引言
据路透社4月27日报道,根据一项早期的欧盟协议,部署ChatGPT 生成式人工智能工具的公司将必须披露任何用于开发其系统的受版权保护的材料,该协议可能为欧盟《人工智能法案》立法铺平道路。[1]这是全球范围内对生成式人工智能治理的又一项重要举措。
近期,ChatGPT等生成式人工智能火遍了全球,引发了AI领域新的一轮热潮,行业巨头们如谷歌、百度、阿里都竞相角逐。但是在ChatGPT如此炙手可热的背景之下,其所带来的风险也引起了社会各界的关注。3月31日,意大利个人数据保护局下令暂时限制ChatGPT的使用,4月3日德国联邦数据保护专员发言人称,出于数据保护方面的考虑,暂时禁止在德国使用ChatGPT原则上是可能的。4月11日,中国国家互联网信息办公室(以下简称“网信办”)于就《生成式人工智能服务管理办法(征求意见稿)》公开征求意见。如是种种,都体现了全球对生成式人工智能深深的担忧,以及对生成式人工智能治理的深入推进。本文将梳理和比较欧盟《人工智能法案》与我国人工智能相关法律法规中的要点,以期能给读者些许启发。
一、立法进程
如引言所述,全球各法域都紧密关注人工智能的治理,人工智能的相关立法正在紧锣密鼓的开展中。
(一)欧盟《人工智能法案》
2021年4月21日,欧盟委员会发布了欧洲议会和理事会《关于制定人工智能统一规则》的立法提案(以下简称《人工智能法案》)[2],意在建立关于人工智能技术的统一规则,以促进形成合法、安全、可信的人工智能市场。之后,2022年7月,捷克接任欧盟轮值主席国[3],根据各代表团的反馈编写了《人工智能法案》折衷草案的第二、三、四版,并于2022年12月提交该折衷草案的最终版本[4]。
欧盟《人工智能法案》的折衷方案相较于最初草案,采取了相对宽松的态度,以避免高风险人工智能系统覆盖范围的矫枉过正,沉重的合规压力可能会给人工智能开发公司过高的隐性成本,从而打击在人工智能开发领域的百花齐放,导致只有巨型公司才有资本介入该领域。而当下折衷方案对细节的调整也体现了欧盟对人工智能发展的态度从重监管到重发展的转变。
(二)中国的立法进程
近年来,网信办作为互联网信息服务均等主要监管机关,密集出台了在人工智能领域的相关规定。
2021年12月31日国家互联网信息办公室、工业和信息化部、公安部和国家市场监督管理总局共同发布的《互联网信息服务算法推荐管理规定》(以下简称“《算法管理规定》”)。根据《算法管理规定》,中国对算法推荐服务实施备案管理制度。该规定项下的算法推荐技术包括:“利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息”。
2022年11月25日,国家互联网信息办公室、工业和信息化部和公安部共同发布了《互联网信息服务深度合成管理规定》(“《深度合成规定》”),进一步就深度合成服务的数据和技术管理规范作出细化规定。
2023年4月11日,网信办发布《生成式人工智能服务管理办法(征求意见稿)》(以下简称《办法》),向社会公开征求意见,意见反馈截止时间为2023年5月10日。该《办法》的落地意味着生成式人工智能正式纳入网信办监管范畴。
二、人工智能系统的定义
(一)欧盟的定义
1. “人工智能”的定义和范围
起先,人工智能系统最早被定义为特定类型的“软件”,但未被采纳。当前,《人工智能法案》的折衷版本第3(1)条中,人工智能系统的定义被缩小为“机器学习或基于逻辑和知识的系统”,明确了人工智能系统与传统计算机系统的边界。该版本还删除了附件一和委员会通过更新法案以修改人工智能系统定义的授权,并于第4条增加了“实施细则”,以便后续立法提案添加与人工智能系统定义相关的技术要素,确保人工智能系统定义的灵活性与时效性。
- 人工智能的分类及变动
另外,《人工智能法案》提出了“以风险为路径”[5]的监管治理思路。根据人工智能系统对人身权利可能产生威胁程度,《人工智能法案》将其分为三类:(1)不可接受的风险;(2)高风险;(3)低风险&最小风险。该等思路也获得了欧洲数据保护委员会及欧洲数据保护专员公署的肯定。
《人工智能法案》对某些关键领域和用例的人工智能系统自动分类为高风险,此外欧洲议会另增加了一个标准,即人工智能系统只有在对健康、安全或基本权利构成重大风险的情况下才会被视为高风险。
当前该法案下,高风险人工智能系统包括:(1)可能危及人类生命和健康的关键基础设施领域;(2)教育和职业培训领域:包括招生录取、考试评定等;(3)就业领域:包括招聘(简历评估)、升值(工作任务分配与评估)、解雇以及建立合同关系等;(4)社会保障领域:包括获得信用评分系统等金融服务信息;(5)执法领域:包括测谎仪、情绪状态监测、犯罪风险评估等;(6)移民与边境管理:包括核实旅行证件的真实性等;(7)司法领域:帮助司法部门研究、解释事实和法律等。
同时,如果高风险人工智能系统涉及若干重要应用领域,其需要遵守更高的技术要求与审计义务,包括创建和维护系统整个生命周期的风险管理系统、测试系统以识别风险、建立数据治理控制机制、购买并维护质量管理系统、技术文件维护等义务。此外,折衷方案之中还阐明了《人工智能法案》与其他部门法之间关系,以确保责任主体权利义务的边界更加明晰。
(二)中国的定义
1. “人工智能”的定义
在立法层面,现行法律法规和规范性文件及相关征求意见稿并未直接对“人工”智能给出定义。2021年1月,全国信息安全标准化技术委员会发布的《网络安全标准实践指南——人工智能伦理安全风险防范指引》(TC260-PG-20211A)在技术层面上,对于“人工智能”给出的定义为:“利用计算机或其控制的设备,通过感知环境、获取知识、推导演绎等方法,对人类智能的模拟、延伸或扩展”。
2. 生成式人工智能的定义
《办法》对于生成式人工智能给出了明确的定义:“指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术”。
三、适用范围
(一)《人工智能法案》适用范围
《人工智能法案》第2条明确对于国家安全与防御和军事目的的人工智能系统将不适用该法案。而且,对于仅用于研发目的和非专业目的的人工智能系统仅需要遵守透明度义务,即设计有足够的透明度,允许输出用户解释系统。
另外,第3条对远程生物特征识别进行了一定的调整,进一步明确了禁止和高风险类别的范围界限,在保障执法机构在职务行为中使用高风险人工智能系统必要性的同时,并赋予了其在使用方面的灵活性。
(二)《办法》的适用范围
《办法》适用的地域范围为中国境内;针对的并非生成式人工智能这一技术,而是利用生成式人工智能产品提供的“服务”。
四、对生成式人工智能的治理
(一)知识产权保护
知识产权保护是生成式人工智能所面临的一大挑战。例如。目前世界各法域均未对AIGC是否可以成为作品该问题进行规定。
1. 欧盟
如引文所述,欧盟议会的临时协议设立了版权保护规则。另外,早在2020年,欧盟委员会曾发布报告认为,版权法和专利法的现有概念、规则足够抽象和灵活,AIGC可以适用现行法律。[6]生成式人工智能需要大量的训练数据进行喂养,而披露是否使用了版权保护的材料有助于保护第三方的合法权益,并且有效规制企业 “免费”使用了他人的智力成果,但这同时也给企业带了极高的合规成本,在海量的训练数据进行筛选并披露无疑是一个难如登天的任务。
2. 中国
一方面,《办法》为生成式人工智能服务设定了尊重知识产权、防止侵害知识产权的原则;另一方面,《办法》从训练数据层面规定禁止训练数据含有侵犯知识产权的内容。
(二)数据管理和隐私保护
生成式人工智能作为一种人工智能技术,其底层支持是来自于对用户数据的收集,在我们使用生成式人工智能过程中个人隐私可能在不经意之间就被泄露出去。
1. 欧盟
《人工智能法案》与史上最严格数据保护规定——欧盟《通用数据保护条例》(“GDPR”)保持一致。2022年12月,欧盟理事会(EU Council)通过了关于《人工智能法案》的共同立场,指出生成式AI模型应保护隐私,也单独提出禁止在执法、周边环境管理、工作场所和教育领域,使用情识别类人工智能软件;此外,要求模范守护的原则包括人员力量代理和监督、技术稳定健康和安全性、透明度、多种性、不平等和公平、尊重言论自由等[7]。
2. 中国
《办法》除原则性地要求生成式人工智能服务尊重他人合法利益,防止伤害他人个人隐私外,还要求服务提供者建立投诉处置机制,及时处置个人关于更正、删除、屏蔽其个人信息的请求;发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密,或者不符合本办法要求时,应当采取措施,停止生成,防止危害持续。
(三)责任主体
1. 欧盟
《人工智能法案》规制AI价值链上的多个参与主体,包括欧盟境内或第三国向欧盟市场提供AI系统服务的提供者、欧盟境内AI系统的使用者、以及输出内容在欧盟境内被使用的第三国AI系统的提供者和使用者。
2. 中国
《办法》把生成式人工智能的服务提供者列为了AIGC生产和个人信息保护的责任主体。
《办法》第五条规定:“利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(以下称“提供者”),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。”
《办法》第十五条更对生成式人工智能生成不当内容的后续处理作出要求。第十五条规定:“对于运行中发现、用户举报的不符合本办法要求的生成内容,除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成。”
结语
当下,由于生成式人工智能迅猛的发展势头,在各行各业的影响与日俱增,导致全球各个法域都聚焦于此,倡导合规发展。我们始终认为,唯有立法监管与技术并行发展,才能实现生成式人工智能健康、有序、长远的发展。
[注]
[1] https://www.reuters.com/technology/eu-lawmakers-committee-reaches-deal-artificial-intelligence-act-2023-04-27/
[2] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS, See https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0206.
[3] Czech Republic assumes six-month EU Council presidency, See https://english.news.cn/europe/20220702/79e4f720ef434644b4ce2bdc6d4415ba/c.html.
[4] Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts - General approach (6 December 2022), See https://data.consilium.europa.eu/doc/document/ST-15698-2022-INIT/EN/pdf.
[5] Proposal for a Regulation of the European Parliament and of the Council laying down harmonized rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative Acts, European Commission, p3.
[6] 2020年,欧盟委员会报告Trends and Developments in Artificial Intelligence – Challenges to the Intellectual Property Rights Framework,第5页,ABSTRACT第二段,“The Report concludes that the current state of the art in AI does not require or justify immediate substantive changes in copyright and patent law in Europe. The existing concepts of copyright and patent law are sufficiently abstract and flexible to meet the current challenges from AI. In addition, related rights regimes potentially extend to “authorless” AI productions in a variety of sectors, and the sui generis database right may offer protection to AI-produced databases resulting from substantial investment. ”
[7] Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts - General approach,第33条。
