2024年3月13日,欧洲议会通过了《人工智能法案》,全面解决了与人工智能监管框架相关的所有问题。这将成为欧洲具有里程碑意义的欧盟立法。
《人工智能法案》将在公布后24个月内的2026年底在欧洲全面生效。但对构成不可接受风险的人工智能系统的禁令将在6个月内实施,这意味着,可能在2024年就有可能实施。此外,关于通用人工智能系统的规则将在2025年中期开始具体实施。
什么是AI系统?
- 《人工智能法案》里所提及的人工智能系统,被定义为基于机器,旨在以不同程度的自主性运行的系统。这些系统在系统完成部署后为明确或隐含的目标表现出适应性,从它们收到的输入推断出如何产生输出,如预测、内容、建议或决定,这些输出可能会影响物理或虚拟环境。
- 人工智能系统的广泛定义使得《人工智能法案》的适用范围非常灵活,不仅涵盖软件产品,还包括所有其他工具、硬件或解决方案,这些工具、硬件或解决方案都有可能被视为自主系统,可以根据先前交付给它们的输入数据学习并对新情况做出结论。此外,这一宽泛的定义使得《人工智能法案》不仅适用于人工智能产品本身,也适用于使用人工智能组件的任何其他产品或解决方案。
适用于谁?
- 《人工智能法案》适用于处理人工智能系统的实体,尤其是:
- 提供商——开发人工智能系统并将其投放市场或以自己的品牌投入服务的实体。
- 部署者——在自己的权限下使用人工智能系统的实体。
- 此外,人工智能法案也适用于其他类型的实体,如进口商、分销商和授权代表。
禁止使用的AI系统
《人工智能法案》提出了一种基于风险的评估方法,并根据人工智能系统对个人(受给定人工智能系统影响的自然人)的影响程度,对不同类别的人工智能系统提出了不同的要求。
被禁止的人工智能系统构成了不可接受的风险。除一些例外情况外,被禁止的人工智能系统包括:
- 利用潜意识、操纵或欺骗技术影响个人做出明智决定的系统;
- 导致有害或不利待遇的社会评分制度;
- 使用从互联网或闭路电视录像中无目标抓取面部图像的面部识别系统;
- 工作场所和教育机构的情感识别系统;
- 若干生物识别分类系统;
- 某些实时远程生物识别系统。
高风险AI系统
《人工智能法》的核心类别是高风险人工智能系统,即可能对自然人的健康、安全或基本权利构成重大危害风险的系统。根据《人工智能法案》,高风险人工智能系统是指欧盟产品安全立法所涵盖的系统,包括但不限于以下系统:
- 关键基础设施中使用的人工智能系统;
- 用于教育和职业培训的人工智能系统;
- 就业、工人管理和自主创业的人工智能系统;
- 执法人工智能系统;
- 移民、庇护和边境控制管理系统。
法案中所列出的高风险人工智能系统并不详尽,这意味着高风险人工智能系统的样本类别可能会在未来得到补充,并与技术趋势保持一致。
除了高风险的人工智能系统,《人工智能法案》还涉及其他中、低风险的人工智能系统。
高风险人工智能系统的义务
高风险人工智能系统的提供者和/或部署者将面临一系列义务,例如:
- 在高风险人工智能系统的全生命周期内实施风险管理系统;这包括识别和分析已知的和合理可预见的风险,以及采取有针对性的风险管理措施;
- 实施适当的数据治理机制——确保用于培训、验证和测试人工智能模型的数据适合预期目的,并具有适当的质量;
起草和维护人工智能系统的详细技术文件; - 为系统配备记录保存功能,以便在人工智能系统运行期间自动记录事件;
- 维持人类对人工智能系统的监督;
- 维持人工智能系统的适当准确性、稳健性和网络安全水平;
- 实施质量管理体系;
- 对某些类别的人工智能系统进行影响评估或合格评估;
- 实施上市后监测-收集和分析人工智能系统数据;
- 欧盟数据库登记义务;
- 对受人工智能系统影响的个人的信息/透明度义务。
通用人工智能
除了标准的人工智能系统,《人工智能法案》还定义了一个单独的类别:用人工智能系统(GPAI)。这是一种一般性质的系统,可用于广泛的下游系统或应用。GPAI包括可以执行各种任务的人工智能模型,是通用的,通常从大量数据中自主学习,可用于广泛的应用。
根据《人工智能法案》,GPAI面临一套单独的要求:
- 实施模型的详细技术文件;
- 落实尊重版权法的具体政策;
- 提供训练数据集内容的“足够详细”的摘要;
- 对人工智能生成或操纵内容的标签义务。
对违规行为的制裁
根据违反的类型和公司的规模,人工智能法案会对违规行为进行严厉的制裁。违反《人工智能法案》禁令可能导致高达3500万欧元或全球年营业额7%的罚款,而未能履行高风险人工智能系统规定的义务可能导致高达1500万欧元或全球年营业额3%的罚款。
更广泛的法律框架
尽管《人工智能法案》主要针对高风险应用和GPAI,但重要的是不要忽视更广泛的人工智能实现。企业应彻底评估其业务中所有人工智能技术的部署,并审查在人工智能法案通过之前已经运行的技术,确保不仅遵守人工智能法案,而且遵守现有的法律框架。这包括GDPR管辖下的隐私和数据保护问题,以及遵守适用于各种人工智能系统的知识产权、消费者保护和反歧视法。