全球AI监管:欧盟《人工智能法案》的通过“不是欧盟AI立法终点”
2024年3月13日,欧洲议会通过了欧盟《人工智能法案》,大量报道认为,漫长议会之旅提前结束——甚至早于欧盟委员会最初提案中计划的时间,这标志着欧盟扫清了立法监管人工智能的最后障碍。事实上,该法律已被欧洲议会用作推动内部改革并呼吁欧盟制定法律方式发生重大变化的最佳范例。
然而,欧洲议会的投票通过远非欧盟人工智能立法的终点。
从中期来看,下一届欧盟委员会将在人工智能方面开展更多工作:
必须解决工作场所中的人工智能问题,并致力于吸引欧洲的投资;
将启动有关人工智能责任提案的谈判,并可能关注人工智能和知识产权;
《人工智能法案》和即将生效的更新后的《产品责任指令》、即将生效的《网络弹性法案》的实施情况。
“这很复杂”甚至不足以描述人工智能相关监管的发展,目前的欧盟《人工智能法案》只是漫长监管过程的开始。所有相关推动该法案执行的工作,将决定它将在多大程度上成为刺激值得信赖的人工智能创新的早熟工具,或过早扼杀创新的监管。
本文将结合两位欧盟专家的观点,阐述欧盟《人工智能法案》背后的复杂性。
一、《人工智能法案》概念上不适合监管人工智能
欧盟《人工智能法案》本质上是一项产品安全法规,旨在降低人类使用人工智能系统带来的风险。产品安全监管适用于单一用途产品,可以评估为此目的而应用的风险。
许多老一代的人工智能系统都是针对单一应用程序进行训练的。然而,问题来自最新的通用大型语言模型和生成人工智能系统,例如 OpenAI 的 ChatGPT、Meta 的 Llama 或 Google 的 Gemini,这些模型可以用于几乎无限的用途。评估所有风险并为所有可能的用途设计法规变得很困难。
《人工智能法案》试图解决这个问题,并规定了避免损害人类基本权利的一般义务。根据欧洲议会该法案的一位共同起草者——Kai Zenner的说法,这种产品安全和基本权利标准的监管组合并不适合人工智能模型:
我们认为《人工智能法案》在概念上不适合监管人工智能。我们从一开始就指出,将产品安全和基本权利混合在一起以及使用“实质性修改”等概念对于不断发展的人工智能系统并不适用。这种技术无法与真空吸尘器相比。而且,基本权利的保护是欧盟新立法框架(NLF,以新方法指令为代表的技术协调体系)制度没有任何经验的。然而,尽管这种概念选择所带来的法律问题在谈判过程中变得非常明显,但他们并不愿意进行概念上的改变。
例如,《人工智能法案》的大部分内容侧重于对处于有限风险和不可接受风险之间的高风险人工智能系统进行监管。根据法律规定,当用于训练的计算能力超过 10 flops(浮点计算机运算)时,通用人工智能(GPAI)模型就成为系统性风险模型。系统性风险 GPAI 模型的提供者必须进行模型评估和对抗性测试,提供用于避免有害应用程序的指标、报告事件并确保网络安全保护。目前可用的模型尚未达到该阈值。但2024年发布的下一代人工智能模型很可能会突破这个门槛。那么,这条规定可能会涵盖所有新的大型人工智能模型。
二、人工智能与版权
训练人工智能大模型需要大量数据输入,包括从网页收集的文本、扫描的文档和书籍、从网络收集的图像、电影档案中的视频、音乐收藏中的声音。其中大部分内容受版权保护。欧盟版权指令包括文本和数据挖掘目的的版权保护的例外情况,前提是用户可以合法访问输入内容。版权所有者可以选择退出例外并收取费用。
几家新闻出版商已与能够负担费用的大型科技人工智能开发商达成了许可协议。人工智能初创企业正在等待几起悬而未决的法庭案件的结果,这些案件应该会澄清对人工智能应用的版权法的解释,包括美国“变革性使用”版权原则的应用。然而,授权的数据集可能质量更高,并降低培训成本。但它们也可能减少可用的训练数据集,并导致有偏见的训练。
《人工智能法案》规定,人工智能视听和文本输出应具有机器可读的水印,以将其与人类输出和深度伪造品区分开来。然而,一方面水印技术仍处于早期阶段,很容易受到规避;另一方面,当人工智能仅协助人类时,水印义务不适用。在大多数国家,只有人类的产出可以要求版权,而机器的产出则不能。混合输出需要多少人类贡献才能获得版权?一行人写的“提示”是否足够?这些问题表明欧盟版权指令可能需要重新思考。
三、欧盟正在创建一个过于复杂的人工智能治理体系
欧盟和成员国都担心《人工智能法案》的治理体系方面干涉国家自由。因此,成员国将指定截然不同的国家主管当局,尽管第 66 条中有欧盟保障程序,但这将导致截然不同的解释和执法活动。
此外,欧盟《人工智能法案》不仅与其他法律——《通用数据保护条例》(GDPR)、《数字服务法》(DSA)、《平台工人指令》(PWD)、《医疗器械法规》(MDR)——存在法律重叠,而且与正在修订或通过的其他法律和框架也有交叠:
1、《产品责任指令》
2024年3月12日,欧洲议会正式通过了修订后的新的欧盟消费者保护规则《产品责任指令》(Product Liability Directive)。该指令建立了严格的产品责任制度,本次修订更新了其已有 40 年历史的规则。
该指令将产品范围扩大到涵盖软件和人工智能等数字产品,将损害的概念扩大到包括数据丢失或损坏,改变了由于技术或原因难以证明缺陷或因果关系的情况下的举证责任。一旦生效,这项更新后的法律将影响欧盟的许多制造商、进口商和分销商。
2、《网络弹性法案》
2024年3月12日,欧洲议会还以 517 票赞成、12 票反对、78 票弃权通过了《网络弹性法案》(Cyber Resilience Act,简称CRA)。接下来,欧盟理事会理事会将正式批准该立法,并发布在欧盟官方公报上公布使之生效。
欧盟委员会最初针对“具有数字元素的产品”提出了这项法规,其主要目标有两个:鼓励对联网设备的网络安全采取生命周期方法,并确保它们投放市场时漏洞较少;并允许用户在选择和使用连接设备时考虑网络安全。CRA定义了网络安全生态系统中的责任链,并引入了其他新义务——包括在新连接设备的技术文档中进行网络安全风险评估,以及在发现事件后24小时内报告影响连接设备安全的事件以及主动利用漏洞的要求。
3、网络安全认证框架
欧盟网络安全机构在其官网上概述了其“网络安全认证框架”。这项工作源于2019年通过的《网络安全法案》(CSA),该法案为欧盟范围内的产品、流程和服务的网络安全认证规则创建了欧盟级框架。
该框架一直是起草通用标准认证、5G以及更重要的可信云服务的基础。而“可信云服务”一直是激烈的政治和技术讨论的来源,这些讨论正是主权辩论的核心,法国一直在推动将主权要求纳入欧盟层面的计划。这场争论尚未解决,这解释了可信云方案迟迟没有最终确定的原因。
这项工作也可能与人工智能相关,因为欧盟网络安全局(ENISA)正在评估该网络安全认证工作流程是否以及如何适用于该技术,以及如何重新使用正在制定的方案。CSA认证框架部分的修正案于2023年4月提出,将其应用范围扩大到“托管安全服务”。
四、前景
《人工智能法案》的不完整性未能为人工智能开发者和部署者提供法律确定性。此外,它还会产生高昂的合规成本,特别是对于可能发现欧盟监管环境成本过高且风险过高的中小企业和初创企业而言。
无论如何,欧盟《人工智能法案》为欧盟委员会及其新成立的人工智能办公室的进一步监管工作奠定了基础。该办公室将登记并验证人工智能开发人员发送的通知。然而,该办公室将面临有限的资源,并且需要一段时间才能加快步伐。
作者简介:
Bertin Martens:欧洲与全球经济研究所(Bruegel) 的高级研究员。作为欧盟委员会联合研究中心(塞维利亚)的高级经济学家,他多年来一直致力于数字经济问题的研究,包括电子商务、地理封锁、数字版权和媒体、在线平台以及数据市场和监管。
Isabelle Roccia:国际隐私专业人员协会(IAPP)欧洲董事总经理,关注数据隐私、国际数据流、网络安全、数字贸易和数字化转型,是欧洲、欧盟成员国和多边层面这些问题决策的公认贡献者。曾担任BSA 欧洲、中东和非洲政策总监,布鲁塞尔美国驻欧盟代表团的高级政策顾问。
编译:《互联网法律评论》
【免责声明】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据。
本文来自微信公众号“Internet Law Review”(ID:Internet-law-review),作者:Bertin Martens等,36氪经授权发布。