文 | 互聯網法律評論
2024 年 3 月 13 日,歐洲議會通過了歐盟《人工智能法案》,大量報道認爲,漫長議會之旅提前結束——甚至早于歐盟委員會最初提案中計劃的時間,這标志着歐盟掃清了立法監管人工智能的最後障礙。事實上,該法律已被歐洲議會用作推動内部改革并呼籲歐盟制定法律方式發生重大變化的最佳範例。
然而,歐洲議會的投票通過遠非歐盟人工智能立法的終點。
從中期來看,下一屆歐盟委員會将在人工智能方面開展更多工作:
必須解決工作場所中的人工智能問題,并緻力于吸引歐洲的投資;
将啓動有關人工智能責任提案的談判,并可能關注人工智能和知識産權;
《人工智能法案》和即将生效的更新後的《産品責任指令》、即将生效的《網絡彈性法案》的實施情況。
" 這很複雜 " 甚至不足以描述人工智能相關監管的發展,目前的歐盟《人工智能法案》隻是漫長監管過程的開始。所有相關推動該法案執行的工作,将決定它将在多大程度上成爲刺激值得信賴的人工智能創新的早熟工具,或過早扼殺創新的監管。
本文将結合兩位歐盟專家的觀點,闡述歐盟《人工智能法案》背後的複雜性。
01《人工智能法案》概念上不适合監管人工智能
歐盟《人工智能法案》本質上是一項産品安全法規,旨在降低人類使用人工智能系統帶來的風險。産品安全監管适用于單一用途産品,可以評估爲此目的而應用的風險。
許多老一代的人工智能系統都是針對單一應用程序進行訓練的。然而,問題來自最新的通用大型語言模型和生成人工智能系統,例如 OpenAI 的 ChatGPT、Meta 的 Llama 或 Google 的 Gemini,這些模型可以用于幾乎無限的用途。評估所有風險并爲所有可能的用途設計法規變得很困難。
《人工智能法案》試圖解決這個問題,并規定了避免損害人類基本權利的一般義務。根據歐洲議會該法案的一位共同起草者—— Kai Zenner 的說法,這種産品安全和基本權利标準的監管組合并不适合人工智能模型:
我們認爲《人工智能法案》在概念上不适合監管人工智能。我們從一開始就指出,将産品安全和基本權利混合在一起以及使用 " 實質性修改 " 等概念對于不斷發展的人工智能系統并不适用。這種技術無法與真空吸塵器相比。而且,基本權利的保護是歐盟新立法框架(NLF,以新方法指令爲代表的技術協調體系)制度沒有任何經驗的。然而,盡管這種概念選擇所帶來的法律問題在談判過程中變得非常明顯,但他們并不願意進行概念上的改變。
例如,《人工智能法案》的大部分内容側重于對處于有限風險和不可接受風險之間的高風險人工智能系統進行監管。根據法律規定,當用于訓練的計算能力超過 10 flops(浮點計算機運算)時,通用人工智能(GPAI)模型就成爲系統性風險模型。系統性風險 GPAI 模型的提供者必須進行模型評估和對抗性測試,提供用于避免有害應用程序的指标、報告事件并确保網絡安全保護。目前可用的模型尚未達到該阈值。但 2024 年發布的下一代人工智能模型很可能會突破這個門檻。那麽,這條規定可能會涵蓋所有新的大型人工智能模型。
02 人工智能與版權
訓練人工智能大模型需要大量數據輸入,包括從網頁收集的文本、掃描的文檔和書籍、從網絡收集的圖像、電影檔案中的視頻、音樂收藏中的聲音。其中大部分内容受版權保護。歐盟版權指令包括文本和數據挖掘目的的版權保護的例外情況,前提是用戶可以合法訪問輸入内容。版權所有者可以選擇退出例外并收取費用。
幾家新聞出版商已與能夠負擔費用的大型科技人工智能開發商達成了許可協議。人工智能初創企業正在等待幾起懸而未決的法庭案件的結果,這些案件應該會澄清對人工智能應用的版權法的解釋,包括美國 " 變革性使用 " 版權原則的應用。然而,授權的數據集可能質量更高,并降低培訓成本。但它們也可能減少可用的訓練數據集,并導緻有偏見的訓練。
《人工智能法案》規定,人工智能視聽和文本輸出應具有機器可讀的水印,以将其與人類輸出和深度僞造品區分開來。然而,一方面水印技術仍處于早期階段,很容易受到規避;另一方面,當人工智能僅協助人類時,水印義務不适用。在大多數國家,隻有人類的産出可以要求版權,而機器的産出則不能。混合輸出需要多少人類貢獻才能獲得版權?一行人寫的 " 提示 " 是否足夠?這些問題表明歐盟版權指令可能需要重新思考。
03 歐盟正在創建一個過于複雜的人工智能治理體系
歐盟和成員國都擔心《人工智能法案》的治理體系方面幹涉國家自由。因此,成員國将指定截然不同的國家主管當局,盡管第 66 條中有歐盟保障程序,但這将導緻截然不同的解釋和執法活動。
此外,歐盟《人工智能法案》不僅與其他法律——《通用數據保護條例》(GDPR)、《數字服務法》(DSA)、《平台工人指令》(PWD)、《醫療器械法規》(MDR)——存在法律重疊,而且與正在修訂或通過的其他法律和框架也有交疊:
1、《産品責任指令》
2024 年 3 月 12 日,歐洲議會正式通過了修訂後的新的歐盟消費者保護規則《産品責任指令》(Product Liability Directive)。該指令建立了嚴格的産品責任制度,本次修訂更新了其已有 40 年曆史的規則。
該指令将産品範圍擴大到涵蓋軟件和人工智能等數字産品,将損害的概念擴大到包括數據丢失或損壞,改變了由于技術或原因難以證明缺陷或因果關系的情況下的舉證責任。一旦生效,這項更新後的法律将影響歐盟的許多制造商、進口商和分銷商。
2、《網絡彈性法案》
2024 年 3 月 12 日,歐洲議會還以 517 票贊成、12 票反對、78 票棄權通過了《網絡彈性法案》(Cyber Resilience Act,簡稱 CRA)。接下來,歐盟理事會理事會将正式批準該立法,并發布在歐盟官方公報上公布使之生效。
歐盟委員會最初針對" 具有數字元素的産品 "提出了這項法規,其主要目标有兩個:鼓勵對聯網設備的網絡安全采取生命周期方法,并确保它們投放市場時漏洞較少;并允許用戶在選擇和使用連接設備時考慮網絡安全。CRA 定義了網絡安全生态系統中的責任鏈,并引入了其他新義務——包括在新連接設備的技術文檔中進行網絡安全風險評估,以及在發現事件後 24 小時内報告影響連接設備安全的事件以及主動利用漏洞的要求。
3、網絡安全認證框架
歐盟網絡安全機構在其官網上概述了其 " 網絡安全認證框架 "。這項工作源于 2019 年通過的《網絡安全法案》(CSA),該法案爲歐盟範圍内的産品、流程和服務的網絡安全認證規則創建了歐盟級框架。
該框架一直是起草通用标準認證、5G 以及更重要的可信雲服務的基礎。而 " 可信雲服務 " 一直是激烈的政治和技術讨論的來源,這些讨論正是主權辯論的核心,法國一直在推動将主權要求納入歐盟層面的計劃。這場争論尚未解決,這解釋了可信雲方案遲遲沒有最終确定的原因。
這項工作也可能與人工智能相關,因爲歐盟網絡安全局(ENISA)正在評估該網絡安全認證工作流程是否以及如何适用于該技術,以及如何重新使用正在制定的方案。CSA 認證框架部分的修正案于 2023 年 4 月提出,将其應用範圍擴大到 " 托管安全服務 "。
04 前景
《人工智能法案》的不完整性未能爲人工智能開發者和部署者提供法律确定性。此外,它還會産生高昂的合規成本,特别是對于可能發現歐盟監管環境成本過高且風險過高的中小企業和初創企業而言。
無論如何,歐盟《人工智能法案》爲歐盟委員會及其新成立的人工智能辦公室的進一步監管工作奠定了基礎。該辦公室将登記并驗證人工智能開發人員發送的通知。然而,該辦公室将面臨有限的資源,并且需要一段時間才能加快步伐。
作者簡介:
Bertin Martens:歐洲與全球經濟研究所(Bruegel) 的高級研究員。作爲歐盟委員會聯合研究中心(塞維利亞)的高級經濟學家,他多年來一直緻力于數字經濟問題的研究,包括電子商務、地理封鎖、數字版權和媒體、在線平台以及數據市場和監管。
Isabelle Roccia:國際隐私專業人員協會(IAPP)歐洲董事總經理,關注數據隐私、國際數據流、網絡安全、數字貿易和數字化轉型,是歐洲、歐盟成員國和多邊層面這些問題決策的公認貢獻者。曾擔任 BSA 歐洲、中東和非洲政策總監,布魯塞爾美國駐歐盟代表團的高級政策顧問。