来源 | 人民智库
导读
作为典型的颠覆性技术,自动驾驶对世界具有深远影响。詹姆斯·摩尔指出,“随着技术革命对社会影响的增加,伦理问题也在增加。”在众多伦理问题中,责任问题是一个新的、非常重要但又相对关注不足的问题。假如自动驾驶汽车造成伤亡,谁该对此负责?
山东大学哲学与社会发展学院副院长王华平认为,这个问题若用传统的责任理论来处理,会产生责任空缺和惩罚空缺,而填补空缺需要运用新的伦理观念、法律手段和制度措施。对自动驾驶汽车负责的应该是作为集体能动者代理的自动驾驶汽车安全公司。自动驾驶汽车安全公司可以用实际因果推理和区块链技术解决“多只手难题”和“多种东西难题”,从而为自动驾驶汽车责任归属问题提供一个理论上适切、实践上可行的解决方案。
成立“自动驾驶汽车安全公司”何以能够解决自动驾驶汽车的责任归属问题?
自动驾驶汽车(Autonomous vehicles,AV)的责任归属问题源于目前社会上没有一个可与自动驾驶集体行动者相匹配的责任主体,而公司恰是代人行使权利和承担责任的主体,则有必要成立这样一个“AV安全公司”。AV安全公司代表自动驾驶集体行动者,直接对AV的驾驶行为负责。
AV安全公司应该至少由制造商、拥有者、使用者与AV自身等成员组成,且成员应当由法律保证强制加入。即,制造商在生产AV前、拥有者在购买AV前、使用者在使用AV前,必须加入AV安全公司;而AV在销售前也必须在一家AV安全公司注册。
AV安全公司开发一个标准化的安全包,并要求所有AV智能系统都必须接入安全包才能投放市场。安全包应包含一个因果推理模块,可对实际因果关系进行追溯;还应包含一个监测模块,负责记录AV智能系统接收到的所有指令、升级情况以及关键运行数据,并定期对智能系统进行测试。以上所有数据都应该用区块链技术进行保护,以确保其不会因AV的损坏而丢失、不会被篡改,并且可以追溯。
当AV安全公司确定所有行动者都无重大过失时,惩罚落实并终止于AV安全公司;当AV发现某个人类行动者有重大过失时,人类行动者就应该接受惩罚;当AV安全公司确定AV有重大过失,比如它做了一个错误决定,则AV应该接受惩罚。
对AV的惩罚应该着眼于其未来的响应模式,具体措施包括但不限于降速、强制学习、销毁等。AV安全公司应该开发相关技术来保证这些措施得以有效执行。
责任空缺与惩罚空缺
人工智能的飞速发展使得自动驾驶汽车(Autonomous vehicles,AV)正在成为现实。根据国际自动机工程师学会的自动驾驶分级,目前AV处在3~4级水平。3级水平的AV属于有条件的自动化,能够在某些驾驶条件下自动驾驶,但需要人的监控,以便在安全攸关的情况下接管AV;4级水平的AV属于高度自动化,即使人类驾驶员没能对干预请求做出恰当回应,AV也能完成操作;5级水平的AV能够在与人类驾驶员操作条件相同的情况下独立驾驶汽车,可以处理所有安全攸关的问题。本文所论及的AV为3~5级水平的AV。
AV是个非常复杂的软硬件混合系统。一辆AV包含大约一亿行代码。这些代码将人类界面、道路计划、环境感知与建模子系统以及机车硬件执行机构联接起来,只要其中某个部分出现问题,AV就有可能发生故障。加之复杂的路情和难以预料的突发事件,再号称安全的AV也可能在行驶过程中造成伤亡。当AV造成伤亡后,谁该对此负责?
AV的责任归属问题是个新问题,很难用传统责任理论处理。根据传统责任理论,某人应对其行为负责意味着将某种能力归属此人,并且,其行为是其运用此种能力的结果。自亚里士多德以来,使得归责成为可能的能力被普遍认为是对行动的控制和觉知。然而,行动者对其不能控制的事情,比如天要下雨,则无需负责。行动者能够控制行动通常意味着他能够做不同于他实际所做的行动。比如,一个行动者在路口选择了往右走,如果他能控制自身行动,那他当时也可以选择往左走。这种形式的控制体现了常识意义上的“自由意志”。一些传统理论的确认为自由意志是责任归属的必要条件:因为你的行动是你自由选择的结果,所以你应该对它负责。
传统责任理论的另一个信条是,责任的归属以行动者关于自己行动的自我知识为条件。如果一个人根本不知道自己在做什么,比如睡着的时候,他是不用对其行为负责的。如果一个人知道自己在做什么,但他还是选择那样做,那么他应该对自己所做的事情负责。更进一步的要求是,当一个人被问到为什么那样做时,他有能力为自己的行动提供基于他信念和意图的解释。
按照上述理解,操作人员对机器运行的结果是负有责任的。操作人员操作机器,实质上是让机器按照制造商的说明来运行。操作说明将机器的控制权从制造商转移到操作人员,使得操作人员可以根据自己的决定、以可预见的方式操作机器。由于操作人员按操作说明操作机器时可以控制机器,并且知道机器正常情况下会产生什么结果,所以他应该对机器运行的结果负责。但是,假如机器自身没有按照操作说明运行,操作人员则不用承担责任,而应该承担责任的是制造商,因为其制造的机器有缺陷,导致操作人员不能按照操作说明来控制机器。
然而,以上述模式处理自动驾驶的责任归属问题存在很大困难。这是因为,AV没有通常意义上的操作人员,也没有一个可完整定义的操作模式。操作AV的是智能机器,它自动做出驾驶决定。即使在3级或4级水平的AV中,人类驾驶员也只是起到监控作用,多数驾驶决定由智能机器做出。如果需要驾驶员介入且有时间让其介入,他却没有介入或介入不当,则驾驶员负有责任。然而,由于智能机器反应速度非常快,多数情形下驾驶员根本无法介入,换言之,AV对其而言根本不可控制。5级水平的AV则根本没有驾驶员,乘客除了发布乘车和停车指令以及强行关闭系统外,没有其他控制权力。因此,按照传统责任理论,乘客和驾驶员均不应对其无法控制的AV所造成的事故负责。
将责任归属于厂商和程序员也不恰当。AV据以做出决定的规则不是在生产过程中固定下来且一成不变的,而是随着使用过程不断改变。AV从大数据中识别模式,再对这些模式进行建模,然后利用模型做出预测和决定。这就是我们常说的机器学习。具有学习能力的智能机器部分是程序员的产品,部分是自我学习的产物。无论是程序员还是厂商,都无法预测它的行为,也不能直接控制它。因此,按照传统责任理论,程序员和厂商都不应对AV事故负责。可是,如果驾驶员、乘客、程序员和厂商都没有责任,那么究竟谁才有责任呢?这导致一个困境:当我们想追责时,却找不到合适的承担责任的主体,从而产生了“责任空缺”。
对责任空缺的一个回应是引入非人类行动者。在最广泛意义上,行动者指的是具有最广泛意义上的行动能力的系统,而最广泛意义上的行动能力可理解为产生运动的能力。很多人认为,能够自主地做出行动,特别是做出有伦理意蕴的行动的行动者可以被归属责任。其中,自主意味着不受干预和控制。由于自主行动是行动者自己做出的行动,所以他应该为之负责。
AV能够自主地行动,可以“复制人类决策过程”“做出生与死的决定”和“选择自己的目标”。它还可以回应伦理困境,比如它发现达到某目标不可避免会引起连带伤害时,就会放弃此目标。机器伦理学的目标是赋予机器道德推理能力,让其成为一个道德行动者。未来5级水平的AV被认为具有这样的能力。当我们乘坐一辆5级水平的AV时,就像科克尔伯格所说,“所有的能动性都完全转移给了机器。”这种情况下,AV一旦造成伤亡,负责任的就应该是驾驶汽车的机器。
但是,即使我们承认AV可以被归属责任,也很难说它可以接受惩罚。惩罚通常与自我知识联系在一起。我们惩罚一个行动者,是因为我们认为他应该知道自己的行动会带来不良结果,而他或者不顾不良后果,或者忽视不良后果。因此之故,我们认为他应该受到惩罚。惩罚的目的既是为了让他意识到自己的错误,也是为了让所有社会成员知道任何挑战法律规范的行为都要付出代价。然而,至少在可见的将来,智能机器不会具有意识,不能反思自己的行为。因此,对它进行惩罚,完全达不到我们想要的效果。于是,困境再次出现:我们想要找到一个合适的主体接受惩罚,但却找不到,从而产生“惩罚空缺”。
很多人工智能专家,例如布鲁克斯和布莱森,认为机器只能被设计成奴隶,并像奴隶一样被对待和交易。如果机器只是为我们服务的奴隶,至少我们就不能将全部责任和惩罚加之于它,因为它只是在执行我们的意志、服从我们的权威,并无真正的独立性。这种情况下,将责任和惩罚加之于它会产生“替罪羊”问题。
AV与集体行动者
一些人坚持认为,AV并没有给责任归属带来特别的挑战,因而无所谓责任空缺和惩罚空缺。尼霍姆是持这种观点的代表人物。他认为,尽管我们可以像很多人认为的那样合理地归属机器人的能动性,但是我们不能归属其独立的能动性。我们应该将机器人理解为“人机协作”中的一员,在其中,机器人在人的监控和权威下工作。这是因为,尽管AV做了大部分工作,但工作的目标却是另一个真正具有权威的行动者——人所设定,是人初始化、监控和管理机器(协作者)。所以,人应该为AV的所作所为负责。
但是,正如达纳赫令人信服地表明的,这种简单的还原进路存在一系列问题。首先,将责任归属给AV的拥有者或乘客不符合我们的直觉。AV的拥有者和乘客不能有效地控制和预见AV的行为,因此将责任归属给他们不免让人产生一种“飞来横祸”的感觉。其次,将责任归属制造商,不但不公平,也不利于AV的发展。AV自动化程度越高,制造商越不能控制和预见AV的行为。如果我们坚持将责任归属给制造商,就会挫伤其提高AV自动化程度的积极性。再次,存在如何确定协作者的边界以及如何在不同人类协作者之间分配责任的问题,本文第三部分将详细讨论。
尽管尼霍姆的还原进路并没有真正解决责任空缺问题,但他所引入的“协作能动性”概念却富有启发性。协作能动性揭示了一类现象:有一些行动并不是由单个行动者做出,而是多个行动者共同完成。人类并非活在自己的个体能动性中,他们所寻求的很多结果都是通过共同努力获得。AV本身也是合作的产物。合作行为所表现出来的能动性不同于个体能动性,它涉及持有共同目标的个体之间的相互作用、相互协调、相互补充。这种以相互作用为基础的朝向共同目标的能动性我们称之为集体能动性。
AV具有能动性,并且,它所表现出来的能动性是集体能动性而非个体能动性。根据佩蒂特的提议,智能系统的能动性可以用功能主义来刻画:智能系统存在一个合适的目标集和表征集,依据其中表征所做出的行动可促进其中目标。然而,一个系统要真正具有“目标–表征”的行为模式,就必须具有以下三个特性:系统扰动性、情境适应性、可变的实现性。
系统扰动性要求扰动源于可理解的系统性要素——如果没有那些要素,系统则很少会失效。因此,具有系统扰动性的系统正常条件下会在特定领域表现出可靠的“目标–表征”行为模式。AV显然满足这一点——它被设计成能够利用视觉表征可靠地将汽车驾驶到目的地。情境适应性要求系统具有可塑性,而不是简单地对特定情境做出应激性反应。AV能够应付复杂的路况和多种意想不到的情境,正是其具有情境适应性的表现。可变的实现性要求系统具有多种实现目标的方式,而不仅仅是导向目标的硬连接。AV所具有的联结主义架构和机器学习能力赋予其多种策略生成能力和选择能力,因而具有可变的实现性。上述特性使得AV能在目标设定过程中自主地做出决定,从而表现出真正的能动性。
需要注意的是,AV所表现出的能动性并不全然是其智能系统的能动性,还包含人类合作者的贡献。在具体情境中,智能机器好像完全自主地做出决定,但其背后却离不开人。对AV来说,是人对它进行初始化,设定它的行驶目标,对它进行升级,甚至强行关闭它的电源。人对AV的这些控制措施决定AV的自主性只是工具意义上的自主性。它的工作目标由使用者设定,目标的实现由制造商、使用者、拥有者以及AV共同完成:制造商保证AV正常情况下执行使用者所设定的目标;拥有者购买AV来实现使用者(有时即为拥有者)设定的目标;智能系统根据使用者所设定的目标自主决定实现目标的方式。有鉴于此,AV的驾驶行为是以相互协调为基础的朝向共同目标的集体行动,是制造商、使用者、拥有者以及AV组成的集体行动者共同作用的结果。
集体行动者不是集体成员的总和,集体行动不能还原为个体行动。塞尔曾举例形象地说明这一点:设想一群人坐在草地上晒太阳,突然下起雨来,于是大家一起跑向房屋躲雨。再设想一群演员表演这一场景。这两群人的行动看上去并无二致,但实际上是完全不同的两类行动。第一种情形中,大家一起跑向房屋躲雨是偶然的共发行为,由众多的单个目标——“我要躲雨”引发;第二种情形中,个体行动不再是相互独立的,而是拥有一个共同目标,即重现避雨的情景,其共同行动是由此共同目标而非众多的单个目标引发。这个例子中,第一种情形的行动只是众多偶发的个体行动,第二种情形的行动则是涌现出来的集体行动。
集体行动的不可还原性意味着,它的来源不能追溯到个体行动者。所以,直接要求个体行动者对集体行动负责是不恰当的。既然如此,谁该对自动驾驶集体行动负责呢?
AV与责任分配
尼霍姆认为,一些类型的集体行动,例如遵循“监督–遵从原则”的集体行动,其责任在集体中的某一方。遵循“监督–遵从原则”的集体行动是一个行动者在另一个权威行动者的监管下做出的行动。尽管遵从的一方做了大部分事情,但负责任的是监督的一方。尼霍姆举了个例子来说明这一点:“一个大人与一个小孩一起抢劫银行,主意是大人拿的,大部分‘事情’是拿枪的小孩干的。大人监督着‘搭档’的活动,如果需要,就会介入并对小孩发号施令。”尼霍姆认为,在这个例子中,尽管小孩做了大部分事情,但责任显然在大人。同样,一个乘坐AV的人监督着AV的驾驶,在需要的时候接管或发布不同的驾驶指令。这种情况下,如果有事情发生,责任在监督AV的人。但是,如果事故是由AV功能失常引起,则责任应由制造商承担。总之,AV造成的事故,其责任应该直接由人承担。
但是,尼霍姆的类比事实上并不成立。首先,AV的反应速度非常快,很多情况下人根本无法介入。人对AV的监控只是诸如开车、停车、关闭系统等非实时监控,它不同于大人对小孩的实时监督。其次,至少在驾驶方面,AV比人做得更好(正因如此,我们才要发展AV)。而大人之所以能够监督小孩,是因为他比小孩更能干。所以,人与AV的关系并非大人与小孩的关系。最后,也是最重要的,人向AV发布驾驶指令是合乎伦理和法律的,而大人命令小孩抢银行既违反了伦理,也违反了法律。所以,不能从抢银行的例子中责任在大人推断出AV事故的责任在监控AV的人。
实际上,对于自动驾驶这样的集体行动,无论将责任归属给作为集体成员的个体行动者,还是归属给作为集体子集的某一方,都不恰当。自动驾驶是集体行动,集体能动性的不可还原性决定了,责任主体是集体行动者。问题就在于,在目前的社会制度中,我们找不到一个可与自动驾驶集体行动者相匹配的可归属责任的社会组织。正因如此,一些人主张将责任归属给AV的所有者或使用者,另一些人主张将责任归属给AV的制造商,还有人主张将责任归属给AV本身。赫夫尔克和奈达-吕梅林认为,应该通过设立专门保险或对AV收税的方式来落实责任。然而,无论是保险公司还是政府,都与自动驾驶集体行动者相隔甚远,让它们承担责任难以彰显归责的警示意义与纠正作用。
但是,成立保险公司的想法亦有其可取之处。在当今社会,由公司承担责任是常规操作。公司是法律实体,可签订合同、拥有财产,可发起诉讼和应诉。公司的概念最早可追溯至拜占庭皇帝查士丁尼的统治时期。查士丁尼正式确认了一系列公司实体,包括大学、公司、学院、宗教团体、政治团体等。在很多方面,这些公司实体就像是一个法律上大写的“人”。公司从一开始就被设定为:代人行使权利和承担责任。公司代人承担责任的方式是为它的股东提供有限责任。有限责任意味着股东可以不对合同上约定的公司义务承担责任,也不用为公司对第三方的非故意侵权行为承担责任,因为这些责任由“人的替身”——公司承担。以此观之,公司是天生的责任主体。
既然AV的责任归属问题源于目前社会上没有一个可与自动驾驶集体行动者相匹配的责任主体,而公司恰是代人行使权利和承担责任的主体,则有必要成立这样一个“AV安全公司”。成立社会组织,从而将抽象的集体行动者具体化,这是我们社会的普遍做法。AV安全公司代表自动驾驶集体行动者,直接对AV的驾驶行为负责。
AV安全公司应该至少由制造商、拥有者、使用者与AV自身等成员组成。这也是AV安全公司与一般公司不同的地方:一般公司的股东自愿加入公司,而AV安全公司的成员却是被强制加入。这种强制性应该由法律保证,因此,将来需要制定这样的法律:制造商在生产AV前、拥有者在购买AV前、使用者在使用AV前,必须加入AV安全公司;而AV在销售前也必须在一家AV安全公司注册。
强制成员加入的依据是,其明知自己所参与的行为(即自动驾驶)具有潜在风险,仍然参与其中:拥有者和使用者为了享受AV所带来的便利选择接受AV所带来的风险;制造商为了利润选择将有潜在风险的产品推向市场。既然如此,他们就需为自己的选择所带来的风险承担责任。此外,AV也有责任,因为它是自主行动者,是驾驶行为的直接执行者。因此,AV安全公司必须至少包含以上四类行动者,如此才算得上是合理的归责对象,才可以填补责任空缺。
此外,AV安全公司还可以解决惩罚空缺问题。在很多国家(包括中国和美国)的民事法律中,公司可以是被惩罚的对象。如果调查发现所有行动者都没有“大错”,那么惩罚就落实并终止于AV安全公司。这个时候,AV安全公司就像保险公司一样,只受经济惩罚。如果调查发现某个行动者,比如程序员,犯了明显错误,那么就应该让他接受惩罚。不管是哪种情况,从法律角度看,关键在于确认谁有过错。
然而,对自动驾驶来说,这通常不是一件容易的事。自动驾驶是包括设计者、程序员、生产者、拥有者、使用者在内的众多行动者相互作用的结果,在它们之间分配责任存在“多只手难题”。同时,AV涉及多种不同技术,包括软件和硬件,且均对AV的驾驶行为有不同程度的因果贡献,因此在它们之间分配责任又存在“多种东西难题”。要填补惩罚空缺,首先要解决这两个问题。
AV安全公司的一个重要任务就是为责任分配问题提供一个可行的技术方案。方案大致为:AV安全公司开发一个标准化的安全包,并要求所有AV智能系统都必须接入安全包才能投放市场。安全包应包含一个因果推理模块,可对实际因果关系进行追溯。实际因果关系不同于类型因果关系:前者是由果推因,后者则是由因推果。此外,安全包还应包含一个监测模块,负责记录AV智能系统接收到的所有指令、升级情况以及关键运行数据,并定期对智能系统进行测试。
AV的定期测试就像普通汽车的年检一样,十分必要。这是因为,具有自主学习能力的智能系统与一般软件系统大不一样。一般软件系统的信息储存在内部网络中,可直接提取出来进行分析。但是,智能系统的信息是以隐性的方式储存在神经网络中,无法直接提取,只能通过应用测试模式激发其输出方式,进而了解其所包含的信息和响应模式。定期测试可以告诉我们智能系统的进化历史和进化水平,再结合AV的关键运行数据,就有可能推断出引发事故的主要原因。
以上所有数据都应该用区块链技术进行保护,以确保其不会因AV的损坏而丢失、不会被篡改,并且可以追溯。有了这些制度上和技术上的保障,“多只手难题”和“多种东西难题”在多数情况下就能得以解决。
探讨至此,惩罚空缺问题已可以获得解决。当AV安全公司确定所有行动者都无重大过失时,惩罚落实并终止于AV安全公司。当AV发现某个人类行动者有重大过失时,人类行动者就应该接受惩罚。当AV安全公司确定AV有重大过失,比如它做了一个错误决定,则AV应该接受惩罚。
那么,如何理解对AV的惩罚呢?这需要我们从“向后看”的视角转换到“向前看”的视角。以“向后看”的视角,把惩罚当作是对过去错误的当然报复,这是一种过时的想法。更为合理的当代看法是,惩罚的目的是让行动者产生将来避免此类行为的动机。因此,应采取“向前看”的视角,对AV的惩罚应该着眼于其未来的响应模式,具体措施包括但不限于降速、强制学习、销毁等。AV安全公司应该开发相关技术来保证这些措施得以有效执行。