欧美收紧人工智能监管 将来可能波及中国科技公司
扫描二维码
随时随地手机看文章
近期,美国和欧盟先后发布AI监管政策,预示着人工智能将迎来监管时代。但美欧监管路径大相庭径,欧盟意在加强监管以强化个人权利保护,美国极力限制监管范围以促进创新与发展。尤其,欧盟人工智能监管框架延续了GDPR的长臂管辖理念,将来可能波及中国科技公司。
一、欧盟:新的数字战略之下,加速建立人工智能监管框架
2月19日,欧盟委员会发布了新的数字战略,这是继2015年5月启动单一数字市场战略之后,欧盟面向数字化转型的又一纲领性战略。与之一道发布的还有“人工智能白皮书”和“数据战略”,这两份战略文件是落实新的数字战略的第一批举措。后续欧盟将围绕以人为本的技术,公平、有竞争力的经济,开放、民主、可持续的社会这三大战略目标,出台一系列落地措施。整体而言,欧盟出台数字战略,不仅意在增强欧盟的技术主权、产业领导力和经济竞争力,而且期望通过立法和监管重塑数字发展模式,将给全球数字发展带来持续性影响。
而人工智能白皮书的出台,意味着欧盟的人工智能政策将从伦理转向监管,相关技术应用和产业发展将逐步受到影响。白皮书在2018年4月出台的欧盟人工智能战略的基础上,提出了投资和监管并举的思路,一方面将持续加强对芯片、算法、量子计算等技术和产业的投资;另一方面将通过建立监管框架来防范自动化决策不透明、算法歧视、隐私侵犯、犯罪行为等AI应用相关风险。旨在加强技术主权,确保技术信任。可见,欧盟希望通过监管框架和技术/产业优势、数字基础设施的结合,来确保欧盟在数字经济和人工智能领域成为全球创新的领导者。
白皮书提出针对人工智能建立新的监管框架。新的监管框架基于风险路径,目的在于使各种风险和潜在损害最小化,同时避免过度监管。核心规定包括以下五个方面。
第一,采取分类监管方式,并非所有的AI应用都会受到监管,监管只针对“高风险”AI应用;但判断标准模糊,存在监管泛化的可能性。“高风险”的判断,有两个累加的标准:(1)在特定领域使用AI应用很有可能发生重大风险;(2)在前述的特定领域使用AI应用,考虑使用的方式,有可能出现重大风险。具体可能涵盖哪些领域和使用场景,有待将来出台监管名单,来穷尽列举,并可定期评估、修订,白皮书列举了医疗、交通、能源等领域。此外还有一个兜底规定,这会进一步扩大监管的范围,即不论是否在监管名单中,考虑风险的程度,只要为特定目的使用AI系统被认为具有高风险,就应当受到监管,例如在招聘中使用AI,将AI应用于远程生物识别和其他监控技术,这意味着AI人脸识别也是“高风险”应用。可见,判断标准高度概括,非常模糊,存在很大解释空间,赋予监管较大的自由度,不排除将来出现监管泛化。
第二,高风险系统需要遵守严格的强制性要求。新的监管框架提出了一系列一般性法律要求,适用于所有的高风险AI应用。这些要求涵盖训练数据,数据记录,信息提供与透明度,安全可靠与准确无误,人类监督和干预等五个方面:
(1)训练数据:确保AI应用安全,训练数据覆盖所有相关场景;采取合理措施确保AI系统不会导致不合法歧视,使用的数据集具有足够的代表性;确保AI应用保护隐私和个人数据。
(2)数据记录:准确记录训练、测试AI系统所使用的的数据集;必要时保存数据集本身;记录编程细节和创造、测试、验证AI系统的方法、程序和技术。
(3)信息提供与透明度:提供关于AI系统的能力、限制的清晰信息,特别是涉及系统目的、正常运行条件、在实现特定目的上的准确程度的信息;当公民在与AI系统交互时,应明确告知。
(4)安全可靠与准确无误:确保AI系统在整个生命周期内是安全可靠的,准确无误的;确保结果是可复制的;确保AI系统在整个生命周期内可以应对失误和不稳定情况;确保AI系统能够抵御攻击和针对数据、算法的操纵行为,并采取应对措施。
(5)人类监督和干预:人类干预存在方式和程度上的差异,例如,除非已由人类审查并确认,否则AI系统的输出不能成为有效的(如社会福利的申请只能由人类做出决定);AI系统的输出即时有效,但之后可以诉诸人类干预(如信用卡申请可由AI系统处理,但之后可以向人类提出申诉);在运行过程中监督AI系统,以及能够实时地干预和关闭系统(如自动驾驶汽车具有关闭按钮);在设计阶段,给AI系统施加运行限制条件(如自动驾驶汽车在超出预设的运行条件时停止运行)。
这些强制性要求可以说是细致入微,但能否适应技术和应用快速发展迭代的特点,却是一个大大的问号。此外,相比之前泄露出来的文件考虑在3-5年内禁止在公共场所使用人脸识别技术,白皮书透露出欧盟对人脸识别技术的态度已经大为缓和,并未禁止人脸识别的使用,但将限定使用情形并建立安全措施。即必须确保特定使用情形是合法正当的,符合比例原则的,并采取充分的安全措施。而对于在公共场所使用人脸识别技术,欧盟委员会后续将讨论确定正当的使用场景以及共同的安全措施。
第三,延续长臂管辖思路,可能影响中国科技公司。在管辖方面,新的监管框架延续了《一般数据保护条例》(GDPR)建立的长臂管辖规则,即在欧盟境内提供AI相关产品或服务的所有相关主体都需要受到监管,遵守前述强制性要求,无论其是否在欧盟境内设有营业场所。这意味着欧盟以外的科技公司可能受到监管,中国科技公司也不例外。在义务主体方面,一般而言,处在应对潜在风险的最佳位置的主体,需要遵守前述强制性要求,避免过度扩大义务主体的范围。
第四,建立涵盖事前、事中、事后各个环节的全面监管机制。事前,为了确保高风险AI应用遵守强制性要求,由监管部门对其进行合规认证评估,包括测试、监测和认证程序,以及对在研发阶段使用的算法和数据集进行检查。事中和事后,加强执法,包括监测合规与否,监管部门或第三方机构对AI应用进行测试。
第五,不在监管范围之内的AI应用,不需要遵守这些强制性要求。但针对不受监管的AI应用建立自愿认证机制,即如果不受监管的AI应用自愿遵守这些强制性要求或者特别为自愿机制建立的类似要求,则可以被授予质量标签,表明该AI系统是可信的。一旦贴上了质量标签,AI应用就必须遵守强制性要求,否则监管部门可对其采取执法措施。自愿标签机制将激励行业主动合规,可能进一步扩大监管范围。
二、美国:科学审慎监管、不监管、非监管措施多管齐下共促创新与发展
无独有偶,今年1月,在出台美国国家AI战略满一年之际,美国政府发布了《人工智能应用监管指南》,意在为联邦政府对AI发展应用采取监管和非监管措施提供指引。《指南》提出了十大监管原则,涵盖公众对AI的信任、公众参与、科研操守和信息质量、风险评估与管理、成本效益分析、灵活性、公平无歧视、披露与透明度、安全可靠、联邦机构间协调等层面。这些原则既关乎方法论,也涉及目的,代表着美国在AI监管上的总体思路。总体而言,美国对AI发展应用的监管,主要呈现出以下三个特点。
第一,强调监管应有助于创新与发展。美国的AI政策的根本目的在于,增强美国在AI的科学、技术、经济等方面的全球领导地位。AI监管也需要服务于这一根本目的。就AI监管的目的而言,与维护技术、经济和国家安全,隐私,自由,法治,知识产权等美国价值同等重要的是,促进稳健的创新生态系统,减少、移除AI技术发展和应用面临的不必要障碍,持续促进技术和创新的进步。所以《指南》要求充分评估监管对AI创新和发展的影响,避免采取阻碍AI创新和发展的监管、非监管措施,避免采取可能给AI系统施加过高标准的预防性路径,因为这可能影响社会从AI应用中受益。
第二,强调监管的科学性、灵活性。AI的监管、非监管措施需要充分考虑AI相关的科学、技术信息和程序,避免不切实际的拍脑袋立法。监管需要采取风险路径来评估哪些风险可被接受,哪些风险可能导致不被接受的损害,或者带来的损害超出了带来的益处。这意味着AI监管不是要,也不可能消除所有的风险,而是对风险进行管理,将风险控制在最小的或者社会可接受的限度。所以需要采取成本效益分析,在对AI进行监管之前,充分考虑AI发展应用的社会成本、益处、影响等,以权衡AI活动的利弊并衡量风险大校此外,监管、非监管措施要具有足够的灵活性和弹性,适应技术快速变化和AI应用迭代,僵硬的、规制技术细节的立法是不切实际的,无效的。
第三,强调不监管。可以说,对于AI应用,美国是以不监管为出发点的。如果既有的监管是充分的,或者新的监管不符合成本效益分析,此时理想的路径就是不进行监管,或者采取非监管的措施来应对特定AI应用的风险。不监管和非监管措施,和政府监管同等重要。可以预见,美国将更侧重不具有法律强制性的非监管措施,包括细分领域的政策指南或框架,试点项目和实验,行业内自愿的共识标准等。这些非监管措施主要包括:
(1)细分领域的政策指南或框架:出台非监管的政策声明、指南,或者测试和部署框架,来鼓励特定领域的AI创新。
(2)试点项目和实验:出台监管例外、豁免,或者试点项目,为特定的AI应用提供“安全港”(safe harbor)。
(3)自愿的共识标准:行业可以就AI应用形成自愿的共识标准,标准组织可以推动标准的制定,在出台监管或合规要求之前依赖行业内的标准认证项目。
三、美欧人工智能监管政策对比
2020年绝对是全球人工智能政策的转折点,美国和欧盟先后出台监管政策,表明人工智能将正式迎来监管时代。监管政策将成为美国和欧盟各自加强“科技主权”的重要工具。人工智能白皮书的出台,表明欧盟的人工智能监管立场已经有所缓和,但是与美国相比,存在根本性差异。去年全球AI初创公司总共融资270亿美元,其中美国占了170亿美元,远超其他国家,美国活跃的创新生态在某种程度上表征着美欧监管差异。
第一,监管目的和初衷存在显著差异。欧盟人工智能监管框架延续了GDPR的立法初衷,过分强调个人权利保护和AI应用的负面影响,包括个人数据和隐私保护、非歧视等基本权利,安全和责任等。相反,美国更全面地看待AI的影响,不仅侧重维护美国核心价值,而且更加强调对AI创新与发展的促进,所以把为AI应用创设“安全港”、监管例外、监管豁免等提到了很高的地位。“安全港”制度绝对是美国在互联网时代一骑绝尘的制胜法宝,美国希望在AI领域复制这一成功经验。
第二,欧盟低门槛监管,美国高门槛监管。高度模糊的标准意味着,欧盟为AI应用进入监管领域设置了较低的门槛。监管要求具体入微,监管和执法覆盖全过程,AI发展应用将面临更大范围和更大程度的监管压力,技术和产业影响不容小觑。相反,美国所倡导的科学审慎监管、风险评估与管理、成本效益分析、灵活敏捷等理念,不仅会很大程度压缩监管的空间,而且不至使监管要求僵化,对技术和产业发展更加友好。
第三,欧盟粗放式监管,美国精细化治理。粗放式不仅指标准抽象,而且意味着路径单一,过度强调监管的迫切性、必要性和重要性。相反,美国压缩监管空间,不意味着毫不作为,而是给技术和行业友好型的非监管措施留出更大空间。
四、对我们的启示
第一,持续加强基础研发投入和人才培养。在推进监管的同时,美欧继续加强科技研发投入,例如,美国在未来两年将使投资于人工智能和量子计算的研发投入翻倍并打造量子互联网,欧盟也将显著地加强对AI、量子计算的研发投入。我国在基础研究、芯片、核心算法、人才培养等方面尚存短板,需要持续加大对人工智能、量子计算等突破性技术的投入和支持力度。
第二,全球“技术主权”竞争背景下,需要包容审慎监管AI应用。数字时代,全球“技术主权”竞争趋于激烈,监管政策是重要的工具,例如美国近年来加大对AI等前沿数字技术的投资和出口管制,就是出于这一目的。因此美欧的AI监管虽然存在差异,差异的存在是因为产业发展状况不同,但殊途同归,最终都是为了打造技术和产业竞争力。在这样的背景下,美国的AI监管政策样本更契合我国的技术和产业实际,需要遵循包容审慎的理念,通过多方参与、风险评估、成本效益分析等机制,确保立法和监管的科学化、精细化、灵活化,并可考虑设立“安全港”规则或者监管例外来鼓励AI应用,同时依靠监管之外的多元化措施,如标准、指南、试点等。
第三,加强国际合作,积极推动国际AI标准设定。除了面向国内的政策举措,美欧也在积极建立国际同盟、联盟等,希冀主导AI技术、伦理、治理等方面的国际标准,山头主义的发展趋势显著。我国需要加强国际合作,积极输出理念和价值观。