欧盟《AI统一规则条例》立法进展(截止20220430)
编者按
2021年,全球范围内对于人工智能的监管已经开始从理论探讨走向实际的立法和执法阶段,标志性的事件就是欧盟提出了《欧洲议会和理事会关于制定人工智能统一规则(《人工智能法》)和修正某些欧盟立法的条例》的提案,以及我国国家互联网信息办公室发布的《互联网信息服务算法推荐管理规定》。
关于人工智能安全和监管,本公号发布过以下文章:
今天和大家分享的是还是数篇外媒的综合编译,内容关于欧盟AI条例的立法进展。
2021年4月,欧盟委员会公布了《AI统一规则条例》(AIA)草案,旨在为人工智能建立世界上第一个全方位的监管框架。鉴于人工智能的发展仍处于初级阶段,而且该法律以预防原则为基础,目前起草的《AI统一规则条例》可能会减缓欧盟的人工智能创新和采用。【全文翻译见:AI监管 | 欧盟《AI统一规则条例(提案)》(全文翻译)】
由于该法律的规模和范围巨大,它正在缓慢地在欧盟的机构中搅动。到目前为止,修订该法律的一些主要主题已经出现,参与起草和最终通过该法律的各政治行为体之间的最大争论点也已经出现。
代表欧盟成员国的部长理事会(EU Council)提出了一些调整建议,以使《AI统一规则条例》不那么繁琐。欧洲议会在政治上存在分歧,因此其主角的不同立场是关于该法律的目的和内容的主要裂痕的一个领先指标。展望未来,关于法律最终版本是什么样子的关键辩论可能会围绕人工智能的定义,哪些活动和部门被归类为"高风险",以及面部识别技术的使用。
在欧盟委员会提出法律建议后,它将进入部长理事会和欧洲议会手中,这两个机构同时研究该草案,并开始提出修正案并最终进行投票。对于AIA,理事会的行动比议会快,斯洛文尼亚主席国在2021年11月提出了第一套折中方案,而法国主席国则在今年提出了另外两项折中方案。虽然这些不是理事会的官方立场,也不等于成员国之间的正式共识,但它们表明了他们将追求的方向。理事会的大多数建议反映了使AIA更加可行的愿望,并控制原始草案中对"高风险"AI的一些有问题的要求。比如说:
理事会希望限定供应商检查人工智能训练和验证数据的偏见的要求,只包括"可能影响人的健康和安全或导致欧盟法律下的歧视的偏见"。这种更精确的表述将合规义务与实际的用户风险更紧密地联系起来。
理事会针对训练和验证数据必须没有错误的要求——被批评为不可能达到的高标准——澄清了无错误的数据只是"在最大程度上"被要求。
理事会建议减少详细的技术文件义务,他们必须完成的文书工作以证明符合法律规定。理事会建议,中小企业和初创企业只需收集"符合相同目标[即遵守AIA]的文件",只要他们的国家执法机构批准即可。当然,这就引出了一个问题,为什么这个标准不适用所有受AIA约束的行为者。
最初的AIA包括人工智能系统提供"可解释"输出的义务,这在技术上并不总是可行的。理事会建议用一个更合理的任务来取代它,让用户"理解并适当地使用该系统"。同样,理事会建议,只有在相称和合理的情况下才需要对人工智能系统进行人为监督。
这些修正案大多会使委员会最初提出的关于"高风险"人工智能的义务失去一些意义,并确保法律对这些系统的要求是现实的和可行的。然而,并非所有的修正案都有帮助。例如,法国的妥协文本要求人工智能的数据最小化,要求系统将个人信息的收集限制在绝对必要的范围内。这样的要求与许多形式的人工智能研究和开发相抵触,构成了对人工智能开发者设计选择的直接干预。
在欧洲议会方面,最近有两份关于AIA的报告,一份由欧洲议会的法律事务委员会提交,另一份由议会的工业委员会提交。这些报告特别有趣的是,它们包含了具体的修正案,确定了一些关键领域,在今年余下的时间里,可能会有最激烈的立法争斗。【以下见欧洲议会内部对AIA提出针对委员会版本的修改意见的复杂分工】
首先,AIA应如何定义人工智能?两份报告都修改了定义,使其与经合组织的人工智能定义保持一致,这是一个值得欢迎的举措,因为它比欧盟的定义更窄,因此将使法律更加集中。这两个议会委员会建议AIA不应管理大多数软件,而应管理具有一定自主性的"基于机器的系统"。此外,报告建议将AIA涵盖的人工智能方法清单限制在机器学习和优化,而不是所有现代形式的软件工程。那些仍然相信委员会最初定义的人现在被迫露出马脚,他们认为AIA是一部通用的"软件法",这显然与委员会声明的该法的目的相矛盾,即专门监管AI。即使是那些反对修改定义的人也接受这样一个前提,即AIA不应该成为一个通用的"算法法"。然而,议会内部市场委员会的报告员表示;"我们有压力,试图减少定义的范围。但我不认为我们会在现在的基础上有很大的进展"。因此,AIA的范围似乎将成为未来的一个主要分歧,议会可能拒绝在当前的人工智能定义上让步。
第二,AIA应该如何操作"高风险"的定义?委员会设计AIA的目的是对被视为 "高风险"的系统提出更多要求。这就提出了"高风险"系统的门槛应该是什么的问题。委员会的做法是将整个经济部门置于怀疑之中,如果它们使用人工智能,就给它们贴上"高风险"的标签,这将使AIA的成本大大增加,远远超过对委员会友好的机构所做的方便的保守分析。相反,法律事务委员会提出了一个更为明智的方法。该委员会建议,AIA只适用于部署在"高风险"部门的系统,以及该系统的预期目的可能造成重大损害的情况(即如果人工智能系统部署在这些部门,"可能会造成重大损害")。这是有道理的,因为AIA的目的是监管人工智能的潜在有害用途,而不是单独挑出某些经济领域,如果他们想利用人工智能,就要承担更大的监管负担。此外,法律事务委员会的报告取消了委员会对"超出人的意识的潜意识技术"以"造成心理伤害的方式"的禁止规定。这是一个不可行的想法,最终可能涵盖许多形式的营销和广告以及用户界面设计,毕竟这些都是为了影响消费者的选择,而"心理伤害"这样的术语的主观性进一步加剧了这种情况。法律事务委员会将AIA的这一部分改为禁止人工智能系统旨在 "显著和实质性地扭曲一个人的行为或直接造成该人的伤害"。
第三,虽然议会坚决反对在公共场合进行远程面部识别(即使有保障措施,而且是出于令人信服的公共安全目的),但大多数成员国希望保留或扩大执法豁免(除了德国这样的例外)。这场辩论将如何发展,还有待观察。
那么,AIA的下一步是什么?由内部市场委员会和公民自由委员会联合撰写的其余议会委员会报告于4月20日公布。
在一个理想的世界里,议会会敲定一个妥协方案,以期在11月进行最后投票。然而,考虑到所涉及的议会委员会的数量,这个时间表看起来很有挑战性。一个重要的问题是,在AIA中制定更有利于商业的规则方面有多少妥协的空间。
至于欧盟理事会,尽管法国主席(任期至6月底)认为人工智能是一个优先事项,但其最初的目标是在3月前提出一个正式的妥协文本,这一点已经令人怀疑。鉴于在监管人工智能方面的意见分歧,欧盟成员国之间达成共识可能需要更长时间。
因此,最早在2023年之前通过AIA的可能性非常小。在通过之后,AIA将再过两年才会生效。这意味着企业应该在2025年之后才会遵守该法律。
AIA立法大事记
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
关于我国的《个人信息保护法》的相关文章包括:
业务场景中的数据跨境流动的文章如下:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令