人类首个《人工智能法案》及欧盟案例

  2024年刚刚获准通过的欧盟《人工智能法案》是全球首个人工智能法案。关天AIGC的治理和论理规范，欧盟有一些独特的经验与思考。

  欧盟在人工智能方面的认知历经了一个演变的过程。在《人工智能法案》获批之前，欧盟法院判决了一起关于人工智能自动化决策的案件。德国的一家信贷公司使用人工智能进行了自动化的信贷决策。这之所以成为一个司法案件，是根据《通用数据保护条例》，该条例判定自动化决策存在问题，影响了我们的生活。信贷公司声称，他们只使用了人工智能进行分析，而没有进行决策。但是法院给出裁定，认为分析和决策在某种程度上是不可分割的。此次判决反映出一个问题，即自动化决策和分析之间的界限仍有待澄清。

  而在另一起有关版权的司法案件中，原告起诉一家网站侵权，称其复制了他们开发的一些材料。然而法院判断这些材料没有人类的参与，不受版权保护。这也反映出需要判断人类对人工智能的参与程度，并保护企业的正常经营。

  此外，人工智能也可能存在偏见，由此带来隐患。荷兰政府有一个因使用AI而产生的丑闻。为了调查儿童保育系统中是否存在欺诈情况，他们使用了自动算法。而AI将“是否为外国人”设置成为一个判断依据，将很多少数族裔或有移民背景的人标记为有欺诈行为。这一情况让荷兰政府饱受争议，荷兰内阁因此辞职。以上是欧洲因AI所引发的一些案例。

  欧洲许多国家都有相应的数据保护条例和权威机构，比如法国、英国、意大利和希腊。欧盟于2018年颁布了《通用数据保护条例》（GDPR），而欧盟2024年推出的《人工智能法案》则延续了这一基本框架，并对该框架进行了详细阐述和内容创新。首先，《人工智能法案》不只适用于特定部门，它适用于所有部门。其次，法案确立了风险基础，在申请时需要进行风险评估。最后，它是涵盖域外的，也就是说，即使服务器位于俄罗斯的亚洲部分或者欧盟以外的任何地方，如果这项服务在欧盟开展，都要接受法案管理。

  《人工智能法案》从制定到运行耗费了数年的时间。2021年，《人工智能法案》被提出，2024年才正式通过。进展缓慢的原因之一就是以ChatGPT为首的大批生成式人工智能的推出和应用。

 《人工智能法案》有三个基本目标。首先，保护人权，确保人工智能系统不会伤害或利用用户。其次，伦理考量，要促进人工智能系统的公平性，并确保人类安全，使用、提高AI能力的最终目标是增加人类的福祉。最后，公众信任，要在人工智能整个生命周期制定人工智能的透明度标准以增强公众的信任。

  在《人工智能法案》酝醉时期和推动立法的过程中，涉及了许多不同的公共文件。其中包括呼吁建立欧盟人工智能框架、强调民法的2017年的“机器人建议”；人工智能伦理发展的初始法规和指导方针，即2019年的“道德准则”；欧盟委员会旨在应对风险、促进人工智能普及的2020“人工智能白皮书”以及2020-2021年的相关决议。而政策的筹备和制定，也经过了一个相当漫长的过程。首先由欧盟委员会提出立法，然后欧盟议会之间会有一个共同决议。欧盟理事会代表实际成员国、政府首脑等做出决定。最终于2024年，欧盟理事会正式通过了欧盟《人工智能法案》。

  欧盟《人工智能法案》共有五个目标。一是要创建一个安全可信的人工智能生态系统，实施安全标准以防止伤害，建立机制以确保可靠和值得信赖的人工智能系统。二是促进合乎道德的人工智能发展，制定符合道德的人工智能开发和使用指南，并确保人工智能系统不会延续或加剧偏见和歧视。三是要保护基本权利和安全，保护个人隐私、数据安全和其他基本权利，在持续开发的同时降低与人工智能系统相关的风险。四是要制定明确的规则和标准，包括关于人工智能开发人员、提供者和用户义务的框架概述，并为高风险人工智能系统设置合规要求（风险管理、数据治理和透明度）。五是鼓励创新和竞争，在向公众发布人工智能模型前，为初创企业和中小企业提供开发和培训人工智能模型的机会，通过制定高标准和鼓励合乎道德的人工智能发展，增强欧盟在全球人工智能市场的竞争力。欧盟基于风险的监管方法旨在通过人工智能的先发优势，规范人工智能的开发和使用，寻求为人工智能监管制定全球标准，以确保消费者及公民受益。通过引入全面的法规，欧盟力图成为以人为本和值得信赖的人工智能的前沿中心。

  《人工智能法案》对人工智能系统进行了风险程度的划分。除了通用人工智能，将人工智能系统根据风险程度分为四类：最小风险、有限风险、高风险以及不可接受风险。

  其中，禁用的人工智能实践包括：潜意识操纵，即在用户不知情的情况下扭曲行为并损害用户的知情决策；利用弱势群体，即利用与年龄、残疾或社会经济地位有关的弱点来扭曲行为；生物特征分类，即根据种族、政治观点、性别和宗教等敏感属性进行分类；社会评分和特征分析，使用社会评分或特征分析评估个人，致使其获得不利的待遇；远程生物识别，要求禁止所有生物特征识别，除非获得执法机关的批准；情绪识别；预测性警务，即根据个人特征评估犯罪风险；以及扫描面部图像，通过从互联网或视频监控中无针对性地获取图像来创建或扩展数据库。

  针对高风险人工智能系统，法案对提供者提出了要求。首先，进行风险管理，在人工智能系统的全生命周期内建立全面的风险管理系统；其次，进行数据管理，确保数据来源、验证和测试的数据集具有相关性、代表性、准确性和完整性。另外，建立技术文档，以证明合规性并促进权限评估。最后，提出设计要求，要实施记录保存、人工监督、准确性、稳健性和网络安全；确保质量管理合规，并向使用者提供使用说明。通用人工智能模型具有专门的规则，2016年就颁布了关于通用人工智能的法则，并将其引入了《人工智能法案》。

  欧盟法案中制定了一些不同的细则，使其在主要法案和实际应用之间有了更多的灵活性。而在治理层面，从某种意义上说，法案存在一定的缺陷。因为治理基本依赖于投诉机制，类似自下而上的模式。在欧盟内部，设置了一个新的机构——人工智能办公室，但这更像一个民事程序，而非刑事程序。

  在《人工智能法案》立法过程中，欧盟在几个方面进行了权衡。首先是效率和公平之间的权衡——不可能拥有绝对的公平和效率，因此必须做出政策决定；其次是隐私和安全的权衡——人工智能涉及到侵权问题是很长一段时间以来最重要的问题之一，而欧盟《人工智能法案》所代表的是个人权利与政府行为之间的隐性博弈。作为影响全球的一个重大行为，人类首个AI法案的颁布代表了一种突破、一种进化，以及一种延续。

（作者简介：瑞典查尔姆斯理工大学教授）