数据要素产业
全球数治|欧盟《人工智能法》的意义与缺陷
4月21日,欧盟委员会发布了《人工智能法》提案(以下简称《提案》)。该提案是欧盟首个关于人工智能的具体法律框架,目的在于化解人工智能风险,发展统一、可信赖的欧盟人工智能市场,保护欧盟公民基本权利。欧盟已意识到,鉴于目前尚未形成全球公认的人工智能治理规则框架,只有在欧盟层面采取共同行动,才能保护欧盟数字主权,并利用其监管权力塑造全球规则和标准。
不久前,美国布鲁金斯学会高级研究员马克麦卡锡(Mark MacCarthy)和乔治敦大学欧盟法教授肯尼斯普罗普(Kenneth Propp)共同撰写文章《机器们知悉欧盟制定了人工智能新法规》(Machines learn that Brussels writes the rules: The EU’s new AI regulation),对欧盟《人工智能法》提案的内容予以评述,肯定欧盟制定人工智能治理规则的积极意义,并分析其对跨大西洋合作关系可能产生的影响。
马克麦卡锡(Mark MacCarthy)和肯尼斯普罗普(Kenneth Propp)认为,欧盟《人工智能法》提案主要特点在于设置了一种重视风险且审慎的监管结构,精细划分人工智能风险等级,并制定针对性的监管措施。人工智能系统被分为不可接受的风险、高风险、有限风险和极低风险四种类型。《提案》主要规制的是不可接受的风险和高风险。除非绝对必要,可能导致不可接受风险的人工智能系统和应用都将被禁用。高风险人工智能的使用必须受到严格监管,系统提供者和使用者都要遵守数据管理、记录保存、透明度、人为监管等规定,以确保系统稳定、准确和安全。对风险较小的人工智能系统,只需轻度监管。《提案》的主要创新在于:一、规定上市前合格性评估程序,以确定高风险人工智能系统是否符合法规要求。评估合格后才能出售和使用;二、要求建立专门的监测体系,以发现系统使用过程中的问题并减轻影响。
马克麦卡锡和肯尼斯普罗普对《提案》的适用范围、不可接受风险和高风险的具体规定、监管实施方式等也进行了评析。
首先,《提案》规定的法律适用范围十分宽泛。具有机器学习功能的软件系统、基于规则的人工智能算法、创建信用评分的统计技术等都属于人工智能范畴。只要人工智能系统产生的数据是供欧盟成员使用,或与欧盟公民有关,相关系统开发者、供应商和使用者就属于法律管辖的范围,无论他们身在世界何处。
按照《提案》规定,凡是使用人工智能系统或技术操控人类行为,对人类造成或可能造成身体、心理伤害,进而对公民的安全、正常生活和基本权力构成明显危险,即属于“不可接受的风险”,应被禁止使用,例如,禁止出于执法目的在公共场所使用实时远程生物特征识别系统,除非出于寻找失踪儿童、防止恐怖袭击等绝对必要的目的。
对于“人工智能高风险”,《提案》未进行明确定义,但将人工智能技术可能发生高风险的领域划分为八类:关键基础设施、公民教育、产品的安全组件、公民就业、公共服务、公共执法、出入境问题、司法和民主进程,并强调所有远程生物识别系统都应被划入高风险范围。同时,《提案》还规定了高风险人工智能系统在投放市场前和使用过程中应严格履行并接受审查的义务。系统提供者必须:1、创建适当的数据管理办法;2、向系统提供准确、完整的数据集;3、向政府当局提供证明系统符合相关要求的技术信息;4、向用户提供透明、清楚的信息,使用户充分了解系统如何运作;5、采取适当的人为监督措施;6、避免让人类用户过度依赖系统输出,即“自动化偏见”;7、系统具有高等级、可持续的安全性和准确性。同时,高风险人工智能系统提供者必须接受完备的上市前合格性评估。在高风险人工智能系统出售或投入使用后,供应商还要建立相应监测系统。对于投入使用后仍在继续学习和更新的系统,如构成对系统的实质性修改,则需接受新的评估。
《提案》要求各成员国主管市场监管的机构负责监督人工智能新法规实施。今后,欧洲数据保护委员会和各成员国还将指派代表,在欧盟委员会的组织下成立欧洲人工智能委员会,主导欧盟人工智能治理,促进监管规则实施,推动标准制定,发布关于实施法规的意见和解释性指导,并协调各成员国确保规则的一致使用。
《提案》还规定了较以往更严格的惩罚措施。市场监管机构有权要求相关经营者纠正违规行为。若未在期限内纠正,市场监督机构有权禁止或限制人工智能系统的销售,将其撤出市场或召回。对于违规者最高可处3000万欧元的行政罚款。如违法者是企业,最高还可处其上一财政年度营业额6%的罚款。
马克麦卡锡(Mark MacCarthy)和肯尼斯普罗普(Kenneth Propp)还指出,尽管《提案》规则繁复而精细,但仍然存在着明显缺陷。首先,《提案》有不少关于“算法偏见风险”的描述,但对于此类风险评估和防止的规定却十分薄弱和模糊。这可能致使很多大型高科技公司不受实质影响。除了广告跟踪和推荐引擎中使用的某些算法被作为操纵性或剥削性行为而受到禁止,《提案》并未将社交媒体、搜索、在线零售、应用商店、移动应用等所使用的算法确定为高风险。其次,《提案》关于信息披露的规定也不够到位。在与人工智能系统“互动”过程中,人们的情绪、性别、种族、民族或性取向等信息会被人工智能系统“识别”,以及当“深度伪造”系统被人为操纵时,受影响的人们必须得到信息披露,除上述情况外,诸如当人们被算法排序以确定获得公共福利、信贷、教育或就业资格等情况时,就不会被告知相关信息。此外,《提案》对人工智能系统上市前合格性评估程序的规定比较笼统,监管效果可能打折扣。随着欧盟立法程序的推进,这些缺陷需要被重新审视。
在对《提案》解读的基础上,马克麦卡锡(Mark MacCarthy)和肯尼斯普罗普(Kenneth Propp)进一步分析了《提案》对跨大西洋合作关系可能产生的影响。他们认为,相比欧盟致力于在联盟层面统一立法,美国对人工智能的监管仍处于“碎片化”状态。特朗普政府时期直接将人工智能监管责任下放给不同监管机构。拜登政府或许会更重视此问题,以避免潜在风险,但基本上还是会采取分散型监管方式。联邦层面仍然缺乏统一立法。类似欧盟这种基于风险分类的整体型监管模式不太可能被采纳。
尽管如此,美国和欧盟在人工智能治理上仍有合作空间。欧盟委员会提出的跨大西洋合作蓝图,其中重要内容就是成立贸易与技术委员会,以及制定人工智能方面的合作协议。一旦欧盟的高风险人工智能系统标准出台,美国可以选择与欧盟协商,寻求相关制度接轨,进而允许美国高科技公司在美国政府监管下进行人工智能系统合格性评估;双方也可以考虑相互承认对方的合格性评估结果;美国各专门机构在制定人工智能监管规则时,或可参考欧盟法规内容,并通过政府间对话推动形成共识。
最后,马克麦卡锡(Mark MacCarthy)和肯尼斯普罗普(Kenneth Propp)指出,欧盟《人工智能法》提案作为2020年《欧盟人工智能白皮书》具体落实的关键一步,反映出欧盟积极创建面向未来的全球数字治理新规则的雄心。虽然前景未知,但欧盟的立法实践本身就具有积极意义,对相关领域国际规则制定有一定参考价值。