2023年12月8日,欧盟就《人工智能法案》(以下简称“AI法案”)达成协议,该法成为全球首部针对AI进行全面监管的法案。该法的草案已于2021年4月发布。2023年ChatGPT引爆全球AI产业,随之引发的AI安全焦虑加速了立法进程。欧洲议会于2023年6月14日通过谈判草案,12月确立监管框架,后续可能对细节调整。欧盟称,AI法案会像 GDPR 一样,在世界舞台上推广欧洲的技术监管方式,为其他司法管辖区的AI监管制定全球标准。
法案适用于所有进入欧盟市场的商用AI系统,豁免免费开源的模型提供者。不适用于私人、军事和安全的AI。
法案的亮点在风险分级治理思路,它将风险分为4个等级:
低风险:当前欧盟使用的多数AI提供者自愿选择适用可信AI的要求,并遵守自愿行为准则。
高风险:可能负面影响民众安全或人权的AI,包括用于水电气网路等重要基础设施;教育/培训/就业;征信/保险/社保等公私服务;执法/边防/司法/选举等政治和内务;用于紧急呼叫的评估和分类;用于生物特征识别、分类和情感识别。本级别AI面市前,需进行安全评估,证明符合可信AI的强制性要求。
不可接受风险:侵犯基本人权,违反欧盟基本价值观的AI,将严格禁止。这包括:社交评分;潜意识操控人员;执法者远程识别民众;个人预测性警务;职场和教育中的的情感识别;无针对性地从网络和监控搜索面部识别图像,建立/扩大数据库。
特定风险:如聊天机器人和Deepfakes数据,需明确标识;训练总算力>10^25 FLOPs的通用AI模型被认为具有系统性风险,需严格评估、测试、报告并和欧盟AI办公室合作起草行为准则。
点评
一、与中、美AI治理的对比
2023年6月,国务院将人工智能法草案列入立法工作计划,提请全国人大审议。7月,网信办等7部门联合发布了《生成式人工智能服务管理暂行办法》,提出了坚持发展和安全并重、促进创新和依法治理相结合的原则,聚焦生成式人工智能生成内容合规、数据来源合规、算法合规、个人信息保护、知识产权等核心风险进行针对性管控。
美国在AI技术上处于全球领先地位,将AI视为决定未来国家竞争力的战略性关键技术,并通过一系列政策保持美国在AI领域的领先地位。其通过垄断高性能AI芯片的供应,以出口管制和贸易制裁为抓手限制竞争对手AI技术发展,典型代表如1007规则。相较于欧盟《AI法案》的全面综合性专项立法监管,美国更强调创新驱动、市场主导、自由竞争,让现有法律和组织权限适应AI发展,在治理方式上则是更多依靠行业巨头自律承诺。并且即便后续出台法律规制AI发展,美国也更偏向行业领域垂直立法。在业界影响力很大的谷歌前CEO、国家AI安全委员会主席埃里克·施密特更大声疾呼,不能制定过于严厉的AI监管法规,以免拖累和中国的AI竞争。
欧盟AI法案与中美现行监管规则的最大区别是其横向监管模式,其将所有的AI系统都纳入监管范围,同时在其“不可接受风险”中,鲜明呈现了和中国在AI相关意识形态上的差异。而中国现行的监管规则聚焦在了生成式AI这一特殊风险类型。美国则总体呈现出“总统定基调,各部抓分管”的监管政策态势,除此以外,欧美中在对AI技术的态度倾向、治理目标、方法路径也有区别,这些区别一定程度上对于欧盟AI法案能否像GDPR一样再次引领全球立法效仿提出了质疑。
二、对跨国AI企业在欧业务影响
通过对欧盟AI法案监管框架和内容的分析,该法案对跨国AI企业主要影响包括:
严格的违规制裁:对于不遵守AI法案的公司,可能会面临高达3500万欧元或等同于全球收入7%的罚款(二选一)。这对于谷歌和微软等大型科技公司而言,其罚款可能高达数十亿欧元。
非欧盟AI企业业务叫停风险:在AI法案还没有任何重要进展前,意大利就基于个人数据保护原因下令禁用ChatGPT,并引发德国、西班牙、法国等成员国纷纷取经准备跟进。可以预见,在有了专门立法、新设监管机构后,非欧盟AI企业将面临更大的业务中断风险。
新增合规成本:为避免前述业务中断风险,企业需要投入资源分析、研究并落地新的合规要求,非欧盟AI企业在立法过程中参与度、影响立法的可能性低于欧盟AI企业,法案生效后和后续的变动都将带来全新的合规挑战和成本投入。
影响非欧盟AI企业研发、运营及市场布局:该法案将对非欧盟AI的研发、产品和服务设计带来直接影响,并可能会从合规层面影响非欧盟AI企业的市场格局、业务模式、运营方式及在欧发展前景。
三、对欧盟自身AI产业创新的影响
对于严格监管限制AI创新与发展的担忧一直存在——欧盟内部成员国对AI法案评价就不一致。2023年11月以来,法、德、意等至少五个成员国就曾提出不应对基础模型施加任何监管要求,以期对本国正处于发展之中的AI企业(如法国 Mistral ,德国 Aleph Alpha)予以保护。法国总统马克龙公开批评该法限制了创新,而西班牙则高度支持——西班牙数字化和AI国务秘书Carme Artigas评价其为一项历史性成就,认为欧盟已经设法保持了一个极其微妙的平衡:在充分尊重公民基本权利的同时,推动整个欧洲的AI创新和更新。且西班牙首个响应欧盟AI法案开启沙盒监管立法。企业层面,空客、西门子在内的数十家欧洲大型企业曾采取集体行动,以“可能损害欧洲AI竞争力”、“不能应对潜在挑战”为由公开反对欧盟通过AI法案。
AI法案为平衡安全和创新,通过对AI上市前的科研、研发及原型设计予以豁免,并对免费和开源的模型提供者免除了大部分义务,在治理思路上以风险结果为导向、明确了引入监管沙盒,如企业遵循沙盒指导,将免于对违法行为的行政处罚,种种制度设计都体现了欧盟“AI监管不能以牺牲或放弃AI技术发展为代价”的立法共识,也将在欧盟自身AI产业创新和发展中发挥重要作用。
四、引领全球AI立法可能性
欧盟在当前的全球经济格局中有一种特殊的地位,尽管在某些关键产业领域可能落后,如半导体、锂电池、电动汽车及人工智能等,但其在制定和推动全球遵循的规章制度方面具有显著的影响力,典型代表如GDPR,几乎每一个国家的数据保护立法都可以看见GDPR的影子,且欧盟也雄心勃勃地想要再次复制GDPR成功经验,发挥欧盟在AI伦理和法律方面的领导力和影响力,引领全球AI立法。
欧盟AI法案的出台,也给其他国家和地区带来了挑战和压力,因为它意味着他们需要加快自己的人工智能立法进程,以提出自己的立场和理念,维护自身利益和主权。其引领全球AI立法的可能性是很高的,但本文认为其影响的深远程度将低于GDPR。
从引领的高度可能性来说,该法案目标是促进人工智能的创新和发展,同时保护人类的安全和尊严,这是一个符合全球共同利益和价值的愿景。在治理方式上,它为其他国家和地区提供了一个可参考和借鉴的模式,也为国际间的合作和协调创造了条件。并且AI有着共通性的安全风险,其治理共识也有一定的趋同性。
但影响深度将不及GDPR——以风险分级监管思路为例,AI法案的风险分级结果体现了欧盟的社会价值观、基本权利和原则,而其他国家可能有不同的风险定义、风险分类、评估和监管方法,因此AI法案的核心亮点可能会在其他国家的AI法律中呈现出迥异的分级结果,而分级结果又进一步决定了风险应对措施的分配的不同。除此以外,不同国家对于AI 技术的态度倾向、竞争定位也决定了特定国家将采取的监管力度,AI法案严格的监管未必会引领新一轮的AI立法“布鲁塞尔效应”。
AI的发展已到临界点,未来不仅为全球经济,也将为政治与社会层面带来剧烈的变动。全球主要区域都正在探索适应当下、前瞻未来的AI监管法案或规章,这些规章也将和AI技术的发展密切互动、彼此形塑,影响人类的未来。
本文作者:X.M, G.C, F.T
免责声明
本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证;
本文仅为分享、交流、学习之目的,任何人都不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。
声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。