从生成合成内容的生成式人工智能,到由用户设定目标、自主使用第三方工具执行任务并与环境交互输出结果的ai智能体,人工智能正经历着根本变革,亦引发了行业激荡与法律讼争。ai智能体并非法律主体,以此为中心却可衍生出用户—提供者—第三方的三面主体结构,进而形成用户与提供者之间的内部法律关系和提供者(用户)与第三方之间的外部法律关系。在内部法律关系中,ai智能体的行为边界具体化为提供者在数字内容与服务合同下的适约性义务和个人信息保护义务,以及数字委托关系下的忠实、勤勉义务;在外部法律关系中,ai智能体的行为边界被代理权授予和行使的有效性与合法性所划定。
2025年被称为ai智能体(ai agent)元年。这一自主、感知、决策和执行任务的智能体肩负着人工智能真正迈入现实世界的使命。2025年8月,《国务院关于深入实施“人工智能+”行动的意见》明确提出我国人工智能的发展目标:到2027年,新一代智能体等应用普及率超70%,到2030年,新一代智能体等应用普及率超90%。新的生产方式变革带来的智能经济和智能社会形态变迁,必然与既有法律规则相互激荡。2025年12月,字节跳动公司发布豆包手机助手,这一ai智能体仅凭识屏与模拟触控,即可径入微信代复讯息,通达电商比价下单,乃至自动收取蚂蚁森林能量,全程无需第三方app应用适配。不出所料,此举引发行业震动,淘宝、微信及多家银行app已相继设限,拒绝豆包手机助手的登录。无独有偶,在大洋彼岸,ai智能体亦引发了法律讼争。2025年11月,美国亚马逊公司在加州法院起诉ai初创公司perplexity,指控其旗下ai浏览器comet的代理购物功能,违反了《计算机欺诈和滥用法案》《加州综合计算机数据访问与欺诈法案》和《加州刑法典》。值此ai智能体发展的关键时刻,本文试图立足技术、法律、产业互动视角,辨明ai智能体的法律概念,在ai智能体用户、提供者和第三方的私法关系中,探寻ai智能体行为的正当性边界。
一、何为ai智能体:技术话语与法律意蕴
对ai智能体法律问题的剖析,不可避免地要从其概念开始。在事实与规范二分,以及技术架构物(artifacts)与精神体(persona moralis)二分的模式下,ai智能体的技术含义固然是法律人思考的起点,但如何从偏向技术的描述性含义转换为立足法律的规范性概念,仍有赖从法体系入手,辨明其内涵与外延。
(一)
ai智能体的技术含义
智能体源于早期的人工智能和计算机科学。在经典著作《人工智能:现代方法》一书中,智能体居于人工智能的核心地位。对其宽泛的理解是,智能体就是某种能够采取行动的东西(agent来自拉丁语agere,意为“做”),更准确地说,任何通过传感器感知环境并通过执行器作用于该环境的事物都可视为智能体,从而囊括了人类智能体、机器人智能体、软件智能体等各种形式。该定义提出了核心的循环:感知(perception)—思考(reasoning)—行动(action)。基于这一理解,恒温器可以被视为最简单的智能体,因为它感知温度并控制开关。当然,恒温器只是被动和反应式的智能体,ai智能体则表现出目标驱动与自主学习的特征。1995年,伍尔德里奇(michael wooldridge)和詹宁斯(nicholas r.jen-nings)界定了ai智能体四个关键属性:(1)自主性:在没有人类直接干预的情况下运作,在一定程度上控制其行为和内部状态;(2)社会能力:通过通信语言与其他智能体(或人类)相交互;(3)反应性:感知其环境并及时对变化作出反应;(4)主动性:主动展示目标导向的行为。
随着生成式ai的爆发,前openai应用ai研究负责人提出了被广泛引用的公式,重新定义了ai智能体的含义,即“智能体=大语言模型(llm)+规划(planning)+记忆(memory)+工具使用(tooluse)”。其中,大语言模型充当大脑或推理中心,规划模块将推理转化为行动指令,工具模块提供执行能力,记忆模块保存长期知识与情景历史。这标志着ai智能体从早期的规则化控制器与专家系统,演进为在开放环境中进行复杂规划、管理记忆以及用自然语言对话的认知系统。
基于上述技术共识,可从如下维度来理解其技术实现。其一,规划能力是智能体区别于生成式ai的关键。它包括子目标分解和反思修正前后相联的步骤。前者利用思维链(cot)或思维树(tot),将宏大的目标(如编写游戏)拆解为可执行的若干步骤(如生成代码、测试代码、修复错误);后者允许智能体在行动失败后,通过语言反馈来自我反思与学习,从而在下一次尝试中修正策略。其二,记忆能力是智能体观察、收集、分析信息的基础。受人类认知科学启发,智能体的记忆系统包括处理原始输入的感觉记忆(sensory memory),上下文窗口的工作记忆(working memory),以及通过外部存储的向量数据库的长期记忆(long-term memory)。其三,工具使用能力是现代智能体的本质特征。与封闭的早期智能体相反,现代智能体是开放的,通过访问第三方app或函数调用(function calling)机制,智能体得以精准地选择和使用成千上万种工具,获得取之不竭的数据与信息。其四,行为能力是智能体改变环境的手段。在数字世界中,行动是生成的api请求、sql查询、python脚本等,在具身智能(embodiedai)所处的物理世界中,行动将视觉和语言模型结合,从而控制机械臂的电机指令。
从自主软件工程到生活操作系统,从具有自愈能力的供应链管理到自动化企业运营中心,智能体的运用日益广泛。在企业侧,法务、财务、人力资源等繁琐管理流程不但能被智能体接管,还能结合当下目标和战略规划,融合基于规则的行动与基于目标的行动。在用户侧,智能体将彻底改变人机交互方式,以用户意图为中心的服务有望成为全新的商业模式。为此,智能体首先是用户的工作助理,在会议中生成实时语音转录、提供通话摘要,并在对话中无缝翻译设备端语音,在应用中润色、校对和生成内容;其次,智能体还是用户的信息守门人,协助检索并理解散落在各处的即时消息、邮件、日历、照片等碎片化信息,智能化过滤、优先排序并汇总用户所需的资讯;最后,智能体还能成为用户的生活管家,理解用户的自然指令,看见屏幕内容、记住用户习惯,并调用其他专业app完成跨应用、多步骤的任务。
ai智能体的迭代才刚刚开始。放眼未来,智能体将从单体智能(single agent)迈向群体智能(swarm intelligence),从虚拟世界(virtual word)迈向物理世界(physical world)。所谓群体智能,意指多个专门化智能体通过协作、动态任务分解、持久记忆和协调自主性,共同实现复杂高层目标的系统生态。此时,复杂的任务将不再由一个全能智能体完成,而是将目标分解为子任务,并动态分配给不同的专门智能体执行,进而通过通信协议、共享内存等方式彼此协调,最终在保持各自自主性的同时实现目标。例如,一个软件开发的多智能体系统就包含了产品经理智能体(负责需求拆解)、架构师智能体(负责设计)、工程师智能体(负责写代码)和测试智能体(负责找缺陷)。多智能体协作系统利用智能体的角色扮演(role-playing)和通信拓扑(communication topology),正逐渐接近人类社会的专业分工与社会合作,解决复杂问题的能力得以倍增。
所谓走向物理世界的智能体,即从基于大语言模型的智能体(llm-based agents)向多模态交互(视觉、语言、环境数据)的智能体演进。研究表明,智能体的泛化性、自主性、长程性等核心能力,必须在与动态环境的交互中不断学习和优化,包含了物理定律、因果关系的世界模型(world models)是其成功的关键。在某种意义上,该种智能体内设了表现外部环节如何运作的模拟器,从而回答了一系列的反事实问题:“如果我做动作a,状态s会变成什么样?”以自动驾驶汽车智能体为例,其实时预测周围车辆和行人的轨迹,并预测:“左侧的汽车在2秒后有90%的概率会并线。”基于上述预测,智能体构建了一个包含物理规则(如摩擦力、动量)和交通规则动态的3d空间,进而快速模拟:“如果我加速,会不会撞上并线的汽车?如果我刹车,后车会不会追尾?”在综合导航目标和安全约束之后,得出世界模型的模拟评估并决定:“轻踩刹车,让出车道。”
(二)
ai智能体的法律界定与私法结构
法律概念是法律推理的基石。如何将技术话语纳入法律规范之中,是数字法的核心难题,ai智能体的研究概莫能外。智能体的法律概念无法简单复制其技术定义。一方面,智能体的类型纷繁多样,应用场景层出不穷,技术进步日新月异,以技术描述为法律锚点,无异于刻舟求剑。更有甚者,对于何为ai智能体,科技人的意见也未必统一,ai智能体(ai agent)、ai助手(ai assistant)、智能体(intelligence agent)、自主智能体(autonomous agents)、代理式人工智能(agentic ai)等诸多概念混用,恰是例证。另一方面,作为具有强制效力的制度,法律的适用范围、构成要件和法律效果均经由法律概念而呈现,法律概念自然具有规范性。正如德国法学家kipp首倡之“法律上双重效果理论”所洞见:法律概念和效果属于规范世界,旨在合理规范社会共同生活,不能以物质世界的观点视之。由此,法律人有责任从特定的立法目的出发,厘清ai智能体的法律内涵。
一如其他法律概念,法律上的ai智能体亦有抽象和具体的双层结构。就抽象概念而言,其旨在满足法律体系的统一性,从ai智能体与其他法律概念相对立且独立存在的共相出发,按照形式逻辑规则构建其内涵与外延,使之无缝嵌入概念金字塔之中。就具体概念而言,其旨在满足法律体系的功能性,从ai智能体“之所以如此的事物本质”出发,将相互联系和支撑的内在因素有意义地组合,使之在真实场景中彰显法律规范的意义脉络。
1.ai智能体的抽象概念
ai智能体抽象概念之功能系立足于法律的外部体系,经由形式逻辑的推演,将ai智能体涵摄于法律规范之中。职是之故,对其抽象概念的剖析,不得不从我国“人工智能”和“生成式人工智能”的法律概念和规范开始,在比较中显示其异同,借此彼此协调,最终形成无矛盾的意义关联。
我国对人工智能的法律界定仅见于地方法规。比较前后相继的《上海市促进人工智能产业发展条例》和《深圳经济特区人工智能产业促进条例》,可以发现两者均将人工智能类比于人类智能,不同之处在于上海侧重于软件,而深圳侧重于硬件。然而,将人工智能和人类智能等量齐观,可能落入过于激进和过于保守的双重陷阱。一方面,现阶段的人工智能只具有模拟人类外显性智慧的能力,类人的通用人工智能(agi)仍前途未卜,将人类行为保真度作为当下的标准,为时尚早。另一方面,可预见的人类社会将逐渐过渡到人类与人工智能共生的多智能体社会,把异型智能体、智群体、虚实交融智能体等形色各异的智能体压缩为人类智能,无疑固守了只有一种高级智能体存在的单一智能体社会之窠臼。既然作为生命2.0的人类和作为生命3.0的人工智能本质上不可通约,人工智能的法律概念有必要扬弃人类智能,借鉴欧盟《人工智能法》,将自主性作为其区别于其他事物的核心要素。
人工智能的自主性是一个渐变的光谱。根据其强弱,可以分为如下四个等级:(1)l0推理服务型(inference api):仅执行单次推理,无持久状态或工具调用;(2)l1确定性系统(deterministic system):执行路径固定,可完全预定义;(3)l2弱自治系统(weakly autonomous system):具备有限决策能力,能在预设条件下调用外部模块或分支路径;(4)l3完全自治系统(fully autonomous system):能自主确定执行路径、调用工具、修改计划,具备高度的动态性与不可枚举性。在此架构下,ai智能体可归入l2或l3级人工智能,从而成为人工智能的子概念。就此而言,所有ai智能体均可适用人工智能的法律规范,但反之则否。例如,经过训练用于图像分类的大模型属于人工智能,但除非它被嵌入一个能够自主决定何时以及如何使用该分类能力来实现目标的系统中,否则并非ai智能体。
根据我国《生成式人工智能服务管理暂行办法》,所谓生成式人工智能,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。生成式人工智能和ai智能体是体与用的关系:生成式人工智能居于底层,通过机器学习算法、自然语言处理、逻辑推理等技术,为后者提供智能支持,而ai智能体则是一种实现智能的特定架构方法,将前者封装于内。不过,生成式人工智能并不是完整的内核,ai智能体还需要判别式人工智能(对观测数据进行识别、分类或估计具体目标变量)和预测式人工智能(模拟不同选项的潜在影响,寻找实现目标的最佳方案),才能将内在模型与外部世界连接,实现自主决策与任务闭环。据此,ai智能体不仅被《生成式人工智能服务管理暂行办法》所规制,还应遵守《关于加强互联网信息服务算法综合治理的指导意见》等一系列算法治理法规的要求。
2.ai智能体的具体概念
如果说ai智能体的抽象概念旨在辨明它与类似概念的异同,从而与既有法律规范相连接,那么具体概念则重在剖析内在构成要素,借此建构其由自身所生发的特别规则。
作为人工智能的下位概念,ai智能体除具备人工智能的所有要素——自主性、适应性、基于机器运行、系统的目标导向、推断能力、影响物理或虚拟环境的输出能力以及与环境的交互以外,还有着强大的工具使用能力。然而,与技术定义以物为中心的视角不同,法律概念是一种关系的结构,人们在这一关系中相互依存并与物发生联系。因此,在关系本体论中,工具使用的技术特征被转化为“谁使用工具与谁建构了关系”这一法律命题。
在技术上,使用工具的所谓“主体”是ai智能体,但它能否成为法律主体?基于解释论,其答案不言自明:作为人工智能系统的智能体,当然不属于我国《民法典》中自然人、法人、非法人组织等民事主体。但就立法论而言,仍待进一步论证。在伦理人格和技术人格的二分框架下,当前的ai智能体依然属于弱人工智能,它们没有自我意识、没有情感、没有欲望、没有真正的自由意志,其行为是算法对输入数据的反应,而非基于内在动机和对行为意义的理解。正因为智能体无法“知道”其行为的道德含义,也无法基于道德理由选择遵守或违反法律,其不具有伦理人格。另外,ai智能体本身没有也无需拥有独立的财产,无法以其自身财产履行合同义务、支付赔偿或承担行政责任。不仅如此,将智能体视为主体还可能成为人类逃避责任的面纱,被其开发者、提供者、使用者用以隔离自身责任,削弱对其安全设计和审慎运营的激励。既然ai智能体的最终责任主体是人类,那么赋予其技术人格就是无实际意义的空壳,徒增制度成本。
由此而来的问题是:ai智能体背后的工具使用主体是用户还是其提供者?基于智能体的自主性原理,判断当前是否需要以及需要调用哪个工具来推进任务,是ai智能体的核心功能。从完成工具清单与参数生成,到指令格式化与发送,再到工具执行以及结果解析与整合,全程无需用户干预。在复杂的场景下,智能体还可以调用更专业的多个智能体,甚至根据任务需求实时生成代码创建新工具,或通过模仿学习、强化学习来优化工具使用策略,实现自我进化。就此而言,让用户无感的工作流自动化是智能体的最大优势。当然,智能体并非不被人类控制,相反,其底层代码、训练数据、反馈策略均取决于ai智能体的提供者,后者由此成为真正的工具使用主体。不过,当提供者使用的是自身工具,如苹果手机助手siri调取系统内的日历或计算器之时,属于同一主体内部的交互,仅仅属于技术范畴。基于技术与法律区隔原理,尽管提供者使用自身工具在技术上可以归入ai智能体的一种类型,但它并未产生与既有人工智能产品和服务不同的法律后果,因而不构成法律上的ai智能体。由此可以理解,虽然智能音箱、智能电视中早已嵌入类似siri的智能助手,却从未引发法律关注和论争。相反,只有在接入第三方主体工具,如第三方app、网页、插件、api之时,才创新性地塑造了应受调整的生活关系和社会状态,建构出与第三方之间的法律关系,由此发展出了全新的法律意义。
3.ai智能体的私法结构
综合上述抽象概念和具体概念,可以把ai智能体界定为“由用户设定目标,提供者自主使用第三方工具执行任务,与环境交互并输出结果的人工智能系统”。据此,法律上的ai智能体一方面与人工智能规范,特别是生成式人工智能规范相衔接;另一方面又立足于其独有的工具使用特性,具体化为用户—提供者—第三方等法律主体围绕ai智能体所形成的权利与义务结构(见图1)。宏观的法秩序和法概念均依存于微观的法律关系。作为对生活事实的整体观察,法律关系彰显了权利义务并非彼此隔离,而是涵盖在法律主体相互之间的影响关系之中。职是之故,只有从ai智能体私法结构所衍生的用户与提供者之间的内部法律关系,以及提供者(用户)与第三方之间的外部法律关系出发,各方为或不为特定行为的条件、内容和范围才能得以显现,ai智能体的行为边界亦才得以廓清。
图1 ai智能体的私法结构
二、ai智能体在内部关系中的行为边界
用户与ai智能体提供者之间的内部关系,既是ai智能体三面主体结构的起点,也是提供者和第三方之间外部关系的前提。尽管内外部关系彼此分离,但毋庸讳言,内部关系依然是基础性的。这是因为,从用户视角看,外部关系的开启、发展和终结均服务于内部关系的圆满。故此,对ai智能体行为边界的探寻,不妨从内部关系入手。
(一)
作为法律关系框架的数字内容和服务合同
用户和提供者之间的法律关系经由双方意思表示一致而建立,合同作为其基础,当无异议。问题在于,如何为其定性?对此不妨以豆包手机助手和ai浏览器comet合同为例,以窥其理。
在用户使用豆包手机助手之前,必须与提供者签署《豆包用户协议》及其附件“豆包专用条款”。根据该协议及条款,“豆包”系用户的ai个人助手工具,提供智能化的语音交互、信息处理、任务执行等功能。围绕豆包的使用,双方约定如下:(1)用户享有对上传内容的所有权和对豆包的控制权,但不得利用豆包从事违法、损害公共利益或侵犯他人权益的行为;当指示豆包在第三方平台操作时,用户需自行遵守该平台规则,并对因此产生的后果负责。(2)提供者则享有服务管理权、个人信息收集和处理权,为实现用户请求所必需,或在用户明确同意的情况下,可对用户内容进行处理和使用。同时,提供者负有提供“豆包”服务的义务,在涉及重要权益的操作前征求用户确认,并应当按照法律和隐私政策的规定,在合理必要范围内处理个人信息,并予以安全保护。与豆包合同类似但有着微妙不同的是,comet合同一方面约定人工智能搜索引擎、相关移动应用程序以及通过网站、perplexity engine和app提供的任何内容、工具、功能均为其提供的服务;另一方面约定用户作为被方,perplexity作为许可方授权用户安装和运行软件,且许可面向个人、不可转让、不可分、不可转授,从而建立了软件许可关系。
观察上述合同,不难发现用户和提供者达成了典型的数字内容和服务合同。所谓数字内容(digital content),即以数字化方式呈现的数据,包括计算机程序、app、音视频以及以电子形式存在、可被复制或传播的其他信息产品;所谓数字服务(digital service)是指用户能够创建、处理、存储或访问数据的服务,或使用户能够分享数据,或与其他用户上传或创建数据进行任何交互的服务。参考欧盟立法的经验,尽管数字内容和数字服务各有所指,但在实践中两者密不可分,均围绕数字化信息产生,并利用数字化方式实现其目标。作为一种独立合同类型,数据内容和服务合同打破了服务合同和买卖合同的二分法,突破了买卖、赠与、租赁、承揽、许可的合同类型,表现为混合合同的样态,得以参照适用我国《民法典》中相应的诸多有名合同。不过,数字内容和服务合同在根本上受数字化和智能化交易驱动,有着无法被简单化约为传统有名合同的特殊性,而这无疑深刻影响了提供者义务。
1.ai智能体提供者的适约性义务
如何消弭用户和提供者之间技术与信息的不对称,是划定ai智能体行为边界的前提性作业。对此,有观点试图统一产品和服务的责任,引入产品缺陷对提供者课以产品责任,以回应智能体有限的可预测性、有限的可控制性和有限的可解释性,以及由此给用户带来的举证困难。但是,这一观点面临着无法克服的困难:ai智能体不属于我国《产品质量法》中的“产品”。根据《产品质量法》第2条第2款,“产品”系“经过加工、制作,用于销售的产品”。“销售”是指以交易为目的而将产品出售并交付他人,其中的“交付”意味着产品所有权和对产品控制力的双重转移,即产品经销售而被投入市场后,可以脱离原生产者的控制自由流通,并有可能被产品购买者以外的公众所接触或使用。就此而言,用户对ai智能体的下载、接入和使用不存在事实上的交付,而是持续性的服务,同时,提供者并未丧失控制,相反,其还负有不定期的更新义务。正因如此,欧盟《数字内容与服务合同指令》专门创设“提供”一词,以取代狭义的“交付”。
尽管产品责任的进路窒碍难行,但借鉴产品缺陷规则,客观化提供者义务的路径依然有其合理性,这就是数字内容与服务合同下的“适约性”(the conformity of contract)义务。履行符合合同约定是债务人的核心义务,但与普通合同不同,用户鲜有能力和机会提出实质性要求,因此,法律有必要在当事人主观意思之外,为数字内容与服务建立基线,从而设立提供者必须满足的质量和适用性的最低要求。基于该等客观适约性,ai智能体提供者应承担如下义务:(1)遵守监管规定以及强制性标准,在缺乏相应技术标准的情况下,应参考《智能体行为安全要求》《智能体任务执行安全要求》《移动互联网服务可访问性安全要求》等行业标准加以评估。(2)ai智能体的功能性、兼容性、可及性、连续性和安全性,应达到同类服务通常具有的水平,应当符合同类产品的通常使用目的。(3)ai智能体的特征、属性和功能,应满足用户的合理期待。为此,其应与订约前已提供的测试或预览版本相一致,应与广告或公开声明相一致,应与附件或说明书相一致。(4)对ai智能体的更新与监测义务。与一次性销售不同,提供者应根据其用途和客观环境,持续更新和进行动态监控,配备适当的人机界面工具使之在使用期间能够被用户有效监督,最大限度减少按照预期用途或合理地可预见地误用下产生的风险。
鉴于ai智能体的特殊性和高度复杂性,提供者应就其是否充分履行适约性义务承担举证责任,从而在事实上形成过错推定的归责原则。不过,实践中提供者往往通过免责条款减轻或免除自己的责任。例如,《三星官网&商城服务协议》第16条“三星商城智能体服务特别条款”明确规定:“对您参考、依赖或使用输出内容造成的任何损失、损害或其他后果,三星不承担任何责任。”提供者适约性义务的偏离及其责任豁免攸关用户权益,须满足实质和形式的双重条件方可为之:(1)通过风险—效用测试。首先辨识该等偏离是否严重削弱内容或服务的主要功能、性能或便利性,其次识别该等偏离可能导致的风险,最后从技术可行性和成本收益均衡性维度分析是否存在合理的替代方案。如果未能通过上述任一步骤,则该等偏离将被否定。(2)明确、具体地告知用户偏离何种功能或免于何种责任,且获得用户单独的明示同意。这里的“单独同意”,意味着提供者应以弹窗、清单、独立页面等方式列出偏离或免责条款,要求用户作出主动勾选、点击“同意”“下一步”“继续”、滑动滑块、主动发送等动作表示意愿,而不得并入用户协议之中,避免用户不得不一揽子同意。
2.ai智能体提供者的个人信息保护义务
用户不支付金钱而以个人信息为代价获取数字内容和服务的情形,在数字时代屡见不鲜。尽管个人信息能否作为合同法上的对价仍有诸多争议,但个人信息处理系数字内容和服务合同中不可或缺之要素,业已被广泛接受,个人信息保护由此成为ai智能体提供者的重要义务。
提供者开展复杂的个人信息处理活动,并承担着有异于常规个人信息处理者的特别保护义务。其一,提供者兼具多样法律角色。除单独处理外,在手机、手表等智能终端厂商和提供者主体分离的场景下,提供者与将智能体嵌入底层操作系统的终端厂商“明知且意欲协力导致预期结果的出现”,可构成《个人信息保护法》第20条下的“共同处理者”,承担连带责任或按份责任。此外,在用户委托提供者担任信息守门人,整合、分析、共享个人信息时,提供者被视为《个人信息保护法》第21条下的个人信息“受托人”,不但应保障个人信息安全,还应对委托事项进行合理审查,在发现潜在违法时发出提醒。其二,提供者收集个人信息的方式多元,除向个人直接收集外,还可以利用api调用、扩展程序、浏览器控制、专业智能体等工具,向第三方间接收集个人信息,并实时获取环境信息。例如,为完成购物任务,提供者可能截取浏览器窗口,进而推知用户生活的私密侧面。其三,提供者收集个人信息的类型芜杂,除一般个人信息外,提供者还会频繁地触及用户的账号体系、通信内容、支付信息、日程、位置、健康等敏感领域。不仅如此,作为行动体,智能体在运行中可能采集大量“细粒度遥测数据”(granular telemetry data),包括事件时间戳、用户交互序列(点击、输入、滑动)、api调用记录、函数/模块运行耗时、网络请求与响应等反映内部状态、行为、事件和性能指标的数据,这些均可能落入个人信息的范畴。更重要的是,智能体的自主性使它以完成任务为目标,自行决定下一步需要什么数据,从而拓展个人信息处理的范围。其四,提供者收集个人信息的主体可能溢出到第三人。通过图形化的界面元素与计算机程序交互的gui操作,往往会利用视觉识别模块,结合检测和ocr建模以识别屏幕截图中的文本,并理解屏幕区域的内容。此外,智能体还会利用大模型的上下文感知功能,根据用户指令和操作历史全面规划任务。但问题在于,屏幕呈现的信息并不只是用户信息,更包含了通信信息、社交平台互动信息(点赞、评论)等网络化个人信息(networked personal information)以及社交平台群组内信息、记录多人影像的照片、视频信息的群体个人信息(group personal information)。例如,当用户指示ai智能体为朋友聚会推荐合适的餐厅时,其必然需要根据聊天记录进行推理和思考,从而不可避免地处理用户外第三人的个人信息甚或私密信息。
面对上述挑战,提供者首先要采取基于设计的个人信息保护路径,尽可能采用端侧处理,减少个人信息的离端收集,在用户输入登录凭证、支付信息等敏感环节时限制截图或接管,并通过权限分级、任务框定、敏感字段隔离、默认最小权限等手段,使智能体在技术上无法超范围收集。其次,还应改进知情同意设计,采取分层、分次、动态可撤回的同意结构,使同意保持可理解与可控,以应对智能体自主运行+多步骤的信息处理模式。再次,在关涉第三人信息的场景下,应坚持受托人的定位,不得自行收集和决定第三人信息处理的目的和方式。最后且最重要的是,用户授权的宽泛性、模糊性叠加智能体在复杂环境下的自主行动能力,使得个人信息保护最小必要原则不敷适用。作为技术因应,提供者可以将允许访问的个人信息类别、可调用的外部服务、可输出和分享的个人信息边界写入策略层,对越界请求触发阻断并要求用户单独确认。但在制度层面,未来仍有待重塑这一原则,扬弃以处理目的作为必要与否的判断标准,转向结合ai智能体应用场景、服务合同、技术保护措施等要素的综合判断范式。
(二)
作为具体法律关系的数字委托
如果说数字内容和服务合同是用户和ai智能体的基础法律关系,那么每次用户发出的指令都可视为在整体性架构下的具体要约,请求提供者处理其事务,提供者则以网络、数据和算法等数字行为的方式作出承诺,借此达成数字委托。
用户委托的事务不胜枚举,可均限定在数字化活动之内。从事事务的方式既可以是(准)法律行为(如登录用户账户、发送短信),也可以是事实行为(如管理日程);既可以是财产行为(如货物下单),也可以是非财产行为(如拍照)。根据用户参与委托事务的程度,可分为:(1)辅助行为:智能体作为助手,为明确定义的短期任务提供支持,最终决策和行动必须由用户明确批准和执行,用户保持完全控制;(2)有限委托:智能体为了特定目标执行一系列复杂动作,用户可全程监督和干预;(3)全权委托:智能体在开放环境下完成复杂和抽象的目标(如利润最大化),用户的控制限于设定初始目标和批准关键决策。鉴于提供者系为用户之目的而处理事务,在提供者按照要求完成委托事务后,不论其法律后果是否对用户有利,用户均应承担该法律后果,而提供者亦相应承担受托义务。
1.ai智能体提供者受托义务的渊源
提供者义务首先来源于其自主判断和自由裁量空间。通过算法、规则、数据、架构等设计,提供者对于如何处理受托事务拥有广泛且不透明的裁量权;加之用户出于便利,在人机交互中通常使用简洁、模糊的自然语言,客观上迫使提供者和智能体运用知识,开展整体性的事务处理活动。不仅如此,在计算机主导环境中,提供者拥有用户所不可企及的能力,以用户无法理解也无法阻止的方式运作智能体,用户的失控成为常态。而强制披露信息的规则,也面临着技术挑战:ai智能体是否能够真实理解并转达其信息,依然是个未决的科学问题。当格式化的用户协议无法覆盖智能体在事前不可预知的行为,尤其是当损害源于系统的设计缺陷、隐蔽的偏见或不可解释的决策之时,尤其需要根据“一方对另一方充分信任并依赖于另一方的判断,另一方负有保护一方利益之特别义务”的信义法原理,对提供者苛以忠实、勤勉的受托义务,以“后设法”(meta-law)的形式矫正用户和提供者的不平等地位。
2.ai智能体提供者的忠实义务
忠实义务要求受托人始终以维护委托人的最大利益为出发点,不得将自己或第三方的利益置于委托人利益之上,避免任何可能损害委托人的行为或利益冲突。对多个ai智能体的研究表明,作为用户与网络空间的接口,它们看似为用户利益考虑,但其代码的优先级往往更偏向于提供者。为此,忠实义务从正反两方面对ai智能体滥用裁量权的行为予以防范。
在消极面向上,忠实义务强调提供者不得为谋取私利而牺牲用户权益,并由此衍生出多重义务:(1)透明度与披露义务。提供者应当披露可能影响忠诚度的利益冲突,如实告知用户智能体的功能、风险、数据使用目的及潜在利益流向;公开智能体的关键决策日志及利益关联图谱,使用户能理解建议背后的影响因素;设置智能体在重大决策前主动披露其置信度及计算得出的利益冲突系数,当检测到第三方等“影子主体”的不合理影响时,自动触发人类确认节点,交由用户接管。例如,在受托购物过程中,必须披露是否和商家存在广告或引流交易。在智能体行为偏离预设参数超过阈值时(如连续3次尝试访问用户禁用的第三方api),还应自动向用户推送警报。此外,无论是在事务处理之中还是之后,提供者均负有报告义务,全面披露办理事务的经过和结果。在作出对用户有实质影响的决策时,还要告知决策的关键依据、潜在假设以及已知局限性,这意味着披露义务将转变算法解释义务。(2)公平交易义务。在处理事务涉及第三方利益时,提供者不得利用技术优势,对自身关联方以及直接或间接地与该交易存在利益关系的第三方予以优惠待遇。公平交易义务并非一概禁止自我交易和关联交易,而是要求提供者综合考量用户意愿、既有惯例、活动性质、访问安全性,优先保障程序公平。(3)基于人在回路(human in/on the loop)的监督和审计义务。为回应ai智能体的行动黑箱,提供者应将忠诚义务嵌入对齐训练。在监督微调(sft)阶段改造数据集,强化以用户为中心的案例,在人类反馈的强化学习(rlhf)阶段引入专门的忠诚评分员,对模型的忠诚度进行评估与优化;重构系统提示词,明确将用户利益置于最高优先级。除价值观的植入外,提供者还应提供测量生态系统,让普通用户无需专业知识即可检测智能体的忠诚度,同时允许独立第三方对算法的数据输入、模型参数和决策逻辑进行透明化审计,验证智能体是否存在秘密的第三方偏好,以确保其忠诚不受隐蔽的代码偏见或不当激励的影响。
在积极面向上,忠实义务要求提供者以用户的最佳利益为依归,而非完全遵循其指示。这是因为由于人的有限理性、人机交互的不确定性以及无言之知的欠缺,用户指令可能并不完整、存在偏差甚至错误,这需要提供者协助作出明智选择。电子邮件服务提供商选择在短时间内保留已删除邮件的记录,以防用户意外下令删除邮件,就是典型一例。不仅如此,忠实义务并不局限于对单一用户的忠诚,而需考量对社会群体及多元价值的忠诚。这要求在开发设计阶段就系统性地识别可能受影响的各类群体,当用户指令与公共利益、国家利益或他人重大合法权益发生严重冲突时,智能体应拒绝执行并发出警告。
3.ai智能体提供者的勤勉义务
勤勉义务要求受托人以合理的技能和谨慎态度处理受托事务,不得进行鲁莽、疏忽或恶意的决策和行动,从而保护和增进委托人的利益。
作为一种避免可预见损害的义务,勤勉义务首先要求提供者尽可能将所有潜在损害均纳入考量。举例而言,若智能体为充分满足用户需求,长期推荐过多的短视频,导致用户沉迷并引发精神损害,则提供者可能承担责任,因为其仅仅将用户的喜好和参与度作为唯一因素,而没有考虑算法成瘾和生活福祉的影响。此外,鉴于损害都是高度场景化的,勤勉义务的标准并无一定之规,应在分类分级原则下,为不同ai智能体设定差异化要求。就专用型智能体而言,提供者负有与具体场景相一致的注意义务。在金融、健康、医疗、法律、未成年人教育等场景中,智能体应遵循最高义务标准,要求提供者证明其系统达到人类专家级别的准确率,除事中的监督义务和更新义务外,必要时还应强制购买专业责任保险。就通用型ai智能体而言,提供者负有一般理性人的注意义务,包括但不限于积极避免设计缺陷,采取合理措施提高生成内容的准确性和可靠性,进行模型训练、测试和持续改进。同时,禁止通用型ai智能体提供攸关个人财产和人身安全的高风险专业服务,在用户提出要求时,应在取得用户同意后,调用符合法定资质的专用型智能体方可为之。
三、ai智能体在外部关系中的行为边界
尽管提供者与第三方形成的外部关系经内部关系延展而生,但由于ai智能体使用第三方工具是其本质特征,外部关系反而是当前讼争的焦点所在,亦是引发本文开篇提及的豆包被其他app拦截,以及亚马逊诉perplexity的关键问题。
(一)
ai智能体作为“电子代理人”(electronic agent)?
在亚马逊诉perplexity案中,其首要指控是comet伪装成人类用户访问网站,并通过欺诈访问获取有价之物,包括私人账户详情、购物记录、账单信息及其他敏感信息。对此,perplexity公开发布《霸凌不是创新》一文,予以坚决反击,认为用户代理(user agents)的本质是应用户的特定请求而工作,它在用户的指示下行事,也当然拥有与用户相同的权限,无需额外标明身份。perplexity进一步指出:亚马逊限制用户使用ai智能体的行为构成对用户选择权的非法侵害,相当于剥夺用户雇用助手的权利,其更关心控制用户带来的商业利益(如广告营收)而非用户所需的便捷性,本质上是在利用法律胁迫抑制创新与用户选择。在双方激烈的争论中,一个根本问题开始浮现:ai智能体的行为是否就是用户的行为?
perplexity对这一问题的肯定性回答并非空穴来风,其源自1999年《美国统一电子交易法》下的电子代理人条款。所谓电子代理人,即全部或部分地独立用于回应电子记录或实施行为,而无需个人检视或行为介入的计算机程序或电子方法。该定义强调了其自动化、无需实时人工干预以及作为人类使用者工具的属性。职是之故,电子代理人的行为自然就是使用者的行为,相应的法律后果也由其使用者承担。尽管我国并未直接采纳这一概念,但《电子商务法》第48条下的自动信息系统庶几近之。恰是以此为凭,perplexity在comet的服务条款中约定:“您与第三方服务提供商之间的任何数据交换或其他互动,以及您对任何第三方服务的任何购买或使用,均仅限于您与该第三方服务提供商之间,我们对此类交换或互动不承担任何责任或义务。”豆包《用户协议》第2.3、2.4条亦明定,当指示豆包在第三方平台操作时,用户需对因此产生的后果自行负责。显然,通过将ai智能体定位于用户工具的合同设计,提供者不但实现了智能体与用户的等同,还能彻底切割其与第三方的关系和可能的责任。
然而,ai智能体绝非二十年前的电子代理人。从行为的实质观察,电子代理人主要是执行预设、确定性规则的自动化程序,只能代为转达用户的意思表示,而无任何决策自由。相反,智能体早已超越了简单的工具论,向具有一定自主性的本体论演进,呈现出决策路径弥散式分布,结果生成非必然性与多元可能性的或然性工具特征。以豆包为例,笔者曾在同等条件下先后发出下载主流社交软件的指示,豆包却先后下载了三款不尽相同的软件。从行为的表象观察,ai智能体和用户行为截然不同。就访问方式而言,用户以个人显名方式登录,操作相对分散且低频,不但遵循网络实名制与可追溯的原则,而且均为浏览网页、下载文件等目的明确的信息交互。相反,智能体塑造了一套全然不同的机器化范式:它常以隐名(或伪造身份)状态运行,掩盖其机器本质,同时依托自动化脚本,能进行7×24小时不间断、高频率访问,不但对实名制构成直接冲击,还对服务器构成巨大压力,更使得第三方难以区分善意用户与恶意访问,传统的基于频率和模式的监控手段面临失灵。不仅如此,智能体具备强大的环境适应与策略探索能力,为最大限度完成用户授权,存在规避、突破第三方技术保护措施的倾向,动摇了以权限控制为核心的网络安全架构。再如,就数据获取而言,用户数据访问均基于逐次的请求,依法向第三方主张查阅、复制或转移必要的个人信息。在获取数据后,用户通常将数据留存于个人设备本地,用于个人生活、工作和娱乐,其风险主要集中于个人信息泄露或设备安全。与此不同,智能体彻底改变了数据的轨迹。一旦获得授权,它就能以自动化方式系统地批量获取可机读数据,并可能抓取用户信息以外的、关涉他人权益和企业利益的其他数据,从而引发数据采集失控的风险。更重要的是,ai智能体获取的数据极少止步于用户存储,往往被传输、汇聚至远程云服务器,融入浩如烟海的训练数据集或商业数据库,不但可能因数据汇聚使得数据安全从个别蔓延到全局,还可能用于生成实质替代原有产品、服务的商业目的,构成对第三方数据使用权和经营权的侵蚀。
总之,ai智能体绝非用户的电子代理人,其行为也非用户行为的简单替代。事实上,两者的差异早已被facebook inc. v. power ventures阐明。针对被告声称其访问已经获得用户授权的主张,法官用类比推理作出判决:假设甲同意将存放在银行保险箱内的珠宝借给朋友乙,也将钥匙递交给乙。乙却带着猎枪前往,自然会被银行驱逐且被禁止再次进入。此时,乙显然不能以拥有保险箱权限为由再次携枪进入。智能体和用户不啻为此处甲和乙在智能世界的又一翻版。
(二)
ai智能体提供者作为代理人之规范
在ai智能体并非法律主体的前提下,如欲调和提供者所声称的智能体代表用户和智能体享有自主性的矛盾,只能将实质性影响和控制智能体的提供者视为“代理人”,由其以用户的名义实施法律行为,法律效果直接归属于用户。代理关系的引入不但符合普罗大众对智能体的朴素直觉(agent的文意即“代理人”),还令司法者、执法者以相当的灵活性在新旧情境之间建立联系,将智能体整合进人类责任的传统范式之中,为厘清各方权利义务提供了富有价值的类比框架。为达致合法且有效的代理,用户和提供者应遵循如下代理规范。
1.用户向第三方发出授予代理权的意思表示
依循基础法律关系和代理权分离的原则,在用户和提供者的内部关系外,用户还必须另行作出代理权授予的意思表示。一般而言,由于代理权授予为单方行为,于达到相对人时即发生效力,不以其承诺为必要,因此可以向提供者或第三方为之。但在网络空间中,智能体的行为关系用户利益甚巨,第三方负有核实提供者身份的职责。在《电子签名法》大幅降低数字化授权书制作成本的背景下,用户对提供者的授权应在口头或以行动发出后,由提供者按照符合国家标准或行业通用格式,且以机器可读形式,自动向第三方转发。该等数字化授权书应根据《民法典》第165条,载明用户的姓名或名称、代理事项、权限和期限以及用户的电子签名。不过,考虑到用户获得便捷服务的需要,是否允许其签发不具有任何具体内容的空白授权书?对此,本文赞同王利明教授的观点,即空白授权书应认定为授权不明,适用意思表示的规则予以解释。这是因为在用户和提供者地位明显不对等的情形下,率尔承认其有效性,可能对用户过于不利。但另一方面,授权不明的确增加了提供者和第三方法律效果的不确定性,损及交易安全。对此,制度上固然可以通过表见代理来补救,而更有效的方案毋宁是技术性的,即要求提供者结合用户协议和用户指示,将其自动转译为具体的代理内容,并取得用户确认,从而在事实上杜绝了空白授权。
2.代理权授予不得超越用户本人权限
基于罗马法“任何人不得将大于自己的权利让与他人”原则,用户无法将自身不享有的权利授予提供者。就此而言,用户所能授予的权限受到合同条款与技术标准的双重制约。以合同论之,用户在第三方网站、app的行为自由通常由用户协议和平台规则所限定。例如,亚马逊《使用条款》中的许可访问条款就严禁为第三方利益下载、复制或以其他方式使用账户信息,同时禁止使用数据挖掘、机器人或类似的数据收集与提取工具;软件条款则禁止绕过与亚马逊软件相关的任何技术安全措施。虽然提供者并非相关协议的一方,但在用户授权的间接约束下,亦应遵守。再以技术论之,根据《移动互联网服务可访问性安全要求》和《智能体任务执行安全要求》等标准,用户一般无权调用无障碍权限和签名级权限。这是因为该等权限的技术特性使之成为能力远超传统权限的系统级后门,容易引发数据泄露、黑客攻击、系统漏洞暴露等诸多问题。正因如此,尽管ai智能体利用read_frame_buffer(截屏)权限和inject_events(输入)权限,能够直接调用屏幕捕获接口,在操作系统层面模拟触摸事件和完成决策执行,却因背离用户权限而缺乏正当性。
3.代理事项具有可代理性
并非所有的行为均可由代理人实施,行为人以他人名义实施的不可代理行为无效。根据《民法典》第161条第2款和相关规范,在下述情形下,应由用户本人亲自实施民事法律行为,提供者不得代理:(1)依当事人约定禁止代理。例如,用户与第三方之间的合同禁止使用ai智能体访问其系统,则该授权因违反合同约定而无效。再如,用户与提供者之间的合同亦可能限制智能体的代理范围,包括但不限于禁止用户开展特定交易或禁止访问特定网站。(2)依法律规定禁止代理。我国现有法规定了一系列禁止代理的情形,如《民法典》第1049条下的结婚、第1134条下的遗嘱、第1105条下的收养,等等。此外,特别法要求具有资质的专业人员方可从事的行为,亦不允许代理。(3)依“一身专属性”禁止代理,包括与人身权和人格权的发生、灭失、变更相关的行为,如改名、器官捐赠、抛弃隐私或荣誉,以及基于特别信任关系或特定知识技能的行为,如授课、演奏。(4)因事实行为禁止代理。代理系代为或代受意思表示,事实行为不是表示行为,其效力并非基于行为人的效果意思,乃基于法律规定而发生,因而不可代理。就此而言,提供者爬取第三方数据的行为,不可假借用户授权为合法性基础,因其并非法律行为。(5)因不法行为禁止代理。代理以合法行为为限,提供者不得代理用户为盗窃、诈骗等刑法上的犯罪行为,或民法上的侵权行为。不仅如此,根据《民法典》第167条下的违法代理规则,提供者负有合理范围内审查代理事项合法性,以及及时警示、告知并停止执行的义务。例如,若用户明确指令智能体采取规避第三方技术保护措施的方式,窃取他人数据或商业秘密,提供者依然提供或优化相关功能,则需承担连带责任。同样,用户作为被代理人,亦负有与其能力相匹配的监督义务。如用户明知智能体正在实施黑客攻击、流量劫持或发布违法信息而未加阻止,则用户就相应损失应共同承担连带赔偿责任。
4.提供者行使代理权应当显名
在我国,代理以公开主义为原则,即代理人开展代理活动不仅应当表明自己身份,而且应明确告知被代理人的姓名或名称,明示被代理人为交易的当事人。借此,代理人明确区分“自己的行为”与“为用户所为的行为”,展现了代理意思,使得效果归属于被代理人的结果为法律所承认。同时,显名也保护第三方利益,因为第三方必须知悉交易对方,以便明确义务向谁履行、权利向谁主张以及与谁发生纠纷,从而预防交易风险。进一步论之,基于私法自治的原则,只有相对人明知被代理人才是法律行为的当事人,且愿意与其实施法律行为时,代理行为才能在相对人与被代理人之间发生效力。然而,实践中的ai智能体经常采取秘密访问形式,不仅会招致第三方的敌意与屏蔽,陷入互害螺旋和技术的军备竞赛,还有可能构成《反不正当竞争法》第13条“以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据,损害其他经营者的合法权益,扰乱市场竞争秩序”的行为。为此,显名规则意味着对当前技术路线的矫正:一方面,提供者应遵循第三方的平台规则,不得隐瞒或模糊任何访问、使用或交互来自ai智能体的事实,不规避任何旨在阻止、限制或控制其访问、使用或与网络服务交互的范围和方式的措施;另一方面,第三方可以通过函数调用(function calling)、开放标准化接口(api)、多应用连接工具包(mcpsdk)和操作系统厂商主导的意图框架等多元方式,在提供者获得合法授权(如oauth、apikey)后,开展稳定性、可扩展性与可审计性兼具的程序化交互,实现安全可信的访问。
结语
ai智能体正在重新定义人、机器和平台的交互方式。大变革意味着大哉问。从网络和数据安全到个人信息保护,从平台治理到不正当竞争,ai智能体对法律的挑战既深且广。不过,在人们所习见的风险—规制路径之外,本文尝试着另辟蹊径地从私法入手,揭示ai智能体的法律概念和法律架构,在微观的法律关系中划定其行为边界,以期为更广泛问题的化解提供相对稳固的分析基础,也试图说明以后设为特色的私法可以成为平衡人工智能发展与安全、协调市场创新与公平竞争的优先选择。毕竟,法律最终植根于一个个复杂而生动的法律关系之中。放眼未来,当具有法律人格与真实意志的自然人,向不透明且具有一定自主性的非人行为体转变之时,我们必须超越旧有框架,摒弃人—机—平台互害的零和博弈,构想一幅人—机—平台共生的新图景。
吴逸越|数实融合产品出卖人主给付义务的重构
边琪|论已公开个人信息的保护模式
章诗迪|数字资产的担保能力证成及其制度构建
屈茂辉|《民法典》基础性法律地位的立法实现
刘薇|民法视域下低空空域权的层次化配置
目录|《东方法学》2026年第1期
上海市法学会官网
http://www.sls.org.cn
上观号作者:上海市法学会
京公网安备 11011402013531号