翻译:梦轶 校对:林奕
欧盟EU AI Act《人工智能法案》是多年政治、法律与技术辩论和谈判的成果。当前,人工智能领域复杂且快速发展,特别是当法律不可避免地引入全新的解释问题时,可能会致使运营合规变得复杂。,我们可以预期将会有一系列标准和监管指南来塑造和完善我们对《人工智能法案》条款和要求的理解。然而,一系列法定义务很可能在此之前就已经适用,况且实施人工智能治理措施需要时间,组织应该立即开始着手去理解和解释关键的概念。
为什么《人工智能法案》对您的组织很重要?
《人工智能法案》法案旨在确保人工智能的开发和部署安全、可信、透明,且尊重基本权利。在技术定义我们时代的这个领域,法案代表着进步和创新。它制定了统一的欧盟规则,规范人工智能系统的投放、使用和应用。该法案完全禁止某些人工智能应用,并对不同的人工智能系统和通用人工智能模型的运营者规定了具体义务。
与欧盟《通用数据保护条例》一样,《人工智能法案》具有广泛的地域范围,影响欧盟内部和外部的运营者。它规定了严厉的处罚措施,包括高额罚款和强有力的监管执法体系。在未来几年,《人工智能法案》的大部分内容预计都将成为全球人工智能监管的“黄金标准”,因此,对于世界各地的组织或公司,尽早了解法案的要求都至关重要。
关键概念和定义
《人工智能法案》包含 68 条定义。虽然一些重要定义是全新的,但其他术语(如投放市场、在市场上提供、投入使用、重大修改、预期用途、进口商和分销商)则同现有的欧盟法律,特别是欧盟产品安全法规保持一致。作为第一步,组织需要详细了解的一些关键概念和定义包括:
人工智能系统
《人工智能法案》并未对“人工智能”一词做出定义,而是将人工智能系统定义为“设计用于以不同程度的自主性运行,并可能在部署后表现出适应性的机器系统,且为了明确或隐含的目标,根据其接收的输入推断如何生成可以影响物理或虚拟环境的输出,如预测、内容、建议或决策。”
这一定义与经济合作与发展组织(OCED)提出的定义相一致,并需要逐一解读和综合考虑每个要素。根据这两个定义,可以得出人工智能系统必须:
以机器为基础; 被设计用于以不同程度的自主性运行; 有能力推断如何从收到的输入中生成输出以实现明确或隐含的目标,并做出能够影响物理或虚拟环境的决策; 在部署后展现适应性。 从合规角度解释此定义时,作为上述要素的先决条件,分别审视人工智能和系统的定义可能会有所帮助。
《人工智能法》序言中有关人工智能概念的陈述发生了演变,现在更侧重“推断”——这通常包括机器学习和 “基于逻辑和知识的方法,这些方法从编码的知识或要解决的任务的符号表示中推断出来”。早前版本的《人工智能法》就这些方法可以包括的内容提供了指导。
在实务中,人工智能常用的、且被广泛理解的定义涵盖例如深度学习、强化学习和机器学习、计算机视觉、自然语言处理和神经网络。
虽然可能有某些自动化或基于规则的软件,例如某些形式的机器人流程自动化,需要随着时间的推移来进行具体评估的特殊案例,但值得注意的是,《人工智能法案》给出的这个定义显然打算排除不符合累积标准的传统软件系统。它的范围也可能比 GDPR 下的自动决策概念更窄,后者侧重于不需人工参与,通过自动化手段做出的决策,而不考虑推理等因素。
特别重要的是,人工智能系统不同于人工智能模型,后者在《人工智能法案》中没有得到明确定义——虽然该法案间接规范了模型,并明确指出模型是人工智能系统的基本组成部分,而非系统本身。因此,AI模型应被视为人工智能系统运行所需的技术基础设施的关键组成部分,需要用户界面等其他组件来生成可用的输出,并共同成为受法案监管的人工智能系统。
通用人工智能模型
虽然《人工智能法案》没有对人工智能模型下定义,但通用人工智能模型却有定义。《人工智能法案》以此来指代那些可能被理解为生成式人工智能或基础模型的术语。管理通用人工智能的方法将随着时间的推移而不断演进,并不时引发关于对这一最新、前景最光明的人工智能形式开展监管,对欧盟内创新的影响的激烈争论。因此,法案最终采用的定义考虑了这些模型的关键功能特征,特别是它们的通用性和能胜任执行各种不同任务的能力。
《人工智能法案》将通用人工智能模型 定义为“包括使用大量数据进行大规模自我监督训练的人工智能模型,无论该模型如何投放市场,都具有显著的普遍性和能够胜任各种不同的任务,并且可以集成到各种下游系统或应用中;不包含在投放市场前用于研究、开发和原型设计活动的人工智能模型”。
在对这一定义的批评之中,有一点是构成大量数据的阈值目前被设定为 10 亿个或以上的参数。考虑到当前的技术水平,这一阈值可能过低或者过时。此外,还需要考虑的实际问题是,在缺乏指导的情况下,应设置怎样的阈值才能将各种不同的任务纳入范围。
此外,法定义务也仅适用于投放市场的模型,并不针对尚未发布的通用人工智能模型,即实验或原型模型。
最后,《人工智能法案》还包括关于通用人工智能系统的规定,即基于通用人工智能模型的人工智能系统。。
如上所述,《人工智能法案》主要直接适用于人工智能系统和通用人工智能模型。尽管它采用了基于风险的方法,但一些义务(例如与透明度有关的义务)可以适用于所有风险类别的人工智能系统,除非它们符合《人工智能法案》完全禁止的一种或多种用途。《人工智能法案》规定的大多数义务和相应的责任都与高风险人工智能系统的使用有关,我们将在本系列的后续文章中详细介绍这些。
《人工智能法案》适用对象?
《人工智能法案》借鉴了产品安全法,适用于整个人工智能价值链上的所有主体。这些主体包括:
提供者:根据《人工智能法案》,这类是受到最严格监管的主体。作为适格主体,首先,提供者必须由自己,或由他人代其开发人工智能系统或通用人工智能模型,此外,还必须“将人工智能系统投放市场”或“将人工智能系统投入使用”。其次,如果其设立地或所在地位于第三国,但其人工智能系统产生的输出在欧盟使用,也可能将该主体纳入监管范围。最后,人工智能系统或通用人工智能模型必须以提供者的名义或商标发布。《人工智能法案》规定的大多数义务适用于高风险人工智能系统的提供者。 部署者:指自然人或法人自行使用人工智能系统,但在个人非职业活动中使用的除外。此外,部署者可能设立或位于欧盟,或与提供商一样设立或位于第三国,但其人工智能系统产生的输出在欧盟使用的,也属于监管范围。再次,在面向消费者的商业模式下,不能依据《人工智能法案》将人工智能系统的个人用户视为部署者。最后,如果部署者根据他人的授权行事,例如是根据GDPR项下的数据处理者,那么他们不符合部署者的资格。 进口商:这类主体既不是供应商也不是部署者,但他们位于或设立在欧盟,并将带有第三国个人或实体名称或商标的人工智能系统投放到欧盟市场。进口商是首先将这些第三国人工智能系统投放在欧盟的主体。 分销商:包括除供应商和进口商之外,参与人工智能供应链的自然人和法人,他们在人工智能系统进口并投放市场后,参与人工智能系统在欧盟上市的后续工作。 产品制造商:产品制造商将人工智能系统投放到市场或与自己的产品一起投入使用。 授权代表:与 GDPR 的要求类似,受权方位于欧盟境内,代表位于欧盟之外的提供者。
除了这份名单之外,从拥有法律赋予的权利和行使权利的角度来看,《人工智能法案》自然也适用于欧盟境内的个人,他们被定义为受影响者。虽然《人工智能法案》的最终文本中没有对受影响者进行定义,但他们通常应被理解为可能受到人工智能系统的或以其他方式影响的欧盟境内个人,而不仅仅是欧盟公民。
根据《人工智能法案》,在评估主体可能扮演的运营角色时,请务必注意以下几点:
运营主体可能被视为同时扮演多个角色,例如提供者和部署者。在这些情况下,他们将需要同时履行与这些角色相关的义务。 多个自然人或法人可以同时担任相同的角色,例如,一个人工智能系统有两个提供者。 与 GDPR 项下指定数据控制者和处理者一样,尽管角色可以通过合同分配和限定,但一方角色的真正决定因素是他们在实际中扮演的角色。 在某些情况下,提供者以外的运营主体也可能被视为提供者。
承认免费和开源人工智能软件的独特性质,在其符合某些条件和例外情况下,可不受条文的约束,以鼓励创新与合作。但是,该情形不适用于作为高风险人工智能系统投放市场的或投入使用的人工智能系统,法案第 5 条列出的受禁止人工智能系统,和属于第 50 条某些透明度要求范围内的人工智能系统。 列出了按行业划分的例外情况,承认某些领域需要特定的监管方式。值得注意的是,仅用于科学研究和开发的人工智能系统不在《人工智能法案》监管范围内,这使得学术界和科学界可以更灵活地追求人工智能的进步。与之类似的,法案也不适用于为军事、国防或国家安全目的而开发或部署的人工智能系统。 不包括使用人工智能系统进行纯粹个人、非职业活动的自然人。
结论
《人工智能法案》对欧盟乃至全球的组织和个人都有着深远的影响。
正如被广泛讨论中揭示的那样,该法案采取基于风险的方法来监管人工智能,尽管有几个关键概念是全新的。本系列的下一篇文章将通过与产品安全法规和基本权利相结合的方式,对此进行详细讨论。
鉴于《人工智能法案》的域外适用范围,及其在与 GDPR、产品安全、消费者保护、基本权利和数字监管等方面存在许多不可避免的交叉,组织,特别是涉及到跨境运营人工智能系统时,需要制定深思熟虑的综合治理和合规计划。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...