2023年12月8日,歐盟政策制定者達成了一項重要里程碑,最終確定了《人工智慧法案》(AI Act),這使其成為全球首個全面的人工智慧監管框架。作為全球數位與數據治理的領導者,歐盟在數據隱私與針對性廣告等多個議題上持續設立標準。在2021年4月啟動的漫長立法過程後,《人工智慧法案》將改變人工智慧治理,預示著將提升全球經濟中人工智慧的標準,形成所謂的「布魯塞爾效應」。
目前,官方文本正進行最後修訂,歐盟領導人預計這部歷史性的《人工智慧法案》將於2024年4月正式通過,並計劃於2026年逐步實施。
《人工智慧法案》是什麼?
《人工智慧法案》是歐洲委員會於2021年4月提出的一項開創性法律框架,旨在確保人工智慧系統在歐盟市場的安全性、責任性和透明度。該法案採取風險為本的管理方式,監管人工智慧的開發者、分銷商、進口商及使用者,仔細評估人工智慧系統的潛在負面影響。人工智慧應用的潛在危害越大,所需的監管力度就越強。這部立法有如2016年推出的歐盟《一般數據保護條例》(GDPR),自此以來對全球隱私標準產生了深遠的影響。
誰會受到《人工智慧法案》的影響?
《人工智慧法案》為各類參與人工智慧生態系統的實體界定了具體的定義和責任,包括開發者、分銷商和使用者。值得注意的是,甚至位於歐盟以外的公司,如其人工智慧系統產生的結果在歐盟內部使用,也可能受到該法案的約束。例如,一家南美公司若開發的人工智慧系統影響到歐盟居民,也會受此法案的管轄。該法案不適用於軍事或國家安全應用,但對執法機構使用遠程生物識別識別系統設有嚴格條件。
2023年6月,歐洲議會通過的《人工智慧法案》草案突出了兩個主要類別的參與者:
- 提供者(Provider):這一術語指提供自有品牌人工智慧系統的開發者,無論是免費還是收費。如OpenAI的ChatGPT在歐盟市場就是一例。
- 部署者(Deployer):這一術語以前稱為「使用者」,現在用於描述將人工智慧系統用於專業或商業目的的實體。合規義務主要落在人工智慧提供者身上,這與GDPR將責任置於數據控制者的方式相吻合。然而,人工智慧使用者(部署者)的數量將遠遠超過提供者,特別是在高風險系統方面,部署者在管理人工智慧相關風險方面將起到關鍵作用。
人工智慧實踐的風險分類
《人工智慧法案》以保護最終使用者的權利和安全為重點,將人工智慧系統分為四種風險分類:
1. 不可接受的人工智慧:此類別全面禁止會威脅民主價值或人權的人工智慧技術,如社會信用系統和侵入性生物識別監控。
2. 高風險人工智慧:可能對關鍵行業(如基礎設施、就業和公共健康)造成重大危害的人工智慧系統被視為高風險。此類系統的開發者必須遵守包括合格評估、註冊、數據治理和網路安全協議在內的嚴格要求。
3. 低風險人工智慧:風險較小的系統,如基本聊天機器人,要求清晰透明的措施,並需告知使用者何時內容為人工智慧生成的。
4. 最小或無風險人工智慧:此類別涵蓋低風險應用,如自動摘要和垃圾郵件過濾器,通常不會對使用者造成重大風險。
不合規的罰款
違反《人工智慧法案》的規定可能會導致大額罰款。這些罰款範圍介於750萬歐元或全球年收入的1.5%至3500萬歐元或全球收入的7%,具體取決於違規的嚴重程度。2023年議會版本提出了以下可能的罰款:
- 不可接受的人工智慧:最高可達全球年收入的7%,較之前的6%有所增加。
- 高風險人工智慧:最高可達2000萬歐元或全球收入的4%。
- 一般用途人工智慧(如ChatGPT):罰款最高可達1500萬歐元或全球收入的2%,並對生成式人工智慧應用有特別條款。
- 提供錯誤資訊:罰款最高可達750萬歐元或全球收入的1.5%。
應對《人工智慧法案》的準備
為有效應對《人工智慧法案》,組織需採取綜合治理策略,包括健全的內部控制和供應鏈管理。開發或部署高風險人工智慧系統的公司需要對其業務運作進行徹底評估,並考慮以下問題:
- 哪些部門正在使用人工智慧工具?
- 這些工具是否在處理專有信息或敏感個人數據?
- 這些用例是否屬於《人工智慧法案》所定義的不可接受、高風險或低至無風險類別?
- 公司是作為人工智慧提供者還是部署者?
- 供應商協議中關於數據保護和合規的條款是什麼?
歐盟在《人工智慧法案》上的進展可能會引發全球在人工智慧風險管理立法方面的重大變化。結合近期美國於10月宣布的人工智慧行政命令,這項重要協議標誌著企業在負責任和有效利用人工智慧技術的過程中進入了變革時代。
排行榜
