审计行业积极推动审计数智化转型,将以数字化和智能化为特征的人工智能系统应用于审计活动。
人工智能系统的复杂性、自主性和不透明性,可能使现行审计侵权责任制度面临责任主体界定、归责原则适用以及过失认定三方面的困境。破解困境的逻辑起点应是明确人工智能系统的法律客体地位,在对人工智能系统审计造成损害进行归责时,将侵权责任压实至会计师事务所,并沿用过错推定原则以减轻受损投资者的举证负担。数智审计新形势下,对审计人员的过失判断标准应有所变革,适度提升其注意义务标准,以与审计准则预期变动相协调,以审计人员所能提供的仍是一种合理保证为前提,构建以整体审计人员共有的一般理性为基准的新判定标准。
目 次:
一、数智审计的技术逻辑
二、数智审计法律责任的适用困境
三、数智审计法律责任困境的理论纾解
结语
伴随数智技术的快速发展,数智技术渗透至经济社会各领域。审计行业天然立业于数据分析,也必将接受数智化转型的全新挑战。现有数智技术的法律研究,可基本划分为横向视域研究及纵向视域研究。从横向视域研究来看,部分学者重点研究人工智能(Artificial Intelligence,简称AI)系统的法律地位、数智社会的法治对策等课题。从纵向视域研究来看,学界根据AI技术在不同领域的实践应用,围绕医疗损害、交通事故、知识产权、信息安全、产品责任等法律问题进行研究。学界对数智审计的研究多聚焦于数智审计基础理论及实践应用,尚未延伸至数智审计可能产生的法律问题。
审计是国家治理体系中的重要监督力量,科学构筑数智化转型中的审计法律责任制度尤显重要。传统审计法律责任主要产生于证券市场虚假陈述情形中,审计人员因其在执业过程中存在虚假陈述行为而承担侵权责任,而审计数智化转型可能会给我国审计法律责任制度带来新问题。现行证券市场虚假陈述侵权责任的责任主体可大致划分为三类:一是被审计单位,二是被审计单位的供应商及客户,三是被审计单位的中介机构。前述责任主体范围的界分未将审计数智化转型的新形势纳入考量,未明确规定审计人员应用数智技术而发生审计失败时,数智技术的相关责任方是否也应被纳入责任主体范围。此外,现行审计法律责任的构成要件中,对审计人员的过错、违法行为、损害事实与违法行为之间的因果关系三个要件的判定规则,是以传统审计为事实基础进行构建的,而在数智审计的语境下,前述三个要件的内涵及判断规则将可能或有必要随着数智技术应用而发生变革。
在审计数智化转型的新形势下,本文将对数智审计给现行审计法律责任制度带来的潜在问题进行研判,针对数智审计造成投资者合法权益受损的情形,分别对证券市场虚假陈述侵权责任的责任主体界定、归责原则适用以及过失认定三方面的适用困境进行初步探究,并尝试为数智审计法律责任制度的发展完善提供理论纾解方案。
一、数智审计的技术逻辑
传统审计是审计人员客观评价与经济活动和经济事项认定有关的证据,以确认这些认定与既定标准之间的符合程度,并把结果传递给使用者的过程。审计抽样是一种传统审计方法,由审计人员在具有审计相关性的总体中,对低于100%的项目实施审计程序,使所有抽样单元都有被抽取的机会,由此为审计人员针对整个总体得出结论提供合理基础。由于传统审计并非一门精算科学,只要采用审计抽样方法,就存在抽样风险,而抽样风险决定了审计人员对审计结论仅能提供合理保证,而非绝对保证。这是审计结论仅具有相对真实性的根本原因。
传统审计行业正在经历的技术革命,可能需要重新定义审计的含义及其所涉及的内容。数智审计技术的突出特点是,抛却传统审计抽样方法,利用大数据、云计算、区块链等新技术,搜集和分析被审计单位所有数据的总体。处于不同发展阶段的数智审计技术,不仅颠覆传统审计技术及方法,更对审计目标、审计职能、审计模式、审计内容、审计程序等多方面产生深刻影响。在数字经济发展时代,立法应保持适度前瞻性,紧扣数智审计技术的新特征,完善我国审计法律责任制度。在开展深入研究之前,有必要首先厘清数智审计的基础技术逻辑。
(一)数智审计的关键技术
1.人工智能
尽管对AI的概念界定尚未统一,但科学界对人工智能学科的基本思想和基本内容达成的共识是,研究人类智能活动的规律,从而让机器来模拟,使其拥有学习能力,甚至能够像人类一样去思考、工作。AI审计是AI技术在审计领域的延伸应用。AI审计将基于机器的方法用于表述、构建和模拟数据(包括大量非结构化数据),从而使审计有更准确的预测和推理。AI审计的技术逻辑是AI在审计程序中自主提取数据,其用于提取数据的隐藏层数量超过100余层,并且AI可以学习审计人员的思维模式,审计人员通常无需对其进行设置。对比分析AI审计与现有数据分析技术可见,前者所具备的技术优势是其可以对数据中的高度非线性关系进行建模,并处理大量结构化和非结构化数据,比如文本和图像。
目前,国内外学者对AI审计达成的基本共识是,利用AI技术进行全样本审计,可以降低传统抽样审计带来的抽样风险,并极大提高审计效率,但对于AI技术对审计质量所产生的影响则尚未形成定论,有待实践检验。
2.区块链
区块链是数智审计的另一项重要技术,将对传统审计目标、审计过程、审计证据、审计方法、审计风险等方面产生广泛影响。欧盟网络安全局将区块链界定为一个公共分类账,由点对点网络上发生的所有交易组成。它是一种由链接的数据块组成的数据结构,每个块都指向或引用前一个块,并按线性和时间的顺序形成一条链。这种去中心化的技术,使点对点网络的参与者能够在不需要可信中央机构的情况下发生交易,同时依靠密码学来确保交易的完整性。
区块链技术的时间戳机制将为每笔交易信息提供时间证据,辅助各节点生成不可篡改且相同的账本。区块链的每个区块都包含许多交易,每次区块链上发生新交易时,该交易的记录都会被添加到每个参与者的分类账中。在审计中应用区块链技术,正是利用该技术的时间戳功能,将被审计单位上传的交易信息按时间顺序进行排序后,打包形成区块,再将生成的区块按其生成时间上链后,形成区块链。系统将按照智能合约中的预设程序,对各区块中的数据进行核对,在发生异常情况时,利用时间戳找到出现错弊的交易。
此外,区块链不可修改的特征,让被审计单位的所有会计信息均记录在区块链中而难以被篡改,并可通过编程来证明所有交易和事项都被真实记录,从而提高审计结论的真实性。前述技术优势有赖于哈希算法的存在。该算法本质上是一种映射关系,可将审计证据明文单向转化为密文,当审计证据明文内容被篡改后,最终形成的哈希值也将随之改变,审计人员可借此验证被审计单位数据的真实性。
但是,区块链不可修改的特性,并不意味着数据绝对无法被修改。区块链有遭受攻击的可能性,审计数据可能会被修改,财务数据被篡改的可能性并未完全消除。这是因为,数据修改在“公共”区块链上需要51%的参与者批准,当参与者数量足够大时,数据修改可能因为成本过高而无法发生。反之,当有足够多的恶意参与者,或者哈希值不够长时,数据被修改的可能性仍然存在。
3.自然语言处理
自然语言处理(natural language processing, 简称NLP)是与审计程序特别相关的一种技术,在数智审计中有很大的应用前景。2018年,美国上市公司会计监督委员会的董事在一场研讨会中提到,审计人员正试验用NLP来扫描合同和其他文件,以便更快识别潜在的风险领域。英国财务报告委员会发布的《审计发展2021》报告也显示,在2020年周期性检查中发现,越来越多的会计师事务所在积极对NLP技术进行研究和试点。
NLP主要被用于破除审计人员与计算机的交流障碍。人类交流的语言通常是模棱两可和不精确的,但是计算机却需要借助精准的语言才能理解信息的真实内涵,而NLP技术能够克服这一语言交流障碍。NLP既是AI系统的重要组成部分,也是AI系统和语言学的一个分支。其可被划为两个部分,即自然语言理解和自然语言生成。该项技术的基础逻辑是,前者使计算机能够理解审计人员的自然语言,并通过提取概念、实体、情感、关键字等信息,对相关文本资料进行分析,因而通常被应用于理解口头或书面报告;后者则使计算机能够生成有意义的短语、句子和段落。
审计人员常需检视各种非结构化的数据资料,如公司合同、会议记录、函证、相关法律法规等文本资料。NLP能够帮助审计人员大量分析前述文本资料,高效挖掘出关键信息,从而缩减审计人员劳动密集型的传统手动流程。该技术也被应用于审计质量控制,计算机通过对比分析审计工作底稿与审计准则,为审计人员的审计行为提供合规性判断。
4.机器学习
机器学习是当今发展最快的技术之一,其位于计算机科学和统计学的交叉领域,属于人工智能情报和数据科学的核心。机器学习的技术逻辑是利用迭代法(Iteration)编程,使计算机从分析过的历史数据中不断学习,从而实现计算机系统持续自动优化。计算机接触的数据越多,最具稳健性的模式将逐步被识别,其生成的反馈又被计算机用来改变行动模式。由于数据密集型机器学习方法(data-intensive machine-learning methods)被广泛应用,所以各行业能够作出更多循证(evidence-based)决策。
机器学习与上述NLP都可谓是数智审计中的颠覆性技术。国际大型会计师事务所均在积极研发机器学习系统。例如,德勤会计师事务所研发的智能审计工具“Argus”,通过机器学习和NLP技术来阅读和分析任何类型的电子文档。在审查大量文件后,“Argus”又使用机器学习来识别与可视化审计人员可能感兴趣的项目,并将前述内容提取到工作文件中。从实践来看,“Argus”已经审查过的文件类型包含销售合同、租赁合同、衍生品合同、雇佣协议书、发票、会议记录、法律信函、财务报表等。
(二)数智审计技术间的逻辑关系
上述技术在数智审计中发挥着关键作用,其相互之间既有联系,也有区别。2023年12月,联合国人工智能高级别咨询机构发布的临时报告《为人类治理人工智能》明确指出,目前AI定义繁多,使得AI的治理格局变得复杂。厘清数智审计的基础技术逻辑以及各技术之间的逻辑关系,对科学监管数智审计具有重要的现实意义。
首先,AI是一个广泛的领域,它旨在模拟或实现人类智能的各种功能。AI的知识体系广泛,包括机器学习、NLP等多个技术分支。这些技术分支交叉与互补,共同支撑AI整体功能的实现。但是,AI与机器学习及NLP之间也存在区别。
AI和机器学习之间的主要区别体现在三个方面。从定义上看,AI是计算机科学的一个分支,涉及创建能够执行需要人类智能的任务的机器和软件,包括理解语言、学习、推理、解决问题、感知等方面。机器学习则是AI的一个子集,它使计算机系统能够自主学习和改进经验,其主要关注数据模式和预测,而并非执行特定的任务。从目标上看,AI的目标是创造出能够模拟人类智能的各种功能,如自动推理、知识获取、语言理解、计算机视觉等。机器学习则更专注于开发算法,使计算机从数据中学习,并在此基础上作出决策或预测。从方法上看,AI使用的方法具有多样性特点,除了从数据中进行学习的方法之外,还包括基于规则的逻辑系统、优化算法、概率模型等方法。机器学习则主要使用数据驱动方法,具体包括监督学习、无监督学习、强化学习等,该技术侧重于通过分析大量数据来训练模型。总体而言,机器学习是实现AI目标的一种关键手段。
AI和NLP之间的区别主要表现为目标的差异。如上所述,AI的目标是创建能够执行通常需要人类智能的任务的系统和算法,即发展计算机程序以模仿广泛的人类智能。NLP则聚焦于如何使计算机具备理解、解释和生成人类语言的功能。换言之,AI是一个更广泛的领域,NLP包含于其范畴之内,后者专注于与人类语言相关的特定问题,其可被视为AI实现其宽泛目标的另一种关键技术,尤其是在涉及理解和生成人类语言的任务中。
其次,AI与区块链属于两类不同的技术,二者被并称为最具创新的两项技术。AI的缺点是其决策过程犹如“黑箱”,兼具复杂性与不透明性之特性,由此产生AI的信任问题和道德问题。与之相反,区块链具备追溯功能,每个数据都通过区块链记录下来,此技术优势能够弥补AI的前述缺陷,为AI提供安全、不可篡改和分散的数据系统。换言之,区块链不可篡改的特性为AI提供了一个问责机制。
二、数智审计法律责任的适用困境
我国全面实行股票发行注册制改革已正式启动,独立审计因其具有资本市场“看门人”的制度功能被推升至更重要地位,而数智审计将给证券市场虚假陈述中审计人员的侵权责任制度带来冲击。新技术的应用使审计过程涉及更多参与主体,但是新技术本身的法律地位存在不确定性,加之AI算法的不透明性,导致难以依赖传统归责路径确定法律责任,又或者将可能产生法律责任分配不公之后果。下文将直面数智审计引致的法律责任困境,从证券市场虚假陈述侵权责任的责任主体界定、归责原则适用以及过失认定三个方面进行探究。
(一)何人之过:数智审计侵权责任主体界定的困境
证券市场虚假陈述侵权责任的划分问题一直饱受争议。1996年到2021年期间,在我国发生的证券市场虚假陈述侵权案件中,被审计单位和会计师事务所是主要的侵权责任主体,向被侵权人承担连带赔偿责任。2022年1月,《最高人民法院关于审理证券市场虚假陈述侵权民事赔偿案件的若干规定》(以下简称《虚假陈述若干规定》)对侵权责任主体范围进行了扩张,除会计师事务所、被审计单位(证券发行人)之外,还将被审计单位的供应商、客户、金融机构、律师事务所、资信评级机构、资产评估机构、财务顾问等相关单位一并纳入责任主体范围。虽然《虚假陈述若干规定》对协助财务造假情形的补充规定,使证券市场虚假陈述侵权责任的规定更周延,但也使各责任主体之间的具体责任划分更为复杂。
传统争议尚未完全解决,新技术的应用已悄然加入这场责任纷争,成为审计责任新的“风险敞口”。AI系统审计将对审计人员侵权责任的事实认定基础产生冲击。司法裁判的历史数据表明,“审计程序”是法官判断审计人员是否勤勉尽责的重要标准,具体包括对明显违反会计准则或制度的会计处理视而不见、对重大的或明显异常的账户或交易未予查证、未实施银行存款及借款函证、函证程序缺乏适当的发出与回收控制、未实施存货监盘、在明显缺乏胜任能力的情况下未利用专家工作、不当利用其他注册会计师的工作等因素。
上述司法实践中被事实认定所依赖的证据基础,将大量地由AI系统替代审计人员完成。例如,函证对于注册会计师识别被审计单位财报中的错弊尤其重要,实践中函证造假的情况屡见不鲜,但是通过利用区块链技术,借由算法获取链上数据,可以实现函证数字化。自2022年1月开始,我国已在部分上市公司、会计师事务所和银行业金融机构开展银行函证试点工作。截至2023年12月31日,在银行函证电子平台上正式上线运营的会计师事务所有465家,绝大部分备案从事证券服务业务的会计师事务所均已接入平台,正式上线运营的银行业金融机构共计2036家。再如,被审计单位经常利用存货数量多、种类杂、流动性强等特点来操纵利润,所以审计准则一般要求审计人员检查存货以确定其是否真实存在。传统存货监盘的审计成本高、审计难度大,极易出现由于审计程序不到位而造成审计失败的情形,但是在数智审计时代,条码、射频、无人机等技术能够克服前述障碍。换言之,数智审计获取审计证据的新特质,使过去司法审判中用于判断审计人员是否审计到位的标准发生变革。
AI系统审计的突出特点是计算机学习过程的自动化,其在审计过程中享有自主权,理论上可替代审计人员在财务舞弊分析与内容核查时作出智能决策。传统由审计人员人工完成的工作,将大量依赖AI系统完成,审计人员从过去依靠自身判断作决定转变为依靠数据作决定,其职业判断也将建立于数据的相关关系基础上。但是,AI系统提取审计数据特征量以及对模型的优化过程是不可见的,智能决策的生成过程犹如一个不透明的“黑箱”,是难以被理解或者被解释的。AI系统在输入数据和输出答案之间,存在无法知晓的“隐藏层”,其在通过机器学习、深度学习等技术实现自我学习、自主决策的情形下,可能使审计人员依赖错误数据而出具不实审计报告。在前述情形中,清晰界定审计失败的损害后果是由审计人员还是AI系统造成的,将是一个艰难的挑战。
概言之,AI系统审计带来的法律适用困境是:其一,AI系统是否是适格的责任主体,能够为其所造成的损害结果独立承担责任;其二,在无法判定损害后果是由审计人员还是AI系统造成的情形下,审计人员是否能主张不实审计报告是由AI系统的自主性所致,从而使其免于承担责任。解决前述问题是破解审计法律制度困境的逻辑起点,其决定了数智审计两类不同的治理路径。
(二)何以归责:数智审计侵权责任归责原则适用的困境
“对人工智能的最初监管决定将至关重要,这些决定可能会创建路径依赖关系,并使日后更改管理过程变得困难。”如果AI的最大潜能被限制,将无法为经济社会发展发挥最大效用,但如果法律不对AI的发展进行有效监管,则可能出现非法利用新技术损害个人权益和公共福祉的后果。证券市场投资者与会计师事务所之间并非合同关系,在虚假陈述造成损害后果的情形中,公众投资者可能对会计师事务所提起侵权之诉。因此,数智审计时代,合理确立审计人员侵权责任的归责原则具有重要意义。
历史上,我国司法实践在审计法律责任的归责原则适用上存在错位。在早期审计人员虚假验资证明民事责任的司法审判中,实际上适用的是无过错责任原则,这导致审计行业长期承担严苛的法律责任。1996年,最高人民法院在《关于会计师事务所为企业出具虚假验资证明应如何处理的复函》中,未将会计师事务所存在过错作为其承担民事赔偿责任的要件,导致随后在对我国会计师事务所的诉讼中,无过错责任原则被泛化适用,即只要经过审计人员验证的资本数额与实际数额不同,债权人就可以对会计师事务所追偿。
为避免施行“一刀切”的刚性规制,我国逐步完善审计责任归责原则的适用规则。2005年修订的《证券法》第173条规定,对会计师事务所在证券侵权责任中适用过错推定原则。2019年修订的《证券法》第163条未对归责原则进行实质性修改,继续适用过错推定原则。2022年1月最高人民法院公布的《虚假陈述若干规定》第19条,在适用过错推定原则的前提下,进一步细化规定了会计师事务所的抗辩事由。
数智审计侵权行为有其特殊性,对其适用无过错责任原则或过错推定原则,将对各利益主体产生不同影响。如果适用无过错责任原则,无疑将加大对公众投资者合法权益的保护力度,却将审计人员置于严格责任的监督之中;如果继续适用过错推定原则,则需特别研究数智审计语境中审计人员存在“过错”的具体情形。如何在数字经济发展的背景下合理确立归责原则,是需要立法者斟酌的重要问题。
(三)何以定责:数智审计侵权责任过失认定的困境
在传统审计侵权责任的理论研究中,国内外学者对审计人员的过失判定存在不同见解,而司法实务中对过失的事实认定,则多取决于法官的自由心证,这导致审计行业长期面临不确定的法律责任。《证券法》第163条规定,会计师事务所制作、出具的文件因有虚假陈述而造成损失的,应与被审计单位承担连带赔偿责任,但能证明其没有过错的除外。《虚假陈述若干规定》第13条对前述“过错”所包含的两类情形作出解释:“行为人故意制作、出具存在虚假陈述的信息披露文件,或者明知信息披露文件存在虚假陈述而不予指明、予以发布;行为人严重违反注意义务,对信息披露文件中虚假陈述的形成或者发布存在过失。”解读前述规定可知,审计人员在故意或严重违反注意义务而出具虚假审计报告的情形中,应被认定为存在过错,与发行人共同承担连带赔偿责任。从实践来看,审计人员故意与被审计单位串通造假的情况实属罕见,其多因违反注意义务而存在重大过失,被判定应承担法律责任。
注意义务是过失判断的传统标准,其一直是学术界与实务界争议的焦点。《虚假陈述若干规定》第19条规定,审计人员能够证明如下情形之一的,法院应认定其没有过错:“按照执业准则、规则确定的工作程序和核查手段并保持必要的职业谨慎,仍未发现被审计的会计资料存在错误的;审计业务必须依赖的金融机构、发行人的供应商、客户等相关单位提供不实证明文件,会计师事务所保持了必要的职业谨慎仍未发现的。”“职业谨慎”是一个模糊概念,与“注意义务”有共通性,二者均在各国司法实践中被交替使用,以判断审计人员是否存在过失。可见,审计人员是否遵守审计准则和相关职业道德规范,并保持必要职业谨慎,是法院判定其有无过失之传统标准。
但是,数智审计为传统过失判定标准带来新挑战。2022年9月,欧盟委员会公布了一项关于非合同关系的民事责任规则如何适用于AI系统的指令提案——《人工智能责任指令》(AI Liability Directive)。该提案开宗明义地指出,AI系统的复杂性、自主性和不透明性,使得传统的基于过错的责任规则不适用于由AI产品和服务造成损害赔偿责任的诉讼。AI系统算法“黑箱”的特质,也将使审计侵权责任的过失判断变得复杂化。
审计人员的职业谨慎涉及大量主观经验的职业判断,在认定其是否尽到必要职业谨慎时,法官需对审计人员在审计程序中的职业判断作出二次判断,从而决定其是否存在过失。传统过失判断标准是在审计人员完全自主作出所有行动决策的情形中进行判断,但是AI系统审计将使审计人员的传统行动决策过程发生改变。数智审计时代,审计人员的职业谨慎建立于数据相关关系的基础上,其从依靠职业判断作决策转变为依靠数据作决策。AI系统审计利用大数据的信息追踪和算法推荐技术,为审计人员营造一座“审计信息茧房”,由此削减审计人员按照传统审计方法自主选择信息的空间,迫使其在特定“茧房”中作出审计决策,从而影响其职业谨慎的发生对象。
数智审计时代,审计侵权责任的过失判断标准决定审计人员的法律责任,影响其执业的法律环境,也影响损害赔偿责任在被审计单位、会计师事务所、投资者、AI系统生产者、职业责任保险公司之间的最终分配。AI系统审计使审计人员“职业谨慎”的内涵发生改变,由此衍生的潜在法律问题是传统注意义务标准在AI系统审计的情形中是否需要进行因应调整。
三、数智审计法律责任困境的理论纾解
(一)数智审计侵权责任主体的辨析
AI技术的崛起,推动法律革新。面对AI技术表现出“类人”甚至“超人”的自主思考和行为能力,立法者亟需解决的首要问题是确定AI系统的法律地位。AI系统的法律定性不但决定审计法律制度的监管逻辑,而且为各部门法中AI系统的治理路径提供宏观指引。
1.人工智能系统法律客体之确定
目前,AI系统的法律地位尚不明确。从学界现有研究来看,我国从2017年起掀起对AI系统法律地位的研究热潮,目前仅有少数学者支持赋予AI系统有限法律主体资格,学界的主流见解仍是否定AI系统的法律主体地位。持否定观点的学者从民事主体的传统概念出发,重申传统法律主体的构成条件、划分依据,剖析AI系统与自然人或法人在权利能力和行为能力方面的差异,继而提出AI系统不是法律主体之结论。从各国立法趋势来看,立法者更倾向于将AI系统定性为法律客体。欧盟立法者曾经呼吁,任何关于现有法律框架所需变化的研究,都应该从澄清AI系统既没有法律人格,也没有人类良知开始,并再次强调AI系统唯一的任务就是为人类服务。此外,近些年各国针对AI系统出台的规范性文件,基本是将AI系统定义为法律客体而非法律主体,但尚未进一步明确其是服务还是产品。
AI系统既非传统法律主体,也不存在为其拟制新型法律主体地位之必要。法之秩序指向人,法律是人类创设的用于约束人类行为的强制性规范,应始终坚持“以人为本”的立法原则。社会活动的参与者是否都可成为法律主体,始终是由法律决定的,此可谓是法律主体之根本属性。虽然AI系统能替代自然人完成诸多行为,但其并不具有自然人的价值判断能力,无法真正成为法律责任主体。
道德责任理论提出,对错误归责应有两个先决条件,即控制条件与认知条件。行为必须起源于行为主体,而行为主体应清楚知悉自己的行为。由于AI系统不符合道德责任理论中自由、意识等传统标准,所以无法追究其责任。纵使赋予AI系统法律主体地位,使其承担法律责任,也无法发挥法律责任惩罚及教育之功能,既缺乏规范意义,也没有实际价值。能够承担法律后果的只有完全民事行为能力人,而不是某台机器或某种技术。AI系统始终是人类达成目标的工具,是审计人员完成审计活动的一种新兴技术,因此,在数智审计导致虚假陈述的情形中,法律责任应直接压实至造成损害结果的自然人或法人。
2.审计人员责任主体之确立
既然AI系统不能作为责任主体,则需考虑审计人员是否是AI系统审计造成损害后果的责任主体。AI系统审计从开发、生产到应用,涉及的主体有生产者、管理人员、程序员、开发人员、数据提供者、审计人员、公众投资者等,在维护数字主权和推动数字经济发展的目标下,各国立法者都面临对各方利益衡量的难题。既不能使公众投资者成为技术创新的牺牲品,也不能损害审计行业的职业利益,更不能使新技术生产者承担严格责任而阻碍技术创新。AI系统复杂性、自主性和不透明性的特点,导致难以确定审计人员是否应对AI系统造成的损害后果承担责任,也难以厘清审计人员与AI系统本身对损害发生的原因力大小。
欧盟对上述问题的初步回应,值得研究与借鉴。欧盟立法者拟构建一个由“两大支柱”支撑的AI系统责任框架,“两大支柱”分别是《人工智能民事责任制度》提案及《产品责任指令》,旨在对AI系统的所有责任主体进行规制。2020年10月,为积极应对AI技术带来的法律挑战,也为了避免欧盟各成员国对AI系统碎片化的法律规制阻碍数字经济发展,欧洲议会通过决议向欧盟委员会提出《人工智能民事责任制度》提案。该提案的三个重要特点是:其一,以各主体对AI系统相关风险的控制能力为依据,抽象出一个“操作者”的标准。“操作者”的法律概念是,决定使用AI系统,对风险行使控制并从其操作中获益的人,包括所有未被《产品责任指令》规制的前端和后端操作者。确认操作者民事责任的机理是,操作者正控制与AI系统相关的风险,其相当于汽车或宠物的主人,通常处于对受害人造成影响的第一个可见接触点。其二,原则上,操作者的责任涵盖其对AI系统的所有操作行为。对操作者归责时,并不考虑其操作行为发生的地点,也不考虑该操作行为是物理的还是虚拟的。其三,对AI系统进行分类规制。为避免对不同类型的AI系统适用僵化的责任规则,该提案将AI系统分为高风险AI系统和非高风险AI系统。与此同时,考虑到受害人对AI系统造成损害的举证难度极大,该提案对高风险AI系统操作者适用严格责任原则,而对非高风险AI系统操作者则适用过错推定原则。
上述提案对AI系统操作者的规制路径,对于数智审计情形下界定审计人员的责任,有一定借鉴意义。数智审计是审计人员利用AI系统完成审计业务的活动过程,由其作为AI系统审计造成损害的责任主体之一具备合理性。其一,审计人员属于AI系统“操作者”之范畴,其对损害行为的发生具有控制力。面对日新月异的科学技术,涉及通过高度科学性、技术性过程造成的损害情形中,受害人在专业知识、信息来源等方面处于劣势地位,而过错是加害人积极行为的表现之一,加害人更易于了解、掌握和控制损害事实发生的起因。审计人员作为操作者,对AI系统的使用有决定权,相对于公众投资者来说,审计过程属于审计人员的控制领域,审计人员对其控制领域内所发生的损害行为更易了解。虽然审计人员并不必然与AI系统专家拥有同等的专业水平,但其知悉如何操作AI系统,也了解算法不透明性的特质,并且可以预见前述特质有致损的盖然性。因此,在通常情况下,AI系统驱动的自主活动、设备或流程造成的损害,并不必然使审计人员免于承担责任,除非损害是因不可抗力造成的。
其二,过错责任原则建立于自由主义基础上,其蕴含的基本价值是,在法律地位的维系和行为自由之间,后者居于首要地位。人需要通过自由来实现其个性,特别是在个人职业实践中,但是,行为自由并非单方面实现的,个人在利益层面被收走的部分,恰好在其行为自由层面获得返还。审计人员享有利用AI系统审计的行为自由,将过去繁琐重复的人工劳动转嫁于AI系统,从而使其自身在个人职业实践中发挥更高的人力资本价值。但是,审计人员行为自由的实现有其相应的对价,当审计人员利用AI系统审计而存在过失时,其需要为行为自由支付一定的利益代价,这种利益代价是通过对损害后果承担赔偿责任来实现的。
其三,数智审计时代,将审计人员作为损害赔偿诉讼的责任主体,是法律践行公众投资者合法权益保护原则的体现。“法律制度不仅要有利于经济效益最大化,或说社会资源配置的效益最大化,而且必须将调整社会各个集团的利益冲突、实现社会公平和正义作为己任。”我国资本市场投资者结构的特点是个人投资者占比更大,在公众投资者与审计人员之间,前者长期处于信息弱势地位,其更不可能在数智审计中存有过错。在国内外证券市场虚假陈述的历史案件中,公众投资者的合法权益受到不当吞噬,故而其更需要法律的特别保护,这也是资本市场长足发展的现实需求。
数智审计时代,审计人员理应是AI系统审计导致损害赔偿责任的责任主体之一。但应注意,对公众投资者合法权益的保护并不等同于对审计人员职业利益的无视,还应健全其他法律配套制度。如健全民事责任承担机制,针对算法不透明性导致的损害后果,完善审计人员与其他AI系统操作者的共同侵权责任规则。健全民事责任调整机制,构建数智审计职业责任保险制度,将审计人员的法律责任社会化。
(二)数智审计侵权责任归责原则的抉择
法律规则和法律原则从未被当作终极真理,而仅作为可资用的假说,它们在不断被重复检验。数智审计是这个时代的新议题,立法者最初并非以其为审计法律机制的构建基础,新旧审计迭代之时,需要在数智审计情势下对相关法律规则再次检验。
根据《民法典》第1165条和第1166条的规定,我国侵权责任归责原则体系的基本构成有过错责任原则与无过错责任原则,过错推定属于过错责任原则的特殊适用方式。《注册会计师法》确立对审计人员的民事责任采取过错责任原则,《证券法》则规定对审计人员在证券民事诉讼案件中适用过错推定。数智审计侵权有别于传统审计侵权,对前者归责原则的适用选择是亟待研究的重要课题。
1.无过错责任原则之检验
无过错责任原则是在法律有特别规定的情况下,以已然发生的损害结果为价值判断标准,不问与该损害结果有因果关系的行为人有无过错,而使行为人承担侵权损害赔偿责任的归责原则。19世纪下半叶开始,生产力的快速发展激化了社会固有矛盾,工业损害成为主要的社会危险,过错责任原则的适用使法律的天平严重失衡。此时,以社会整体利益为原则,对个人自由施加干预成为主流社会意识,在法律上则体现为“归责客观化”的转变,无过错责任原则在各国立法上逐步得以确立。
未来对AI技术造成的损害适用无过错责任原则并非不可能。因为AI技术的法律属性未定,学界不乏将AI技术定性为产品的观点,各国立法也有意在传统产品责任框架下解决AI技术带来的法律问题。欧盟《人工智能民事责任制度》提案在AI系统法律属性问题上态度模糊,未明确其是产品还是服务。但是该提案表明,如果AI系统被认定为是一种产品,则《产品责任指令》也能部分应用于有缺陷的AI系统生产者的民事责任,只是需重新考虑AI系统、生产者、开发人员、缺陷、产品和服务的法律定义。
如果将AI系统定性为产品,将其置于产品侵权责任框架下采用无过错责任原则,则生产者就有责任确保AI系统不存在缺陷。从实践来看,会计师事务所获取AI系统有两个途径:途径一,由其进行自主研发,此时会计师事务所将兼具生产者和使用者的双重身份;途径二,直接向市场中AI系统生产者购买,则会计师事务所不参与研发和生产过程。例如,普道永华和德勤会计师事务所,业已分别采取前述两种途径获取与AI系统审计相关的软件或技术。在会计师事务所自主研发AI系统的情形下,证券市场虚假陈述造成损害后果时,其可能作为AI系统生产者而承担严格责任。但当会计师事务所不参与生产或研发,仅作为AI系统的使用者或操作者时,我国法律尚未明确是否应对此进行制度革新,学界的相关研究也尚不丰富。针对前述困境,本文认为,纵使未来审计迈入全面数智化阶段,也不宜对审计人员适用无过错责任原则。
首先,审计是一种独立的经济监督活动,审计行为并不具备高度危险性。我国纯粹适用无过错责任原则的特殊侵权责任有三类,即机动车交通事故责任、环境污染和生态破坏责任以及高度危险责任。从法理上看,行为人承担无过错责任,非因所有行为人完全不存在过错行为,而是因其行为属于具有高度危险性的活动。从立法目的上分析,无过错责任原则的适用规则,展露一种在多元利益主体博弈的基础上,通过加重行为人责任,将其置于严格责任监督下,使受害人的受损权益迅速获得救济,从而维护社会安定的立法意图。
审计本质上是采用恰当的审计程序和方法寻找会计错弊,无论是在手工审计时代、计算机审计时代,还是数智审计时代,审计技术的更迭并未改变审计活动的本质。保护投资者的合法权益是首要立法目标,立法者对会计师事务所基本采取较为严格的监管立场,但对会计师事务所的审计侵权责任适用无过错责任原则仍是各国证券法的例外规则,而非一般规则。我国《民法典》无过错责任原则的适用目的,在于促使从事高度危险活动、接触危险物等特殊领域的人对自身的工作予以高度负责。AI系统的应用并未使审计成为一种具有高度危险性的活动,故不宜对其适用无过错责任原则。
其次,对新技术应采取审慎包容的监管立场,构建容错与问责并举的法律机制,坚持在发展中规范,在规范中发展。资本市场是数字经济发展的重要力量,需要赋予审计人员必要的行为自由,以发挥其对数字经济的监督作用。实证研究表明,数字化转型的开展,有助于降低审计风险。审计行业加入数智化转型方阵,是为了提高审计效率和审计质量。我国现行审计法律责任已经较为严格,若因AI技术的应用而对审计人员采用无过错责任原则,使其承担比数智化转型前更严苛的责任,将可能产生“寒蝉效应”,阻碍我国数字经济发展。
2.过错推定原则之证成
国内外学者对在传统证券市场虚假陈述侵权责任中对会计师事务所适用过错推定原则基本无异议,我国《证券法》第163条也从实体法上确立了过错推定原则的适用。过错推定原则是一种在法律特别规定的情形下,采用举证责任倒置,从损害事实本身推定行为人有过错,并据此确定造成他人损害的行为人赔偿责任的归责原则。新技术全面渗入社会经济生活,亟需对现行归责原则进行反思,其关键因素之一即公众投资者的举证能力是否有所提升,这也是国内外立法者在确立AI系统法律责任时重点关注的问题。
首先,AI技术为社会生产生活方式带来变革,但普通公众对新技术的专业性认知仍是有限的。数智审计时代,公众投资者难以深刻理解AI系统及AI系统审计的技术逻辑,其与审计人员之间存在“数字鸿沟”。涂尔干曾言:“我们的时代,早已不再是以哲学为唯一科学的时代了,它已经分解成了许许多多的专业学科,每个学科都有自己的目的、方法以至精神气质。”社会分工导致专业的精细划分,公众投资者难以成为精通审计与数智技术的专业人员。至少,从“工业1.0”到 “工业4.0”时代,公众投资者主要是新技术的使用者,是“技术红利”的受益者,但并不必然是新技术的开拓者。社会分工的客观规律决定前述境况,由此也说明公众投资者对新技术的认知有限,其将长期处于相对的信息弱势地位。
其次,公众投资者对AI系统审计构成证券市场虚假陈述侵权责任的举证能力不足。从域外经验来看,2022年9月欧盟公布的《人工智能责任指令》提案,旨在解决由AI系统造成的非合同民事责任中的举证责任分配难题。该提案认为,目前欧盟国家基于过错的法律责任制度,并不适用于由AI产品和服务造成的损害责任赔偿。AI系统的复杂性、自主性和不透明性,可能会使受害者无法确定责任主体,或者产生过高的举证成本。传统举证责任的分配规则更倾向于将证明责任分配于更了解损害发生的人,如果发生损害的原因属于行为人所能控制的危险领域内,则举证责任的一般原则应受限而不能适用。在审计人员与公众投资者之间,前者对其控制领域内所发生的侵权行为更熟悉,其与证据之间的“距离”更近。公众投资者并不真正了解AI审计的技术逻辑,其通常处于无证据状态,要求其在AI系统审计造成损害后果情形下,对审计人员的过错行为进行举证,既不利于对损害后果的事实认定,也不利于对公众投资者合法权益的保护。
概而言之,公众投资者对新技术的认知能力有限,并且其举证能力更为薄弱,仅能承担有限的举证责任,这是客观存在的举证障碍。因此,在因AI系统审计造成证券市场虚假陈述的侵权责任认定中,对审计人员应沿用过错推定原则,采用举证责任倒置,以此制度安排来减轻公众投资者的举证负担。
(三)数智审计侵权责任过失认定规则之变革
传统民法中对于“过错”的概念存在“主观过错说”和“客观过错说”两种界定路径。“主观过错说”认为,过错是以一定的主观心理状态作为衡量过错的标准,而“客观过错说”则是以人的行为作为判断标准。司法实践在判断行为人是否存在过错时,因其主观心理过程难以观测,故通常采用客观标准。
“注意义务”是判定审计人员是否存在过失的标准。“注意义务”是一个抽象概念,学界对其存在不同学说,法律未明确其具体概念,相关法规及司法解释也未对其判断规则作出细化规定。现代民法上的注意义务,在英美法里被称为“合理的注意义务”,各国对其基本采用一般标准,也即合理与否是以一个具有通常的理性之人的认识来衡量的。“注意义务”的历史演变是一个随着审计业务扩大及审计人员能力增强而不断提高的过程,在审计数智化转型的背景下,AI系统审计使过失判断更为复杂,这要求对传统“注意义务”作出适时调整。
首先,适度提高AI系统审计的注意义务标准,与审计准则预期变动相协调。从审计准则的国际发展趋势来看,各国监管者和标准制定者都对AI系统审计保持高度关注,并在前瞻性地研究现有审计规范体系是否能与数智化发展的需求耦合。2021年11月,英国财务报告委员会发布的《审计发展2021》报告表明,该委员会的技术工作组将持续与国际审计与鉴证准则理事会合作,研究如何有效部署AI和机器学习以提高审计质量,如何在审计中使用“可解释性”等关键AI术语,以及如何处理异常情况。
美国证券市场监督者及标准制定机构,也正在积极研究新技术的应对策略。2017年5月,美国公众公司会计监督委员会在常设咨询小组会议上提出,“需要制定额外的标准来规范技术使用”。2022年11月,美国公众公司会计监督委员会开展一项名为“数据与技术”的标准制定和研究项目,旨在评估是否需要修改过去的监管标准或采取其他监管行动,包括评估技术创新在推动审计质量方面的作用。2021年,美国审计准则委员会发布《美国审计准则委员会战略计划2021—25》。该计划中“倡议D”提出,“要使美国审计准则委员会制定的标准与时共进,由于新技术的使用,需要考虑目前的标准是否仍旧支持新技术的使用”。针对“倡议D”,美国审计准则委员会提出的战略行动方针表明,要继续监测审计人员如何使用新技术,决定是否需要向其提供指南,评估现有标准是否充分了解新技术,并在必要时与美国注册会计师协会协调有关审计人员独立性的相关要求。
可以预见,各国将因AI系统在审计实践中的应用,而对现行审计准则作出相应调整。大数据、云计算、区块链等技术在审计中发挥作用的前提是原始数据的真实性,即客观上要求审计人员对大数据的真实性、可靠性进行一定的鉴证。大数据质量鉴定与传统会计信息的真伪鉴定,对审计人员的能力要求不尽相同,前者对审计人员提出更高的能力要求,在传统审计专业范畴之外,还要求审计人员具备更高的数智技术能力和素质。申言之,审计准则既是审计人员的技术规范,也是其是否违反注意义务的客观判定标准。当审计准则因新技术应用而有所变动时,审计人员在法律上的注意义务标准也需作出相应调整。虽然注意义务是对人之主观心理状态的判断标准,难以被精准量化,但是数智审计时代审计人员的注意义务标准仍应以不低于审计准则的规范要求为原则。
其次,数智审计时代的注意义务标准,仍应以审计人员仅能提供合理保证为前提。《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》(以下简称《审计准则第1101号》)第2条规定:“合理保证,是指注册会计师在财务报表审计中提供的一种高度但非绝对的保证。”《审计准则第1101号》第20条第3款规定:“由于审计存在固有限制,注册会计师据以得出结论和形成审计意见的大多数审计证据是说服性而非结论性的,因此,审计只能提供合理保证,不能提供绝对保证。”在审计法律责任的传统争论中,部分学者以前述关于“合理保证”的规定为依据,提出审计人员仅能提供一种合理保证,并以此来驳斥司法实践从损害后果倒推审计人员存在过错的做法。
审计数智化转型时期,亟需对审计人员能够提供的保证程度重新评估。虽然,数智审计技术使审计人员可对更大规模的样本进行审计,但这不能简单推导出审计人员能够对审计结论提供绝对保证的结论,应避免“技术崇拜”而盲目夸大审计人员的保证程度。本文认为,数智审计时代审计人员能提供的仍然是一种合理保证,具体原因如下。
第一,审计人员与被审计单位在审计成本与审计收益之间的权衡,导致审计人员仅能提供合理保证。审计人员与被审计单位都是以营利为目的的市场经济主体,各国注册会计师协会的一致做法是在审计准则中提炼特定审计程序及规则,指导审计人员以最合理的成本查出重要错弊。传统风险导向型审计的固有限制根源于对审计成本的权衡,一方面,如果审计人员对被审计单位的全部会计资料执行审计,其将耗费极高的成本;另一方面,被审计单位愿意支付的审计费用也是有限的,所以折中的做法是审计人员仅采用抽样审计方法执行审计。
审计数智化转型时期,AI系统通过全样本审计克服前述障碍。审计人员能够提供的保证程度将因AI技术的应用而有所提高,但其能提供的依旧是一种合理保证,而非绝对保证。数智审计时代,审计人员和被审计单位之间对审计成本收益的权衡依旧存在,只是审计成本将转变为由审计人员辨析数据的真实性、算法生成决策的可靠性等方面构成。以区块链技术为例,该技术可通过将目前基于纸张的验证过程数字化,从而影响会计信息系统的数据库引擎,审计人员将是影响验证者选择和认可政策的关键人员,并作为最后的验证者,所以审计人员仍然需要收集审计证据,以在基于区块链的会计信息系统中提供部分审计意见。换言之,审计成本并未因AI系统的应用而消弭,只是其具体形式将发生改变,新的技术验证成本将会产生。
第二,审计人员在客观上不能提供绝对保证。“有限理性学说”的先驱赫伯特·西蒙基于知识的不完备与行为的局限、环境结构两方面的因素总结道:“理性,意味着对每个抉择的确切后果都有完完全全的和无法获知的了解。事实上,一个人对自己的行动条件的了解,从来都只能是零碎的。”审计人员并不具备完全理性,其拥有的仅是一种有限理性。这决定了审计人员对新技术的认知能力将随着审计数智化转型而不断提升,但其对于AI系统审计的理性认知终究是不完整的。
对此,国际审计与鉴证准则理事会也曾发出明确警告。国际审计与鉴证准则理事会提出,不要将数据分析提供更详细的结果,简单等同于对公司财务状况的无所不知,不应强迫审计人员达到更高的标准,AI系统审计能够测试百分之百的总体样本,并不意味着审计人员能够提供比合理保证意见更多的东西,也不会改变“合理保证”之内涵。AI技术被各国认为会对既有法律制度形成重大挑战,其原因正是该技术的复杂性、自主性和不透明性特质导致在发生损害后果时难以确定AI系统相关风险的实际控制者,也难以界定究竟是何种代码造成最终的损害后果。算法的特性在客观上决定审计人员不能提供绝对保证,如果法律要求审计人员对无法解释或者难以解释的结果提供绝对保证,无异于对其适用无过错责任原则,显失公平。
再次,数智审计时代的注意义务标准,应是基于整体审计人员的平均水平。审计人员具备的始终是一种有限理性,新注意义务标准应低于审计行业中最优秀之人的水平(如精通计算机科学、数学、统计学和审计学),却又要高于新从业者的能力。法律应为数智审计提供合理的容错机制,若以过高的标准判断审计人员是否尽到注意义务,使其承担过重的法律责任,并不利于审计行业持续发展,而过低的判断标准则极易滋养违法行为,也难以实现对公众投资者合法权益之保护。换言之,虽然数智审计对审计人员的执业能力提出更高要求,但不应设置过高的注意义务标准,而应将审计人员作为一个整体,以其共有的一般理性作为衡量基准。
结语
新技术对法律秩序带来全面挑战,构建科学的技术治理体系是一个庞大的时代议题。在对AI系统审计造成损害后果进行归责时,应首先明确AI系统始终是协助人类完成特定目标的工具,否认其法律主体地位,由审计人员作为责任主体之一,并沿用过错推定原则。为合理地对审计人员进行过失认定,应适度提高审计人员的注意义务标准从而与审计准则的预期变动相协调,并以审计人员只能提供合理保证为前提,建立一个基于平均水平的科学衡量标准。
本文未能对审计法律制度进行体系化反思,仅对具有代表性的三个问题作出初步研究。事实上,审计数智化转型要求对审计法律制度进行体系化梳理并审慎斟酌,究竟是以传统审计法律规范处理新技术引起的矛盾,还是对审计法律体系进行内部革新,抑或重构审计法律制度的基础理念。唯有科学构建数智审计法律制度,才能切实提升我国在国际审计准则制定中的话语权,维护我国数字主权,并为全球数智审计治理贡献中国智慧和中国方案。