北美动态 | 美国：向参议院提交关于人工智能研究、创新和问责制的法案

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 王捷律师团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势，W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块，跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向，提示企业合规要点，为企业开展出海业务、部署国内合规工作提供参考。

美国：向参议院提交关于人工智能研究、创新和问责制的法案

2023年11月15日，数名美国参议员提出了《2023 年人工智能研究、创新和责任法案》（下称“法案”）。

定义

具体而言，该法案将 "人工智能系统"定义为"针对特定目标生成内容、预测、建议或决策等输出结果，并设计为利用机器输入和人工输入以不同程度的适应性和自主性运行"的工程系统。而 "涵盖的互联网平台"（Covered internet platform）被定义为任何面向公众的网站、面向消费者的互联网应用程序或移动应用程序，可供美国消费者使用；包括社交网站、视频共享服务、搜索引擎和内容聚合服务。

该法案还定义了其他术语，包括 "关键影响人工智能系统"（critical-impact artificial intelligence system）、"部署者"、"开发者"、"高影响人工智能系统"（high-impact artificial intelligence system）和"生成人工智能系统"（generative artificial intelligence system）。

适用范围

法案所述“涵盖的互联网平台”不包括以下平台：

由符合以下条件的主体全资拥有、控制和经营：

在最近的180天内，雇用的员工不超过500人；
在最近三年期间，年平均总收入低于5000万美元；
每年收集或处理的个人数据少于100万人；

2.经营的唯一目的是进行不直接或间接以盈利为目的的研究。

研究

在法案颁布后 180 天内，负责标准和技术的商务部副部长必须开展研究，促进为人类作者和人工智能（AI）生成的内容提供真实性和来源信息的手段的开发和标准化，内容包括：

为人类内容创作者提供一种安全且具约束力的方法，通过使用独特的凭证、水印或其他数据或元数据方法附加来源声明（verification of statements）；
验证内容来源声明的方法，以确保真实性，如水印或分类器；
向最终用户清晰展示内容来源声明的方法；
促进创建和验证内容来源信息所需的技术或应用；
确保开发的任何技术和方法对内容生产者的负担最小化；
使用来源技术（provenance technology）确保内容创作者的归属权。

副部长将实施一个试点项目，以评估使用现有技术和创建开放标准来促进内容治理信息创建和验证的可行性和妥当性。

问责制

如果互联网平台使用生成式人工智能系统来生成用户所见的内容，需要完成：

在用户与由生成式AI系统产生的内容互动前，以清晰且显著的方式提供通知；
提供用户在首次与由生成式AI系统产生的内容互动时看到通知的选项。

高影响力AI系统也受到透明度限制，部署者（deployers）被要求每年向副部长提交一份报告，描述AI系统的设计和安全计划。如果部署者对高影响力AI系统的用途或用于训练目的的数据类型进行重大更改，则必须提交更新报告。法案还指出了每份透明度报告所需的内容。

每个具有关键影响力的AI或组织还必须在AI系统公开可用前不迟于30天，进行风险管理评估。法案详述了风险评估的内容和依角色不同的义务。

垦丁W&W简评

《2023 年人工智能研究、创新和责任法案》可以梳理以下三个要点：

为消费者提供人类生成内容和AI生成内容之间更清晰的区别。核心是要求大型互联网平台在使用生成式人工智能创建用户看到的内容时，向用户提供清晰易懂的通知，以验证内容的真实性和来源信息。
要求使用高影响力人工智能系统的公司提供透明度报告。报告内容包括可能对基本宪法权利构成重大风险的说明，以及描述人工智能系统的预期目的、如何测试和训练（例如使用哪些数据）和预期收益等。
通过为最高风险的人工智能系统创建可执行的测试和评估标准来加强问责。在企业部署具有重大影响的人工智能系统之前，企业需要提交风险评估，概述公司在人工智能系统中发现的风险以及说明为减轻或控制这些风险而采取的措施

美国：NIST NCCoE 就数据分类报告征求意见

2023年11月15日，美国国家标准与技术研究院(National Institute of Standards and Technology,下称NIST) 国家网络安全卓越中心(National Cybersecurity Center of Excellence，下称NCCoE) 征求公众对NIST内部报告(IR) 8496（下称“报告”）数据分类和改进数据保护草案的意见。报告特别阐明了数据分类对于大规模保护组织数据的重要性。该报告指出，数据可分为三大类：结构化、半结构化和非结构化。此外，报告还概述了数据分类包括以下内容：

制定组织的数据分类政策；
确定组织需要分类的数据资产；
分析数据资产并为每项资产确定适当的数据分类；
为每项数据资产关联数据分类标签；
监控每项数据资产的变化，以便更新数据分类。

该报告指出，数据分类的优势在于：

使网络安全和隐私保护要求可以适用于数据资产；
与第三方安全共享数据资产；
了解法律、法规、合同和其他来源的哪些要求适用于特定数据集；
了解数据资产和每项资产的关键性；
对组织知识产权的访问和转让实施限制；
捕捉生成式人工智能（AI）消耗的数据资产来源的元数据；
在未来可能需要数据时，识别并记录数据资产的元数据。

垦丁W&W简评

该报告定义了关键基本术语并解释了数据分类的基本概念，旨在建立可供所有主体使用的通用规则。数据分类一直是企业进行数据管理的重大难点，也是数据保护和数据传输的基础。NIST此次发布的报告对企业有积极的参考价值，通过更细致地了解数据分类注意事项（包括安全数据共享、合规性报告和监控、零信任架构（zero-trust architecture）等），可以帮助企业提高其数据保护的质量和效率。

主编介绍

王捷 律师

垦丁国际业务部负责人、广州执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学常务理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列

W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读

W&W团队解读|泰国最新个人数据跨境路径Q&A（附法规合集）

挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布

合规实务 | AIGC知识产权领域的法律风险与合规应对

要点分析 | 欧盟Artificial Intelligence Act 解读（二）

要点分析 | 欧盟Artificial Intelligence Act 解读（一）

要点分析 | 中国《生成式人工智能服务管理办法（征求意见稿）》解读