今年以来,人工智能技术、产业向纵深发展,我国人工智能治理讨论持续升温,立法提议不断。其中,美、欧人工智能的治理思路、进展与效果,一直备受国内关注,并对国内治理发挥着塑造效应。
临近年终,我们力求基于人工智能产业实践与进展,基于域外纸面研究与调研交流,基于国内治理的特征与水位,梳理提出四个常见问题,仅供学术和市场研究参考。
Q1:世界各国都在开展人工智能治理,欧盟出台全球首部《人工智能法》,美不断出台监管政策,对此怎么看。
1、当前全球监管态势landscape是动态演进的:总量上看,它是一个热闹非凡的市场,定性来看,还是既有数字治理进程的延续。
总量看,AI的复杂性和通用性,决定了其治理的系统性与挑战性。要素视角,涉及到算力、数据、人才、技术、市场、资本等多种要素的组合。产业链视角,涉及算力、模型、应用等相关市场,涉及开发、部署、使用等多个流程环节。影响视角,涉及人机关系、就业替代、能源可持续、社会稳定、执政安全甚至大国竞争等等。因此,任何一个上述相关的提案、政策、举措,都可以被视作全球AI治理的一个注脚。
定性看,整体治理处于共识磨合期、机制构筑期、行动计划期。横向看:对过往弱人工智能系统治理、网络空间治理的总集和“刷新”,如对数据、算法等要素的规制,平台责任、版权等问题上的更新修补。纵向看:如医疗、交通、金融、娱乐(好莱坞)等领域的规制,称之为场景或者用例规制。机制看:以既有机构、机制为主,新增新设机构、机制为辅。中方希望加重联合国的作用,西方态度比较中立。
2、在这样一个大的背景下,谈谈怎么看待主要经济体之间的治理差异性。
2.1取决于产业。中国AI行业目前对于政策的认知水平,应该在大多数西方国家之上,公共政策、产业政策界对于一些专业词汇也都如数家珍。一个有意思的现象,来调研的外方团组中,欧洲、澳洲、非洲都有,美国的很少。一个可能的原因是,美国的治理焦虑不强,因为产业在手,治理是顺理成章的。欧洲有AI法案,但欧洲对AI的风险判断、处置、应对,很难以比美国更超前。前不久,欧洲出了一套风险治理工具,是美国公司OpenAI做的。所以,有产业才是谈论一切治理的前提和基础。
2.2取决于文化属性与制度惯性。欧盟数字治理很超前,AI ACT是2018年就开始规划,2020年正式启动,实际上还是上一波数字治理的思路的延续。中国也有类似的情况,手里是有工具的,还是想做一些治理的动作出来。需要注意的是,域外经验无法照搬照抄。欧盟《人工智能法》主要起草者Gabriele Mazzini博士在华期间多次谈到,他2018年最早写下概念和基本原则的时候,“单纯就是为了欧盟统一内部市场,为了欧盟共同体意识”,而并非遇到什么紧急的状态或者挑战。在架构上,Mazzini博士介绍,最初是以“机器学习”作为对象去考虑和想象的,但在欧委会后续讨论中,各式各样的AI被放了进来,“大家并非不清楚用例规制的好处,但如果只以机器学习作为规制对象,就只会产生几个Use Case,没有影响力,欧盟不具备这样的立法资源,欧盟需要的是一个‘一句顶一万句’的工具,欧盟《人工智能法》就是这样一个工具”。 Mazzini 提到,在上述两个方面,中国的情况和欧盟不同,并不需要照搬照抄。
Q2:世界主要经济体的监管理念、策略、手段等有什么差异?存在哪些优点和弊端?
1、说差异性,就会容易去比较比如谁更偏安全、谁更重发展,我们认为这是伪命题。就终局来看,都是安全与发展并重,监管理念、策略、手段不会有根本性差异,治理的分叉度最终并不见得很大。
就好比互联网时代,美国早期提的一些治理思路,信息高速路、互联网信息自由,后来产业万马奔腾,数字壁垒出来了,数据跨境受限了,欧盟沉淀出隐私保护、公平竞争、平台责任三个核心治理面向,全球治理实际上定型了,行业实际执行中,也不会有特别的卡顿感,基本策略是通用的,无非水位有高地。比如要说隐私和数据问题,欧盟的水位很高,动辄得咎;要说内容监管和消费者权益保护,中国企业要承担很大的行政责任,欧盟执行DSA之后,实际也趋近了。因此,总体上,全球治理实际是拉齐的。
2、当前的差异,本质上是产业还没有完全起来之前,不同经济体基于各自“实力差异”,而进行的理性人选择。
不妨回想一下,数字时代,布鲁塞尔效应什么时候变得家喻户晓、耳熟能详的?大概是在2016年左右,是传统互联网技术、业态基本定型,并向移动互联过度的节点。AI目前最多处在iphone2时代,AI的“移动互联”时代远未来临,这意味着AI的布鲁塞尔时代则需要更长的时间,我们管这个叫“产业还没有完全起来”。
这时候,治理拼的就是各家对技术特性的判断,和对技术应用于产业后可能呈现出的性状的判断。欧盟未卜先知,将《人工智能法》基于风险,将AI系统划分为四个等级,Mazzini博士在华期间,有人问,你们如何来界定一个高风险AI系统?博士回答:其一,靠公司自我报告;其二,欧委会AI Office启动检查、审查,而启动需要由Scientific Panel来提醒委员会。博士感慨:相较于技术发展,立法天然具备的滞后属性无法避免——当企业报告,或科学委员会提示欧委会审查的时候,意味着这款模型已经投产,而你没有办法将一个已经在跑的模型重新塞回去。
因此,欧盟AI office推出了AI Pact,就是想让企业对照欧盟AI法来列出自有业务场景中可能存在的“不可接受风险”以及“高风险”场景,这个要求,与当前美英推动的模型厂商的报告义务和云厂商的有限KYC义务,本质上是一致的,都是由于政府面对新一轮AI浪潮,掌握的信息有限,想借此展开市场调研、摸清情况,AI Pact就是想借此为其《人工智能法》落地扫除障碍、找到支点。对这一点,Mazzini博士并不避讳,他说欧盟立法的基本思路就是“高筑墙、让别人自己爬过去”,“我从第一天开始,就知道解决方案并不齐备,现在也没有齐备,但我们需要提出一个高的标准(high bar),让行业去完成剩余的工作。”
因此,欧盟人工智能法,只是欧盟作为一个集体的“理性人选择”。很显然,这不是美国的理性人选择,也应当不是中国的。
3、相较之下,美国的治理动作则要扎实很多。虽然欧盟AI ACT起了个大早,但笔者认为,这一波AI治理其实始于2023年5月美国头部企业在白宫发起的自律声明。
有评论喜欢从“监管俘获”的角度去评价行业自律声明,这体现出将市场-监管习惯性二元对立的局限性。笔者以为,类似声明,本质上是各方在面对技术的不确定的情况下,产业和政府形成合力,以最低成本的监管,让产业兴盛繁荣的一个方法。Mazzini在华期间,当被问起怎么看待美国的治理,他说:美国采取“行政令-联邦部门执行”模式,而不管立法是什么样子。如果欧盟《人工智能法》只是小范围的、个别场景的,是好的,但现在就是这个样子。如果要有竞争力,应该更松一些,在创新和监管之间取得平衡。
美国因为有产业,所以比任何一方,都更能从全局高度看得更全、从局部角度看得更准、从执行环节更有抓手。理念、策略、手段的比较,应在整个产业、整个AI战略的大盘子下来看。我们此前做过介绍,简言之,美人工智能战略由发展与治理两翼组成,综合平衡。发展方面,政府之手的引导、鼓励、提倡,仅限于政府内部,或“市场最易忽视之场景”,对市场的干预降至最低必要;监管方面,强调基于实际场景、确定风险,避免脱离场景空谈风险,或将 “不确定性”、“潜在影响”过早地认定为风险。具体到治理层面,立法侧,突出“社会回应性”,尽管提案、决议满天飞,但能最终真正落地为法案的少之又少。行政侧,强调“产业互通性”,标准、指南多都来自对行业既有实践的提炼,软法约束实际是监管与行业的“一致性行动”。司法侧,注重产业发展与社会福祉的平衡性,对内容责任、知产等敏感问题谨慎裁决,既有效回应社会关切,又尽可能避免仓促判例阻滞行业发展。
美国监管并没有闲着,以一种更为具体的方式。在2023年10月拜登行政令的基础上,各部门工作推进有条不紊。今年8月,美国NTIA(商务部国家电信和信息管理局)发布了一份报告,有关开放基础模型的潜在利益、风险和相关政策和监管建议,收到了来自企业、开源社区一共333份公众意见,非常清楚地讲了开闭源问题。截至今年9月,NIST发布一系列报告、工具来解决生成式人工智能风险问题,比如《人工智能风险管理框架》《双重用途基础模型滥用风险管理》,这些文件,几乎回应了美国目前所有立法甚至是全球治理的所有关切,而且提出了“推荐解决方案”。这也是我们之前说的,NIST的工作,让加州SB-1047法案,看上去像是“一级标题的原地复读机”。假若追问一句,欧盟的人工智能法,何尝又不是这样一部复读机呢?
Q3:谈人工智能治理或者立法,就离不开AI Safety。怎么看全球主要经济体在AI Safety上的态度差别?
1、AI Safety的内涵与外延问题。2024年4月首尔峰会前,《前沿人工智能科学报告》对AI Safety定义的风险项主要有四类,一是恶意使用,比如散布虚假信息、网络攻击,二是功能故障,比如系统偏见歧视、系统失控。三是外部性风险,比如失业、环境破坏、隐私与版权侵犯等等。四是交叉风险。这个分类是一种思路,类似的思路,还可以有很多。和重要数据一样,AI Safety是无法被穷举的,目前才开了一个头,对AI Safety的认知和判断,和AI技术、产业的演进紧密勾连。因此,心态要开放,决策要谨慎。
2、内涵外延之外,是AI Safety的排序问题。中方重虚假信息、偏见与歧视,所以我国有网安、数安、个保,以及《算法推荐管理规定》《深度合成管理规定》《生成式人工智能服务管理暂行办法》。西方专家则认为滥用、失业是更严峻的问题,所以很关心类似CBRN这样的军控类议题,也是中美AI对话的美方关切。我们日常交流也发现,来自德国、法国、瑞士、英国、澳大利亚的学者与官员,很喜欢从人与社会的角度来看AI治理,比如伦理、道德、包容性、就业等,我们在这些方面,顶设是有的,但执行深度,不及虚假信息这些。
3、从AI Safety光谱的两端,反过来看AI立法。一端涉及到AI安全的远景问题,比如未来强大人工智能模型可能对人类构成的存续性威胁,一端是现实问题,比如有害信息、偏见歧视。对于远景问题,大家都还没有答案,只能是基于科学研究,走着看,所以不管是布莱切利主导的AISI模式,还是中国主导的AI能力建设,都把科学研究和信息交换,放在了第一位。要通过立法、治理去解决还没发现的风险,可能都不是对着遥远的移动靶标开枪,是对着远方的一片靶场瞄准,我们只能去写原则、要求、程序——它一定是对的,但没有用,不解决问题;对于现实问题,和传统互联网治理有很大的相关联性,中国、欧盟的治理手段工具非常充足,加州今年通过的几项立法,也都是在解决具体的问题,比如虚假信息标注、版权,这块大家都不缺。
因此,AI Safety的分项,目前是无法被穷举的,只能从风险的性质、后果的严重程度,从实体和程序方面予以描述、提出建议,目前美国的提案、欧盟法,也大体是这种思路。应对方面,一个大的原则是,既没必要因为只关心AI的现实风险,就认为未来的潜在风险一定是空中楼阁,也没有必要执迷于潜在的风险,用未来的不确定性,来指导当下的政策制定。各国的情况不同,全球还没有一套被普遍接受的的风险治理体系和框架,距离可操作的治理细则落地还有很长一段路要走,但就大的方向来说,我们认为区别是不大的,治理的分叉度、强弱度最终并不见得很大。
我们还有一个观察,要特别防止“翻译式研究”以及随之而来的“数(第三声)数(第二声)式治理”。笔者一直观察西方数字治理,从2019年起就就一直提一个建议,美国的数字治理,在联邦隐私立法、反垄断竞争、平台责任立法上,总结起来就六个字:雷声大雨点小。背后的原因很复杂,不展开。但截至今天,我们依然发现,一些文章很喜欢这样的开头:当前,美欧全面展开AI治理,提案数有XXX。
我们的建议是:不要只数提案的数量,而要去看提案通过的有多少,什么样的会过,什么样的不会,被通过或者被否,其背后的逻辑是什么,对我们有没有参考价值。至少,不能仅从文本层面去解读欧盟人工智能立法,而至少要去到欧盟在整个国际秩序的大背景下,去看到跨大西洋数字合作与数字纷争,看到欧盟与成员国之间的关系,看到新老欧洲的冲突等等。互联网是有记忆的,如果大家去看到2018-2020年特朗普治下带来的欧洲“数字主权”反弹式崛起,以及冯德莱恩执政后欧洲的系列“数字雄心”,就丝毫不会认为欧盟《人工智能法》只是一部单纯且精密的“法律”。
Q4:我国先后出台了许多针对人工智能的监管政策,如何看待类似监管理念和制度安排?立法应该针对技术还是应用?需在哪些重点领域开展监管、解决哪些重点问题?
今年4月,多部门多次组织我国人工智能立法研讨,笔者当时写了一篇报告《期待一部人工智能促进法》,提出一个问题:我们的AI立法,到底是电力法,还是电灯法?是要管电,管电灯,还是要管灯泡?
事实上,看待我国AI监管,一直有两个维度:一是信息内容管理层面;一是科技、产业发展层面。前者,用周汉华老师的话说,是相当于将互联网治理经验平移到AI领域,相当于将新质生产力纳入上层建筑管理,必然产生各种错配现象。去年以来,我们注意到,很多立法、治理的讨论,内容相当的庞杂,但其主体部分,或者说可执行、可落实的部分,还是以《AIGC服务管理暂行办法》为蓝本想象的,本质上是一个信息内容管理法的加码,不是一部真正的人工智能法的框架(姑且不讨论框架是否必要)。
欧盟AI ACT,虽然名字叫做AI ACT,但它最初是基于一部产品责任法的角度来设计的,是以2018年左右的“电灯场景”作为用例来做构思的,因此当2022年GPT横空出世,才出现了是否要将基础模型单列的辩论。如果今天我们有电灯法,明天是不是还要电视法、电动汽车法?有一部电力法行不行,当然可以,但可以等电力广泛应用、场景清晰、各种风险暴露无疑之后,再来立法不迟,我们国家90年代才有电力法,但清末以来电已经用了上百年了。再比如,今天移动互联网已经深入生活,有没有互联网法?平台经济法?
我们认为,监管技术难度极大。我们理解,管技术或者说管应用,本质上是说,是要一般法,还是要特别法的:一般法,需要关注AI的共性和基础性法律问题,而这些问题是基于、源于技术的,比如数据、网络安全、个保、知识产权、侵权责任等等,关键是做好和其他立法的衔接。特别法,也就是这里所提到的应用现状、重点领域,需要结合应用、领域、行业的特性,解决行业实际的风险问题。这两方面,实际是交叉的,举个例子,预训练阶段训练数据“原则可用、例外排除”,这看似是个技术问题,落下去,就是知识产权的调整,变成了需要解决的重点问题,美英都是倾向Opt-out。再比如,现在主要用应用是会话聊天,所以有了领域立法-AIGC办法,但AIGC管理办法,还是会去涉足版权、个保、网安、数据、侵权等种种问题。所以这是一种网状的、非对称映射的监管思路。
回到我们的能力:一些过往我们监管电信业、监管互联网行业、平台企业的立法,目前都可以平移到AI时代。底座看,电信条例、电信法、网安法、数安法、个保法、科技伦理审查办法(试行)、生成式人工智能服务管理暂行办法,以及最近发布的数安条例,擘画了AI时代的治理之基。中间层看,算法推荐管理规定、深度合成管理规定、数据出境安全评估办法、关基保护条例,针对要害环节,于基石之上印刻出具体可执行的抓手和规范。表层看,人脸识别、汽车、工信、金融等关键、重点领域,其数据治理似乎已可以对人工智能治理形成“兼容”“合围”,行业立法也正在成为数字治理的一个大方向。
凡此种种,与美、欧相比,丝毫不逊色,加总起来,再算上我们在将AI作为产业、科技来看待时候提出的倡议、规划、安排,构建一部中国AI ACT,是没有实质性障碍的。问题在于,有什么用?是能促进发展,还是现有巨大隐患,亟待这部法律来监管?还是没有这部法撑腰,国际对话就进行不下去了?
“国际对话”,这是个有意思的话题。Mazzini说,布鲁塞尔效应发挥作用,有两个途径:一是市场牵引,公司希望进入欧洲市场,自动遵循,类似AI PACT模式;二是政府牵引,即如果政府选择跟欧盟建立类似充分性认定机制,企业会更容易进入欧盟。那么,1)中国人工智能立法,是要施加于准备进入中国的美欧人工智能企业吗?——AIGC服务管理暂行办法已经起到了类似作用,没有备案的域外大模型是无法2C提供服务的,那为什么OA等企业宁可选择不对大陆提供服务,而没有来通过合规进入中国市场?2)还是说,中国人工智能立法,是要通过提供一种类似美欧充分性认定的制度安排,来形成一个小圈子,让美欧政府进来,以便美欧企业能顺利进入中国市场?——如果有这样的雄心,非常值得称赞,那意味着一个开放的统一大市场;但如果没有这样的考虑,中国的AI ACT,就算有了,也不会有域外效应。域外效应的本质,不是立法,是市场,是开放的市场。
如果现在要搞大而全的立法,一定要在把AI作为前沿科技和新知生产力的角度来定位和把握,同时要放弃一种思路,认为我们需要制定一部一揽子法,来解决版权、个人信息保护、政府数据开放、侵权责任分配、互操作、就业体系调整等等横框不同部门的人工智能法。就算能写出来,能执行得下去吗?比如AI对就业的冲击问题,没有全社会的关注,没有真金白银的实训投入,是一部AI立法能解决的吗?再比如公共数据和政府数据开放,AI立法写了,就一定会开放吗?即便如数据爬取等问题,各方就一定有共识吗,就一定要为了发展AI而去大改当前的体系框架吗?版权保护也是类似逻辑,为了AI就可以完全去冲击既有的版权保护制度吗?过去那些以鼓励版权保护、激励创新的理念难道就都不要了吗?哪怕是为了促发展,就可以为了AI发展,荡平一切吗?(顾登晨)
声明:本文来自安承宏观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
