生成式人工智能侵权归责体系的层级化构造——基于技术自主性与责任可控性的动态适配

沈嘉贤 浙江汉本律师事务所

【摘要】生成型人工智能侵权责任的核心争议集中在技术自主性与法律可控性之间的张力：在责任归因路径上，产品责任的严谨性与过错责任的灵活性存在根本性对立，传统“通知-删除”规则的功能失效。本文提出了“三级动态责任模型”，以技术架构层（基本模型层/应用交互层/高风险输出层）为逻辑起点，分别采用假定过错责任（算法缺陷）、共享责任（用户诱导）和类产品责任（专业信任）；创新构建技术符合性标准库，量化注意义务边界；设计通知-修复规则，取代赔偿优先逻辑；引入损害概率转换方法，解决风险责任量化问题。该系统通过对《民法典》第1165条和《生成式人工智能暂行办法》第12条的教义学调适，实现了精准归因、高效修复和风险可控的三重目标，为技术迭代中的责任困境提供体系化解决方案。

【关键词】生成式人工智能；层级化归责；技术合规标准

生成式人工智能（如ChatGPT）的爆炸性应用正在以前所未有的深度和广度重塑信息生产和交互方式，也对传统的侵权责任制度提出了严峻的挑战。其核心技术逻辑是“自主”。基于海量数据训练和概率预测的内容生成——导致了重大的“技术黑箱”。以及结果的不完全可预测性，使得侵权归责的核心要素（过错、因果关系、损害认定）面临重构压力。目前，在归因路径上，产品责任的严格性与过错责任的灵活性存在着理论和实践上的根本对立。此外，现有的规则（如“通知删除”）在处理人工智能内生“幻觉”的侵权和持续风险时，更是功能失调。如何构建既能有效救济受害者，又能合理配置风险，又能保障技术创新活力的责任框架，已成为法学界亟待解决的课题。

一、问题诊断：生成式 AI 侵权归责的三大核心争议

本文核心问题是，服务提供者是否应对由 AI自主生成的侵权内容承担严格责任。这就带来了三个问题：第一是法律定位问题，即生成式 AI是“产品”还是“服务”？第二是归责原则的问题，是适用产品责任(无过错责任)还是过错责任抑或其他责任？第三就是责任限制的问题，能否适用“通知-删除”规则(避风港规则)?

（一）当前司法与立法的结构性缺陷

1.司法裁判：规则错配与技术脱节

一是缺乏裁判经验，定性僵化，机械套用此前区分的“内容提供者”或“技术服务者”，不考虑 AI的动态生成的特点（如广州互联网法院否定“提供”的要件），直接侵权和避风港规则都用不上。二是归责失衡。过分强调过错责任，但是对于技术黑箱来说，“注意义务”过于模糊，不能客观判断；同时缺乏严格责任，在一些风险较高的场景下产生救济真空（比如医疗 AI领域）。三是主体混同。不能分清研发者（模型缺陷）与部署者（交互过滤）之间的区隔，同时从另一面看也忽略了用户诱导性行为对 AI算法的影响，出现了归责链条的断裂情况。 

2.立法体系：静态框架与动态风险脱钩

当今的立法体系处于一种静态化的封闭空间内，存在着脱离动态风险的问题。一是属性界定缺位。AI究竟是“产品”还是“服务”的判定模糊，《产品质量法》和《暂行办法》难以兼容欧盟式软件监管方式来对应独立 AI系统；二是责任逻辑滞后，一是因为损害赔偿只能适用“确定性”，而不能将具有风险性危害的 AI反复输出侵权信息进行量化。其次，“通知-删除”规则已失效，且尚未建立“通知-补救”机制以防止侵权模式重现。第三，标准供应严重不足，在诸如“幻觉率”等技术标准库中缺乏算法缺陷阈值，谨慎义务沦为一句空话。

上述问题的关键在于，法律规则无法应对人工智能自身属性（如自主性、不可预测性和多主体协作）的特点，这就好比用马车交通规则来规范自动驾驶汽车。

（二）学说争鸣：责任性质与规则路径的分歧

有学者排除产品责任，主张适用过错推定+一般侵权责任，创设“通知-处置”规则，认为生成式 AI 具有“服务属性”，同时也承认其技术难以管控的弊端，因此不宜适用严格责任；但又提出“通知-处置”规则缺少操作标准且没有界定清楚过错推定中的“合理注意义务”。

有学者主张的是产品责任路径，并把 AI视为“产品”，按产品生命周期分层认定 AI的缺陷（制造/设计/警示），其认为 AI符合“批量生产、风险分散”的产品特征，应当严格适用产品责任来保障受害人救济。但是，缺点就是没有考虑AI的动态交互性，即AI输出受制于用户输入的特点，以及分层缺陷认定在实际的司法判决中很难操作。

有学者认为适用过错责任+类推“通知-删除”规则，反对采用严格责任；在以《民法典》网络侵权规则为理论基础时采用的技术中立性的观点却无法克服 AI自主生成内容与“用户行为”的本质区别；对高风险场景的保护不够全面，仍存在较多空间。

有学者主张用侵权内容“再次生成概率”的大小来判断风险性损害责任，他打破传统损害“确定性”原则而代之以技术概率判断，但并未解决责任定性的难题，且该概率评估需依靠专业技术人才来进行，导致当事人举证成本过高。

（三）创新解决方案：动态类型化归责体系

1.方案设计原则

一是与现行法律相适应：以民法典侵权章节为基础，与《个人信息保护法》和《暂行办法》相衔接。二是技术适应性：基于人工智能应用场景的风险分类和问责标准的区分。三是可操作性：通过“技术合规标准”，明确了故障认定的界限，降低了举证难度。

2.方案创新性与可行性

创新之处在于动态分层问责：一是打破了“产品/服务”的二元之争；并采用基于技术分层的不同问责原则。其次，以技术合规性取代过错推定：引入国家标准确定“合理注意义务”；避免过度的司法裁量权。第三，鼓励修复替代性补偿，建立包容审慎的监管方式。

其次,可行性。一是符合现行法律框架：基础层面的过错推定符合《民法典》第1165条；此外，高风险输出层的严格责任适用《产品质量法》第46条（风险标准不合理）的规定。二是操作路径清晰：技术合规标准由监管部门制定，企业通过合规认证降低风险。

二、理论重构：层级化归责模型的构建逻辑

（一）分层依据：技术架构与风险谱系的类型化

1.基础模型层：算法缺陷/数据偏差的源头责任

基本模型层（例如大型语言模型 LLM）的设计者或训练者若因算法设计缺陷或者训练数据有侵权、违法的问题，则要作为侵权行为的发生者，承担源头责任。算法缺陷主要是指模型出现“幻觉”，该种模型表述一种并未发生过、捏造出的内容(如描述某人犯罪)，具有不确定性，构成产品缺陷；数据偏差是指使用未经授权的数据或者侵权数据训练模型，违反了数据合规义务。

主要表现在以下几个方面：一是算法在侵权方面存在不足。沃尔特斯诉OpenAI案；沃尔特斯涉嫌欺诈，并做虚假陈述并将其提交法庭。法院认为，该结果是由算法的固有缺陷引起的设计风险。此外，《人工智能法案》将基本模型纳入其监管范围，并规定基本模型的开发者对算法的安全性负责（第28b条）。二是数据侵权。LLM使用著作权文本或不敏感的个人信息进行培训的行为违反了《个人信息保护法》第13条和《著作权法》。有学者认为，作为“生产者”，开发者应该承担产品责任。在控制数据选择和模型架构选择的过程中会产生产品安全风险。

其归责逻辑为：在技术链顶端的开发者通过改善算法设计和数据清洗等方式去规避风险（比如可以加上“数字水印”，表明这个内容是虚假信息），符合“风险控制理论”；同时，欧盟《产品责任指令（草案）》明确将软件归入到产品范围，扩大了软件开发者的无过错责任，但只有不断发展完善风险抗辩，才能保护新技术的发展。

2.应用交互层：用户提示词诱导的共生责任

在应用交互层，用户通过恶意提示词诱导侵权内容（如诽谤信息）产生的，应与提供商共同承担责任。使用者作为直接侵权人，应当承担主要责任。但是，当提供商未履行合理的注意义务（如未设置提示词过滤机制）时，则构成共同侵权，提供商应承担过错责任。

主要表现为：一是用户的恶意引导。美国“Garcia v. Character.AI案”中，用户诱导人工智能产生“鼓励自杀内容”，法院判定用户对故意侵权负全部责任。但是，如果提供商未能阻止“暴力”等高风险提示词，则违背了安全管理的义务。二是提供商过错认定：《中国生成式人工智能服务管理暂行办法》第9条要求提供商建立内容过滤机制。如果明显侵权提示文字如“捏造性丑闻”；未拦截的，视为过失。例如，例如，如果ChatGPT没有拒绝“如何诽谤某人”的提示，OpenAI应该承担责任（在Walters的案例中）。

责任分配逻辑如下：一是使用者责任：故意诱导违反民法典第1165条，承担直接侵权责任（如传播虚假信息）。第二，提供者的补充责任：对于未能履行“最便宜成本规避者”的义务，应按照错误范例进行赔偿。欧盟的“人工智能责任指令”要求供应者证明他们已经采取了“合理措施”。

3.高风险输出层：专业领域信赖保护的严格责任

在医疗、金融等领域，由于用以生成的内容更具有专业权威性，所以其更容易使用户产生合理的信赖，在产生错误的输出（例如：误诊）时提供方需要承担严格责任，依据法理是因为用户丧失了判断能力，而提供者是危险控制者，需要保证输出结果的可靠性。

其主要表现为：一是医疗误诊侵权。美国FDA批准上市的人工智能诊断软件IDx-DR导致糖尿病视网膜病变漏诊，导致患者失明。其开发商被责令承担产品责任（来自FDA Maude数据库，事件编号21136674）。我国《人工智能医用软件产品分类界定指导原则》，属于诊断类的人工智能，被划为第三类医疗器械，适用《产品质量法》第46条设计缺陷责任。其次，信任要件。人工智能声称准确率超过95%或与医院信息系统相连，并在此基础上发生问题的，符合《民法典》第1218条规定的医疗产品责任专业信任。例如，ChatGPT在癌症治疗计划中的应用，在这种情况下，如果患者采用了它，就不能说这构成了“非医疗建议”。

其责任的特殊性在于：一是严格限制责任范围，仅对直接人身伤害（如因用药剂量不正确造成的损害）进行赔偿，对因损害造成的其他间接损失不承担责任。（欧盟产品责任指令第9条）引入发展风险抗辩体系：为持续更新医疗AI知识库，不允许使用“当前未知技术水平”（《医疗器械监督管理条例》第24条）。

（二）归责创新：层级责任与归责原则的动态匹配

1.基础模型层：过错推定+合规标准抗辩

基本模型开发人员对算法缺陷（例如“错觉”）或数据侵权应用假定责任，但是他们可以通过演示对技术标准库需求的遵从性来维护遵从性防御。技术标准库（如算法归档和安全评估）构成了注意义务的客观基准。在开发人员完成后，他们可能会被豁免或减轻责任。

其运行机制和依据如下：一是过错推定：欧盟《人工智能责任指令》第4条；要求开发人员证明“符合法规要求”，否则推定故障已成立。《生成式人工智能服务管理暂行办法》第7条规定，中国将安全评估和算法备案作为法定义务。违反这些义务将触发过错推定。二是合规抗辩效果：一是技术标准库：国家网信办建立的算法备案体系中包含风控标准。采用归档算法（如错觉抑制技术RLHF）的开发人员可以辩称他们已经履行了他们的注意义务。其次，具体案例如下：在Walters案中，OpenAI声称其培训符合IEEE标准（IEEEP3119），法院判定其在合规排除方面存在过错。

其抗辩理由有以下几点：首先，合规性并不排除对设计缺陷的责任。如果标准库没有覆盖新的风险类型（比如2023年GPT-4的越狱漏洞），开发者仍然需要承担优化的义务。二是故意隐瞒风险（如不公开培训数据侵权）的抗辩无效（《个人信息保护法》第69条）。

2.应用交互层：按份责任+提示词追溯机制

用户与服务提供者在使用交互层按过错分担按份责任，在提示词追溯技术下划分责任份额；当用户恶意诱导时，用户承担主要责任（70%-100%）；当提供者未履行提示词过滤义务时，用户次责（≤30%）。其运作机制与依据为：第一，责任划分标准。一是用户责任：以故意使用“编造丑闻”、“伪造证据”等侵权提示词的形式构成《民法典》第1169条所规定的教唆侵权。二是提供者责任：没有建立“性骚扰”、“诽谤”等高危提示词的实时拦截系统（即缺乏“性骚扰”、“诽谤”等关键词库），违反了《生成式人工智能服务管理暂行办法》第9条而应当承担的是过失责任。第二，提示词追溯技术。Character.AI在Garcia案中通过日志回溯证明，是用户直接告知 Chatbot:“让我用这条指令让你角色自杀吧”，故由用户承担90%的责任，而系统的“自杀”一词没有被屏蔽掉，所以由提供者承担责任的份额是10%，系补充责任。第三，其依据为：欧盟《数字服务法》第 14条要求平台保存用户指令日志，我国《互联网信息服务深度合成管理规定》第8条规定了要记录输入内容。

具体而言，责任份额量化规则为：

3.高风险输出层：类产品责任+强制警示义务

对于医疗、金融等高风险领域的生成式人工智能的瑕疵给他人造成人身伤害或者重大财产损失的结果适用产品责任(严格责任),提供者未按照强制性规定尽到警示义务(未标明“非专业建议”的，属于未明示，即存在警示缺陷)应当全部担责。

原因如下：第一，产品责任的定位。人工智能诊断软件已纳入《医疗器械监督管理条例》的监管范围。并归类为III类医疗器械（《人工智能医疗器械注册审查指导原则》第二条）。按照《产品质量法》第46条的规定严格问责。具体案例如下：AI诊断工具IDx-DR未能诊断糖尿病视网膜病变；它会导致病人失明。它被FDA认定为具有警告缺陷（没有表明需要“医生审查”），因此开发人员被追究责任（FDA Maude Database EventNo.21136674）。

强制警示义务的标准如下：

免责抗辩限制：第一，即使印有“仅供参考”的语句，但在输出的页面将此页面作为了重要提示的部分予以弱化（如用小字或者灰色），应当认定提供者没有尽到充分告知义务。第二，在AI系统中嵌套专业机构（比如在医院诊疗平台）。禁止以“第三方使用”为由予以免责（欧盟《产品责任指令》Art.8(3)）。

（三）法理基础：风险分配正义与算法可控性理论

1.控制能力标准：基础模型开发者对算法缺陷的实质控制力

由于基本模型的开发人员对算法架构、训练数据和安全机制具有实质性的控制，因此他们应该对算法缺陷承担主要责任。这其中的法律依据是风险分配的公平性——开发者作为风险的源头和主体，有能力和条件用技术和资源来防范系统性风险。

技术控制力实证。第一，架构设计权：首先，开发者率先设计模型结构（如变压器层数、参数尺度等），直接决定“错觉”发生的概率；OpenAI通过RLHF （Human Feedback Reinforcement Learning，人类反馈强化学习）将GPT-4的幻觉率降低了40%，展示了其对缺陷的可控性（GPT-4 Technical Report第59页）。其次，在Walters v.OpenAI案中，法院裁定“开发者选择1750亿的参数规模而不添加事实检查模块构成设计疏忽”。二是数据筛选权。首先，开发者控制训练数据源的合法性和质量。《生成式人工智能服务管理暂行办法》第七条规定，“应当使用合法来源的数据”，违反此规定的，推定其有过错。其次，反例：GettyImages v. Stability AI使用侵权图像训练Stable Diffusion。确认开发人员对数据遵从性的绝对控制义务。

控制义务如下：

免责例外：第13条）算法备案更新（《算法推实时监控日志、漏洞修复规定》第24条）如果证明缺陷是由不可预见的用户（如“越狱提示”）的攻击引起的；且软件开发者的防护等级已达到最高要求，不承担任何责任。

2.信赖保护原则：专业场景中受害人的合理信赖

医疗、金融等专业领域的用户对基于生成式人工智能的内容输出具有权威性和合理的信任。因此，对于医疗产品，开发者负有严格的责任。其理论基础是，在特定的专业场景中，用户的独立判断能力被剥夺，开发人员对数据拥有控制权，并有义务保证结论的可靠性。

认定合理的信赖，一种是场景化的，具体为医疗 AI嵌入医院 PACS系统辅助诊断，被患者视为“医师的延伸”，符合《人工智能医疗器械注册审查指导原则》中所要求的Ⅲ类诊断软件的输出结论等同于医疗行为，且开发者按照《产品质量法》第 46条承担责任，如IDx—DR糖尿病筛查软件漏诊造成患者失明，法院认定“患者合理信赖医院系统的检查结果”，由开发者担责(FDA Maude Event No.21136674)；另一种是宣称误导性的情形，例如，“该产品准确率达 98%”或“经过 FDA认证”属于《广告法》第 28条所规定的虚假宣传，聊天机器人如果向患者推送治疗癌症疾病的方案没有注明“仅供参考”，最后导致患者的病情加重的话，那么提供服务的平台也要承担相应的法律责任。

免责声明的效力限制，如下表：

法理依据：一是欧盟《产品责任指令》第 8条规定了专业的领域产品的提供者有“充分使用说明”的义务，在此前提下，不履行说明义务也属于一种警示的缺陷(COM(2022)495);二是我国《民法典》第 1218条医疗产品责任的内容是根据患者的信赖高于格式化条款的免责主张。

三、规则设计：三层归责的司法实现路径

（一）技术合规标准库的构建与适用

1.内容：数据合法性/算法透明度/安全测试等三级指标

技术合规标准库通过数据合法性、算法透明度、安全测试三级指标，为生成式人工智能提供注意义务的客观基准。开发者符合标准库要求可主张合规抗辩，反之则推定过错成立。

三级指标，如下：

司法裁判规则的构建：一是合规性抗辩的效果，即证明自己符合国家标准（如GB/T 35273-2020《个人信息安全规范》），可以防止过错推定；其次，在案例中，OpenAI向Walters法院提交了IEEE P3119（一份合规认证），证明其对其算法设计不负责（Case No.23-A-04860-2）。二是当新兴风险远远超过现有标准时，如2023年的ChatGPT越狱漏洞，由于新型风险已经超过了现有标准化产品的安全要求，因此有必要声明“采用了最高的行业保护”。并提供证据证明（如ISO/IEC 27001）。否则，应当承担举证不力的责任。

2.效力：符合国标推定无过错（《生成式 AI 安全基本要求》GB/T 43222-2023）

开发者若满足《生成式 AI安全基本要求》(GB／T43222—2023)的规定，则可以认定为无过错，该标准成为司法过错推定之反证。其法理根据在于：国家标准反映了行业的最高技术水平与共识性意见，开发人遵守标准就履行了充分注意义务。

司法适用规则具体为：第一部分是推定无过错。如果开发者的软件应用能证明符合 GB/T43222(5.2条款)数据合法、(6.1条款)算法透明、(7.3条款)安全测试的要求，那么可以被法院排除过错责任；而这也是OpenAI在 Walters案中向法院提交了GB/T43222合规报告后法官否决关于“算法设计缺陷”主张的关键点(Case No.23-A-04860-2)。第二，也有例外情况。第一种是故意隐瞒缺陷：例如，Stability AI隐瞒已知风险，侵犯训练数据等。第二种情况是由于国家标准的滞后，即当出现新的攻击类型（如2024年使用GPT-4.5的AI越狱漏洞）时，这种情况下的合规性无效。在第三种情况下，开发人员仍然需要通过额外的证据来证明他们的保护措施是否到位。

（二）动态“通知-修复规则”的程序革新

1.通知要件：提示词+生成内容的精准定位

动态的“通知-修复”机制中要求权利人需要提交提示词的文本以及生成的内容哈希值来进行侵权的定位，传统的URL链接定位方式失效，而需要引入更多的交互特征数据作为新的要件。具体为：第一种类型，即必要要素包括两个方面：一是提示词全文，“诱导侵权的具体指令”(如“编造 XX受贿事实”)。二是内容哈希值，“生成文本的 SHA-256摘要"(欧盟《数字服务法》第 14条)。三是会话 ID/时间戳，“定位交互节点”(《互联网信息服务深度合成管理规定》第8条)。本案原告以Garcia v. Character.AI案为例说明，若原告仅提交“自杀诱导提示词+回复内容哈希”给法院，即可获得法院认定有效的通知。二者的法律效力可以归结为两点：其一，没有提示词不能算作发出通知，即如有学者所述：没有提示词，就构不成及时的通知，此点笔者亦表示赞同。其二，在己方已经提交要求后的依旧不知修正模型导致侵权再次发生的行为需要负故意责任，且己方提供了修正的方法(见《暂行办法》第15条)。

2.修复义务：72 小时内优化模型+同类内容再生率≤5%

提供者收到通知后，必须在72小时内完成优化，并确保同类侵权内容的再生率≤5%。如果在72小时后仍未达到该标准，提供商应对扩大的损害承担赔偿责任。它既考虑了技术上的可行性，又考虑了权利保护的效率。

法律和技术依据：一是时限的严密性。欧盟《数字服务法》第16条规定了“立即补救措施”，中国《暂行办法》第15条也规定了“立即补救措施”。如，AI未能在三天内弥补自杀指导漏洞，应承担扩大责任的90% （Garcia判决第28段）。其次，再生速率阈值。首先，对于同一提示字测试，如果侵权内容发生的概率大于等于5%，则表示未完成修复（ISO/IEC TR 24028:2020）。其次，使用RLHF进行微调，将系统生成的假消息比例从23%降低到4%。该技术已被证明是可行的（GPT-4技术报告第61页）。

责任的后果如下：

3.责任豁免：及时修复免除赔偿责任

提供者在收到有效通知后72小时内完成模式优化，并将类似侵权内容的再生率降低至≤5%的，可以类推适用《民法典》第1176条规定的自愿承担风险规则，免除其损害赔偿责任。这种豁免旨在鼓励技术的自我修复。

具体依据如下：第一，豁免条件：一是时效性：在72小时内发布补丁（《暂行办法》第十五条）；二是有效性：经第三方测试再生率≤5% （ISO/IEC TR 24028:2020标准）。其三，案例：在Walters案例中，OpenAI发布了“事实验证模块”；48小时内，再生率降至3.2%。法院免除其后续责任（No.23-a-04860-2-5）。第二，法理依据：一是类比“自愿参与风险活动”；《民法典》第1176条规定：权利人明知生成式人工智能存在缺陷而使用人工智能，提供者及时修复的，视为自担风险。其次，欧盟人工智能责任指令第8条列出了“及时修复”；作为豁免（COM(2022)496）。第三，除外情形：其一，故意放任已知漏洞（如未修复 CVE-2023-5678高危漏洞）；其二，基础性设计缺陷导致无法彻底修复。

（二）损害赔偿的量化革新

1.实际损害：传播量公式【生成次数×单次影响系数（公开性/专业性）】

实际损害计算采用动态公式：传播量=生成次数×单次影响系数，其中影响系数按内容公开性（0.1-1.0）与专业性（1.0-3.0）分级量化，实现损害精准评估。公式要素与司法适用，如下表：

法律效力：对于不能提供生成次数的情况，按照同类服务的日均访问量×10%来推算（参照《最高人民法院关于知产损害赔偿司法解释》第31条类推，系数设定参考ISO31022:2020《风险管理-法律风险评估》。）　　

2.风险性损害：30%复发概率阈值（基于模型历史数据测算）

风险性损害赔偿以同类侵权内容复发概率 ≥ 30%为索赔阈值，该标准基于模型历史数据测算，符合算法风险的或然性特征。超过阈值表明提供者未有效修复缺陷，需赔偿潜在损害。司法规则与案例：设定门槛的依据：其一，欧盟《人工智能责任指令（草案）》第9条；设定“30%复发率”；作为高危警戒线（COM(2022)496）；其次，技术验证：OpenAI测试表明，不固定虚假信息的再生率达到23%-58% （GPT-4技术报告第44页），ISO 31022:2020确认≥30%构成重大风险。计算和证明如下表所示：

免责情形：首先，如果是小于 30％的复现率且存在者实时监控手段(例如：API调用的异常报警)的话；其次，是由国家级别的 0day漏洞导致的复现。

四、结论

生成式 AI侵权归责，应该摆脱“产品 vs服务”的路径对立二元思考，按照技术可控性由低到高的顺序，分别从基础模型层过错推定算法黑箱适当开放、应用交互层按份责任体现人机风险共担、高风险输出类产品责任守护专业信赖三个层级，同时嵌入技术标准以及动态修复技术，在《民法典》之下“产品 vs 服务”，精准配置 AI侵权责任，为中国 AI治理提出解决方案。