引言
2024年3月13日,欧洲议会表决通过了欧盟酝酿已久的人工智能法案(Artificial Intelligence Act)(下称“欧盟人工智能法案”),该法案被普遍视为世界上第一部较为全面用于规范新兴的人工智能产业的综合性法律文件。
鉴于欧盟人工智能法案规定的域外效力、分级的监管模式、严厉的罚则(罚金可高达3500万欧元或7%的全球年营收)、以及欧盟重要的市场地位,预计该法案将对全球人工智能产业的发展带来实质性的影响,并为后续各国陆续制定本国的相关规则提供重要的借鉴意义。
值得注意的是,目前欧洲议会通过的法案文本并非正式生效的最终稿。根据欧盟的立法程序,法案还需经文本语言的校对及欧洲理事会的批准,在欧盟官方公报上公布后二十天方才生效(预计将在今年的五月或六月)。此外,欧盟人工智能法案的不同部分亦将分阶段施行,比如被禁止实施的人工智能相关条款将在生效日六个月后适用、行为准则条款将在生效日九个月后适用、有关通用人工智能治理的条款将在生效日十二个月后适用、而高风险人工智能系统的合规义务则留有三十六个月的期限,为不同类型、不同风险的人工智能系统有针对性地预留了一定的过渡期和整改期。
本文将首先简要介绍欧盟人工智能法案的主要立法内容及重大亮点,同时思考并评述其对我国后续人工智能领域立法可以带来的借鉴,供各位读者参考、探讨和交流。
一、 欧盟人工智能法案的适用范围
欧盟人工智能法案的适用范围广泛且具有明确的域外适用效力。对于人工智能系统的提供者(不限于人工智能的开发者,相关人工智能系统的所有方或人工智能系统在其名下或贴其商标者,皆可构成),只要在欧盟市场投放或投入使用(不论是否收费)其人工智能系统或其人工智能系统产生的结果被用于欧盟境内,无论该提供者的实体是否在欧盟境内,都将受到欧盟人工智能法案的约束。
欧盟人工智能法案还适用于在欧盟境内的人工智能系统部署者(指在其授权范围内并在其职业活动中使用人工智能系统的主体,但自然人用于个人的非职业活动除外)。对于处于欧盟境外的部署者,只要相关人工智能系统产生的结果被用于欧盟境内,欧盟人工智能法案依然适用。
另外,除了上述人工智能系统的提供者和部署者,对于人工智能产业链上的进口商、分销商等主体,欧盟人工智能法案亦设定了相应的合规义务。
二、 以风险等级为基础的监管模式
欧盟人工智能法案将人工智能系统的风险等级细分为不可接受风险、高风险、有限风险及最低风险四类,对不同风险等级的人工智能系统差异化地提出了对应的合规要求,而具有不可接受风险的人工智能系统则直接会被禁止。以下表格将分类说明:
三、 专章规制通用人工智能模型
在欧盟人工智能法案立法的过程中,由于人工智能大模型快速的发展,法案专门制定一个章节对通用人工智能模型(general-purpose AI model,即经大量数据训练并展现出实质通用性可完成广泛而多样任务的人工智能模型)进行监管,并以是否存在系统性风险(systemic risk)进行区分,对具有系统性风险的通用人工智能模型提出更高的合规要求。
而衡量是否具有系统性风险的标准主要是基于对通用人工智能模型技术性能指标的判断,若通用人工智能模型达到或高于欧盟人工智能法案不时更新的技术参数(例如用来训练通用人工智能模型的算力总量),则将被视为具有系统性风险。也就是说技术性能越强大,越有可能构成具有系统性风险的通用人工智能模型。
通用人工智能模型的提供者在欧盟人工智能法案下需履行的义务包括:公布足够详尽的训练数据总结、遵守欧盟版权法、确保通用人工智能模型生成的结果得到恰当的标识等。对于具有系统性风险的通用人工智能模型,其提供者则还应履行额外的合规义务,在投放市场前对模型进行评估从而识别和缓解可能存在的系统性风险、向欧盟委员会及相关国家机构跟踪并报告突发事件、为人工智能模型及其物理硬件提供足够的网络安全措施等。
四、 法案对我国立法的重要借鉴意义
与欧盟类似,中国也正处于人工智能领域立法的重要关口。因此,欧盟人工智能法案的出台也对我国后续人工智能领域立法具有重要借鉴意义:
1.“分级分类”风险治理理念
如本文第二节所述,欧盟人工智能法案将“分级分类”风险治理理念作为人工智能风险治理的一项重要基本原则,配以相应的分级分类标准,并分别明确监管重点及适用的监管手段。
特别地,对于重点监管的高风险人工智能系统,欧盟人工智能法案采取“清单治理”+“动态管理”的风险治理路径:(1)就“清单治理”,法案对属于高风险人工智能系统的类型和应用领域进行列举,并明确欧盟委员会可通过立法不断调整高风险人工智能系统的清单;(2)就“动态管理”,法案以全生命周期模式对高风险人工智能系统进行监管,对其“上市前-上市时-上市后”提出全方位的合规要求。
对我国而言,“分级分类”的监管原则其实早在《生成式人工智能服务管理暂行办法》即已提出,但暂行办法中尚未详细展开,因此欧盟人工智能法案对于我国后续将如何对人工智能技术的“分级分类”监管体系落于纸面,尤其是如何监管作为监管重点的高风险人工智能系统,提供了可供参考的思路,具有相当的借鉴意义。
2. 个人隐私与数据保护
欧盟人工智能法案中强调了在人工智能系统的开发和应用中保护个人隐私的重要性,并与欧盟《通用数据保护条例》(General Data Protection Regulation)等现有欧盟法律相互补充。
同样地,对于人工智能领域中的个人信息、隐私权和数据安全保护理念在《生成式人工智能服务管理暂行办法》中亦已有明确规定。可以预见,后续我国人工智能领域的立法很可能也会参照欧盟人工智能法案,寻求与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的有机结合,在法律原则和条款上进行援引,相互补充。
3. 支持创新与中小企业发展
值得注意的是,欧盟人工智能法案中专门规定了“支持创新的措施”,其中提到“监管沙盒(Regulatory Sandbox)”,一种由政府部门主导的监管工具,可以由中小企业免费参与或享受申请便利。该等监管工具允许企业在监管机构的监督下,在有限期间内测试和实验新的创新产品、服务或业务。此外,欧盟人工智能法案还规定了一系列针对中小企业的保护措施。
目前,我国中小企业在人工智能领域各项政策中仍处于较弱势地位,从技术及商业创新的角度,建议我国后续立法中可以参照欧盟人工智能法案给予中小企业更多机会和支持。
评析
欧盟人工智能法案标志着全球范围内对人工智能技术综合性规制的重要一步,为人工智能系统的发展、部署与使用设定了明确的法律框架。类似地,我国也正处于人工智能领域立法的重要十字路口,故欧盟人工智能法案对我国加快、加强人工智能领域立法的体系化和系统性、细化风险分级分类制度以及通过制度设计鼓励创新等方面具有相当的借鉴意义。
同时,可以预见,随着我国人工智能领域立法的不断出台,以及跨法域人工智能产品及服务的不断涌现,不可避免得将出现欧盟人工智能法案和我国人工智能法律法规的重合适用,甚至是冲突(例如标准不同/冲突,数据存储、归属等等),我们建议相关企业对行业法律法规及政策保持密切关注,及时聘请法律专业机构协助分析和应对相关合规风险,做到未雨绸缪、行稳致远。
后续我们将持续关注欧盟人工智能法案通过后的不断发展和变化,以期一窥全球人工智能领域立法的监管思路及监管趋势,供各位读者参考、探讨和交流。