法国国民议会《关于AIGC在个人数据保护和使用生成内容方面的挑战的信息报告》解读
2024年2月14日,法国国民会两名议员菲利普·普拉达尔(Philippe Pradal)和斯特凡纳·朗博(Stéphane Rambaud)就生成式人工智能问题向国民议会提交了该份报告。这份83页的报告全称《关于生成式人工智能在个人数据保护和使用生成内容方面的挑战的信息报告》,分为三大部分,其中穿插33条政策建议(附于文后)。报告总论部分回应了生成式人工智能带来的机遇与风险,第一部分着重讲述欧洲层面的法规制定模式与风险,第二部分则是为法国国家层面的政策行动提出建议。本文将聚焦于报告的第一二部分,解读议员对生成式人工智能问题的立场与主张。
1
国民议会此前关于生成式人工智能的工作概要
在此报告发布前,国民议会尚未形成关于生成式人工智能的任何具体报告。
法国参议院:2023年4月12日,法国参议院举行题为“生成式人工智能技术的经济、社会和政治影响”的辩论。
法国科学技术选择评估办公室:法国议会的科学技术选择评估办公室(OPECST)在2017年3月15日提出了一份报告,题为“为了一个可控、有用且去神秘化的人工智能”。
在第十五届国民议会期间,国民议会议员塞德里克·维拉尼(Cédric Villani)由法国总理委托,发布了一份题为“赋予人工智能以意义——为了国家的和欧洲的战略”的报告。
参议院报告:参议院的欧洲事务委员会发布了两份关于人工智能战略的报告,分别涉及欧洲的人工智能战略与欧洲议会关于人工智能的立法提议。
2
立场
2.1 对人工智能的总体性看法
法国国民议会对生成式人工智能的基本看法是:生成式人工智能本质上是中性的,既无益也无害,其对社会的影响完全取决于其应用方式;因而,国家公权力需要对其机遇与风险进行综合性评估。在总论部分,报告提出,生成式人工智能系统能够提高生产力、丰富人类创造力、提供新的教育培训资源、促进创新、创造新职业的发展等。与此同时,生成式人工智能也可能会催生风险。个人层面的风险包括侵犯个人隐私、造成个人信息泄露、产生“幻觉”、造成欺诈行为的产生;集体风险则包括加剧歧视等的社会问题、致使侵权行为、生成误导性信息或假新闻等。议员强调,法国国家公权力面临着如下窘境:既要面对生成式人工智能在经济竞争与地缘政治竞争方面的挑战,找出平衡技术监管和激励技术创新两者间的平衡;也要在发展生成式人工智能的同时,最大限度地保护公民权利。
2.2 对欧洲立法模式的看法
法国对生成式人工智能的应对模式需要立足于欧洲的框架内。欧洲层面已经存在旨在保护公民权利与促进可信赖的人工智能发展的举措,包括《欧盟通用数据保护条例》(GDPR):该条例旨在加强个人数据保护,由各国机关(如法国国家信息和自由委员会,CNIL)与欧盟数据保护监督专员(EDPS)负责实施;2022年颁布的《数字市场法案》(DMA)与2023年颁布的《数字服务法案》(DSA),两法案分别旨在促进数字经济的反垄断规制、监督网络平台并打击网络上有害内容的传播;以及2023年通过的欧盟《数据法案》,目的是确保市场主体公平地使用互联网数据。
报告提出,尽管欧盟的立法框架十分大胆且内容丰富,然而仅能间接适用于人工智能,不能完全应对人工智能带来的挑战。例如,《欧盟通用数据保护条例》为人工智能使用个人数据提供了法律框架,《欧盟数据法案》则为人工智能的开发者获取数据提供了便利,但无法保证由此设计的人工智能的可信赖性。
目前,欧洲层面已为制定统一的人工智能法规展开谈判。报告指出,欧盟也面临着双重的挑战:首先,需要维护欧盟原有立法的原则;其次,使更多的主体能够在欧洲甚至世界范围内参与人工智能的市场。
3
主张:国家层面的政策建议
报告称,在参与欧盟层面法规制定的同时,法国也需跟进国内立法,推动守法可信的生成式人工智能的发展。法国可以利用政府采购的推动性作用、通过为国家主管部门提供适当的人工智能治理手段,以及通过修改民法、刑法等方式,“在以负责任态度推动生成式人工智能发展方面成为国际上的典范,并为人工智能领域的经济‘领头羊’的出现创造有利环境”。报告提出了两个政策方向,分别是(一)为生成式人工智能的普及构建有利的政策环境,以及(二)保护公民与基本自由。
3.1 为生成式人工智能的普及构建有利的政策环境
报告提出,构建有利的政策环境,首先要调整个人数据保护的治理结构,使其更符合生成式人工智能的发展需求。为此,法国需要指定一个有能力监管生成式人工智能的机构。作为《欧盟通用数据保护条例》的法国执行机关,法国国家信息和自由委员会(CNIL)“似乎是监管生成式人工智能的最佳选择”。相较于其他机构,如负责平台监管的视听和数字通信监管局(ARCOM),只有CNIL具备在GDPR框架下评估生成式人工智能模型的知识与经验。尽管CNIL已于2023年1月成立专门负责人工智能事务的部门,报告认为仍需要重新构想CNIL的工作目标和工作范围,以跟上生成式人工智能的发展速度。因此,报告建议将 CNIL 转变为负责数据保护和生成式人工智能监管方面的最高职务机构。此外,报告指出,作为监督机构的CNIL也应发挥产业辅助作用,通过提供咨询服务,为人工智能企业实务中产生的法律问题提供解答,为各主体提供法律上的确定性。目前,CNIL通过制定“软法”、开放“请求咨询”程序、提供培训以及提供可供测试人工智能模型的“沙盒”四个板块发挥其辅助性职能。不过,为使CNIL更好地执行其辅助职能,还需更多的人力与财力支持。
其次,构建有利的政策环境还需在公共部门中构建一种“生成式人工智能文化”,并鼓励公共领域中的实验与创新。
为构建此种文化,报告指出,首先,可以使公务人员在使用中评估生成式人工智能所带来的机遇,评估其在提高公共部门效率和效果方面的潜力。
不过,仍然要让生成式人工智能在安全可靠的条件下为行政机构服务。“安全”隐含三层意思:首先要确保信息安全,谨防公职人员使用数据寄存在他国的生成式人工智能服务,从而导致敏感数据泄露至第三国。其次,要确保生成式人工智能在法律上的可靠性,若用生成式人工智能辅助行政决策,则可能会面临相应的行政起诉。最后,报告也关注到了经济主权问题。由于目前的生成式人工智能系统多由欧洲外的企业开发,若行政部门过度依赖此技术,可能会导致法国人工智能的创新仅仅沦为对该人工智能嵌入决策过程的方式的完善,“而使我们无知于该人工智能的设计和训练是如何进行的”。
另外,报告提出,在构建此种文化的的过程中,要跨部门地为行政机关使用生成式人工智能提供协调与支持。目前,跨部门的协作远远不够:如负责网络安全的ANSSI(法国国家网络安全局)、拥有数字服务专业人才的PEREN(数字监管专家中心)、负责公务员培训的公共转型部目前都不能有效地在生成式人工智能事务上统筹起来。因此,有必要建立一个部际对话机制,分享经验、集中满足各部门需求。
最后,要在公共部门中提倡生成式人工智能的实验性运用,以应对未来生成式人工智能可能在国家安全、用户服务、民主选举、司法服务领域产生的风险。
3.2 保护公民与基本自由
报告提出,法国法律框架亟需调整,以面对生成式人工智能滥用带来的风险。法国的立法者的责任是,在法国“基本自由”概念的框架下,在为公民提供必要的保护的同时,鼓励用户负责任地使用生成式人工智能。
在刑法方面,报告指出,首先需要调整现有刑罚的适用范围,比如,使用生成式人工智能传播虚假新闻、使用恶意软件侵害计算机系统的犯罪行为,仍落入目前刑法的罪名之中,或只需在特定情形中加重量刑。同时,也需根据新的罪行种类增加新的刑罚规定:例如生成式人工智能创造的“深度伪造(deepfake)”可能产生侵权,“伪造”与“剽窃”行为也亟需法律重新定义。
在民事法律方面,生成式人工智能可能会对民事责任体系带来颠覆性的影响。由于生成式人工智能学习在训练中存在“黑箱”,确定生成式人工智能厂商的侵权责任变得尤其困难。一般性的民事法律或不足以处理生成式人工智能服务所造成侵权的索赔事项;同时,报告提到,需考虑厂商和用户之间在经济上的不平等,而使用户无法获得公平赔偿的问题。为此,报告提出了如下建议:
一,调整法国国内立法,以符合欧盟法律的指引。法律应减轻受害者的举证责任,而使厂商提供证据来证明其无过错,以平衡用户与厂商间的不平衡关系。
二,改革集体诉讼制度,扩大集体诉讼的适用范围。目前法国涉及个人信息的集体诉讼仅可由工会、消费者协会或以保护隐私或个人数据为法定宗旨的协会(此“集体”需由自然人构成)使用,并不包括生成式人工智能的危害的潜在受害者,例如法人、企业。2023年3月,法国国民议会通过有关集体诉讼法律制度的法案,旨在扩大集体诉讼的适用范围,该法案仍处于参议院的议程之中。报告指出,若该法案不能通过,则至少应重写《信息技术和自由法》第 37 条,以扩大涉及个人信息的集体诉讼所覆盖的损害类型范围。
4
附:报告提出的33条建议汇总
建议1:任命一位负责生成式人工智能的大使,以跟踪围绕其国际监管的讨论。
建议2:在欧洲层面,围绕人工智能(尤其是生成式人工智能)的监管组织知识和经验的共享。
建议3:根据不同的使用主体(成员国或是其他非政府实体)调整适用于人工智能使用的限制。
建议4:在为生成式人工智能分配风险等级时,考虑其受众和整体特征,以避免对新市场参与者造成不利影响,并鼓励实验和创新。
建议5:在欧盟范围内提供的生成式人工智能服务应遵守《通用数据保护条例》和技术中立的相关·原则。
建议6:推广灵活的法律框架和合规机制,以补充强制性措施。
建议7:给予欧盟成员国足够的自主权,以便他们能够支持创新。
建议8:在具有相关意愿的欧洲国家之间推广基于政府间合作的生成式人工智能“空客”[ 指在人工智能领域推广一个具有标志性的欧洲合作倡议。],并鼓励欧盟成员国引导企业资金支持人工智能领域的创新。
建议9:将法国国家信息自由委员会(CNIL)转变为一个高级权威机构,负责个人信息保护和生成式人工智能的监管。
建议10:确保这一新权威机构(即CNIL)与负责平台监管的法国视听和数字通信监管局(ARCOM)之间的协调。
建议11:推进监管机构在生成式人工智能方面的辅助角色。
建议12:在公共部门中拣选出可以长期委托给生成式人工智能系统的工作任务。
建议13:对公职人员进行生成式人工智能的使用机遇和固有风险的培训。
建议14:鼓励公共采购机构选择可信且经认证的生成式人工智能系统。
建议15:制定多年期的生成式人工智能战略,其中需包括专门关于行政部门使用生成式人工智能的章节。
建议16:从研发生成式人工智能模型开始,内化开发生成式人工智能应用方式的能力。
建议17:设立一个常设机构,以促进跨行政部门间的生成式人工智能对话。
建议18:在2027年前,建立一个面向公众的、基于生成式人工智能技术的聊天机器人(chatbot),以便利法律和行政信息的获取。
建议19:在民主选举宣传内容上,推广生成式人工智能生成内容的标签化。
建议20:在民主选举领域中,扩大使用聊天机器人式的生成式人工智能时的信息公开义务。
建议21:构建适当的法律框架,以便公共部门对IAG系统进行实验。
建议22:通过提供资金和算力,以财政支持法国生成式人工智能领域的研究人员。
建议23:修改刑法典第132-79条,将使用加密手段从事犯罪或违法行为的刑罚加重条款,适用到使用生成式人工智能生成犯罪或违法内容的情节。
建议24:对未经被当事人同意而制作的“深度伪造”内容进行刑事处罚。
建议25:重新构想伪造罪这一轻罪,以能够对使用生成式人工智能掩盖复制现有内容的行为进行处罚。
建议26:制定关于伪造行为的规定:如果某人称其是文本或某媒介的创作者,而实际上它主要由生成式人工智能产生,这种行为将构成歪曲事实的欺诈行为。
建议27:修改刑法典第323-1条,以惩罚在生成式人工智能训练中使用有害数据或秘密修改算法的行为。
建议28:增进公权力机构识别由人工智能生成的内容以及生成式人工智能滥用行为的能力。
建议29:围绕生成式人工智能的特点调整民事责任制度,特别是通过调整举证责任来减少用户和厂商之间的权力不平衡。
建议30:考虑如何界定利用并非自己设计的生成式人工智能的厂商的责任。
建议31:改革关于个人数据保护的集体诉讼的法律制度,扩大其适用范围至与生成式人工智能有关的所有侵害。
建议32:为处理生成式人工智能争议指定一个或多个专门法庭。
建议33:委托法国科学技术选择评估办公室(OPECST)持续跟进与人工智能相关的问题。
[1] 指在人工智能领域推广一个具有标志性的欧洲合作倡议。
撰稿 | 赵菲朵,清华大学智能法治研究院实习生
选题&指导 | 刘云
编辑 | 王欣辰
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。