8月1日,歐盟【人工智慧法案】(下稱【AI法案】)將在歐盟範圍內正式生效,並將在未來三年分階段實施。這是全球第一部全面監管人工智慧的法案,影響力不可低估。
與人工智慧企業切身利益相關的是,【AI法案】對多類在歐盟區域開展業務的海外公司有所約束,影響波及域外地區。這部法案已經引起法律界和業界廣泛重視,大家都在等待歐盟對一些條例提供進一步的詳細說明和配套設施。
以數據合規相關內容為例,全球機器學習和增長行銷解決方案公司 Moloco亞太區產品總監劉連波告訴第一財經,「私密政策這件事情並不是針對某個一家公司,是對所有參與其中的partner(合作方)或者所有的player(玩家)都是相關的。這個行業大家面對的挑戰總是一樣的,我不認為會對出海生意的趨勢有本質的影響,因為這個行業會共享這個挑戰。」他認為首先重要的是合規,其次是正確收集數據而不濫用,這最終也會促使我們調整演算法模型來進行應對。「我們會仔細跟蹤和研究該法案對我們出海客戶的具體挑戰,然後我們會和客戶一起去研究落實解決方案。」
「國內出海至歐盟的企業最需要關註的是高風險系統AI系統。如果不符合規定,企業將面臨高額罰款和法律風險。」 墾丁(廣州)律師事務所創始合夥人、主任律師,W&W國際法律團隊創始人王捷告訴第一財經記者,參考國內科技企業在歐盟地區開展業務的情況,主要受影響的行業包括醫療健康、人力資源、公共安全和交通運輸等。
另有業界人士告訴記者,對於【AI法案】中的一些規定,企業要遵守並不容易,且做到合規預計將帶來企業成本上升。
罰款可達3500萬歐元
ChatGPT 2022年年底意外爆火帶來了人工智慧立法的急迫性。在歐盟緊鑼密鼓的籌備下,【AI法案】今年3月在歐洲議會透過,並於今年5月獲得歐盟理事會批準。今年8月1日該法案正式生效。
【AI法案】在全球範圍內的影響力不可小覷,一定程度上是因為,【AI法案】的管轄範圍包括一些在歐盟區域外設立的相關公司。6個月後,總則和關於不可接受風險AI系統的禁令將適用;12個月後,高風險AI系統的部份章節、通用人工智慧模型等章節將適用;24個月後,除高風險AI系統分類規則等部份內容外,其余部份適用;36個月後,高風險AI系統分類規則等部份內容也適用。
該法案規定,條例適用於將AI系統投放到歐盟市場或為歐盟提供AI系統服務的提供商,或是將通用人工智慧模型投放到歐盟市場的提供商,無論這些提供商設立地或所在地是在歐盟還是在第三國。也適用於設立地或所在地在歐盟的AI系統部署商,以及AI系統進口商和分銷商、以自己名義或商標將AI系統與產品一起投放市場或投入使用的產品制造商、位於歐盟的受影響人員等。
這意味著,只要海外AI相關公司將AI系統投放到歐盟市場,或帶上了自己的商標,或影響到歐盟地區的人員,便可能在該法案規制範圍內。違反規定的企業最高將被處以3500萬歐元或最高年收入7%的行政罰款(以較高者為準)。
關於該法案的價值和後續影響,法律界和學界多有討論。
此前歐盟釋出的【通用數據保護條例】(GDPR)已顯現「布魯塞爾效應」,意即歐盟透過單方面市場規制能力將其法律制度推廣至境外,讓受監管實體在歐盟之外也遵守歐盟法律。這種效應能否在【AI法案】上再次體現,出現了不同的聲音。
「【AI法案】是一個‘石破天驚’的法案,在權利、義務、責任之外,它往前探了一步,抓住‘風險’這個牛鼻子。以往立法從來沒有提出對新技術的整套規制方法。」同濟大學法學院副教授陳吉棟告訴記者,歐盟透過大量問卷調查和報告來支撐法案中幾個簡單的條文,投入巨大的立法成本,前期研究十分透徹。在AI發展優先和監管優先兩端之間,歐盟希望在中間做平衡,監管並沒有太早。這部法案並非一勞永逸的完美法案,還會根據AI發展改進。【AI法案】在國內已被學習參考。美國則體現了實用主義者的選擇,采取動態監管方案。
在金杜律師事務所合夥人趙新華看來,【AI法案】非常全面,在全球性問題治理上,歐盟立法走在前面。結合2018年的GDPR以及近年的數位服務法、數位市場法等,歐盟為進入數位經濟時代做了多年鋪墊。該法案積極的一面是對AI監管起到很好的示範,「就像GDPR出台後,全球監管框架基本上都在借鑒GDPR,【AI法案】出台也必定會對全球AI治理提供有益的借鑒和參考。」
北京師範大學法學院副教授、中國互聯網協會研究中心副主任吳沈括認為,這會對跨國企業帶來非常重大的影響,影響業務研發模式、合規流程設計、市場營運策略,其優點在於明確的規則和細化的制度設計。
另有聲音認為,【AI法案】推出可能過早過嚴,而全球不同地區對AI產業發展的態度並不相同。
吳沈括也認為,短期來看【AI法案】存在阻礙當地AI布局的這個可能性。這是監管和產業企業之間互動賽局的過程,需要一個相互增強認知的過程。中長期看,如果在確定性和監管力度上有所平衡的話,可能存在反彈機會。
AI初創企業波形智慧計劃出海歐洲,創始人姜昱辰曾在瑞士攻讀人工智慧博士學位。她認為,歐盟嚴監管不是一個新問題,歐洲向來在數據私密方面較嚴。「這次只是針對AI出了相應的私密條款,但私密條款本身嚴格這件事情不這麽新,是歐洲市場一直存在的固有挑戰。」
至於【AI法案】對市場的影響,姜昱辰認為會有一些,但對私有化部署的影響較小,對大模型公司影響可能更大,「尤其大模型公司提供閉源的API有較大風險,但給企業做私有化部署或做保障的軟體,這個市場反倒更大。」當私密監管較強時,私密保障較好的產品及公司會獲益。
高風險系統劃分引關註
【AI法案】對企業的影響細化在「風險分級」監管中。
具體看,【AI法案】采取「風險分級」監管模式,將AI系統分為四個風險級別,分別為被禁止的、高風險、有限風險和最低風險,每個級別都有相應合規要求。法案規定,不可接受風險的AI系統被徹底禁止投入市場,高風險AI系統只有在符合某些強制性要求的情況下才能投放歐盟市場、投入服務或使用,有限風險AI系統的規制較少。
一些法律界人士認為,AI企業進入歐盟市場最應關註的是高風險AI系統的劃定和要求。
美國奧睿律師事務所巴黎辦公室合夥人Julia Apostle告訴記者,根據【AI法案】規定,高風險AI系統開發者有最重的合規負擔,包括需要證明符合法律的要求。任何在歐洲開發或投放AI系統的公司都應該審查其AI系統是否為高風險。從AI實際套用看,開發可能影響個人權利、安全和自主權的AI系統公司,受該法案影響較大。
「高風險AI系統涉及關鍵領域,如教育和職業培訓、就業、重要的私人和公共服務(如醫療保健、銀行業)等,這些領域受到嚴格監管和合規要求。而醫療健康、人力資源、公共安全和交通運輸等行業使用的AI系統大多屬於高風險類別。」王捷表示。
據歐盟推動制定【AI法案】之初的預計,高風險AI系統占AI系統的比例約5%~15%。王捷判斷,不直接影響人身安全、健康或基本權利的套用場景相對影響較小,如聊天機器人、個人化內容推薦等,一般不會被認為是高風險系統。Julia Apostle認為,多數AI系統不會受該法案太大影響,而對高敏感領域,如醫療保健、職業場景,將會有進一步的立法關註。
但陳吉棟判斷,高風險AI系統涉及廣泛,現在歐盟把大多數AI系統都納入高風險系統中。例如自動駕駛汽車、人臉辨識都可能涉及高風險。
值得註意的是,【AI法案】明確了AI系統相關的多類主體,包括AI系統提供者、部署者、授權代表、進口商和產品制造商。據上海段和段律師事務所律師團隊近期釋出的一篇文章,AI系統提供者的義務要求最繁多,大約涉及29條條例,這些義務涉及系統設計、開發、測試、部署、監控等多環節,明顯多於部署者、授權代表、進口商涉及的條例。
王捷表示,AI系統提供者負責開發人工智慧系統或通用人工智慧模型並將其投放市場,這意味著需要投入更多資源來確保合規性。AI系統提供者需承擔最多義務、也承擔較高合規成本。
此外,【AI法案】也對通用人工智慧系統施以頗大關註。該法案稱,具有至少10億個參數並使用大規模自我監督用大量數據訓練的模型應被視為具有顯著通用性。而當通用人工智慧模型用於訓練的累積計算量大於10的25次方每秒浮點運算次數FLOPs時,將被認為具有高影響能力,進而可能被認定為具有「系統性風險」,需滿足一些額外要求。
大模型合規成本或超出17%
對人工智慧相關企業而言,要滿足這樣一部全面且復雜的法案的要求,隨之而來的可能是合規成本上升。
海外智庫Center for Data Innovation在2021年歐盟推動【AI法案】制定之初便預計,該法案將使未來五年內歐盟經濟損失310億歐元。一家部署高風險AI系統的歐洲中小企業將承擔高達40萬歐元的合規成本。【AI法案】將導致所有人工智慧支出額外17%的開銷。
CEPS(歐洲政策研究中心)同年澄清,超300億歐元損失的估計被誇大,支出17% 額外開銷僅適用於未滿足任何監管要求的公司。在CEPS的研究中,要建立一個全新的品質管理體系(QMS)的成本可能在19.3萬歐元至33萬歐元之間,每年的維護費用估計為7.14萬歐元,一旦QMS建立起來,成本會降低,且QMS只是針對高風險AI系統提供者的要求。
以上關於合規成本的討論發生在兩三年前,當時大模型還未成為主流,如今情況可能發生了改變。
Julia Apostle認為,提出的17%這個數位,是基於非常低的AI系統基礎成本的估計,未反映訓練一個基礎模型的成本。「合規成本還無法完全估算,因為還不知道全部細節。高風險AI系統和通用人工智慧模型的提供者的成本將是最大的。法律依賴於對技術標準的采納,由公司實施這些標準,實施過程須經過認證。而這些標準內容尚未正式確定,但肯定涉及政策、程式和具體產品要求的采納。」Julia Apostle表示,由於該法案對AI的監管不止於歐盟,企業因該法案而離開歐盟似乎不太可能。
王捷認為,對該法案,國內大模型廠商若要在短期內快速且低成本實作合規可能有難度,特別是對於數據復雜的大模型。大模型廠商的挑戰可能是適應歐盟對於數據管理、模型透明度和可解釋性的高標準要求。
吳沈括認為,對於風險的分類、分級,特別是關於AI研發的披露度問題,是比較大的合規挑戰,這與人工智慧演算法一定的黑箱內容具有較強烈和明顯的沖突。趙新華則認為,【AI法案】涉及一些更高的合規標準和要求,企業進入歐盟市場前要考慮能不能接受合規成本,以及可能面臨的不合規責任。
「如果說歐盟完全不在乎對經濟的限制,也不準確。」趙新華表示,從【AI法案】規定範圍、內容看,歐盟也在試圖消除規定對創新的影響,如對一些較少風險AI系統的管理相對寬松。例如支持創新的措施中專門設了人工智慧監管沙盒,供企業測試創新性產品、服務、商業模式和交付機制,避免企業因從事相關活動而立即招致監管後果,這是針對技術創新的柔性監管制度,給了小企業較多發展空間。該法案有較大靈活性,風險管控循序漸進、逐步匹配,預計對經濟造成負面的沖擊較小。
具體條例看,業界和法律界仍在關註哪些具體要求可能增加合規成本。
【AI法案】對高風險AI系統的要求非常細致,涉及風險管理系統、數據和數據治理、技術檔、記錄保存、透明度和向部署商提供資訊、人為監督、準確性、穩健性及網路安全。具體要求包括但不限於建立、實施、記錄和維護與高風險AI系統相關的風險管理系統;擬定技術檔並向國家主管部門和認證機構提供必要的資訊;訓練、驗證和測試數據集的數據準備處理工作包括各種註釋、清理、更新等,並采取措施發現、預防和減輕可能發生的某些偏差。
【AI法案】對通用人工智慧模型提供商的要求則包括擬定並隨時更新技術檔、向擬整合該模型的AI系統提供商更新資訊和文件、制定遵守歐盟版權法的政策、起草並公開一份關於通用人工智慧培訓內容的足夠詳細的摘要。被認定為具有「系統性風險」的通用人工智慧模型需額外履行一些義務。
一名國內互聯網大廠研發負責人向記者表示,對高風險AI系統的要求中,較可能導致成本增加的是對數據進行處理、預防某些偏差,因為涉及專門做數據處理並微調模型來避免模型輸出不合法內容。國內大模型在這方面肯定做過工作,但各地標準不同,要符合新標準需重新做工作。
趙新華則表示,高風險AI系統提供者是指AI系統由某個企業提供並投入歐盟市場,法案專章列出提供者的義務,包括編制相應技術檔、證明符合法案要求,並對符合歐盟的相關規定做符合性聲明,還要增加CE合格證認證。高風險AI系統投放市場前需完成合格性評估程式。
「這些規定非常具體,對提供者、部署者、進口商和分銷主體設定不同的義務。」趙新華表示,如果大模型公司在歐盟市場提供服務,除了需要請律師在合規層面及法律方面做評估和建議外,還涉及透過第三方進行合格性評估程式等,有些企業加CE標誌也需找第三方認證機構。此外,【AI法案】還要求將AI系統演算法的主要技術數據做摘要,這可能涉及公司內部商業、技術團隊,及外部第三方主體。
成本之外,人工智慧企業是否願意為了進入歐盟市場而滿足【AI法案】的要求也是問題。
【AI法案】對通用人工智慧模型在預訓練和訓練中使用數據的透明度提出要求,模型提供商應起草並公開用於訓練通用人工智慧模型內容的足夠詳細的摘要。在適當考慮保護商業秘密和機密商業資訊必要性的同時,摘要內容應總體全面。
」現在公開的大模型技術檔對預訓練數據方面大多一筆帶過,但其實這部份內容應該最多。」一名國內頭部大模型研發人員告訴記者,大模型效果如何,80%跟訓練數據有關。之所以不公開訓練數據的細節,是因為訓練數據在一定程度上是企業核心機密。同時,很多大模型的訓練數據來自網上各種渠道,如果不披露可能不會有人發現數據來源,一旦披露則可能暴露版權問題。
以上技術人員告訴記者,需向外送出的技術文件如果有詳細的要求,大模型公司也不一定願意提供,這並非成本的問題,而是因為公司可能希望對技術保密。
【AI法案】還將分階段實施,目前也有不少模糊或需厘清的問題。陳吉棟告訴記者,要劃定高風險系統還是比較難,企業面對高風險AI系統需承擔的諸多義務時,會傾向於不把自身劃定在高風險範圍內。歐盟或相關方還需要提供一套後台配套基礎設施來支撐法律順利執行。
吳沈括認為,從可能的缺點來看,該法案對於產業研發和套用的邏輯是否有足夠強的匹配性,還需要進一步的觀察。
「模糊和爭議點主要集中在定義和具體合規要求上,如高風險AI系統精確界限、基礎模型和套用模型的區分等。如何有效評估和監控AI系統透明度和公平性也存在不確定性。」王捷認為。
「我認為國內有些大企業已經做好了合規的準備,但大部份還沒做系統準備,維持觀望態度。是否做好合規準備,更多取決於戰略認知。企業要從本質上認識到人類已進入人工智慧高風險時代,對其風險進行管控已成為共識。」陳吉棟表示。
(本文來自第一財經)