观韬视点 | 生成式AI发展与监管白皮书(四):人工智能的“iPhone时刻”,欧美治理如何“各显神通”?
白皮书出品团队:观韬中茂律师事务所X南财合规科技研究院
白皮书撰写者:王渝伟 杨欣如 周丹 钱雨晴 王俊 冯恋阁 郑雪 温泳珊 林婉娜 罗洛
2022年年底,OpenAI推出的ChatGPT爆火,将人工智能推向了“iPhone时刻”。
以ChatGPT等大语言模型为标志的生成式人工智能技术无疑为这一产业带来了新的范式革命和广阔的商业前景,资本市场持续高涨的热情也足以彰显它的价值。
生成式AI技术在给人类带来惊喜,也引发了人们对未知风险的恐慌。其在被使用过程中暴露的虚假信息传播、个人信息权益侵害、数据安全、偏见和歧视等问题,逐渐引发了诸多舆论争议。
事实上,面对日新月异的人工智能技术,各国政府和监管机构已开始采取措施加强监管,以确保公众利益和安全。作为数字立法监管大国,欧盟已早早布局,逐步建构基于风险的人工智能治理体系。而大洋彼岸的科技强国——美国则在由发展转向治理的过程中,探索出了以引导行业健康实践为目的风险治理框架。
一、欧盟:构建基于风险的人工智能治理体系
在生成式AI为世界所知之前,人工智能一直是欧盟数字立法计划关注的主题之一。
2018年4月,欧盟发布政策文件《欧盟人工智能战略》(European Strategy for Artificial Intelligence),提出要增加对人工智能的公共和私人投资,逐步建立适当的伦理和法律框架。同年12月,欧盟委员会(European Commission)发布《人工智能协调计划》(Coordinated plan on AI),意在协调各成员国合作落实《欧洲人工智能战略》。
此后的2019、2020年,欧盟在人工智能算法治理、伦理规制及产业发展等方向上皆有发力,发布了《可信赖人工智能伦理准则》(Ethics guidelines for trustworthy AI)、《人工智能白皮书》(White paper on AI: a European approach to excellence and trust)等多项政策。
2021年,欧盟委员会发布《2030数字指南针:欧洲数字十年之路》(2030 Digital Compass:the European way for the Digital Decade),其中指出到2030年,数据公平共享将成为数据经济的重要基础,人工智能、增强现实等数字技术将成为新产品、新制造流程、新商业模式的核心(而非手段)。在这年4月,欧盟委员会正式提出了《人工智能法案》提案,世界范围内第一部针对人工智能进行规制的法律迈开脚步。
2021年至今,该提案历经多次更改。随着ChatGPT影响力逐渐扩大,人工智能产业格局迎来变动,法案亦有新增和变更。今年6月14日,欧洲议会以499票赞成、28票反对和93票弃权的高票通过了《人工智能法案》谈判授权草案(以下简称“《法案》”)。根据欧盟立法程序,欧洲议会、欧盟成员国和欧盟委员会将开始“三方谈判”,以确定最终条款。
《法案》针对欧盟范围内人工智能驱动的产品、服务及系统,法案对其开发、贸易和使用制定了核心规则。该法案的目标是创建可信的人工智能产品和服务,让用户最终能够相信人工智能技术将被安全和合规地使用。
其落地后,将与《通用数据保护条例》(GDPR)、《数字市场法》、《数字服务法》共同为欧盟构筑起一道数字立法“长城”。《法案》指出,除了设立欧洲人工智能委员会外,每个欧盟成员国还须设立一个单独的监督机构监督法案具体内容的实施。此外,这部法案也将在世界范围内产生影响:无论企业实体位于何处,只要该企业在欧盟市场开放服务或部署人工智能系统,都必须接受法案监管。
作为世界上第一部关于人工智能治理和监管的综合性全面立法,《法案》的诸多观点和思路值得关注。
首先是《法案》的“立足之本”——风险分类系统。《法案》依据可能对人类健康、安全或基本权利造成的潜在风险将人工智能系统的风险分出4个等级:不可接受的风险、高风险、有限风险和最小风险。针对不同等级的风险,法案将实施不同程度的控制措施。
对人身安全、个人权利有明显威胁的人工智能系统被认为是具有不可接受的风险;根据《法案》,具有不可接受风险的人工智能系统在欧盟内部被禁止部署。这类系统及使用目的包括:用于生物识别监控系统、情绪识别系统、预测性警务系统、从互联网或监控中无针对性地抓取面部图像创建的面部识别数据库等。
高风险人工智能系统则属于法案的重点限制对象,具体包括决定公民就业机会的系统(如用于招聘程序的简历排序软件)、产品的安全组件(例如,人工智能在机器人辅助手术中的应用)等。值得注意的是,最新版《法案》中,在政治竞选中用于影响选民的AI系统以及大型社交媒体平台(超过4500万用户)使用的推荐系统也被列入高风险名单。
在投入市场之前,高风险人工智能系统将受到严格的义务约束包括保证充分的风险评估;训练者需为系统提供高质量的数据集,以减少风险和歧视性的结果;提供商向用户提供清晰和充分的信息等。
而有限风险,则指具有特定透明度义务的人工智能系统。例如,当使用人工智能系统(如聊天机器人)时,用户应该意识到他们正在与机器进行互动,这样他们就可以对是否继续使用做出理智的决定。
目前在欧盟使用的绝大多数人工智能系统都属于《法案》定义的具有“最小风险”的人工智能系统。这类系统可以被自由使用,包括人工智能支持的视频游戏或垃圾邮件过滤器等应用。
除了对“基于风险”的人工智能监管框架,《法案》还细化了主体责任分配,规定生成式人工智能基础模型的提供者(比如开发出ChatGPT的公司OpenAI)有义务在将模型投放市场之前,充分考虑模型“可预见的健康、安全风险”,对模型采取安全检查、采取数据治理措施和风险缓解措施;模型开发者需要为被认定为“高风险”的应用建立风险管理系统。
《法案》针对“通用型人工智能系统”(非为特殊目的进行特别设计的具有广泛适用性的人工智能系统)的提供商还提出了特别要求,指出提供商需要提供有关AI模型的所有相关信息和文档以保证下游运营商的合规性。
在处罚层面,违反《人工智能法案》的潜在罚金很高,且随着立法的进展大幅增加。违规的最高处罚是4000万欧元或公司上一财政年度全球总营业额的7%,以较高者为准。相比之下,这几乎是GDPR最高处罚的两倍。
由于人工智能是一种快速发展的技术,该法案还有一个面向未来的方法,为规则随技术变化而调整提供可能性。人工智能应用在投放市场后仍应保持可信度。在系统进入市场后,相关监管机构应负责市场监督,用户应负责人力监督,供应商则需建立市场后监测系统。若遇到严重事故和系统故障,供应商和用户也应及时作出报告。
此外,2022年9月,欧盟委员会通过了《人工智能责任指令》(The AI Liability Directive)和《产品责任指令》(Directive of the European Parliament and of the council on liability for defective products)修订版两项提案。前者确定了针对人工智能系统所致损害的适用规则,后者将其适用范围扩展到配备人工智能的产品。
这两项法规可能将与《法案》共同构成了欧盟当局应对数字时代和循环经济的“三驾马车”。
二、美国:由重产业转向治理发展并重
作为世界科技强国,美国在人工智能技术和产业领域的影响力不可忽视。相较于如何监管,发展是此前美国应对人工智能的核心词汇。
从2016年起,美国在战略层面上对人工智能持续加大关注与支持,除了相关政策,美国还陆续成立了国家人工智能倡议办公室、国家AI研究资源工作组等机构。
2020年后,虽然产业发展相关规则的制定还在进行,但也开始出现治理为主的规则。比如,2020年8月,《数据问责和透明度法案》(Data Accountability and Transparency Act of 2020)发布企业相关服务的隐私收集提出规制。11月,《人工智能监管原则草案》(Guidance for Regulation of Artificial Intelligence Applications)则指出,要规范人工智能发展及应用,要求联邦机构在制定人工智能方法时应考虑10项“人工智能应用管理原则”,包括公众对人工智能的信任与参与、风险评估与管理、公平与非歧视、披露与透明度、安全与保障等。
在ChatGPT及相关技术引发越来越多关注和担忧后,美国的治理思路从重视产业更多转向监管治理与行业发展平衡。
2022年10月美国白宫发布的《人工智能权利法案蓝图》,提出负责任地使用人工智能路线图。该综合文件确定了指导和管理人工智能系统有效开发和实施的五项核心原则,特别关注侵犯公民权利和人权的意外后果。
而12月发布的《2022推进美国人工智能法案》(Advancing American AI Act)则着眼产业发展,提出增加投资、鼓励运用等多项促进人工智能发展的举措。
今年1月,美国国家标准与技术研究院(NIST)在与私营和公共部门的合作下发布了《人工智能风险管理框架》(Artificial Intelligence Risk Management Framework,以下简称“《框架》”),期望为有需求的各方提供可参考的AI风险管理框架。4月,《2020年国家人工智能倡议法案》(National Artificial Intelligence Initiative Act of 2020)公布。该法案计划在未来五年内提供近65亿美元,确立美国在人工智能 (AI) 领域的领导地位。
5月,2023年的《国家人工智能研发战略规划》( The National Artificial Intelligence Research and Development Strategic Plan)发布,美国政府宣布了一系列围绕美国人工智能使用和发展的新举措,以全面了解并捕捉到快速发展的AI技术所蕴含的风险和机遇。
当前,美国倾向于认为人工智能将是决定未来战略竞争力的一个关键领域。
“人工智能是我们这个时代最强大的技术之一,具有广泛的应用。为了抓住人工智能带来的机会,必须首先管控其风险。为此,政府已采取行动,促进负责任的人工智能创新,将人、社区和公共利益放在中心位置,并管理AI技术发展对个人和社会、安全和经济的风险。”白宫在官网上发布的新闻稿中称。
从整体思路来看,由于美国尚未就生成式AI应用制定专门的规定,生成式AI应用遵循其关于人工智能技术治理的相关规范。前文提到的《框架》作为引导行业实践的AI风险管理框架文件,也许代表着美国对于生成式AI应用风险治理的主要思路。
《框架》是一份非强制性的指导文件,其目的是降低人工智能系统对公民自由和权利造成的威胁并实现人工智能系统积极影响的最大化,使得人工智能系统更加安全可信赖。
《框架》由两大部分构成:第一部分为使用的基础信息介绍,包括企业如何界定人工智能系统的相关风险,并阐述框架的受众和有效性。除此之外,还概述了可信的人工智能系统的特征,即可解释性、透明度和问责制。通过将这些特征纳入人工智能系统,各组织或企业可以确保其系统的可信性和安全性,避免对个人或社会产生不必要的风险。
所谓可解释性(Explainability),是指人工智能系统对其决策过程提供清晰和可理解的解释的能力。若缺乏可解释性,系统会产生与偏见、歧视和其他负面影响有关的风险;而透明度(Transparency)是指人工智能系统以利益相关方可以理解的方式提供有关其运作和决策过程的信息的能力,包括提供关于数据来源、所使用的算法以及可能影响系统性能的其他相关因素的信息;问责制(Accountability)则指人工智能系统对其行为负责的能力,问责制的存在能够确保有相应机制来识别和解决系统决策过程中的错误或偏见。
《框架》第二部分则涵盖框架核心和用例配置文件,由治理(Govern)、映射(Map)、衡量(Measure)和管理(Manage)四个顶层模块组成。
具体而言,治理(Govern)功能明确人类在“人类与人工智能团队”中的角色和责任;明确系统性能监督者的角色和责任;使系统的决策过程更加明确,并帮助对抗系统性的偏见等。
映射(Map)功能映射有助于企业全面了解人工智能系统所涉及的风险,包括确定潜在漏洞,评估人工智能系统故障的影响,以及了解人工智能系统输出的潜在后果等。这一功能能够帮助企业提高其内部的风险识别能力,以识别系统的局限性,探索和检查基于人工智能的系统在现实世界中的影响,并评估其整个生命周期的决策过程。
衡量(Measure)功能的重点是量化和评估人工智能系统风险。它涉及制定衡量标准来评估人工智能系统的性能和有效性。衡量功能可以帮助企业评估人工智能系统风险的影响,并制定明智的风险缓解策略。
管理(Manage)功能则聚焦制定和实施风险缓解战略和风险控制战略,以解决已明确的人工智能风险。具体而言包括制定和实施政策、程序和技术保障措施等活动,以缓解和控制整个人工智能系统生命周期的风险。管理功能确保采取适当的措施,最大限度地减少人工智能系统的潜在负面影响。
该《框架》具有高度的抽象性,因此NIST并没有提供标准的配置模板。不过其提供了在线配套使用手册,为管理者提供了具体的行动建议,包括示例和参考资料等,组织或企业可以根据自己的需求、风险偏好以及成本资源等因素灵活实施此框架。
陆钇潼 王敏 朱敏婕对白皮书撰写亦有贡献。
