当地时间9月19日,瑞典隆德大学举行主题为“欧盟《人工智能法案》——遵守与执行”(European AI Act—Compliance and Enforcement)的研讨会,旨在组织专家学者探讨如何更好地遵守与执行近日生效的欧盟《人工智能法案》。
欧盟《人工智能法案》于8月1日正式生效,是全球首部全面监管人工智能的法规。该法案旨在确保人工智能系统尊重基本权利、安全和道德原则,并有效应对人工智能模型所带来的风险,从而推动欧洲乃至世界其他地区采用可信赖的人工智能。
欧盟《人工智能法案》与此前推出的“一揽子人工智能创新计划”(AI Innovation Package)及“人工智能协调计划”(Coordinated Plan on AI)一道,同属欧盟为支持发展可信赖的人工智能而采取的政策措施。这些措施可以共同保障个人和企业在人工智能领域的安全和基本权利,并加强欧盟对人工智能的吸收、投资与创新。
根据风险等级进行管控
人工智能的迅速发展及广泛应用带来了诸多益处,健康医疗、交通、制造业等众多行业都在人工智能的助力下得到了长足发展。与此同时,人工智能也对数据保护、隐私权、知识产权等带来挑战。例如,生成式人工智能“深度伪造”技术,可以制造虚假图片、视频和音频信息。人工智能的算法歧视,如性别歧视、种族歧视、年龄歧视、消费歧视等,亦造成负面社会影响。
瑞典乌普萨拉大学商学系副教授哈乔·迈克尔·霍尔茨(Hajo Michael Holtz)对本报记者表示:“人工智能技术整体而言在社会层面提出了很多根本性的问题。我认为最实际的问题是人工智能模型或系统开发部署背景下的数据保护问题。”他表示,人工智能歧视也是一种普遍的风险,普通人担心自己会受到人工智能的歧视。但他认为人工智能歧视更多是一种抽象的风险,而人工智能对数据保护带来的挑战则更为切实。
欧盟《人工智能法案》对人工智能系统造成的影响风险进行分类,并根据风险类型明确人工智能提供者与用户相应的责任义务。霍尔茨与隆德大学商业法研究中心研究员乔纳斯·莱登达尔(Jonas Ledendal)在会上指出,根据风险类型明确责任义务与监管规则是欧盟《人工智能法案》的一大特点。他们在演讲中讨论了欧盟《人工智能法案》对数据保护的影响,并比较了该法案与欧盟《通用数据保护条例》的异同。他们认为,欧盟《人工智能法案》更多是基于风险而考量,关注产品的安全性,而欧盟《通用数据保护条例》则更多关注的是个人相关权利。
欧盟《人工智能法案》将人工智能的风险划分为四类:不可接受的风险、高风险、有限风险以及低风险。
不可接受的风险是指一些人工智能系统会对人类造成威胁,因而会被直接禁用,但是,出于执法目的,可能会允许一些例外存在。具体而言,操纵包括特定弱势群体在内的人的认知行为的人工智能系统属于不可接受的风险,如鼓励儿童危险行为的声控玩具。社会评分(social scoring),即根据行为、社会经济地位或个人特征对人们进行分类,也属于不可接受的风险。
对于安全或基本权利造成负面影响的人工智能系统属于高风险。例如,应用于关键性基础设施、可能威胁人类生命健康安全的人工智能技术;运用于教育或职业培训,可以决定个人受教育机会以及职业生涯的人工智能技术,如考试评分系统;应用于产品安全组件者,如人工智能在机器人辅助手术中的应用;在就业、工人管理和自营职业领域,如招聘程序中的简历分类软件;基本私人服务和公共服务领域,如决定个人是否可以获得贷款的信用评分系统;可能干扰人们基本权利的执法,如运用人工智能评估证据的可靠性;移民、庇护和边境管制领域,如对于签证申请的自动审查系统;司法行政和民主程序,如搜索法院裁决的人工智能解决方案。
该法案规定,高风险的人工智能系统必须经过评估才可投放市场,而且需要终身接受评估。它必须严格遵守的相关义务包括:要有充分的风险评估和缓解系统;为系统提供高质量的数据集,从而最大限度地减少风险和歧视性结果;记录活动以确保结果的可追溯性;要有详细文件,提供人工智能系统及其目的相关所有必要信息,以便当局评估其合规性;向部署者提供清晰且充分的信息;采取适当的人力监督措施以尽量减少风险;确保高水平的稳健性、安全性和准确性。
有限风险是指由于人工智能的使用缺乏透明度所带来的风险。欧盟《人工智能法案》引入了具体的透明度义务,以确保人们在必要时了解相关情况,从而培养信任。例如,当使用聊天机器人等人工智能系统时,应该告知人们他们正在与机器交流,以便他们自行决定是否要继续下去。提供商还必须确保人工智能生成的内容是可识别的。此外,告知公众涉及公共利益的问题时,如果使用人工智能生成的文本,则必须作出标识。用“深度伪造”技术生成的音频和视频内容也必须作出标识。
英国纽卡斯尔大学荣休教授莉莲·爱德华兹(Lilian Edwards)在会上重点讲述了ChatGPT等大语言模型所存在的人工智能幻觉(AI hallucinations)问题:大语言模型可能产生虚假信息或错误信息。爱德华兹援引多条新闻报道说明人工智能幻觉的严重性。例如,有的人工智能模型捏造出现实人物所不曾说过的话,甚至捏造出现实人物不曾犯过的罪行,对当事人造成了名誉侵害。莱登达尔与霍尔茨也援引新闻报道指出,ChatGPT会提供虚假信息,然而其开发者美国开放人工智能研究中心(OpenAI)却无法纠正这个问题。他们与爱德华兹均提到,由于ChatGPT在隐私权方面的隐患以及违反欧盟的《通用数据保护条例》,意大利曾经一度禁用ChatGPT。爱德华兹甚至认为,人工智能幻觉不只是大语言模型的程序漏洞,而是大语言模型的一个特点。
欧盟《人工智能法案》允许使用低风险的人工智能,例如人工智能视频游戏、垃圾邮件过滤器等应用程序。目前欧盟使用的绝大多数人工智能系统都属于低风险一类。但欧盟相关专家也指出,尽管很多人工智能系统造成的风险较低,但仍然需要进行相应评估。
法案存在局限性
专家学者们既对欧盟《人工智能法案》给予了一定肯定,也指出了其不足之处。挪威奥斯陆城市大学商学院副教授丽贝卡·施密特(Rebecca Schmidt)对本报记者表示,该法案可谓第一个针对人工智能的重大监管措施,它开创了一个先例来有效应对人工智能技术可能带来的风险。霍尔茨也称,该法案是针对人工智能全面立法的首次尝试,不过目前尚不清楚它是否会成功。
学者们从不同角度指出了欧盟《人工智能法案》的不足之处。霍尔茨从数据保护方面提出,目前看来,现有的数据保护规则,包括欧盟《通用数据保护条例》在很大程度上与人工智能这项新技术兼容性不够。欧盟《通用数据保护条例》所规定的个人享有的更正权和删除权无法对人工智能进行很好的管控,而欧盟《人工智能法案》并没有真正解决这个问题。
霍尔茨进一步指出,欧盟《人工智能法案》尽管在名义上规定要禁止特别是有害的人工智能应用,但是实际上又允许不少例外存在,这就意味着欧盟成员国还是有可能允许使用此类人工智能应用。“存在例外的禁令,价值几何?”霍尔茨对记者如是说。
隆德大学法学院国际公法研究员安娜·尼尔森(Anna Nilsson)从人工智能歧视的角度提出,欧盟《人工智能法案》没有对人工智能歧视作出定义,但是确认了人工智能歧视会带来可预见的风险,并且提出应缓解这种风险。尼尔森还表示,算法歧视难以察觉,而人们需要针对算法歧视问题完善相关法律。
施密特表示:“人工智能技术不断变化、日新月异,然而立法过程却并非如此。”她举例说,当ChatGPT横空出世时,她的同事都认为ChatGPT带来的问题迫切需要得到解决。然而欧盟《人工智能法案》最初起草的时候尚不足以解决这类问题,所以就必须进行调整。这表明,立法需要不断调整。
确保法案得到执行
霍尔茨认为,决定欧盟《人工智能法案》如何执行的一个重要问题是各成员国将如何委派人工智能系统的市场监督机构,欧盟及其成员国都在讨论目前的数据保护权威机构是否也应该成为人工智能的市场监督机构。
法案的遵守与执行离不开私营部门的合作。施密特表示,目前,欧盟正在制定协调标准(harmonized standards),欧盟委员会也将出台指导方针。欧盟法规对于协调标准的定义是,根据欧盟委员会提出的欧盟协调立法的要求而采用的欧洲标准,而欧洲标准则是指欧洲标准化组织采用的标准。
施密特希望相关行为准则得以确立,以便进一步指导私营部门实施欧盟《人工智能法案》。“我认为协调标准至关重要,因为如果一切按计划进行,那么特别是针对高风险人工智能所应承担的核心义务就基本可以按照协调标准来实施。”霍尔茨则认为,通过外部机构制定协调标准或行为准则,私营部门将迎来大显身手的好机会。施密特也建议,应根据相关立法与相关产业展开对话,探讨人工智能未来的发展。
施密特认为,未来可能需要制定更多针对特定行业的法规,而这可能也对欧盟《人工智能法案》提出了挑战。该法案涵盖了人工智能的各个方面,但不同行业可能需要涉及人工智能使用的更具体的规则,例如边境管制就可能需要特定规则。因此,有必要对特定行业作出进一步明确规定。
施密特表示,欧盟《人工智能法案》面向未来,体现出监管应适应未来发展。这当中存在很多不确定性,目前尚不清楚未来某些事情将如何监管。“我认为这将是一个挑战,但不见得是一件坏事。不过,这是我们在前进过程中必须弄清楚的事情。”