全球首部AI法案正式生效,會產生哪些影響?
作 者丨見習記者賴鎮桃
編 輯丨胡慧茵
圖 源丨AI
「讓我們享受一個漫長的AI之夏,而不是毫無準備陷入秋天。」當AI點燃新一輪技術革命之火,如何規範AI往安全可控方向發展,成為橫亙在各國政府和業界面前的一大課題。
8月初,歐盟《人工智能法案》正式生效,這是全球首部全面監管人工智能的法規。歐盟內部市場委員蒂埃里·佈雷東評價該法案為「一個有效、適度且全球首創的人工智能框架」。
為了規範AI應用,該法案的核心在於採取風險分級的方式,將人工智能系統分為禁止、高風險、有限風險和最低風險四類,並據此設定不同的合規標準。同時,該法案還試圖把通用大模型關進「監管的籠子」,要求具有「系統性風險」的通用人工智能(GPAI)承擔更多的合規義務。
對有違規行為的企業,歐盟最高將對其處以3500萬歐元或全球年營業額7%的罰款,取二者中的較高值。
儘管該法案的大多數條款要到2026年才會生效實施,但歐盟的法律法規向來被認為有著「布魯塞爾效應」,即消費市場規模越大、越富裕,出口企業就越有可能遵守其標準,影響力波及全球。隨著全球首部AI法案正式生效,新規會把AI治理帶向何方?科技企業又需如何構築合規的壁壘?
誰先受波及?
一定程度上,歐盟AI法案是勉強達成共識的產物。「去年年底,歐洲議會、歐盟成員國和歐盟委員會三方就AI法案進行最後一輪談判時,還有21個政策分歧要談,這顯然遠遠超出正常範疇,即使縮小至7個爭議條款,在三天三夜的時間里全部解決都不太可能。」同濟大學法學院助理教授、上海市人工智能社會治理協同創新中心研究員朱悅告訴21世紀經濟報導記者,所以法案還是留下了很多有待完善的地方,各方只是把共識打包成了一個法案,直到今年3月提交歐洲議會通過前都還在修改調整。倉促之下,目前數百頁的AI法案更像是一份監管目錄,留下許多實施標準和細則有待充實。
而構成該法案核心框架之一的,就是風險分級監管。AI系統被分為四個風險級別,分別為被禁止的、高風險、有限風險和最低風險,每個級別都有相應合規要求。
若風險高到不能被接受,例如操控人類的認知、社會評分、預測犯罪行為等等,則此類AI的使用將被禁止。「高風險」主要是被認為對健康、安全、基本權利和法治構成重大威脅的AI,比如自動駕駛車輛、醫療設備、貸款決策系統和遠程生物識別系統等,就須遵守最嚴格的義務規範。被歸類為「有限風險」則屬不會構成任何嚴重威脅的AI,僅需確保其達到法案要求的公開透明度。其他像是電子遊戲或垃圾郵件過濾器等「最小風險」AI就被允許自由使用。
據悉,不可接受風險的AI系統禁令將在生效6個月後即適用,其他大部分條款,包括針對高風險AI系統的義務,則需要在公佈後36個月後才能執行。
外界普遍關心的是,哪些企業會被劃入高風險、嚴監管的範疇?
歐盟委員會發言人Thomas Regnier表示,大約85%的人工智能公司屬於「最小風險」,幾乎不需要監管。
朱悅也認為,涉及情緒操縱、社會評分這些被禁止的AI系統,屬於非常細分的場景,而且該條款後也有很多附帶條件,不會輕易被觸發。此外,大部分科技企業也不會落入高風險範疇,即使真的被判定為高風險AI系統,相應的監管標準也比較常規,大部分時候企業自行做第三方評估、投入一定合規成本,即有可能通過認證。
金杜律師事務所合夥人吳涵向21世紀經濟報導記者指出,AI法案對生物識別技術進行了較多關注,因此相關AI企業可能需盡快推進AI合規體系的構建工作。
通用AI監管,歐盟力不從心
通用人工智能,則是歐盟AI法案的另一大監管重點。
吳涵表示,自2022年底ChatGPT等應用在世界範圍內流行,全球逐漸將監管的視野擴大至通用AI模型及系統,AI法案也是基於這一現實需求進行起草和修訂。由於通用AI系統本身可能被視為高風險系統或作為其他高風險系統的組成,因此大模型企業可能是後續監管與執法部門重點關注的對象。
在該法案中,歐盟專門為通用人工智能製定了更嚴格的法規,比如遵循特定透明度義務,公開模型訓練方式的摘要,以及遵守歐盟版權法規等。而高於一定計算閾值而被歸為「系統性風險」的通用AI系統,就要遵守更嚴格的規則,比如企業需特別評估和減輕系統性風險、進行模型評估和對抗性測試等。
在AI法案中,歐盟要求通用AI打開「黑盒子」,披露模型參數、訓練數據等關乎技術細節的內容,多少引起模型廠商不滿。但就現階段而言,法案對通用人工智能的監管還不甚清晰,把通用AI關進「監管的籠子」尚需時日。
吳涵看來,AI法案僅是初步提出了通用AI模型的合規要求,歐盟還在針對通用AI模型製定更為細緻的監管規則。觀察後續監管走向,除一般性合規要求以外,可能要進一步關注通用大模型訓練數據與《通用數據保護條例》(GDPR)和版權保護等不同法律的交叉問題。
「AI法案在通用模型的監管上留下了很大遺憾,近乎於還是一個空殼。」朱悅感慨,雖然法案提了很多透明度的要求,但監管者對技術、行業know-how的瞭解遠不如企業,所以在一些關鍵核心數據集和微調參數的披露上,廠商可以有所保留。同時,法案監管通用AI的實施細則還在編製階段,但前期歐盟基本把編製的主動權交到了科技公司手上,受到詬病後迫於壓力才在7月底宣佈向多方利益主體開放,共同參與實施細則編製。
朱悅指出,這實則反映出歐盟AI治理能力的受限。隨著AI技術的發展,企業側沉澱了很多行業知識,比如OpenAI在做的超級對齊,Anthropic的可解釋性,還有Google、微軟等科技巨頭做的模型卡、算法卡,在AI的內部監管上已經比較超前。但監管層在資金密度、人才密度、技術密度等層面難與大型企業相比,所以要達到理想中的強監管也較難。
發展大於安全
「即使歐盟AI法案正式生效,目前針對AI的監管也還在探索中,不好評判對科技業會帶來多大沖擊,但監管不構成太大阻力,行業的焦點還是在大模型的商業化落地。」國內某證券公司通信行業首席分析師向21世紀經濟報導記者表示。
從AI法案起草到通過生效,質疑其扼殺科技創新的聲音一直不絕於耳。代表科技業遊說的計算機和通信行業協會歐洲辦事處(CCIA Europe)就警告稱,監管干預為時過早,會減緩創新和增長,只有充分的競爭才能帶來生成式AI的蓬勃發展,從而為消費者提供豐富多元的選擇。
不過,朱悅指出,科技公司在公共層面對於監管有著諸多指責和批評,但實際在執行合規義務時並不會付出太多額外成本。一來,AI法案還有諸多模糊、有待提升完善之處,除了通用大模型還沒有行為守則,歐盟的條條塊塊錯綜複雜,許多監管細則也有待協商,縱向上各成員國形成監管合力需要時日,因為法國、德國等國想要促進AI發展,部分排斥強監管,也希望在歐盟機構把握更多的監管主導權,橫向上歐盟涉及科技公司監管的機構部門眾多,新成立的人工智能辦公室和現有機構在職能邊界上還需進一步釐清。
二來,有別於歐盟嚴監管的刻板印象,AI法案的整體導向還是發展優先於安全。法案開篇四方面的宗旨里有三個關乎發展,而且法案中大量規則有著彈性空間,被禁止、高風險的適用範圍把科研、非商業使用、開源等場景排除在外,還有不少合規義務只要企業自評估完成等。法案之外,歐盟近年也在力促本土AI的發展,以期縮小和美國、中國等AI大國的差距,比如發起「高性能計算聯合計劃」為生成式AI初創公司提供超算算力,《數據法案》要求數據互換、雲切換費用逐步取消都有利於中小廠商。
因而,儘管歐盟AI法案仍是一部有待完善和細化的法律,但也為各國監管提供了一定借鑒思路——發展先於安全的立場,完整的監管框架以及不斷充實的次級立法、執法過程,監管沙盒的引入,明確但保留一定寬鬆度的監管口徑等。但同時,朱悅也警示,「不能照搬照抄歐盟立法,這種做法容易忽視應當嚴管的問題。」
國內企業出海歐洲如何做功課?
外界普遍認為,歐盟AI法案是一部里程碑式的法律,不僅在於它是全球首部AI立法,還在於它會通過市場途徑對全球科技業帶來影響。
根據AI法案,只要在歐盟市場內投放或投入使用其AI系統,無論是否收費,無論實體是否在歐盟境內,都要遵守歐盟的規定。而大部分跨國公司為了規避遵守多個國家監管制度的成本,就會選擇將歐盟法規沿用到全球業務,這也是俗稱的「布魯塞爾效應」。
那麼對於國內企業而言,隨著歐盟AI法案生效、走向落地,未來佈局出海業務需要注意哪些合規風險?
吳涵解釋,企業出海時,首先應判斷自身提供的產品是否構成AI法案的AI系統以及通用AI模型。如果適用AI法案,則要判斷產品是否可能屬於禁止在歐洲投放、具有不可接受風險的AI系統,如構成禁止投放的產品,則企業確需考慮轉換出海業務方向。如經評估,企業可在歐洲投放相關AI產品,則應盡快根據AI法案構建AI合規體系。
同時,企業出海涉及數據跨境流動,則還要滿足境內外的監管要求。吳涵舉例道,如果企業在出海AI產品時,需要向歐洲提供訓練數據,在訓練數據涉及個人信息的情況下,則觸發相應的數據出境義務。企業在歐洲提供產品時,其本身還需適用歐盟《通用數據保護條例》(GDPR)來處理個人數據。此外,由於中國的個人信息保護法與歐盟GDPR的合規要求與標準也並不完全相同,因此企業出海歐洲時宜提前根據GDPR及其他規定部署數據合規佈局。