鲁传颖: 清华大学战略与安全研究中心特约专家,上海国际问题研究院公共政策与创新研究所副所长、研究员
2月2日,欧盟27国代表投票一致支持《人工智能法案》(以下简称“法案”)文本。法案仍需提交欧洲议会批准,如果成功获批,相关规则将分阶段实施。该法案是全球首个全面监管人工智能(AI)的综合性法规,旨在为人工智能的开发、使用和推广提供一个基于风险识别分析的法律框架,以保护信息安全、公民基本权利和公共利益。在加强监管的同时,也寻求在促进人工智能的创新和竞争力方面做出平衡。
众所周知,欧盟在新兴技术领域的监管一直处于全球领先地位。2001年制定的《布达佩斯网络犯罪公约》和2016年制定的《通用数据保护条例》对全球网络安全和数据安全治理产生了重要影响,也是各国学习和参考的主要对象。因此,这种由欧盟单方面制定的规则对国际规则和各国国内政策产生重要影响的现象被称为“布鲁塞尔效应”。法案是人工智能治理领域的一个里程碑事件,受到了国际社会的广泛关注。一方面,法案的监管思路和创新举措对各国都具有一定的参考价值;另一方面,法案因可能对技术进步和产业发展产生制约,也受到了广泛质疑。因此,法案最终是“布鲁塞尔效应”还是“布鲁塞尔陷阱”,还有待时间检验。
2024年1月16日,世界经济论坛2024年年会在瑞士达沃斯举行,“人工智能推动经济社会发展”为关键议题,以“善治”促“善智”成为各方共同呼声。
富有创新性的严格监管框架
法案延续了欧盟一贯的监管思路,以保护人权和价值观为基本原则,旨在寻求人工智能的安全与发展。欧盟一直坚持公民在物理世界中所拥有的权力,在数字空间中必须得到同样的保障。人工智能系统如果存在严重违反《欧盟基本权利宪章》中基本人权的风险,就应该完全被禁止。对于其他涉及可能会对人权和社会带来风险的重要领域,应当施加重点监管,并且对所开发的人工智能系统先行开展评估,通过后才能上市。
法案有三个较为重要的创新之处。第一是开启了人工智能横向监管进程。在这之前,人工智能的监管一般都是纵向监管。例如,美国在金融和无人驾驶领域已经出台了相关监管措施。纵向监管涉及的领域相对专业,群体较小,比较容易开展监管。横向监管是适用于所有部门和应用的法律规则,覆盖所有领域和人群,因此对法律的要求也更高,更难以达成共识。这也是法案在强调严格监管的同时也注重监管创新的原因,例如鼓励各国开展“沙盒测试”,给中小企业提供更多的便利和支持等。
第二是建立了基于风险等级的监管体系。欧盟以人权和安全为基准,将人工智能风险分为四个等级:禁止的行为、高风险系统、有限风险系统和最低风险系统。不同类别的人工智能系统需要遵守不同的监管要求。禁止的行为是指利用人工智能进行操纵、社会评分或滥用生物特征识别等可能严重侵犯人的尊严、自由或民主的行为。高风险系统是指那些涉及重要的社会或经济领域,如医疗、教育、交通、就业和司法等,可能对人的生命、健康、安全或基本权利造成重大影响的系统,法案要求这类系统在上市前进行强制性的合格评估,并遵守一系列的质量、透明度、人工干预、监督和纠正等原则和义务。有限风险系统是指那些可能对人的行为或选择产生影响,或对人的隐私或其他权利造成影响的系统,如深度伪造、情感识别等,法案要求这类系统提供充分的信息披露和透明度,以便用户能够理解和控制这类系统。最低风险系统是指对人的权利和利益没有或只有极小影响的系统,如娱乐、游戏等,法案对这类系统没有特别的监管要求,但鼓励遵守一些自愿的行业标准和最佳实践。
第三是为配合法案落地,建立了一整套的执法体系和多层次的监督和执行机制,包括欧盟人工智能委员会、欧盟成员国的国家监管机构、欧盟委员会和欧洲数据保护委员会等。欧盟人工智能委员会是一个由欧盟成员国代表组成的专家委员会,负责协调和促进欧盟成员国之间的合作,以及就人工智能的风险分类、合格评估和标准制定等提供建议和指导。欧盟成员国的国家监管机构是负责监督和执行法案的主要机构,要求每个成员国至少需要设立一个国家监管机构,负责检查和审核人工智能系统的合规性,以及对违反法案的行为进行调查和处罚。欧盟委员会和欧洲数据保护委员会则负责在欧盟层面进行监督和协调,以及处理跨境或跨部门的人工智能相关问题和争议。
2024年2月14日,第一届人工智能节在意大利米兰举办,这一国际节日积极致力于开发人工智能世界。图为当日展出的机器狗。
尚面临多重质疑
法案的推出只是欧盟开展人工智能监管的第一步,后续的配套技术标准和成员国如何落实监管要求尚未启动。因此,法案的最终效力如何还有待生效后才能更好地进行评估。仅从文本角度来看,各方对法案的质疑主要包括以下三个方面。
首先,法案没能完全反映人工智能技术的复杂性。法案所追求的确定性与人工智能技术存在的不确定性之间存在一定的矛盾。对于一个快速发展的战略性技术,尽管安全至关重要,但将过多的资源投入到安全中会影响技术的进步。法案提出了一系列的技术性安全要求,包括风险管理体系、技术文档、数据质量、人工干预、透明度、准确性、鲁棒性和安全性等,试图通过这些举措来确保人工智能系统的可信赖性和安全性,保护人类的基本权利和价值。事实上,在现有的技术条件下,即使都满足上述要求的人工智能系统,也无法完全杜绝风险的出现。从本质上而言,人工智能的风险具有量子思维中的不可预测、难以测量等特质。
其次,法案的监管思路和范畴跟不上快速迭代的人工智能技术。尽管法案是以风险等级划分来实施监管,但技术的进步会不断打破不同风险等级之间的界限。人工智能技术的快速进步可能导致投入大量人力、物力的法案尚未生效就已经落后。法案曾因ChatGPT3.0的诞生而延迟发布,并且增加了关于生成式人工智能的监管内容。但是,生成式人工智能仅是人工智能众多发展路线中的一条而已。未来,在模型、算力和算法不断取得突破的驱动下,各类人工智能技术将会齐头并进,法案可能处于落后于技术发展的尴尬境地。
最后,监管和创新之间的平衡问题。法案主要针对高风险的人工智能系统,这些要求给人工智能的开发和创新带来一定的负担和障碍。对于大企业而言,面临着消极和积极两个方面的影响。消极面是大量合规要求会阻碍技术的进一步发展和市场拓展,积极面则是合规门槛高企会阻止更多企业进入人工智能领域,有助于形成垄断,但这可能会对一些中小型人工智能企业或研究机构造成不公,它们难以承担相应的合规成本和风险。强监管一直被认为是欧盟数字技术发展受限的主要原因之一。因此,法案的出台将可能导致欧盟人工智能技术和产业发展的进一步滞后。法国、德国和意大利等国一直对法案可能限制未来人工智能产业发展高度警惕。
应更加理性地看待“布鲁塞尔效应”
法案的出台是“布鲁塞尔模式”的又一重要实践。作为全球规范性力量的代表,欧盟正试图通过其在监管政策和标准规则方面的努力,来打造自身在数字时代和智能时代的国际竞争力与话语权。然而,由于法案存在的不足和挑战,其是否能够引领全球人工智能治理尚存疑问。
欧盟率先推出横向监管,对全球人工智能安全治理具有重要的探索和实践意义。无论是从国际机制还是从国内监管的角度,各国都会高度关注法案以及后续配套设施建设情况。但是,由于法案本身的原创性内容并不如《布达佩斯网络犯罪公约》和《通用数据保护条例》那么多,很多内容更多地是借鉴其他领域的成功实践或已有的共识。因此,欧盟要想在全球人工智能治理领域取得更大的影响力,就需要在后续执法过程中检验法案的有效性和可操作性。由于欧盟具备全球领先的立法和执法能力,在这一点上仍值得期待。
然而,从监管对象看,法案主要针对人工智能系统的开发者,这与《通用数据保护条例》涉及的广泛数据收集者、存储者和处理者相比,门槛要高得多。因此,法案的监管对象更像是欧盟《数字服务法》中所指出的“守门人”。按此推理,需要接受监管的企业主要是Open AI、Anthropic、微软、Meta和谷歌等少数欧盟和中国的大型语言模型开发者和提供者。美国和中国都有发展技术和产业的需求,不会跟风对人工智能实施强监管。因此,人工智能技术会在欧盟之外以更快的速度发展。
此外,在监管效果角度上,法案仅仅是一个开始,其落地举措还需要大量技术标准和最佳实践的支持。目前,人工智能领域的技术标准仍在快速制定中,国际标准化组织(ISO)、国际电信联盟(ITU)和电气与电子工程师协会标准协会(IEEE SA)等国际标准组织都在加快人工智能安全标准制定。也就是说,法案最终落地还要依靠国际标准组织的成果,这也影响了“布鲁塞尔效应”的发挥。
本文2024年3月26日首发于《世界知识》