欧盟《人工智能法案》规制路径概览
2023-07-14 09:02:19 | 来源:人民法院报 | 作者:王一君
 

  近年来,人工智能愈加凸显出对经济与社会发展的强大驱动力与潜力,但同时,其发展也带来一定的风险。基于此,欧盟两年前着手制定《人工智能法案》(以下简称《法案》),意图通过统一的法律监管框架,以基于风险识别分析的方法,为不同类型的人工智能系统提出不同的要求和义务,从而确保基于人工智能的商品和服务在高度保护健康、安全、公民基本权利和保障公共利益的前提下,促进人工智能规范化的开发、使用和营销。

  2023年6月14日,欧洲议会表决通过了《法案》草案,预计在欧洲议会、欧盟委员会和欧盟理事会完成谈判后,《法案》将在今年晚些时候通过。《法案》最终审批通过后,将会为企业和组织留出一段宽限适应期,通常为两年左右。

  《法案》的主要内容

  《法案》是第一部通过议会程序专门针对人工智能的综合性立法。虽然欧洲议会和欧盟委员会、欧洲理事会之间对于人工智能监管仍存在一些分歧,《法案》的最终版本仍将妥协和调整,但《法案》确立的规则将完全符合欧盟的权力和价值观。

  (一)管辖范围和域外效力。《法案》主要监管人工智能系统的提供者和部署者,两个定义的范围都非常广泛,只要是提供人工智能服务的主体,无论是开发、发行,还是仅仅作为经销商或中间授权方,都属于监管的对象。对于人工智能系统的产业参与者,只要其针对欧盟市场提供产品或开展服务,或其产品、服务有可能在欧盟境内被销售、使用,甚至位于欧盟的用户可能因使用其产品受到不利影响,都需要遵守《法案》的相关规定。

  具体而言,《法案》的管辖(包括域外适用)范围,包括属人、属地和实质判断多个管辖标准,提供者和部署者的下列活动均会受到《法案》监管:(1)将人工智能系统投入欧盟市场或在欧盟内投入使用的提供者,无论这些提供者是在欧盟域内还是欧盟域外国家;(2)在欧盟域内设立机构或位于欧盟域内的人工智能系统的部署者;(3)即使提供者或部署者的营业场所位于欧盟域外第三国,而该第三国因国际公法适用欧盟成员国法律,或者该系统输出的内容在欧盟域内使用;(4)基于健康、安全或基本权利使用在欧盟投放市场的人工智能系统受到不利影响者。

  (二)基于风险识别的监管框架。《法案》对不同人工智能的风险程度进行分级并采取不同的监管措施,将人工智能的风险等级区分为不可接受的风险、高风险、有限风险、低或轻微风险,其中前三类将受到《法案》的监管:

  (1)不可接受的风险的人工智能系统是禁止的。对人的安全具有不可接受的风险的人工智能系统将被禁止,如部署潜意识技术的人工智能系统、公共场所的“实时”远程生物识别系统、使用敏感特征的生物识别分类系统、预测性警务系统、执法边境管理、工作场所和教育机构中的情绪识别系统、无针对性地从互联网或闭路电视录像中抓取面部图像以创建面部识别数据库的系统等。

  (2)高风险人工智能系统要重点监管。《法案》要求提供者将产品投入市场前,均应在欧盟委员会的数据库进行注册,并进行一般性事前评估:在使用“CE”标识(即安全合格标志)并投放市场前,均应遵守现有产品安全法规的相关要求,如欧盟尚无相关产品安全法规的,提供者应自行进行合格性评估。而对用于生物识别的高风险人工智能系统,则需由欧盟认证机构进行评估。《法案》还对人工智能产业链的不同参与者也提出了细化要求:提供者是人工智能系统的最终负责人,部署者要履行风险防范义务,其他参与者要履行以审查义务为核心的一系列的合规义务。

  (3)有限风险人工智能系统需遵循透明度要求。该类风险等级的人工智能系统无须取得特殊牌照、认证或履行报告、记录、留存等义务,但应遵循透明度原则,允许适当的可追溯性和可解释性,应让用户知悉其与人工智能系统的交流或互动。

  (三)通用型人工智能和基础模型的特别监管。《法案》审议过程中,以ChatGPT-3、DALL-E、Midjourney等为代表的通用型人工智能的风靡引起欧盟立法者的关注,故在《法案》中对通用型人工智能系统和基础模型有特别监管措施。

  通用型人工智能系统是指具有广泛适用性的人工智能系统,包括但不限于图像和语音识别、音频和视频生成、翻译和其他功能。基础模型是指经过大量的数据训练,具有很强的可适应性的人工智能系统模型,典型代表如GPT模型、Stable Diffusion模型等。《法案》对通用型人工智能系统和基础模型提出了特别要求,即应当适用高风险人工智能系统的监管规则,其中通用型人工智能系统的提供者应履行相关的内部控制和合格性评估程序,产品投入市场后10年内向监管部门提供技术文件等。

  基础模型的提供者应在欧盟数据库中进行注册,制定详细的技术文件和易懂的使用说明,建立质量管理体系等。

  (四)倡导负责任的研究和创新。具体路径包括建立人工智能科学家和工程师的道德责任、研究人工智能的伦理设计、推动人工智能跨学科、多主体之间的对话、加强社会公众参与。《法案》还提倡监管沙盒,即由公共当局建立现实生活中的受控环境,并在有限的时间内促进创新人工智能系统的开发、测试和验证,然后再有计划地投放市场或投入使用。《法案》鼓励成员国研究和开发对社会与环境有益的人工智能方案,如为残疾人提供方便、解决社会经济不平等问题,这些体现了人本主义,即实现可持续发展、科技向善、多方共治和社会包容等人文目标。

  (五)严格的执行机制和惩罚措施。《法案》规定,欧盟委员会负责促进《法案》的实施并协调各成员国监督机构之间的合作,各成员国监督机构具体负责对高风险人工智能系统合规情况的监督,有权要求系统提供者对不合规的人工智能系统进行改进,甚至禁止、限制、撤销或召回不符合《法案》要求的人工智能系统。为制裁不遵守法案的行为,《法案》制定了不同的行政罚款:对不遵守禁止性人工智能系统相关规定的主体,将被处以最高4000万欧元或全球年总营业额的7%的罚款;对不遵守高风险人工智能系统项下有关数据及数据治理、明确说明义务的主体,将被处以最高可达2000万欧元或全球年总营业额的4%的罚款;对未遵守《法案》其他规定(包括对于基础模型的规定)的主体,将被处以最高可达1000万欧元或全球年总营业额的2%的罚款。

  《法案》面临的挑战

  (一)人工智能迭代快,监管机制前瞻难。欧洲立法者希望为人工智能领域的规范发展建立一套完整、系统的监管框架,但人工智能近年来的快速发展和更新迭代,为《法案》预期目标的实现带来了不小挑战,《法案》在审议过程中的争论以及《法案》推进到后期时,对通用型人工智能和基础模型不得不紧急“打补丁”,都反映出法律的监管滞后于人工智能行业的发展。

  (二)超前制定监管措施,引发产业发展担忧。欧盟数字领域立法一直走在前列,但总体而言,属于偏规制型的立法,对产业促进方面的规定较少。《法案》超前和过度的监管让人工智能实务界充满担忧:如可能使人工智能企业在欧洲承担过高的成本,可能迫使创业者和创新者转移至监管环境宽松的地方等。

  (三)企业自治要求高,规制有效性存疑。《法案》对人工智能系统提供者附加的合规评估义务仅涉及内部程序,外部监督不足,对批准入市后的人工智能系统监管过于宽松,可能降低规制的有效性和可执行性。

  《法案》广泛的管辖范围和域外效力,基于风险等级的全过程监管以及严格的执行惩罚措施,引发了欧盟企业对合规压力和隐形成本的担忧。欧盟在平台责任、隐私保护、网络版权等方面出台的规则均较早,但形成反差的是,欧盟近20年互联网产业发展并未领先。政府对产业治理的根本出发点是为了更好的发展,因此,在推动立法过程中,应坚持规范与发展并重的原则,使用政策指南、沙盒技术、应用试点等监管工具,实现规范发展和鼓励创新的双重价值目标。

  [本文系国家社科基金项目(项目编号:19XFX013)《租购并举住房法律制度建构研究》的阶段性成果]

  (作者单位:西南政法大学民商法学院)

责任编辑:张婧