8月1日,欧盟《人工智能法案》(下称《AI法案》)将在欧盟范围内正式生效,并将在未来三年分阶段实施。这是全球第一部全面监管人工智能的法案,影响力不可低估。
与人工智能企业利益直接相关的是,《AI法案》对多类在欧盟区域经营的国际公司施加了一定的限制,其影响可能扩展至境外地区。这项法案已经引起法律界和商界的广泛关注,大家都在期待欧盟就一些条款提供更详细的解释和相关设施。
以数据合规相关内容为例,全球机器学习和增长营销解决方案公司 Moloco 亚太区产品总监刘连波告诉第一财经,“隐私政策这件事情并不是针对某个一家公司,是对所有参与其中的合作方或者所有的玩家都是相关的。这个行业大家面对的挑战总是一样的,我不认为会对出海生意的趋势有本质的影响,因为这个行业会共享这个挑战。”他认为首先重要的是合规,其次是正确收集数据而不滥用,这最终也会促使我们调整算法模型来进行应对。“我们会仔细跟踪和研究该法案对我们出海客户的具体挑战,然后我们会和客户一起去研究落实解决方案。”
罚款金额可能高达三千五百万欧元
ChatGPT2022年年底突如其来的火爆表明了人工智能立法亟需加快推进。在欧盟紧锣密鼓的筹备下,《AI法案》于今年3月在欧洲议会通过,并于今年5月获得欧盟理事会批准。今年8月1日该法案正式生效。
《AI法案》在全球范围内的影响力不可小觑,部分归功于,《AI法案》的适用范围包括一些在欧盟区域外成立的相关公司。6个月后,总则和关于不可接受风险AI系统的禁令将适用;12个月后,高风险AI系统的某些章节、通用人工智能模型等章节将适用;24个月后,除高风险AI系统分类规则等部分内容外,其余部分适用;36个月后,高风险AI系统分类规则等部分内容也适用。
该法案规定,条例适用于将人工智能系统投放到欧盟市场或为欧盟提供人工智能系统服务的供应商,或是将通用人工智能模型投放到欧盟市场的供应商,无论这些供应商设立地或所在地是在欧盟还是在第三国。也适用于设立地或所在地在欧盟的人工智能系统部署商,以及人工智能系统进口商和分销商、以自己名义或商标将人工智能系统与产品一起投放市场或投入使用的产品制造商、位于欧盟的受影响人员等。
这意味着,只要海外AI相关公司将人工智能系统引入欧盟市场,并且使用自己的商标或者影响欧盟地区的人员,就有可能受到该法案的监管。违反规定的公司可能面临高达3500万欧元或其年收入的最高7%的行政罚款(以较高者为准)。
关于该法案的价值和后续影响,法律界和学界多有讨论。
此前欧盟发布的《通用数据保护条例》(GDPR)已显现“布鲁塞尔效应”,即欧盟通过单方面市场规制能力将其法律制度推广至境外,迫使受监管实体在欧盟之外也遵守欧盟法律。这种效应能否在《AI法案》上再次体现,出现了不同的声音。
在金杜律师事务所合伙人赵新华看来,《人工智能法案》非常全面,在全球性问题治理上,欧盟立法走在前面。结合2018年的GDPR以及近年的数字服务法、数字市场法等,欧盟为进入数字经济时代做了多年铺垫。该法案的积极一面是对人工智能监管起到很好的示范,“就像GDPR出台后,全球监管框架基本上都在借鉴GDPR,《人工智能法案》出台也必定会对全球人工智能治理提供有益的借鉴和参考。”
北京师范大学法学院副教授、中国互联网协会研究中心副主任吴沈括认为,这会对跨国企业带来非常重大的影响,对业务研发模式、合规流程设计、市场运营策略产生深远影响,其优点在于明确的规则和精细化的制度设计。
另有声音认为,《AI法案》推出可能过早过严,而全球不同地区对人工智能产业发展的态度并不相同。
吴沈括也认为,短期来看《AI法案》存在阻碍当地AI布局的这个可能性。这是监管和产业企业之间互动博弈的过程,需要一个相互增强认知的过程。中长期看,如果在确定性和监管力度上有所平衡的话,可能存在反弹机会。
AI初创企业波形智能计划进军欧洲市场,创始人姜昱辰曾在瑞士攻读人工智能博士学位。她认为,欧盟严格的监管并非新问题,欧洲在数据隐私方面向来要求严格。“这次只是针对AI制定了相应的隐私条款,但隐私条款的严格性并非新问题,这是欧洲市场长期以来面临的挑战。”
至于《AI法案》对市场的影响,姜昱辰认为会有一些,但对私有化部署的影响较小,对大模型公司影响可能更大,“尤其大模型公司提供闭源的API有较大风险,但给企业做私有化部署或做保障的软件,这个市场反倒更大。”当隐私监管较强时,隐私保障较好的产品及公司会获益。
高风险系统划分引关注
《AI法案》对企业的影响细化在“风险分级”监管中。
具体看,《AI法案》采取“风险分级”监管模式,将AI系统分为四个风险级别,包括被禁止的、高风险、有限风险和最低风险,每个级别都设定了相应的合规要求。法案规定,不符合接受风险标准的AI系统将被彻底禁止投入市场,高风险AI系统只有在符合特定强制性要求的情况下才能进入欧盟市场、提供服务或使用,有限风险AI系统的监管要求较为宽松。
一些法律界人士认为,人工智能企业进入欧盟市场时,最需要关注的是确定和满足高风险人工智能系统的规定和要求。
“高风险人工智能系统涵盖重要领域,例如教育和职业培训、就业、关键的私人和公共服务(如医疗保健、银行业)等,这些领域都受到严格的监管和合规要求。而医疗健康、人力资源、公共安全和交通运输等行业使用的人工智能系统大多属于高风险类别。”王捷表示。
据欧盟推动制定《AI法案》之初的预计,高风险AI系统占AI系统的比例约5%~15%。王捷判断,不直接影响人身安全、健康或基本权利的应用场景相对影响较小,如聊天机器人、个性化内容推荐等,一般不会被认为是高风险系统。Julia Apostle认为,多数AI系统不会受该法案太大影响,而对高敏感领域,如医疗保健、职业场景,将会有进一步的立法关注。
但陈吉栋判断,高风险人工智能(AI)系统涉及领域广泛,目前欧盟已将大多数AI系统列为高风险系统。例如,自动驾驶汽车和人脸识别技术可能涉及高风险。
值得注意的是,《AI法案》明确了AI系统相关的多类主体,包括AI系统提供者、部署者、授权代表、进口商和产品制造商。据上海段和段律师事务所律师团队近期发布的一篇文章,AI系统提供者的义务要求最繁多,大约涉及29条条例,这些义务涉及系统设计、开发、测试、部署、监控等多环节,明显多于部署者、授权代表、进口商涉及的条例。
王捷表达了这样一个观点:AI系统提供者必须开发人工智能系统或通用人工智能模型,并将其推向市场,这意味着他们需要投入更多资源来确保符合法规。AI系统提供者承担最多的义务,也面临着更高的合规成本。
此外,《AI法案》也对广义人工智能系统给予了相当关注。该法案指出,对于那些具备至少10亿个参数并经过大规模自我监督学习使用大量数据训练的模型,应当视其具备显著的通用性。而当广义人工智能模型在训练过程中的累积计算量超过每秒10的25次方浮点运算次数(FLOPs)时,则被认为具有重要的影响力,可能会被认定为存在“系统性风险”,从而需要满足一些额外的要求。
大模型合规成本或超出17%
对人工智能相关企业而言,要满足这样一部全面且复杂的法案的要求,随之而来的可能是合规成本上升。
海外智库Center for Data Innovation在2021年欧盟推动《AI法案》制定之初便预计,该法案将使未来五年内欧盟经济损失310亿欧元。一家部署高风险AI系统的欧洲中小企业将承担高达40万欧元的合规成本。《AI法案》将导致所有人工智能支出额外17%的开销。
CEPS(欧洲政策研究中心)同年澄清,超过300亿欧元损失的估计被夸大,支出17%的额外开销仅适用于未满足任何监管要求的公司。根据CEPS的研究,建立一个全新的质量管理体系(QMS)可能需要的成本介于19.3万欧元至33万欧元之间,每年的维护费用估计为7.14万欧元。一旦QMS建立起来,成本会逐渐降低。此外,QMS仅适用于高风险AI系统提供者的要求。
以上关于合规成本的讨论发生在两三年前,当时大模型还未成为主流,如今情况可能发生了改变。
Julia Apostle指出,提到的17%这个数字,是建立在极低的AI系统基础成本估算之上,并未考虑训练基础模型的实际成本。“合规成本的完全估算仍不明确,因为还存在许多未知细节。对于高风险AI系统和通用人工智能模型的提供者来说,这些成本将是最为重要的。法规依赖于技术标准的采纳情况,这些标准将由公司来实施并需要经过认证程序。尽管这些标准尚未最终确定,但肯定会涉及政策、程序以及具体产品要求的实施。”Julia Apostle认为,由于这项法案的监管不仅限于欧盟,因此企业基于这项法案离开欧盟的可能性似乎并不大。
王捷认为,对该法案,国内大型模型厂商若要在短期内快速且低成本实现合规可能有难度,特别是对于数据复杂的大型模型。大型模型厂商的挑战可能是适应欧盟对于数据管理、模型透明度和可解释性的高标准要求。
吴沈括认为,对于风险的分类、分级,特别是关于AI研发的披露度问题,是比较大的合规挑战,这与人工智能算法一定的黑箱属性具有较强烈和明显的冲突。赵新华则认为,《AI法案》涉及一些更高的合规标准和要求,企业进入欧盟市场前要考虑能不能接受合规成本,以及可能面临的不合规责任。
“如果说欧盟完全不在乎对经济的限制,也不准确。”赵新华表示,从《AI法案》规定范围、内容看,欧盟也在试图消除规定对创新的影响,如对一些较少风险AI系统的管理相对宽松。例如支持创新的措施中专门设了人工智能监管沙盒,供企业测试创新性产品、服务、商业模式和交付机制,避免企业因从事相关活动而立即招致监管后果,这是针对技术创新的柔性监管制度,给了小企业较多发展空间。该法案有较大灵活性,风险管控循序渐进、逐步匹配,预计对经济造成负面的冲击较小。
具体条例看,业界和法律界仍在关注哪些具体要求可能增加合规成本。
《AI法案》对高风险AI系统的要求非常详细,涉及风险管理系统、数据和数据治理、技术文件、记录保存、透明度和向部署商提供信息、人为监督、准确性、稳健性及网络安全。具体要求包括但不限于建立、实施、记录和维护与高风险AI系统相关的风险管理系统;拟定技术文件并向国家主管部门和认证机构提供必要的信息;训练、验证和测试数据集的数据准备处理工作包括各种注释、清理、更新等,并采取措施发现、预防和减轻可能发生的某些偏差。
《AI法案》对通用人工智能模型提供商的要求则包括制定并随时更新技术文件、向拟集成该模型的AI系统提供商更新信息和文档、制定遵守欧盟版权法的政策、起草并公开一份关于通用人工智能培训内容的详细摘要。被确认存在“系统性风险”的通用人工智能模型需要额外履行一些义务。
赵新华则表示,高风险AI系统提供者是指AI系统由某个企业提供并投入欧盟市场,法案专章列出提供者的义务,包括编制相应技术文件、证明符合法案要求,并对符合欧盟的相关规定做符合性声明,还要增加CE合格证认证。高风险AI系统投放市场前需完成合格性评估程序。
“这些规定非常具体,对提供者、部署者、进口商和分销主体设定不同的义务。”赵新华表示,如果大模型公司在欧盟市场提供服务,除了需要请律师在合规层面及法律方面做评估和建议外,还涉及通过第三方进行合格性评估程序等,有些企业加CE标志也需找第三方认证机构。此外,《AI法案》还要求将AI系统算法的主要技术数据做摘要,这可能涉及公司内部商业、技术团队,及外部第三方主体。
成本之外,人工智能企业是否愿意为了进入欧盟市场而满足《AI法案》的要求也是问题。
《AI法案》要求提高通用人工智能模型在预训练和训练中使用数据的透明度,对模型提供商而言,他们需要起草并公开关于训练通用人工智能模型所使用数据的详细摘要。在考虑保护商业秘密和机密商业信息的必要性的同时,这些摘要内容应当总体上是全面的。
吴沈括认为,从可能的缺点来看,该法案对于产业研发和应用的逻辑是否有足够强的匹配性,还需要进一步的观察。
“模糊和争议点主要集中在定义和具体合规要求上,如高风险人工智能系统的精确界限、基础模型与应用模型的区分等。如何有效评估和监控人工智能系统的透明度和公平性也存在不确定性。”王捷认为。
“我认为国内有些大企业已经做好了合规的准备,但大部分还没做系统准备,维持观望态度。是否做好合规准备,更多取决于战略认知。企业要从本质上认识到人类已进入人工智能高风险时代,对其风险进行管控已成为共识。”陈吉栋表示。
