3 月中,歐洲議會通過號稱「全球最嚴格」的《人工智慧法案》(AI Act)。這項法案和其他重要歐盟立法一樣,經過冗長的會員國談判程序,於 2023 年 12 月達成共識,最後在歐洲議會獲得壓倒性票數支持通過(贊成 523: 反對 46:棄權 49)。
歐洲議會的聲明稿指出,該法案的目標是「保護基本權利、民主、法治和環境永續免受高風險人工智慧的影響,同時促進創新,讓歐洲成為該領域的領導者」,具體的作法是「依據潛在風險和影響程度來確立人工智慧的義務」。在這原則之下,有些具有潛在風險的人工智慧應用被認定為「不可接受」,除了在特定條件下用於政府、執法和科學研究,其他應用都屬非法。
《人工智慧法案》經歐洲議會通過後,再經歐盟理事會通過就能生效,但相關規定在 24 個月後才會落實,這與歐盟的《一般個人資料保護規則》(General Data Protection Regulation, GDPR)一樣,是為了讓企業有時間調整作為,確保活動合乎歐盟的新規範,但關於「不可接受風險」禁令的規定(詳下)只有 6 個月的緩衝期,在這緩衝期後未能合乎規定的企業將會遭到重罰,最高罰款可達企業全球營業額的 6% 或三千萬歐元(以較高者為準)。其他例外規定包括:
- 業務守則將在生效 9 個月後施行
- 通用人工智慧規則在法案生效後 12 個月施行
- 高風險系統義務相關規定在法案生效後 36 個月施行
此外《人工智慧法案》與《一般個人資料保護規則》還有一個共通之處,那就是課以義務的對象不僅止於總部設於歐盟 27 個成員國的企業,而及於任何在歐盟成員國境內展開業務的人。
《人工智慧法案》將人工智慧的用途依照風險高低分為不可接受風險、高風險、有限風險和風險極小或無風險四類,是一個金字塔型的管制結構。
具有「不可接受風險」的人工智慧應用威脅到公民權利,原則上都被禁止。具體禁止的應用包括:
- 基於敏感特徵的生物辨識分類系統(RBI)
- 從網路或閉路電視錄影中無針對性的抓取臉部影像,以建立臉部辨識資料庫
- 工作場所和學校中的情緒識別
- 社會評分系統
- 評估或分析人的特徵的預測性警務
- 以有害方式影響或操縱人的行為
原則上禁止執法部門使用 RBI,並設有嚴格的執法豁免規定,必須事先獲得特定的司法或行政授權,使用的時間和地理範圍也須明確。可能的應用例如針對性的搜尋失蹤者或防止恐怖攻擊。
「高風險」人工智慧應用是指「對健康、安全、基本權利、環境、民主和法治具有重大潛在危害」的應用,相關應用領域如關鍵基礎設施、教育、職業培訓、就業、基本私人和公共服務(例如醫療保健、銀行業)、執法、移民和邊境管理、司法和民主活動(如選舉)。 此類人工智慧系統有義務評估風險、降低風險,建立使用日誌,運作需透明準確,並確保人工監督。公民有權對相關人工智慧系統提出投訴,若高風險人工智慧系統的決策能影響公民權益,公民有權獲得其決策解釋。
「有限風險」人工智慧應用是指在透明度方面負有特定義務的 AI 應用。此種人工智慧系統有義務讓使用者知道他們正與機器交流,以此認識做出繼續交流或停止交流的明智決定。此等人工智慧應用的提供者還必須確保人工智慧產生的內容可被識別。 此外,為了向公眾通報公共利益問題而發布的人工智慧生成文本必須被標記為人工生成,這一點也適用於深度偽造的影像、圖片和聲音。
「風險極小或無風險」人工智慧應用包括人工智慧視訊遊戲、垃圾郵件過濾器等應用程式。目前歐盟使用的絕大多數人工智慧系統都屬於這一類。
針對性管制生成式AI
值得注意的是,歐盟起草《人工智慧法案》的時候,生成式人工智慧尚未面世,以 OpenAI 的 ChatGPT 為代表的通用人工智慧模型出現後,歐盟試圖將生成式人工智慧納入管制,其中一部分管制內容屬於上述「有限風險」的透明度規範,亦即確保人工智慧產生的內容可被識別,同時也必須遵守歐盟著作權相關法規。
美國《富比世》雜誌的相關報導指出,這種針對人工智慧模型的立法,給人「針對大型科技人工智慧提供者(如 Google、微軟、OpenAI 等)」的印象,但這規定恐怕難以落實,因為犯罪分子和傳播假資訊者不太可能會去遵守。
在另一方面,大型科技企業是否願意配合關於透明度的規定,歐盟在多大程度上接受企業界的反對意見,也是一大問題。科技企業必然主張演算法、權重和資料來源是機密商業訊息,若歐盟接受這一點,《人工智慧法案》的相關規定可謂毫無意義。《富比世》雜誌也指出,小型企業也可能受到這些規定的影響,但他們沒有科技巨頭的財力,無法周旋於法庭,這會使小型企業的創新活動處于不利地位,這也是歐盟立法需要注意的可能影響。
還有一些意見認為,歐洲單一市場有 4.6 億人口,對跨國企業來說,與其分割部分企業活動以適應歐盟,不如將歐盟的嚴格規範套用到企業活動的全部,因此歐盟《人工智慧法案》會像其他重要歐盟立法一樣,產生布魯塞爾效應,但不見得會產生歐盟《一般個人資料保護規則》那麼大的影響。
歐盟《一般個人資料保護規則》所欲保護的基本權利有其一貫的的理論框架,施行後獲得一些國家的認可,並局部納入本國立法,但《人工智慧法案》並非如此,而是「基本權利、產品安全、產品責任及一般數位安全」拼湊而成的立法,這會讓其他國家更仔細審視《人工智慧法案》的細節,並作出合於各國情況的決定。
以英國為例,今年 2 月英國政府發表的一份白皮書中指出,大家了解人工智慧相關風險後,「最終」將會針對人工智慧進行立法,但現在為時尚早。英國政府認為,「過早推出具有約束力的措施,即使針對性很強,也可能無法有效應對風險,很快就過時,或者扼殺創新,讓英國各地的人無法從人工智慧獲益」。
延伸閱讀:
防患未然:如何應對中國將先進與成熟製程晶片武器化
荷蘭醫學中心:AI 有助緩解醫療壓力 勿過度監管
美中限制AI在軍事運用?中國正關注「神風無人機」的俄烏實戰經驗
人工智慧何時主宰全人類?
參考新聞來源:
2024/03/25 Forbes(美國富比世) What Every CEO Needs To Know About The New AI Act
2024/03/21 Euractiv(歐洲動態) Experten zweifeln an der globalen Tragweite des KI-Gesetzes
2024/03/13 TIME(美國時代雜誌) The E.U. Has Passed the World’s First Comprehensive AI Law
2024/03/13 European Parliament(歐洲議會) Artificial Intelligence Act: MEPs adopt landmark law(官方新聞稿)
2024/03/22 EU Artificial Intelligence Act(歐盟人工智慧法案全文)
The EU Artificial Intelligence Act 歐盟 AI 辦公室
AI Act 歐盟執委會