夜雨聆风最近想到AI治理的一个问题:所有人在讨论AI该怎么管,但几乎没人讨论管AI的那些人该被谁管。这就像请了一个保安来看门,但没人检查保安自己会不会偷东西。不是没人意识到这个问题。古罗马人就问过:谁来看守看守者?Quis custodiet ipsos custodes——这是拉丁语,尤维纳利斯写的讽刺诗里的话,两千年前了。两千年后我们还在问同一个问题。只是这次看守的对象从城门变成了AI。
先看看“看守者”都有谁
全球AI治理机构这几年像雨后春笋一样冒出来。欧盟有AI办公室和AI委员会,美国有NIST下面的AI安全研究所,中国有网信办牵头的一套体系,英国有AI安全研究所,联合国在推一个全球性的框架,OECD有AI政策观察站……我数了一下,仅2023到2025年间,全球新成立的AI治理相关机构至少有二十多个。
这些机构的权力不小。欧盟AI办公室负责执行《AI法案》,可以对企业进行调查、罚款,甚至禁止某些AI系统上市。美国AI安全研究所虽然名义上没有执法权,但它制定的标准会被联邦采购规则引用——你不符合它的标准,就拿不到政府合同。中国网信办对生成式AI的监管更是直接的,上线前要备案、要安全评估。
权力大了,问题就来了:这些机构做错了决定怎么办?它们的判断标准是什么?谁来评估它们的工作效果?如果它们被行业俘获了——就是被大公司“公关”了——谁能发现?
OpenAI那件事
2024年5月,OpenAI的超对齐团队解散了。Ilya Sutskever和Jan Leike先后离职。这个团队是OpenAI专门用来研究“如何确保超级智能不伤害人类”的,承诺投入20%的算力。结果呢?Leike走的时候在社交媒体上发了一段话,大意是:公司的安全文化在退步,对安全研究的支持不够。
这事会让人特别不安。不是因为OpenAI的安全团队散了——一家公司的内部调整,外人很难说三道四。而是因为:OpenAI一直说自己搞的是“自我监管”,它的安全团队就是自我监管的核心机制。当这个机制被公司自己拆掉的时候,谁来干预?
答案是:没人。
Lawfare网站有篇文章标题很直接:“OpenAI的混乱是AI自我监管的丧钟。”我同意这个判断。但我想往前走一步:不只是自我监管不行,政府监管也有同样的问题——谁来监管监管者?
监管俘获:老问题的新版本
监管俘获不是新概念。经济学里研究了一百多年了。简单说就是:被监管的行业反过来控制了监管机构。有几种形式——
最直接的是人事旋转门。监管机构的人去企业拿高薪,企业的人来监管机构当官。来来回回,监管者跟被监管者成了一家人。美国金融监管就有这个问题——SEC和华尔街之间的人事流动太频繁了,很多人今天在SEC管银行,明天就去银行当合规总监。AI领域现在也在走这条路。
OpenAI在2025年上半年花了120万美元游说华盛顿,比2024年同期增长了44%。八家最大的科技和AI公司在2025年上半年合计花了3600万美元联邦游说费用。Public Citizen的报告显示,大型科技公司在2024选举周期和2025年间至少花了7.645亿美元政治支出。这些钱不是白花的。
更隐蔽的俘获是信息俘获。AI技术太复杂了,监管机构根本搞不懂,只能依赖行业专家来解释。而这些“专家”大多来自大公司或由大公司资助的智库。你让被监管的人来告诉监管者该怎么管,这不是让狐狸来写鸡舍的安全标准吗?
arXiv上2025年有一篇论文专门研究了这个问题,标题叫“Big AI's Regulatory Capture: Mapping Industry Interference”。作者梳理了大量证据,显示AI行业一直在试图削弱、抵制和逃避监管。这不是阴谋论,是有据可查的。
欧盟的“双层”结构能解决问题吗
欧盟AI法案的治理架构是“双层”的:欧盟层面的AI办公室负责执行,各成员国的监管机构负责本国落地,还有一个AI委员会负责协调。UNESCO有篇文章详细拆解了这个架构。
这个设计看起来挺合理——有执行层、有协调层、有成员国层,互相制衡。但实际操作中问题不少。
第一,AI办公室的独立性。它设在欧盟委员会内部,不是独立机构。这意味着它的决策可能受欧盟委员会的政治议程影响。如果欧盟委员会觉得某个AI项目对欧洲竞争力很重要,AI办公室会不会在执法上“手下留情”?这不是假设——欧盟在制定AI法案的过程中,就一直在“保护公民权利”和“保持竞争力”之间摇摆。
第二,成员国之间的监管竞争。AI法案给了成员国一定的自由裁量权,这可能导致“监管套利”——AI公司选择在监管最松的成员国注册。这跟美国各州之间的公司注册竞争是一个道理。Delaware为什么有那么多公司注册?因为它的公司法最宽松。AI领域会不会出现类似的“Delaware效应”?
第三,AI委员会的问责。AI委员会由各成员国代表组成,它的决策过程不透明。哈佛法学评论2025年有一篇关于“共治”的文章,指出AI治理中的行业参与是必要的,但也承认“不是所有的行业影响都是监管俘获”——问题是,怎么区分“必要的专业意见”和“不当的行业影响”?这条线很难划。
美国的情况更乱
美国AI治理的特点是:没有统一的法律框架,各机构各管一摊。FTC管消费者保护,SEC管金融AI,FDA管医疗AI,NIST制定标准但没有执法权。拜登2023年的AI行政命令是自愿性的,特朗普上台后可能直接废了。
这种碎片化的好处是灵活,坏处是问责困难。出了问题不知道该找谁。更关键的是,每个机构都有自己的“监管辖区”,但AI是跨领域的——一个AI系统可能同时涉及消费者保护、金融监管、医疗安全、就业歧视。谁来协调?
美国AI安全研究所是一个有意思的案例。它设在NIST下面,名义上是“科学机构”,不是“监管机构”。它制定AI安全标准,但不强制执行。2024年它跟OpenAI和Anthropic签了合作协议,可以访问这些公司的模型进行安全测试。但这个协议是自愿的——公司随时可以退出。如果某天OpenAI说“我们不想让你测了”,AI安全研究所没有任何法律手段来强制执行。
这就引出一个更深层的问题:当监管依赖被监管者的“自愿配合”时,监管还是监管吗?还是只是一种表演?
中国的“行政主导”模式
中国的AI治理是行政主导的。网信办牵头,工信部、公安部、市场监管总局等参与。这种模式效率高——说备案就备案,说下架就下架,不像欧盟那样要经过漫长的立法程序。但效率高的反面是制衡少。
我举个例子。2023年8月《生成式人工智能服务管理暂行办法》实施后,多家国产大模型完成了备案。备案过程是保密的——公众不知道评估标准是什么、谁参与了评估、评估结果如何。这跟欧盟AI法案的合规评估不同,后者至少有形式上的透明度要求。
每种模式都有它的历史背景和制度逻辑。但我想指出一个事实:行政主导模式下的问责,主要靠“上对下”的行政问责——上级机关问责下级机关。缺少“外对内”的社会问责——公众、媒体、独立专家对监管机构的监督。这在AI治理领域尤其成问题,因为AI的影响是全社会性的,仅靠行政系统内部的上下级监督是不够的。
还有一个问题:中国AI监管机构的人员构成,真正懂AI技术的监管人员很少。大部分来自法律、行政管理背景。这导致监管决策高度依赖行业提供的技术意见——前面说的“信息俘获”在中国同样存在,甚至更严重,因为缺少独立的第三方技术评估机构。
问责的几个维度
让我们把“谁来监管监管者”这个问题拆得更细一点。问责至少有四个维度——
第一,透明度。监管机构的决策过程是否公开?标准是怎么制定的?谁参与了讨论?这些信息如果公众看不到,问责就无从谈起。欧盟AI法案在透明度方面做得相对好——立法过程有公开记录,AI委员会的会议纪要可以查阅。中国和美国在这方面差距较大。
第二,独立性。监管机构是否独立于被监管行业和行政体系中的其他利益方?欧盟AI办公室设在委员会内部,独立性有限;美国各机构受国会拨款影响,政治干预的风险始终存在;中国监管机构是行政体系的一部分,独立性更弱。完全独立不可能也不应该——监管机构需要对民主程序负责——但“负责”和“被控制”是两码事。
第三,专业能力。监管机构有没有足够的技术能力来做出正确判断?这不仅是人手问题,更是知识结构问题。AI技术迭代太快,监管人员如果跟不上,就只能依赖行业提供信息——前面说了,这会导致信息俘获。解决方案不是把监管者变成AI专家——那不现实——而是建立独立的技术咨询体系,让监管者有多个信息来源,不只听行业的一面之词。
第四,纠错机制。监管机构做错了决定,有没有渠道来纠正?欧盟有司法审查——企业可以起诉AI办公室的决定。美国也有类似机制。中国的行政复议和行政诉讼在理论上适用于行政监管决定,但实践中对AI监管决定的司法挑战极少。
一些想法
第一,AI治理机构应该有法定的“问责报告”义务。每年向立法机构——不是行政机构——报告工作,包括:做了哪些决定、依据什么标准、效果如何、有没有被行业不当影响。报告应该公开,接受公众和媒体审查。这不是什么创新,央行和金融监管机构早就有这种制度了。
第二,建立“多元咨询”机制。监管机构的咨询委员会不能只有行业代表,必须有独立学者、公民社会组织、受AI影响的群体代表。欧盟AI法案有这个设计,但执行中行业代表的声音往往更大——因为他们有钱、有人、有时间。所以需要给非行业代表提供足够的资源支持,让他们能真正参与,而不是来开个会拍个照就走。
第三,“旋转门”冷却期。从监管机构离职后,一定年限内不能去被监管的公司工作。反过来也一样。金融监管有这个规定,AI监管应该也有。我知道这会减少“懂行的人”进入监管机构的意愿——因为去了之后出来不好找工作——但这是必要的代价。否则监管机构就是大公司的人才培训基地。
第四,独立的“监管审计”。就像上市公司要被独立审计一样,AI治理机构也应该定期接受独立第三方的审计——不是审计财务,是审计决策过程。有没有利益冲突?有没有信息偏倚?有没有程序违规?审计结果应该公开。
第五,这个可能最不现实但也最重要:建立跨国AI治理问责网络。AI是全球性的,单个国家的监管问责是不够的。一个国家监管松了,公司就跑到那个国家去。需要某种国际协调机制——不是统一标准,那不现实——至少是信息共享和经验交流。UNESCO和OECD在做这个事,但目前还停留在“讨论”阶段。
回到那个拉丁语
Quis custodiet ipsos custodes。谁来看守看守者。
两千年前的问题,今天依然没有完美答案。但有一个原则是清楚的:任何拥有权力的机构都必须接受某种外部监督。这不是对监管者的不信任——这是对权力本身的清醒认识。好的监管者也需要被监管,不是因为他们不好,是因为权力本身会腐蚀人。
AI治理的权力正在快速膨胀。全球二十多个新机构、数百亿预算、越来越大的执法权——这些权力如果没有配套的问责机制,最终受害的还是公众。不是AI伤害了公众,是管AI的人伤害了公众——可能是因为被行业俘获而放松监管,可能是因为能力不足而做出错误判断,也可能只是因为没人盯着而懈怠了。
推荐阅读
[1] Harvard Law Review (2025). Co-Governance and the Future of AI Regulation. Vol. 138.
[2] arXiv (2025). Big AI's Regulatory Capture: Mapping Industry Interference in AI Governance. arXiv:2605.06806.
[3] Lawfare (2023). The Chaos at OpenAI is a Death Knell for AI Self-Regulation. lawfaremedia.org.
[4] Issue One (2025). Big Tech's Lobbying Is Relentless. issueone.org.
[5] Public Citizen (2025). $1.1 Billion in Big Tech Political Spending. citizen.org.
[6] UNESCO (2025). Who Governs AI in the EU? A Breakdown of Authorities. unesco.org.
[7] EU AI Act (2024). Regulation (EU) 2024/1689. Chapter V: Enforcement.
[8] ResearchGate (2024). How Do AI Companies Fine-Tune Policy? Examining Regulatory Capture in AI Governance.
[9] Balsillie Papers (2025). Exploring the Influence of Big Tech Lobbying on Canadian Tech Policy.
[10] Stiglitz, J.E. (2019). People, Power, and Profits. W.W. Norton.
[11] LessWrong (2024). Ilya Sutskever and Jan Leike Resign from OpenAI.
[12] PureAI (2024). OpenAI Team that Polices AI Superintelligence Disbanded.
[13] OECD (2024). AI Policy Observatory: Governance and Accountability.
[14] 中国网信办 (2023). 生成式人工智能服务管理暂行办法.
