欧盟新规的通过和实施反映了全球竞相制定人工智能护栏的趋势。
欧盟发布的全球首个《人工智能法案》(EU AI Act)将于8月1日在整个欧盟范围内生效,这也是迄今为止全球发布的一项最为全面的针对人工智能监管的法案。
欧盟《人工智能法案》也为全球人工智能监管奠定了基础,旨在实现与《通用数据保护条例》(GDPR)相同的“布鲁塞尔效应”。
对于监管者而言,最新法案的发布适应了人工智能发展的浪潮,为保护公民免受人工智能风险侵害提供法律依据;但对于企业而言,这也无疑增加了合规成本,它们同时质疑严厉的监管措施能否对创新起到促进作用。
根据最新的法案,违反规定的企业将被处以最高3500万欧元或最高年收入7%的行政罚款,以较高者为准。
上海大邦律师事务所合伙人游云庭对第一财经记者表示:“GDPR实施以来,企业的成本,尤其是合规成本是大幅上升的。预计《人工智能法案》也一样,意味着企业针对新的规定必须进行投资,并且任命专门的人员去研究合规政策,另外,处理违规通知、公开披露制度等也会增加成本。”
从GDPR到AI法案
欧盟《人工智能法案》于今年3月在欧洲议会通过后,又于今年5月获得欧盟理事会批准。欧盟表示,这项法案旨在避免高风险人工智能的侵害,同时促进创新,确立欧洲在该技术领域的领先地位。
欧盟一直走在技术监管的最前沿。欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)此前表示:“欧洲现在是人工智能领域的全球标准制定者。”
欧盟《人工智能法案》未来三年内将分阶段实施。鉴于分层、基于风险的方法,最严苛的义务将适用于相对较窄范围的“高风险”的应用,包括信用评分和员工监控等。
自GDPR于2018年正式生效以来,欧盟一直是人工智能监管领域的全球领导者。GDPR法规为个人数据的使用设定了一个全球黄金标准框架,而个人数据对于人工智能系统的开发和运行至关重要,并且已经预见到了它们具有实现自动化决策的能力。
如今凭借《人工智能法案》,欧盟成为全球首个针对人工智能采用特定监管框架的司法管辖区,该框架将为整个欧盟的人工智能的开发、应用和监管提供一致的规则。
年利达律师事务所分析认为,GDPR和《人工智能法案》不同之处在于,GDPR是一项基于原则的立法,而《人工智能法案》更像是一项产品安全法规,融合了基本权利。GDPR总体上适用于一切,而《人工智能法案》则侧重于产品和应用程序投放市场的情况,但不包括纯技术的研究和开发。
“这意味着愿意开发人工智能系统的公司仍然可以按照他们设想的方法去做,但必须考虑将其投放市场时适用新规定的要求。”年利达律师事务所合伙人、欧洲TMT业务负责人奥弗斯特里滕(Tanguy Van Overstraeten)表示。
为此,新法规要求欧盟每个成员国必须至少建立一个人工智能监管沙盒。沙盒旨在通过提供一个受监管的环境,让人工智能系统在监管监督下进行测试,从而促进创新和合规。
中国企业出海欧盟,合规成本提升
对于在快速发展的法律和监管环境中生存的全球性企业而言,管理合规性挑战对于维护与监管机构、客户和员工等各类利益相关各方的信任至关重要。
《人工智能法案》的推出是在欧洲成为中国科技公司重要出海目的地的大背景下。这些企业中,有些已经在欧盟开展业务,也有些正在积极评估欧洲市场的潜力。除了腾讯、TikTok这些科技巨头,近年来也有越来越多中小型企业进入欧洲市场,例如电商平台Shein,以及一些软件和游戏公司。
针对欧盟《人工智能法案》实施后,企业是否会增加对合规成本的投入,Shein方面对第一财经回应称,尚不了解这方面的情况。
一家正在考虑出海欧洲的上海人工智能软件公司创始人对第一财经记者表示:“我们对欧洲出海非常有兴趣,欧盟新法规很显然也是我们在评估出海过程中会综合考虑的因素。”
另一家提供自动驾驶技术的科技初创公司负责人也告诉记者:“欧洲是我们明年将会认真考虑的出海目的地,欧盟的法案增加企业合规成本将是必然的,但具体程度还需要继续观望。”
有科技公司表示,它们将不仅要花费更多时间和金钱来遵守欧盟的新规则,同时还可能面对过度监管导致阻碍创新的隐患。
一家小型软件公司Dayta AI对媒体表示,预计欧盟法规的合规和评估要求将使该公司的研发和测试成本增加20%至40%,增加的支出将包括额外的文件、审计和某些技术措施。
该公司还称,欧盟关于“训练数据的质量、相关性和代表性”的规定将要求企业在选择数据源时更加谨慎;而对数据质量的关注最终将提高企业解决方案的性能及公平性。
欧盟的法案一贯强调用户权利,并对个人数据的使用施加严格的限制。对此, 奥弗斯特里滕表示:“欧盟的机构可能给人一种过度监管的印象,但实际上是想为推动创新提供法律上的确定性,并创造一个可信任的环境。”
他认为,这一综合框架为整个欧盟提供了一致的规则,也会对在欧盟没有实体存在的企业产生影响。例如,一家美国银行可能已经为美国市场开发了一种基于人工智能的信用评分工具,并打算在欧盟推出或在美国使用它来评估欧盟自然人的信用度,但这时就会受到欧盟《人工智能法案》的约束。
影响力波及中美及全球
年利达律师事务所上周发布了一份最新报告预估,欧盟《人工智能法案》的影响力将超出欧盟范围,波及全球,尤其是会影响中国和美国相关法律法规的制定。
报告中强调,欧盟《人工智能法案》的地域范围异常广泛。“虽然在实践中,许多人工智能系统只需承担轻微的义务,但这项立法的地域范围异常广泛,会涵盖许多在欧盟没有实际存在的国际组织,包括在欧盟投入使用或投放市场的人工智能系统提供商,以及输出在欧盟使用的人工智能系统提供商或部署者。”报告写道。
自2022年11月OpenAI首次发布ChatGPT以来,生成式人工智能(GenAI)服务迈入高速发展阶段。欧盟新规的通过和实施反映了全球竞相制定人工智能护栏的竞争。中国也加速制定对人工智能监管的法规。
去年8月,中国发布了首个针对生成式AI服务的法规——《生成式人工智能服务管理暂行办法》,在AI监管方面处于领先地位,也是全球首批建立算法注册中心并颁布关于生成人工智能强制性法规的市场之一。按照规定,生成式人工智能提供商在提供面向公众的服务时必须获得许可。
中国此前还出台了其他规则来规范与人工智能相关的服务和产品,例如算法推荐和深度合成(或“深度伪造”)服务。
今年5月,国务院印发的《国务院2024年度立法工作计划》中,“人工智能法草案”再次被列入预备提请全国人大常委会审议项目。
年利达上海合伙人、中国区TMT业务负责人罗世轩(Alex Roberts)表示,欧盟和中国人工智能法规的主要原则非常相似,包括对客户透明、保护数据、对利益相关者负责、在产品上写明说明和指导意见等。
“我们现在也看到亚太地区的一些政府在制定自己的人工智能立法时,大量借鉴了欧盟的数据保护和人工智能法规,这也有助于实现跨市场的一致性规则。”他说道。
长期以来,美国企业历来都是数据隐私监管的追随者,但伴随着人工智能的激进发展,美国也正朝着更严格的监管方向迈进。在拜登人工智能行政命令和人工智能权利法案的推动下,美国也致力于引领全球关于人工智能风险管理和合规性的讨论。
美国各州和城市正在逐步推出新法律,最引人注目的是科罗拉多州的《人工智能法案》,它采用与欧盟《人工智能法案》类似的分类系统,旨在防止算法歧视,预计将对各行各业的企业产生重大影响。