欧盟生成式人工智能数据风险分级监管制度
专家策略
马伟阳
两高律师事务所
知识产权研究院副院长、律师
13811687832@139.com
王泽
两高律师事务所
知识产权研究院研究人员
wangze2483@163.com
生
成式人工智能的运作可大致分为数据抓取、数据训练以及数据输出三个阶段,其中任何一个阶段运行的核心都是基于对海量数据的处理与使用,而不同阶段所引发的数据风险也不尽相同。不论在学习及训练数据的准备阶段,还是在其后的数据输出与存储的生成阶段,数据源是否合法合规,数据是否被污染、滥用或泄漏,日益成为数据安全的焦点问题。近日欧盟高票通过的《人工智能法案》对生成式人工智能数据保护进行了系统性的规范。本文旨在对该法案中关于生成式人工智能数据的保护路径进行分析,特别是探讨风险分级监管在其中的适用情况。
概述
2024年3月13日,欧洲议会以523票赞成、46票反对和49票弃权审议通过了《人工智能法案》,成为全球首部人工智能领域的全面监管法规。该法案草案最早由欧盟委员会于2021年4月提出,建议“基于风险的路径”制定技术中立的人工智能系统定义。2022年12月,欧盟理事会通过了关于该法案的共同立场,在欧洲议会于2023年6月表决通过该草案后,欧盟成员国、理事会及欧洲议会组织了“三方会谈”,并于12月就该法案中的具体条款达成临时协议。尽管临时协议达成,但立法程序尚未结束,仍需欧洲议会最终表决。历时三年,经过欧盟各层面机构的多次磋商讨论,该法案于2024年3月正式获得批准通过,预计将于2024年6月生效。欧盟《人工智能法案》旨在改善欧盟内部市场,促进值得信赖的人工智能的应用,同时从多方面为生成式人工智能大模型设定统一、明确的监管框架,与欧盟《通用数据保护条例》的监管标准共同促进人工智能的健康发展并保障用户的知识产权和数据安全。
对数据风险的规制路径
《人工智能法案》规定了数据风险分级监管制度。该法案将人工智能应用划分为低风险、有限风险、高风险和不可接受的风险四个等级,并针对不同等级制定了相应的监管要求。
(1) 低风险应用。对于风险较低的生成式人工智能应用,例如,一些简单的文本生成工具,法案要求其遵循基本的数据保护原则,例如,用户知情同意、数据最小化等。同时,这类应用也需要定期进行自查和报告,以确保数据保护的合规性。
(2) 有限风险应用。对于风险中等的生成式人工智能应用,例如,涉及用户个人信息的艺术创作工具,法案除了要求其遵守基本的数据保护原则外,还增加了更严格的监管措施。例如,这类应用需要建立更为完善的数据保护机制,包括数据访问控制、安全审计等。此外,监管机构还可能对这类应用进行定期的检查和评估。
(3) 高风险应用。根据法案第三章第10条的规定,对于风险较高的生成式人工智能应用,例如,涉及敏感数据或关键基础设施的应用,采取了更为严格的监管措施。这类应用不仅需要满足更为严格的数据保护要求,还可能面临更为频繁的监管检查和更为严格的处罚措施。同时,监管机构还可能要求这类应用进行定期的风险评估和安全审计,以确保其数据保护的合规性和安全性。
(4) 不可接受的风险应用。法案第二章明确规定,对人类构成威胁的人工智能系统被严格禁止投放市场、投入服务或在欧盟使用。其中包括社会评分系统、旨在操纵儿童或其他弱势群体的系统,以及实时远程生物特征识别的系统。
对中国立法的启示
针对人工智能这一前沿领域,中国发布了《新一代人工智能发展规划》和《生成式人工智能服务管理暂行办法》,但法律规制缺乏系统的整合以及监管措施不够细化。相较之下,欧盟《人工智能法案》是世界上第一个全面、有约束力的、可信赖的人工智能监管框架,反映了欧盟对保护个人隐私和数据安全更为严格的监管态度。通过风险分级监管的实施,可以更加精准地保护用户数据的安全与隐私,促进生成式人工智能的健康发展。这对中国进一步制定规制人工智能的相关法律具有一定的借鉴意义。
作者 | 两高律师事务所知识产权研究院副院长、律师马伟阳,研究人员王泽
本文刊载于《商法》2024年3月刊。如欲阅读电子版,欢迎浏览《商法》官网。
往期专栏精选
长按扫码关注我们
为了让您第一时间获取专业法律资源
请常点“在看”
并将“CBLJ 商法”设为星标
阅读原文查看更多专家策略的相关内容