热搜产品

AI统一监管:欧盟的雄心与私心

2025-02-27 4


2021年4月21日,欧盟委员会公布了全球首部全面监管人工智能(“AI”)的立法草案,即《欧洲议会和理事会关于制定人工智能统一规则(人工智能法)和修正某些欧盟立法的条例的建议案》(Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts, 以下简称“AI法案”),引发了各界的关注和讨论。

 

经过数次讨论和修订,欧盟理事会于2022年12月6日通过经其修订后形成的折衷文本(compromise text)。欧洲议会原定于2023年3月底对折衷文本进行投票,并于4月开始欧洲议会、理事会和欧盟委员会之间的三方会谈(trilogue)程序,但目前欧洲议会分歧较大,比如对高风险AI的范围界定就是争议焦点之一,尤其是,最近广受关注的ChatGPT这类通用AI是否该列入高风险AI类别,各方意见不一。因此,整体立法进度推迟,何时能够走完立法程序获得正式批准的不确定性增加。

 

尽管如此,考虑到AI法案可能带来的立法示范效应和执法外部效应,有必要对AI法案进行深入研究。在前文《??中美欧人工智能法律监管概览》的基础上,本文将从治理目标、监管方法、适用范围、高风险AI治理以及监管机制等方面展开,对欧盟的AI法案进行详细介绍,并从中国视角给出评论。

,
,
,
,
,
,
,
,
,
,
,
,
,

 

,

 

,

(一)治理目标

,

 

,

 

,

1. 保护符合欧盟价值观的基本人权

,
,

2. 维护欧盟的数字主权和科技领导地位

,
,

 

,

 

,

(二)监管方法

,

 

,

 

,

1. 风险监管方法

,
,

2. 统一监管方法

,
,
,
,
,
,
,
,
,
,
,
,
,
,

 

,

 

,

(一)适用客体

,

 

,

 

,

1

作为产品或系统的安全组件或其本身属于产品或系统的高风险AI系统,其已受到欧盟关于特定行业产品安全立法的规制,如航空、汽车、铁路、机动车、船舶行业中使用的产品或系统;

,

2

专门为军事目的而开发或使用的AI系统;

,

3

第三国公共机构或国际组织在国际协定的框架下使用受AI法案约束的AI系统与欧盟或其成员国进行执法和司法合作。

,

 

,

 

,

(二)适用主体

,

 

,

 

,

1

以自身名义或商标将高风险AI系统投放市场或投入服务;

,

2

修改已经投放市场或投入服务的高风险AI系统的预期用途;

,

3

对高风险AI系统进行重大修改。

,

 

,

 

,

(三)适用地域

,

 

,

 

,

域内效力:AI系统的提供者在欧盟境内将AI系统投放市场或投入服务(无论提供者是否在欧盟境内设立),或者AI系统的使用者位于欧盟境内。例如,OpenAI将其运营的ChatGPT开放给欧盟的用户使用,即属于在欧盟投放市场或投入服务,OpenAI将受AI法案约束。

,

域外效力:AI系统的提供者及使用者均位于第三国,但系统输出的结果在欧盟境内使用。例如,境外经营者在欧盟境外使用AI系统对位于欧盟的个人的信用情况进行评分并以此决定对该等个人的授信额度,则该境外经营者的行为将受到AI法案的约束。

,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,

 

,

 

,

(一)系统开发设计

,

 

,

 

,

1. 建立实施风险管理体系

,
,

2. 建立实施质量管理体系

,
,

3. 开展数据治理

,
,

4. 编制并更新技术文档

,
,

5. 保存系统运行日志

,
,

6. 保证透明度和信息披露

,
,

7. 实施人为监督

,
,

1

在技术上可行的情况下,提供者在将高风险AI系统投放市场或投入使用之前,由提供者确定人为监督工具并将其嵌入系统;

,

2

提供者在将高风险AI投放市场或投入使用之前,由提供者进行识别,由使用者实施人为监督,但前提为使用者适合开展监督工作。

,

8. 保障系统的准确性、健壮性和网络安全

,
,

 

,

 

,

(二)系统上市准备

,

 

,

 

,

1. 开展符合性评估及声明

,
,

1

针对个人生物识别和分类系统,提供者如已应用欧盟协调标准(即由欧洲标准化委员会(CEN)、欧洲电工标准化委员会(CENELEC)及欧洲电信标准协会(ETSI)制定并经批准实施的欧洲标准)或欧盟委员会制定的通用规范,则其自行开展基于内控的符合性评估(即自评估)即可;如提供者未应用或未完全应用欧盟协调标准,或不存在欧盟协调标准或通用规范,则应由提供者自主选择的第三方符合性评估机构实施基于质量管理体系和技术文件的符合性评估(即外部评估),但欧盟公共机构不可自主选择符合性评估机构;

,

2

针对除个人生物识别和分类系统之外的其他七类独立高风险AI系统(例如涉及关键基础设施、教育、就业的AI系统),提供者开展自评估即可;

,

3

针对在欧盟统一立法规制范围内作为产品安全组件或本身属于产品的高风险AI系统,如其适用的特定行业立法规定了符合性评估程序,则在对其进行评估时,应将AI法案的合规要求涵盖在内。如上述特定行业立法规定产品制造商可以退出第三方符合性评估,则该产品制造商只有在符合欧盟协调标准或通用规范的情况下方可退出评估。

,

2. 贴附CE标识和数据库登记

,
,

 

,

 

,

(三)系统上市之后

,

 

,

 

,

1. 监测上市后风险

,
,

2. 采取纠正措施

,
,

3. 报告风险事件

,
,

4. 配合监管

,
,
,
,
,
,
,
,
,
,
,
,
,
,

 

,

 

,

(一)新设机构

,

 

,

 

,

 

,

 

,

(二)监管协调

,

 

,

 

,

 

,

 

,

(三)行政处罚

,

 

,

 

,

1

如果违反有关禁止使用人工智能的要求或者有关数据质量的要求,则最高将面临3000万欧元的处罚或者企业上一年度全球营业额6%的处罚,以较高者为准;

,

2

如违反AI法案规定的其他要求,则最高将面临2000万欧元的处罚或者企业上一年度全球营业额4%的处罚,以较高者为准;

,

3

在答复请求时,如向符合性评估机构或成员国主管机关提供不正确、不完整或误导性信息,则最高将面临1000万欧元的处罚或企业上一年度全球营业额2%的处罚,以较高者为准。

,
,
,
,
,
,
,
,
,
,
,
,
,

1

AI法案的很多内容是从1980年代的消费者法规中拼凑而来的,不适用于当前的AI技术和应用;

,

2

AI法案对于操纵性和有害的AI系统的限制不够严格,甚至允许在欧盟境外使用这些系统;

,

3

AI法案过于依赖于协调标准的制定和执行,而没有明确规定监管机构的职责和权力;

,

4

AI法案对于生物识别系统和情感识别系统的规范不够清晰和科学,可能导致对隐私和人权的侵犯;

,

5

AI法案没有充分考虑AI系统对于社会福利、环境、媒体等领域的影响,没有提出有效的保障措施。

,

1

仅监管实际投入市场的AI产品,单纯的AI研发活动不纳入监管范围;

,

2

监管应全面覆盖AI价值链的各关键角色和业务环节,明确各方权利义务和责任归属;

,

3

根据风险分级治理,区别监管不同风险等级的AI产品;

,

4

倡导制定和遵守标准与行为准则,兼顾灵活性和可执行性。

To Top