網上投稿
目錄
引言
一、歐盟人工智能法案的適用范圍
二、以風險等級為基礎的監管模式
三、專章規制通用人工智能模型
四、法案對我國立法的重要借鑒意義
評析
引言
2024年3月13日,歐洲議會表決通過了歐盟醞釀已久的人工智能法案(Artificial Intelligence Act)(下稱“歐盟人工智能法案”),該法案被普遍視為世界上第一部較為全面用于規范新興的人工智能產業的綜合性法律文件。
鑒于歐盟人工智能法案規定的域外效力、分級的監管模式、嚴厲的罰則(罰金可高達3500萬歐元或7%的全球年營收)、以及歐盟重要的市場地位,預計該法案將對全球人工智能產業的發展帶來實質性的影響,并為后續各國陸續制定本國的相關規則提供重要的借鑒意義。
值得注意的是,目前歐洲議會通過的法案文本并非正式生效的最終稿。根據歐盟的立法程序,法案還需經文本語言的校對及歐洲理事會的批準,在歐盟官方公報上公布后二十天方才生效(預計將在今年的五月或六月)。此外,歐盟人工智能法案的不同部分亦將分階段施行,比如被禁止實施的人工智能相關條款將在生效日六個月后適用、行為準則條款將在生效日九個月后適用、有關通用人工智能治理的條款將在生效日十二個月后適用、而高風險人工智能系統的合規義務則留有三十六個月的期限,為不同類型、不同風險的人工智能系統有針對性地預留了一定的過渡期和整改期。
本文將首先簡要介紹歐盟人工智能法案的主要立法內容及重大亮點,同時思考并評述其對我國后續人工智能領域立法可以帶來的借鑒,供各位讀者參考、探討和交流。
一、歐盟人工智能法案的適用范圍
歐盟人工智能法案的適用范圍廣泛且具有明確的域外適用效力。對于人工智能系統的提供者(不限于人工智能的開發者,相關人工智能系統的所有方或人工智能系統在其名下或貼其商標者,皆可構成),只要在歐盟市場投放或投入使用(不論是否收費)其人工智能系統或其人工智能系統產生的結果被用于歐盟境內,無論該提供者的實體是否在歐盟境內,都將受到歐盟人工智能法案的約束。
歐盟人工智能法案還適用于在歐盟境內的人工智能系統部署者(指在其授權范圍內并在其職業活動中使用人工智能系統的主體,但自然人用于個人的非職業活動除外)。對于處于歐盟境外的部署者,只要相關人工智能系統產生的結果被用于歐盟境內,歐盟人工智能法案依然適用。
另外,除了上述人工智能系統的提供者和部署者,對于人工智能產業鏈上的進口商、分銷商等主體,歐盟人工智能法案亦設定了相應的合規義務。
二、以風險等級為基礎的監管模式
歐盟人工智能法案將人工智能系統的風險等級細分為不可接受風險、高風險、有限風險及最低風險四類,對不同風險等級的人工智能系統差異化地提出了對應的合規要求,而具有不可接受風險的人工智能系統則直接會被禁止。以下表格將分類說明:
三、專章規制通用人工智能模型
在歐盟人工智能法案立法的過程中,由于人工智能大模型快速的發展,法案專門制定一個章節對通用人工智能模型(general-purpose AI model,即經大量數據訓練并展現出實質通用性可完成廣泛而多樣任務的人工智能模型)進行監管,并以是否存在系統性風險(systemic risk)進行區分,對具有系統性風險的通用人工智能模型提出更高的合規要求。
而衡量是否具有系統性風險的標準主要是基于對通用人工智能模型技術性能指標的判斷,若通用人工智能模型達到或高于歐盟人工智能法案不時更新的技術參數(例如用來訓練通用人工智能模型的算力總量),則將被視為具有系統性風險。也就是說技術性能越強大,越有可能構成具有系統性風險的通用人工智能模型。
通用人工智能模型的提供者在歐盟人工智能法案下需履行的義務包括:公布足夠詳盡的訓練數據總結、遵守歐盟版權法、確保通用人工智能模型生成的結果得到恰當的標識等。對于具有系統性風險的通用人工智能模型,其提供者則還應履行額外的合規義務,在投放市場前對模型進行評估從而識別和緩解可能存在的系統性風險、向歐盟委員會及相關國家機構跟蹤并報告突發事件、為人工智能模型及其物理硬件提供足夠的網絡安全措施等。
四、法案對我國立法的重要借鑒意義
與歐盟類似,中國也正處于人工智能領域立法的重要關口。因此,歐盟人工智能法案的出臺也對我國后續人工智能領域立法具有重要借鑒意義:
1、“分級分類”風險治理理念
如本文第二節所述,歐盟人工智能法案將“分級分類”風險治理理念作為人工智能風險治理的一項重要基本原則,配以相應的分級分類標準,并分別明確監管重點及適用的監管手段。
特別地,對于重點監管的高風險人工智能系統,歐盟人工智能法案采取“清單治理”+“動態管理”的風險治理路徑:(1)就“清單治理”,法案對屬于高風險人工智能系統的類型和應用領域進行列舉,并明確歐盟委員會可通過立法不斷調整高風險人工智能系統的清單;(2)就“動態管理”,法案以全生命周期模式對高風險人工智能系統進行監管,對其“上市前-上市時-上市后”提出全方位的合規要求。
對我國而言,“分級分類”的監管原則其實早在《生成式人工智能服務管理暫行辦法》即已提出,但暫行辦法中尚未詳細展開,因此歐盟人工智能法案對于我國后續將如何對人工智能技術的“分級分類”監管體系落于紙面,尤其是如何監管作為監管重點的高風險人工智能系統,提供了可供參考的思路,具有相當的借鑒意義。
2、個人隱私與數據保護
歐盟人工智能法案中強調了在人工智能系統的開發和應用中保護個人隱私的重要性,并與歐盟《通用數據保護條例》(General Data Protection Regulation)等現有歐盟法律相互補充。
同樣地,對于人工智能領域中的個人信息、隱私權和數據安全保護理念在《生成式人工智能服務管理暫行辦法》中亦已有明確規定。可以預見,后續我國人工智能領域的立法很可能也會參照歐盟人工智能法案,尋求與《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規的有機結合,在法律原則和條款上進行援引,相互補充。
3、支持創新與中小企業發展
值得注意的是,歐盟人工智能法案中專門規定了“支持創新的措施”,其中提到“監管沙盒(Regulatory Sandbox)”,一種由政府部門主導的監管工具,可以由中小企業免費參與或享受申請便利。該等監管工具允許企業在監管機構的監督下,在有限期間內測試和實驗新的創新產品、服務或業務。此外,歐盟人工智能法案還規定了一系列針對中小企業的保護措施。
目前,我國中小企業在人工智能領域各項政策中仍處于較弱勢地位,從技術及商業創新的角度,建議我國后續立法中可以參照歐盟人工智能法案給予中小企業更多機會和支持。
評 析
歐盟人工智能法案標志著全球范圍內對人工智能技術綜合性規制的重要一步,為人工智能系統的發展、部署與使用設定了明確的法律框架。類似地,我國也正處于人工智能領域立法的重要十字路口,故歐盟人工智能法案對我國加快、加強人工智能領域立法的體系化和系統性、細化風險分級分類制度以及通過制度設計鼓勵創新等方面具有相當的借鑒意義。
同時,可以預見,隨著我國人工智能領域立法的不斷出臺,以及跨法域人工智能產品及服務的不斷涌現,不可避免得將出現歐盟人工智能法案和我國人工智能法律法規的重合適用,甚至是沖突(例如標準不同/沖突,數據存儲、歸屬等等),我們建議相關企業對行業法律法規及政策保持密切關注,及時聘請法律專業機構協助分析和應對相關合規風險,做到未雨綢繆、行穩致遠。
后續我們將持續關注歐盟人工智能法案通過后的不斷發展和變化,以期一窺全球人工智能領域立法的監管思路及監管趨勢,供各位讀者參考、探討和交流。