从比较分析视角解读欧盟《人工智能法案》

来源:大数据法律研究

文章摘要
2024年7月12日,欧盟官方公报正式印发了具有里程碑意义的《欧洲人工智能法案》(以下简称《AI法案》),旨在规范人工智能的发展和应用,确保其安全性、透明性和可信赖性。

2024年7月12日,欧盟官方公报正式印发了具有里程碑意义的《欧洲人工智能法案》(以下简称《AI法案》),旨在规范人工智能的发展和应用,确保其安全性、透明性和可信赖性。本文将深入剖析《AI法案》的核心内容,包括其对人工智能系统的分类、风险管理和责任划分等方面的规定,并与中国现行的人工智能法律体系进行对比分析,探讨其对我国人工智能法律体系完善的启示和借鉴意义。
一、欧盟《人工智能法案》概述
2021年4月21日,欧盟委员会率先提出了一项重要的法律草案——《人工智能法案》。该草案不仅引入了人工智能系统的技术中立定义,还建议根据人工智能系统风险等级实施相应的监管措施。经过三年的审议与修订,该法案于2024年3月在欧洲议会得到通过,并于同年5月获得理事会的正式批准。作为欧盟在人工智能领域的首部综合立法,该法案旨在为欧盟成员国在“人工智能系统的开发、投放和使用”等方面提供一个统一的法律框架。
《人工智能法案》共13章113条,其核心在于采用基于风险的方法,对不同风险级别的人工智能系统进行分类监管。这一法案涵盖了人工智能系统在欧盟使用的一般规则、禁止的人工智能实践、高风险人工智能系统的合规要求以及通用人工智能模型投放市场的具体规则等内容。《人工智能法案》将于2024年 8月 1 日起生效,为了确保法案的平稳实施与各方有效适应,欧盟规划了分阶段、逐步推进的实施路径,具体时间节点参见下图。

二、我国人工智能监管体系及实践情况
近年来,我国不断推进人工智能领域的法律体系建设,逐步构建起一套较为完善的监管体系。2023年8月15日,我国首部专门针对人工智能领域的部门规章——《生成式人工智能服务管理暂行办法》(以下简称《暂行办法》)正式施行。这一规定的实施,不仅标志着我国在人工智能监管领域迈出的重要一步,同时也为人工智能行业的健康发展提供了坚实的法律基础。
与此同时,我国通过《网络安全法》《数据安全法》《个人信息保护法》以及《互联网信息服务深度合成管理规定》等一系列法律法规和部门规章共同构建了一个坚实的人工智能领域法律框架,确保人工智能技术在安全性和合规性方面受到严格监管。在此基础上,为了进一步细化和落实相关法律法规,全国网络安全标准化技术委员会颁布了一系列技术文件及标准,如《生成式人工智能服务安全基本要求》(TC260-003)、《网络安全技术生成式人工智能数据标注安全规范》(征求意见稿)、《网络安全技术生成式人工智能预训练和优化训练数据安全规范》(征求意见稿),这些文件明确了人工智能技术在不同开发阶段的安全标准和操作规范,为人工智能技术的规范应用提供具体指导。
在实践层面,各地正积极推进人工智能领域的执法实践,并不断探索新的监管模式。以重庆市九龙坡区网信办的执法行动为例,针对AIGC生成内容的合规性问题,该网信办在全国范围内首次对生成式人工智能服务提供者开出罚单,责令其限期全面整改,加强信息内容审核,健全信息内容安全管理相关制度,并暂停网站信息更新及AI算法生成式写作功能15日。这一事件不仅展示了我国在人工智能监管方面的严格态度,也为其他地区提供了执法经验和参考。
三、我国与欧盟在人工智能法律制度上的差异
(一)风险分级体系
《暂行办法》第3条明确提出,对生成式人工智能(AIGC)服务实施“包容审慎和分类分级监管”的原则。同时,要求国家相关主管部门依据AIGC技术的特性及其在不同行业和领域的应用情况,制定相应的分类分级监管规则或指引。根据《暂行办法》的规定,提供具有舆论属性或者社会动员能力的AIGC服务的,应当按照国家有关规定开展安全评估和算法备案。当前,我国在数据算法领域已初步划分为生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等五大类别。然而,针对人工智能领域的全面分类分级规则尚待进一步制定,欧盟《AI法案》对人工智能系统的分类分级措施可为我国制定相关政策时提供参考。
《AI法案》根据人工智能系统对用户和社会的潜在影响程度,将其划分为4个风险级别:不可接受风险(unacceptable risk)、高风险(high risk)、有限风险(limited risk)及最小风险(minimal risk),规定了相应的合规义务和法律责任:

(二)责任主体划分
我国《暂行办法》的主要规制对象是AIGC服务提供者,即利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。此外,根据《互联网信息服务深度合成管理规定》以及相关的大模型备案实践,人工智能产业链中的责任主体还应扩展至人工智能服务的技术支持者,即为人工智能服务提供技术支撑的组织和个人。
相较而言,欧盟《AI法案》在责任主体的界定上更为细致和全面。该法案不仅对人工智能系统的提供者设定了具体要求,还将责任范围扩大到部署者(deployer)、授权代表(authorized representative)、进口商(importer)、分销商(distributor)以及产品制造商(product manufacturer)等多方主体。这一划分策略旨在确保人工智能技术的全生命周期——从研发、部署到市场流通的每一个环节,都能得到有效监管。不同责任主体承担的义务也有所不同,例如,该法案要求进口商在投放高风险人工智能系统后的十年内,必须妥善保管由制定机构颁发的合规证书(若适用)、使用说明及相关声明文件的副本(第23条);除产品制造商外,其他责任主体一旦发现高风险系统未能满足法案要求,必须迅速采取行动,包括实施必要的纠正措施以符合标准,或必要时进行产品撤回与召回,以维护市场秩序与消费者权益(第20条)。
(三)数据保护要求
对于人工智能领域的数据保护,我国主要通过《数据安全法》和《个人信息保护法》予以规制。我国监管模式侧重于对 AIGC 服务提供者的直接监管,确保其合规使用数据并保护个人信息。例如,服务提供者必须使用合法来源的数据,并采取有效措施提高训练数据的质量。在涉及处理个人信息的情况下,服务提供者需依法承担个人信息处理者的责任,履行个人信息保护义务。
欧盟《AI法案》则采取了更全面的风险管理方法,将数据保护贯穿于AI产业链的各环节。在人工智能系统的生命周期中,数据保护的角色和责任随着不同阶段的变化而相应调整。根据《AI法案》,系统开发阶段的人工智能系统或模型提供者被视作《通用数据保护条例》(GDPR)所定义的数据控制者。这意味着这些主体须确保在设计和开发过程中遵守GDPR相关要求,从而保障个人数据的安全和隐私。当人工智能系统进入部署或使用阶段时,责任则扩大至部署或使用该系统处理个人数据的实体。此外,《AI法案》还允许在特定情况下处理特殊类别的个人数据(即敏感数据)。根据第10条第5款规定,在确保与高风险人工智能系统相关的偏差检测和纠正的严格必要范围内,此类系统的提供者可例外处理GDPR中规定的特殊类别的个人数据。然而,这种例外必须在适当保障自然人的基本权利和自由的前提下进行。
四、《人工智能法案》对我国的启示
(一)分类分级监管措施的具体落地
欧盟《AI法案》通过实施基于风险的分类分级监管策略,构建了一个清晰的监管框架,为我国在人工智能领域的监管提供了宝贵的参考。目前,我国在人工智能分类分级监管方面尚缺乏明确的实施细则。面对这一挑战,可借鉴欧盟《AI法案》的金字塔模型,构建一套更加全面、精细的分类分级监管框架。这一框架应综合考虑人工智能技术特点、多元化应用场景、以及可能带来的风险与危害,如隐私泄露、算法偏见、安全漏洞等,将不同的人工智能产品和服务划分为不同的风险等级。通过实施精细化的分类分级监管,不仅能够有效应对各类风险与挑战,还能推动人工智能产业在法治轨道上持续健康发展。
(二)出海企业需明确自身角色定位
与我国对人工智能领域责任主体的宽泛划分不同,欧盟《AI法案》以其详尽的条款,为人工智能系统的提供者、部署者、分销商及进口商等各环节主体划定了清晰的责任边界。对于我国积极寻求海外拓展的人工智能企业而言,应首先确定自身在人工智能产业链中的角色定位,无论是作为技术的开发者、系统的部署者,还是市场的开拓者,都应清晰界定自己的角色和职责范围。在此基础上,企业应积极学习并深入理解《AI法案》中的相关条款,确保自身业务活动符合欧盟乃至其他国际市场的合规要求,包括但不限于技术透明度、数据保护、风险评估与管理等多个方面。
(三)出海企业需持续推进合规建设
随着人工智能技术的广泛应用,数据安全和个人隐私保护问题日益凸显。出海企业在拓展国际市场时,必须严格遵守数据保护有关规则,确保数据处理活动的合法性、透明性和安全性。欧盟《AI法案》多次强调人工智能系统提供者的透明度义务,并要求企业建立完善的风险管理体系,全面评估并控制人工智能系统在运行过程中可能带来的风险。
因此,企业需持续推进内部合规建设,不仅要在技术层面确保人工智能系统的运行透明、可追溯,更要在管理层面构建全方位、多层次的风险防控机制,全面审视并有效管控人工智能应用过程中可能引发的各类风险。此外,企业还应完善数据治理体系,从源头上把控数据质量,确保用于训练人工智能模型的数据既合法合规又具备高质量,为人工智能技术的合规应用奠定坚实基础。人工智能企业在追求全球化发展的过程中,应将合规建设视为其核心竞争力的重要组成部分,通过完善人工智能系统全生命周期的合规建设,以更加稳健的步伐迈向更加广阔的国际市场。

技术驱动法律,专业成就未来