“让我们享受一个漫长的AI之夏,而不是毫无准备陷入秋天。”当AI点燃新一轮技术革命之火,如何规范AI往安全可控方向发展,成为横亘在各国政府和业界面前的一大课题。
8月初,欧盟《人工智能法案》正式生效,这是全球首部全面监管人工智能的法规。欧盟内部市场委员蒂埃里·布雷东评价该法案为“一个有效、适度且全球首创的人工智能框架”。
为了规范AI应用,该法案的核心在于采取风险分级的方式,将人工智能系统分为禁止、高风险、有限风险和最低风险四类,并据此设定不同的合规标准。同时,该法案还试图把通用大模型关进“监管的笼子”,要求具有“系统性风险”的通用人工智能(GPAI)承担更多的合规义务。
对有违规行为的企业,欧盟最高将对其处以3500万欧元或全球年营业额7%的罚款,取二者中的较高值。
尽管该法案的大多数条款要到2026年才会生效实施,但欧盟的法律法规向来被认为有着“布鲁塞尔效应”,即消费市场规模越大、越富裕,出口企业就越有可能遵守其标准,影响力波及全球。随着全球首部AI法案正式生效,新规会把AI治理带向何方?科技企业又需如何构筑合规的壁垒?
谁先受波及?
一定程度上,欧盟AI法案是勉强达成共识的产物。“去年年底,欧洲议会、欧盟成员国和欧盟委员会三方就AI法案进行最后一轮谈判时,还有21个政策分歧要谈,这显然远远超出正常范畴,即使缩小至7个争议条款,在三天三夜的时间里全部解决都不太可能。”同济大学法学院助理教授、上海市人工智能社会治理协同创新中心研究员朱悦告诉21世纪经济报道记者,所以法案还是留下了很多有待完善的地方,各方只是把共识打包成了一个法案,直到今年3月提交欧洲议会通过前都还在修改调整。仓促之下,目前数百页的AI法案更像是一份监管目录,留下许多实施标准和细则有待充实。
而构成该法案核心框架之一的,就是风险分级监管。AI系统被分为四个风险级别,分别为被禁止的、高风险、有限风险和最低风险,每个级别都有相应合规要求。
若风险高到不能被接受,例如操控人类的认知、社会评分、预测犯罪行为等等,则此类AI的使用将被禁止。“高风险”主要是被认为对健康、安全、基本权利和法治构成重大威胁的AI,比如自动驾驶车辆、医疗设备、贷款决策系统和远程生物识别系统等,就须遵守最严格的义务规范。被归类为“有限风险”则属不会构成任何严重威胁的AI,仅需确保其达到法案要求的公开透明度。其他像是电子游戏或垃圾邮件过滤器等“最小风险”AI就被允许自由使用。
据悉,不可接受风险的AI系统禁令将在生效6个月后即适用,其他大部分条款,包括针对高风险AI系统的义务,则需要在公布后36个月后才能执行。
外界普遍关心的是,哪些企业会被划入高风险、严监管的范畴?
欧盟委员会发言人Thomas Regnier表示,大约85%的人工智能公司属于“最小风险”,几乎不需要监管。
朱悦也认为,涉及情绪操纵、社会评分这些被禁止的AI系统,属于非常细分的场景,而且该条款后也有很多附带条件,不会轻易被触发。此外,大部分科技企业也不会落入高风险范畴,即使真的被判定为高风险AI系统,相应的监管标准也比较常规,大部分时候企业自行做第三方评估、投入一定合规成本,即有可能通过认证。
金杜律师事务所合伙人吴涵向21世纪经济报道记者指出,AI法案对生物识别技术进行了较多关注,因此相关AI企业可能需尽快推进AI合规体系的构建工作。
通用AI监管,欧盟力不从心
通用人工智能,则是欧盟AI法案的另一大监管重点。
吴涵表示,自2022年底ChatGPT等应用在世界范围内流行,全球逐渐将监管的视野扩大至通用AI模型及系统,AI法案也是基于这一现实需求进行起草和修订。由于通用AI系统本身可能被视为高风险系统或作为其他高风险系统的组成,因此大模型企业可能是后续监管与执法部门重点关注的对象。
在该法案中,欧盟专门为通用人工智能制定了更严格的法规,比如遵循特定透明度义务,公开模型训练方式的摘要,以及遵守欧盟版权法规等。而高于一定计算阈值而被归为“系统性风险”的通用AI系统,就要遵守更严格的规则,比如企业需特别评估和减轻系统性风险、进行模型评估和对抗性测试等。
在AI法案中,欧盟要求通用AI打开“黑盒子”,披露模型参数、训练数据等关乎技术细节的内容,多少引起模型厂商不满。但就现阶段而言,法案对通用人工智能的监管还不甚清晰,把通用AI关进“监管的笼子”尚需时日。
吴涵看来,AI法案仅是初步提出了通用AI模型的合规要求,欧盟还在针对通用AI模型制定更为细致的监管规则。观察后续监管走向,除一般性合规要求以外,可能要进一步关注通用大模型训练数据与《通用数据保护条例》(GDPR)和版权保护等不同法律的交叉问题。
“AI法案在通用模型的监管上留下了很大遗憾,近乎于还是一个空壳。”朱悦感慨,虽然法案提了很多透明度的要求,但监管者对技术、行业know-how的了解远不如企业,所以在一些关键核心数据集和微调参数的披露上,厂商可以有所保留。同时,法案监管通用AI的实施细则还在编制阶段,但前期欧盟基本把编制的主动权交到了科技公司手上,受到诟病后迫于压力才在7月底宣布向多方利益主体开放,共同参与实施细则编制。
朱悦指出,这实则反映出欧盟AI治理能力的受限。随着AI技术的发展,企业侧沉淀了很多行业知识,比如OpenAI在做的超级对齐,Anthropic的可解释性,还有谷歌、微软等科技巨头做的模型卡、算法卡,在AI的内部监管上已经比较超前。但监管层在资金密度、人才密度、技术密度等层面难与大型企业相比,所以要达到理想中的强监管也较难。
发展大于安全
“即使欧盟AI法案正式生效,目前针对AI的监管也还在探索中,不好评判对科技业会带来多大冲击,但监管不构成太大阻力,行业的焦点还是在大模型的商业化落地。”国内某证券公司通信行业首席分析师向21世纪经济报道记者表示。
从AI法案起草到通过生效,质疑其扼杀科技创新的声音一直不绝于耳。代表科技业游说的计算机和通信行业协会欧洲办事处(CCIA Europe)就警告称,监管干预为时过早,会减缓创新和增长,只有充分的竞争才能带来生成式AI的蓬勃发展,从而为消费者提供丰富多元的选择。
不过,朱悦指出,科技公司在公共层面对于监管有着诸多指责和批评,但实际在执行合规义务时并不会付出太多额外成本。一来,AI法案还有诸多模糊、有待提升完善之处,除了通用大模型还没有行为守则,欧盟的条条块块错综复杂,许多监管细则也有待协商,纵向上各成员国形成监管合力需要时日,因为法国、德国等国想要促进AI发展,部分排斥强监管,也希望在欧盟机构把握更多的监管主导权,横向上欧盟涉及科技公司监管的机构部门众多,新成立的人工智能办公室和现有机构在职能边界上还需进一步厘清。
二来,有别于欧盟严监管的刻板印象,AI法案的整体导向还是发展优先于安全。法案开篇四方面的宗旨里有三个关乎发展,而且法案中大量规则有着弹性空间,被禁止、高风险的适用范围把科研、非商业使用、开源等场景排除在外,还有不少合规义务只要企业自评估完成等。法案之外,欧盟近年也在力促本土AI的发展,以期缩小和美国、中国等AI大国的差距,比如发起“高性能计算联合计划”为生成式AI初创公司提供超算算力,《数据法案》要求数据互换、云切换费用逐步取消都有利于中小厂商。
因而,尽管欧盟AI法案仍是一部有待完善和细化的法律,但也为各国监管提供了一定借鉴思路——发展先于安全的立场,完整的监管框架以及不断充实的次级立法、执法过程,监管沙盒的引入,明确但保留一定宽松度的监管口径等。但同时,朱悦也警示,“不能照搬照抄欧盟立法,这种做法容易忽视应当严管的问题。”
国内企业出海欧洲如何做功课?
外界普遍认为,欧盟AI法案是一部里程碑式的法律,不仅在于它是全球首部AI立法,还在于它会通过市场途径对全球科技业带来影响。
根据AI法案,只要在欧盟市场内投放或投入使用其AI系统,无论是否收费,无论实体是否在欧盟境内,都要遵守欧盟的规定。而大部分跨国公司为了规避遵守多个国家监管制度的成本,就会选择将欧盟法规沿用到全球业务,这也是俗称的“布鲁塞尔效应”。
那么对于国内企业而言,随着欧盟AI法案生效、走向落地,未来布局出海业务需要注意哪些合规风险?
吴涵解释,企业出海时,首先应判断自身提供的产品是否构成AI法案的AI系统以及通用AI模型。如果适用AI法案,则要判断产品是否可能属于禁止在欧洲投放、具有不可接受风险的AI系统,如构成禁止投放的产品,则企业确需考虑转换出海业务方向。如经评估,企业可在欧洲投放相关AI产品,则应尽快根据AI法案构建AI合规体系。
同时,企业出海涉及数据跨境流动,则还要满足境内外的监管要求。吴涵举例道,如果企业在出海AI产品时,需要向欧洲提供训练数据,在训练数据涉及个人信息的情况下,则触发相应的数据出境义务。企业在欧洲提供产品时,其本身还需适用欧盟《通用数据保护条例》(GDPR)来处理个人数据。此外,由于中国的个人信息保护法与欧盟GDPR的合规要求与标准也并不完全相同,因此企业出海欧洲时宜提前根据GDPR及其他规定部署数据合规布局。