人工智能(AI)是指利用计算机或者计算机控制的机器,模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。人工智能技术主要有机器学习、知识图谱、自然语言处理、计算机视觉、人机交互、生物特征识别、虚拟现实等。目前人工智能技术已广泛应用于交通、医疗、教育、生活、艺术创作、城市治理、政务司法等众多领域,如智慧诊疗、内容生成、自动驾驶、人脸识别等。例如,最近引起广泛关注的Chat GPT就属于生成式人工智能应用,主要利用机器学习(基于人类反馈的强化学习)、自然语言处理等技术,可用于日常对话、专业问题回答、信息检索、文学创作、代码生成等。
人工智能具有复杂性、不可预测性、自主性、缺乏透明度等特征,由此带来了数据、技术与应用等层面的多重风险,对现有法律体系、规则甚至基本概念带来了冲击,如何运用法律工具确保人工智能安全成为重要的法律议题。
为规范人工智能的发展,防范和化解人工智能研发与应用带来的各类风险,实现人工智能的安全目标,近年来各国开始探索对人工智能的法律监管。中美欧在人工智能技术与应用方面处于世界前列,其对人工智能的法律监管探索也成为全球人工智能治理的风向标。
限于篇幅,本文在介绍美欧的人工智能法律监管情况时,仅介绍一般性政策法律,对特定技术或应用的相关政策法律留待以后专文介绍。
一、欧盟人工智能法律监管
欧盟在人工智能法律监管方面率先布局,自2018年以来已陆续发布人工智能相关战略性、监管类文件,重点关注人工智能的伦理安全、算法透明度、竞争秩序、产品准入等方面,详见下表:
上表所列的法律监管文件中,首先值得关注的是2018年发布的《欧洲人工智能战略》。这份文件是欧盟人工智能发展的纲领性文件,提出增加对人工智能的公共和私人投资,并确保适当的道德和法律框架。随后的两年中,欧盟陆续发布有关人工智能协调计划、人工智能白皮书,在明确人工智能发展方向的同时,开始关注人工智能风险治理问题,包括算法透明度、人工智能科技伦理等。如2019年,欧盟就算法及自动化决策系统应用发布《算法问责及透明度监管框架》,建议公共部门建立算法问责机制,完善算法监管机制与法律责任制度,形成全面的监管框架。
在人工智能伦理方面,2019年发布的《可信人工智能伦理指南》指出了可信人工智能的三大特征:合法性、符合伦理和稳健性,明确可信人工智能的伦理标准。该文件并不具备强制约束力,但欧盟委员会鼓励各组织积极执行,以促进AI伦理标准形成国际共识。2020年欧盟发布《人工智能、机器人和相关技术的伦理问题框架》,提出一系列原则要求,如对高风险人工智能、机器人及相关技术进行强制性合规评估等。
在人工智能综合监管方面,欧盟委员会于2021年提出《欧盟人工智能法(草案)》,这是全球首部人工智能统一监管立法文件,适用投放于欧盟市场、欧洲用户使用或其输出在欧盟使用的人工智能。该草案基于风险分级的方法,制定了一套与风险相称的人工智能监管规则,以平衡人工智能的发展与安全。该草案将人工智能风险分为四级:不可接受的风险、高风险、有限的风险、极小的风险,并就不同风险级别的人工智能提出了不同的监管要求。其中高风险人工智能包括用于高安全要求且需要合格检测的产品(如电梯、玩具、压力设备)的人工智能、易侵害个人权益的人工智能(如生物分类、教育或职业培训、劳动人事、公共福利、执法、移民、司法);针对此类人工智能,草案规定提供者或使用者等应建立风险管理体系、采取数据治理措施、建立日志记录能力、通过符合性评测等。对于违反规定者,草案设定了最高3000万欧元或全球年营业额6%的罚款。
与上述草案配套,欧盟于2022年提出《欧盟人工智能责任指令(草案)》,旨在解决成员国基于过错的一般责任原则难以保障人工智能场景下受害人索赔难的问题。该草案并不寻求统一成员国的举证责任分配规则和证明标准,而是提出了高风险人工智能场景下被告的证据披露义务,以及过错推定和因果关系推定的规则。
在欧盟发布的以上系列文件中,《欧盟人工智能法(草案)》《欧盟人工智能责任指令(草案)》是两份具有重要参考意义的法律文件,体现了欧盟在人工智能领域通盘设计、统一监管的雄心,预计将对未来全球人工智能法律监管产生重大影响。
二、美国人工智能法律监管
相较于欧盟,美国发布的人工智能法律监管文件较少,以促进人工智能发展为主要目标,部分文件涉及算法透明度、反歧视、系统评估等监管要求,主要法律文件如下:
2019年2月发布的行政命令《维护美国在人工智能时代的领导地位》体现了美国对人工智能产业发展的基本政策导向。该命令要求联邦机构利用各自职权鼓励和促进人工智能技术的发展应用,同时要求NIST更多参与制定人工智能标准。其后的《2020国家人工智能倡议法(草案)》也强调要确保美国在可信人工智能发展方面发挥领导作用,《产生人工智能网络安全法(草案)》则要求美国商务部和联邦贸易委员会明确人工智能在美国应用的优势和障碍,调查其他国家的人工智能战略,并与美国进行比较,评估供应链风险以及如何解决这些风险。这些文件主要着眼于人工智能的产业发展。
2020年11月发布的《人工智能应用监管指南》体现了美国在人工智能监管方面的基本态度。该指南并未直接给出人工智能的监管规则,而是指导美国政府如何制定人工智能监管政策。该指南虽然也关注到人工智能引发的歧视问题、国家安全问题,并提出了一系列风险评估、管理框架等要求以促进人工智能的可信度、透明度,但其重点仍为确保监管规则不阻碍人工智能的发展。此外,该指南还提出对人工智能的非监管方法的建议,如特定部门的政策指导和自愿的共识标准等,并列出了各机构为减少部署和使用人工智能的障碍而可以采取的行动的例子。
2022年10月,白宫科技政策办公室发布《人工智能权利法案蓝图》,其目的是支持制定政策和实践,在自动化系统的建设、部署和治理中保护公民权利和促进民主价值。该文件意识到执法活动需要平衡各方利益,如对敏感执法信息的保护与对公民的告知;即使某些规则完全或部分无法适用,联邦政府部门或机构仍然受到司法、隐私和公民自由的监督。该文件不具有约束力,不构成美国的政府政策。
2023年1月,经过两次征求意见,NIST正式发布《人工智能风险管理框架》(第一版)。该框架可由相关机构自愿选择使用,旨在提供设计、开发、部署和使用人工智能系统的指南,增强人工智能可信度,降低人工智能技术应用的风险。该框架说明了AI风险与传统软件风险的不同,概述了可信 AI 系统的特征,包括:有效性和可信赖、安全性、可靠性与弹性、可问责和透明度、可解释性、隐私增强保护、公平与减损偏见;该框架还提出了AI风险管理的四个模块,包括:治理、映射、衡量和管理。
除了联邦层面,美国一些州也开始探索人工智能立法,如阿拉巴马州、科罗拉多州、伊利诺伊州、密西西比州和纽约市,他们采取的进路不同,关注点也有差异,比如人工智能产业促进、人工智能在教育领域的应用、职场自动化决策、人工智能视频面试等。地方立法探索具有自发分散和零敲碎打的特征。
整体而言,与数据保护领域类似,美国对于人工智能监管比较谨慎,出台的政策法律文件不多,有意避免过早、过多和过严的监管妨碍人工智能产业发展,对人工智能的发展创新较为友好。
三、中国人工智能法律监管
中国在人工智能方面陆续出台多部政策文件,早期以人工智能产业促进为主,近年来逐步关注人工智能伦理安全、算法治理及行业应用安全。部分地方政府先试先行,提出了人工智能治理的某些具体规范。详见下表:
在人工智能发展促进方面,中国已发布一系列产业政策文件,包括2017年《新一代人工智能发展规划》《促进新一代人工智能产业发展三年行动计划(2018-2020)》《国家新一代人工智能创新发展试验区建设工作指引》等,旨在引导和促进中国人工智能产业的发展。在国家产业政策之下,部分地方也出台人工智能产业促进文件,以《深圳经济特区人工智能产业促进条例》和《上海市促进人工智能产业发展条例》最为典型,这些地方积极推进人工智能与经济、生活、城市治理等领域深度融合,促进鼓励人工智能创新发展。
在科技伦理方面,中国在逐步探索人工智能的基本伦理规范。2021年《关于加强科技伦理治理的指导意见》将“增进人类福祉”“尊重生命权利”“坚持公平公正”“合理控制风险”和“保持公开透明”明确为科技伦理原则,并对创新主体、科研人员、科技类社会团体、科技人员在科技伦理治理的角色进行分别定义。随后的《新一代人工智能伦理规范》明确了人工智能的基本伦理规范,并且提出了一系列人工智能应用管理规范、研发规范、供应规范和使用规范。企业应重点关注研发规范与供应规范,如在算法设计、实现、应用等环节,提升透明性、可解释性、可理解性、可靠性、可控性,增强人工智能系统的韧性、自适应性和抗干扰能力;在数据采集和算法开发环节,提升数据质量,考虑差异化诉求,避免可能存在的数据与算法偏见;在提供人工智能产品和服务环节,应充分尊重和帮助弱势群体、特殊群体,并根据需要提供相应替代方案。同时,要保障人类拥有充分自主决策权,确保人工智能始终处于人类控制之下。
算法是人工智能的核心要素之一,也是人工智能监管的重要维度之一。2021年,中国开始出台法律文件,加强对算法的监管,人工智能算法被统一纳入监管范围。根据《关于加强互联网信息服务算法综合治理的指导意见》和《互联网信息服务算法推荐管理规定》等文件,中国将逐步建立算法综合治理体系;针对生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等五类算法,提出了建立内部管理制度、评估验证、公示说明、用户自主管理、算法备案等要求。目前,国家网信办已公布三批完成备案的算法应用。
针对特定的人工智能技术,如虚拟现实(VR),以及人脸识别,中国出台了若干法律文件,如《关于加快推进虚拟现实产业发展的指导意见》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。除了这些法律文件,针对生物特征识别,中国还发布了若干国家标准,如《信息安全技术 人脸识别数据安全要求》《信息安全技术 远程人脸识别系统技术要求》《信息技术 生物特征识别 人脸识别系统技术要求》《信息安全技术 步态识别数据安全要求》《信息安全技术 基因识别数据安全要求》《信息安全技术 声纹识别数据安全要求》《信息安全技术 人脸识别数据安全要求》等。
针对人工智能在特定行业的应用,中国相关主管部门出台了细化的监管规则,如在生成式人工智能(AIGC)领域,有《互联网信息服务深度合成管理规定》《人工智能 深度合成图像系统技术规范》等;在自动驾驶领域,有《智能网联汽车道路测试管理规范(试行)》《智能网联汽车道路测试与示范应用管理规范》等规定;在智慧医疗领域,有《人工智能医疗器械注册审查指导原则》《人工智能辅助诊断技术管理规范》《人工智能辅助治疗技术管理规范》《人工智能辅助诊断技术临床应用质量控制指标》等。
值得关注的是,部分地方出台的人工智能产业促进文件,如《深圳经济特区人工智能产业促进条例》和《上海市促进人工智能产业发展条例》,在提出促进人工智能产业发展的各项政策措施之外,也对人工智能安全治理进行了探索,比如,在地方政府层面设立人工智能伦理委员会;实施分级监管,提出禁止类人工智能清单,对高风险场景要求开展事前评估和风险预警,对于中低风险场景则要求事前披露和事后跟踪;对于从事人工智能研究和应用的企业和个人,要求其遵守伦理安全规范,开展伦理安全规范审查和风险评估。地方立法先行先试,可为将来中国国家层面制定人工智能统一监管规则积累经验。
总体而言,中国对人工智能采取发展与安全并重的策略,在大力促进人工智能技术应用的同时,也从多维度、多层级、多领域探索人工智能的治理之道。
四、中美欧人工智能法律监管比较
由于产业发展情况、政策法律传统的差异,中美欧在人工智能法律监管方面各自表现出一些特点,详见下表:
五、展望
随着人工智能技术与应用发展的深入,人工智能法律监管的急迫性日益凸显。基于对中美欧人工智能法律监管现状的观察,可以预测,未来各国可能以风险分级治理为基本思路,通过伦理审查、算法治理、内容治理、数据安全、竞争执法、行业监管等作为主要抓手,确保人工智能安全、可信、可控。
人工智能企业应提前布局,组建内部人工智能风险治理委员会,及时研判人工智能在数据、技术和应用等层面的风险,逐步建立有效的风险预警与应急管理机制,采取敏捷治理、分类分级管理方式,探索人工智能设计、研发、投入市场、运行维护等全流程评估验证机制,提升人工智能风险管控和处置能力。
