当地时间12月9日晚,欧洲议会、欧盟委员及各成员国三方就《人工智能法案》(ARTIFICIAL INTELLIGENCE ACT)达成协议,这意味着该法案已完成欧盟的立法程序,即将正式公布:自此该法案自此进入技术性完善阶段,即将发布正式方案版本。这意味的《人工智能法案》(ARTIFICIAL INTELLIGENCE ACT)很有可能成为全球第一部关于人工智能领域的全面监管法规。
(一)《人工智能法案》的规划历史
据欧盟披露:《人工智能法案》目的是促进以人为中心和值得信赖的人工智能的普及,并确保在欧盟对健康、安全、基本权利、民主和法治以及环境进行高水平的保护,使其免受人工智能系统的有害影响。其《法案》的简要立法议程如下:
于2021年4月,欧盟就《人工智能法案》提交谈判授权草案
2023年5月欧洲议会内部的相关委员会通过了新一版《人工智能法案》,为后续全体会议审议通过立场和欧盟立法机关谈判通过《人工智能法案》奠定了坚实基础
2023年6月14日,欧洲议会表决通过了《人工智能法案》折衷草案
2023年12月9日欧洲议会、欧盟委员及各成员国三方结束了《人工智能法案》的谈判,初步达成一致。
(二)《人工智能法案》的主要内容
如前文所说目前《人工智能法案》已进去正式技术完善阶段,我们尚未看到最终版本,基于《人工智能法案》提案及修正案可以了解到如法案的主要内容:
1.《人工智能法案》的监管范围
《人工智能法案》主要监管人工智能系统的提供者和部署者,两个定义的范围都非常广泛,只要是提供人工智能服务的主体,无论是开发、发行,还是仅仅作为经销商或中间授权方,都属于监管的对象。
提供者和部署者的下列活动均会受到《人工智能法案》监管:(1)将人工智能系统投入欧盟市场或在欧盟内投入使用的提供者,无论这些提供者是在欧盟域内还是欧盟域外国家;(2)在欧盟域内设立机构或位于欧盟域内的人工智能系统的部署者;(3)即使提供者或部署者的营业场所位于欧盟域外第三国,而该第三国因国际公法适用欧盟成员国法律,或者该系统输出的内容在欧盟域内使用;(4)基于健康、安全或基本权利使用在欧盟投放市场的人工智能系统受到不利影响者。
从监管范围来看基本与欧盟GDPR中对受监管的个人数据的宽泛定义保持一致。
2.《人工智能法案》基于风险的监管
《人工智能法案》对不同应用场景的AI系统实施风险定级,基于不同应用场景的风险差异性,将AI系统分为“不可接受、高、有限、极小”四个风险等级,并针对不同级别风险实施不同程度的监管规定,从而沟通起一套基于风险等级的监管制度。
不可接受的风险的人工智能系统是禁止使用的,高风险人工智能系统为欧盟重点监管对象,有限风险人工智能系统需遵循透明度要求,极小风险人工智能系统欧盟尚未发布实施干预政策。
如下是不同风险等级的人工智能系统说明:
不可接受的/被禁止的人工智能实践,如:部署潜意识技术的人工智能系统,公共场所的“实时”远程生物识别系统,使用敏感特征的生物识别分类系统,用于预测刑事或行政违法行为的风险评估的,在执法边境管理、工作场所和教育机构中的情绪识别系统,无针对性的抓取创建或扩展面部识别数据库。
高风险应被重点监管的人工智能系统:《人工智能法案》对高风险AI系统划分两种类型:一是附录II中根据某些欧盟法律作为安全组件或产品使用的AI系统;二是附录III中在特定领域使用的某些类型的AI系统。其中,附录III中列出了八个领域的高风险AI系统,具体为:1.自然人的生物特征识别和分类, 2. 关键基础设施的管理和运营, 3. 教育和职业培训,4. 就业、工人管理和获得自营职业 5. 获得和享受基本私人服务、公共服务和福利,6.执法活动,7. 移民、庇护和边境管制管理:8. 司法和民主进程。
有限风险人工智能系统:按照《人工智能法案》,有限风险的人工智能系统但应遵循透明度原则,允许适当的可追溯性和可解释性,应让用户知悉其与人工智能系统的交流或互动。
3.《人工智能法案》和CE的关系
值得注意的是《人工智能法案》要求针对高风险的人工智能系统在投入市场前,应贴有CE(Conformité Européenne)标识。《法案》不仅对AI系统的开发,部署和应用相关方提出了“全生命周期”的合规要求,同时还针对人工智能产业链的不同参与者也提出了义务要求,这些参与者包括:产品制造商、授权代表、分销商、进口商、用户或任何其他第三方。
《法案》提案中附录II 中也罗列和《人工智能法案》的相关欧盟协调法规及指令。与此同时欧盟成立了CEN-CENELEC JTC 21 ‘Artificial Intelligence’ 负责制定和采用人工智能和相关数据的标准,并为其他与人工智能相关的技术委员会提供指导。
4.《人工智能法案》违反处罚规定
2021年《法案》提出将对创建或应用AI系统过程中的违法企业处以高达约3000万欧元的行政罚款,或全球年度总营业额的2%-6%。2023年《AI法案》折衷草案将最高罚款提高到4000万欧元或前一财年全球年度营业额的7%。
(三)也许你会关心?
1.《人工智能法案》对生成式AI的监管
2023年《人工智能法案》修正版增加了两种人工智能系统的分类,分比为:通用型和基础模型人工智能系统。
通用型人工智能系统是指具有广泛适用性的人工智能系统,包括但不限于图像和语音识别、音频和视频生成、翻译和其他功能。基础模型是指经过大量的数据训练,具有很强的可适应性的人工智能系统模型,典型代表如Chat-GPT模型等。欧盟对基础模型的提供者要求必须满足基本的透明度:应在欧盟数据库中进行注册,制定详细的技术文件和易懂的使用说明,建立质量管理体系等。
2.《人工智能法案》的生效日期
如前文所说《人工智能法案》目前完成了欧盟内部的立法流程,正式生效日期需等欧盟的进一步通知。
3.世界其他国家或地区对人工智能的监管
美国:2022年10月4日提出的《人工智能权利法案蓝图》。该蓝图为人工智能系统设立了五项基本原则,分别为安全有效的系统、避免算法歧视、数据隐私、通知和解释清晰、设计人工替代方案与退出机制。2023年1月,美国国家标准与技术研究院发布《人工智能风险管理框架1.0》采用多元化的治理方案,旨在帮助相关主体部署人工智能系统,减少对人工智能技术的偏见,增强其可信度并保护个人数据隐私。
英国:2022年7月颁布的《人工智能监管政策》(以下简称《政策》),以创建新型人工智能监管机制为目标。于2023年3月,英国发布政策报告《促进创新的人工智能监管方法》,以提供具有创新性、可信赖性的人工智能监管框架为目的。以一下基本原则为基础监管基础:安全性、可靠性和稳健性、透明度和可解释性、公平性、问责制和治理以及可争议性和补救措施。
我国也不断建立自己的人工智能治理监管体系:国家网信办于2023年4月发布的《生成式人工智能服务管理办法(征求意见稿)》以及2023年7月13日发布的《生成式人工智能服务管理暂行办法》均是对人工智能领域的监管。