AI觀察｜歐盟新人工智能法案的10個關鍵事項【走出去智庫】_風聞

走出去智庫（CGGT）觀察

1月10日，世界經濟論壇發佈《2024年全球風險報告》稱，虛假和誤導性信息在尖端人工智能（AI）的加持下，是全球經濟面臨的首要直接風險。目前，各國及相關國際組織都在加強對AI的監管，歐洲議會、歐盟理事會已於2023年12月8日達成了全球第一部關於人工智能領域的全面監管法規——《人工智能法案》的政治協議。

走出去智庫（CGGT）特約法律專家、大成律師事務所上海辦公室合夥人曲曉琨認為，歐盟對《人工智能法案》的定位奇高，意在續寫《通用數據保護條例》（GDPR）的傳奇，引領全球人工智能監管標準。相關企業應正確識別和減輕風險，確保在人工智能系統生命週期內進行充分的監測和監督。對此，企業應採取系列措施，相關措施可與組織現有的風險管理流程融合，特別是數據保護風險評估、供應商盡職調查和審計等等。

歐盟《人工智能法案》有哪些要點？今天，走出去智庫（CGGT）刊發大成律師事務所曲曉琨等人的文章，供關注AI監管****的讀者參閲。

要點

****1、****法案已經過多年談判，但直到最後一刻，有關對通用型人工智能和基礎模型進行監管的辯論，以及立法是否會過度阻礙創新的分歧一直存在。

****2、****法案確立了一種基於風險的方法：風險越高，規則越嚴。

****3、法案鼓勵由國家當局建立的“監管沙盒”和“真實世界測試”，用於在投放市場之前開發和訓練創新的人工智能。

正文

2023年，人工智能風起雲湧。法律監管層面，國內《生成式人工智能服務管理暫行辦法》適時出台，成為全球首部專門針對生成式人工智能的立法；與此同時，國外人工智能立法、執法（例如意大利個人數據保護機構針對ChatGPT的調查）亦動作頻頻。尤其是近來歐盟立法者已就《人工智能法案》（以下簡稱“法案”）達成初步政治協議，並預計於2024年初正式出台。歐盟對法案的定位奇高，意在續寫GDPR傳奇，引領全球人工智能監管標準。鑑於法案的域外效力（適用於歐盟境外的開發者、部署者，如果其人工智能系統投放到歐盟或其使用會影響到歐盟境內的人），對於出海歐盟的中國人工智能企業而言，需注意法案合規要求並着手應對。通過聯合Dentons歐洲團隊，我們對歐盟人工智能法案的10個關鍵事項（The New EU AI Act – the 10 key things you need to know now）進行編譯，以供國內業界參考。

1、引領全球人工智能監管

2023 年 12 月 8 日，歐盟立法者就世界上第一部關於人工智能的綜合性法律：新《人工智能法案》達成了臨時政治協議。

法案已經過多年談判，但直到最後一刻，有關對通用型人工智能和基礎模型進行監管的辯論，以及立法是否會過度阻礙創新的分歧一直存在。

政治協議的達成意味着，儘管法案最終文本尚待定稿，但後續主要為法案原草案的清理工作。最終文本預計將於2024年初由議會和理事會正式通過成為歐盟法律。

下文總結了為達成政治協議而進行的長達37小時的馬拉松式談判所解決的主要問題，同時還就企業如何應對法案落地提供了建議。

2、規制對象：“人工智能系統”

歷經爭辯，法案最終採納了OECD對人工智能的定義，回應了對哪些類型的系統應被作為“人工智能”進行監管的全球共識。

OECD對人工智能的定義是：“人工智能系統是一個基於機器的系統，對於顯性或隱性目標，它從收到的輸入中推斷出如何生成輸出，例如預測、內容、建議或決策，這些輸出[能]影響物理或虛擬環境。不同的人工智能系統在部署後的自主性和適應性水平各不相同。[1]”

上述定義較為寬泛。其中，用以生成輸出的輸入可以由機器（例如自動駕駛汽車的傳感器）提供，也可以由人類（例如聊天機器人的提示）提供，進而，將“內容”作為輸出則進一步明確了生成式人工智能將落入規制範圍。

3、基於風險的分級監管方法

法案確立了一種基於風險的方法：風險越高，規則越嚴。法案根據人工智能的潛在風險和對個人以及社會的影響程度，規定了人工智能的義務。相應地，人工智能系統分為最小風險系統、有限風險系統和高風險系統，以及被禁止的人工智能系統（詳見下文第5項）。

具有最小風險的人工智能系統，其受歐盟現有立法規制而無需遵守額外的法律義務。

有限風險的人工智能系統將受到透明度要求的約束。例如，用户應該被告知其在與人工智能系統進行交互。

對於被歸類為高風險的人工智能系統（由於它們對健康、安全、基本權利、環境、民主和法治的重大潛在危害），將適用嚴格的義務，包括：強制性的“基本權利影響評估”，以及符合性評定、數據治理要求、在歐盟數據庫中登記、風險管理和質量管理體系、透明度、人工監督、準確性、穩健性以及網絡安全等。此類系統的例子包括但不限於：

·關鍵基礎設施管理，例如供水、供氣、供熱、供電等；

·教育和職業培訓，例如評估學習結果、指導學習過程、監督作弊等；

·招聘和用工管理，例如定向職位廣告、分析和篩選求職申請、對求職者進行評估等；

·獲取基本的私營和公共服務和福利（例如醫療）、自然人信用評估、人壽健康保險風險評估和定價；

·用於執法、邊境管制、司法等的特定系統；

·生物識別、分類，以及情緒識別系統（禁止分類以外的）。

有鑑於此，高風險的人工智能系統將需要廣泛的治理來確保合規性。

4、通用型人工智能系統和基礎模型

這是最後談判的一個關鍵領域。

通用型人工智能系統（general-purpose AI systems, GPAI）將受到專門規制，包括起草技術文檔、遵守歐盟版權法以及提供用於模型訓練的內容的詳細摘要（提高透明度）。

對於可能產生系統性風險的高影響力GPAI模型，還將適用額外的義務，例如模型評估、系統性風險評估和緩解、對抗性測試、向歐盟委員會報告嚴重事件、網絡安全和能效報告（在統一的歐盟標準發佈之前，具有系統性風險的GPAI可以依靠實踐守則來滿足法案要求）。

5、被禁止的人工智能系統

某些被認為對人類基本權利構成明顯威脅的高風險人工智能系統將被禁止，例如：

·基於敏感特徵（如政治、宗教和哲學信仰、性取向、種族）的生物分類系統；

·從互聯網或閉路電視錄像中無針對性地抓取面部圖像以創建面部識別數據庫；

·工作場所和教育機構中的情緒識別；

·基於社會行為或個人特徵的社會評分；

·操縱人類行為以規避其自由意志的人工智能系統；

·利用人們的脆弱性（由於他們的年齡、殘疾、社會或經濟狀況）的人工智能；

·預測性警務應用，即基於分析過去的犯罪行為評估自然人犯罪或再犯罪的風險；和

·執法時在公共場所使用實時生物識別（特定情況除外）。

執法機構將人工智能系統用於其機構性目的將受到特定保障措施的約束。

6、鼓勵創新

法案鼓勵由國家當局建立的“監管沙盒”和“真實世界測試”，用於在投放市場之前開發和訓練創新的人工智能。這被視為政治團體的一個關鍵“勝利”，這些團體在歐盟尋求為人工智能的發展提供一個有利於創新的和支持性的監管框架。

7、新的人工智能監管機構

歐盟立法機構同意建立新的監管機構，包括：

·人工智能辦公室（AI Office），設在歐盟委員會內，負責監督最先進的人工智能模型，促進制定新的標準和測試實踐，並在所有歐盟成員國執行共同規則。該機構可能類似近來英國和美國宣佈建立的人工智能安全機構；

·獨立專家組成的科學小組（scientific panel of independent experts），將就GPAI模型和高影響力GPAI模型向人工智能辦公室提供建議，幫助制定評估基礎模型能力的方法，並監測與基礎模型相關的潛在重要安全風險；

·人工智能委員會（AI Board），由歐盟成員國代表組成，將作為歐盟委員會的協調平台和諮詢機構，同時促進法案的實施（例如設計實踐守則）；和

·面向利益相關方的諮詢論壇（advisory forum），為人工智能委員會提供專業技術支持。

上述外部利益相關方參與的獨立專家和諮詢論壇亦可以為私營部門的人工智能治理模式樹立榜樣。

然而，各個成員國將採取哪種方式來建立各國的人工智能監管機構，是授權現有機構（例如數據保護機構），亦或選擇其他選項（例如新的獨立機構），有待觀察。

8、違法處罰是什麼？

不遵守法案將招致，從750萬歐元或全球營業額的1.5%到3,500萬歐元或全球營業額的7%範圍內的罰款，取決於公司的具體違規行為和公司規模（中小企業從輕處罰、大型公司從重處罰）。

9、法案何時生效？

法案的最終文本可能會在2024年初於歐盟官方公報上公佈，並於公佈後第20天生效。

法案生效至全面施行將有兩年過渡期。而在此之前，應在法案生效後六個月內淘汰被禁止的人工智能系統，有關GPAI治理的規定將在法案生效後12個月內施行。

10、企業現在如何為法案生效做準備？

在等待法案正式通過並完全生效的同時，使用或計劃使用人工智能系統的企業應開始通過流程映射，並評估其人工智能系統與新法案的合規差距來應對新法案的影響。

作為起點，建議組織實施人工智能治理策略。我們認為，穩健的治理策略必須與業務目標保持一致，人工智能治理還需與旨在管理個人和非個人數據資產的舉措協調，並遵守現有立法。

除此之外，還應考慮實施相關政策和流程框架，以確保只能引入合規的系統開發者，且只能開發和部署合規的人工智能系統。同時，應正確識別和減輕風險，確保在人工智能系統生命週期內進行充分的監測和監督。對此，應採取系列措施，相關措施可與組織現有的風險管理流程融合，特別是數據保護風險評估、供應商盡職調查和審計等等。

還建議企業仔細審視支持人工智能治理活動所需的內部和外部資源，這一里程碑可能成為人工智能治理專家人才競賽的“發令槍”。

最後，建議企業進行全球性考量。儘管歐盟人工智能法案的領先性，企業在遵從法案合規要求時，還需關注、適配其他司法轄區關於人工智能的監管要求。

來源：大成上海辦公室

註釋：

[1]OECD‘s definition of AI: “An AI system is a machine-based system that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that [can] influence physical or virtual environments. Different AI systems vary in their levels of autonomy and adaptiveness after deployment.”