重点解读:欧盟通过《人工智能法案》妥协草案
当地时间5月11日,欧洲议会发表声明,议会内部市场委员会和公民自由委员会通过了《人工智能法案》(the AI Act)的谈判授权草案。该法案于2021年4月由欧盟委员会提出。
目前,经妥协修改后的《人工智能法案》草案共计144页,保留了此次的修改标记。法案严格禁止“对人类安全造成不可接受风险的人工智能系统”,包括有目的地操纵技术、利用人性弱点或根据行为、社会地位和个人特征等进行评价的系统等。
此外,谈判授权草案还要求部署ChatGPT等生成式人工智能工具的公司对其算法保持人为控制,提供技术文件,并为“高风险”应用建立风险管理系统。法案涵盖的内容主要包括个人信息等相关的隐私、算法导致的偏见和歧视、对社会就业和收入等的影响、网络安全性风险等。
具体而言,此次《人工智能法案》谈判授权草案的要点包括:
01
人工智能的定义和技术范围
法案规定,人工智能的定义应尽可能中立,从而涵盖尚未知晓/开发的技术。其总体目标是覆盖包括传统的符号人工智能、机器学习以及混合系统在内的所有人工智能类型。
根据法案第3条,“人工智能系统”是指使用附件一中列出的一种或多种技术和方法开发的软件,它被设计为以不同程度的自主性运行,并且可以为了明确或隐含的目标,产生诸如预测、建议或决策等影响物理或虚拟环境的输出”。法案附件一“人工智能技术和方法清单”为人工智能定义提供了法律确定性参考,但这一范围可能需要随着时间的推移进行调整。
02
基于风险的监管方法
《人工智能法案》遵循风险的分级管理方法,参考功能、用途和影响将人工智能的应用分为四个风险级别:不可接受的风险、高风险、有限风险和低风险或无风险,并根据风险级别为提供者和用户规定义务。
1、其中,对人类安全造成不可接受风险的人工智能系统将被严格禁止,不能在集团内部署。具体包括:
① 人工智能系统使用潜意识技术,或操纵或欺骗技术来扭曲行为;
② 人工智能系统利用个人或特定群体的弱点;
③ 基于敏感属性或特征的生物识别分类系统;
④ 用于社会评分或评估可信度的人工智能系统(根据人们的社会行为、社会经济地位、个人特征对他们进行分类);
⑤ 用于预测刑事或行政违法行为的风险评估的人工智能系统;
⑥ 人工智能系统通过无针对性的抓取创建或扩展面部识别数据库;
⑦ 人工智能系统在执法、边境管理、工作场所和教育中推断情绪等。
2、高风险人工智能系统:
(1)受管制的某些人工智能应用被视为高风险(例如医疗装置、机械),应当根据有关的行业法规接受第三方评估,合格后才能投入市场。其类别主要有:
(2)高风险人工智能的要求可以概括为:建立和实施风险管理流程、设定基于人工智能系统的预期目标两大方面。具体包括:
① 使用高质量的培训、验证和测试数据(相关的、有代表性的);
② 启用文档和设计日志记录功能(可追溯性和可审计性);
③ 确保一定程度的透明度并向用户提供关于如何使用系统的信息;
④ 确保人为监督(系统内置和/或由用户实施的措施);
⑤ 确保稳健性、准确性和网络安全。
3、大多数人工智能系统不会是高风险的。对于有限风险的人工智能系统,法案设定了透明度义务(第52条):
① 通知用户他们正在与人工智能系统互动(除非显而易见);
② 通知用户情绪或生物识别分类系统已针对用户开启应用;
③ 对深度造假行为进行标记(为了行使基本权利或自由或出于公共利益的原因除外)。
4、对于低风险或无风险的人工智能系统,欧盟提倡制定旨在促进对低风险人工智能系统自愿应用要求的行为准则(第69条)。
03
CE标志和流程
法案建议对存在高风险的人工智能产品和服务引进CE(Conformité Européenne)认证。CE认证意为“欧洲合格评定”,是一种欧盟安全指令,贴有CE标识表示产品已经通过某些检测且可以在欧盟和欧洲经济区内的任何地方合法销售。为了能够在高风险人工智能系统上贴上CE标志,提供者应遵循以下流程:
① 根据《人工智能法案》评估其人工智能系统是否被归类为高风险;
② 确保设计开发和质量管理系统符合人工智能法规;
③ 执行合格评定程序,评估和记录其合规性;
④ 如果评估合格,则在系统上贴上CE标志并签署符合性声明;
⑤ 上市或投入使用。
04
主体义务
1、调整后法案将主要监管人工智能系统的“提供者(provider)”和“部署者(deployer)”。其中,提供者是指开发人工智能系统并将其以自身名义/商标投入市场或投入使用的个人、法人、公共当局、机构或其他主体,且不论其产品是否收费。其应遵守以下义务:
① 在其组织内建立并实施质量管理体系;
② 起草并更新技术文件;
③ 日志记录义务使用户能够监控高风险人工智能系统的运行;
④ 进行合规性评估并在特定情形下重新评估系统(如存在重大修改);
⑤ 在欧盟数据库中注册人工智能系统;
⑥ 获取CE标志并签署符合性声明;
⑦ 上市后监测;
⑧ 与市场监督机构合作。
2、“用户”(user)是指在其授权下使用人工智能系统的任何自然人或法人、公共当局、机构或其他团体,但人工智能系统用于个人非专业活动的情况除外。用户应遵守以下义务:
① 按照使用说明操作人工智能系统;
② 在使用人工智能系统时确保人为监督;
③ 监控运营中可能存在的风险;
④ 发生严重事件或故障时通知提供者或部署者;
⑤ 遵守现有法律(例如GDPR)。
05
下一步行动
据悉,欧盟成员国将设立监督机构,确保这些规则得到遵守。这一草案将于6月中旬提交欧洲议会全会表决,之后欧洲议会将与欧盟理事会就法律的最终形式进行谈判。一旦获得批准,欧盟《人工智能法案》将成为全世界首部有关人工智能的法规。
*参考来源:欧盟委员会
添加“合规君”,可咨询各类服务详情
187 2170 3165(王老师)
156 0177 3140(丁老师)
CYBER RESEARCH INSTITUTE