.png)
.png)
.png)
.png)
作者:夷定
欧盟人工智能法案是全球首个全面的人工智能法规,旨在对抗AI系统可能带来的有害影响。通过这一法案,欧盟在全球AI法规领域走在了前列,不仅为AI行业的健康发展提供了法律框架,也为公众利益设定了保护基准。
背 景
在广泛的期待后,欧盟议会于2024年3月13日正式通过了一项制定人工智能(AI法案)的欧盟统一规则的提案。该文本仍需进行最终的法律语言审核,并需要得到欧盟理事会的正式批准。该提案最初由欧盟委员会在2021年4月提出,并随着技术的发展(尤其是生成性人工智能和2022年11月ChatGPT的推出)而进行了修改。AI法案是全球首个针对人工智能行业的综合性法规。它旨在确保高水平的保护,防止AI系统在欧盟造成有害影响,同时支持创新和提高内部市场的运作效率。AI法案提供了清晰的要求和义务,适用于所有市场参与者关于AI的特定用途。因此,它直接制定了在欧盟内开发、市场营销、委托和使用AI系统的规则。它还普遍适用于机器学习的培训、测试和验证数据集。以下是我们关于欧盟AI法案关键特点的分析。
1. 定义 (1)广义的“AI系统”定义为:“一个基于机器的系统,设计来以不同级别的自主性运作,部署后可能表现出适应性,该系统根据它接收的输入,为了明确或隐含的目标推断如何生成输出,如预测、内容推荐或决策,这些输出可以影响物理或虚拟环境。”此定义故意保持宽泛,以保持“技术中立”,确保法案不会因技术的不断演进而过时。 (2)高风险AI系统的双重定义:一个AI系统如果满足以下两个条件之一,将被视为高风险:(i) 是一个产品(或作为一个产品的安全组件使用),涉及特定欧盟立法(例如民用航空、车辆安全、玩具、海洋设备、升降机、个人防护装备和医疗设备);及 (ii) 需要进行第三方合规性评估,以便将该产品投放市场或投入使用。 (3)通用目的AI模型的具体定义:“一个AI模型,包括在大规模自我监督下使用大量数据训练时,显示出显著的普遍性,并能够胜任广泛的不同任务,无论模型如何进入市场,都可以整合到各种下游系统或应用中。这不包括市场发布前用于研发和原型制作活动的AI模型。” 2. 基于风险的方法 AI法案采用了基于风险程度的分层方法。风险定义为“发生损害的可能性与该损害的严重性的组合”。在此基础上:欧盟禁止了不可接受的AI实践,包括操纵性AI、社会评分系统、执法用途的公共场所实时远程生物识别系统(在非常严格的条件下可能有限的例外)以及除出于医疗或安全原因外,在工作场所或教育机构中推断情绪。 • 高风险AI系统 须遵守广泛而繁重的义务,包括实施适当的技术和组织措施、人为监督、控制执行、监控、自动生成日志以及评估对基本权利的影响。 • 低风险AI系统 必须遵守透明度要求。提供者有义务确保与自然人直接交互的AI系统设计和开发得能让相关的自然人知晓他们正在与AI系统交互。部署者也需要进行特定的披露,尤其是在生成或操纵内容的情况下。这些披露必须在自然人首次与AI系统交互或暴露于AI系统时以清晰和可区分的方式完成。 3. 通用目的AI模型 根据AI法案,模型与AI系统分开管理。根据风险对GPAI模型进行分类。如果GPAI模型具有高影响力能力(根据适当的技术工具和方法学评估,包括指标和基准),或者欧盟委员会认定GPAI模型具有等同的能力或影响,将被认为具有“系统性风险”。GPAI模型的提供者须承担特定的义务,例如: • 制定并维护模型的技术文件; • 向打算将GPAI模型整合入自己AI系统的AI系统提供者提供信息和文件; • 制定符合欧盟版权法的政策。 对具有系统性风险的GPAI模型的提供者,还包括评估和缓解系统性风险及确保适当的网络安全保护等额外义务。 4.整个价值链的义务,尤其是对部署者(用户) AI法案对整个价值链中的各方施加了义务:从供应商、进口商和分销商到在欧盟内部署AI解决方案的部署者,以及因使用在市场上销售或在欧盟提供服务的AI系统而受到负面影响的人。部署者是“在其权限下使用AI系统的任何自然人或法人、公共机构、机构或其他实体,除了AI系统是在个人非专业活动中使用的情况”。所有卢森堡公司,无论是否受监管,只要与AI系统接触(即作为AI系统的部署者),在某种程度上都可能受到AI法案要求的约束。具体要求(例如透明度、政策和程序、向当局通报)将根据它们在AI法案中的定义以及相关AI系统的风险等级而有所不同。特别是,在使用以下情况时,将适用特定的透明度义务: • 情绪识别或生物特征分类系统; • 生成或操纵构成深度伪造的图像、音频或视频内容的AI系统; • 出于向公众提供有关公共利益事项信息的目的,生成或操纵文本的AI系统。 某些实体(如银行[2]、保险公司[3]和公共服务)在部署高风险AI系统之前,必须进行基本权利影响评估。 5. AI法规沙盒 “AI法规沙盒……提供一个受控环境,促进创新,并便于开发、训练、测试和验证创新AI系统,以便在按照与主管当局商定的特定沙盒计划之前将其投放市场或投入使用。” AI法案要求各成员国的国家主管机构至少建立一个国家级AI法规沙盒,该沙盒必须在AI法案生效后24个月内运行。沙盒也可以与一个或多个其他成员国的主管机构共同设立。欧盟委员会可能为建立和运行AI法规沙盒提供技术支持、建议和工具。主管机构将根据需要在沙盒内提供适当的指导、监督和支持,以识别风险,特别是对基本权利、健康和安全的风险,测试缓解措施及其在与AI法案义务和要求相关的情况下的有效性,以及在相关的情况下其他欧盟和成员国立法的监管。 6. 治理 AI办公室:欧盟委员会将设立欧洲AI办公室,发展欧盟在AI领域的专业知识和能力。 欧洲人工智能委员会(EAIB):AI法案设立了由每个成员国一名代表组成的欧洲人工智能委员会。欧洲数据保护监察员(EDPS)将作为观察员参与,AI办公室也将参与但不参与投票。EAIB将为欧盟委员会和成员国提供咨询和协助,以便促进AI法案的一致和有效应用。 咨询论坛:AI法案设立了一个咨询论坛,为EAIB和欧盟委员会提供咨询和技术专长,以助力其在AI法案下的任务。咨询论坛的成员必须代表包括工业、创业公司、中小企业、公民社会和学术界在内的利益相关者的平衡选择。 科学小组:欧盟委员会将设立一个由欧盟委员会根据最新的科学或技术专长在AI领域选定的独立专家组成的科学小组,旨在支持AI法案下的执法活动。成员国可以请求科学小组的专家支持其在AI法案下的执法活动。 国家主管当局:每个成员国必须设立或指定至少一家通报机构和一家市场监管机构。它们的身份和任务必须通知欧盟委员会。欧洲数据保护监察员(EDPS)已被指定为监管欧盟机构、机构和机构活动的主管当局。 高风险AI系统的欧盟数据库:欧盟委员会将与成员国合作,建立并维护一个包含某些高风险AI系统信息的欧盟数据库。 7. 制裁措施 市场监管当局将能够在不遵守AI法案的情况下对违规者施加制裁。这包括最高可达3500万欧元的罚款,或如果违规者是公司,最高可达其全球年营业额的7%。对于通用目的AI(GPAI)提供者,欧盟委员会可能会处以最高1500万欧元或前一财年全球总营业额的3%(以较高者为准)的罚款。提供不正确、不完整或误导性信息给被通知机构或国家主管当局的回应,也将受到行政罚款,最高可达750万欧元,或如果违规者是公司,最高可达其前一财年全球年营业额的1%(以较高者为准)。 8. 其他要求 显然,还必须解决诸如知识产权、数据保护、监管要求、网络安全、合同和责任等问题,以确保负责任地部署AI。随着AI技术的持续发展,与法律标准的一致性变得日益重要,以减少风险并增强对AI驱动系统的信任。 未来展望
AI法案的通过标志着塑造未来AI治理的重要里程碑。一旦在欧盟官方公报中发布,AI法案将在发布后第20天生效。它通常将在生效后24个月内全面适用。然而,从文本生效时将适用特定的时间表:
6个月:将开始实施禁止系统的规定;
9个月:与实践准则相关的规定将生效;
12个月:GPAI规则将开始生效(对于在此日期之前上市的GPAI模型,将额外延迟24个月);
36个月:对高风险系统的义务将生效。
这一全面法规的实施,将确保在创新的同时也能够维护用户的基本权利和社会的公共安全,从而在推动技术发展的同时,也保护了市场的公平竞争和消费者的利益。此外,AI法案也强调了透明度和责任的重要性,为AI系统的使用和部署设定了明确的监管框架。 此法案的成功实施将需要各方面的协作,包括技术开发者、政策制定者、行业监管者及公众参与,确保各项规定能够有效执行,同时也促进了公众对AI技术的理解和信任。在AI技术快速发展的背景下,这种综合性的法规框架为其他国家和地区提供了重要的参考模板,可能引领全球在AI治理方面的新趋势。 欧盟的这一立法行动不仅展示了其在全球科技法规领域的领导地位,也可能促使其他国家和地区考虑采取类似的措施,以应对AI技术可能带来的挑战和机遇。未来,我们可能会看到更多的国际合作和标准化努力,以应对越来越复杂的技术生态系统带来的全球性问题。
