全球AI监管:法规、风险与应对策略
“历史已反复证明,在缺乏有效监管和政府严密监督的环境下,部分科技巨头会优先考虑商业利益,而将客户的福祉、社群安全以及民主制度的稳定性置于次要地位。” —— 美国前副总统卡玛拉·哈里斯,2023年
本书旨在阐明一个核心观点:人工智能作为一项通用性技术,其变革潜力将以我们目前难以想象的方式重塑世界。正是这种固有的不确定性,促使全球各国政府积极着手制定相关法律法规,旨在有效防范潜在风险的同时,又能促进其创新与发展。
回顾早期通用技术的演进历程,我们不难发现,相关的监管机制往往经历一个混乱、缺乏协调且零散的阶段。以19世纪70年代电力在英国的广泛应用为例,该国随后出台了数十项相关法案。尽管英国拥有国家级的电力安装标准(BS 7671,即“布线规范”),但这些标准与其他国家相比并非完全统一。人工智能领域的专家维里蒂·哈丁(Verity Harding)倡导,应通过全球协作制定一套统一的国际标准,类似于开放互联网所遵循的原则。然而,目前实现这一目标仍面临巨大挑战。
需要掌握的关键信息 站在21世纪20年代中期回望,全球人工智能监管格局的快速演变显而易见。以下是一些关键法规和趋势,值得我们重点关注。
欧盟 2024年正式生效的《欧盟人工智能法案》(EU AI Act)是人工智能监管领域一项具有里程碑意义的跨国性举措。该法案覆盖了欧盟内部所有领域的人工智能技术,其核心在于构建了一个“基于风险”的监管体系,并将人工智能应用划分为以下不同等级: • 低风险:涵盖了绝大多数人工智能应用,如垃圾邮件过滤、电商推荐系统等。此类应用的使用者无需承担强制性义务。 • 有限风险:包括聊天机器人、人工智能生成内容(如视频、图像)等。使用这些服务的机构有义务告知用户其背后有人工智能技术的支持。 • 高风险:涉及医疗设备关键组件、执法系统、教育领域的人工智能应用等。这些应用必须遵循更为严格的监管规定。 • 不可接受风险:例如社会信用评分系统、大多数实时生物识别技术的应用场景等,这些应用被明确禁止。 此外,生成式人工智能等通用人工智能模型也受到该法案的约束。开发者需提交详尽的技术文档、信息共享计划、版权合规证明、训练数据披露、风险管理策略以及标准合规性证明,并与欧盟人工智能办公室(AI Office)保持紧密合作。对于开源模型,若能证明其不存在系统性风险,可获得部分豁免。 违反该法案将面临严厉处罚,罚款金额最高可达3500万欧元或企业上一财年全球总营业额的7%,以较高者为准。即使企业总部不在欧盟,只要其人工智能模型在欧盟地区运行,都必须遵守该法案的规定。
美国 与欧盟不同,美国尚未出台统一的人工智能监管法律,而是采取行业分化的监管模式。尽管如此,各领域仍存在一些值得关注的监管动向: • 自动驾驶汽车:美国国家公路交通安全管理局(NHTSA)负责监管汽车领域的人工智能应用。 • 贸易领域:联邦贸易委员会(FTC)已针对人工智能制定了消费者保护条款。 • 司法领域:司法部(DOJ)对算法的安全和公平使用提出了相关要求。
此外,多项行政命令也明确了人工智能的发展目标,包括: • 确保美国在人工智能领域的全球领先地位。 • 促进联邦政府采用“可信赖人工智能”技术。 • 实现人工智能安全、可靠且可信的开发与应用。 各企业应密切关注行业动态,确保其运营符合不断变化的监管要求。
英国 英国最初也采取了“支持创新”的分行业发展策略,与美国类似。这一思路在2023年布莱切利公园首届人工智能安全峰会上得到明确,峰会上时任英国首相里希·苏纳克(Rishi Sunak)与埃隆·马斯克(Elon Musk)进行了备受瞩目的对话。英国信息专员办公室(ICO)负责监督人工智能的安全使用,而具体的行业监管则由各相关机构分别执行。然而,随着工党在2024年赢得大选,其承诺将通过制定专门的人工智能法案来加强监管。
中国 中国在人工智能监管方面展现出迅速的行动力。目前已出台的法规和政策包括《互联网信息服务算法推荐管理规定》和《新一代人工智能伦理规范》等,同时还有更多法规正在制定中,一套更为全面的监管框架即将推出。 如今,大多数国家即便尚未出台正式的人工智能法规,也已制定了相关的指导原则。许多国家还认同并采纳了多项国际治理标准,包括: • 超过30个国家签署的《布莱切利宣言》(Bletchley Declaration),该宣言倡导国际合作,并侧重于发展“可信赖人工智能”; • 《经合组织人工智能原则》(OECD AI Principles); • 联合国教科文组织的《人工智能伦理问题建议书》等。 监管运作机制 我们可以识别出三个关键要素。首先,人工智能是一个快速发展且持续演进的领域。其次,人工智能领域的规范主要以指导意见、框架和原则的形式存在。尽管存在一些相关法律(如《通用数据保护条例》),但直接针对人工智能模型开发与管理的具体法律条文,除《欧盟人工智能法案》外,并不多见。第三,在全球化和高度互联的世界中,各国采取的监管方式存在显著差异。 密切关注该领域的动态至关重要。不仅要保持自身的警惕性,更要确保企业为应对未来法律法规的变化做好充分准备。
对您的组织有何影响? 假设您的公司总部位于美国加利福尼亚州,在英国设有重要的人工智能研发部门,并在欧盟拥有部分客户。那么,哪些法律法规将适用于您的业务?简而言之(尽管答案可能并不直接),您很可能需要同时遵守《欧盟人工智能法案》以及美国和英国的行业特定人工智能要求。
以下几项“无悔举措”将有助于您的组织在复杂的监管环境中稳健前行: 1.为合规工作预留充足的资金。紧跟行业动态和调整内部政策都需要成本,务必将其纳入预算规划。这可以被视为一项必要的“入场费”和运营成本。鉴于违反《欧盟人工智能法案》可能面临上一财年全球总营业额7%的罚款,将公司上一财年全球总营业额的0.7%投入到法律与数据合规领域,可能是一个明智的决策。 2.以原则为导向。 3.详细记录并定期审计所有操作。《欧盟人工智能法案》是当前人工智能领域最严格的法律之一。虽然以其为基准可能对某些公司来说过于严苛,但这是一种前瞻性的做法,因为您的公司未来可能会扩展到欧盟市场,届时将不可避免地受到该法案的约束。该法案强调对所有使用中的人工智能系统进行审计,这本身就是一种良好的实践,无论如何都应执行。 4.持续更新与前瞻性规划。关注风险与法律法规的变化是一项持续性的任务。您所面临的风险在不断演变,监管环境也同样如此。应专门分配少量但固定的资源用于此项规划工作。 更多信息获取途径 各国、地区或政府间组织通常会通过其官方网站及时发布人工智能相关的法律法规信息。像LegalNodes这样的律师事务所也能帮助企业有效追踪行业动态。订阅这些网站的更新通知,您将能及时获得最新信息。对于某些特定用例,您可能需要寻求外部的法律专业意见。例如,若您的公司在多个司法管辖区运营,聘请第三方机构协助梳理法律义务可能是一个明智的选择。 推荐使用的工具 需要强调的是,以下工具主要适用于欧盟。欧盟《人工智能法案》配套提供了一个便捷的合规性检查工具,除了提供关键定义外,还能快速评估您的人工智能系统是否符合该法案的要求。英国信息专员办公室(ICO)也发布了一份关于人工智能法律的解读文件,该文件虽然互动性较弱,但仍具有参考价值。 供下次会议分享的董事会级洞察: “我们当地相关的法律法规有哪些?不能因为我们的总部不在某地,就认为这些当地法规与我们无关。” “如果我们能遵循正确的原则和价值观,就不太可能偏离方向。” “人工智能相关的法律并非徒劳的形式,它们的存在是为了共同保护我们自身、员工以及客户的利益。”