|
作者:云亭數(shù)據(jù)情資合規(guī)工作組|鄧一鋒 經(jīng)歷數(shù)年艱苦磋商與準備,歐盟《人工智能法》【(EU) 2024/1689】于北京時間2024年8月2日正式生效�����,除少數(shù)條款分階段生效的安排外��,大部分條款開始付諸實施。該法是全球第一部專門規(guī)制人工智能的綜合性法律��,包含180段序言�����、13章113條和13個附件。法規(guī)基于風(fēng)險等級����,搭建出自聯(lián)盟層面至成員國的監(jiān)管組織框架,確立了較為嚴格的監(jiān)管標準���、程序和要求�,將有助于塑造人工智能的未來發(fā)展方向,防范潛在的風(fēng)險���,并在全球范圍內(nèi)促進對人工智能的可持續(xù)監(jiān)管����。歐盟官員Thierry Breton在其社交媒體上毫不避諱的宣稱“歐洲現(xiàn)在是人工智能領(lǐng)域的全球標準制定者?!弊鳛槭澜缡撞空綄嵤┑娜斯ぶ悄芊?,新法中有不少值得稱道的亮點����,在人工智能的規(guī)范治理方面走在了前列����,為其他地區(qū)同類立法樹立了標桿��。回顧《通用數(shù)據(jù)條例》(以下簡稱GDPR)實施后對全球數(shù)據(jù)治理產(chǎn)生的深刻影響�,《人工智能法》在對人工智能領(lǐng)域的標準塑造和對產(chǎn)業(yè)鏈主體的強化監(jiān)管方面已經(jīng)隱隱產(chǎn)生效果。 如同GDPR對數(shù)據(jù)立法的影響,《人工智能法》的部分制度安排也不免被其他法域所借鑒和引用��。新法在AI系統(tǒng)定性分級�、監(jiān)管手段等多方面具有開創(chuàng)性����,值得我們予以關(guān)注�����。法規(guī)依照人工智能的風(fēng)險等級���,將AI系統(tǒng)分為禁止類���、高風(fēng)險���、非高風(fēng)險����,對應(yīng)著不同等級的監(jiān)管策略�。嚴重侵犯公民基本權(quán)利和違反歐盟價值觀的AI實踐被確定為禁止類,不被允許在歐盟領(lǐng)域部署或運行。高風(fēng)險AI實踐,是指作為產(chǎn)品安全組件及用于關(guān)鍵基礎(chǔ)設(shè)施�、教育、執(zhí)法�、司法���、移民邊控等領(lǐng)域的AI系統(tǒng)����,需滿足法規(guī)一系列強制性要求才能進入歐盟市場�����。非高風(fēng)險類是指既不屬于被禁止的范疇��,也不滿足高風(fēng)險認定條件且不在法規(guī)附件III高風(fēng)險列表內(nèi)的AI系統(tǒng),此類AI系統(tǒng)無需履行特別的認證或許可����,在滿足透明度要求前提下并不受到過多的監(jiān)管干預(yù)。透明度是指人工智能系統(tǒng)的開發(fā)和使用方式應(yīng)允許適當?shù)目勺匪菪院涂山忉屝?,同時讓人類意識到他們與人工智能系統(tǒng)進行了交流或互動,并適當告知部署者該人工智能系統(tǒng)的能力和局限性�����,以及受影響者的權(quán)利�。通用型人工智能系統(tǒng)及模型,必須滿足透明度要求����,設(shè)計和開發(fā)者應(yīng)確保其操作具有足夠的透明度��,使部署者能夠解釋系統(tǒng)的輸出并加以適當使用�����。人工智能產(chǎn)業(yè)中�����,生成式人工智能只是其中一個方向�����,對其監(jiān)管在多數(shù)情形下可以直接套用知識產(chǎn)權(quán)����、數(shù)據(jù)安全的法律框架�。新法對人工智能的監(jiān)管�����,不僅局限于生成式人工智能����,而是從基礎(chǔ)的通用性人工智能著手,賦予監(jiān)管更為扎實的底層邏輯��,將不同類型的人工智能都納入規(guī)制�,對更有可能引起產(chǎn)業(yè)變革的如具身人工智能起到前瞻規(guī)范效果�����。為預(yù)防人工智能可能帶來的危害���,平衡技術(shù)創(chuàng)新和風(fēng)險����。法規(guī)引入了監(jiān)管沙盒機制���。由監(jiān)管當局建立可控和相對安全的環(huán)境���,在該環(huán)境下開發(fā)、訓(xùn)練���、驗證和實驗創(chuàng)新性AI系統(tǒng)���,監(jiān)管者可以通過對測試的監(jiān)控及時了解AI運行動態(tài),鑒別出不合時宜的監(jiān)管規(guī)則�,發(fā)現(xiàn)監(jiān)管體制存在的漏洞與缺陷,以便做出及時的調(diào)整和補充����,進一步完善監(jiān)管��。通過沙盒機制����,一方面可以加速AI產(chǎn)品和服務(wù)的上市速度����,另一方面可以為監(jiān)管規(guī)則的制定提供動態(tài)檢驗機制,有利于促進監(jiān)管與發(fā)展的動態(tài)平衡。 ●在歐盟領(lǐng)域內(nèi)將人工智能系統(tǒng)投放市場或投入使用或?qū)⑼ㄓ萌斯ぶ悄苣P屯斗攀袌龅奶峁┱?�,無論是設(shè)立或位于歐盟還是第三國; ●在歐盟領(lǐng)域內(nèi)設(shè)立或位于歐盟的人工智能系統(tǒng)部署者��; ●設(shè)立地或所在地位于第三國�����,但其人工智能系統(tǒng)的產(chǎn)出被用于歐盟的系統(tǒng)提供者和部署者���; ●人工智能系統(tǒng)的進口者和分銷者�; ●以自己的名義或商標將人工智能系統(tǒng)與其產(chǎn)品一起投放市場或投入使用的產(chǎn)品制造者�; ●未在歐盟領(lǐng)域內(nèi)設(shè)立的提供者的授權(quán)代表; ●位于歐盟內(nèi)的受影響者���。 概言之�����,AI系統(tǒng)的提供者���、部署者、進口者��、分銷者、使用AI系統(tǒng)的產(chǎn)品制造者�����、域外機構(gòu)在歐盟的代表�����、歐盟內(nèi)其他受影響人士都受到《人工智能法》的約束���。這是法規(guī)的正面適用�����。 法規(guī)又劃出了若干適用例外場景���,大致可按應(yīng)用目的、使用主體予以界定��。凡是用于軍事�、國防和國家安全目的AI系統(tǒng),都不受此法規(guī)約束�����,而不論開發(fā)者或使用者是何種身份;僅為科學(xué)研究與開發(fā)目的使用AI系統(tǒng)不受此法約束�。此外,域外公共機構(gòu)���、國際組織在國際合作框架或協(xié)議安排下與歐盟或其成員國進行執(zhí)法和司法協(xié)作而使用AI系統(tǒng)也不受《人工智能法》約束����;自然人在純粹非職業(yè)化活動中使用AI系統(tǒng)不必遵守法規(guī)中的部署者義務(wù)����。AI系統(tǒng)或模型在未上市或投入使用前的研究開發(fā)測試(排除在真實世界的公測)也不適用《人工智能法》���;最后��,除了禁止類和高風(fēng)險AI系統(tǒng)���、人機交互AI系統(tǒng)、生成合成式AI系統(tǒng)��、情感識別和生物特征分類AI系統(tǒng)外�����,免費且開源的AI系統(tǒng)不受該法規(guī)影響。從上述歐盟《人工智能法》的適用范圍可以看出��,法規(guī)具有顯著的長臂管轄特征�����,特定情境下��,即便當事主體位于歐盟領(lǐng)域外�,仍可能受到法規(guī)的制約乃至因此遭受處罰。在AI系統(tǒng)的開發(fā)���、部署和使用環(huán)節(jié)��,包括國家����、政府機關(guān)���、企事業(yè)單位和自然人在內(nèi)的各類主體都有可能參與其中���。鑒于司法豁免和適用例外,國家、軍政機關(guān)����、事業(yè)單位幾乎不會受到新法的影響;自然人則更多以使用者而非AI系統(tǒng)的提供者或部署者的身份出現(xiàn)�����,商業(yè)化運營AI系統(tǒng)更是難與自然人產(chǎn)生交集�。以上主體受到各種“法寶”護體,一般可免除歐盟法規(guī)的困擾����,而在人工智能產(chǎn)業(yè)鏈中最為活躍,也是受《人工智能法》影響最深的主體非企業(yè)莫屬��。一方面�,法規(guī)的絕大多數(shù)適用例外都與企業(yè)無緣�。另一方面,在網(wǎng)絡(luò)化鏈接和技術(shù)溢出濫觴的今下�,企業(yè)的產(chǎn)品、服務(wù)及其結(jié)果日益突破地域國界的限制�,走入其他國家和地區(qū)。當身處歐洲的某人在街邊小店使用移動終端通過中國支付平臺完成交易�,轉(zhuǎn)身進入一輛中國產(chǎn)電動車,開啟無人駕駛模式疾馳而去時,這一切則開始顯得更為具像�����。 新法為人工智能產(chǎn)業(yè)塑造了新的監(jiān)管組織架構(gòu)和運行程序����,引入了更多的監(jiān)管措施和義務(wù)群。雖然有規(guī)范產(chǎn)業(yè)�,降低技術(shù)風(fēng)險的正面效力,但也意味著相關(guān)利益方需要付出更大的合規(guī)成本���。無可避免的繁復(fù)監(jiān)管環(huán)節(jié)和審查文書使得原本僅由技術(shù)人員即可完成的工作今后需要更多法律專業(yè)人士的加入��。對于中國企業(yè)而言�����,這種影響不限于正在開發(fā)人工智能系統(tǒng)或大模型的企業(yè)�����,還將影響到所有基于這些系統(tǒng)工具的企業(yè)����,都需要根據(jù)歐盟法規(guī)進行合規(guī)評估,同時也將不得不面對日益嚴格的審查���。如同GDPR實施后引起的一輪“布魯塞爾效應(yīng)”���,包括中國企業(yè)在內(nèi)的域外企業(yè)妄圖在里程碑式《人工智能法》實施后片葉不沾身而毫無應(yīng)對似乎是不智之舉。新法的影響最終都或直接或迂回的傳導(dǎo)到企業(yè)��。 1. 直接受《人工智能法》規(guī)制的場景如字節(jié)跳動�、騰訊等已經(jīng)在歐盟設(shè)立分支機構(gòu)并向當?shù)靥峁┓?wù)的中企自不必說,新法的沖擊是直接和即時的��,需要遵循歐盟和成員國的人工智能規(guī)則�����,全面履行義務(wù)�����。那些考慮出海歐洲的相關(guān)企業(yè)也需要充分評估新法帶來的合規(guī)成本����。即便是注冊地和營業(yè)地都位于中國的企業(yè)�,也不能放松警惕,新法嚴格的監(jiān)管規(guī)則迫使企業(yè)也不得不重視這一問題。當企業(yè)向歐盟境內(nèi)部署���、提供人工智能系統(tǒng)或人工智能模型�����,或是在歐盟成員國之外提供或部署人工智能系統(tǒng)��,但人工智能輸出結(jié)果被用于歐盟���,又或是以自己名義或商標向歐盟銷售包含了人工智能系統(tǒng)的產(chǎn)品,同樣得接受歐盟《人工智能法》的直接洗禮���。無論是缺少認知�����、不重視�����,還是存在僥幸心理��,企業(yè)若因未事前合規(guī)評估而觸犯了罰則��,歐盟的巨額罰單可能不脛而至�����。從歐盟數(shù)據(jù)執(zhí)法的履歷看�����,域外企業(yè)未履行義務(wù)受到處罰的實例不勝枚舉���,其中不乏中國企業(yè)的身影�����。截至2024年7月�����,F(xiàn)acebook的母公司Meta因數(shù)據(jù)違規(guī)被歐盟處罰了7次��,累計罰款達到25億美元���。中資企業(yè)第一次被處罰是在2021年7月,Tiktok因兒童個人信息處理違規(guī)被荷蘭數(shù)據(jù)保護局(Autoriteit Persoonsgegevens)罰款75萬歐元���;2022年9月又因同一問題被英國信息專員辦公室(ICO)處罰��,處罰額達到 1270萬英鎊(約合1.087億元人民幣)��;2023年9月��,愛爾蘭數(shù)據(jù)保護委員會 (DPC) 向TikTok開出了3.45億歐元(約合27億人民幣)的罰單��,理由還是TikTok在處理兒童數(shù)據(jù)方面違反了歐盟《通用數(shù)據(jù)保護條例》��?����!度斯ぶ悄芊ā芬?guī)定的最高罰款達到3500萬歐元/上一財年全球營業(yè)總額的7%(取其高者)�����,直接受影響的中國企業(yè)必須得好好掂量一下自己錢包的厚度�。2.《人工智能法》影響其他區(qū)域立法和監(jiān)管實踐���,間接約束中國企業(yè)歐盟的市場規(guī)模����、重要性、相對嚴格的標準和監(jiān)管能力賦予其強大的影響力�,歐盟標準具有重塑全球規(guī)則的能力,其結(jié)果是歐盟不需要強制要求任何企業(yè)執(zhí)行其標準���,隨著企業(yè)自愿推廣歐盟標準以管理其全球業(yè)務(wù)��,僅市場力量往往就足以把歐盟標準變成全球標準���。在人工智能治理體系的構(gòu)建過程中,歐盟的各項科技法案對域外公司產(chǎn)生了廣泛的影響��,迫使諸如微軟����、谷歌、抖音等公司徹底改革了處理用戶數(shù)據(jù)的方式�。《人工智能法案》的率先實施進一步鞏固了歐盟在科技監(jiān)管領(lǐng)域的地位����,其他法域的立法者在起草自己的人工智能法案時不得不研究歐盟的做法?�!度斯ぶ悄芊ā匪_立的監(jiān)管模式、創(chuàng)新制度會對其他區(qū)域的制度構(gòu)建產(chǎn)生影響�����,并且在監(jiān)管協(xié)同和標準的相互認可方面發(fā)生一系列聯(lián)動���。以GDPR的白名單制度為例,這是一種用于確定數(shù)據(jù)跨境傳輸合規(guī)性的機制(AI系統(tǒng)運行涉及數(shù)據(jù)跨境流動也適用這一機制)��,該機制允許歐盟制定并公布一份認定清單�����,列出符合特定要求的國家或地區(qū)����,列入該清單的國家或地區(qū)被歐盟認為能夠提供足夠的數(shù)據(jù)保護水平,歐盟的數(shù)據(jù)控制者或處理者可以合法地將個人數(shù)據(jù)傳輸?shù)竭@些位于清單中的國家或地區(qū)��。該機制簡化了數(shù)據(jù)跨境傳輸?shù)暮弦?guī)審核流程�����。截至2024年7月底���,歐盟委員會官網(wǎng)公布的白名單內(nèi)的國家或地區(qū)共計15個:安道爾公國�����、阿根廷���、加拿大(限于商業(yè)組織)��、法羅群島���、根西島、以色列�����、馬恩島���、日本����、澤西島�����、新西蘭、韓國��、瑞士����、英國、烏拉圭�、美國���。許多國家和地區(qū)在制定數(shù)據(jù)保護法的過程中��,直接“移植”了歐盟的白名單機制�。遺憾的是���,截至2024年7月底����,在已制定白名單的眾多國家和地區(qū)中����,中國僅在馬來西亞、尼日利亞��、俄羅斯3個國家榜上有名,大多數(shù)國家和地區(qū)并未給予中國豁免�����。這意味著中國的企業(yè)進入這些市場需要付出更為高昂的代價���?��?梢灶A(yù)見,在《人工智能法》的監(jiān)管措施和企業(yè)義務(wù)被歐洲以外國家地區(qū)立法借鑒后�,中國企業(yè)將面臨更嚴峻的合規(guī)壓力。3.《人工智能法》影響中國同類立法�����,增加企業(yè)的義務(wù)和成本2017年��,中國國務(wù)院發(fā)布了《新一代人工智能發(fā)展規(guī)劃》�����,是我國第一個系統(tǒng)規(guī)定人工智能發(fā)展的總體思路�����、戰(zhàn)略目標、主要任務(wù)和保障措施的指導(dǎo)性文件����。科技部����、網(wǎng)信辦等部門相繼頒布了多個規(guī)范人工智能發(fā)展的部門規(guī)章。然而�,現(xiàn)有的法律規(guī)范存在諸多問題,如缺乏體系性��,更多依靠法律原則����、國家標準���、行業(yè)規(guī)范進行規(guī)制����,缺乏細化的監(jiān)管措施和鼓勵創(chuàng)新的制度設(shè)計����,人工智能領(lǐng)域的法律規(guī)制仍待進一步完善����。中國關(guān)于人工智能統(tǒng)一立法的工作已經(jīng)啟動�����,根據(jù)2023年6月初國務(wù)院辦公廳印發(fā)的《國務(wù)院2023年度立法工作計劃的通知》���,人工智能法草案已經(jīng)預(yù)備提請全國人大常委會審議����。今年5月9日����,國務(wù)院辦公廳印發(fā)的《國務(wù)院2024年度立法工作計劃》中,“人工智能法草案”再次列入預(yù)備提請全國人大常委會審議項目����。歐盟《人工智能法案》為不同風(fēng)險程度的人工智能系統(tǒng)施加不同的要求和義務(wù),其提出的風(fēng)險分類���、負責任創(chuàng)新和實驗主義治理理念和監(jiān)管沙盒等監(jiān)管機制對我國人工智能統(tǒng)一立法具有借鑒意義和參考價值�����,很可能在中國統(tǒng)一的人工智能法中或多或少有所體現(xiàn)��。對我國而言���,“分級分類”的監(jiān)管原則在《生成式人工智能服務(wù)管理暫行辦法》中已有所體現(xiàn)���,但暫行辦法中尚未詳細展開。歐盟《人工智能法》對AI系統(tǒng)的風(fēng)險分級和分類監(jiān)管措施��,為中國同類立法提供了極好的思路和方向�����,具備落實的操作性���,法規(guī)中的風(fēng)險界定、分類標準��、企業(yè)義務(wù)��,很可能稍加變通后予以引用����?�!度斯ぶ悄芊ā分凶鳛橹攸c監(jiān)管的高風(fēng)險人工智能系統(tǒng)及義務(wù)群�����,也是我們參考的主要目標����?���!度斯ぶ悄芊ā分校唢L(fēng)險AI系統(tǒng)提供者應(yīng)當配有完整的風(fēng)險管理系統(tǒng)����,以及時識別高風(fēng)險系統(tǒng)已知和可預(yù)見的風(fēng)險,并對可能出現(xiàn)的風(fēng)險進行評估���,對投入市場后產(chǎn)生的數(shù)據(jù)進行風(fēng)險評估等����;在訓(xùn)練����、驗證和測試數(shù)據(jù)集時應(yīng)當遵循相關(guān)性�����、代表性����、無錯誤且完整��、接受是否存在可能的歧視的檢查����、遵循歐盟相關(guān)法規(guī);技術(shù)文件應(yīng)當在系統(tǒng)投入使用前就制定完整并更新到最新�����;應(yīng)當有能力自動記錄系統(tǒng)運行日志���,以確保系統(tǒng)的運行可追溯�;應(yīng)當確保系統(tǒng)其操作足夠透明�,以便用戶理解系統(tǒng)是如何輸出數(shù)據(jù)��,并能夠正確使用系統(tǒng)�����;還應(yīng)當設(shè)有人力介入的工具,以便在運行使用期間能夠受到自然人的有效監(jiān)督���;系統(tǒng)的設(shè)計和開發(fā)應(yīng)當準確�����、穩(wěn)健����、符合網(wǎng)絡(luò)安全的要求�。大量新義務(wù)的實施,無疑會加重企業(yè)的合規(guī)負擔���,企業(yè)不得不更多求助于律師等法律專業(yè)人士���。中國企業(yè)如何應(yīng)對新法實施帶來的影響 新法對人工智能價值鏈各主體的影響還是很廣泛的,覆蓋了AI模型和AI系統(tǒng)的研發(fā)者��、部署者��、進口方、分銷方���,乃至關(guān)聯(lián)產(chǎn)品的商標權(quán)利人和銷售方����。不同的主體在義務(wù)負擔和利益訴求上有所區(qū)別�,應(yīng)對之策也應(yīng)因人而已,但總的來說����,首先都需要保持對歐盟相關(guān)立法的關(guān)注和跟蹤,厘清企業(yè)自身在人工智能產(chǎn)業(yè)鏈中作用和地位�����,認清新法是否以及如何影響自身��,在此基礎(chǔ)上作出應(yīng)對�����。 1. 跟蹤法律動態(tài) 新法的理解和貫徹實施需要時間沉淀��,也要與歐盟成員國各自的國情相匹配和磨合�。把握法規(guī)在真實世界的實踐軌跡,有助于企業(yè)更好的解讀新法的實施效力。企業(yè)可以關(guān)注《人工智能法》及相關(guān)的數(shù)據(jù)立法和執(zhí)法動態(tài)���,關(guān)注本國人工智能立法和執(zhí)法動態(tài)、關(guān)注企業(yè)主要貿(mào)易對象所在國家或地區(qū)人工智能立法和執(zhí)法動態(tài)��,研究法規(guī)的主要內(nèi)容����,著重關(guān)注企業(yè)的義務(wù)、監(jiān)管當局的檢查措施����、需要企業(yè)提交的監(jiān)管文件、違規(guī)的責任和處罰措施�。 2. 合規(guī)檢查與評估 新法在規(guī)范產(chǎn)業(yè)發(fā)展的同時,也不可避免的增加了企業(yè)的合規(guī)成本�����。為避免資源的無效損耗���,新法生效后�����,首先需要做的不是盲目迎合和悶頭調(diào)整�����,而是分析和評估現(xiàn)有和未來的產(chǎn)品與業(yè)務(wù)是否及在何種程度上受到新法的影響��。完全不受影響或是調(diào)整成本遠大于風(fēng)險損失的�����,自可以以不變應(yīng)萬變����。非此境況者,還是建議完成全面的合規(guī)檢查與評估��,查驗服務(wù)和產(chǎn)品的應(yīng)用領(lǐng)域和場景�、定位本企業(yè)服務(wù)和產(chǎn)品的風(fēng)險類型、追蹤服務(wù)和產(chǎn)品的部署地域和服務(wù)群體��,查明AI系統(tǒng)結(jié)果的流向�,分析企業(yè)在人工智能產(chǎn)業(yè)鏈中的角色類型——作為實體產(chǎn)品生產(chǎn)者,檢查產(chǎn)品中是否包括類AI系統(tǒng)或AI模型以及產(chǎn)品流向����,作為系統(tǒng)提供者���,不投放被禁止的AI系統(tǒng),避免投放高風(fēng)險AI系統(tǒng)�;若作為部署者,需保障AI系統(tǒng)在使用過程中的安全可靠�����;若作為進口商或分銷商���,需在進口或分銷前確保相關(guān)AI系統(tǒng)符合新法的相關(guān)要求。 3. 采取調(diào)整和預(yù)防措施 根據(jù)檢查和評估結(jié)果��,企業(yè)可采取不同的處理策略���,直接受到人工智能法影響的企業(yè)立即著手調(diào)整應(yīng)對�����,制定相應(yīng)的合規(guī)方案����、規(guī)范管理制度和流程���、調(diào)整服務(wù)和產(chǎn)品設(shè)計和業(yè)務(wù)模式���、做好義務(wù)履行準備�����,以確保符合新法的要求����。 間接受到影響的企業(yè)可以與上下游企業(yè)在交易文件中對可能的風(fēng)險作出預(yù)先安排��,將產(chǎn)品和服務(wù)逐步向歐盟標準靠攏�,基于可能的合規(guī)風(fēng)險制定預(yù)案并加以演練,對相關(guān)工作人員進行教育培訓(xùn)���。 歐盟《人工智能法》是第一部綜合性人工智能立法����,其重要性和開創(chuàng)性使其生效后的域外效力更為強烈和顯著�,將廣泛地影響歐盟以外的主體,迫使其不得不遵循法規(guī)確立的標準�。新法對中國企業(yè)的沖擊也是不容忽視的,需要企業(yè)予以警覺并做好準備����。
|
