邮发代号 2-786
征订热线:010-82341063
文 | 国家工业信息安全发展研究中心 张熠天 王丹自 2015 年以来,欧盟一直致力于推动构建针对人工智能技术应用的监管体系,旨在平衡技术创新与风险管理,确保技术进步与社会伦理、个人隐私的和谐共生。通过成立人工智能高级别专家小组(AI HLE)和发布《人工智能法案》(Artificial Intelligence Act),欧盟不仅在内部加快了人工智能治理的法律框架建设,也为全球人工智能治理提供了重要的规则参考。深入探讨欧盟在人工智能治理立法方面的概况、原则与机制、特点与缺陷,以及未来的立法趋势,可以揭示欧盟如何在保障个人权利、促进数据安全和推动技术发展之间寻找平衡点,为全球人工智能治理提供启示。2018 年,欧盟成立了人工智能高级别专家小组,以便在欧盟内部加快建立人工智能监管的法律框架。随着《人工智能法案》的发布,欧盟在全球范围率先制定了人工智能风险分类和对应监管措施的治理规则体系,或将成为全球人工智能治理生态重要的规则参照,对其他国家的政策法规制定和监管执法方式产生积极的影响。
欧盟开始关注人工智能监管的源起主要是基于对技术发展的期待和对潜在风险的担忧,并且期待在两者之间找到某种平衡。2015 年 1 月,欧洲议会法律事务委员会(JURI)成立研究处理机器人和人工智能发展法律问题的工作组。2016 年 5 月,欧盟法律事务委员会发布了《就机器人民事法律规则向欧盟委员会提出立法建议的报告草案》(Draft Report with Recommendations to the Commission on Civil Law Rules on Robotics),从民事视角为受人工智能控制的机器人设定了明确的权利和义务。尽管该法律文件因涉及机器人法律地位的争议而受到一些批评,但是作为欧洲首个专门针对人工智能的政策文件,它对欧洲的人工智能发展及治理产生了深远的影响。针对人工智能技术的快速发展及应用引发的伦理挑战,欧盟将人工智能伦理与治理纳入立法工作的重要议程。2017 年 5 月,欧洲经济与社会委员会(EESC)发布名为《人工智能对(数字)单一市场、生产、消费、就业和社会的影响》(The Consequences of Artificial Intelligence on the (Digital)Single Market, Production, Consumption, Employment and Society)的报告,分析人工智能带来的机遇和挑战,特别关注伦理、安全、隐私等 11 个核心领域,并倡导建立人工智能伦理准则,同时确立人工智能监控与认证的标准体系。同年 10 月,欧洲理事会强调欧盟需迅速回应人工智能的最新发展,保障数据保护、数字权利及伦理标准的卓越制定,并指令欧盟委员会于 2018 年初提出应对策略。2018 年 4 月 25 日,欧盟委员会向欧洲议会、欧盟理事会、欧洲理事会、欧洲经济与社会委员会及地区委员会提交了题为《欧盟人工智能》(EU Artificial Intelligence)的文件,标志着欧盟在人工智能领域正式启动战略布局。文件提出“以人为本”的人工智能发展路径,旨在提升欧盟科研和产业实力,应对人工智能与机器人技术带来的技术、伦理和法律等挑战,更好地服务欧洲社会经济发展。同年 6 月,欧盟委员会继续采取行动,委任 52 名来自学术界、产业界和民间社会的代表,组成人工智能高级专家小组。该小组为欧洲人工智能战略提供支撑,推动欧盟在人工智能领域的持续创新与发展。2019 年,欧盟人工智能高级别专家组发布了《人工智能伦理指南》(Ethics Guidelines for Artificial Intelligence),为人工智能的发展和治理确立了“以人为本”的基本原则。该指南明确了可信人工智能的三大核心要素,即人工智能必须遵守相关法律法规,符合伦理准则和价值观要求,并在技术与社会层面展现稳健性。这些原则逐渐在全球范围获得了广泛的认可,成为评估人工智能的重要标准。同年,欧洲议会研究服务机构发布了《算法的可问责和透明的治理框架》(A Governance Framework for Algorithmic Accountability and Transparency),为人工智能算法的问责机制和透明义务制定了清晰的规则。这些文件的发布,标志人工智能领域的伦理治理和法规建设迈出了重要的一步,为人工智能的健康、可持续发展提供了坚实的保障。2021 年 4 月,欧盟正式发布了《人工智能法案(提案)》(The Artificial Intelligence Act(Proposal))。在经过深入审议和充分讨论后,欧洲议会于 2024 年 3 月 13 日正式通过了该法案。此举意味着欧盟在全球人工智能治理领域取得了显著进展。该法案通过引入风险分级监管、市场准入制度以及监管沙盒等创新机制,致力于解决人工智能算法的不透明性问题,从而确保在欧盟市场运行的人工智能系统安全。该法案使欧盟成为规范人工智能技术与应用的引领者。欧盟持续推进数据治理领域立法工作,旨在确立欧洲数据利用和流转的规范体系。欧盟相继推出了《数字服务法案》(DSA)、《数字市场法案》(DMA)和《数据治理法案》(DGA))。这些法案共同构成了欧盟数据战略框架的核心监管规则。这些规则从基础逻辑层面出发,旨在加强数据安全保护,促进欧洲数据的自由流动,并防范算法自动化决策可能带来的潜在风险。此外,这些法案还致力于建立相应的伦理价值标准,保障个人权益,实现监管与创新发展的平衡与协调。这些努力体现了欧盟对数据治理和人工智能发展的高度重视。欧盟在人工智能治理领域采取的策略,集中展现了两种风险治理理念,即基于风险的规制和坚持实验主义的治理。具体而言,欧盟在人工智能风险防范的立法设计上,以风险为基石,对风险进行分类,并针对各类风险制定相应的监管措施。此外,欧盟亦致力于在监管机构、科创企业和用户之间构建共治格局,通过平等协商与信息透明的方式,达成实验性“契约”,从而在推动科技创新的同时,实现社会效果的最大化。
随着自动化决策技术的广泛应用,数据安全和隐私保护问题逐渐显现。欧盟通过制定《通用数据保护条例》(GDPR)等,规范了算法自动化决策,强调了透明度和算法问责原则的重要性。GDPR 第二十二条规定,数据主体有权拒绝仅基于算法自动化处理的决策。法国也在 1978 年提出了数据主体对自动化处理逻辑信息的知情权,并赋予其拒绝自动化处理决定的权利。尽管产业界对这些法规仍存争议,认为算法可能无法达到完全可解释的效果,披露算法运行机制无实际意义,并可能涉及商业秘密保护问题。因此,如何平衡数据主体权益、技术可行性和商业秘密保护,仍需要进一步探讨。《人工智能法案》详细制定了人工智能系统的监管框架,并特别突出了基于风险评估的分类分级监管策略。根据该法案,AI 系统被划分为四个风险等级,即不可接受风险、高风险、有限风险和低风险,每个等级均配有相应的监管措施。此外,该法案还明确了人工智能产品的全生命周期监管要求,从研发、上市到运营,均须确保符合法规标准。同时,数据保护和算法治理也受到了广泛关注。有专家建议将数据保护影响评估制度与 GDPR 的公私协同治理制度相结合,构建个人数据权利与算法治理相结合的影响评估机制。值得一提的是,欧盟的《算法的可问责和透明的治理框架》也提出了对公共机构实施算法影响评估的强制性要求,旨在提升公众对 AI 技术的信任度。算法决策在数字生活中发挥了重要作用,例如搜索引擎、社交媒体、金融市场和政策制定等。欧盟颁布的《算法的可问责和透明的治理框架》明确了算法决策的规制路径和政策建议,重视算法决策,为全球算法监管提供参考。该框架要求公开算法的工作原理、数据来源和使用目的,确保透明度和可问责性,同时要求定期审查和评估算法,确保公正性和准确性。欧盟的《人工智能法案》从平台主体义务、监管机构职责、处罚措施等方面,构建了人工智能算法的外部问责机制。该法案要求平台主体遵守规定和标准,例如数据来源合法、设计合理、决策过程透明等,并接受监管机构的监督和管理,定期提交审查和风险评估报告。违反规定将受到处罚。这些举措为算法决策监管树立了新标杆,有助于保护公众权益和利益,促进人工智能技术健康发展。然而,算法监管仍是复杂而艰巨的任务,需要各国政府和国际组织共同努力,不断完善和优化监管机制,确保算法决策的公正性、透明度和可问责性。剖析欧盟人工智能治理框架,可以看出,欧洲在人工智能监管和治理方面主要强调个人自治权与人格尊严的保护作为核心原则。欧盟致力于构建一个全面的人工智能监管体系,确保数据主体的基本权利得到充分保障。同时,欧盟也积极探索制定统一的监管规则,防范人工智能发展可能带来的潜在风险,并在促进创新发展与确保安全规制之间寻求平衡。
具体而言,欧洲的人工智能监管框架展现出以下几个显著特点。一是欧盟在治理理念层面秉持“以人为本”的核心理念,坚持发展与规制并行。欧盟旨在防范风险的同时鼓励创新,并通过立法手段,确保人工智能技术在尊重人权的基础上获得公众的信任与支持。这种以人为本的治理理念体现在欧盟《人工智能法案》中。该法案强调人工智能应作为人类的工具,最终目的是提高人类福祉。二是欧盟试图在治理主体方面建立统一的监管机构,实现和 GDPR 监管的有效衔接,实现数据治理和算法规制的有效统一。欧盟委员会确立了四项关键目标,包括确保人工智能的安全与合法、实现对人工智能的科学治理和有效执法、弥补法律空白,以及形成人工智能的单一市场。欧盟通过建立人工智能高级专家小组加快建立统一的人工智能法律监管框架的步伐。三是欧盟强调以风险预防为导向的治理内容和手段,通过事前评估、事中监测、事后救济的多元路径,分级监管人工智能系统并规避其可能带来的风险。同时,欧盟强调个人赋权和外部问责的协同治理。《人工智能法案》采用分类分级的风险规制路径,在规定统一监管框架的基础上,识别和评估 AI 系统可能引发的风险,将 AI 系统分成四个风险级别,并对不同级别的风险采取不同的监管措施。在审视欧盟对人工智能市场进行规制的策略时,需要关注其在实施过程中面临的挑战和缺陷。尽管欧盟在立法和监管方面做出了前所未有的尝试,旨在确保人工智能技术的安全性、合法性和对公共利益的保护,但这些措施也引发了一系列担忧和批评。一是在推进市场规制路径的过程中,欧盟的责任机制暴露出制度性不足。欧盟选择以监管产品的手段管理人工智能,被视为一种切实可行的方式。目前,各国在保护消费者权益和监管产品质量方面已建立了成熟的体系,将人工智能产品纳入现有的规制框架,并进行必要的调整和完善。为了执行人工智能法案,欧盟计划修订产品责任规则和行业安全法律规则。该法案遵循“效果主义”原则,实施“长臂管辖”,确保在欧盟区域内使用的人工智能产品符合法案要求,保护欧盟公民的权益。法案主要侧重对人工智能产品提供者的监管,要求进行风险评估,并坚持“谁提供谁负责”的原则。然而,鉴于人工智能产品的用户同样承担重要的责任,有必要将实际参与的运营者也纳入责任体系,强化他们在预防和规避风险方面的责任和义务。二是欧盟超前性制定相关监管措施,引发了产业界对发展前景的担忧。以《人工智能法案》为例,尽管其旨在保护公共利益和确保人工智能技术的安全与透明,但是反对者指出,该法案可能导致欧洲人工智能企业面临过高的成本负担,且部分合规要求在技术上难以实现。OpenAI 公司的 CEO 萨姆·阿尔特曼(Sam Altman)2023 年 5月 22 日在 OpenAI 总部接受采访时表示,若监管过度,将考虑将公司撤出欧洲市场。欧洲议会议员布兰多·贝尼菲(Brando Benifei)认为,欧洲在人工智能立法方面已超前于风险本身。然而,过度监管可能会阻碍产业的发展。2022 年 9 月28 日,欧盟委员会发布了《人工智能责任指令提案》(Proposal for an Artificial Intelligence Liability Directive)。这一提案提及在 2020 年的一项针对使用人工智能技术的欧洲企业的调查中,欧洲企业视责任问题为其使用人工智能技术的前三大障碍之一。对于计划但尚未采用人工智能技术的欧洲公司来说,43% 的公司将责任问题视为最被关注的外部障碍之一。过度和超前的监管可能导致欧洲在人工智能领域落后,影响相关技术的开发进程。尽管欧盟委员会预测大部分人工智能应用属于低风险类别,但是事前监管仍然可能对开发活动产生负面影响。总体而言,该法案更多地倾向于规制型立法,对于促进产业发展的规定相对较少。因此,如何在确保技术发展与监管创新之间达到平衡,仍是欧盟需要继续探索和完善的重要议题。三是欧盟过于倚重企业自治,规制的有效性受到质疑。欧盟《人工智能法案》虽规定了人工智能系统提供者需进行内部合规评估,却未确立外部监管机制。欧洲数字权利组织对此表示关切,认为这为企业赋予了过大的自我规制权力。欧洲数据保护委员会(EDPB)和欧洲数据保护专员公署(EDPS)发布的工作指南指出,监管机制的缺失可能削弱该法案治理工具的有效性和可执行性。此外,该法案在人工智能系统入市后的监管方面显得过于宽松,与入市前的严格监管形成鲜明对比,导致监管失衡。考虑到人工智能系统一旦被开发和应用后的传播和扩散速度极快,这无疑降低了规制的有效性。因此,为确保人工智能技术的健康发展,欧盟亟待建立更为全面、严谨的监管体系。四是欧盟对人工智能的相关定义和分类,引起质疑和警惕。欧盟人工智能的监管试图通过列举监管对象的方式明确范围,然而,由于人工智能技术的日新月异,这种列举方式很可能无法完全覆盖所有的应用领域。对人工智能的定义要么过于宽泛,包含太多非核心的概念,要么过于狭窄,滞后于技术的发展。此外,尽管法案尝试明确监管对象,但仍存在遗漏。例如,深度伪造技术作为一种高风险应用,却没有被明确纳入监管范围。深度伪造可以用合成技术生成和真实音频区分度很低的虚假音频,对社会稳定和个人隐私构成严重威胁。因此,将其纳入监管范围是十分必要的。EDPB 和 EDPS 发布的工作指南指出,法案的高风险清单还存在其他遗漏。例如,使用人工智能系统确定保险费或评估医疗方法适用于健康研究目的的场景,这些领域同样涉及大量的个人数据处理和隐私保护问题,因此,也应纳入监管范围。欧盟在人工智能治理方面的立法趋势,不仅反映了对技术发展的前瞻性思维,也体现了在全球科技伦理和法律规范制定领域的领导力。人工智能作为新一轮科技革命的核心,对经济结构、社会治理乃至国际关系都产生了深远的影响。欧盟通过制定严格的法律政策,旨在确保技术进步不会以牺牲个人隐私和社会伦理为代价。一是欧盟 GDPR 的实施,虽然在一定程度上限制了数据驱动的技术创新,但也为个人数据保护设立了全球性的高标准。欧盟在此基础上出台《人工智能法案》,试图在保护个人隐私和促进技术发展之间找到平衡。该法案的分级动态监管模式,不仅为人工智能系统的安全性和透明度设定了明确的标准,也为全球其他国家在人工智能立法方面提供了参考。二是欧盟《人工智能法案》特别强调支持小微企业,表明欧盟意识到创新不仅仅来自大型企业,中小企业同样是推动技术进步的重要力量。通过监管沙盒等措施,欧盟支持中小企业广泛研发和应用人工智能技术,有助于创造一个更加多元和活跃的创新生态系统。同时,这也有助于防止大型企业形成垄断,确保市场的公平竞争。三是尽管欧盟的人工智能治理框架在促进技术创新和保护个人隐私方面取得了一定的进展,但其严格的监管措施也可能给跨国企业带来挑战。全球企业都需要适应欧盟的法律法规。这不仅增加了企业的合规成本,也可能影响全球人工智能技术的交流与合作。此外,人工智能技术的快速发展和应用的多样性,使任何监管框架都需要具有一定的灵活性和适应性,以便应对不断变化的技术环境。总体而言,欧盟的人工智能治理立法趋势,为全球人工智能治理提供了宝贵的经验。它强调了在促进技术创新的同时,必须考虑伦理道德、个人隐私和社会影响。随着人工智能技术的不断进步和应用领域的扩大,全球各国都需要在立法、监管和伦理指导方面进行深入的思考和合作,确保人工智能技术能够造福人类社会,而不是成为新的风险源。欧盟的这些努力,无疑为全球人工智能治理提供了启示和方向。(本文刊登于《中国信息安全》杂志2024年第4期)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664222170&idx=1&sn=cde91487bdd56aae586618e239de9e7b&chksm=8b59cf23bc2e4635b034e2e2728c69d6164e4c6ad54b332f290dfab3e2fbc20934fefcc96c6e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh