Trust AI @ TUV SUD 专栏第四期：人工智能系统符合性评估框架

广州2022年6月13日 /美通社/ -- 欧盟人工智能法案将于2024年强制执行，为协助中国人工智能相关企业提前应对即将到来的国际监管，TUV南德意志集团（以下简称"TUV南德"）已推出人工智能评估服务：AI 质量架构评估方案。 

本文为Trust AI@TUV SUD的系列专栏的第四篇：人工智能系统符合性评估框架。

AI 质量架构评估方案

2021年4月，欧盟委员会发布了欧洲议事和理事会《关于制定人工智能统一规则》的提案（以下简称"草案"）。在专栏前三期中我们介绍了该草案严苛的惩罚力度以及对于人工智能的风险分类，以及四种政策选项。本期文章讨论AI法案可能会采用的符合性评估框架及其执行机制。

对于草案中所列的高风险人工智能系统，提供者在其投放市场或投入使用前，应遵循基于内部控制的符合性评估程序（Annex VI），或基于质量管理体系审核和技术文件审核的符合性评估程序（Annex VII）。提供者应起草一份欧盟符合性声明(EU Declaration of Conformity、DOC)，并贴上符合的CE标志（Article 48）。

制造商如何选择符合性评估流程

-    低风险人工智能系统的提供者可以采用基于内部控制的符合性评估程序（Annex VI）。

-    对于除Annex III item 2-8所列用途之外的高风险人工智能系统，提供者可以采用基于质量管理体系和技术文件的符合性评估程序（Annex VII）。提供者须选择一个欧盟公告机构。由公告机构确认人工智能的符合性并签发证书。但是，如果人工智能由执法机关，移民管理或避难，救济机构及其他官方机构使用，欧盟成员国授权的执法机构应取代公告机构进行符合性确认。

-    对于 Annex III item 2-8所列用途的高风险人工智能系统，提供者可以采用基于内部控制的符合性评估程序（Annex VI），不需要引入公告机构，但是须考虑2013/36/EU指令的符合性评估程序要求。

-    如果提供者没有或仅部分采用人工智能法案的协调标准，或者该协调标准和通用规范不存在，提供者必须采用基于质量管理体系审核和技术文件审核的符合性评估程序（Annex VII）。

欧盟符合性声明（DOC）

欧盟符合性声明应说明符合人工智能法案中规定的要求并及时更新，在投入市场后的十年内由欧盟成员国主管机构保管（Article 48）。声明应包含以下内容：

-    人工智能系统的名称和类型；

-    提供者或者其欧盟代表（如适用）的名称和地址；

-    DOC由提供者签发并全权负责的声明；

-    符合人工智能法案及其他相关立法（如适用）的声明；

-    参考的协调标准或其他通用规范；

-    公告机构的名称及公告号（如适用）；

-    声明的发布地点和日期，签署人的姓名和职务等。

符合性评估

符合性评估将主要包含三个方面：质量管理体系，技术文档的要求，和持续监督。

1.  提供者应建立质量管理体系，并形成相关书面文件，（Article 17），应至少包括：符合法规的策略；设计、设计控制和设计验证；开发、质量控制和质量保证；开发之前、之间和之后要进行的检查、测试和验证的程序和频率；拟采用的技术规范/标准；数据管理的系统和程序；风险管理系统；投入市场后的监测系统；与严重事故和故障有关的报告程序；与相关方的沟通处理；记录所有相关文件和信息的系统和程序；资源管理；问责框架等。

2.  技术文件应包含所需法律要求的信息，在投放市场使用前制定，并及时更新（Article 11）。其内容应包括以下信息（Annex IV）：对人工智能系统的一般描述；系统的组成及其开发过程的详细描述；监测、运行和控制的详细资料；风险管理系统的详细描述；在其生命周期内所做的任何改变的说明；适用的协调标准或其他通用规范的清单；欧盟符合性声明的副本；投入市场后的性能评估制度。

并且，系统在运行时应自动记录日志（Article 12），以保证整个产品生命周期内的可追溯性，从而防范可能出现的重大风险，并配合上市后的监管。日志记录系统功能应至少记录以下信息：每次使用的时间；数据库及对应的输入数据；搜索对应的输入数据；参与结果验证的自然人身份等。

3.  对上市或投入使用后的人工智能系统应进行持续的监督。提供者应以与人工智能的性质和风险相匹配的方式，建立并记录投入使用后的检测系统。该系统应在产品整个生命周期内积极、系统地收集、记录和分析由使用者提供或其他来源的相关数据，以使得AI提供者能够持续地评估该人工智能系统是否符合法案规定的要求。

公告机构应定期进行审查（Audit），以确保AI提供者适当地履行经批准的质量管理体系中的条款和条件，并应向AI提供者提供报告。

相关方的义务