊重个人自由的措施的报告》（因总报告人为时任法国国务委员会委员伯纳德·特里科特，因此又被称为《特里科特报告》）。该委员会在报告中指出了一些重要问题，除了就收集和储存大量数据的处理能力等相关问题进行讨论之外，还提出了包括法国国家和社会层面的“计算机化”所带来的挑战，并从一开始就明确了歧视或排斥个人的风险以及过度依赖计算机的风险。此外，报告还指出，既要有效应对这些威胁，又要维护信息技术带来的机遇，并不是靠建立一个烦琐而分散的法律体系，而是靠对它的控制与主导使其发挥应有的效用。可以说，《特里科特报告》也是一个缩影，代表了法国在算法与信息安全、个人数据保护等议题上所具有的敏锐性和前瞻性，该报告成为了1978年法国《数据保护法》的基础。

1978年1月6日，法国颁布第78-17号“关于数据处理、文件和自由的法律”，即《数据保护法》。自此，法国成为欧洲最早规范个人数据处理的西方国家之一，70年代，另外两个就个人数据处理问题出台法律规范的国家是德国和瑞典。随后，法国政府也有力推动了1981年欧洲委员会《个人数据自动化处理中的个人保护公约》（简称《108号公约》）以及1990年的《个人数据文件监管指南》制定出台。

1978年《数据保护法》于2004年修订，涉及个人数据的所有自动处理，包含多项规定，如向国家信息与自由委员会申报包含个人数据的文件的义务、禁止收集敏感数据（即一般情况下与宗教、健康、政治等有关的数据）、确立了“公平数据收集原则”、确保所收集的所有数据的安全的义务、有义务告知相关个人其数据的收集情况以及访问、修改和删除相关数据的权利，等等。

此外，对于算法和人工智能新型生态的法律规制，还引发了法国公众对于人工智能引发的相关伦理和社会问题的思辨。法国国家信息与自由委员会发起过一项公众调查，结果显示法国公众要求对算法和人工智能制定规则或进行限制。除了具有约束力的规范之外，这些规则和限制还可以采用其他方式，例如行业或企业采用的“章程”形式。

在这一背景下，法国国家信息与自由委员会成立了一个特别工作组来审议数字技术发展带来的伦理和社会问题。这显然反映了人们希望对新技术的限制和标准进行反思。因此，国家信息与自由委员会寻求尽可能广泛地开展辩论，辩论的对象不仅包括公共参与者，还包括从业人员、专业人士和普通公众。

在数据领域，法国建立针对人工智能的专门性监管机构

人工智能的快速发展正在快速而深入地改变世界各国人民的工作和生活形态，同时，这也要求各国能够及时研究制定相关法律法规为人工智能融入人类活动提供适当的框架。出于对数据使用的担忧，意大利成为西方世界第一个阻止生成式人工智能聊天程序ChatGPT的国家。2023年3月31日，意大利当局宣布屏蔽聊天机器人ChatGPT，理由是“缺乏证明大规模收集和保存个人数据合理性的法律依据”。同时，ChatGPT没有设置任何过滤器来验证用户的年龄，无法限制13岁以下儿童对于该机器人的使用。欧洲警察署也在一份报告中指出，从网络钓鱼到虚假信息和恶意软件，人工智能聊天机器人的快速发展容易被恶意利用。对于意大利禁止ChatGPT的做法，法国国家信息与自由委员会表示“尚未收到投诉，也没有进行类似的程序”，但已联系意大利同行讨论相关调查结果，并旨在“澄清相关法律框架”。

法国国家信息与自由委员会指的“法律框架”，是指目前欧盟于2021年提出的《人工智能法案》（Artificial Intelligence Act）。《人工智能法案》旨在通过确立统一的人工智能法律监管框架，以基于风险识别分析的方法，为不同类型的人工智能系统提出不同的义务要求，从而确保基于人工智能的商品和服务在高度保护健康、安全、公民基本权利和保障公共利益的前提下，促进人工智能规范化的开发、使用和营销。该法案的法律框架内，主要讨论人工智能算法的定义，相关软件可能产生哪些社会后果，以及如何打击人工智能使用中存在的相关种族主义和性别歧视情形，等等。值得注意的是，《人工智能法案》还规定为每个国家需要指定一个负责人工智能的监管机构。为此，2023年1月，法国国家信息与自由委员会成立了一个由五人组成的、专门负责人工智能事务的部门，由其下设的技术与创新局（DTI）监管。除了为人工智能用户制定明确的数据保护规定等基本目标外，该机构还旨在确保对于人工智能的法律规制能在欧洲层面统一步调、协调发展。

实际上，早在2017年，法国国家信息与自由委员会就提交了一份《关于算法和人工智能伦理挑战报告》，表达了对人工智能问题的密切关注。近年来，欧盟委员会希望通过制定更为明确的规则，以确保针对人工智能的相关数据保护措施适用于所有欧洲公民。为此，法国国家信息与自由委员会的人工智能监管部门设置了四大目标：了解人工智能的工作原理、为人工智能的发展提供法律框架、保护使用人工智能的用户、支持法国和欧洲的人工智能创新。