经过为期三天的“马拉松式”会谈,欧洲议会、欧盟成员国和欧盟委员会三方,于布鲁塞尔当地时间12月8日晚就《人工智能法案》达成了初步协议。这一法案成为全球首部人工智能领域的全面监管法规。
人工智能引发生产力变革的同时,也引发了人们对快速发展的技术给就业、隐私、版权保护甚至人类生命带来风险的担忧,人工智能治理成为全球各国共同面临的重要课题。
近年来,全球多个经济体和国际组织积极探索AI监管之路,期冀构建开放、公正、有效的治理机制,加强人工智能的安全监管,寻求鼓励技术创新和防治社会风险之间的平衡。其中,欧盟采取了全面且基于风险的方法;美国则采取了更加分散的方法,专注于人工智能的具体应用;而中国在实施包容审慎和分类分级的监管措施之外,也强调主流价值导向。
01 欧盟
欧洲走在人工智能法律监管的前列。2018年5月生效的欧盟《通用数据保护条例》(GDPR)对人工智能技术有直接影响:第 22 条禁止基于完全自动化的流程做出对个人产生法律后果或类似影响的决策,除非程序获得用户的明确同意或满足其他要求。
在随后的2019年,欧盟逐步开始布局人工智能监管领域,先后发布人工智能伦理准则并出台《人工智能白皮书》。
在立法层面,早在2021年4月,欧盟就提出《人工智能法案》提案的谈判授权草案,将严格禁止“对人类安全造成不可接受风险的人工智能系统”,包括有目的地操纵技术、利用人性弱点或根据行为、社会地位和个人特征等进行评价的系统等。
此后,人工智能技术继续快速发展,尤其是以ChatGPT为代表的生成式人工智能技术“横空出世”并迅速席卷全球,欧洲议会和欧盟理事会就草案进行了多轮修订和讨论。
2022年12月6日,欧盟理事会就该文件的总体方法(谈判授权)达成协议,并于2023年6月中旬与欧洲议会进行了机构间谈判,高票通过了《人工智能法案》谈判授权草案,推动了该法案进入立法程序的最后阶段。近期,欧洲议会、欧盟成员国和欧盟委员会举行“三方谈判”,经过长达三天的闭门协商,就《人工智能法案》达成协议。
该法案的主要思想是根据人工智能对社会造成危害的能力,遵循“基于风险”的方法来分级监管人工智能:风险越高,规则越严格。具体而言,AI风险被划分为不可接受的风险、高风险、最小风险和特定透明度风险四大类,不同风险级别有对应不同的规则和义务。
“不可接受风险”等级的AI应用将被直接禁止,包括在特定情况下使用生物特征分类系统和人脸识别系统。据欧盟委员会解释,在包括人脸识别在内的生物识别系统应用中,也有例外的情形:允许执法部门在严格限制条件下,对涉嫌或者已经被判决犯下重罪的人员进行非实时远程生物识别。
“高风险”等级的AI包括伤害人的健康、安全和基本权利,或对自然有害的技术。而未被列入“不可接受风险”及“高风险”的技术,则须承担最小的申报义务。
在此次谈判中,对于如何监管类似ChatGPT的生成式人工智能模型成为一大焦点,备受业界关注。经过谈判,法案对通用人工智能系统和基础模型做出了规范:
基础模型,即能够胜任执行一系列独特任务,如生成视频、文本、图像、横向语言转换、计算或生成计算机代码的大型系统,在投放市场之前必须遵守特定的透明度义务,包括构建基础模型的公司必须起草技术文件,遵守欧盟版权法,并报告用于训练其模型的数据信息等。
而针对用大量数据训练、具有远高于平均水平的高级复杂性、能力和性能,可以沿着价值链传播系统性风险的 “高影响力”基础模型,则将被引入更严格的审查制度,包括必须评估和减轻这些风险、报告严重事件、落实网络安全措施以及报告其能源效率。
此外,法案还对不同违规情形的罚款金额进行了规定:对于违反被禁止的人工智能应用程序,最高将面临高达 3500 万欧元或公司全球营业额的 7%的经济处罚。
最终的法案最早要到2025 年才能完全生效。欧盟方面希望,作为全球首个此类立法提案,该法案可以像《通用数据保护条例》(GDPR)一样为其他司法管辖区的人工智能监管制定全球标准,从而在世界舞台上推广欧洲的技术监管方式。
02 美国
当地时间10月30日,美国总统拜登签署一项“具有里程碑意义的”行政命令——《安全、可靠及可信赖的人工智能》,推出白宫有关生成式人工智能的首套监管规定,被美国媒体称为“有史以来政府为推进人工智能安全领域所采取的最重大行动”。
根据该项命令,美国多个政府机构需制定标准,以防止使用人工智能设计生物或核武器等威胁,并寻求“水印”等内容验证的最佳方法,拟定先进的网络安全计划。具体而言,命令要求对人工智能产品进行检测,并将测试结果报告给联邦政府,保护美国用户免受人工智能欺诈和欺骗。
此外,美国商务部还将给人工智能生成内容,比如通常被称为“深伪技术”的AI生成音频或图像,制定更加严格的标准。
在此之前,美国政府中,主要是联邦贸易委员会(FTC),正在逐渐加大对人工智能和人工智能产品的审查力度。FTC是美国联邦政府中负责消费者权益保护的企业监管机构,可以对所有可能损害消费者利益的不公平和欺骗性商业行为,以及不公平竞争行为进行监管。
一个著名的案例是FTC对OpenAI进行的调查。2023年7月,FTC告知OpenAI,将调查ChatGPT是否通过发布虚假信息损害了人们的利益,以及OpenAI是否存在“不公平或欺骗性”的隐私和数据安全行为。FTC在信中还要求OpenAI分享内部资料,包括该公司如何保留用户信息,以及该公司为应对其模型产生“虚假、误导或诋毁”言论的风险而采取的措施。
此外,美国联邦贸易委员会还为使用人工智能的公司发布了指南,强调透明度、可解释性、公平性和强大的数据安全实践的必要性。
值得一提的是,随着生成式人工智能技术的出现和应用,知识产权和版权法迅速成为有关人工智能监管讨论中最活跃的议题之一。2023 年8月,斯蒂芬·塞勒 (Stephen Thaler) 对美国版权局提起诉讼,因后者一再拒绝为由塞勒的机器算法创建的图像颁发版权。美国法官裁定人工智能生成的艺术品不受版权保护。这一立场引发了法律学者之间持续的争论,一些人认为有必要根据人工智能的进步修改版权法。
迄今为止,美国人工智能监管方法较为分散,联邦层面的人工智能全面立法尚属缺失,但各州制定了自己的人工智能法律。
如,伊利诺伊州制定了《伊利诺伊州人工智能视频面试法》,要求雇主在评估视频面试时告知申请人是否打算使用人工智能系统,确保候选人在面试前了解自己的权利并同意使用人工智能。该法律还概述了处理视频采访数据的协议,包括根据要求在30天内销毁这些数据等。又如,纽约州制定了《纽约人工智能偏见法》,要求公司定期审核其招聘算法是否存在偏见。
03 中国
在与人工智能紧密相关的算法技术方面,我国也已发布多份法律法规。2021年8月,我国出台《个人信息保护法》,规制“算法歧视”,明确否定“大数据杀熟”,提出若进行个性化推荐,应同时提供不针对其个人特征的选项,或便捷的拒绝方式等。同年12月,《互联网信息服务算法推荐管理规定》出台,明确了算法推荐服务提供者的信息服务规范和用户权益保护要求,包括建立完善的人工干预和用户自主选择机制,不得利用算法实施影响网络舆论、规避监督管理以及垄断和不正当竞争行为等。
2023年7月13日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部等七部门联合公布了《生成式人工智能服务管理暂行办法》,坚持发展与安全并重的原则,鼓励创新与治理相结合,实施了包容审慎和分类分级的监管措施,旨在提高监管的高效性、精确性和敏捷性,“促进生成式人工智能健康发展和规范应用”,并于2023年8月15日开始施行。
《办法》要求,生成式人工智能服务提供者应当按照《互联网信息服务深度合成管理规定》 对图片、视频等生成内容进行标识。此外,《办法》指出,提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并履行算法备案和变更、注销备案手续。其中相关服务者在申报评估和备案时,需要提供内部数据安全管理机构(负责人)设置情况、数据安全保护的管理和技术措施、数据安全监测及应急处置机制等安全相关文档。
10月18日,国家网信办发布《全球人工智能治理倡议》,具体措施包括推动建立风险等级测试评估体系、实施敏捷治理、分类分级管理以及快速有效响应。从AI分类分级监管的思路看,中国与欧盟之间有相当程度的默契。
