智能治理欧洲议会通过《人工智能法案
文章来源:admin 时间:2024-03-18
欧洲议会2024年3月13日以523票赞成、46票反对、49票弃权通过了具有里程碑意义的《人工智能法案》。欧洲议会表示,该法案旨在保护基本权利、民主、法治和环境可持续性免受高风险人工智能的影响,同时促进创新,以将欧洲“打造成为该领域的领导者”。该法案将禁止某些“威胁公民权利”的人工智能应用,包括基于敏感特征的生物识别分类系统,以及从互联网或闭路电视录像中无目标地抓取面部图像以创建面部识别数据库。操纵人类行为或利用人类弱点的人工智能也将被禁止。
当地时间2024年3月13日,欧洲议会正式通过了《人工智能法》,以下是相关情况和内容概要。
当地时间周三,欧洲议会以523票赞成、46票反对、49票弃权通过了具有里程碑意义的《人工智能法》(AI Act),使得欧盟在对这项颠覆性技术的监管方面走在了世界前列,很可能会为整个西方的AI监管规则定下基调。欧洲议会表示,《人工智能法》旨在保护基本权利、民主、法治和环境可持续性不受高风险人工智能的影响,同时促进创新,使欧洲成为该领域的领导者。该法规根据人工智能的潜在风险和影响程度为人工智能规定了义务。欧盟内部市场专员蒂埃里·布雷顿表示,《人工智能法》获得了压倒性支持,这是世界上第一个全面、有约束力的可信赖AI框架,欧洲现在是值得信赖的AI标准制定者。微软、OpenAI等生产强大、复杂和广泛使用的AI模型的公司也将受到披露要求的约束。它还要求所有AI生成的内容(图像、音频或视频等)都要有明确的标签,以解决人们对虚假信息和干预选举的担忧。接下来,该法案还需要得到欧盟理事会的正式批准,使之成为法律。不过,最艰难的立法阶段已经过去,距离最终出台仅剩一步之遥了。预计《人工智能法》将于明年初生效,并于2026年正式实施,不过其中一些条款将提前生效。
前哨(公众号cyberlawing)梳理了立法中备受关注的规定,简要概述如下:
禁止的应用:该法禁止某些威胁公民权利的人工智能应用,包括基于敏感特征的生物识别分类系统,以及从互联网或闭路电视录像中无针对性地抓取面部图像以创建面部识别数据库。工作场所和学校的情感识别、社会评分、预测性警务(仅基于对一个人的画像或评估其特征)以及操纵人类行为或利用人们弱点的人工智能也将被禁止。
执法豁免:原则上禁止执法部门使用生物特征识别系统,除非符合详尽列举和狭义界定的情形。“实时”远程生物特征识别只有在满足严格保障的情况下才能使用,例如,其使用在时间和地理范围上受到限制,并事先获得具体的司法或行政授权。这种用途可包括,例如,对失踪人员进行有针对性的搜索或防止。事后使用此类系统(“事后远程RBI”)被认为是一种高风险用例,需要与刑事犯罪有关的司法授权。
高风险系统的义务:对于其他高风险人工智能系统(由于其对健康、安全、基本权利、环境、民主和法治的重大潜在危害),也规定了明确的义务。高风险人工智能应用的例子包括关键基础设施、教育和职业培训、就业、基本的私人和公共服务(例如,医疗保健、银行业)、执法、移民和边境管理、司法和民主程序(例如,影响选举)中的某些系统。这种系统必须评估和减少风险,保持使用日志,透明和准确,并确保人为监督。公民将有权提交对人工智能系统的投诉,并获得对基于高风险人工智能系统做出的影响其权利的决定的解释。
透明度要求:通用人工智能(GPAI)系统及其所基于的GPAI模型必须满足一定的透明度要求,包括遵守欧盟版权法和发布用于训练的内容的详细摘要。更强大的GPAI模型可能会带来系统性风险,将面临额外的要求,包括进行模型评估,评估和减轻系统性风险,并报告事件。此外,人造或人工处理的图像、音频或视频内容(深度伪造)需要明确标注。
支持创新和中小企业的措施:必须在国家层面建立监管沙盒和真实世界测试,并向中小企业和初创企业开放,以便在创新性人工智能投放市场之前对其进行开发和训练。
欧盟的《数字市场法》(DMA)上周已正式生效,它和今年2月17日在欧盟所有在线平台适用的《数字服务法》一起,共同构成欧盟监管超大型网络平台的重要里程碑。这两项相继生效的法律,是欧盟针对科技巨头的反垄断主要措施,意在解决数字市场中超大型网络平台与其他平台之间的竞争力失衡问题。这两项法律的落地,意味着“监管大型科技公司的转折点”,很可能将重塑全球科技行业、继续加大美欧龃龉。
近10年来,数字产业发展迅猛。以谷歌、苹果、脸书、亚马逊和微软(GAFAM)五巨头为代表的美国科技巨头,涉及电商平台、软件开发商、社交媒体、新闻网站和大数据的记录存储中心等领域,不仅富可敌国,而且掌握了海量的即时信息,具有引导大众舆情乃至政治走向的隐形力量。欧亚集团总裁伊恩·布雷默就认为,个别跨国科技巨头已经在社会、经济和国家安全等重要领域拥有巨大的地缘政治影响力,正在重塑过去由政府运作的全球政治环境。
同时,以GAFAM为代表的美国科技巨头凭借灵活的商业策略和不断更新的技术,占据着欧洲数字服务市场的大部分份额,在欧洲建立起美国的“数字霸权”,因而成为欧盟调控和管制数字产业的重点。2016年通过《通用数据保护条例》,要求企业在未经用户同意的情况下,不得私自处理个人隐私的数据。2017—2021年,欧盟委员会对谷歌开出总计820亿欧元的罚单,2019—2020年详细调查苹果公司在爱尔兰“逃税”的问题,从2018年至今围绕数字税展开了长达6年的辩论。如今正式付诸实施的《数字市场法》和《数字服务法》,同样意在管控美国科技巨头在欧洲的运营和跨境数据流动,以便对美国在欧洲的“数字霸权”加以限制。
要求警惕和管制美国科技巨头的声音在美国社会同样存在。不少美欧学者都认为,这些美国科技巨头正在演变为凌驾于正常法律和政治体系之上的“巨无霸”,凭借超越某些新兴经济体GDP总量的年度利润,依靠华尔街金融资本的无节制吹捧,肆意妄为,不仅使西方内部原本已经严重撕裂的社会生活和政治生态变得更加畸形,而且还在悄然剥夺普通民众的利益和福祉。冷战期间,洛克希德公司被认为“大而不能倒”,但它也仅仅为美国政府制造战斗机和导弹,并没有操控军队或监管天空的能力。如今,美国科技巨头正在主导构建数字世界,并同时“监管着这个世界”。
2017年欧盟在对谷歌公司长达7年调查后开出巨额罚单,几乎同时,美国纽约大学斯特恩商学院教授斯科特·加洛韦出版《互联网四大:亚马逊、苹果、脸书和谷歌的隐藏基因》一书,将这4家科技巨头比作《圣经·启示录》里给人间带来瘟疫、战争、饥荒和死亡的“末日四骑士”,认为它们掌控着海量的资源,可能通过数字服务放大人性的黑暗面,因而可能导致社会更加混乱失序。
此后,解构和批判这些科技巨头的著作相继问世,美欧学者将它们称为“邪恶王国”“监控资本主义”等。希腊前财长瓦鲁法基斯在2023年出版的新书《技术封建主义:是什么扼杀了资本主义》里,认为美国科技巨头犹如欧洲中世纪的封建领主,各自占地为王,而那些进入数字平台的用户与商家源源不断地向领主上供财富,自身权益却遭到领主的严重损害。诸如此类的担忧,是欧盟推出《数字市场法》和《数字服务法》的主要考虑之一。
显然,美欧政治精英都已认识到科技巨头的强大力量和潜在危险性,都认同需要加强管制。不过,美欧毕竟隔着浩瀚的大西洋,它们虽然外表相似,气质却有着不小的差异。从普通民众到政治精英,美欧的主流政治文化和经济治理模式显著差异,这就使得双方对GAFAM为代表的科技巨头的管制方式大不相同。欧盟对谷歌与苹果的重罚,对数字税的探索,不仅未获美国同行的认可,反而使美欧之间再生嫌隙,龃龉不断。
在欧洲,左翼的政治自由主义长期占据主流,抑制资本主义竞争必然出现的“强者愈强、弱者愈弱”的马太效应,一直是民众与知识界的共识。而在美国政治文化中,右翼的政治保守主义影响深远,很多人崇尚“自由的市场竞争”,迷信市场这只“看不见的手”,认为政府不应频繁插手干预商界。政治文化与社会心理的显著差异,使美欧政治领导层对科技巨头的管制形式和管制力度明显不同。欧盟和欧洲国家往往借助行政手段,通过详细的规定,对企业施加严格的监管。多年来,欧盟构建起高度发达的管制企业的规则体系和运作机制,被其他一些经济体所仿效,形成“布鲁塞尔效应”,欧盟也将其视为“欧洲规范性权力”的一部分。美国政治精英则往往借助商业纠纷中的法律诉讼,以司法判例的形式来实现对大公司的具体管制,而且往往民不告则官不理,其管制力度相对弱得多。近些年来,控告GAFAM垄断市场的法律诉讼在美国有不少,法院也会作出相应判决,却鲜有巨额罚单。
不仅如此,随着全球化的受挫和地缘政治博弈的加剧,美欧在科技与经济领域的矛盾有增无减,暗战不断。欧盟对GAFAM等美国科技巨头的监管,包含消解和反制美国“数字霸权”的战略意图,华盛顿对此心知肚明,深为不满。可以预见,随着《数字服务法》和《数字市场法》的深入实施,美欧之间围绕“数字霸权”的明争与暗战将会长期持续。(来源:环球网)
生成式人工智能的治理是今年两会上代表委员们热议的一个重要话题。生成式人工智能既带来了人工智能技术的“奇点时刻”,也带来了人工智能治理的“关键时刻”。生成式人工智能技术是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。加快对生成式人工智能领域的立法,既是防范生成式人工智能服务风险的现实需要,也是促进生成式人工智能健康发展的长远需要。前不久,欧洲议会、欧盟委员会和27个成员国的谈判代表就《人工智能法案》达成协议,这成为全球首部人工智能领域的全面监管法规,为用法律监督ChatGPT等生成式人工智能服务的发展提供了一定借鉴。在该领域,我国也进行了不少探索,2023年已正式施行的《生成式人工智能服务管理暂行办法》(以下简称《办法》)从价值规范、行为规制和过程监管等方面对生成式人工智能加强了治理。随着技术的广泛应用和不断演进,生成式人工智能服务的开发者、提供者、使用者、监管者在未来实践中都还将面临不少的法律挑战,法律上也仍有诸多可填补的空间。这些也是我国下一步针对生成式人工智能立法立规应重点关注的问题。
首先,生成式人工智能生成内容的准确性和可靠性该如何认定是一个突出的问题。人工智能准确性不仅是生成式人工智能部署和运行的重要底线,也是构建可信赖人工智能的重要前提。以目前生成式人工智能的技术水平,其技术和应用局限仍非常明显,存在生成内容准确率不高、可信性不强、文本生搬硬凑、缺乏逻辑性等问题,有时甚至出现一些脱离现实、啼笑皆非的低级错误。对此,《办法》要求,提供和使用生成式人工智能服务应当“提高生成内容的准确性和可靠性”。要落实这一要求,尚需进一步的法律规则细化。一方面,要求服务提供者使用具有合法来源的数据和基础模型;另一方面,要求其采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性。同时,应正视人工智能的风险阈值,继续深入探索同生成式人工智能技术特性与产业特点相匹配的数据准确性、算法模型准确性、输出准确性和解释准确性标准,构建科学精准的风险治理框架。
其次,生成式人工智能带来了个人信息保护的相关问题。大数据和人工智能技术的结合,改变了以往单一的个人信息收集和处理方式。生成式人工智能通常需要大量数据进行训练,并且,随着生成式人工智能的广泛使用,个人数据的收集、存储和处理变得非常普遍,加强数据管理和隐私保护至关重要,以尽量保证生成式人工智能服务提供的透明性和可控性。一方面,生成式人工智能的开发应该时刻注重确保个人对自身数据的控制权。根据《办法》,生成式人工智能服务的提供者应当依法履行对用户个人信息保护义务。涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形。其实这项义务并非新增,而是个人信息保护法等法律在生成式人工智能领域的细化。但是,这些规定大都有赖于产品研发者、服务提供者进行自我审查和自我履行,还缺乏独立第三方对算法进行有效论证和监管的具体设计,需要适时填补这一空白,细化数据采集、存储、使用和共享的规则,确保数据的合法性与安全性。
再次,生成式人工智能面临知识产权认定的问题。一方面,生成式人工智能运用未被授权的数据生成的内容可能被指控侵犯知识产权;另一方面,其生成的独创性内容是否应该受到知识产权保护?又该如何保护?《办法》坚持尊重知识产权的导向,宏观地作出规定:“涉及知识产权的,不得侵害他人依法享有的知识产权。”面对生成式人工智能涉嫌侵权的行为,用户可以依据相关法律规定对服务开发者和提供者提起诉讼,进行维权。根据我国著作权法的规定,享有著作权的作者,主要包括创作作品的自然人,和其他依照本法享有著作权的法人或者非法人组织。只有“人”能够成为知识产权法律关系的主体,可以对智力成果进行创作并享有权利,而人工智能模型不具备自由意志,不是法律上的主体,不能成为我国著作权法上的“作者”,且人工智能的设计者、研发者、投资者、管理者、实际操控者等在作品的创作过程中均发挥着重要作用,权利的归属如何,目前也尚无明确规定,如何进行产权保护,还需要相关法律法规加紧跟上。
最后,生成式人工智能还面临法律监管不充分的问题。对于具有超大规模、千亿参数量、极易扩展性和大量应用场景的生成式人工智能而言,以事后启动、分散推进为特征的传统监管面临应对迟滞、弹性不足、监管尺度不清、跨域协调成本高企的挑战。人工智能生成内容技术因其快速反应能力、丰富知识输出、多元应用场景等,对监管者的监管能力也提出极大挑战。因此,应积极打造“以AI治理AI、以算法规制算法”的智能监管体系,深入探究技术模型在人工智能监管层面的有效性,将伦理规范和合规要点转化为程序语言,以内部伦理技术约束嵌入人工智能设计和运行全过程,探索智慧化监管模式。同时,充分吸纳专业技术人才充实监管队伍,转变监管思维,创建监管机构间高效的信息共享机制,提升与人工智能技术创新相匹配、相适应的应对能力和管理能力,确保技术的研发与使用符合法律法规和道德规范。(胡建淼专家工作室供稿)(来源:学习时报)
在信息时代的今天,数据已经成为推动经济增长和社会发展的关键动力。欧盟为了有效管理和利用这一宝贵资源,各项数据相关法规纷纷出台。其中,《数据法》(Data Act)作为最新的一项法律,自2024年1月11日起生效,引发了业界的广泛关注与热议。究竟《数据法》包含哪些内容?与之前的法规相比又有何不同?本文将对此进行深入剖析,旨在从点到面,为读者揭示欧盟数据治理领域的最新动向,解析新法对欧盟数字经济的意义与影响。
云转换:赋予用户在各种云数据处理服务提供商之间自由切换的能力,以防止供应商锁定,促进市场竞争和选择。企业也因此可以灵活选择不同云提供商的数据服务,并且当企业和管理部门将数据和应用程序转移到不同的云提供商的成本得到有效降低。
数据互操作性标准:数据法引入了一些措施,以促进数据共享和数据处理服务的互操作性标准(interoperability standards)的发展。
数据保障措施:防止第三国当局非法要求转移或访问欧盟持有的非个人数据,确保数据处理环境更加可靠和安全。
此外,二者均处于欧盟数据立法的大框架之下,共同服务于欧盟创建一个数据单一市场、确保欧洲的全球竞争力和数据主权的数据战略目标,二者相辅相成、齐头并进。因此,企业根据《数据法》对个人数据所作的任何处理都应遵守GDPR,促进数据的共享与流动不能成为侵犯个人信息的借口,同意仍是企业采集个人信息的原则性规则。
在数据跨境流动方面,两者都对数据传输提出了严格的要求,确保数据的安全和数据使用的合规性。GDPR规定了个人数据传输到第三国或国际组织的规则;而《数据法》规定了非个人数据向欧盟以外的国家和地区转移的限制。
GDPR聚焦于保护个人数据,强调隐私和个人权利。相较之下,《数据法》则更注重促进数据的流通与共享,旨在刺激有竞争力的数据市场。
GDPR适用于个人数据,而《数据法》同时适用于个人数据(如企业对消费者)和非个人数据(如企业对企业、企业对公共部门)。在这方面,《数据法》为GDPR提供了拓展和补充,使其更全面地应用于数据经济。
在数据主体权利方面,GDPR强调的是个人有哪些基本权利,以及如何保护的问题,但在数据主体行权方面没有做过多描述。如,GDPR规定了访问权和数据可携带权,但什么场景下的数据可以携带、数据怎么携带、如何流动等问题并不明确。
而《数据法》赋予用户更多的数据控制权,并明确了数据允许使用及相关条件的具体规则,为用户提供了更多法律的确定性。例如,车联网汽车的车主将能够要求制造商将使用这些联网产品生成的某些数据与车主选择的维修服务共享。
然而,企业需要注意的是,在处理个人数据共享请求的过程中,数据持有者应注意判断前述数据请求是否涉及个人数据、此类请求是否具有法律依据等问题。
此外,虽然《数据法》规定数据持有者(data holder)有义务应用户的要求向用户或用户选择的第三方提供个人数据。但在用户不是数据主体的情况下,《数据法》并不为企业“访问个人数据”或“第三方获取个人数据”提供法律依据,也不应被理解为它赋予数据持有者任何新的权利以使用“通过使用联网产品或相关服务而产生的个人数据”。
《数据法》与《数据治理法》同属欧洲数据战略的一部分,二者均适用于个人数据和非个人数据,并以促进数据的共享和再利用为理念,以建立欧盟数据单一市场为目标。
《数据治理法》通过公共部门数据汇集(aggregation)、数据中介服务(data intermediation service)等规定搭建了促进公司、个人和公共部门共享数据的流程和框架,通过创造安全且便利的数据共享可信工具(trusted tool)加强个人和企业对自愿共享数据的信任。
在前述基础上,《数据法》侧重谁以及在什么条件下可以从数据中创造价值,为欧洲数据经济中的数据访问和使用提供了更为明确而公平的规则,从而实现数据价值的公平分配。
举例而言,《数据治理法》数据中介机构是一个独立的第三方,可以在用户、数据接收者和第三方之间作为链接三方的桥梁,其独立性还能够保障个人数据使用的安全性,但《数据治理法》未展现太多适用场景,而这在《数据法》中可以找到,如《数据法》赋予用户与数据接收者共享非个人数据的权利,赋予联网产品的用户选择与第三方(如售后方)共享数据的权利,这些都可以通过数据中介机构来保障落实。
1996年,《数据库指令》通过,其规定,如果数据库因其内容的选择或编排而具有独创性,则应受版权保护;如果在获取、核实和呈现(obtaining, verifying and presenting)数据方面的投资巨大,非原创数据库也可以受到保护。
然而,由于物联网技术的发展和海量数据的产生,数据持有者对联网产品产生的数据可能会被认定为受《数据库指令》保护的数据库,进而对数据享有排他性的权利,影响他方访问权和可携带权的行使,尤其是在《数据法》出台后规定了大量共享数据的流通与使用。
因此,《数据法》对《数据库指令》的部分方面进行了审查,明确规定数据持有者享有数据库特殊权利(sui generis database rights)不得妨碍公共机构、欧盟委员会、欧洲中央银行或欧盟机构根据《数据法》获取或共享数据的权利。
从微观层面看,《数据法》的出台具化了数据使用的方式与再利用的共享途径,切实实现了数据价值的公平分配,个人对数据的控制权提升,而企业可利用的数据量扩大,数据的效益再这一过程中得以最大化。为了保证前述内容的顺利落实,欧盟也关注了一些细节性问题,比如重新审查了《数据库指令》,并规定数据库权利人行权不得妨碍《数据法》的执行。
从宏观层面看,观察欧盟的立法路径,从GDPR到《数据治理法》再到《数据法》,我们可以发现,欧盟管理的数据范围从个人数据扩张到了非个人数据;欧盟管理的层面从数据保护拓展到了数据流通;欧盟管理数据的目的从个人权利的保障到促进经济的发展。表面杂乱的立法,实际上从不同的维度、领域逐渐填补了曾经数据立法缺失的大窟窿,并同步增强了欧盟数据立法的布鲁塞尔效应,这从欧盟每出台一部数字法规,我国各大媒体平台必“被刷屏”即可见一斑。这一规律同样体现在本文未提及的其他诸多欧盟数据立法之中,《数据法案》的出台并非孤立的举措,而是欧盟在整个数据治理领域的战略性举措之一。这不是欧盟踏出的第一步,也不会是最后一步。
对企业而言,面对欧盟层出不穷的数据立法时,应做到持续关注、及时了解并适时对照自查,以降低违规的风险。《数据法》促进数据流通的机制,为企业提供了更多可用的数据以创造更大的数据价值,但同时带来了更多复杂的数据使用场景。企业处理数据时,可能会落入多部法律的管辖范围,在此种情形下,企业可适当拆分复杂场景,如甄别数据类型(如个人数据、非个人数据、敏感数据、儿童数据)、识别数据场景(如是否涉及跨境,属于数据共享、数据保护或兼有,事件的时间节点)等,再分阶段开展合规举措。