人工智能投顾的算法风险及其法律规制

刘 辉

（湖南大学法学院，长沙 410082）

我们正生活在一个被算法和大数据包围的时代。通过算法来处理大数据，并由它辅助人类决策，甚至索性由它独立进行客户画像和数据采集等深度学习进而代替人类决策的人工智能，似乎已经成为我们这个时代最为显著的标签之一。人工智能在克服人类情感控制、风险偏好、行为理性等方面的弱点，帮助人类提高行为效率的同时，亦带来科技伦理、风险生成与法律价值等方面的全新挑战。基于大数据金融算法的人工智能投顾是21 世纪最重要的金融创新，它融合了金融科技和互联网的双重优势，给传统投顾模式带来一场深刻的“大数据革命”。无疑，科技伦理必须接受法律的规制，以算法为核心的人工智能投顾作为一种典型的科技伦理，必须在法治的框架下规范发展。

一、人工智能投顾的算法逻辑及其主要优势

人工智能投顾是一种基于大数据金融算法技术的投资顾问，在世界各国的业务模式和具体实践并不相同。在美国，人工智能投顾分为“数字化投顾”（digital investment advice）和“机器人投顾”（automated investment tools）两种类型；在澳大利亚，人工智能投顾被称为“数字化投顾”；在加拿大，通常以“在线投顾”来描述与人工智能投顾相类似的投资顾问业务。目前，我国法律法规对人工智能投顾尚未作出明确的界定，中国证监会在2016 年8 月给投资者的风险提示中将人工智能投顾定义为“一种网络虚拟人工智能产品，它基于投资者自身的理财需求、资产状况、风险承受能力、风险偏好等因素，运用现代投资组合理论，通过算法搭建数据模型，利用人工智能技术和网络平台提供理财顾问服务”［1］。总体而言，从世界范围来看，人工智能投顾主要有两种不同的形态：一种是“弱人工智能投顾”，即金融机构（尤其是证券机构）的从业人员为客户提供投资咨询分析时辅助使用的基于算法技术的数字化投顾工具；另一种是“强人工智能投顾”，即作为投资顾问存在的“机器人投顾”，它基于客户自身的投资理财需求，通过算法和产品来完成以往人工提供的理财顾问服务［2］。

无论哪一种类型，算法都是人工智能投顾的底层技术和核心逻辑，它是“一种有限、确定、有效的并适合用计算机程序来实现的解决问题的方法”［3］。正是基于算法来对金融消费者的各种个人金融信息进行数据化处理，并对投资决策形成决定性的影响，人工智能投顾才得以真正产生。人工智能投顾算法，是指利用计算机程序来控制金融决策和金融交易的人工智能运算方法，它是对一系列程序化运算或者自动运算方法的统称。当金融大数据与算法两相结合，传统金融业务的改造升级便迎来了理想的科技基础。基于算法驱动的人工智能投顾相较于传统人工投顾，具有以下典型优势。

一是个性化投顾。根据中国证券登记结算有限公司披露的数据，截至2020 年6 月，A 股市场散户数量高达1.67 亿，而取得投资顾问资格从业人数约为5.76 万人［4］，这就意味着，即使不考虑机构投资者，平均每一位投资顾问大约需要同时服务2899 位投资者。这样的现状很难实现一对一的“个人化投顾”。人工智能投顾通过“客户画像”就能够迅速采集并分析客户的社会属性、生活习惯、行为特征等信息，通过算法处理，抽象出客户的商业全貌并进而分析出客户的风险偏好，提供个性化投顾服务。

二是风险分散。在投资理财领域，金融风险的分散主要可以从时间和空间两大维度着手。从时间维度化解风险的主要形式就是改变短期投资周期，以长期投资为主；从空间维度化解风险的主要做法是优化投资组合。作为人工智能投顾底层核心技术的算法，能够充分利用各种金融模型和假设，譬如现代资产组合理论、行为金融学理论、道氏理论等，根据客户的风险类型和偏好，自动优化投资组合和投资周期，达到分散风险之目的。

三是智能调仓。资产配置组合的平衡与再平衡是投资盈利的关键因素之一。资产配置组合结构并不是一成不变的，根据宏观经济因素和市场环境的变化以及投资者自身风险承受能力的调整，投资顾问必须对投资者的资产组合进行相应的调整。在传统人工投顾模式下，投资顾问从采集和分析各方面信息、阅读各类研报到作出投资组合调整，具有一定的时滞性，而人工智能投顾凭借其算法优势，能够迅速、精准地实现投资组合的自动再平衡，即所谓的智能调仓，优化投资收益，保护投资者利益。

四是降低投资门槛和费率。跟传统人工投顾相比，人工智能投顾的运行只需要较少的人工干预，甚至完全不需要人工干预，这就大量节省了人工成本。它可以提供较低的投资门槛，收取较低的投资费率，甚至零费率。目前，美国的人工智能投顾平台的投资者门槛大约为0—5000美元，远低于传统金融机构动辄百万美元的投资门槛，投资费率甚至降低为零（见表1）。而在中国，早在2015 年，嘉信理财就推出了零费率的智能投资组合管理系统。我国大型商业银行推出的智能投顾产品的投资门槛已经降到了2000—20000 元左右，可以满足大部分普通投资者的理财需求。

表1 美国部分人工智能投顾平台投资门槛与费率

二、人工智能投顾的算法风险

人工智能投顾在优化和重构传统投资顾问行业的商业模式、驱动科技金融产品和业务创新的同时，亦对传统金融治理法律和治理模式提出严峻的挑战。这其中，最为核心的挑战便是基于算法的运用，而引发的有关法律责任主体识别的争议以及传统人工投顾法律体系下信义义务规制范式的失灵。具体而言，主体识别难题、算法歧视风险、算法加密技术的内生风险以及算法非理性决策是人工智能投顾算法风险的突出表现。

（一）主体识别难题

算法主要通过算法设计和算法部署应用两个步骤层次对社会和个人产生影响［5］。在人工智能投顾发展的早期阶段，由于算法技术的限制，人工智能投顾实际上只是传统人工投顾的一种辅助工具，在证券投资领域，被称为辅助性的“荐股软件”。但随着算法技术的迅速崛起，在美国已经出现“强人工智能投顾”，它可以根据“客户画像”等采集的基本信息自动而独立地实施投顾活动。中国目前的人工智能投顾也可以分为全智能投顾模式、内智能投顾模式和半智能投顾模式三种类型（见表2）：全智能投顾模式类似于美国的Betterment、Wealthfront，是一种以用户投资规划为中心，而不是以产品销售为中心的智能投顾模式；内智能投顾模式只能通过在平台内嵌智能投顾引擎的方式来实现智投功能，以产品销售为中心；半智能投顾模式是以新产品或新业务而非新平台的方式来进行运作，也不具有全智能投顾模式下的以客户为中心的属性［6］。

表2 我国人工智能投顾三大模式及主要运营平台

正如2020 年7 月，欧洲议会法律事务委员会在《人工智能与民事责任》的研究报告中声明的那样，“不能完全否定赋予人工智能法律人格的可能性”，但对人工智能是否需要授予法律人格，需要具备一些“合理条件”［7］。总之，受益于大数据金融算法的智能驱动，人工智能投顾法律规制首先面临主体识别难题，特别是对于“强人工智能投顾”，法律是否需要赋予它法律人格并独立承担法律责任。并且，就算不承认人工智能投顾具有独立的法律人格，在人工智能投顾（算法）侵权的场域下，相关的法律责任在算法研发者、算法运营者等主体之间应当如何分配，这也是人工智能算法风险法律规制必须正面回答的问题。

（二）算法歧视风险

人工智能投顾在分散风险、降低市场准入门槛等方面的优势，使它成为现代金融的重要发展趋势。然而，并不是所有的人工智能投顾都会如人所愿般勤勉、善意地实施智能投顾服务，作为其技术核心的算法本身只是一套冰冷的计算规则，隐藏其后的，实际上是算法研发者的一套价值理念。如果算法的研发者在算法研发过程中融入了带有歧视性的算法规则，这样的人工智能投顾自然面临算法歧视风险。算法歧视的典型表现包括：投资者准入歧视、产品推荐与运营歧视、价格歧视等。

在投资者准入方面，为了维持特定的优质客户群体，算法研发者可能设置歧视性的准入变量，甚至可能包含违反宪法基本权利保护要求的诸如民族、种族、宗教信仰、性别等方面的条件限制；在产品推荐方面，算法研发者可能设置对其利润最大化更为有利的投资产品，在经过算法处理后，投资者收到的可能总是同类带有歧视性的投顾建议，从而被动陷入一种“信息茧房”效应［8］；在产品运营过程中，尽管人工智能投顾具有智能调仓的优势，但它也可经歧视性的算法设计发生异化，即其根本目的变为智能投顾主体的利益最大化而不是投资者利益最大化；在价格歧视方面，歧视性的算法可能使投资者陷入“大数据杀熟”的困境，对老客户收取更高的投顾费用，而对新客户收取更低的投顾费用。总之，“片面数据性歧视”“延伸性的社会结构性歧视”“统计性歧视”“主观性歧视”“效率性歧视”等，都是人工智能投顾固化金融歧视和金融排斥的重要原因［9］。

（三）算法加密技术的内生风险

技术安全是数据安全的基线［10］。加密，是一种限制网络上传输数据访问权的信息技术。为了确保人工智能投顾大数据的安全，算法的研发者一般会通过算法加密技术来对传输数据进行访问权控制。然而，算法加密技术本身并非完美无缺，其内生风险可能成为客户隐私泄露的导火索。目前，国内最为前沿的人工智能投顾大数据加密算法技术包括联邦学习（Federal Learning，FL）、数据脱敏（Data Masking，DM）、隐私差分（Differential Privacy，DP）、可信计算（Trusted Computing，TC）以及多方计算（Multiparty Computation，MPC）等，但这些算法加密技术都存在各自的缺陷或者较高的基础运用环境要求。

联邦学习允许多个参与方协作解决特定的机器学习问题，但在样本数据的采集和整合过程中可能存在向整合者泄露数据原文和向其他计算参与方泄露最终模型的风险；数据脱敏是通过一定的规则对数据进行变形、屏蔽或仿真处理，消除它在原始环境中的敏感信息，并保留目标环境所需的数据特征或内容的数据处理技术，但它容易受到各种侧信道攻击或撞库攻击，造成脱敏信息被恢复等风险；差分隐私主要通过在保留统计学特征的前提下去除个体特征以保护用户隐私，但加入噪声会导致运算结果准确度下降，且随着运算次数的增加，不同数据集的差别会越来越显著，从而增加隐私泄露的风险；可信计算是一种通过硬件增强和软件配套提高计算机系统整体安全性的技术和方案，但可信CPU 本身在工程实现中存在侧信道攻击漏洞的风险；多方安全计算是目前解决数据融合最有效的密码学方法，但相对于明文计算，它需要较高的计算成本并且存在增加网络时延等缺点。

因此，受制于现有的计算环境和技术固有的缺陷，人工智能投顾单一加密算法将面临更大的安全风险，必须使用各种组合加密算法［11］。然而，即便如此，算法加密技术的内生风险依然是人工智能投顾数据风险的重要来源，人工智能投顾的数据风险又可能直接导致客户金融信息和金融隐私的泄露。不仅如此，在算法进行自我学习和客户画像的过程中，如果遭遇到网络爬虫的不法攻击，同样可能危及个人金融信息安全。另外，人工智能投顾的算法也可能突破必要性原则过度采集个人信息。2021 年2 月5 日，在工信部召开的App 个人信息保护监管座谈会上，腾讯应用、蚂蚁集团、京东商城等均被通报通过App 违规收集用户个人信息［12］。

（四）算法非理性决策风险

人工智能算法的不公开、不透明问题，被称为“算法黑箱”［13］。大数据时代，数据处理方法都遵循IPO（输入，处理，输出）模型——数据作为输入进入系统，进行处理，然后被保留为输出。作为智能决策“隐层”的算法，始终处于隐蔽的状态，人们只能看到输入的数据和输出的结果，却无法看到算法在数据处理方面的基本逻辑关系，这就产生了伦理学上著名的“波兰尼悖论”（Polanyi’s paradox），即“我们所认识的多于我们所能告诉的”［14］。作为人工智能投顾底层技术的算法，无论设计得多么精确，本身依赖的都是历史信息，而所得的结果仅仅是在此基础之上的大概率事件。在瞬息万变的金融市场环境下，算法程序在风险识别与控制、决策模型调整上的及时性和有效性都是存疑的，甚至完全存在错误判断的可能。

在美国CFTC v. Vartuli 案中，投资者被金融交易软件出售者误导，认为该金融交易软件能够帮助他们实现投资盈利，但最终投资者遭受了巨额损失，法院认为金融交易软件出售者存在欺诈，算法本身也存在非理性行为①。算法在深度学习的过程中，采集的信息并不一定全面，如果算法本身具有设计瑕疵，有可能只采集到一些片面的信息，这无疑将影响最终的数据处理结果和投资决策行为。此外，当不同的人工智能投顾采用相同或者相似的算法技术的时候，在整个金融市场上也可能产生集体行动风险。比如，2013年4 月23 日，美国道琼斯工业平均指数、标普500 指数、纳斯达克综合指数的集体下跌，就与对冲基金普遍采用的情绪算法的共振不无关系。

三、人工智能投顾算法风险治理立法的现状与不足

（一）人工智能投顾算法风险治理的立法现状

目前，我国对人工智能投顾算法风险的相关立法散见于法律、行政法规、规章、金融监管部门的规范性文件以及地方立法之中。在法律层面，《民法典》设立了人格权编（第四编），明确了自然人个人信息受法律保护；处理个人信息应该遵循合法、正当、必要等基本原则；信息处理者的信息安全保密义务。《网络安全法》第四章专门规定了网络运营者等主体的网络信息安全义务和保障制度，其中特别强调了个人信息的采集和使用规范。《消费者权益保护法》（2013 年新修订）新增规定了经营者收集、使用消费者个人信息的基本要求，这些规定大部分被后来的《民法典》所吸收。

《数据安全法》明确规定了重要数据管理和风险责任管控制度、数据采集的合规性原则、数据交易的可追溯性原则等。《个人信息保护法》第二十四条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

国务院反垄断委员会制定的《关于平台经济领域的反垄断指南》第十七条将具有市场支配地位的平台经济领域经营者无正当理由利用算法实施差别待遇的行为定性为滥用市场支配地位行为。中国证监会2012 年出台的《关于加强对利用“荐股软件”从事证券投资咨询业务监管的暂行规定》（以下简称“《投顾规定》”）明确，荐股软件合同的法律性质并不属于销售合同，应把它当作投资咨询业务合同予以对待。《征信业管理条例》明确了个人信息采集必须坚持本人同意原则。中国人民银行2020 年9 月18 日新修订的《消费者权益保护实施办法》对消费者金融信息保护作出了专门规定，从消费者金融信息安全权角度，进一步强化了信息知情权和信息自主选择权。中国人民银行2018 年4 月27 日发布的《关于规范金融机构资产管理业务的指导意见》（银发〔2018〕106 号）（以下简称“《资管新规》”）规定了金融机构的算法备案义务，要求“金融机构应当向金融监督管理部门报备人工智能模型的主要参数以及资产配置的主要逻辑”。同时，《资管新规》明确要求金融机构“避免算法同质化加剧投资行为的顺周期性，并针对由此可能引发的市场波动风险制定应对预案”，并且“因算法同质化、编程设计错误、对数据利用深度不够等人工智能算法模型缺陷或者系统异常，导致羊群效应、影响金融市场稳定运行的”，金融机构有义务采取人工干预，消除风险。

另外，我国部分地方性立法也在算法风险治理方面进行了探索，为人工智能投顾的规范发展提供了指引。比如，2021 年6 月29 日，深圳市第七届人民代表大会常务委员会第二次会议通过的《深圳经济特区数据条例》第六十九条规定，市场主体不得利用数据分析，对交易条件相同的交易相对人实施差别待遇。2021 年8 月26 日，浙江省市场监督管理局发布的《浙江省平台企业竞争合规指引》第十二条规定，平台企业在经营活动过程中要注意基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件的高风险敏感行为。

（二）人工智能投顾算法风险立法的主要问题

总体来看，我国对人工智能投顾算法风险的相关立法已经显著滞后并且远远不能满足现实所需。特别表现在：缺乏统一而科学的算法立法理念，导致完善的算法法律体系缺位；基于算法驱动的人工智能投顾的行为和责任主体不明确；人工智能投顾算法私法制度及其救济机制欠缺；算法综合治理体系不完善等。

1.缺乏统一而科学的算法立法理念

我国在人工智能投顾算法领域一直采取分散立法的模式，并且大多数的规范都属于低位阶的规范性文件，在法律层面，具有可操作性的规定十分缺乏，并且总体上尚未形成完善的法律体系，一个重要的原因就是缺乏统一而科学的立法理念。2021 年1 月31 日，中共中央办公厅、国务院办公厅印发的《建设高标准市场体系行动方案》明确要求，“研究制定加快培育数据要素市场的意见”“推动数据资源开发利用”。在大数据时代，金融数据的要素融合与个人金融信息保护已经成为大数据金融法治的“一体两面”。从上述对现行立法的梳理不难发现，现行立法仍然侧重于个人金融信息保护而忽视了对算法本身规范发展的指导和培育，这显然不利于促进人工智能投顾等金融创新。

比如，《民法典》第一千零三十八条和《网络安全法》第四十二条均规定：未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。这实际上体现出法律对个人信息实施的一种“静态”保护。《数据安全法》第十三条则一改前述理念，明确“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。这就是一种全新的“动态”保护理念，在人工智能投顾领域，表现为鼓励数据融合和金融创新，以数据安全来保障金融创新。因此可以说，《数据安全法》与《民法典》《网络安全法》《个人信息保护法》等相比，在立法理念上实现了超越。从既有的与人工智能投顾算法相关法律、法规、规章以及规范性文件来看，现行的各层级的制度规范并没有一个统一的立法理念，也尚未形成一个有机协调的算法法律体系。

2. 人工智能投顾的主体法律地位缺乏明确的规定

人工智能可否取得法律人格是智能社会治理中悬而未决的基础命题［15］。我国目前已经有全智能投顾模式、内智能投顾模式和半智能投顾模式，全智能投顾模式完全具有自主学习和投资顾问的能力（当然这并不代表必然要赋予其独立的法律人格），那么，它与内智能投顾模式和半智能投顾模式的主体法律地位是否应当有所差别？立法并未予以明确规定。

我国法院对“荐股软件”的法律地位的认定一直存在激烈的争议。在徐汇区人民法院（2013）徐民二（商）初字2158 号民事判决书和上海市第一中级人民法院（2015）沪一中民四（商）终字第380 号民事判决书中，法院将“荐股软件”作为一种普通商品予以认定，认为它并不具有投资顾问主体资格。2012 年中国证监会出台的《投顾规定》才真正改变了将“荐股软件”合同认定为销售合同的重大误区，确立了它为投资咨询业务合同的法律属性。“荐股软件”属于从事证券投资咨询业务的主体，它从事投顾活动，必须依法取得中国证监会的行政许可，获得证券投资咨询业务资格方可为之。这意味着适用于传统人工投顾的义务性的规定，比如不得误导、欺诈投资者以及投资者适当性管理等法定义务，也必须严格在以算法为大脑的人工智能投顾中予以适用［16］。

3. 以算法为核心的人工智能投顾私法关系及救济机制不完善

人工智能投顾算法私法关系的构建，无疑是大数据时代以算法为纽带的人工智能投顾平等主体之间的法律关系重构的基础。我国对人工智能投顾算法的民商事立法严重不足，涉及相关金融消费者权益保护的立法及其救济机制主要围绕个人金融信息保护而展开。在长期的司法实践中，金融消费者往往诉诸隐私权、名誉权、一般人格权等诉由来维护自身权益。但通过隐私权或名誉权来实现个人信息保护，必须建立在对现有法律条文的扩张解释基础上，这本身就对法官的个人素养提出了很高的要求。对该问题的分歧和差异，必然导致“同案不同判”、司法适用上的混乱和纠结。而一般性人格权作为一种概括性、框架性权利，高度依赖于法官的解释，这也必然导致司法适用上的模糊性和不确定性［17］。

在人工智能投顾算法侵权的场域，金融消费者如果通过诉讼来维护自身的合法权益，更大的困难还在于举证环节。由于民事诉讼法并没有针对人工智能投顾侵权设定举证责任倒置规则，根据我国民事诉讼“谁主张谁举证”的一般举证规则，金融消费者如果要想获得赔偿，必须举证证明人工智能投顾算法设计上的瑕疵、运营上的过错甚至算法设计者的过错等。事实上，对于人工智能投顾算法的设计、解释和运营，人工智能投顾方掌握着全部的证据资料，这将导致他们在诉讼中占据绝对优势地位，而金融消费者在“算法黑箱”的隔绝下，很难证明侵权行为的存在及其过错，这给金融消费者通过诉讼来保护自己的合法权益带来极大的障碍。此外，对于人工智能投顾算法侵权，法律也没有明确规定惩罚性赔偿责任、精神损害赔偿责任，并且大规模侵权救济机制在我国人工智能投顾算法侵权的场合也依然缺位，导致人工智能投顾侵权成本极低，金融消费者举证难度极大，维权成本极高。

4.人工智能投顾算法综合治理体系不完善

完善的人工智能投顾算法综合治理体系应当包括对人工智能投顾算法的行政监管、行业自律以及金融机构的内控治理机制等。在人工智能投顾算法的监管主体方面，《资管新规》首次明确：“金融机构应当向金融监督管理部门报备人工智能模型的主要参数以及资产配置的主要逻辑。”但此处的“金融监管部门”到底是指哪个部门，或者哪些部门？法律没有明确规定。在行业自律方面，金融行业协会（包括银行业协会、证券业协会、基金业协会、保险业协会、互联网金融协会等）和计算机行业协会身处算法运用和算法研发的第一线，深谙人工智能投顾算法的基本原理和运行规范，理应成为算法风险治理的重要主体。比如，美国计算机协会就规定了算法研发者对算法规则的实证检验义务，并且鼓励算法研发者公示其实证检验的结果［18］。这对于减轻和消除人工智能投顾的非理性决策、算法准入歧视、价格歧视等行为具有重要意义。在金融机构的内控机制方面，欧盟及其成员国普遍要求金融机构设立专门的数据保护部门以及数据保护官（Data Protection Officer，DPO），以加强对人工智能投顾算法的运营的内部自律管理。

我国的金融业协会和计算机行业协会以及金融机构内部对人工智能投顾算法的自律管理存在严重的不足，不同规模、不同行业的金融机构，均未针对人工智能投顾业务设置专门的数据保护部门和数据保护官，并且行政监管与自律管理机制之间尚未形成有机协调、良性互动的治理氛围。这实际上给人工智能投顾算法标准的确立、算法黑箱、算法同质化、算法歧视的治理、个人金融信息的保护、算法风险的公私协同共治等带来巨大的障碍。

四、人工智能投顾算法风险法律规制的完善

（一）确立统一、科学的立法理念

法律理念的确立对立法具有提纲挈领的指导性作用，人工智能投顾算法的依法治理必须从统一、科学的立法理念着手。针对传统立法侧重个人金融信息保护而忽视对算法本身的合理引导和规范治理的现状，在大数据时代，我们应确立鼓励数据融合和金融创新、加强个人金融信息保护和坚持算法风险审慎治理三大理念。

金融法不能一味地强调保密，更要强调数据的共享和开放［19］。鼓励数据融合和金融创新是实现金融数据要素化国家战略的必然要求。尽管算法技术的运用和发展给人工智能投顾的法律规制带来前所未有的挑战，但立法不能因噎废食，全然禁止或者不当限制人工智能投顾算法的合理运用，否则这必然违背金融数据融合的时代大势。相反，应当鼓励金融机构在不违反《民法典》《个人信息保护法》《数据安全法》等有关金融信息保护的禁止性规定的前提下，大胆创新人工智能投顾算法技术，以技术创新推动数据要素融合和金融创新。

加强个人金融信息保护和坚持算法风险审慎治理是人工智能投顾发展的基本保障，我们鼓励金融创新，但其基本前提是在宏观层面要守住不发生系统性风险的底线，在微观层面要切实保护好金融消费者的合法权益，包括消费者的金融隐私权、财产权等各项合法权益。这就要求，对个人金融信息权利的立法必须与人工智能投顾算法的规制两相结合、同步跟进，随着算法技术的发展和进步，个人金融信息保护的立法脚步必须与其商业模式和算法技术共生共进，并将这三大立法理念有机融合，共同推动形成完善的人工智能投顾算法法律体系。

（二）审慎对待人工智能投顾的法律地位与责任承担问题

在康德的批判哲学看来，人“有资格作为自然的主人”［20］，“人是目的本身而不是手段”“是他自己的最终目的”［21］，并且“应当永远被视为目的本身”［22］。法治的最终目的必定是为了人本身［23］，这就要求，必须将算法置于人类的质疑和掌控之下［24］。法律治理可以使得代码治理具有更多的道德伦理价值［25］。

我国的全智能投顾模式具有独立的机器学习和自动决策能力，甚至已经具备超越传统人工投顾的投资意识、投资知识储备和投资能力。但如果赋予它独立的法律人格，可能面临以下方面的质疑：第一，全智能投顾平台依然高度依赖于算法研发者的算法编制行为，它本身并不能创制算法，如果脱离算法研发者，将无法实施投顾行为。这表明，全智能投顾平台并不具有法律意义上的独立意识。第二，如果赋予人工智能投顾平台独立的法律地位，将面临道德和伦理方面的拷问，比如，让人工智能投顾平台承担民事责任，并不能达到对它进行行为和道德上的警示、否定、谴责的功能，因为人工智能平台背后的一套算法是冰冷的，并不具有情感，也没有道德羞耻感。民事责任的承担对人工智能投顾平台来说，可能毫无法律意义。第三，独立的法律地位就意味着要独立地承担法律责任，人工智能投顾平台本身并不具备独立的财产，这对现行民事法律责任的履行而言，显然存在法理和实践上的障碍。总之，目前来看，无论是哪种类型的人工智能投顾平台，我国法律均不应当承认其独立的法律地位。

在法律责任的承担问题上，将算法运营者（多为人工智能投顾平台所在的金融机构）确定为法定的被告，对金融消费者权益保护而言殊为必要。因为金融消费者要深度了解隐藏在人工智能投顾平台背后的算法研发者及其算法本身，具有相当大的难度，如果将算法研发者作为法定的被告，金融消费者可能面临极大的维权难度。因此，法律可以将算法运营者列为直接被告，在他们承担民事赔偿责任以后，如果算法的研发者具有过错，算法的运营者可以向算法研发者进行追偿。当然，人工智能投顾算法的研发者应依法享有算法解释权，通过向司法机关或者监管机关提出正当的算法解释，来事后免除其法定责任范围之外的法律责任。

（三）完善人工智能投顾算法私法关系及救济机制

如前述，人工智能投顾的算法风险既有单主体风险，也有多主体风险。在人工智能投顾算法侵犯投资者金融信息权和金融财产权的情况下，主要通过法律责任直接分配的路径予以规制。人工智能投顾算法私法关系的重构可以从正反两个方面展开：一是基于人工智能投顾的业务特点，明确其算法的概念、算法权利、义务以及算法侵权的法律责任等，从正面对人工智能投顾算法进行引导、激励和规范；二是从金融消费者权益保护的视角，在《民法典》《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》等法律的基础上，进一步完善相应的配套法规、规章和规范性文件，尤其要积极推进中国人民银行正在进行的《个人金融信息保护管理办法》的制定工作，从个人金融信息保护的视角，反向限制人工智能投顾算法的无序扩张和算法侵权行为。

当然，徒法不足以自行。人工智能投顾算法的私法保护离不开完善的法律救济机制。从权利救济的层面来说，由于人工智能投顾算法具有隐蔽性和高度的技术性，对于算法侵权的民事责任归责原则有必要进行重构。具体而言，算法侵权的一般归责原则宜确立为过错推定责任，即在算法导致人工智能投顾损害消费者权益的情况下，首先推定算法研发者和算法运营者具有主观过错，由他们承担举证责任来证明自己无过错，这样可以实现消费者和平台之间的举证责任分配公平。在特殊情况下，对于人工智能投顾平台具有通过算法严重侵犯金融消费者隐私、严重损害客户资金安全、造成金融市场系统性风险等行为，可确立无过错责任。此外，惩罚性赔偿、精神损害赔偿、大规模侵权赔偿机制以及算法侵权公益诉讼机制等的构建在算法侵权的救济方面也十分重要。

（四）重构人工智能投顾算法综合治理体系

在人工智能投顾算法侵权严重危及金融市场稳定和众多金融消费者权益的情况下，通过算法私法关系的法律责任分配机制对它予以治理的路径就显得不相适宜。出于控制市场风险的现实需求，有必要构建起一种公私结合、公法为主的人工智能投顾风险控制和治理体系。

尽管有学者倡议在证监会下设专门的智能投顾监督管理办公室来对人工智能投顾进行独立监管［26］，但笔者不同意这样的提议。因为算法在扩展式嵌入社会经济领域时已逐步超越代码特质，整合并再生为新型“社会权力”［27］。人工智能投顾算法的法律监管不仅仅是一个微观审慎监管的问题，更是一个宏观审慎监管的问题，应当建立综合性的法律治理体系。在人工智能投顾算法运用的行政监管方面，首先要明确具体的监管部门。人工智能投顾算法监管涉及宏观和微观两大层面：在宏观层面，通过宏观审慎监管防范系统性金融风险，是人工智能投顾算法监管的首要目标；在微观层面，通过国家金融监督管理总局、证监会等金融监管部门对特定领域人工智能投顾的业务行为进行监管，达到规范算法行为，保护金融消费者的金融信息权利的目的。由于中国人民银行负有维护金融稳定的法定职责，可确定为人工智能投顾平台算法的审查部门，在此基础上，允许国家金融监督管理总局和证监会对算法进行行为监管和微观审慎监管，并由人工智能投顾平台向它们履行算法报备义务。在监管对象方面，要特别注重对人工智能投顾平台滥用市场支配地位、通过非法获取数据、数据垄断等行为侵犯金融消费者合法权益的监管。人工智能投顾平台算法应急管理体系的建立，对于防范系统性金融风险也颇为重要。此外，笔者曾提出，建立双向驱动型算法解释工具，通过公私合作治理，实现算法正义［28］，这或将为新时期人工智能投顾算法风险的法律规制提供更优的工具选择。

人工智能投顾算法综合治理体系不仅需要政府行政监管，还必须强化自律监管［29］。在人工智能投顾算法的自律监管方面，一方面要充分发挥金融行业协会和计算机协会对算法的自律监管，要特别突出它们在算法标准的选择和制定方面的重要作用，加强对算法涉嫌垄断、价格歧视、大数据杀熟、隐私泄露、非理性决策等风险的审查和监督，并推动算法透明，要求人工智能投顾平台主动公开算法的假设和限制、算法的逻辑、算法的种类、算法的功能、算法的设计者、算法的风险、算法的重大变化等重要事项；另一方面，要加强金融机构对人工智能投顾平台算法的内部治理规则的建设，要求所有的人工智能投顾平台所在的金融机构必须设立专门的数据保护部门和数据官，强化对金融数据安全和金融消费者合法权益的保护。最后，可通过“金融监管沙箱”对人工智能投顾算法进行实验性监管，在确保不发生系统性风险的前提下，实现金融创新，推动人工智能投顾行业的健康发展。

五、结语

在大数据时代，如何让数据的运用更加尊重人的隐私、尊严和自由，更加尊重人的主体价值，让人类摆脱被大数据以及数据平台操控的命运，已经成为当代法治必须面对的重大难题［30］。作为金融科技的典型代表，大数据算法在为人工智能投顾带来投资的个性化、分散风险、智能调仓、降低投资门槛和费率等优势的同时，也对现代金融法律治理的跟进提出了更高的要求。人工智能的最终目的是服务于人，人工智能投顾的终极使命还是服务于金融投资者。无疑，根据风险回应型金融法的基本原理，加强投资者法律保护必然成为人工智能投顾算法风险治理的价值皈依。

人工智能投顾在利用大数据技术分散风险并降低投资者门槛的同时，让更多的小额投资者有机会参与到投资活动之中。这些小额的投资者往往风险承受能力更差，并且在风险总值不确定降低的情况下，智能投顾的使用又增加了算法这种特殊的风险种类［31］。因此，法律更应该保护好人工智能投顾的“算法中的人（投资者）”。为此，有必要确立统一、科学的立法理念，并审慎对待人工智能投顾的法律地位与责任承担问题。

笔者认为，人工智能投顾的法律规制应当依循人工智能投顾的算法风险的不同传导机制，确立“二元法律规制路径”。人工智能投顾的算法风险既有单主体风险，也有多主体风险，即群体性风险甚至系统性风险。在普通的人工智能投顾算法侵犯投资者金融信息权和金融财产权的场域，实际上是一种算法的单主体风险，或者说，此时的算法侵权侵犯的是投资者与投顾机构之间的私法律关系，可以通过法律责任直接分配的路径予以规制。在人工智能投顾算法破坏金融市场稳定或者造成不特定投资者的资产损失和信息权利侵害的情况下，“算法逻辑的相关性本质决定了确定后果和行为之间的因果关系非常困难”［32］，法律治理的核心相应地就转变为规制风险或者说控制风险，防止风险扩散和蔓延。当然，其法律规制路径也不再是责任分配，而是一种公私结合、公法为主的风险控制路径。总之，既要强调完善人工智能投顾算法私法关系及救济机制，又要重构人工智能投顾算法综合治理体系，通过公私协力，实现对人工智能投顾算法风险的有效规制。

注释：

① 参见CFTC v. Vartuli，228F. 3d 94，99-100（2d Cir.2000）。