观韬解读 | 全球人工智能监管系列解读(二)——欧盟的人工智能(AI)监管方法
作者:张烜 王渝伟 徐倩怡
欧盟的人工智能(AI)监管方法:建立卓越与信任的全面框架
引言
人工智能(AI)技术的快速发展为各行业、各经济体乃至全社会带来了变革性的机遇。然而,这些机遇也伴随着重大风险,包括隐私问题、安全性、歧视以及少数大型技术公司的权利集中。欧盟认识到这些挑战,并采取了主动的方法来监管AI,在促进创新的同时,也确保了AI在保护基本权利和维护公平、透明、负责任的伦理和法律框架内运行。本文将详细探讨欧盟在AI监管领域的进展历程,按照主要时间顺序介绍欧盟对AI管制的发展历程和关注重点的变化,为对欧洲AI进程有了解意愿的读者提供全面的参考。
欧盟在人工智能领域的立法以风险为导向,致力于在促进技术创新与保障安全、伦理和社会责任之间取得平衡。其法律体系通过建立严格的监管框架,对高风险的人工智能技术进行重点监管,确保技术应用的透明性和问责制。同时,欧盟还强调数据保护、平台责任以及开发过程中对伦理原则的遵守。我们将欧盟在AI及数据管理方面的各类规范汇总如下:
欧盟的AI及数据管理规定 | |||
名称 | 主要内容 | 发布时间 | 效力层级 |
《人工智能法案》 Artificial Intelligence Act (AI法案) | 这是欧盟最完整的AI监管框架,该法案从风险角度将AI划分为四个风险等级,对于最高等级的不可接受风险AI,采取禁止使用的措施,而对于最低风险AI系统则无额外限制。处于中间等级的高风险的AI系统和有限风险AI系统,该法案要求它们满足一系列技术和管理要求,例如数据质量管理、透明度、安全性、记录保存等。 | 2024年8月 | 法律法规 |
《数字服务法案》 Digital Services Act (DSA) | 该法案旨在规范数字服务中的信息传播与平台责任,包括AI驱动的平台服务要求。它要求大型在线平台提高透明度,尤其是涉及算法决策和内容推荐的部分,并对AI生成的内容和决策提供清晰的解释。DSA还加强了用户的保护机制,要求AI算法使用时避免歧视性和不公正的决策。 | 2022年10月 | 法律法规
|
《产品责任指令》 Product Liability Directive Update
| 2022年,欧盟提议对《产品责任指令》进行更新,适用于AI产品和服务。新指令旨在扩大责任框架,使其包括与AI相关的损害赔偿。 | 2022年9月 | 法律法规 |
《数字市场法案》 Digital Markets Act (DMA) | DMA的主要目标是规范大型科技公司(守门人)在数字市场中的竞争行为。虽然该法案本身并非针对AI技术,但大型科技公司往往依赖AI技术,该法案可以有效限制限制它们通过AI技术进行不正当竞争或垄断行为,确保市场公平。 | 2022年3月
| 法律法规 |
《人工智能白皮书》 White Paper on Artificial Intelligence (白皮书) | 该白皮书提出了欧盟在人工智能领域的发展愿景,重点是促进创新、确保安全和建立信任。白皮书中提到,欧盟希望通过建立一个值得信赖的AI生态系统,确保人工智能技术以透明、安全和符合伦理的方式使用。 | 2020年2月 | 行业指引 |
《人工智能测试与实验框架》 Testing and Experimentation Frameworks for AI(TEFs) | TEFs旨在为AI技术的实验和测试提供一个欧盟范围内的基础框架。它支持AI技术在医疗、农业、制造业和智能城市等行业的测试,并确保这些技术的安全性、可靠性和可解释性。 | 2020年 | 政策指导 |
《人工智能伦理指南》 Ethics Guidelines for Trustworthy AI | 为AI开发者和公司提供了自愿遵守的伦理标准。指南明确了AI系统应遵循的七大原则,包括:人类主体性与监督、技术稳健性与安全性、隐私与数据管理、透明性、公平性、社会与环境福祉、问责制等。 | 2019年4月 | 行业指引 |
《人工智能协调计划》 Coordinated Plan on Artificial Intelligence | 旨在协调欧盟成员国共同推动AI的研发和应用,确保成员国之间保持相同的伦理准则和发展方向。修订后的计划重点强调了成员国应在创造有利AI发展环境、推动AI从实验室到市场转换、以人为本和推动社会进步,以及在欧盟高影响力领域建立战略领导地位这四个方面进行高度协同。 | 2018年12月首次发布,2021年4月修订 | 行业指引 |
《人工智能战略》 European Strategy on Artificial Intelligence | 这是欧盟为发展AI技术及其生态系统所设定的长期战略,重点放在加强AI研发、推动AI在各行业的应用、以及保障AI发展过程中欧洲的社会价值观。该战略还强调了欧洲AI的道德、法律和社会影响。 | 2018年4月 | 行业指引 |
《欧洲人工智能通信》 | 欧盟首次正式系统性应对AI问题的文件,该文件主要提出加大对AI领域的投资力度、构建AI系统伦理和法律框架、应对AI将带来的社会影响以及加强成员国协作避免AI政策碎片化等问题。 | 2018年4月 | 行业指引 |
《通用数据保护条例》
| 针对个人数据的保护,GDPR对欧盟境内所有机构以及向欧盟公民提供服务的非欧盟企业确立了几项核心原则,包括数据处理的合法性、公平性和透明性,明确限制数据用途,要求最小化收集数据量,确保数据准确性和安全性等,同时赋予用户访问其数据、要求删除数据(被遗忘权)、数据可携权,以及限制处理或反对特定数据使用等多项权利。在相关主体使用AI系统处理个人数据时,必须遵守GDPR的要求,确保数据的透明性、合规性、用户知情权和对算法决策的解释权。 | 2016年4月 | 法律法规 |
一、欧盟人工智能政策文件对AI发展方向的引导
自2018年至今,欧盟陆续发布了一系列人工智能相关的政策文件,逐步构建起一个系统性的非法律强制性指导框架。这些文件从不同层面明确了欧盟在AI领域的监管理念与发展方向。
2018年4月,欧盟委员会发布了指引性文件《欧洲人工智能通信》,欧盟通过该文件首次系统性地提出了AI监管问题。《欧洲人工智能通信》旨在为欧洲制定一项连贯且具有前瞻性的AI战略,强调了AI对于增强欧洲竞争力的重要性,同时也指出了建立伦理保障机制的必要性。这一举措不仅反映了欧盟对全球AI发展趋势的敏锐洞察,也是对美国和中国等国家在AI领域快速发展的响应,表明了欧洲在全球科技竞赛中的决心。
从内容方面来看,首先,《欧洲人工智能通信》设定了促进AI投资的目标,计划自2018年至2020年每年增加200亿欧元的投资,重点支持欧洲的研究能力和初创企业的发展。这不仅是为了加速技术革新,更是为了在全球AI竞争中占据有利位置。其次,文件强调了构建伦理与法律框架的重要性,旨在开发符合欧洲价值观的人工智能系统,确保技术发展的同时保护个人隐私和基本人权。同时,该文件就AI对社会的广泛影响提出了应对措施,包括调整教育体系和劳动力培训,以帮助人们适应由AI驱动的新工作环境等。最后,文件还提出了加强成员国之间协调的策略,通过制定统一的AI协调计划,避免欧盟内部出现政策碎片化,确保整个联盟在AI治理上采取一致的方法。作为欧盟首个系统性地处理AI问题的官方文件,《欧洲人工智能通信》在欧盟的一系列政策文件中占据了举足轻重的地位。它不仅为后续的立法和政策措施(如《人工智能法案》等)奠定了基础,还促进了欧洲内外关于如何负责任地发展和应用AI技术的讨论。
2019年4月,欧盟发布了《人工智能伦理指南》,提出了值得信赖的AI应遵循的七大核心原则,包括人类主体性与监督原则、技术稳定性与安全性原则、隐私与数据管理原则、透明度原则、公平性、社会与环境福祉保障和问责制原则。这些原则明确了技术发展应服务于社会整体利益,强调了AI发展的伦理维度,为开发者和企业提供了非强制性的标准,同时为全球AI治理树立了参考。
随后,在2020年欧盟发布了《人工智能白皮书:欧洲卓越与信任的AI方法》,这是在2018年《欧洲人工智能通信》基础上的作出进一步深化和具体化的讨论。该文件提供了一个更为详细的AI监管路线图,旨在建立一个值得信赖的AI生态系统。《白皮书》不仅强调了AI技术的潜力和重要性,还提出了具体的监管框架和政策措施,包括建议将AI应用按照风险级别分类,对高风险领域如医疗、执法等设定严格的监管要求,同时给予低风险应用更多自由度。此外,《白皮书》明确了消除数据偏见的重要性,提出以高质量和无偏见数据集训练AI模型的要求,并规划通过卓越与信任的生态系统促进技术创新与伦理合规的双赢。
2021年,为推动AI技术的实际部署,欧盟引入了《人工智能测试与实验框架》。该框架为AI技术的测试和验证提供了受控的实验环境,特别是在医疗、农业和制造业等高风险领域,帮助企业在接近真实的条件下评估技术性能与合规性。框架还为中小企业开放了进入尖端AI设施的渠道,降低了技术创新门槛,促进了技术的广泛应用。同年发布的《人工智能战略》进一步确立了欧盟AI发展的长远目标,强调AI发展应以人为中心,同时遵守伦理和法律框架。战略规划围绕增强研究能力、促进数据共享、调整教育体系和推动国际合作展开,试图在全球范围内推广欧盟的伦理AI理念,构建一个既支持技术进步又维护社会福祉的平衡生态。
通过上述介绍的一系列政策文件,欧盟逐步确立了其AI监管的核心理念与战略方向。这些文件强调了以人为本的技术发展观,特别是在伦理保障、教育改革和国际协作方面的努力。同时,通过风险分类、测试验证和资源开放,欧盟推动了技术创新与社会责任的结合。这些政策性文件不仅为全球首部全面的人工智能监管法案(《人工智能法案》)奠定了理论基础,也为欧盟未来的国际合作和技术规范提供了重要指导。
二、多维度协同的AI法律管理体系
2024年欧盟委员会发布了《人工智能法案》(AI法案),这是在全球内为AI创建一个全面法律框架的首次尝试。该法案旨在为AI系统在各个行业的开发、部署和使用设定规则,以确保技术的发展和应用既符合伦理原则,又能促进技术创新和社会福祉。《人工智能法案》的出台标志着欧盟在AI治理方面迈出了重要的一步,为全球AI监管树立了新的标杆。除此之外,欧盟对于在线服务平台等依赖AI技术的主体也有着一系列法律监管措施,包括《数字市场法案》(DMA)、《数字服务法案》(DSA)、《通用数据保护条例》(GDPR)及其他相关知识产权法案,这些法律法规覆盖技术开发、市场行为、平台责任与数据保护等关键领域,通过协同合作确保人工智能技术的合规性、安全性与透明性。
1. 《人工智能法案》(AI法案),首部关于人工智能管理的综合法案
《人工智能法案》法案将人工智能系统分为不可接受风险、高风险、有限风险和最低风险四个类别,不同风险类别对应不同的监管要求。
对于不可接受风险的AI系统,《人工智能法案》明确禁止了一些对社会和个体基本权利构成严重威胁的技术,包括实时远程生物识别(如公共场所的实时面部识别)、社会评分系统(基于个体行为评分并用于资源分配或服务限制)、利用儿童的脆弱性或特定群体弱点的AI系统,以及通过隐秘操控严重影响个体行为选择的系统。这些技术被视为对社会价值观和伦理准则的严重威胁,因此被完全禁止。
对于高风险的AI系统,法案涵盖了对个人健康、安全、基本权利和社会福祉具有重大影响的领域,例如医疗、执法、教育、招聘、金融服务和关键基础设施管理。这些系统需满足严格的监管要求,包括确保训练数据的高质量和无偏见性、提供详细的技术文档以证明其安全性和合规性、以及建立人工监督机制确保系统运行时始终有人类可以介入或审查其决策过程。此外,高风险系统在进入市场之前需完成合规性评估和注册,并在其整个生命周期内接受持续监控。
对于有限风险的AI系统,监管主要集中在透明性要求上。这类系统通常用于交互性较高的应用场景,例如聊天机器人或虚拟助理。《人工智能法案》要求这些系统向用户明确其为AI驱动,确保用户能够知晓正在与非人类智能进行交互。这一透明性要求旨在避免误导用户,使他们在与AI互动时拥有足够的知情权,同时强化对AI的信任感。尽管有限风险AI系统的监管要求较低,但明确的披露义务确保其符合基本的透明性原则。
对于最低风险的AI系统,主要涵盖娱乐、游戏和基本工具类的应用,如电子游戏中的AI角色。这些系统被认为对用户权利和社会影响的潜在风险最小,因此不受强制性的监管要求。然而,欧盟鼓励开发者遵循最佳实践,尤其是在透明性和伦理合规方面,以进一步提升用户体验并确保AI技术的正面效应。
2. 《数字市场法案》、《数字服务法案》以及《通用数据保护》的对人工智能应用的协同管理。
除了《人工智能法案》之外,欧盟还引入了《数字市场法案》(DMA)和《数字服务法案》(DSA),以监管更广泛的数字经济,特别是由大型在线平台使用的AI技术可能带来的风险。这两项法案旨在确保数字市场的公平竞争和透明度,同时保护用户权利和内容审核的公正性,DMA专注于大型在线平台的市场行为,旨在防止数据垄断和不公平竞争,而DSA则关注内容审核和平台责任,这两项法案共同构成了欧盟在数字经济和AI治理方面的综合框架。
DMA主要针对被称为“守门人”的大型在线平台,以确保数字市场中的公平竞争。 DMA对于守门人的监管主要集中于以下两点:
a)公平的数据访问:DMA确保守门人不能不公平地使用数据来阻碍竞争,这对于依赖大型数据集构建竞争性AI系统的AI驱动平台尤为关键,DMA确保较小的竞争对手可以公平地访问数据。
b) 数据使用的透明性和问责性:DMA要求守门人透明地处理他们如何收集、存储和使用数据,尤其是当AI算法用于个性化服务或内容推荐时,这确保了这些公司在不牺牲用户隐私或公平市场竞争的前提下获得竞争优势。DMA还要求守门人在数据使用方面承担更高的责任,确保数据的使用符合伦理和法律标准。
DSA对DMA的内容进行了补充规定,重点关注内容审核、算法透明性和平台责任,特别是由AI驱动的内容推荐、审核和决策系统。DSA的监管方向主要包括:
a)算法透明性:DSA要求大型在线平台提供透明性说明,阐释他们如何使用算法进行内容审核或推荐给用户,从而让用户更深入了解为什么某些内容会被显示或审核。
b)系统性风险的减缓:大型平台必须评估并减缓系统性风险,例如虚假信息、仇恨言论或有害内容的传播。由于许多平台使用AI进行自动内容审核,DSA要求此类平台要确保这些系统受到审计和监控,以防止AI的偏见或造成有害影响。
c)用户权利和申诉机制:DSA还加强了用户权利,确保用户可以对AI系统做出的自动决策提出质疑并上诉,尤其是与内容删除或账户暂停相关的决策权。这一加强用户权利的行为呼应了欧盟在GDPR和《人工智能法案》中提出的自动决策挑战权这一关键原则。通过积极采取前述措施,DSA希望能够确保用户在使用AI驱动的服务时能够享有更多的权利和受到更全面的保护。
于2018年生效的《通用数据保护条例》(GDPR)是欧盟最重要且影响深远的数据保护法律之一。尽管GDPR并非专门针对AI,但其对数据隐私和安全的严格要求对AI治理具有重要意义。GDPR通过明确数据处理的合法性、透明性和公平性原则,确保了AI系统在数据使用中的合规性。条例还赋予用户访问、更正和删除数据的权利,并规定个人可拒绝仅依赖自动化决策的结果,从而对AI驱动的个性化服务提供重要约束。
由此看出,对于人工智能使用的管理,欧盟正致力于构建一个多维度的法律体系。《人工智能法案》从技术层面建立了核心监管框架,明确了高风险领域的监管要求;DMA通过确保公平的数据访问和透明的数据使用,从而限制大型平台的市场垄断行为,确保了AI技术的公平竞争;DSA则通过算法透明性、系统性风险的减缓和用户权利的保护,确保了内容审核和平台责任的公正性,增强了用户对AI系统的信任;而GDPR则为数据驱动的AI系统提供了隐私保护和法律约束。这种综合性的监管体系,不仅能够应对AI技术的多样化挑战,还为全球AI治理提供了重要参考。
三、总结与展望
总体而言,欧盟现有的AI合规体系在全球范围内具有一定的前瞻性和引领性。通过政策指引性文件,欧盟旨在为人工智能的发展方向提供指引,引导人工智的开发和服务者能够以人类和社会福祉为原则,构建出符合欧洲价值观以及值得信赖的人工智能生态环境,与此同时,欧盟也通过颁布强制性的法律规定对现有的人工智能技术的应用和开发进行严格监管。然而,由于现有的合规要求已趋于复杂,尤其是对于跨国公司以及准备进军欧洲市场的中国投资者而言,将面临较大的成本和技术压力。
参考文献
[1] Ethics guidelines for trustworthy AI,参见欧盟议会网站,https://www.europarl.europa.eu/cmsdata/196377/AI%20HLEG_Ethics%20Guidelines%20for%20Trustworthy%20AI.pdf。
[2] White Paper on Artificial Intelligence-an European Approach to Excellence and Trust,参见欧盟议会网站,https://commission.europa.eu/system/files/2020-02/commission-white-paper-artificial-intelligence-feb2020_en.pdf。
[3] Artificial Intelligence for Europe,参见欧盟议会网站,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2018:237:FIN。
[4] Coordinated Plan on Artificial Intelligence,参见欧盟议会网站,https://digital-strategy.ec.europa.eu/en/policies/plan-ai。
[5] Communication Artificial Intelligence for Europ,参见欧盟议会网站,https://digital-strategy.ec.europa.eu/en/library/communication-artificial-intelligence-europe。
[6] Sectorial AI Testing and Experimentation Facilities under the Digital Europe Program,参见欧盟议会网站,https://digital-strategy.ec.europa.eu/en/activities/testing-and-experimentation-facilities。
[7] Tim Hickman, AI Watch: Global Regulatory Tracker - European Union,White & Case,https://www.whitecase.com/insight-our-thinking/ai-watch-global-regulatory-tracker-european-union。
[8] EU AI Act: first regulation on artificial intelligence,参见欧盟议会网站,https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence。
