![关于欧盟《人工智能法行为准则》起草的建议,附全文中译本]( "关于欧盟《人工智能法行为准则》起草的建议,附全文中译本")
扫码立即加入学习!
综合:欧盟计算机与通讯行业协会、IAPP
作者:Caitlin Andrews
整理:何渊
随着欧盟《人工智能法》实施机制关键部分的起草工作预计在9月底开始,成千上万的实体正试图影响这一进程的发展。
人工智能办公室仅有九个月的时间来制定该行为准则,该准则将规范整个欧盟范围内的通用人工智能。在如此相对较短的时间内,一份由计算机和通信行业协会(CCIA)委托的报告指出,起草者应小心避免过去监管者的错误。
这意味着要确保该准则的范围与欧盟《人工智能法》相符,并且人工智能办公室要持续参与起草过程。这些要点是CCIA报告中提出的十项建议之一,而这些建议旨在创建一个将在全球范围内产生影响的治理框架。
该报告为行业中一些最具影响力的成员提供了一个如何进行起草工作的窗口。
"由于参与和遵守《人工智能法》行为准则是自愿的,因此《人工智能法》行为准则的制定程序及其内容需要具有吸引力,以确保该准则的成功,"报告指出。"否则,存在风险,即通用人工智能提供商可能不会参与,而是依赖于其内部的合规解决方案。"
尽管该准则的参与是自愿的,但如果提供商不签署它,则必须展示其他遵守《人工智能法》的手段。舍弃该准则而选择内部合规做法意味着可能导致碎片化,而不是一致的应用——这很可能会在未来引发法律纠纷。
该准则的重要性在于其影响的范围。通用人工智能系统有多种用途,有时超出了开发者的初衷。此类系统有时被称为"基础模型",它们为其他更有针对性的人工智能产品提供蓝图。基于ChatGPT的大型语言模型的搜索引擎就是其中一个例子。
CCIA欧洲负责人Kasper Peters表示,在准则上线的时间框架内为行业组织提供建议而委托撰写报告是至关重要的。
"在短短几个月内为像通用人工智能这样的前沿技术制定行为准则是前所未有的,"他说。如果起草过程不尽如人意,Peters指出,"这可能意味着创新减少,欧盟消费者和企业获得最前沿人工智能技术的机会减少。"
人工智能办公室发出公开呼吁,邀请相关方提交关于如何撰写准则的意见,吸引了近千名申请者。
建议内容
报告将建议分为三大类:与国际方法保持一致,提供法律确定性,并创建一个扎实的起草过程。
制定起草程序的建议始于审视其他行为准则,观察它们的结构,以及它们的优劣。Padova表示,类似的治理方法已经在包括《欧盟通用数据保护条例》在内的监管中使用,随着技术行业的不断发展,这种方法似乎越来越受欢迎。
报告认为,行为准则的优势在于它们比硬性法律更加灵活,可以进行更新。
然而,行为准则在执行其任务时被认为成功的频率难以衡量。Padova表示,来自行业成员的反馈表明,他们的接受度有些复杂。
"有些被认为成本过高,过于严格——我记得有一个准则被形容为‘折磨’,"Padova说。"所以,这一概念很有吸引力,但在实践中它如何运作呢?"
由于制定建议的时间有限,Padova和Thess参考了其他规范性文件——例如七国集团的人工智能原则与行为准则,以及国际标准化组织的人工智能管理系统——以及其他国家的框架来寻找灵感。
"你不能把拜登的行政命令——这是非常软性的法律,且属于美国的法律混合体——与适用于27个国家的法规进行比较,"他说。"但我们仍然希望在欧盟之外寻找灵感,而不是像一个孤岛那样行事。"
为了吸引人工智能提供者参与该准则,报告建议通过内置激励措施来起草,例如提供法律确定性或确保该准则与其他领域的互操作性——这对欧盟企业在全球市场上竞争是一个"关键前提"。
法律确定性还意味着要在欧盟《人工智能法》的框架内行事。
报告建议,起草者不应涉及如版权之类的问题,因为这些法律与人工智能模型训练的交互复杂且具有法律性。此外,起草者应避免过于纠结于细节,以免创造出无法随着技术变化而适应的文件。
"有时候,你可能会稍微超出法律的范围以使事情更加清晰。但在追求清晰的同时,你可能会扩大范围,并引入法律未明确规定的新要求,"Padova说。
保持在《人工智能法》规定的行为准则计划范围内还意味着尊重受影响最大的利益相关方的观点。Padova表示,在民间社会和行业之间需要平衡——让人工智能提供商掌握起草准则的主导权一直是一个被批评的议题——但报告指出,这些提供者已被明确纳入法律,可以参与起草过程,而其他方只能提供支持。
尽管如此,报告中的最后一项建议也指出,不应让某个提供者在这一过程中拥有更大的影响力。《人工智能法》行为准则"不应认可或提及由内部或外部利益相关方推广的特定商业解决方案",报告指出。
相反,起草者应"根据通用人工智能提供者的经验,并与人工智能办公室保持一致,专注于寻找可行的解决方案"。
Yann Padova,威尔逊·孙辛尼·古德里奇·罗萨蒂律师事务所隐私与网络安全合伙人
Sebastian Thess,威尔逊·孙辛尼·古德里奇·罗萨蒂律师事务所助理
通用人工智能(“GPAI”)具有巨大的潜力造福人类。但作为一种新兴的尖端技术,它正在迅速发展,不断扩展技术前沿,挑战传统的监管方式。因此,人工智能法案依赖行为准则来明确其义务。鉴于 GPAI 的潜力,确保行为准则的成功并确保 GPAI 提供者的广泛和有效参与至关重要,这些提供者对这项新技术拥有独特的知识。为此,应考虑以下十项建议:
1. 为 GPAI 提供者提供有效激励,以便他们参与自我监管过程,而不是依赖其独立的内部合规解决方案。
2. 通过确保行为准则与新兴的国际方法/标准(如 G7 行为守则)保持紧密一致(在 AI 法允许的范围内),防止形成分散/矛盾的 AI 框架。
3. 提供明确且可调整的 GPAI 提供者义务指南,如 AI 法所设想的义务(例如,提供 GPAI 的系统性风险领域清单,确保程序保障的高标准、比例性、商业秘密保护以及保护 GPAI 模型安全性和完整性的措施)。
4. 避免解决超出此范围的问题,例如试图解释并对符合欧盟版权法的情况进行法律评估。
5. 在 AI 法允许多种合规措施的情况下,使 AIA 行为准则与现有和新兴的国际方法及技术标准保持一致。
6. 确保在起草过程中适当考虑细节层次,根据每项义务逐项进行,并充分考虑 GPAI 提供商的丰富经验和知识。
7. 在确定适当的细节层次时,确保 GPAI 提供者的密切参与(特别是技术考虑和最佳实践方面)。
8. 确保 AI 办公室持续参与行为准则的起草过程。
9. 确保 GPAI 提供商和其他利益相关者的不同角色和责任在起草过程中反映在参与范围和程度上。
10. 确保起草过程组织得清晰且高效,设有明确的里程碑,并能在 AI 办公室与 GPAI 提供商之间进行可预见的交流轮次(例如,起草过程中的截止日期和会议频率应为参与代表提供足够的时间进行内部协调和信息收集)。此外,AIA 行为准则不应认可或提及由内部或外部利益相关者推广的具体商业解决方案,而应专注于基于 GPAI 提供商经验并与 AI 办公室保持一致的可行解决方案。
经过长时间的过程,欧盟《人工智能法》(“AIA”)最终版本于 2024 年 8 月 1 日生效。作为全球首个全面的人工智能(“AI”)法律,它已经成为焦点关注点。而现在,注意力正在转向其实施。在这个背景下,即将出台的《AI 行为准则》(“AIA 行为准则”),旨在将 AI 法中针对通用人工智能模型(“GPAI”)提供者的许多义务进行操作化,将起到关键作用。
作为一种新兴的前沿技术,GPAI 具有极大的潜力来造福人类。与此同时,GPAI 发展迅速,技术复杂,因此欧盟依赖 AIA 行为准则来明确这些义务。鉴于 GPAI 的巨大潜力,确保 AIA 行为准则取得成功至关重要。由于参与和遵守 AIA 行为准则是自愿的,制定 AIA 行为准则的程序及其内容需要足够有吸引力,才能确保其成功。否则,GPAI 提供商可能会选择不参与,而是依赖其内部合规解决方案。
本文的目的是探讨有助于 AIA 行为准则成功的重要因素。为此,本文将 AIA 行为准则置于欧盟过去使用类似共规工具的更广泛框架内,以识别在当前制定过程中应考虑的相关经验。然后,将探讨确保 AIA 行为准则成功的三个关键领域:确保与国际新兴标准保持一致,提供法律确定性,并设计适当的起草流程。基于这些反思,本文提出了建议,旨在确保 AIA 行为准则成为行业合规的关键参考,并成为实现 AI 法目标的成功工具。
### 行为准则和行为守则在欧盟政策工具中的日益流行
“行为准则”(Code of Practice) 和 “行为守则”(Code of Conduct)是新兴和快速发展的技术驱动市场中的重要监管工具。从宏观角度看,行为准则是一种共规工具,受监管实体帮助设计将规范其行为的程序和规则。这个过程允许实体贡献其专业知识和实践经验,有助于制定反映行业最佳实践的可行规则,并支持实现监管者的政策目标。因此,行为准则可以为监管者和受监管实体提供制定反映技术和操作现状的规则的机会,从而提供一种高效、灵活和实用的合规方式。
这种灵活性使行为准则在欧盟的数字领域监管方法中占据重要地位,并非巧合。事实上,现有框架和概念并不总是适合监管新兴和快速发展的技术。这些技术以及社会与它们的互动往往提出新的、复杂的问题。因此,可能需要新的、灵活且独特的监管回应。在这个背景下,行为准则可以成为非常有效的工具。
过去几年欧盟的监管活动中可以清楚地看到行为准则的突出地位。例如,早在《数字服务法》(“DSA”)生效之前,欧盟通过诸如《打击在线非法仇恨言论行为守则》或《虚假信息行为准则》等行为准则来解决内容审核和虚假信息问题。类似的例子还可以在数据领域找到,例如自由流动非个人数据的框架或保护隐私的《通用数据保护条例》(“GDPR”)行为准则。
过去的行为准则经验参差不齐。一方面,如果设计得当,行为准则可以带来显著的利益和影响;另一方面,繁琐且漫长的流程也可能对其成功产生不利影响,增加企业资源成本并阻碍参与者的贡献。
例如,欧盟委员会的评估结果表明,《虚假信息行为准则》在打击平台上的虚假信息方面发挥了积极作用。另一方面,自 GDPR 生效六年后,相关的 GDPR 行为准则数量有限,实际影响也较小。观察者认为,欧盟隐私行为准则的有限成功可能与其采用过程中的高成本和繁琐流程有关(有时甚至被描述为“折磨”)。本文的目标之一是提出避免这种“折磨”过程的建议,以确保 AIA 行为准则的顺利制定。
回顾过去的多个行为准则,欧盟的监管机构应认识到,这些工具提供了巨大的机遇,但如果设计不当,也容易成为错失的机会。
这一点在即将出台的 AIA 行为准则中尤为重要。制定 AIA 行为准则是一个独特的过程,面临着应对全新前沿技术的挑战。GPAI 是通过大量数据进行训练,依赖于大规模自我监督。由于其广泛性,GPAI 能够执行多种任务,并可以集成到各种下游系统或应用中。由于其前沿性和所需的大量数据,参与 GPAI 开发的公司数量有限,这限制了潜在的贡献者。因此,AI 办公室在起草即将出台的 AIA 行为准则时,应明确区分 GPAI 提供者与其他利益相关者的意见。
本文将通过以下三个主题反思 AIA 行为准则成功的关键方面:确保 AIA 行为准则与国际新兴方法和标准保持一致(第一部分)、提供法律确定性和必要的灵活性(第二部分)以及设计适当的 AIA 行为准则制定程序(第三部分)。基于这些反思,本文提出了确保 AIA 行为准则成为行业合规关键参考的建议,并为实现 AI 法案的目标提供了成功的工具。
### 第一部分:确保与国际新兴方法和标准保持一致
GPAI 提供商分布在世界各地,如美国、英国、法国、德国等,且提供者的数量正在快速增长。他们还向全球客户提供服务。由于其全球化运营,AI 提供商和部署者已经面临广泛的国际和国家法规、行为准则以及由不同组织或机构发布的指导原则。例如:
- 2019 年 5 月,经合组织(OECD)发布了《人工智能建议》,该建议为 AI 系统的提供商和部署者提供了高层次的原则。
- 2023 年 10 月,七国集团(G7)领导人发布了《开发高级 AI 系统的国际指导原则》,为 AI 系统的安全、可靠和可信赖的发展和使用提供了 11 项核心原则。
- 同一天,七国集团还发布了《高级 AI 系统开发组织行为守则》,为开发最先进 AI 系统的组织提供了指导。
- 2023 年 11 月,英国、美国及其他多个国家的网络安全机构发布了《安全 AI 系统开发指南》。
- 最后,2023 年 11 月,在英国举办的 AI 安全峰会上达成的《布莱切利声明》和 2023 年 10 月拜登总统签署的《行政命令》为 AI 安全和可靠开发提供了进一步的方向。
AI 系统开发和使用的国际方法和标准正在快速发展,并且,技术水平也在不断更新。在一个全球 AI 系统快速发展且各国法规框架不断涌现的环境中,确保一致性既是巨大的机遇,也是艰巨的挑战。
世界各地的监管机构似乎已经意识到这一挑战,并努力通过定期会议和交流确保密切合作和共识。例如,最近启动了欧洲 AI 办公室和美国 AI 安全研究所之间的技术对话,旨在加强双方在 AI 和科学信息交换领域的合作。这同时也是一个巨大的机遇。确保这些新兴的多层次法规框架基于一套通用的方法、规则和标准,将提高法律确定性,使国际 AI 行为者能够基于全球一致的规则和标准设计和运营其系统,并促进互操作性。这不仅有助于实现全球安全、可靠、可信的 AI 发展目标,还将确保快速增长的 AI 产业及其创新服务不因分散甚至矛盾的规则而受到抑制。此外,这也是欧盟公司实现全球扩展的重要前提。
在这个背景下,即将出台的 AIA 行为准则对 AI 办公室和欧洲人工智能委员会(“委员会”)来说是一个重要的机遇。AI 办公室的任务是推动 AIA 行为准则的制定并评估其适当性。委员会将为这一过程提供支持和协助。在此过程中,AI 办公室和委员会应尽可能根据 AI 法案(特别是 AI 法案第 56 条第 1 款的明确规定)考虑并反映这些新兴的国际方法和标准。
法律确定性以及比例性是欧盟法律中的公认原则,也是确保 GPAI 提供商广泛参与 AIA 行为准则的关键因素。
在 AIA 行为准则的背景下,法律确定性尤其重要,因为它关系到行为准则的范围和内容的清晰度。AIA 行为准则成功的核心挑战在于,是否能够专注于核心问题,并在承认不同业务模式和已建立的最佳实践的同时找到合适的细节层次。
AIA 行为准则旨在解决并明确许多复杂的义务。对于 GPAI 提供者而言,这些义务包括:(1)起草并保持更新模型的技术文档,并在 AI 办公室和国家主管部门要求时提供这些文档;(2)起草、保持更新并向有意将 GPAI 集成到其 AI 系统的提供者提供信息;(3)制定政策以遵守欧盟的版权和相关权利法。
此外,面临系统性风险的 GPAI 提供者还需承担额外的义务,如:(1)执行最先进的模型评估;(2)评估并减轻欧盟层面的系统性风险;(3)报告严重事故;(4)确保具备足够水平的网络安全保护。
这些义务非常模糊,但同时又非常重要。因此,决定 AIA 行为准则成功的一个关键因素是其是否足够专注于最重要和最复杂的义务,因为 GPAI 提供者对法律明确性的需求将尤为强烈。此外,AIA 行为准则应避免引入超出 AI 法文本范围的新义务。例如,AI 法第 106 条前言规定,无论与 GPAI 模型训练相关的版权行为发生在哪个司法辖区,GPAI 提供者都应遵守其制定的版权政策。但如何解读这一前言中有关版权行为的域外主张,以及它是否与 AI 法的法律文本和欧盟版权法保持一致,是复杂的法律问题,不应由 AIA 行为准则来处理。
### 第三部分:设计合适的 AIA 行为准则起草程序
根据 AI 法第 56 条第 1 款,AI 办公室负责在欧盟范围内推动 AIA 行为准则的起草工作。以下三点对确保 AIA 行为准则成为有效和成功的工具至关重要。
#### 1. AI 办公室应成为 AIA 行为准则起草的主要推动者
首先,AI 办公室应按照 AI 法第 56 条第 1 款赋予的明确授权,领导并推动 AIA 行为准则的起草。其次,委员会在确保 AIA 行为准则涵盖相关义务和内容方面发挥着关键作用,因此也应密切参与起草过程。基于立法决定,AI 办公室作为主要推动者,委员会作为重要贡献者,任何将这些关键任务外包给第三方的行为都应谨慎考虑。这些第三方既没有直接的责任,也没有 AI 法案下的明确授权。此外,AI 办公室将负责实施和执行这些规则。
#### 2. 确保 GPAI 提供者得到适当的咨询
第二个关键因素是确保 GPAI 提供者和其他利益相关者在行为准则起草过程中的不同参与层级。根据 AI 法第 56 条第 3 款,明确区分了 GPAI 提供者和其他利益相关者的参与角色。GPAI 提供商可以被 AI 办公室“邀请”参与 AIA 行为准则的起草,而其他利益相关者只能“支持”这一过程。
AIA 行为准则成功的关键因素还包括制定透明、结构化的程序和明确的时间表。AI 法案为行为准则的最终制定设定了一个雄心勃勃的截止日期,即 2025 年 5 月 2 日,而起草工作的实际截止日期是 2025 年 3 月底。
结论和建议
本文提出了十条建议,涵盖了GPAI提供商的参与激励、避免规则碎片化、提供法律确定性、设定合适的细节层次,以及设计高效的起草流程等多个方面。其目标是确保AIA行为准则的成功及AI法目标的实现。
![关于欧盟《人工智能法行为准则》起草的建议,附全文中译本]( "关于欧盟《人工智能法行为准则》起草的建议,附全文中译本")
个人信息保护合规审计先行计划
DPOHUB数隐咨询深耕个保合规审计,具有丰富的实践经验和落地方法论:
-
牵头发起个保合规审计先行计划,并已完成即刻APP等数家公司的试点工作;
-
参与个保合规审计标准编制工作,并形成一套完善的审计方法;
-
完成首款个保合规审计自动化软件,并获得软件著作权;
-
率先发起个保合规审计认证培训,已在北京、上海举办两期。
不备注不通过
![关于欧盟《人工智能法行为准则》起草的建议,附全文中译本]( "关于欧盟《人工智能法行为准则》起草的建议,附全文中译本")
原文始发于微信公众号(数据法盟):关于欧盟《人工智能法行为准则》起草的建议,附全文中译本
评论