撰文 / 戈 弋
编辑 / 黄大路
设计 / 赵昊然
2024年7月12日,欧盟的《人工智能法案(EU's AI Act)》发表在《欧盟官方公报》上,这是《人工智能法案》成为法律的最后一步,意味着《人工智能法案》将在发布20天后(即8月1日)生效。
欧洲委员会内部市场专员提埃里·布雷顿(Thierry Breton)于2021年4月21日举行新闻发布会,讨论人工智能问题。照片来源:Getty Images
该法案由欧盟委员会于2021年4月21日正式提出,历时近3年终于通过,为欧盟境内人工智能系统的开发、部署和使用建立了全面的框架。该法案旨在保护基本权利,确保公共安全,并促进符合伦理和以人为本的人工智能创新。
欧盟人工智能法案建立了全面的监管框架,其管辖范围延伸至在欧盟境内运营的公共和私营实体。包括:
人工智能系统提供者,即开发人工智能系统或委托开发人工智能系统,以便以自己的名义或商标将其投放市场或投入使用的自然人或法人、公共机构、机构或其他机构,无论是否收费。
人工智能系统用户,即在其权限下使用人工智能系统的任何自然人或法人、公共机构、机构或其他机构,除非该人工智能系统是在个人非专业活动中使用。
进口商和分销商:参与欧盟市场人工智能系统进口或分销的实体需承担该法案规定的特定义务。
第三国实体:该法案的域外效力将其适用范围扩展到位于欧盟境外的人工智能系统提供者和用户,只要这些系统产生的输出在欧盟境内使用。
6月14日,欧洲议会成员在全体会议上投票表决《人工智能法案》。照片来源:Getty Images
欧盟制定《人工智能法案》主要有两大原因:一是在欧盟成员国之间协调AI技术的监管规则,二是为AI提供更明确的定义。
为了监管AI,首先需要定义人工智能究竟是什么?在已发布的文本中,AI系统的定义确定为:一种基于机器而以不同程度的自主性运行、在使用后可能表现出适应性的系统,且基于明确或隐含的目标,该系统从其接收的输入中推断出如何生成可能会影响物理或虚拟环境的输出,如预测、内容、建议或决策。
该定义的关键词在于“推断”和“自主”,这两个关键词将人工智能系统与任何其他通过严格算法预先确定输出的软件明确区分。随着人工智能技术的发展,一项(相对)简单的监管措施已难以涵盖快速变化的各种技术。
《人工智能法案》采用基于风险的方法来监管人工智能系统,基于人工智能系统对用户和社会的潜在影响程度将其分为4类:不可接受风险类、高风险类、有限风险类、最小风险类。
不可接受的风险(Unacceptable risk):该法案禁止任何试图操纵人类行为、利用人性弱点或支持政府社会评分的人工智能系统。例如旨在操纵社会老年成员的系统;语音激活的玩具,鼓励儿童进行危险行为;工作场所和学校的情感识别系统以及预测性警务实践;引用敏感个人数据的生物识别分类系统等。
高风险(High risk):高风险类的人工智能系统被认为对健康、安全、基本权利和法治构成重大威胁,法案规定的大部分义务适用于高风险的人工智能系统。
这类系统范围可以分为两个子类别:有形产品和软件。前者适用于纳入欧盟产品安全立法的产品中的AI系统,例如玩具、航空、汽车、医疗设备和电梯等;后者主要是基于软件的产品,可能影响执法、教育、就业、移民、关键基础设施以及获得基本公共和私人服务的访问。
所有高风险的人工智能系统在上市前将接受评估,并在其整个生命周期内接受评估。
有限风险(Limited Risk):不属于高风险类别,但确实构成某些与最小风险系统(如聊天机器人)无关的人工智能系统或用途的分类。这类人工智能系统被认为不会构成任何严重威胁,与其相关的主要风险是缺乏透明度。法案对有限风险类人工智能系统施加了一定的透明度义务,以确保所有人类用户在与人工智能系统互动时都能充分了解相关情况。
最小风险(Minimal Risk):对个人及其权利影响最小的人工智能系统或用途的分类,包括人工智能电子游戏、库存管理系统、垃圾邮件过滤器等应用。欧盟目前使用的绝大多数人工智能系统都属于这一类。这类人工智能系统在很大程度上不受《人工智能法案》的直接监管(而是受其他欧盟和国家立法的监管)。
该法案将几类人工智能系统排除在其范围之外,包括但不限于:仅为科学研究和开发目的而专门开发和投入使用的人工智能系统或人工智能模型及其输出;在纯粹个人非专业活动中使用人工智能系统的自然人;专门为军事目的而投放市场、投入使用的人工智能系统;在法规适用日期之前投放市场或投入使用的人工智能系统。
此外,AI系统还必须遵守透明度要求和欧盟版权法,如果披露内容是由AI生成的或修改的内容(如深度伪造的图像、音频或视频文件)必须明确标明为AI生成,以便用户在遇到此类内容时能够知晓。具有重大影响的通用型人工智能模型,如更先进的人工智能模型GPT-4,必须经过彻底的评估,任何严重事件必须向欧盟委员会报告。
《人工智能法案》将于2024年8月1日生效,但并不会立即开始适用,而是有一定的缓冲期,分阶段适用,让相关企业有时间做好充分准备。
2025年2月2日
被视为不可接受的人工智能实践系统必须完全从市场上撤出。
2025年5月2日
发布通用人工智能系统的准则。这些准则将为那些不专为单一应用定制。而可用于各种目的的人工智能系统提供监管期望指导。
2025年8月2日
对通用人工智能模型实施治理、处罚和风险评估。实施对社会评分系统和未经授权的公共场所实时生物特征识别系统的具体禁令。
2025年4月
引入人工智能应用的实践准则。人工智能办公室将负责监督这些准则的制定和实施,为组织提供如何遵守法规的实际指导。
2025年8月2日
高风险人工智能系统的更全面规则生效。通用型AI(GPAI)模型如聊天机器人,必须遵守版权法,并满足与分享训练系统所用数据的摘要相关的透明度要求,必须建立治理结构(AI办公室、欧洲人工智能委员会、国家市场监管机构等)。
2026年2月2日
欧洲委员会将通过实施法案,制定详细的条款,为市场后监控计划和计划中应包含的元素建立模板。
2026年8月2日
每个成员国必须至少建立一个人工智能监管沙盒。这些沙盒旨在通过提供一个受监管环境,让人工智能系统在监管监督下进行测试,从而促进创新和合规。
2027年8月2日
高风险人工智能系统提供者的合规截止日期。到此日期,提供者必须确保其提供的所有高风险人工智能系统都完全符合法规要求。
2028年8月2日
将对该法规进行预定的评估和审查,以评估其有效性。这也将是一个考虑是否需要对法规进行任何修订的机会。
2030年8月2日
公司必须确保提供的和部署的人工智能系统符合欧盟内现有的行业特定人工智能法规和标准。已获豁免的高风险人工智能系统由公共机构使用的,必须符合规定。
这幅关于人工智能的插图实际上是由人工智能生成的
一旦《人工智能法案》开始适用,欧盟内人工智能系统的提供商和部署者,以及进口商、分销商和产品制造商,都必须遵守广泛的安全和治理职责,根据人工智能系统的性质和业务的作用,可能包括透明度要求、事件报告、风险管理、合规和监控以及文档和记录保存等。
如果一个组织未能及时实施这些规定,或者在《人工智能法案》全面生效后无视其义务,他们可能会因不遵守而受到严厉处罚,包括因未遵守与禁止行为有关的义务而处以最高3500万欧元的罚款,或前一年全球年营业额的7%(以较高者为准)。
因未能遵守与通用人工智能或高风险人工智能系统有关的义务,会被处以最高1500万欧元或上一财政年度全球年营业额的3%(以较高者为准)的罚款。
因应理事机构/当局的要求,向理事机构/当局提供不正确、不完整或误导性信息,将被处以最高750万欧元的罚款,或上一个财政年度全球年营业额的1%(以较高者为准)。
值得注意的是,《人工智能法案》具有广泛的域外适用效力,在其国际范围之外,欧盟对人工智能的监管方法似乎越来越成为全球政府和监管机构的标准。
美国
作为人工智能技术的引领者,美国为确保自身在人工智能领域的全球领导地位,近几年在行政条令和立法层面进行了诸多尝试,体现出美国在人工智能领域依然贯彻了立法先行的思路,科学完备的法律体系建设将有利于为美国布局安全可控的人工智能提供坚实的制度保障。
2023年2月,拜登总统签署了《关于通过联邦政府进一步促进种族平等和支持服务不足社区的行政命令》,以“指示联邦机构在设计和使用包括人工智能在内的新技术时要消除偏见,并保护公众免受算法歧视。”
2023年5月下旬,拜登政府进一步明确其人工智能治理方法。白宫科技政策办公室(Office of Science and Technology Policy,OSTP)发布了修订后的《国家人工智能研发战略计划》,以“协调和集中联邦研发投资”。
2023年10月30日,美国总统拜登签署《安全、稳定、可信的人工智能》行政令,以确保美国在AI发展和管理风险方面处于领先地位。目前,上述行政令仅仅为人工智能监管划定了原则和方向,建议针对生成式人工智能解决方案区分“红队”,特别是在消费者健康和安全、敏感信息隐私(健康、财务、身份认证、生物识别等)以及就业等高风险领域。
2024年5月17日,美国科罗拉多州州长贾里德·波利斯(Jared Polis)签署了“关于在与人工智能系统的互动中提供消费者保护的法案(SB205)”,成为美国第一部对人工智能及其用例提出具体要求的州级综合性人工智能“监管立法”。
过去两年来美国关于人工智能监管的讨论可谓热火朝天。仅去年一年,众议院和参议院委员会光是人工智能的听证会就有三十多场,本届国会也提出了三十几项不同形式、不同路径的人工智能监管法案。
不过,针对人工智能的联邦立法阻力越来越大,一方面由于联邦法案过于复杂,牵涉内容太广,立法过程可能不是一次性事件,而是需要多个国会周期才能完成;另一方面,科技公司嘴上支持监管,实则已经动员起一个庞大的反监管游说网络,它们认为人工智能是一项新兴技术,还处在快速发展阶段,过早的立法可能会限制技术的创新和进步。
中国
人工智能技术在中国已经得到了广泛的应用,因此中国政府高度重视人工智能的发展和治理,近年来出台多部关于人工智能和网络数据相关法律法规和指导意见。
2023年7月13日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、国家广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),自2023年8月15日起施行。这是中国首次对生成式AI研发及服务作出明确规定。
2024年5月9日,国务院办公厅印发《国务院2024年度立法工作计划》(以下简称《国务院立法计划》),多部网络法治相关立法在列,“人工智能法草案”再次列入预备提请全国人大常委会审议项目。
不过,对于人工智能的许多法律问题,中国业界尚未达成共识,人工智能相关法律法规散见于各部门法中,尚未形成系统完备的人工智能立法。
有的专家表示,在域外已经出台人工智能专门立法的情况下,中国基于自己国情,应坚持小步走不停步的立法策略。也有专家认为,要通过提供法律和政策上的手段,促进人工智能的开发和利用。还有的业界人士认为,在制定法律时应坚持安全和发展并重,对人工智能的焦虑只能通过制度的方式来消除,应以提高人工智能透明度为抓手,实现可信的人工智能。
结语
随着人工智能的技术发展日新月异,如何更合理地利用人工智能造福人类,成为公司、组织乃至国家需要迫切需要解决的问题。
欧盟《人工智能法案》建立了世界上第一个全面的人工智能监管框架,旨在利用人工智能的益处同时减轻其风险。通过在整个欧盟范围内实施统一的规则,《人工智能法案》创造了一个协调的监管环境,将简化跨成员国运营企业的合规程序。
然而,该法案也带来了挑战。比如高风险人工智能系统的广泛要求可能对小型企业和初创公司造成重大合规挑战。再如分阶段实施的时间表虽然提供了适应时间,但也可能造成监管的不确定性。
其成功或局限性可能会影响欧盟内部和全球未来的监管努力,但为数字时代负责任的人工智能的监管提供了先例。
在不久的将来,人工智能立法的热潮必将迎来相关执法的趋严,全球的政策制定者和行业领袖将密切关注欧盟《人工智能法案》的实施情况。不少中国企业及产品也在其适用范围之内,中国的人工智能行业及相关企业,可以通过关注《人工智能法案》的实施,对全球人工智能监管有充分了解,并提前做好应对的准备。