观韬解读 | 复制“GDPR”吗?—— 欧盟《人工智能法案》解读一
作者:王渝伟 张恩泽
前言:2024年5月21日,欧盟理事会正式批准了《人工智能法案》(以下简称“法案”)。这是全球首部关于人工智能全面规则的法规。该法案在经欧洲议会和理事会主席签署后,将于近日在欧盟官方公报上公布,并在公布20天后生效。作为全球首部人工智能法案,其正式颁布与生效无疑打开了全球人工智能治理领域的全新篇章。欧盟于2018年发布的《通用数据保护条例》(以下简称“GDPR”)作为数据及隐私方面最前沿的立法,在全球树立了数据合规治理的标杆,也被各国立法加以借鉴,欧盟委员会的本次立法是否能引起相同的“布鲁塞尔效应”?基于此,我们紧跟国际立法热点,将从历史沿革、风险分类分级、高风险大模型全生命周期规制等角度解构欧盟人工智能法案,以期全面了解该立法动态并对当前我国人工智能治理领域提炼借鉴视角。
一、欧盟人工智能法案的历史沿革
欧盟的人工智能立法起步时间早于生成式AI的高速发展浪潮,早在2021年4月,欧盟就发布了《人工智能法案》的初稿,建立了首个全面的人工智能监管框架,其首次将AI系统按照风险分为不可接受风险、高风险、有限风险和最低风险四级,其中,对于高风险的AI系统规定了包括数据管理、文档记录、透明性、用户信息、安全性和监督等在内的严格要求,并规定各成员国需指定市场监督机构,负责高风险AI系统的市场监控。
在首部草案颁布后,欧盟委员会收到了多个利益相关方的反馈,包括来自企业、学术界和民间社会的意见,在2022年12月6日发布了该法案的第一个修订版,该修订版在责任承担方面进一步明确了AI系统提供者、用户和其他相关方的责任和问责机制;在数据治理方面进一步增强了数据管理和数据质量的要求,确保AI系统在训练和操作中的数据透明性和可追溯性;同时,引入了“监管沙盒”机制,允许创新公司在受控环境中测试其AI技术,以促进创新和合规。
2023年,随着OpenAI公司推出的ChatGPT产品的爆火,将生成式人工智能这一技术推向了舆论的风口浪尖,人们在惊异于其颠覆性的能力之余,ChatGPT对于个人隐私权、著作权等民事权利甚至是伦理道德的挑战也成为了热议的话题。
基于此,欧盟又于2023年6月及12月对该法案进行了第二次及第三次修改。在6月的第二次修改中主要有以下亮点:首先,法案在增加了关于AI伦理的章节,强调了AI系统必须符合伦理道德原则,包括非歧视、公平和隐私保护等内容;在国际合作方面,新修订的法案提出了在国际层面上与其他国家和地区合作的框架,以共同应对AI技术带来的挑战;本次修订也将法案的落实情况纳入考量,法案中加入了通过技术支持和资金资助,为中小企业提供支持,帮助其符合AI法案的要求的相关内容。
由于生成式AI技术发展迅猛,加之在第二次修订后,欧盟各成员国及欧洲议会对该法案提出了许多进一步反馈,欧盟在2023年12月对法案又作了进一步的修改。针对生成式AI发展速度快、立法进程难以及时跟进的现状,欧盟委员会引入了实时更新机制,允许根据技术进步和市场变化,快速调整法案内容;针对生成式AI的高度发展可能引发的社会及伦理安全问题,欧盟委员会引入了环境影响评估机制,要求高风险AI系统进行环境影响评估,确保其在开发和使用过程中符合可持续发展目标。
2024年3月13日,欧洲议会在法国特拉斯堡以523票赞成、46票反对和49票弃权的压倒性多数通过了世界上第一个全面的人工智能法律框架——《人工智能法案》,这部法案在5月21日生效后,将对在欧盟参与人工智能领域运营的经营主体及部分域外经营主体都具有约束力。
二、复制“GDPR”吗?
纵观欧盟这一系列针对人工智能的立法举措,我们认为,虽然欧盟的人工智能立法开始的时间相对较早,且此前GDPR的成功也佐证了欧盟领先的立法水平,目前也已就人工智能规制形成颇具体细化的规范,但由于该法案本身的制定周期较短,且考虑到生成式AI技术本身发展迅速,在AI技术发展走向仍充满不确定性的情况下,很难断言该法案是否能与时俱进地对生成式AI进行规制。
反观我国关于人工智能方面的立法动态,目前,虽然我国尚未出台一部系统性的人工智能立法,但也在密切关注生成式AI的发展动态,例如在2023年,我国相继出台了《互联网信息服务深度合成管理规定》、《生成式人工智能管理服务暂行办法》等,树立了“安全与发展并重”的要求,促进创新与依法治理相结合;同时规定了深度合成服务的提供者和技术支持者的责任和义务,明确了不得利用深度合成服务制作或传播违法信息、要求深度合成服务提供者进行真实身份信息认证、规定了数据和技术管理规范、包括训练数据管理和技术审核等。目前我国也已经将人工智能立法纳入立法计划,并已有相关建议稿。
欧盟的立法技术一直走在全球前列,其高标准的立法往往会具有可以规范行业发展的“布鲁塞尔效应”,例如GDPR因其完备的立法技术和细致全面的规定成为全球数据隐私保护的典范,也被各国的后续立法争相效仿,欧盟也因此在数据隐私保护方面在世界拥有了很高的话语权[1]。此次欧盟在人工智能领域的立法进程如此迅速,很难不让人猜测有复制“GDPR”的成功之嫌,但是在人工智能立法上,我们理解欧盟立法的“布鲁塞尔效应”可能难以实现。
首先,相较于GDPR,欧盟的《人工智能法案》并没有深厚的立法基础,世界上最早提出隐私权理论的正是欧洲国家。1791年,时任巴黎市长的杰罗姆·裴迪翁(Jerome Pétion)在参与起草法国宪法时提出了保护公民隐私的要求[2],欧盟国家在隐私权保护领域一直处于全球领先地位,其很多对于隐私权保护的规定都已经成为全球各国较为公认的规则,其推出GDPR可以被理解为欧盟对隐私权保护一贯的高要求在数字时代的延伸,所以更加易于在全世界范围内产生较大影响;但是欧盟在人工智能方面并无这方面的历史优势,其没有相应的历史积淀和国际社会的广泛认可为《人工智能法案》背书,很难在全球各国产生同样的效应。其次,欧盟的GDPR的规定具有很强的可实操性,其规定的例如知情权、访问权、删除权等在数据隐私保护领域具有较强的可实践性,较为容易被其他各国认可与借鉴,但仔细研读欧盟的《人工智能法案》后不难发现,其对生成式AI特别是高风险的生成式AI规定了包括构建质量管理体系、履行符合性评估、完成AI系统注册、获取CE标识、部署风险监测系统等覆盖生成式AI全生命周期的义务。虽然最新版的法案刚刚发布,我们无法得知其在欧盟的具体实施情况,但上述一系列的规定仅是基于欧盟地区的人工智能应用情况所制定的,且专业性较强,可能与绝大多数国家和地区的实际情况都无法较好地适配,在全球范围内适应性仍是有限的。最后,“布鲁塞尔效应”的形成离不开产业实力的支撑。尽管欧盟在法规制定方面处于领先地位,但考虑到欧盟在AI技术和市场份额上均未呈现明显优势,各国能否接受并效仿由欧盟起草的人工智能规制文件,也是一个值得思考的问题。
三、人工智能立法的思考
如前文所述,此次欧盟颁布的法案难以产生如此前GDPR所带来的影响力,其内容也很难被全球各国认同并奉为“金标准”,那么中国是否也应效仿欧盟出台一部综合的“人工智能法”,特别是在现阶段考虑出台一部全面立法?我们认为答案可能是否定的。
与欧盟不同,我国目前AI行业处于高速发展状态,有望成为新的经济增长点,如上文所述,欧盟的“人工智能法案”对很多AI产品设置了极其复杂且严苛的标准,其在我国当前的产业背景下可能会极大地阻碍相关产业的发展,且在执行层面也难以贯彻。值得注意的是,走在AI技术发展最前列的美国,其目前也没有采用一部综合但复杂的联邦层级的立法来规制其产业的发展,虽然我们也无法完全参考美国的立法机制与监管措施,但某种程度上也可能说明在当前的时间节点,对AI技术特别是生成式人工智能进行综合性的立法依旧为时尚早。
欧盟的《人工智能法案》无法带来预期的社会效应,当前亦无法对其立法进程进行简单的效仿,中国在制定自己的AI法律时,不宜简单照搬欧盟的做法,而应结合自身的法律体系、产业发展和社会文化背景,逐步完善和规范当前的立法。同时,欧盟的法案能否形成“布鲁塞尔效应”,进而影响全球AI立法,仍需观察。中国在这方面应保持灵活性和主动性,积极参与国际合作与交流,借鉴国际先进经验,结合本国实际,探索出一条适合自身发展的人工智能法律路径。未来,随着技术的不断进步和市场的快速变化,中国的AI法律体系也应不断更新和完善,以确保法律的科学性、前瞻性和可操作性,推动人工智能技术的健康、有序发展。通过逐步规范当前立法,我们不仅可以保障人工智能技术的安全与伦理,还能促进其创新和应用,为全球人工智能治理贡献中国智慧和中国方案。
本团队实习生张恩泽亦参与本文撰写。
[1] Lee A. Bygrave,The ‘Strasbourg Effect’ on data protection in light of the ‘Brussels Effect’: Logic, mechanics and prospects,Computer Law & Security Review,Volume 40,2021,105460,ISSN 0267-3649,
[2] 赵康:欧美国家被遗忘权与言论自由之争. 中国社会科学报. 2022.4.21. vol2392.