[ 美]布賴恩特·科比沃克·史密斯 著

陳吉棟 周晨黠 譯

一、引 言

工程和法律，兩者存在很多共同點(diǎn)。它們都需要仔細(xì)評估系統(tǒng)邊界以對其成本與收益進(jìn)行比較并甄別因果關(guān)系，都納入了其中部分字面意思和實(shí)際意思完全不同但卻類似的概念和術(shù)語，最終都關(guān)心由其所創(chuàng)造或管理的產(chǎn)品的實(shí)際使用情況，并且都意識到其應(yīng)用情況在很大程度上取決于人類使用者。本文強(qiáng)調(diào)的是4個概念——系統(tǒng)、語言、使用和使用者——對機(jī)器人開發(fā)和管理的重要性，在內(nèi)容上將技術(shù)領(lǐng)域和法律領(lǐng)域有機(jī)結(jié)合，而非只是將它們簡單合并。在人類與機(jī)器等概念得到恰當(dāng)定義的基礎(chǔ)上，研發(fā)人員和監(jiān)管機(jī)構(gòu)都必須理解，他們在新興的機(jī)器人技術(shù)體系中所扮演角色是相互關(guān)聯(lián)的。雖然本文內(nèi)容可廣泛適用于機(jī)器人技術(shù)，但機(jī)動車輛的自動駕駛是一個主要范例。作為討論的基礎(chǔ)，本文將頻繁提及4個技術(shù)文件：（1） SAE J3016：《標(biāo)準(zhǔn)道路機(jī)動車駕駛自動化系統(tǒng)分類與定義》，由國際自動機(jī)工程師學(xué)會（前身為汽車和航空航天工程師協(xié)會）發(fā)布。①SAE International, J3016：Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems(Jan.16, 2014),http://standards.sae.org/j3016_201401（以下簡稱 SAE J3016）。這份文件定義了國際自動機(jī)工程師學(xué)會對車輛自動化的分級。筆者也是起草該份文件的委員會成員之一。（2） 美國國家公路交通安全管理局（NHTSA）發(fā)布的《自動駕駛汽車政策初步聲明》。②National Highway Traf fic Safety Administration, Preliminary Statement of Policy Concerning Automated Vehicles(May 30, 2013),詳情請訪問以下網(wǎng)址：http://www.nhtsa.gov/About+NHTSA/Press+Releases/U.S.+Department+of+Transportation+Releases+Policy+on+Automated+Vehicle+Development（以下簡稱初步聲明）。這份文件界定了美國國家公路交通安全管理局對汽車自動化的分級，其與國際自動機(jī)工程師學(xué)會的分級略有不同。（3） ISO 26262：《公路汽車——功能安全》，由國際標(biāo)準(zhǔn)化組織（ISO）①International Organization for Standardization, ISO 26262：Road vehicles – Functional safety（2011–12）, http://www.iso.org/iso/home/search.htm?qt=26262（以下簡稱 ISO 26262）。發(fā)布。這份自動化標(biāo)準(zhǔn)基于通用功能安全標(biāo)準(zhǔn)（IEC 61508）制定②ISO 26262–1 at v; ISO 26262–10 at 4.1.。ISO/IEC 15288：《系統(tǒng)和軟件工程 ——系統(tǒng)生命周期過程》，由國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）發(fā)布，電氣和電子工程師協(xié)會（IEEE）也參與了制定③International Organization for Standardization & International Electrotechnical Commission, ISO/IEC 15288：Systems and software engineering–System life cycle processes (2008, updated into 2013)，http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=43564（以下簡稱 ISO/IEC 15288）。。以上這些文件只是相關(guān)文獻(xiàn)中的一小部分。

二、系 統(tǒng)

系統(tǒng)的概念——由一組、一套或一個集合的自然或人造事物所形成的、相互連接的或復(fù)雜的整體④System (de finition 4), OED.com; see also, e.g., Dominique Luzeaux and Jean-Ren.Ruault, System of Systems 150–52 (2013);Derek K.Hitchins, Systems Engineering, A 21st Century Methodology 11 (2007); James Ron Leigh, Control Theory, A Guided Tour 1–2 (IET 3rd ed.2012).——幾乎是每門學(xué)科的基礎(chǔ)。所有的事物都是一個系統(tǒng)，而每個系統(tǒng)（可能除了宇宙之外⑤宇宙是指，現(xiàn)在存在的一切，所有曾經(jīng)存在的一切，以及將會存在的一切。但即使是“宇宙”這個概念，其中的部分含義也可能并不全面。See, e.g., Multiverse (de finition 2), OED.com.）都是另一個系統(tǒng)的一部分。

在概念范疇上，界定系統(tǒng)的邊界是一項(xiàng)關(guān)鍵挑戰(zhàn)。“系統(tǒng)邊界將以我們是否認(rèn)為重要為標(biāo)準(zhǔn)對事物進(jìn)行區(qū)分。我們會對重要事物進(jìn)行建模?！雹轒atthias Ruth & Bruce Hannon, Modeling Dynamic Economic Systems, Springer, 2012, pp.35.排除其中的一些要素可能會干擾整個反饋循環(huán)：過于活躍的加熱器對改變室外空氣溫度毫無意義，但可能會導(dǎo)致建筑物的居住者打開窗戶，而這可能會使室內(nèi)空氣溫度保持在較低水平，從而使恒溫器不再關(guān)閉加熱器。此外，如果我們將一個系統(tǒng)錯誤地認(rèn)定為封閉式系統(tǒng)，那么就可能會忽略重要的要素：在一個包含人類參與者的系統(tǒng)中，補(bǔ)貼是輸入，外部性是輸出⑦補(bǔ)助是向某一特定活動所提供的而不是由其產(chǎn)生的某種利益（例如一種輸入），而外部性是由該等活動所產(chǎn)生的而非由其承受的某種成本或收益（例如一種輸出）。然而，封閉式系統(tǒng)既沒有輸入也沒有輸出。。

系統(tǒng)邊界既可以是真實(shí)的也可以是虛構(gòu)的，但在物理和時間上往往并無影響。在侵權(quán)法中需要盡量區(qū)分距離的遠(yuǎn)近、可預(yù)見性的有無、直接與間接，這種訴求有助于解釋為什么法院仍不愿意判決要求恢復(fù)“由于時空久遠(yuǎn)的疏忽過失行為所遭受的”情感創(chuàng)傷⑧Conrail v.Gottshall, 512 U.S.532, 545 (1994)。該案對因疏忽過失行為所造成的情感傷害的撫平，首先限于那些“因被告的行為同時遭受身體影響或傷害（無論多么輕微）的人”， id.at 547, 或至少“因該行為而面臨身體傷害的即時風(fēng)險”， id.at 548（描述“危險區(qū)域”）。此后，許多州采用了一個更廣泛的“相對旁觀者”測試，但它仍然納入了物理、時間和相關(guān)性要素作為考量，id.at 548。。在判例中，最高法院認(rèn)為將GPS跟蹤器安裝在車輛上的行為構(gòu)成一種搜查的結(jié)論⑨United States v.Jones, 132 S.Ct.945, 949 (2012).，也是依托于人身在物理上受到侵犯的相關(guān)事實(shí)，而一些法官則會考慮這種監(jiān)控所持續(xù)的時間⑩Id.at 964 (Alito, J.concurring).。

自動化和互聯(lián)性的不斷提高導(dǎo)致我們對全面系統(tǒng)分析的要求越來越高。至少有三方面原因會導(dǎo)致日漸復(fù)雜的系統(tǒng)可能涉及或牽連大量其他的,至少乍看之下似乎并不相關(guān)的系統(tǒng)。

首先，諸如物聯(lián)網(wǎng)、無線更新和3D打印等技術(shù)的發(fā)展可能導(dǎo)致產(chǎn)品既不是獨(dú)立的也不是靜態(tài)的，這使產(chǎn)品和服務(wù)之間、產(chǎn)品與產(chǎn)品之間以及特定版本之間的傳統(tǒng)區(qū)別變得復(fù)雜。因?yàn)榭梢詮母鞣N相互重疊的數(shù)據(jù)庫中提取信息并實(shí)現(xiàn)共享，機(jī)器人除了可以在物理領(lǐng)域之內(nèi)進(jìn)行交互以外，還可以在云端進(jìn)行交互。①在這種情況下，“云端”是指像互聯(lián)網(wǎng)這樣可以共享基礎(chǔ)設(shè)施、信息和應(yīng)用程序的網(wǎng)絡(luò)。在這種情況下，根據(jù)物理形態(tài)來劃分這些機(jī)器人可能沒有多大意義。以2013年的特斯拉工廠為例，它依靠共計160個機(jī)器人實(shí)現(xiàn)自動化生產(chǎn)。②Damon Lavrinc, “Peek Inside Tesla’s Robotic Factory”, Judgment of 16 July 2013, http://www.wired.com/2013/07/tesla-plantvideo.但這個數(shù)字意味著什么？為什么它不是1個或1000個？

其次，人類能力的增強(qiáng)和擴(kuò)展會使得人類與機(jī)器之間的界限變得模糊。而今天基于空間和時間所劃的界限將會變得不再清晰。特別是在時間緊迫的情況下，決策可以完全委托給自動化系統(tǒng)或由在自動化系統(tǒng)有效控制的情況下進(jìn)行，而且這種自動化系統(tǒng)可以基于已經(jīng)呈現(xiàn)的部分可用信息進(jìn)行決策。

再次，對產(chǎn)品整個生命周期的經(jīng)濟(jì)、環(huán)境和社會影響進(jìn)行綜合的跟蹤和分析，可能會引導(dǎo)人們?nèi)ソ沂臼挛锏谋举|(zhì)，無論最終所揭示的是真實(shí)的還是基于假設(shè)的，都與洛倫茲理論的“蝴蝶效應(yīng)”非常相似。③這并不是說這些啟示必然會使事物變得更清晰。See Peter Dizikes, The Meaning of the Butter fly, Boston Globe, June 8, 2008（“洛倫茲的工作就意味著我們分析和預(yù)測世界運(yùn)行的能力本質(zhì)上受到限制，而并非只要我們有足夠的信息，就可以實(shí)現(xiàn)對任何可能進(jìn)行預(yù)測的科學(xué)愿景”）。先前未被認(rèn)識到的因果關(guān)系可能會逐漸浮現(xiàn)，而設(shè)計人員和監(jiān)管機(jī)構(gòu)可能需要從一切事物都是相互連接的或是可以相互連接的這個假設(shè)入手。

三、語 言

在法律、技術(shù)和流行領(lǐng)域內(nèi)，一些關(guān)鍵術(shù)語使用的不一致會導(dǎo)致潛在且不必要的混淆。本節(jié)重點(diǎn)介紹了易混淆的幾個術(shù)語：控制、風(fēng)險、安全、合理性、效率和責(zé)任。

（一）控制

工程系統(tǒng)，可以指產(chǎn)品或服務(wù)，④ISO/IEC 15288 at 4.31 note 1（“系統(tǒng)可被視為產(chǎn)品或其提供的服務(wù)”）。通常是為了實(shí)現(xiàn)特定目標(biāo)而被設(shè)計的。⑤E.g., id.at 4.31（將“系統(tǒng)”定義為“為實(shí)現(xiàn)一個或多個既定目標(biāo)而將互相作用的要素組織在一起的組合”）；see also Luzeaux& Ruault 152（描述了類似的適用于人工系統(tǒng)而非自然系統(tǒng)的定義）。外部設(shè)計師的存在及外部目標(biāo)的設(shè)定這兩個限定條件對常規(guī)控制理論至關(guān)重要，而常規(guī)控制理論充分考慮了由主體作用于客體的“目標(biāo)導(dǎo)向行動”。⑥Zdzislaw Bubnicki, Modern Control Theory, Springer, 2005, pp.3.The subject isthe controller, and the object is the control plant.Id.成功的控制有以下要求：(1)一個目的或目標(biāo)；(2)一系列可供選擇要素的行為；(3)從（2）中選擇能夠?qū)崿F(xiàn)（1）中期望內(nèi)容的正確行為的方法。⑦Leigh 1–9.鑒于這一定義的寬泛性，當(dāng)相關(guān)的控制系統(tǒng)被明確定義時，我們就認(rèn)為控制理論是有效的；反之，當(dāng)相關(guān)控制系統(tǒng)的定義并不明確時，控制理論就可能會引起混淆。由于這些術(shù)語模糊而不是澄明該系統(tǒng)，那些隨意引用的針對人類的“在控制中”“在循環(huán)中”“失控”或“跳出循環(huán)”⑧考慮到它們早期與航空自動化的聯(lián)系，短語“處于知情狀態(tài)”和“脫離知情狀態(tài)”可能最初被稱為控制回路。See in the loop,OED.com.以及針對自動化系統(tǒng)的“處于控制之下”“在人為控制下”“在計算機(jī)控制下”或“失控”等用語就沒有了實(shí)際意義?；诩夹g(shù)的、法律和通俗的角度，可對此類短語進(jìn)行不同的詮釋。例如，對于自動駕駛汽車的“控制”而言，工程師可能會用傳感器和制動器描繪一個實(shí)時控制回路，律師可能會將人對機(jī)器進(jìn)行的廣泛授權(quán)想象類比為委托人與代理人的關(guān)系，而公眾可能會想象到失控的汽車和機(jī)器人殺手。對于把特定駕駛?cè)蝿?wù)委托給機(jī)動車輛的人類駕駛員是否依然“控制”該車輛這個重要的法律問題而言，上述內(nèi)涵可能會對應(yīng)著不同的答案。①Bryant Walker Smith, “Automated Vehicles Are Probably Legal in the United States”, Judgment of 1 Aug 2013, http://ssrn.com/abstract=2303904, at 4.4, 6.1.1, 6.2.2, 6.2.3.

此外，大多數(shù)自動控制系統(tǒng)從廣義而言，可以包含人類這一要素；從狹義而言，也可將人類這一要素排除在外。②See infra note 77.即使是完全自動駕駛汽車也可能仍然需要人類來選擇目的地，并指定駕駛的具體參數(shù)。③Cf.SAE J3016 at 4.4 (excluding “the selection of destinations and waypoints (i.e., navigation or route planning” from the “dynamic driving task”);Smith, supra note 21, at 4.4.4.事實(shí)上，ISO / IEC 15288明確指出：“人類既可以被視為系統(tǒng)外部的用戶，也可以被看作系統(tǒng)內(nèi)部的系統(tǒng)元素（即操作員）?！雹躀SO/IEC 15288 at 5.1.2在這里也是一樣的，針對系統(tǒng)的不同定義也會影響到法律層面的結(jié)論。SAE J3016并未試圖界定“控制”（以及特定的控制系統(tǒng)），而是盡量避開獨(dú)立使用這個術(shù)語。⑤它確實(shí)曾將“自適應(yīng)巡航控制”設(shè)定為一種藝術(shù)術(shù)語，但遺憾的是，它又曾將其定義為“轉(zhuǎn)向控制系統(tǒng)的釋放”。SAE J3016 at 10.相反，對于每個級別的自動駕駛車輛，它明確了是由“人類駕駛員”還是由“自動駕駛系統(tǒng)”執(zhí)行“動態(tài)駕駛?cè)蝿?wù)”⑥Id.at 2.。相比之下，NHTSA的初步聲明在5個段落中使用了28次“控制”來描述其自動化等級⑦Preliminary Statement at 4–5.，例如，組合功能自動化。涉及至少兩個主要控制功能的自動化，旨在協(xié)調(diào)工作以減輕駕駛員對這些功能的控制。當(dāng)駕駛員在某些有限駕駛情況下讓渡主控權(quán)時，處于這種自動化水平的車輛可以利用共享權(quán)限進(jìn)行控制。司機(jī)仍然負(fù)責(zé)監(jiān)控道路和安全操作，并預(yù)計隨時可以在短時間內(nèi)接管控制。這樣的自動化系統(tǒng)可以自行讓渡控制權(quán)而無需提前警示，駕駛員必須隨時準(zhǔn)備好安全地接管控制車輛。⑧Id.at 4 (emphasis added).最終，“控制”更多地被用于一個結(jié)構(gòu)體而不是作為單獨(dú)的術(shù)語。那些研發(fā)系統(tǒng)的人應(yīng)當(dāng)首先描述他們想要的控制系統(tǒng)：由人類設(shè)計者決定的，以及人類授權(quán)或計算機(jī)代理人無權(quán)決定的目標(biāo)、輸入、過程和輸出。

（二）風(fēng)險

特定損害的風(fēng)險是由損害發(fā)生的可能性和損害的嚴(yán)重程度共同決定的產(chǎn)物；作為或不作為的風(fēng)險則是特定相關(guān)損害風(fēng)險的總和。就像一張彩票不太可能產(chǎn)生高回報，也不太可能產(chǎn)生低回報一樣，單個活動的死亡風(fēng)險可能較低，但非致命傷害的風(fēng)險較高。這種對風(fēng)險總體概念的假設(shè)比實(shí)際表達(dá)的要多得多。例如，ISO 26262將風(fēng)險僅定義為“損害發(fā)生的組合……以及該等損害的嚴(yán)重性”⑨ISO 26262–1 at 1.99.。《侵權(quán)法重述（第三版）》描述了“對人的行為會造成損害的可預(yù)見性”以及“可能發(fā)生的任何損害嚴(yán)重程度的可預(yù)見性”⑩Restatement (Third) of Torts: Liab.for Physical and Emotional Harm ?ò 3 (2010).這與法官學(xué)者著名的等式中的PL（或損害發(fā)生的概率乘以損害的嚴(yán)重程度）相對應(yīng)，see, e.g., United States v.Carroll Towing, 159 F.2d 169, 173 (2d Cir.1947).，不同的領(lǐng)域關(guān)注不同的損害。ISO 26262把損害定義為“人身傷害或?qū)θ松斫】档膿p害”。①ISO 26262–1 at 1.56; see also ISO 26262–3 at B.2.2（解釋了只考慮對人體造成傷害的縮寫傷害量表（AIS））。侵權(quán)法認(rèn)可的損害類別更廣泛②例如，這即可能包括對財產(chǎn)權(quán)和名譽(yù)權(quán)的侵犯，也可能包括人身傷害。，盡管不一致③See, e.g., supra note 10（討論因情緒困擾所導(dǎo)致的疏忽過失）。，但行政規(guī)章甚至可能定義更多的損害。④Curtis W.Copeland, Cost-Bene fit and Other Analysis Requirements in the Rulemaking Process, Congressional Research Service(Aug.30, 2011) at 2–15（調(diào)查執(zhí)行和國會對于成本收益和成本效益分析的要求）; Executive Order 12866, Regulatory Planning and Review, 58 F.R.51735 (Oct.4, 1993)（“成本和收益應(yīng)理解為既包括可量化的措施（最大程度上可對這些措施進(jìn)行有效估計），也包括雖難以量化但卻必須考慮的成本和收益的定性測量”）。雖然公司風(fēng)險管理也可能包含各種各樣的損害，但它著重于損害發(fā)生或被指控時對公司造成的財務(wù)和商譽(yù)風(fēng)險。對制造了主要風(fēng)險的行為者而言，這種次要風(fēng)險一定不能與主要風(fēng)險本身相混淆。這兩者確實(shí)屬于相同的風(fēng)險系統(tǒng)：次要風(fēng)險可以通過阻止合理的行為來增加主要風(fēng)險，或者通過阻止不良行為來減少風(fēng)險。盡管如此，給生命或肢體帶來損害的特定風(fēng)險不能被“轉(zhuǎn)移”給另一方，也不能通過授予侵權(quán)豁免權(quán)來“減少”。

（三）安全、合理性和效率

安全可以被定義為保護(hù)并免受人身傷害。然而，在沒有更多信息的情況下，聲稱產(chǎn)品安全（有保障的或隱私得到保護(hù)的）是沒有意義的，無論是夸張的、實(shí)證的還是絕對的，都可被實(shí)際發(fā)生的損害所反駁。合理性通常規(guī)定了所需的條件：ISO 26262將安全定義為“不存在不合理的風(fēng)險”⑤ISO 26262–1 at 1.102.，《侵權(quán)法重述（第三版）：產(chǎn)品責(zé)任》也指出：“產(chǎn)品本身存在設(shè)計缺陷，或出售時未予以充分警示或說明……都是不安全的?！雹轗estatement (Third) of Torts: Prod.Liab.§ 2 cmt.a (1998).這兩種語言學(xué)方法之間存在細(xì)微差別：雖然ISO 26262試圖將合理性融入“安全”一詞，但重述卻隱含地讓讀者在每一種“合理安全”的實(shí)例中思考合理性的含義。

然而，工程界和法律界都在努力界定合理性。ISO 26262指出，“不合理的風(fēng)險”是“根據(jù)有效的社會道德觀念在特定情況下判斷為不可接受的風(fēng)險”，但拒絕指定這些概念是什么或應(yīng)該由誰來判定。⑦ISO 26262–1 at 1.129; see also id.at 1.93（將“合理可預(yù)見的事件”定義為“技術(shù)上可行并且具有可信或可測量的事件發(fā)生率的事件”）。法律學(xué)者曾經(jīng)激烈討論這些問題，但未達(dá)成一致意見。⑧See generally Alan D.Miller & Ronen Perry, The Reasonable Person, 87 N.Y.U.L.Rev.323 (2012)（描述規(guī)范概念和批評積極概念）。以產(chǎn)品責(zé)任為例，在檢測產(chǎn)品是否存在設(shè)計缺陷時，至少存在兩個測試方面的爭論⑨See Mark A.Geistfeld, The Value of Consumer Choice in Products Liability, 74 Brook.L.Rev.781, 788–91 (2009)（協(xié)調(diào)這兩個測試）。：一個是明確使用成本收益分析，另一個是考慮消費(fèi)者的安全期望。⑩David G.Owen, Products Liability Law, 3rd ed., §§ 8.3–8.4.

（四）責(zé)任

責(zé)任可以用于法律、技術(shù)或道德層面。例如，NHTSA在初步聲明中所提的建議——人類駕駛員在前兩個自動化級別中“只負(fù)責(zé)安全操作”?Preliminary Statement at 4.，很可能意在描述駕駛員的技術(shù)角色，而不是在確定地分配法律責(zé)任。相比之下，SAE J3016通過說明表現(xiàn)而不是責(zé)任來避免在這些領(lǐng)域可能出現(xiàn)的混淆。?See SAE J3016 at 2.即使在法律領(lǐng)域內(nèi)，責(zé)任也需要慎重定義。這個概念既包括義務(wù)也包括責(zé)任：例如，一個人類司機(jī)在法律上需要謹(jǐn)慎駕駛，如果魯莽駕駛（在某些情況下即使未造成損害）也可能要承擔(dān)刑事責(zé)任；如果造成損害（在某些情況下，即使其行為合理）則可能要承擔(dān)民事責(zé)任。同樣，法律要求汽車制造商證明其銷售的車輛符合某些安全標(biāo)準(zhǔn)①49 U.S.C.30115.，如果不符合認(rèn)證要求②49 U.S.C.30165.則可能會受到民事罰款，甚至即使符合認(rèn)證要求也可能要承擔(dān)民事責(zé)任。③See, e.g., Williamson v.Mazda Motor of America, Inc., 131 S.Ct.1131(2011).

關(guān)于自動駕駛汽車，筆者經(jīng)常被問到的法律問題是在發(fā)生碰撞時“誰來承擔(dān)責(zé)任”，并且通常伴隨著二元選擇：司機(jī)或制造商。然而責(zé)任并不是一個二元選擇或者一元命題：根據(jù)事實(shí)和管轄權(quán)的不同，車主、司機(jī)、銷售商、制造商以及上游零件和服務(wù)提供商都可能負(fù)有民事責(zé)任，并且在某些情況下甚至承擔(dān)刑事責(zé)任。司機(jī)可能未能正確監(jiān)控車輛（車主也可能負(fù)有責(zé)任），制造商可能未能妥善防范這種濫用（銷售商也可能承擔(dān)責(zé)任），而其他公司可能提供了帶有缺陷的零部件或不正確的數(shù)據(jù)；任何或所有這些行為都可能導(dǎo)致所謂的損害。以上從控制開始，并以責(zé)任收尾。機(jī)器人日益增長的自主性將更加需要闡明這兩個概念在技術(shù)、法律和道德領(lǐng)域內(nèi)及相互之間的原則性關(guān)系。闡明這種關(guān)系的一個關(guān)鍵是“使用”的概念④有關(guān)這種法律關(guān)系的更多信息，see Bryant Walker Smith, Proximity-Driven Liability, 102 Geo.L.J.1777 (2014), available at http://ssrn.com/abstract=2336234.，本文接下來將對其進(jìn)行說明。

四、使 用

工程系統(tǒng)是被實(shí)際使用的。這種實(shí)際使用（包括誤用和濫用）既可能是也可能并未按照其預(yù)期用途、合法用途，甚至合理用途而使用的。預(yù)期用途是產(chǎn)品上市銷售（而非僅僅是設(shè)計）的用途，合法用途是法律未禁止的一種用途（即使會引起民事責(zé)任），合理用途是指產(chǎn)品的社會成本不超過社會效益的用途（與上述討論一致）。實(shí)際用途、預(yù)期用途、合法用途和合理用途之間的緊張關(guān)系說明了特定的結(jié)構(gòu)性失敗。合法用途與合理用途之間的不一致意味著我們所制定的法律要么過于寬松，要么過于嚴(yán)格。合理用途與預(yù)期用途之間的不一致表明該產(chǎn)品按預(yù)期用途使用時絕對不安全。預(yù)期用途與實(shí)際用途之間的不一致表明可能存在設(shè)計或預(yù)警方面的缺陷。預(yù)期用途與實(shí)際用途之間的不一致表明用戶可能要么不知情要么未合理使用。實(shí)際用途與合法用途之間的不一致表明法律執(zhí)行不力或已過時。合法用途與預(yù)期用途之間的不匹配表明產(chǎn)品不符合法律要求。⑤George A.Nation, III, Products Designed for Illegal Use – A Proposed Rule for Product Suppliers Who Pro fit from Illegal Activity,91 Dick.L.Rev.657, 660 (1987); see also George A.Nation, III, Respondeat Manufacturer: Imposing Vicarious Liability on Manufacturers of Criminal Products, 60 Baylor L.Rev.155(2008).舉例而言，禁止開車時發(fā)短信這一限制可以解釋這些失敗的多數(shù)情形：駕駛員在開車時發(fā)短信的行為是非法并且危險的，但這種行為并不罕見⑥See Joseph B.Bayer & Scott W.Campbell, Texting while Driving on Automatic: Considering the Frequency-Independent Side of Habit, 28 Computers in Human Behavior 2083–90 (Nov.2012), available at：http://www.sciencedirect.com/science/article/pii/S0747563212001628.，而且實(shí)踐中違反這一規(guī)定的行為的確可能會降低道路的安全性。⑦See, Texting Laws and Collision Claim Frequencies, Highway Loss Data Institute Bulletin vol.27, no.11 (Sept.2010), archived at https://web.archive.org/web/20130811204424.一個尚未解決的問題是，產(chǎn)品設(shè)計應(yīng)該試圖將產(chǎn)品實(shí)際用途的邊界在何種程度上限定在合法用途、合理用途及預(yù)期用途范圍之內(nèi)。車輛上的調(diào)速器和酒測器，槍械上的扳機(jī)開關(guān)以及互聯(lián)網(wǎng)上出現(xiàn)的許多問題都與此相關(guān)。制造商對產(chǎn)品監(jiān)控能力和更新能力的不斷提升，可能會擴(kuò)大他們促使這些產(chǎn)品被合理使用的義務(wù)。①Bryant Walker Smith, Proximity-Driven Liability, 102 Geo.L.J.1777 (2014), available at http://ssrn.com/abstract=2336234.事實(shí)上，設(shè)計中的安全性、防護(hù)性、隱私性，可持續(xù)性或其他價值——表明產(chǎn)品必須圍繞其整個生命周期進(jìn)行設(shè)計。雖然在技術(shù)層面和合同層面的用途限制可能會提高產(chǎn)品的安全性，但它們也可能會使現(xiàn)有的法律趨于僵化、招致干預(yù)，并排除一些合理、合法的使用用途。車速為這4個要素之間及其內(nèi)部的復(fù)雜交互作用提供了一個更加廣泛的例子。

（一）合法速度

在法律規(guī)定中，速度限制有多種出處②See Allen M.Brabender, The Misapplication of Minnesota’s Speeding Statuteand the Need to Raise the Posted Limit or Expand Use of the Dimler Amendment,27 Hamline L.Rev.1 (2004).：(1)法定速度：許多州的汽車代碼規(guī)定了特定級別道路的最高速度，例如州際公路、農(nóng)村雙車道公路和城市街道。(2)標(biāo)示的監(jiān)管速度：道路的標(biāo)示速度可能低于其法定速度。州或地方維護(hù)部門通常會參考道路的運(yùn)行速度設(shè)置這樣的限制。(3)標(biāo)示的建議速度：在某些路段上，維護(hù)部門的建議速度可能會低于標(biāo)示的速度。這種建議速度大多是依據(jù)有關(guān)基本速度的法律來間接實(shí)施的。(4)基本速度：大多數(shù)州普遍采用的“基本速度法”要求司機(jī)保持合理和謹(jǐn)慎的速度。例如，如果能見度較差，以低于標(biāo)示速度駕駛的行為可能并不見得會違反這一要求。③Smith, supra note 21, at 6.3.3.(5)即使這些限制也不是絕對的。應(yīng)急車輛④See, e.g., The Operation of Emergency Medical Services Vehicles, Bureauof EMS Policy Statement 00–13, N.Y.Dept.of Health(Nov.1, 2000), available at http://www.health.ny.gov/professionals/ems/policy/00-13.htm.可能被明確授權(quán)可以超過法定速度駕駛，并且在少數(shù)州中，超車時也允許超過法定速度。⑤See State Traf fic and Speed Laws, http://www.mit.edu/～jfc/laws.html#tolerance (referencing state laws).更模糊的是，特定的緊急情況可能會使得違法行為合法化。⑥See Doug Ireland, “NH Dad Not Guilty of Speeding to Hospital”, Judgment of 5 April 2011, http://www.eagletribune.com/latestnews/x598328940/NH-dad-not-guilty-of-speeding-to-hospital.此外，部分州排除了因記錄的速度接近標(biāo)示速度而導(dǎo)致的超速定罪。⑦See, e.g., 75 Pa.Cons.Stat.3368, Speed timing devices (2010); cf.66 F.R.29861,宣告了自由形成的合作協(xié)議可以作為設(shè)定并執(zhí)行合理限速的范例和評估依據(jù)，Appendix C – Guidelines for Enforcement of Safe and Rational Speed Limits(June 1, 2001), available at http://www.gpo.gov/fdsys/pkg/FR-2001-06-01/html/01-13721.htm.

（二）實(shí)際速度

歷史上，交通工程師在確定道路的合適速度時，將實(shí)際的交通速度作為一種間接方法⑧Eric.T.Donnell et al., Speed Concepts: Informational Guide, FHWA-SA-10–001 (Sept.2009), available at http://safety.fhwa.dot.gov/speedmgt/ref_mats/fhwasa10001 （“85%位車速被廣泛用于交通工程和安全領(lǐng)域。由于大多數(shù)駕駛員的駕駛行為被認(rèn)為是合理的并應(yīng)該被采納的，所以需要對駕駛員群體中這一部分的一些數(shù)值進(jìn)行定義。隨著時間的推移，85%位車速的司機(jī)（或速度）已被用來描繪合理和審慎的行為”）。。其中主要的度量依據(jù)為85%位車速，所謂的85%位車速是指85%的通行車輛在正常行駛時都不會超過該速度。標(biāo)示的限速速度一般都會設(shè)置在這一點(diǎn)附近（前提是它不超過法定限速），這在某種意義上意味著正好有15%的駕駛員超速行駛。然而，這種方法至少有兩個重大缺陷。首先，通過司機(jī)的集體行為進(jìn)行判斷可能會使其他使用或受道路影響的人被邊緣化，特別是行人、騎車者和臨街居民。其次，這種判斷始終低估了某些特定風(fēng)險。⑨See, e.g., Ian P.Albery & Andrew Guppy, Drivers’ Differential Perceptionsof Legal and Safe Driving Consumption, 90 Addiction 245 (1995).

（三） 合理速度

一個個體的最佳出行速度可以反映出他與時間、燃料、潛在的民事和刑事責(zé)任以及潛在的人身傷害有關(guān)的出行邊際成本①See Bryant Walker Smith, Managing Autonomous Transportation Demand,52 Santa Clara L.Rev.1401, 1414 (2012), available at http://ssrn.com/abstract=2303907.，這個速度可能不同于社會的最佳速度，但這也會對自然和人類環(huán)境、健康和安全、道路容量和公共資源造成影響。例如，國會在1974年間接強(qiáng)制規(guī)定了國家最高限速，當(dāng)時主要是為了減少能源消耗，由于其在安全（撞毀）方面的有益影響，這一最高限速后來保留了超過20年的時間。②Kara Kockelman, Safety Impacts and Other Implications of Raised SpeedLimits on High-Speed Roads (March 2006), http://onlinepubs.trb.org/onlinepubs/nchrp/nchrp_w90.pdf.安全本身的定義存在廣義和狹義之分。機(jī)動車輛排放直接危害人類健康：一項(xiàng)研究估計，僅在美國，這些排放每年就會造成大約58,000人死亡。然而在通常情況下，機(jī)動車輛的安全性“只是”考慮撞車事故，在美國每年因撞車造成超過30,000人死亡，超過200萬受傷。

車速可能會增加車輛碰撞的概率和嚴(yán)重程度。例如，行人被以20英里/小時的速度行駛的車輛撞擊一般不會死亡，而行人被以40英里/小時行駛的車輛撞擊則很可能死亡；車速每增加1%就會導(dǎo)致致命事故增加約4%。

在此期間，風(fēng)險容忍度也有所下降。據(jù)NHTSA估計，1973年每個的生命價值為100萬美元，2005年為400萬美元，到了2010年為600萬美元（已根據(jù)通貨膨脹進(jìn)行了調(diào)整）。③See Binyamin Appelbaum, As U.S.Agencies Put More Value on a Life, Businesses Fret, N.Y.Times (Feb.16, 2011), available at http://www.nytimes.com/2011/02/17/business/economy/17regulation.html; Gary T.Schwartz, The Myth of the Ford Pinto Case, 43 Rutgers L.Rev.1013, 1022–23 (1991)（注意1973年的數(shù)字，當(dāng)時的20萬美元放到今天的價值約為100萬美元）。這種持續(xù)上漲表明，人們被聯(lián)邦政府或他們自己低估了——今天情況可能仍然如此。

（四）設(shè)計速度

交通工程師經(jīng)常使用特定的“設(shè)計速度”來確定道路的最小幾何要求，包括道路的轉(zhuǎn)彎速度以及駕駛員必須的可視距離。直到最近，國家交通部門才開始將設(shè)計速度與安全速度的概念分開。④See Kay Fitzpatrick et al., Design Speed, Operating Speed, and Posted Speed Practices, NCHRP Report 504 (2003) at 7–8,available athttp://onlinepubs.trb.org/onlinepubs/nchrp/nchrp rpt 504.pdf.設(shè)計速度通常超過標(biāo)示速度（無論是監(jiān)管速度還是建議速度），設(shè)計速度本身包含關(guān)于環(huán)境條件和車輛性能的無數(shù)假設(shè)：例如，在濕滑路面上行駛的卡車與在干燥路面上行駛的跑車的操控是不一樣的。此外，至少在現(xiàn)代交通減速措施之前，設(shè)計速度僅是基礎(chǔ)速度而非最高速度：為了與在設(shè)計速度下的駕駛行為相適應(yīng)，道路的水平曲線可能被加寬或傾斜，但是卻不會引入外來的曲線來阻止產(chǎn)生更高的速度。正如一個州的交通部門指出的那樣，這可能會在一條平直的道路上產(chǎn)生“無限的設(shè)計速度”⑤State of New Jersey Department of Transportation Roadway Design Manual,http://www.state.nj.us/transportation/eng/documents/RDM.。這樣的速度將難以超越。

簡而言之，法定速度會影響設(shè)計速度，設(shè)計速度會影響合理速度，合理速度會影響實(shí)際速度，實(shí)際速度又會影響法定速度，法定速度會影響實(shí)際速度，實(shí)際速度會影響合理速度。這三個概念是互相獨(dú)立并且動態(tài)的，我們不可能設(shè)計出一條既滿足所有這些概念而不會扭曲任何一個概念的道路。自動化系統(tǒng)面臨類似的困境，其中部分原因是它們?nèi)圆糠忠蕾囉谌说呐袛嗷驁?zhí)行。下一節(jié)將闡述這一點(diǎn)。

五、使用者

ISO 26262說明了當(dāng)今與安全有關(guān)的電氣和電子系統(tǒng)中人與機(jī)器之間的相互作用。一些屬于此范圍內(nèi)的主動安全技術(shù)，如防抱死制動系統(tǒng)和電子穩(wěn)定控制系統(tǒng)，旨在彌補(bǔ)駕駛員的弱點(diǎn)。相反，這些技術(shù)所需的完整性水平部分取決于駕駛員檢測故障的能力以及避免因故障造成特定危害的能力①See ISO 26262–3 7.4.3.7 note 2; id.at annex B.。這樣，安全技術(shù)和駕駛員都是更大的安全系統(tǒng)的一部分。

自動化的不斷增強(qiáng)實(shí)際上放大了這種人機(jī)關(guān)系的復(fù)雜性。表1總結(jié)了SAE J3016中對自動駕駛汽車的自動化程度分級，揭示了其中的一些復(fù)雜性。駕駛是一項(xiàng)由“駕駛員”和“車輛自動駕駛系統(tǒng)”共同、連續(xù)或同時執(zhí)行的任務(wù)。其中的4個關(guān)鍵變量是：（1）是由人類駕駛員還是自動駕駛系統(tǒng)完成轉(zhuǎn)向、加速和減速②這是唯一的非二進(jìn)制變量：在“駕駛輔助”級別，人類和自動駕駛系統(tǒng)共享這些功能。；（2）是由人類駕駛員還是由自動駕駛系統(tǒng)監(jiān)測駕駛和交通環(huán)境；（3）在使用自動駕駛系統(tǒng)時人類駕駛員是否必須待命——這取決于在沒有人工輸入干預(yù)的情況下該系統(tǒng)是否能自行恢復(fù)到“最小風(fēng)險狀態(tài)”；（4）自動駕駛系統(tǒng)能夠在所有行駛環(huán)境中起作用，還是僅能在特定駕駛工況中起作用③該變量并沒有完美地將多維分類映射到單軸上。。

對于這4個變量，我希望補(bǔ)充一點(diǎn)：對轉(zhuǎn)向、加速和減速的最終控制權(quán)限由人類駕駛員還是由自動駕駛系統(tǒng)來決定。這種權(quán)限可能是即時的（允許瞬間切換）、延遲的（需要一些轉(zhuǎn)換）或以其他方式進(jìn)行調(diào)節(jié)。這可能在很多情況下都非常重要，包括在自動駕駛系統(tǒng)響應(yīng)速度快于人類④例如，自動緊急干預(yù)系統(tǒng)（AEIS）可能會采取制動或轉(zhuǎn)向操作以避免即將發(fā)生的碰撞。的情況下，自動駕駛系統(tǒng)與其他系統(tǒng)的協(xié)同工作⑤例如，長長的車輛隊列和自動化的十字路口可能需要這種積極的協(xié)同工作。，以及當(dāng)人類發(fā)出的轉(zhuǎn)向、加速、減速指令與自動駕駛系統(tǒng)感知到的環(huán)境限制不一致時進(jìn)行權(quán)衡。⑥例如，如果AEIS采取剎車或轉(zhuǎn)向操作，則人類駕駛員可能試圖加速或抗拒這種轉(zhuǎn)向。國際自動機(jī)工程師學(xué)會對權(quán)限進(jìn)行了詳細(xì)討論，但長遠(yuǎn)而言一致認(rèn)為它超出了其最初分類的范圍。⑦對于AEIS的運(yùn)行來說，由于它們要處理危急情況，因此權(quán)限尤其重要。雖然SAE J3016有針對性地將這些系統(tǒng)排除在其范圍之外，但它的分類標(biāo)準(zhǔn)仍然可以提供相關(guān)信息。例如，同樣的AEIS水平可能會劃分為：警告（等級0），制動或服務(wù)（等級1），瞬間制動和轉(zhuǎn)向（等級2），更長的制動和服務(wù)（等級3），停在路肩（等級4），直接駕車去醫(yī)院（5級）。

在部分自動駕駛（等級2）中，由人類駕駛員監(jiān)控駕駛狀態(tài)和交通環(huán)境，并僅在必要時進(jìn)行轉(zhuǎn)向、加速和減速操作。在這一范疇中，合理的和合法的人類行為在很大程度上是相同的；只有紐約明確要求駕駛員需始終至少將一只手放在方向盤上。更為緊迫的問題是，以下這種合法并且明顯合理的行為是否實(shí)際可行：一個向車輛提供輸入信息并不積極的人是否愿意或能夠保持假定的警戒水平？在有條件的自動駕駛（等級3）中，由車輛自動駕駛系統(tǒng)監(jiān)視駕駛狀態(tài)和交通環(huán)境，人類駕駛員僅在車輛自動駕駛系統(tǒng)提前提示時進(jìn)行轉(zhuǎn)向、加速和減速操作。在這個范疇內(nèi)，可以說，合理的和合法的人類行為仍然在很大程度上是相同的；雖然許多州要求適當(dāng)注意并禁止分心駕駛，但這些規(guī)定中的大多數(shù)都明示或暗示駕駛員只有在從事不合理行為時才會分心。同樣，這里比較緊迫的問題是以下這種行為是否在實(shí)際中可以實(shí)現(xiàn)的：一個甚至沒有監(jiān)測道路的人是否愿意保持在最佳的駕駛位置并能夠保持清醒？在實(shí)際需要時，她是否有意愿、有能力獲得并保持必需的駕駛技能以便安全地操縱車輛？此外，當(dāng)她的車輛遇到特殊路況或交通狀況時，她是否愿意遵守自動駕駛系統(tǒng)的回應(yīng)？

表1 道路自動駕駛系統(tǒng)的自動化分級總結(jié)① Bryant Walker Smith, “SAE Levels of Driving Automation”, Judgment of 18 December 2013, http://cyberlaw.stanford.edu/loda.

這些問題暗示了安全理念以及其背后的或與之相抵觸的價值觀念。正如關(guān)于出行速度的討論所表明的那樣，從技術(shù)角度而言對安全性并不存在統(tǒng)一的理解，更遑論法律層面。事實(shí)上，安全評估必然涉及對規(guī)模、時間線和因果關(guān)系的假設(shè)——這是與系統(tǒng)邊界有關(guān)的典型問題。例如，思考一下人與車的組合必須是多么“安全”。一個可能的答案是它必須至少表現(xiàn)的像一個專家般的人類駕駛員那樣熟悉任何一個操作行為或場景。然而，這樣一個嚴(yán)格的標(biāo)準(zhǔn)可能意味著自動駕駛技術(shù)需要以更高昂的成本、更緩慢的速度才能進(jìn)入市場，而喪失了它們原本可以挽救生命的機(jī)會。戲劇化的是：這是永遠(yuǎn)存在的悲劇現(xiàn)狀。

另一個層面的答案可能是，從寬泛的統(tǒng)計意義上來說，人與車的組合必須比今天的汽車和司機(jī)更安全。根據(jù)2009年的粗略估計，一輛汽車大約每160,000英里就會遇到一次車禍，大約每65,000,000英里就會發(fā)生一次致命事故。①Bryant Walker Smith, “Driving at Perfection”, Judgment of 11 March 2012, http://cyberlaw.stanford.edu/blog/2012/03/drivingperfection.如果自動駕駛汽車可以簡單擊敗這些數(shù)字，那么從廣義上而言代表安全性得到了提高。然而，雖然由于涉及此類車輛的碰撞可能與僅涉及更傳統(tǒng)車輛的碰撞不同，但是這種邏輯推論的結(jié)果可能明確了當(dāng)年這些由人類駕駛汽車導(dǎo)致的死亡事故原先是可以避免的。戲劇化的是：可能會出現(xiàn)頭條新聞宣稱“機(jī)器殺死孩子”、破壞性訴訟，以及技術(shù)可信度遭到長期貶損。

與合理安全問題有關(guān)的是人類用戶的角色?？梢韵胂?，自動駕駛車輛可能不需要實(shí)時的人員監(jiān)控就可以滿足特定的安全閥值。但是，如果這種人為監(jiān)管進(jìn)一步增加了系統(tǒng)的整體安全性呢？或者，如果偶爾的人為干預(yù)是為了防止造成他人碰撞而造成撞車事故呢？刻意削弱人類的控制權(quán)——一個被SAE J3016所排除的變量——可能會導(dǎo)致實(shí)際用途偏離合法用途，即使它更接近實(shí)際與合理用途。

假設(shè)人類在某些情況下可能仍然需要操縱他們的車輛，特別是緊急情況和異常情況下，駕駛技能的退化或未能獲得關(guān)鍵駕駛技能將會成為一個問題。然而不清楚的是，這種擔(dān)憂會如何影響安全評估。美國聯(lián)邦航空管理局（FAA）最近發(fā)布的一項(xiàng)安全警告提出了下述觀點(diǎn)：盡管承認(rèn)自動飛行系統(tǒng)“提高了安全性”，但備忘錄仍然呼吁航空公司確保有足夠的機(jī)會進(jìn)行“手動飛行”，以防止“飛行員將飛機(jī)從意外狀態(tài)中快速恢復(fù)的能力下降”②Federal Aviation Administration, Safety Alert for Operators, SAFO 13002(Jan.4, 2013), http://www.faa.gov/other visit/aviation industry/airline operators/airline safety/safo/all safos/media/2013/SAFO13002.pdf.——例如，這一能力的下降是2009年法航航班③See Flight AF 447 on 1st June 2009, Final Report, available at http://www.bea.aero/en/enquetes/ flight.af.447/rapport.final.en.php.墜毀事件的成因之一。但是，雖然航空公司的乘客可能理解實(shí)踐操作的必要性，但他們可能不會希望自己乘坐的航班去那樣操作。

人機(jī)工程的學(xué)者早已認(rèn)識到，在人機(jī)系統(tǒng)中限制人的角色并不一定會使該系統(tǒng)不易受人為失敗的影響。④Lisanne Bainbridge, Ironies of Automation, 19 Automatica 775, 775 (1983).http://www.ise.ncsu.edu/nsf itr/794B/papers/Bainbridge 1983 Automatica.pdf.這種“殘酷的自動化⑤Id.”也存在于侵權(quán)法中：因自動駕駛車輛和其他機(jī)器人所導(dǎo)致的損害至少部分是由使用或遇到這些機(jī)器的人的自身行為而造成的。打個混合隱喻，人在循環(huán)鏈條中可能是最薄弱的環(huán)節(jié)。出于這個原因，自動化系統(tǒng)的研發(fā)人員必須至少像了解機(jī)器性能那樣理解人類行為。

六、結(jié) 論

本文介紹的系統(tǒng)分析揭示了研發(fā)人員和監(jiān)管機(jī)構(gòu)在日趨自動化的道路上所面臨的概念、語言及實(shí)踐上的困難。這些自動化系統(tǒng)的安全性將由其設(shè)計和使用共同決定，而我們最好能將在設(shè)計或使用中關(guān)仍起關(guān)鍵作用的人類理解為系統(tǒng)本身的一部分。明確地定義這些系統(tǒng)反過來需要在技術(shù)和法律領(lǐng)域之間進(jìn)行深思熟慮的對話：律師和工程師可以也應(yīng)該使用相同的機(jī)器人語言。