针对全球人工智能行业监管,欧盟立法者又将掀起新一轮“布鲁塞尔效应”。
《互联网法律评论》今日编译TechCrunch 欧洲区高级记者Natasha Lomas的最新文章,供中国读者了解欧盟关于人工智能监管的最新立法规则,以及未决事宜。
经过近三天的马拉松式会谈后,欧盟立法者——欧洲议会、理事会和欧盟委员会——于2023年12月9日就人工智能第一套全面监管规则达成了政治协议,规范人工智能在生物识别监控等工具中的使用。他们将在未来几周内讨论最终立法的细节,该立法预计将于明年初生效并于 2026 年实施。
欧盟主席乌尔苏拉·冯德莱恩(Ursula von der Leyen)称赞这项政治协议是“全球第一”。她在2019年底上任时,将制定一项促进“可信赖”人工智能的法规作为她任期的关键优先事项。
在最终文本编制并公开之前,所达成的协议的全部细节可能需要几周的时间才能完全确认。根据欧洲议会刚刚发布的公开文件进行梳理。
人工智能禁止事项
全面禁止将人工智能用于以下领域:
-
使用敏感特征的生物识别分类系统(例如政治、宗教、哲学信仰、性取向、种族);
-
从互联网或闭路电视录像中无目的地抓取面部图像以创建面部识别数据库;
-
工作场所和教育机构中的情绪识别;
-
基于社会行为或个人特征的社会评分;
-
操纵人类行为以规避其自由意志的人工智能系统;
-
利用人类的脆弱性谋利(由于年龄、残疾、社会或经济状况)。
欧盟执法部门在公共场所使用远程生物识别技术尚未被完全禁止,但欧洲议会表示,谈判代表已就一系列保障措施和少数例外情况达成一致,以限制面部识别等技术的使用。这包括需要事先获得司法授权,并且用途仅限于“严格定义”的犯罪清单。这种侵入式人工智能技术的实时使用会受到时间和地点的限制,并且只能用于以下目的:
-
有针对性地搜查受害者(绑架、贩运、性剥削);
-
预防特定且当前的恐怖威胁;
-
定位或识别涉嫌犯有条例中提到的特定犯罪之一的人(例如恐怖主义、贩运、性剥削、谋杀、绑架、强奸、武装抢劫、参与犯罪组织、环境犯罪)。
欧盟理事会强调,人工智能法案将不适用于专门用于军事或国防的系统,以及不适用于仅用于研究和创新目的的人工智能系统,或用于非专业原因使用人工智能的人。
民间社会团体对此持怀疑态度,他们担心,对国家机构使用生物识别技术的商定限制将不足以保障人权。
“高风险”AI 和通用 AI 的规则
“高风险”的人工智能系统,包括“对健康、安全、基本权利、环境、民主和法治具有重大潜在危害”的人工智能。
欧洲议会议员成功地在其他要求中纳入了强制性的基本权利影响评估,这也适用于保险和银行业。用于影响选举结果和选民行为的人工智能系统也被归类为高风险,同时公民将有权对人工智能系统提出投诉,并获得有关基于高风险人工智能系统的决策的解释。
会议还同意将“两层”护栏系统应用于“通用”人工智能系统,比如支撑ChatGPT等生成式人工智能应用病毒式增长的所谓基础模型。
人工智能通用模型(GPAI)和基础模型将受到透明度要求的约束,例如起草技术文档、遵守欧盟版权法以及传播有关算法训练所用内容的详细摘要。对于具有所谓“系统风险”的“高影响力”GPAI(定义为在浮点运算中测量的用于训练的累积计算量大于 10^25),有更严格的义务:
-
进行模型评估、降低风险;
-
进行对抗性测试;
-
向欧盟委员会报告严重事件;
-
确保网络安全并报告其能源效率;
-
在统一的欧盟标准发布之前,须依赖实践守则来遵守法规(欧盟委员会一直在与业界合作制定一项权宜之计的《人工智能协议》)。
已经商业化的基础模型/GPAI 面临该法案的监管,但研发并不属于该法律的范围——根据今天的声明,完全开源模型的监管要求将比闭源模型更轻。该协议还促进国家当局建立监管沙箱和现实世界测试,以支持初创企业和中小企业在人工智能投放市场之前开发和培训人工智能。
处罚和生效
根据欧洲议会的规定,对违规行为的处罚可能会导致3500万欧元或全球营业额的7%至750万欧元或营业额的1.5%不等的罚款,具体取决于违规行为和公司的规模。
违反被禁止的人工智能应用程序的行为将适用较高的制裁(7%),而提供不正确信息的行为将被处以1.5%的罚款。此外,临时协议允许在侵权情况下对中小企业和初创企业的行政罚款设定“更相称的上限”。因此,人工智能初创公司面临的侵权处罚似乎比人工智能巨头要小。
该协议还允许在法律通过后分阶段生效——在禁止用例的规则生效之前,有6个月的时间;12个月的透明度和治理要求;其他要求有24个月的期限。因此,欧盟《人工智能法案》的全部效力可能要到2026年才能感受到。
西班牙负责数字和人工智能问题的国务秘书卡梅·阿蒂加斯(Carme Artigas)领导了理事会关于该文件的谈判,她预测,该法律将通过给予欧洲开发商、初创公司和未来的规模扩张来支持他们“法律确定性和技术确定性”。
前方道路畅通吗?
尽管欧盟就“世界第一”人工智能规则达成的协议表示赞赏,但这还不是欧盟立法进程的终点,因为仍有一些正式步骤需要采取——尤其是最终文本将在议会和理事会投票通过。
欧盟《人工智能法案》待讨论的未决之事:
-
国家安全豁免问题:以法国为首的欧盟国家要求对用于军事或国防目的的任何人工智能系统(包括外部承包商)进行广泛豁免;
-
法案适用范围:如果该规定发生重大变化,该规定是否会适用于施行前已上市的人工智能系统;
-
生物识别禁令的对象:生物识别禁令是只适用于欧盟内部使用的系统,还是阻止欧盟公司在国外销售这些被禁止的应用程序。
然而,鉴于在如何(甚至是否)监管人工智能方面存在如此多的分歧和争议,这项政治协议已经消除了最大的障碍,并且未来几个月通过欧盟人工智能法案的道路看起来很明确。
欧盟委员会无疑表现出了信心。执行该协议的工作将立即开始——在欧盟行政部门内设立一个人工智能办公室,该办公室将负责与需要对人工智能公司执行规则的成员国监督机构进行协调;监督最先进的人工智能模型,包括促进制定标准和测试实践。欧盟将任命一个由独立专家组成的科学小组,就 GPAI 模型向人工智能办公室提供建议。
最近几周,法国和法国的人工智能初创公司Mistral带头反对将通用人工智能分层规则纳入人工智能一揽子计划,该公司一直在游说完全剥离基础模型/ GPAI的义务。如果西班牙总统同意的协议确实包含 GPAI 和基础模型的一些义务。因此,这并不是Mistral及其游说者一直在推动的“完全剥离”。
法国数字部长办公室在回应有关政治协议的消息时,表示,他将仔细分析这份妥协方案,并将“维护其战略自主权”。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:Natasha Lomas