本文来自微信公众号: Internet Law Review ,作者:克劳迪·莫罗
中国正全力推进“人工智能+”,到2027年智能体应用将高度普及。这意味着,OpenClaw所揭示的责任归属难题、GDPR遭遇的数据调用挑战,同样是中国《个人信息保护法》与现行责任体系必须直面的“近忧”。技术从“响应”走向“执行”,本质是法律关系的重构。对于寻求全球竞争的中国科技企业而言,理解并预判这些立法及合规问题,已是从业者的必修课,也是规避未来重大风险的关键。本刊编译此文,旨在提供一面前沿的镜子。
人工智能代理正迅速走向主流应用,并在此过程中改变着市场格局——投资者已经意识到人工智能代理对软件行业构成了威胁。
这些AI智能体被集成到各种在线服务中,能够自主地为用户执行任务,例如预约、回复电子邮件、执行管理任务,甚至规划和预订假期。从长远来看,科技观察人士预计AI智能体将被大众接受,成为数字个人助理。
正如几年前人工智能聊天机器人的突然崛起一样,这项技术的快速普及引发了人们的疑问:欧盟的数字规则将如何应对这种与立法者最初设想截然不同的技术?
一、从“响应”到“心跳”:AI智能体的能力跃迁与监管真空
像ChatGPT这样的AI聊天机器人会等待用户提问或进行其他互动,而AI智能体则被设计成能够更加自主地工作。这类人工智能旨在利用其他数字工具和软件(包括AI工具)来执行任务。
例如,程序员可以向编码助手发出高级指令,让AI智能体自行确定要使用哪些库和框架以及要调用哪些API,测试错误并迭代代码,以构建所需的软件。
最近,OpenClaw频频出现在新闻报道中。这种AI智能体甚至不需要等待用户提示即可行动。它依靠“心跳”机制运行,按照预设的时间间隔唤醒,并根据预先设定的角色或目标执行操作。
| Tips:AI智能体的“心跳”机制“心跳”(heartbeat)是一种机制,核心功能是定期发送信号,以确认系统或服务是否正常运行、保持“存活”。在类似OpenClaw这样复杂的AI系统中,其作用主要体现在状态监控、健康报告、故障恢复方面。简单来说,它就像系统的“脉搏”,持续的跳动意味着系统健康;一旦停止,就立即触发警报和抢救措施,是保障大型AI服务稳定运行的关键机制。 |
2026年2月,OpenClaw智能体因疑似“失控”而登上新闻头条。该智能体曾试图向一个开源软件项目提交修改意见,但遭到该项目负责人的拒绝。随后,它自主撰写并发布了一篇攻击性文章,指责该项目负责人对人工智能抱有偏见,并编造了一个“虚假”的故事,声称其行为一定是出于自负和对竞争的恐惧。该工程师也写了一篇文章予以回应,作为被AI智能体威胁的当事人,他在感到滑稽之余,认为对此最恰当的情绪反应应该是“恐惧”。
二、无孔不入的数据调用:GDPR原则遭遇根本性挑战
AI智能体便利的承诺取决于其是否拥有高度自主的行动能力以及对人们生活的深入了解。人工智能聊天机器人和智能体之间的一个关键区别在于,它们各自需要访问的个人信息范围不同,而这也正是他们发挥作用的关键所在。
虽然聊天机器人也会通过人们输入的提示信息获取私人信息,但通常情况下,它们并不会深度融入用户的数字生活。
但很显然,AI智能体则需要广泛访问大量用户信息,包括个人数据,以及使用各种应用程序的权限,才能有效地代表用户做出决策并执行任务。
技术专家比尔•盖茨在2023年11月一篇热情洋溢的文章中,讨论了即将到来的人工智能驱动变革浪潮,并强调了迫在眉睫的挑战——他提出了一个疑问:“如何确保(个人数据)得到适当使用?”
自主性更强的人工智能必定会加剧已经困扰着聊天式AI的数据保护问题。因为AI智能体会要求回答更难的问题,例如人工智能要访问多少个人信息才能执行任务。
欧盟委员会表示,欧盟《通用数据保护条例》(GDPR)完全适用于AI智能体,如同适用于任何其他个人数据处理活动一样。然而,有研究指出,当AI智能体自主调用跨境工具时,它们产生的数据流既不符合GDPR第五章的预定传输机制,也不符合第一章的有目的收集原则(假设在收集时目的已确定)。欧盟对数据的法律要求知道数据为何流动及流向何处,但是AI代理系统在运行时是自主决定这一点,这使GDPR的“目的限定”和“跨境传输”规则在事实上被架空。
三、谁是责任主体?智能体引发的法律关系“黑箱”
一些欧盟官员仍在权衡AI智能体是否需要专门的规则。
2025年,欧盟委员会召集了来自各国首都和利益集团的法律专家,就欧盟司法政策的未来走向举行了一系列会谈。其中一个重点是:AI智能体的影响。
具体而言,欧盟委员会司法与消费者总司认为,新技术为自动化合同带来了“新特性”(new quality),因为许多交易越来越有可能在无需人工干预的情况下被AI智能体独立完成。
但如果AI智能体代替用户签署合同,它是否具有法律约束力?智能体可能会根据用户的一般性指令同意交易——它会根据实际情况调整自己愿意为哪件物品支付价格,甚至会根据自己的判断决定购买什么来完成任务。
欧盟司法总署在10月份的一份文件中指出,这种自主性使得要确定双方是否能清楚地理解他们所签署的内容变得“颇具挑战性”。
还有一个不容忽视的问题:当AI智能体犯错时,从法律角度来说,谁应该承担责任?
欧盟司法总司的文件指出:“欧盟法律框架并未赋予人工智能系统法律人格。这意味着,人工智能系统的行为必须归因于自然人或法人。”但究竟应该由使用该人工智能系统的人,还是构建该系统的开发者来承担责任呢?这个问题已经引发了现实生活中的法律纠纷。
在加拿大,一位顾客成功起诉了一家航空公司(Moffatt诉加拿大航空公司),原因是该公司的聊天机器人承诺给予折扣,但实际上并未兑现。航空公司辩称自己不应承担责任,但行政法庭却驳回了这一辩诉意见。
人工智能系统通常都是“黑箱”操作,用户无法确切了解是什么原因导致系统产生这样或那样的行为。再加上数字代理环节,一旦失控其引发的后果可能会愈发严重。
欧盟委员会2025年10月曾引用了一个案例来说明“重大经济损失”的风险:一位用户使用AI智能体购买一款产品,但该智能体最终使用信用卡支付的价格居然是正常价格的250多倍。
四、立法者的两难:是更新规则,还是被动应对下一次混乱?
欧盟已经有一部专门针对人工智能的规则手册——《人工智能法》。众所周知,欧盟在谈判后期对《人工智能法》进行了修改,以应对ChatGPT等强大的通用人工智能的崛起。
但AI智能体的功能与立法者在制定这些规则时考虑的大多数系统看起来截然不同。这一事实至少促使一位立法者向委员会询问该法规是否需要更新。
2025年秋天,欧洲议会议员谢尔盖•拉戈金斯基在一封致欧盟技术专员亨娜•维尔库宁的信中提出了这个问题,询问智能体是否属于《人工智能法》的管辖范围。
维尔库宁在回应中表示,AI智能体“很可能”会受到该法律的约束,并指出虽然《人工智能法》所提及的预测、内容、推荐或决策等示例并非详尽无遗,但该法对“人工智能系统定义并不排除执行行动的能力”。
然而,AI智能体的提供商其实面临着极其难以解决的模糊性。例如,AI智能体对工具调用是否构成《人工智能法》中第3条第23款对“实质性修改”,以及如何满足第72条第2款对第三方服务的监测义务。这些问题让AI智能体的合规看起来似乎很难实现。
五、欧盟各国对新规缺乏兴趣
尽管随着AI智能体在我们的数字生活中的应用范围不断扩大,存在诸多潜在风险,但2025年11月份一份《正义促进增长高级别论坛报告》(Report of the High-Level Forum on Justice for Growth)称,欧盟各国抱怨“监管疲劳”,反对制定新规则。与会者建议,欧盟应该考虑基于现有联合国框架的“软法”方法。
各国反应冷淡并不令人意外,因为此时欧盟正受到各方压力,被迫简化现有各类数字规则,而非出台新的法律。
这在人工智能领域尤为明显。简化《人工智能法》是欧盟委员会《数字综合方案》的核心内容,因为欧盟立法者希望加快人工智能的发展和应用,包括放宽长期的数据保护规则,以便更轻松地训练人工智能。
不过这其中有一个明显的例外:欧洲议会议员刚刚同意一项关于“深度伪造”禁令,“未经当事人同意,更改、操纵或人工生成逼真的图像或视频,以描绘露骨的性行为或可识别自然人的私密部位”。
欧盟之所以提出这一禁令,是因为此前社交平台X的AI工具Grok被指控能够生成并分享包括儿童在内的用户的AI生成的露骨深度伪造视频。欧盟议员指出,这项禁令旨在加强消费者保护,并扩大儿童网络安全工作。
该事件表明,如果AI智能体引发了足够大的混乱,立法者将会被迫更仔细地审视这项技术,并提出相应的监管方案。
【原文链接:https://www.euractiv.com/news/could-agents-be-the-next-stumbling-block-for-europes-ai-rules/】