全球首部AI全面監(jiān)管法規(guī)即將生效，影響如何|律師解讀

來源：互聯(lián)網   發(fā)布日期：2024-05-21 14:55:49   瀏覽：4286次  

全球首部人工智能（AI）領域全面監(jiān)管法規(guī)即將生效。

歐洲理事會官網顯示，當?shù)貢r間5月21日，該機構將正式批準歐盟《人工智能法案》（下稱《AI法案》）。該法案基于風險分類，將AI系統(tǒng)劃分為四類，即不可接受風險、高風險、有限風險和極低風險，并針對不同風險類別采取了相應監(jiān)管策略。

隨后，《AI法案》將在歐盟官方公報上公布二十天后生效，法案內容將分階段適用。具體來說，法案中規(guī)定禁止的做法將在生效6個月后適用；通用型人工智能（GPAI）的相關義務和規(guī)則將在生效12個月后適用；法案生效24個月后，該法案完全適用，但一些高風險AI系統(tǒng)的規(guī)則將在生效后36個月適用。

在國際上，歐盟一直希望能在數(shù)字監(jiān)管領域搶跑。然而，隨著AI技術的發(fā)展突破日新月異，如何避免法規(guī)和技術的發(fā)展出現(xiàn)“錯位”？在數(shù)字經濟領域，歐盟近年來已經推出了《通用數(shù)據保護條例》（GDPR）、《數(shù)字服務法案》、《數(shù)字市場法案》，這是否會給企業(yè)造成合規(guī)責任不清晰的問題，又該如何應對？

北京金杜律師事務所合伙人吳涵律師在網絡安全和數(shù)據合規(guī)領域有多年執(zhí)業(yè)經驗，他在接受第一財經記者專訪時表示，在數(shù)字立法上，歐盟常以事前監(jiān)管為重點，構建涵蓋事前、事中和事后的全鏈條監(jiān)管體系。

吳涵認為，《AI法案》采用的“以風險為進路”的管理方法可以看作一種初級靈活管理框架，在醫(yī)療、金融、自動駕駛等其他領域立法也是常見的監(jiān)管方案。

“權宜之計”

第一財經：《AI法案》以風險為導向進行分級管理，怎么評價這種管理思路？歐盟內部對此的立場是否統(tǒng)一？

吳涵：我理解以風險為導向的分級管理，通常是對于新生技術/應用缺乏進一步有效管理措施的“權宜之計”。在這一套機制下具體的風險分級標準和AI系統(tǒng)類目，也是其漫長立法進程中摩擦不斷的原因之一。

一方面，有歐盟專家痛批《AI法案》為“充斥著對行業(yè)游說的讓步，對執(zhí)法和移民當局最危險的AI使用的豁免”。歐洲數(shù)據保護委員會（EDPB）和歐洲數(shù)據保護監(jiān)督員（EDPS）也曾指出，《AI法案》的高風險AI清單存在遺漏，沒有涵蓋使用AI確定保費或者評估醫(yī)療方法適用于健康研究目的等場景。

另一方面，對于AI企業(yè)和具備AI發(fā)展戰(zhàn)略的歐盟成員國而言，尤其是法國、德國和意大利來說，對于《AI法案》過度、提前監(jiān)管的態(tài)勢頗有微詞。在2023年底，法國、德國和意大利曾對《AI法案》提出明確的反對意見，包括反對并提出對于通用模型的兩層風險分級方法，即以是否為具備“系統(tǒng)性風險”的通用模型來設定合規(guī)義務的方法的替代方案。

由此可以看到，這一管理思路的弊病也許就在于“兩頭不討好”。這種具體立法的功能性危機，可能不僅是《AI法案》，而是人工智能時代乃至技術時代立法需要不斷直面的“技術局限”。

值得注意的是，這種局限性是所有對于新技術監(jiān)管的局限性，在AI領域尤其明顯，因為它應用過于廣泛，且對于對齊等問題還未有更深入研究，但部分風險已經發(fā)生，必須邊管理邊觀察補充。所以風險分類分級是在局限性中當前既能管理風險又避免“一刀切”的領先思路。

當然，參考GDPR實施至今的經驗教訓，《AI法案》從對AI乃至AI“操縱”等涉及較重合規(guī)義務的高風險人工智能相關定義的語焉不詳，以及對應義務的模糊表述可能也會損傷其法律確定性，導致新應用、新技術企業(yè)在無法明確自身義務邊界的情況下面臨合規(guī)難題。即便《AI法案》自身已有一定機制來保證其靈活性，考慮到分階段生效的漫長周期，落地執(zhí)行時的效能也還有待進一步觀察。

第一財經：《AI法案》是否有機制確保自身跟上AI技術和應用場景的迅速迭代？

吳涵：《AI法案》在序言中提到，為了對AI系統(tǒng)采取有效、成比例的約束規(guī)則，應當遵循“以風險為進路”的方法，即根據AI系統(tǒng)可能產生的風險范圍與風險程度，調整對AI系統(tǒng)的具體監(jiān)管規(guī)則。

結合《AI法案》現(xiàn)有規(guī)定，可以看出，歐盟在立法時的確作出了一定程度上的努力，以便法案規(guī)定的監(jiān)管規(guī)則具有相應的靈活性，適應AI技術的發(fā)展。

比如說，充分考慮AI技術發(fā)展快、專業(yè)性強的特點，《AI法案》授權歐盟委員會每年度評估禁止使用的AI系統(tǒng)目錄是否需要修訂。同時，歐盟委員會還需在《AI法案》生效后的四年內對法案本身例如高風險AI系統(tǒng)清單進行評估和審查，并于此后每四年評估和審查一次，最終向歐洲議會和歐盟理事會報告。

同時，在通用AI模型方面，《AI法案》依據設置的每秒執(zhí)行的浮點運算次數(shù)（FLOPs，被廣泛用來評估處理器或系統(tǒng)的計算能力）閾值，將通用AI模型進一步區(qū)分為具有系統(tǒng)性風險的通用AI模型。而FLOPs閾值的參數(shù)并非絕對不變的，而是隨著時間的推移、技術的革新而變化。

此外，歐盟還新設了人工智能辦公室，在促進《AI法案》的統(tǒng)一適用外，還重點監(jiān)測由通用AI模型產生的不可預見的風險，從而為及時應對新生風險留出一定的空間。

然而，考慮到《AI法案》還未正式生效，相關機制保障《AI法案》快速適應AI技術和應用場景迅速迭代的效果有待后續(xù)實踐的觀察。

企業(yè)合規(guī)方面是否會遇到“麻煩”

第一財經：歐盟治理數(shù)字經濟的法案很多，是否可能出現(xiàn)“意大利面碗”現(xiàn)象？比如，同時適用AI Act和GDPR但合規(guī)責任不清晰，這種情況是否多發(fā)？

吳涵：《AI法案》并不是空中樓閣，想要與正在制定中的以及既存的歐盟數(shù)字經濟法案取得協(xié)調不會是易事，其中可能涉及規(guī)范重疊、空白和不一致性等諸多問題。

舉例而言，歐盟《數(shù)字市場法案》的“守門人”相關制度條款均正好也已于2024年3月生效，歐盟委員會首次指定的六家“守門人”企業(yè)，Alphabet、亞馬遜、蘋果、字節(jié)跳動、Meta和微軟需要盡快確保被指定的核心平臺服務符合“守門人”相關要求。不難發(fā)現(xiàn)，這些企業(yè)幾乎也都是AI市場的領頭羊，因此他們會如何處理歐盟數(shù)字《市場法案》與《AI法案》的交叉競合會是很棘手但也很有意思的問題。

例如，歐盟《數(shù)字市場法案》規(guī)定“守門人”應根據企業(yè)用戶及其授權第三方的要求，免費向其提供對于包括個人數(shù)據在內的匯總和非匯總數(shù)據的有效、高質量、持續(xù)和實時地訪問和使用服務�？紤]到《AI法案》和歐盟《數(shù)字市場法案》對于數(shù)據集、數(shù)據庫等概念的定義并不一致，歐盟《數(shù)字市場法案》也并未就此為AI提供特殊規(guī)則。這意味著，守門人需要思考將用戶數(shù)據用于AI訓練時，如何做好數(shù)據隔離等措施來保障自身對于訓練數(shù)據集的權益，并同時滿足法律要求。

第一財經：高風險AI系統(tǒng)的主要監(jiān)管制度下，《AI法案》指出了在AI供應鏈的相關責任主體，但其中是否存在責任界定不清晰的問題？

吳涵：首先從責任主體和行政責任來講，針對高風險AI系統(tǒng)的上下游供應鏈，歐盟《AI法案》已初步構建起圍繞AI系統(tǒng)提供者、分銷者、進口者等相關主體的價值鏈，明確了提供者以外的利益相關主體對于高風險AI系統(tǒng)投放市嘗投入使用應承擔的合規(guī)義務。同時，《AI法案》第99條也已就相關主體違反法案規(guī)定的行為，設置了最高1500萬歐元或上一財政年度全球營業(yè)總額3%的罰款。

然而，就包含高風險AI系統(tǒng)、通用AI系統(tǒng)在內的AI系統(tǒng)所造成的實際損害責任分配機制而言，即AI系統(tǒng)價值鏈中的各方參與主體如何就損害分配，相應的法律責任仍然處于模糊不清的狀態(tài)。

例如，某個企業(yè)通過某高風險AI系統(tǒng)向用戶提供服務，但這一系統(tǒng)是基于某通用AI模型提供者提供的AI模型生成的。如果該系統(tǒng)主要由提供者輸入數(shù)據進行優(yōu)化，企業(yè)僅能輸入有限數(shù)量的數(shù)據對系統(tǒng)進行訓練，當最終該AI系統(tǒng)生成的內容對用戶造成了實際損害，該企業(yè)是否需就相關損害獨立承擔責任、企業(yè)是否能要求通用AI模型提供者共同承擔責任？如企業(yè)和通用AI模型提供者需共同對損害承擔法律責任，則雙方各自需在多大程度上承擔責任？考慮到通用AI模型復雜的上下游應用關系，其中一方責任主體是否能在滿足特定情形時免除責任？如一方主體的責任有可能被豁免，需滿足何種條件方可觸發(fā)豁免？前述問題均能體現(xiàn)，目前歐盟《AI法案》的責任分配機制存在一定的不確定性，更為具體的責任分配規(guī)則可能有待歐盟相關監(jiān)管部門在后續(xù)的個案執(zhí)法中予以體現(xiàn)。

此外，還有一種觀點認為，《AI法案》對AI系統(tǒng)相關主體責任分配機制的留白是歐盟AI監(jiān)管立法的“有意為之”。考慮到AI技術更迭、發(fā)展迅猛的特點，結合AI系統(tǒng)自主學習而可能引發(fā)的“算法黑箱”等問題，在對未來AI系統(tǒng)的應用場景、可預期作用目標、可能給社會、公民造成的權益損害等均具備一定程度不確定性的現(xiàn)階段，保留責任分配機制的適當模糊性可能有助于歐盟的AI監(jiān)管部門在個案中調整責任分配策略，始終實現(xiàn)維護個人健康、安全等基本權利的最終目標，同時避免部分企業(yè)在明確清晰的責任分配框架下通過調整業(yè)務模式等方式轉移其本應承擔的法律責任。

(本文來自第一財經)

贊助本站