背景
2024年3月13日,欧盟议会以523票赞成,46票反对和49票弃权的压倒性票数通过了《人工智能法案》(AI Act,以下简称法案),这是有史以来第一个人工智能法律框架,欧盟希望其能在全球发挥主导作用。
《法案》旨在为人工智能开发者和部署者提供有关人工智能具体使用的明确要求和义务。同时,该法规旨在减轻企业,特别是中小企业的行政和财务负担。
《法案》是支持可信人工智能发展的更广泛政策措施的一部分,其中还包括AI Innovation Package和Coordinated Plan on AI。这些措施将共同保障人工智能领域的个人和企业的安全和基本权利。他们还将加强整个欧盟对人工智能的吸收、投资和创新。
风险等级
《法案》将人工智能系统中的风险分为四级:
不可接受风险(unacceptabe risk)
高风险(high risk)
有限风险(limited risk)
最小风险(minimal risk)
不可接受风险的人工智能被认为对公众安全,生计和权利构成明显威胁,将被禁止。
以下人工智能被认为具有不可接受风险,因而被禁止使用:
对人或特定弱势群体的认知行为操纵
根据行为、社会经济地位或个人特征对人进行社会评分
人的生物识别和分类
“实时”远程生物识别系统
注:出于执法目的,可能允许有一些例外情况。
高风险的人工智能需要符合一系列的合规要求之后才可以使用。
(一)高风险人工智能分类
第一类是作为产品安全部件或本身是产品的,受到附件二中欧盟统一立法调整的,需要第三方进行评估的人工智能;
第二类是附件三中列举的人工智能系统。目前附件三中列举的高风险人工智能使用场景如下:
欧盟或成员国法允许使用的生物识别系统;
被用作基础设施建设的人工智能;
在教育或职业培训中利用的人工智能;
就业、员工管理或自营职业中利用的人工智能;
欧盟或成员国法允许用于执法的人工智能;
用于移民、庇护、边境管制管理;
司法和民主程序。
虽然符合以上情形,但是如果人工智能系统没有对自然人的健康、安全或基本权利造成重大风险,如执行程序性任务,完善人类之前已完成的成果等,只要这些系统没有进行自然人画像,也不认为是高风险的人工智能。供应商不需要履行相关义务,但是需要在将此类人工智能系统投放市场之前记录其评估结果并在欧盟数据库中注册。
(二)各方义务(参考法案第三章)
法案针对高风险人工智能系统本身以及系统的供应商、部署者等均提出了相应的要求。
1.供应商的义务
针对高风险人工智能的供应商,法案提出以下要求:
确保提供的人工智能系统符合法案关于高风险人工智能系统的要求;
指明供应商的名称、注册商号或注册商标、联系地址;在高风险人工智能系统上标明其名称、登记商号或登记商标、联系地址,如无法标明,则在包装或随附文件上标明;
拥有符合要求的质量管理系统;
按照要求保存相关记录;
在受其控制期间,保存高风险人工智能系统自动产生的日志;
确保高风险人工智能系统经过了相关的合格性评估程序;
按照要求起草欧盟合格性声明;
按照要求加贴CE标识;
按照要求履行登记义务;
采取必要的纠正措施和提供相关信息;
在收到监管机关的合理要求时,证明人工智能系统符合要求;
确保高风险人工智能系统符合无障碍要求;
供应商位于欧盟境外的,还应当在欧盟境内指定授权代表。
2.进口商的义务
进口高风险人工智能系统的应当确保系统符合法案的规定,核实:
供应商已执行了相关合格性评估程序;
供应商编制了符合要求的技术文件;
系统带有CE标识,并附有EU合格性声明和使用说明;
供应商已按规定任命了授权代表。
此外,进口商应当:
在系统或其包装上注明其名称、注册商号或注册商标、联系地址;
确保其负责时存储或运输条件不会危及该系统的合规性;
按照要求保存通知机关签发的认证副本(如适用)、使用说明和欧盟合格声明;
收到监管机关的合理要求时,提供必要的资料和文件;
与监管机关合作,减少和降低高风险人工智能系统的风险。
3.分销商的义务
分销商在销售高风险人工智能系统之前,应当核实高风险人工智能的合规性:
是否带有CE标识、是否有合格性声明等;
应当确保其负责时存储或运输条件不会危及该系统的合规性;
如有理由认为人工智能系统不符合要求时,采取必要的纠正措施、撤回或召回该系统,或者保证提供者、进口者或有关经营者根据情况采取这些措施;
证明高风险系统的合规性;
与监管机关合作等。
4.部署者的义务
部署者应当采取适当的技术和组织措施,根据系统的使用说明使用系统;
部署者委任有必要能力,经过培训和拥有必要权力的自然人进行人工监管,同时向其提供必要支持;
部署者应当保存系统生成的日志;
部署者在做出或协助做出与自然人有关的决定时,应告知自然人其须使用高风险人工智能系统;
部署者应与相监管机关合作。
有限风险的人工智能是指与自然人交互的人工智能、情绪识别系统、生物分类系统、生成式人工智能系统等。对于有限风险的人工智能系统,法案要求其履行透明度义务。例如直接与自然人互动的人工智能系统应当使使用者知道其正在使用的是人工智能系统,生成式人工智能系统应当对其生成内容进行标注等。
最小风险的人工智能,如人工智能游戏、垃圾邮件过滤系统等,无需额外履行义务。
所有除了划分等级以外,《法案》为非常有能力和影响力的模型引入了额外的风险管理义务。这些额外义务包括自我评估和缓解系统风险、报告严重事件、进行测试和模型评估以及网络安全要求。
生效与执行
由于人工智能是一项快速发展的技术,《法案》采用了面向未来的方法,允许规则适应技术变化。人工智能应用程序即使投放市场后也应该保持可信度。这需要提供商持续进行质量和风险管理。
同时,欧洲人工智能办公室于 2024 年 2 月在委员会内成立,负责监督《法案》与成员国的执行和实施。
具体实施
根据欧盟议会官方发布的消息,该法案待经过语言检查和欧盟理事会批准后,于欧盟官方公报上发布之日起20日后生效。法案将在生效后24个月完成实施工作。
禁止使用不可接受风险的人工智能的规定将于法案生效后6个月实施
行为准则将法法案生效后9个月实施
关于通用人工智能模型的规则将于法案生效后12个月实施
高风险人工智能系统有关的义务将于法案生效后36个月实施
根据法案,违反禁止使用人工智能条款的,最高处以3500万欧元或上一年全球年营业额的7%(以较高者为准)的罚款;违反其他规定的,最高处以1500万欧元或上一年全球年营业额3%的罚款(以较高者为准);向成员国主管机构提供不正确、不完整或具有误导性的信息,将被处以最高750万欧元或上一年全球年营业额1%的罚款(以较高者为准)。
注:点击左下方“阅读原文”查看《人工智能法案》原文
