欧洲议会和理事会已达成共识:欧盟的AI法案将以风险为基础对AI系统进行规范,并包括基础模型和生成式AI。对企业而言,这可能意味着需要承担更多的义务,也规定了的沙盒(数据化测试)环境为实验提供了自由空间。以下是AI法案的主要要点、专家意见(优缺点),以及CIO如何准备以合规的方式进行创新,同时将视野扩展到数据治理、风险管理和新技能的探讨。
来源:Shutterstock / Arsenie Krasnevsky
欧盟AI法案的最终文本尚未出炉,但已有一个临时协议:欧盟理事会主席和欧洲议会的谈判代表就规范人工智能的欧洲法案达成了协议。现在,对企业及其CIO来说,是时候跟上步伐了。
这一协议是在激烈的谈判后达成的,该立法过程始于两年前,在此期间,还不得不面对一个颠覆性的新问题:生成式人工智能。在风险防范导向的欧洲议会立场与一些成员国(包括意大利和法国)倾向于放宽规定的立场发生了冲突,这些国家支持给予实验和创新以自由,以试图在欧盟内部创建能够与目前统治该领域的美国大公司(一个非常雄心勃勃的目标)竞争的巨头。
“人工智能对企业竞争力来说是越来越重要的工具”,Anitec-Assinform的总经理Eleonora Faina表示。“如果引入清晰且可执行的规则,那么对市场而言,规定是积极的。但我们要强调的是,仅有的规则是不够的。现在我们需要政策制定者致力于支持AI投资的政策,并促进技能的传播。”
“对欧洲议会草案达成的协议是欧盟监管者尝试在一个对经济非常重要的技术领域中寻找规则与创新平衡的最大努力之一”,国际法律事务所Dentons的合伙人、欧洲知识产权、数据和技术共同负责人Giangiacomo Olivi观察到。“从保护权利的角度看,AI法案应该被视作是积极的。同样重要的是,它定义了也必须被欧盟外部但在欧洲提供服务的公司遵循的标准。然而,Olivi补充说,“严格规范AI领域的行业发展可能会为欧洲企业创建障碍,因为其他国家,包括美国,没有如此严格的规定。提高规范门槛可能会造成竞争劣势——尽管欧盟可能没有美国和中国那样的投资能力。”
一、可能“成本高昂”的AI法案
Anitec-Assinform的评述反映了这种分歧:对保护措施的积极评价,但对严格的规定体系表示疑虑。
“关于AI法案的临时协议是朝着负责任的AI迈出的重要一步,这体现在采用基于风险的方法,其中最关键的AI应用必须经过认证以确保其质量和安全性”,Faina表示。同时,“我们与欧洲其他协会如Digital Europe一起注意到,承担AI法案合规成本可能对中小企业和初创企业构成重大挑战,这可能会减缓欧盟大陆的创新能力。”
对于将引入的Foundation Models(FM,基础模型)规则(这些模型是生成式AI应用,如ChatGPT的GPT模型的基础)也有类似的讨论:“在这里,规定试图跟上技术进步:关于FM的规定是在提交法规提案后引入的,并且在没有进行整个文本的影响评估的情况下进行了谈判”,Faina指出。“这个过程的风险是引入不成比例且从技术角度难以实现的规则,使得在欧洲开发和投资AI变得更加困难。”
无论如何,AI法案不会“一夜之间”变为现实,而需要经过长时间的代表性法案发布、最佳实践识别和具体标准编写阶段。“我们几乎可以说,它的结构更像是指令而不是条例”,Faina注释。“然后确保AI法案能够与其他现有法规整合而不产生冲突至关重要,特别是与通用数据保护条例(GDPR),但这对整个欧洲数字法规体系都是适用的。”
【睿观:欧盟AI法案背景——欧盟AI法案是一项具有历史性的立法,旨在规范在欧洲范围内开发、部署和使用人工智能系统的方式。通过将AI系统分类为风险等级,该法案对于高风险的AI应用提出了更为严格的要求,包括透明度、数据的质量和安全性,以及对可追溯性和人类监督的要求。法案还特别强调对生成式AI(如GPT-3等基础模型驱动的应用)的监管,这是近年来AI技术进步的一个显著特点。
AI法案试图为保护基本权利和自由、保障社会安全,同时促进人工智能技术的创新和应用提供一个平衡框架。尽管如此,许多企业、行业协会和政策制定者都在关注其执行可能带来的挑战和成本,特别是对于中小企业而言。
随着欧盟各机构在法案的最终文本上达成一致,接下来将进入法案实施和执行的准备阶段。一方面,它确立了欧洲在全球AI治理中的领导地位;另一方面,也对全球AI生态系统的发展方向和监管环境提出了新的要求和标准。】
二、欧盟的标准保护了欧盟企业,但也是一把双刃剑。
正是通用数据保护条例(GDPR)激发了对CIO的重要思考。
“许多人将欧盟的数据保护法称为模范,被其他司法管辖区模仿,这在一定程度上是正确的”,Dentons的Olivi强调。“欧洲条例确实提高了对个人数据保护的重视。然而,也存在不太有利的可能性:在隐私保护上的竞争以及某种数据保护主义。这限制了分享,而分享在技术进步中是至关重要的。如果其他国家效仿欧洲模式,颁布严格的人工智能(AI)规则,我们可能会结束在控制政策中,这使得访问数据变得更加困难,阻碍了组织的创新能力”。
一方面,欧洲规则创建了一个所有在欧洲活跃的企业都必须遵守的公平竞争环境:没有任何企业可以在欧盟推广不尊重基本权利和欧盟规定标准的创新。另一方面,这并不等同于对创新的激励,Olivi注意到。“总会有更重要的主体,因为他们拥有更多的数据”,专家声明。“AI法案无法限制他们的权力和供应商锁定的风险。但至少,它设立了一些门槛”。
【睿观:通用数据保护条例(General Data Protection Regulation,简称GDPR)是欧盗盟于2016年4月通过,并于2018年5月25日开始实施的一项重要数据保护法规。GDPR对个人数据的保护提出了全新且严格的规定,适用于所有在欧盟境内处理个人数据的组织,无论这些组织是否位于欧盟境内。GDPR对“个人数据”定义极为广泛,几乎涵盖了所有能够直接或间接识别到个人身份的信息。
1.加强个人隐私权利:GDPR为个人提供了更多控制自己个人数据的权利,如访问权、更正权、删除权(被称为“被遗忘权”)、数据可携权等。
2.确保数据处理的透明度:要求数据处理者在收集个人数据时提供清晰、详细的信息,包括数据收集的目的、数据存储的期限等,并且需要获得数据主体的明确同意。
3.加强数据安全性:规定了数据处理者必须采取恰当的技术和组织措施来保护个人数据,减少数据泄露或滥用的风险。
4.实施数据保护默认原则和隐私设计:要求从技术和组织层面预设隐私保护,即在设计产品和服务时就要考虑数据保护。
5.加强对数据处理者和数据控制者的责任:每个处理个人数据的实体都要为其处理活动的合法性、公正性和透明性负责。
6.跨境数据传输的严格规制:对于将数据传输到欧盟之外的行为,GDPR设定了严格的条件和要求。
7.违规高额罚款:对违反GDPR规定的组织和个人,GDPR规定了严厉的处罚措施,最高罚款可达全球年营业额的4%或2000万欧元(两者取高者)。
三、欧盟AI法案预计的内容是什么?
欧盟人工智能立法包含的范围是AI系统,其中AI法案采用了由经合组织(OECD)开发的全球标准。生成AI系统输出的输入可以由机器(例如传感器)或人(如对ChatGPT的提示)提供。内容被视为一种输出类型:这使得生成式AI归入AI法案的管辖范围。
欧盟立法者采取了基于风险的方法:风险越高,规则越严格。或者说:义务越多。对于有限风险的AI系统,需遵守透明度要求。如果对人权和社会的风险更大(如在HR系统、医疗设备、公共服务公司网络等方面),则会有关于数据治理和数据隐私、网络安全、风险管理、人类监督等方面的义务。
AI法案通过监管沙箱和“现实世界测试”来促进创新,这是由各国国家机构建立的,在产品上市前发展和训练AI。
该法案还预计将建立一个围绕人工智能的新的行政架构,包括一个内置于欧洲委员会的AI办公室,负责监督更先进的AI模型,并推动定义新的标准和测试程序,以及确保AI法案的实施。办公室将得到一个独立专家小组的支持,这个小组将就GPAI模型提供建议。成员国将由AI委员会代表组成,该机构是欧委会的协调和咨询机构。
【睿观:GPAI 指的是全球伙伴关系人工智能(Global Partnership on Artificial Intelligence),它是由多国政府联合发起的一个国际性组织,旨在实现关于人工智能(AI)的负责任开发和使用,促进对AI技术的理解,并讨论AI的社会影响、道德和法律问题。GPAI力图通过国际合作,推动负责任的AI研发和政策的制定,以确保人工智能技术的发展和应用能够惠及所有人并尊重人权和民主价值观。
GPAI模型不是指特定的技术模型或算法,而是指这个组织推崇和采用的一系列原则、框架和合作方式,用以实现其目标。这包括鼓励开放、透明的研究和创新,促进AI系统的可解释性和可审查性,以及在全球范围内创建有关AI应用的道德和法律标准的共识。
GPAI通过汇集来自不同国家的政府、私营部门、学术界和民间组织的代表,建立一个多边框架,以共同承诺和努力,面对人工智能的挑战和机遇。这个专家小组就是作为该组织结构的一部分,为GPAI提供知识支持和建议,确保在AI发展的方向和管理上遵循同一原则和价值观。】
不合规的后果可能是高达750万欧元或全球营业额的1.5%,至多3500万欧元或全球营业额的7%,具体取决于企业的大小和违规的严重性。
AI法案的最终文本预计将于2024年初在欧盟官方公报上发布。该法将在两年后生效,但某些具体条款将在六个月内实施,而关于GPAI的规则将在12个月内实施。
【睿观:2024年3月17日,法国经济部长勒梅尔表示,应该建立“欧盟人工智能共同体”,以便更好地协调欧盟各国资源,在人工智能领域实现创新。此前的3月13日,欧洲议会全体会议通过《人工智能法案》,标志着欧盟扫清了立法监管人工智能的最后障碍。欧洲媒体预测,法案或将于4月29日获欧盟理事会最终通过,预计6月生效。将人工智能系统分为四类:在法国斯特拉斯堡举行的欧洲议会全体会议上,欧洲议会正式投票通过并批准欧盟《人工智能法案》。这也是全球首部人工智能法案。
法案对人工智能系统的定义和适用范围进行了明确界定。人工智能系统是“一种基于机器的系统,设计为以不同程度的自主性运行,在部署后可能表现出适应性,并且为了明确或隐含的目标,从其接收的输入中推断如何生成可影响物理或虚拟环境的输出,如预测、内容、建议或决定”。
法案的适用范围较为广泛,即便企业是欧盟范围外人工智能技术的供应商,但使用其人工智能技术的产品或提供服务在欧盟范围内,也需要适用法案的相关规定。
法案的主要内容将人工智能系统根据风险评估分为四类,包括不可接受的风险、高风险、有限风险与最小风险。对于不同风险等级,法案采取了不同程度的监管措施。对于不可接受风险的人工智能,法案严厉禁止,并对违反者最高处以上一财年全球营业额7%或3500万欧元的罚款;对于高风险的人工智能,法案规定了一套完整的全流程风险管理措施;对于有限风险的人工智能,法案要求履行公开透明义务;对于最小风险的人工智能,法案不作干预。其中,针对高风险类别,法案规定了从人工智能上市前到上市后的全流程风险管理措施。
人工智能系统的定义与法案适用范围的明确,对于确保法案的有效实施至关重要。这有助于避免监管盲区,确保所有涉及人工智能的活动都受到法律制约。同时,也为相关企业和研究机构提供明确指导,推动人工智能领域的合规发展。】
四、CIO现在(不是单独)可以做什么?
对于CIO来说,AI法案的到来现在意味着什么?尽管实施预计在接下来的两年内进行,但Dentons的Olivi认为行动的时机是现在:CIO需要思考创新治理,并考虑到,在中大型企业中,面对如此复杂的影响和风险的技术系统,CIO不能处理所有事务。
“对于使用或计划使用AI系统的组织,我的建议是立即开始处理影响问题,通过映射他们的流程并评估他们对新规则的合规性,”Olivi说。“需要实施一套AI治理策略,这必须与商业目标一致:实际上,需要了解AI在企业哪些领域可以带来最大的益处,帮助实现战略目标”。
AI治理需要与数据治理(无论是个人还是非个人数据)对齐,因此,需要符合欧盟的相关规定,从GDPR开始。还需要实施一套内部程序框架,以确保只有“合规的开发者”能够从事AI工作,只有符合规定的模型被开发和使用。此外,还需要风险管理策略(例如,供应商尽职调查)和对AI系统在其整个生命周期中的监控和监督。这直接影响到通过新招聘或对公司内部人员进行重新技能培训来获取的技能。
从这个“待办事项清单”可以明显看出,CIO需要与其他公司团队紧密协作。虽然任务繁多,但如果想要优先排序,“待办事项”,最好从获取跨学科视角的AI及相关领域技能开始。专家们的另一项建议是继续研究技术,并与法律团队一起关注全球层面的发展:随着AI法案的出台,其他国家可能会紧随其后制定更多规定,这是CIO无法忽视的。
【睿观:对中国人工智能领域发展的参考与借鉴意义
欧盟的AI法案设立了一个基于风险的方法来分类和管控不同的AI应用,强调合规性和对基本权利的尊重,同时通过建立监管沙箱和现实世界测试来促进创新。这个框架让企业在利用AI技术时有明确的法律指引,既保护了消费者的权益也为AI的健康发展提供了环境。
对于中国的人工智能领域,欧盟的AI法案提供了重要的参考价值。随着中国在AI领域的快速发展,合规性、数据保护、消费者权益等问题逐渐突显。通过参考欧盟的做法,中国可以构建适合本土发展的AI法律和监管框架,既促进技术创新和经济增长,又确保公民权益得到保护,实现技术发展和社会责任的平衡。同时,鉴于欧盟市场对中国企业开放,了解和遵守这些国际标准对于希望在欧洲开展业务的中国AI企业来说至关重要。】
