总第110期 欧盟《人工智能法》要点解读与中国企业的应对之策
编者按
当地时间2024年3月13日,欧洲议会在法国斯特拉斯堡以523票赞成、46票反对和49票弃权的压倒性多数通过了世界上第一个全面的人工智能法律框架——欧盟《人工智能法案》。法案预计将在今年5月生效,相关条款分阶段实施。法案不仅对在欧盟运营的公司至关重要,而且由于该法案的域外效力,对非欧盟公司也将产生深远影响。本期专题解读欧盟《人工智能法案》要点内容,并为中国境内企业提供应对建议。
目录
法案的立法目的
法案旨在改善欧盟内部市场,促进以人为本、值得信赖的人工智能的应用,同时高度保护健康、安全、以及《欧盟基本权利宪章》规定的基本权利(包括民主、法治和环境保护),使其免受人工智能带来的不利影响,并支持创新。
法案为整个人工智能产业链上的相关方提供了一个合规义务框架,以规范人工智能的开发和使用。与欧盟《通用数据保护条例》(GDPR)一样,欧盟正通过其先发优势,寻求为人工智能监管制定全球标准。
法案的制定历程
欧盟始终期待打造可信任的人工智能生态环境,为实现这一愿景,欧盟陆续发布《欧盟机器人民事法律规则》《欧盟人工智能》《人工智能白皮书——追求卓越和信任的欧洲方案》等一系列人工智能政策,以期推动欧盟的人工智能产业发展,并形成健康、可持续的人工智能监管机制。
- 基于前述愿景,2021年4月,欧盟首次发布《人工智能法案》提案,以“风险为进路”,基于人工智能系统的应用场景等因素,将人工智能系统划分为不可接受的风险、高风险、有限风险和极低风险四类,并对每类风险的人工智能系统提出差异化的监管要求。
- 2022年12月6日,欧盟理事会通过了关于《人工智能法案》的共同立场。
- 2023年6月14日,欧洲议会对《人工智能法案》草案进行表决,并以499票赞成、28票反对和93票弃权的压倒性结果通过了其妥协立场。此后,欧盟成员国、欧盟理事会及议会就《人工智能法案》的具体条款组织“三方会谈”,进行多次谈判,并于2023年12月9日达成有关《人工智能法案》的临时协议。
- 达成临时协议并不代表欧盟本次人工智能立法程序的结束,而仍有待欧洲议会的最终表决。随着立法程序的进一步更新,2024年2月13日,欧盟议会内部市场和消费者保护委员会与公民自由、司法和内政事务委员会以71票赞成、8票反对和7票弃权的投票结果通过了与各成员国就《人工智能法案》达成的谈判草案。
- 2024年3月13日,欧洲议会正式批准了《人工智能法案》,扫清了欧盟人工智能监管立法的前置障碍。
未来,《人工智能法案》还将进行条款勘误,并预计在4月交由欧盟理事会批准以使得《人工智能法案》正式成为欧盟法律。
法案的适用范围
《人工智能法案》确立了较为广泛的适用范围且具备域外效力:一方面,尽管某企业并非欧盟实体,只要其将人工智能系统在欧盟境内投入市场或投入使用,也需适用《人工智能法案》。另一方面,人工智能系统最终在市场发挥作用,除人工智能系统提供者外,离不开部署者、分销者等利益相关主体的参与。因此,人工智能系统价值责任链的相关主体均可能成为《人工智能法案》的规制对象。
.png)
1. 适用于在欧盟境内将人工智能系统投入市场或投入使用的人工智能系统提供者
《人工智能法案》第2条规定,无论是欧盟境内还是欧盟境外的实体,只要其在欧盟境内将人工智能系统或通用人工智能模型投入市场或投入使用,均将受到《人工智能法案》的规制。场所位于欧盟境外的人工智能系统提供者,如其系统产生的产出将用于欧盟,相关主体也需适用《人工智能法案》。
此外,如提供者在欧盟境内尚未设立实体,根据《人工智能法案》的规定,其应指派一个位于或设立于欧盟的授权代表,代提供者履行相关合规义务。
2. 适用于人工智能系统价值责任链上的多方主体
鉴于人工智能系统价值链的复杂性,人工智能系统的提供者、部署者、进口者、分销者或其他第三方均需履行其角色项下的合规义务。
具体而言,根据《人工智能法案》的相关规定,除了人工智能系统提供者,如下主要类型的主体也将受到欧盟人工智能立法的监管:
- 部署者:部署者指经授权使用人工智能系统的公共机构、法人和自然人(自然人在非职业活动中使用人工智能系统除外),包含在欧盟内设立场所或位于欧盟的人工智能系统部署者,以及其人工智能系统产生的产出将用于欧盟的部署者;
- 进口者:将带有欧盟境外自然人或法人的名称、商标的人工智能系统投放欧盟市场、且位于或设立于欧盟的法人、自然人;
- 分销者:除人工智能系统提供者、进口者以外,在欧盟市场上提供人工智能系统的主体;
- 产品制造者:以自己的名称或商标将人工智能系统与其产品一同投入欧盟市场或投入使用的产品制造者。
一方面,高风险人工智能系统的进口者、分销者等主体需履行《人工智能法案》第23条、第24条等相关规定对其施加的相关合规义务。另一方面,满足特定情形时,部署者、进口者等还将被视为高风险人工智能系统的提供者,履行提供者的相关义务。例如,相关主体对已投入市场或投入使用的高风险人工智能系统进行实质性调整,且调整后的人工智能系统也属于高风险人工智能系统,相关主体则需履行高风险人工智能系统提供者的义务。
法案的主要内容
法案共计13章、113条,包括以下7个方面的内容:(1)人工智能系统(AI System)在欧盟市场上的投放、服务和使用的统一规则;(2)禁止某些人工智能行为;(3)对高风险人工智能系统的具体要求以及此类系统运营商的义务;(4)某些人工智能系统的统一透明度规则;(5)通用人工智能模型投放市场的统一规则;(6)关于市场监测、市场监督治理和执法的规则;(7)支持创新的措施,特别关注包括初创企业在内的中小企业。
欧盟《人工智能法案》的章节目录
.png)
(一)人工智能系统风险分级管理
法案基于人工智能系统对用户和社会的潜在影响程度将其分为4类:不可接受风险类、高风险类、有限风险类、最小风险类。每个类别适用不同程度的监管要求。高风险的人工智能系统须遵守更严格的合规要求,而构成不可接受风险的人工智能系统则被禁止。多数人工智能系统属于风险较低的类别,但仍可能需要根据法案要求履行相应义务。
欧盟《人工智能法案》划分的人工智能系统风险等级
.png)
1. 不可接受风险类人工智能系统
法案严格禁止某些人工智能行为。从广义上讲,该法案禁止任何试图操纵人类行为、利用人性弱点或支持政府社会评分的人工智能系统。具体而言,以下人工智能系统将被禁止:
(1)使用潜意识的、操纵性的、或欺骗性的手段来扭曲行为,损害知情决策的能力,造成重大伤害;
(2)利用与年龄、残疾或社会经济状况有关的弱点来扭曲行为,造成重大伤害;
(3)推断敏感属性(种族、政治观点、工会会员身份、宗教或哲学信仰、性生活或性取向)的生物识别分类系统,但合法获取的生物识别数据集的标记或过滤,以及执法部门对生物识别数据进行分类的情况除外;
(4)社会评分,即根据社会行为或个人特征对个人或群体进行评估或分类,从而对这些人造成不利或不利待遇;
(5)仅根据特征分析或个性特征评估个人实施刑事犯罪的风险,除非是根据与犯罪活动直接相关的客观的、可核实的事实来加强人工评估;
(6)通过无针对性地从互联网或闭路电视录像中抓取面部图像来编制面部识别数据库;
(7)在工作场所或教育机构进行情绪识别,除非出于医疗或安全原因;
(8)在公共场所为执法部门进行“实时”远程生物识别(RBI),但以下情况除外:
- 寻找失踪人员、绑架受害者和被贩卖或遭受性剥削的人;
- 防止对生命的重大和紧迫威胁,或可预见的恐怖袭击;或
- 识别严重犯罪(如谋杀、强奸、武装抢劫、毒品和非法武器贩运、有组织犯罪和环境犯罪等)的嫌疑人。
2.高风险类人工智能系统
高风险类的人工智能系统被认为对健康、安全、基本权利和法治构成重大威胁。法案规定的大部分义务适用于高风险的人工智能系统。这类系统可以进一步分为两类。一类是人工智能系统作为安全部件的产品或人工智能系统本身作为产品,受欧盟安全立法规范,且需要根据此类法律进行第三方符合性评估。另一类是法案附件III(Annex III)明确指定为高风险的人工智能系统,包括用于以下领域的人工智能系统:
(1)用于未被禁止的生物识别系统,包括推断受保护特征的系统、情感识别系统和远程生物识别系统(不包括对个人的生物识别验证);
(2)用于管理关键基础设施;
(3)用于教育和职业培训;
(4)用于就业、员工管理和自营职业机会;
(5)用于获得和享受基本私人服务以及基本公共服务和福利,如医疗保健或信贷(但用于金融检测欺诈的除外);
(6)用于执法;
(7)用于移民、庇护和边境管制管理;
(8)用于司法和民主进程。
如果人工智能系统不会对自然人的健康、安全或基本权利造成重大损害风险,包括不会对决策结果产生实质性影响,则不会被视为高风险系统。在将属于附件III但被视为非高风险的人工智能系统投放市场之前,提供商必须将其风险评估记录在案,并在欧盟数据库中注册该系统。前述评估应考虑到可能造成伤害的严重性及其发生的概率。如果人工智能系统符合某些情况,例如,如果该系统只是为了执行狭义的程序任务或改善先前完成的人类活动的结果,则该系统可能不会被认定为高风险系统。然而,如果人工智能系统会对自然人进行特征分析,则该系统始终会被认定为高风险系统。
所有使用高风险人工智能系统的企业都必须履行广泛的义务,包括满足有关透明度、数据质量、记录保存、人工监督和稳健性的具体要求。在进入市场之前,它们还必须接受符合性评估(Conformity Assessments),以证明它们满足法案的要求。公民将有权提交有关人工智能系统的投诉,并获得对基于高风险人工智能系统、影响其权利的决定的解释。
高风险人工智能系统投放市场应履行的步骤
.png)
3.有限风险类人工智能系统
有限风险类人工智能系统被认为不会构成任何严重威胁,与其相关的主要风险是缺乏透明度。法案对有限风险类人工智能系统施加了一定的透明度义务,以确保所有人类用户在与人工智能系统互动时都能充分了解相关情况。例如,在使用聊天机器人等人工智能系统时,应让人类意识到他们正在与一台机器进行交互,以便他们在知情的情况下决定是否继续。提供商还必须确保人工智能生成的内容是可识别的。此外,人工智能生成的文本在发布时必须标明是人工生成的,这也适用于构成深度伪造的音频和视频内容。
4.最小风险类人工智能系统
法案允许自由使用最小风险类的人工智能系统,包括人工智能电子游戏或垃圾邮件过滤器等应用。欧盟目前使用的绝大多数人工智能系统都属于这一类。
(二)通用人工智能模型的管理
根据法案,通用人工智能模型是一个包括使用大量数据进行大规模自我监督训练的人工智能模型。该模型具有显著的通用性,无论以何种方式投放市场,都能胜任各种不同的任务,并可集成到各种下游系统或应用中,但在投放市场前用于研究、开发或原型设计活动的人工智能模型除外。法案将通用人工智能模型分为不具有系统性风险的通用人工智能模型和具有系统性风险的通用人工智能模型。如果通用人工智能模型具有高度影响能力或被欧盟委员会认定为具有高度影响能力,则被视为构成系统性风险。当一个通用人工智能模型用于训练的累计计算量(以FLOPs计)大于10^25时,应推定其具有高度影响能力。
1. 不具有系统性风险的通用人工智能模型
越来越多的通用人工智能模型正在成为人工智能系统的组成部分,这些模型可以执行和适应无数不同的任务。虽然通用人工智能模型可以实现更好、更强大的人工智能解决方案,但人类很难监控其所有能力。因此,法案为所有通用人工智能模型引入了透明度义务,以便更好地了解这些模型。
具体而言,不具有系统性风险的通用人工智能模型提供商应履行的义务包括但不限于:
(1)编制并不断更新该模型的技术文件,包括其训练和测试过程以及评估结果,以便应要求向欧盟人工智能办公室和国家主管当局提供;
(2)为打算将通用人工智能模型纳入其人工智能系统的提供商编制、不断更新和提供信息和文件;
(3)制定遵守欧盟版权法的政策;
(4)根据欧盟人工智能办公室提供的模板,就通用人工智能模型训练所使用的内容起草并公布一份足够详细的摘要。
2. 具有系统性风险的通用人工智能模型
除应履行上述义务外,具有系统性风险的通用人工智能模型的提供商应履行额外的风险管理义务,包括但不限于:
(1)根据反映最新技术的标准化协议和工具进行模型评估,包括对模型进行对抗测试并记录在案,以识别和降低系统性风险;
(2)评估并降低欧盟层面可能存在的系统性风险,包括因开发、投放市场、或使用具有系统性风险的通用人工智能模型而产生的系统性风险的来源;
(3)跟踪、记录并及时向欧盟人工智能办公室报告,并酌情向国家主管机构报告严重事故的相关信息以及为解决这些问题可能采取的纠正措施;
(4)确保对具有系统风险的通用人工智能模型和模型的物理基础设施提供适当水平的网络安全保护。
(三)执法与处罚
欧盟人工智能办公室成立于2024年2月,隶属于欧盟委员会,负责监督法案在各成员国的执行和实施情况。由成员国代表组成的欧洲人工智能委员会将作为协调平台,向欧盟委员会提供专业建议。法案将主要通过各成员国的主管机构来执行。成员国有义务在法案实施1年内向欧盟委员会提名相关国家主管机构,以便在每个成员国执行法案。
违反法案的处罚结果将取决于人工智能系统的类型、公司的规模和违法行为的严重程度,具体处罚规定如下:
.png)
(四)法案的生效和实施
法案将在欧盟官方公报公布20天后生效,并在生效2年后全面实施,但以下情况除外:
1. 有关总则、禁止性人工智能系统的规定(法案第一、二章),在法案生效之日起6个月实施;
2. 有关通知机构和被通知机构、治理、通用人工智能模型、处罚的规定(法案第三章第四节,第五、七、十二章,除第101条),在法案生效之日起12个月实施;
3. 有关某些高风险人工智能系统分类及相应义务的规定(法案第六条),在法案生效之日起36个月实施。
中国境内企业的应对之道
为应对欧盟《人工智能法》,中国企业可以从以下几个方面入手:
第一,熟悉条例提出的要求并对自身情况进行梳理。中国企业首先需要深入了解欧盟《人工智能法》的具体内容和要求,并结合《人工智能法》对人工智能系统提供者、部署者、分销商等不同角色的定义明确自身定位,厘清自身角色在《人工智能法》下所需履行的义务。建议中国企业在进行此步骤时及时寻求律师的帮助,以求实现对自身合规义务的准确梳理以及对应对策略的及时安排。
第二,风险评估与管理。对照《人工智能法》评估自身人工智能产品和服务进行全面自查,评估其是否属于条例下的高风险人工智能系统,以及是否符合相关要求。为此,企业内部应建立相应的风险评估机制、组织架构与人员安排,准确对自身系统/模型合规性作出判断。同样地,企业应当加强伦理审查方面的工作,保障自身人工智能产品和服务符合相应要求。
第三,建立一体化系统性的管理体系。欧盟境内包括《人工智能法》《通用数据保护条例》等完善的人工智能、数据隐私保护相关法律法规给企业提出了严格的合规要求,为此,企业应建立一体化系统性的人工智能管理体系,以实现多维度、多层次合规的同时,避免冗杂的管理架构带来的高昂成本与运行过程中的不便。
第四,采取全覆盖的研究培训机制。根据《人工智能法》的要求,中国企业不但需要密切关注欧盟境内对人工智能相关法律法规的最新动态与政策变化,还需要及时将相关要求在全企业范围内,对涉及部门与人员进行必要的培训,提升整体合规意识和能力。
内容来源
- 历时三年,欧盟《人工智能法案》通过欧洲议会表决 [宁宣凤,吴涵、张浣然、刘畅、王储,金杜律师事务所]
- AI发展里程碑:欧盟《人工智能法案》要点解读 [刘相文、丁海东,北京市中伦律师事务所]
- 欧盟《人工智能法》亮点解读与中国企业的应对之策 [胡静、陈境轩、张钰坤、顾钰洁,国浩律师事务所]