歐盟仍需整合 AI 法案
導言
歐洲議會近日批準了歐盟人工智慧法案(AI Act),該法案將對人工智慧技術實施最廣泛的安全和透明度約束。然而在這項法案發布之前,AI 的發展已經不容忽視。這份法案面臨著一些必須克服的障礙,才能正式實施。
AI 定義的難題
AI 法案的主要目的是協調歐盟成員國對 AI 技術的監管規則,並為 AI 提供更清晰的定義。該法案將不同風險等級的應用進行分類,包括不可接受風險、高風險、有限風險和最小或無風險。其中社會“信用分數”和公共場所的實時生物識別(如人臉識別)等“不可接受”風險模型是明確禁止的。對於屬於中間風險的服務,如果想要在歐盟市場上繼續執行,將受到透明度和安全性的約束。
AI 法案最初的提案主要集中在一些相對具體的工具上,這些工具有時已經在招聘、教育和警務等領域得到應用。然而立法者沒有預料到,“AI”這個詞的定義將變得更加複雜。近期的 AI 發展,如 ChatGPT 或 Stable Diffusion 這樣的生成型 AI 工具,使得這份原本(相對)簡單的法案難以涵蓋快速變化的技術。
應對高風險 AI 的規則
AI 法案的現有法律框架涵蓋了各種應用,從自駕車中的軟體到執法機構使用的“預測性執法”系統。除了對“不可接受”的系統實施禁止外,對於“高風險”的技術,法案設定了最嚴格的約束。如果您提供的是一款“有限風險”的系統,比如與使用者互動的客服聊天機器人,您只需要通知使用者他們正在使用一個 AI 系統即可。這一類別還包括使用人臉識別技術(不過在某些情況下,執法機構免於這一約束)以及能夠生成“深度偽造”(在法案中定義為基於真實人物、地方、物體和事件的 AI 生成內容)的 AI 系統。對於被歐盟認為有更高風險的系統,約束措施更加嚴格。這些系統在進入歐盟市場之前需要進行“相符性評估”,以確保它們是否符合 AI 法案的所有必要要求。其中包括記錄公司的活動情況、防止未經授權的第三方更改或利用產品以及確保用於訓練這些系統的資料符合相關的資料保護法(例如 GDPR)。這些訓練資料也應該達到高標準,即完整、無偏見且沒有虛假訊息。
對於“高風險”系統,範圍非常廣泛,基本上可分為兩個子類別:實體產品和軟體。第一類適用於內建在歐盟產品安全法規範下的產品中的 AI 系統,例如玩具、航空、汽車、醫療裝置和電梯等。提供這些產品的公司必須向由歐盟指定的獨立第三方報告符合性評估程式。第二類包括更多以軟體為基礎的產品,這些產品可能影響執法、教育、就業、移民、重要基礎設施以及私人和公共服務的使用權。提供這些 AI 服務的公司可以自行評估其產品,以確保其符合 AI 法案的要求,並不需要向第三方監管機構報告。
前景與挑戰
AI 法案當前已經獲得批準,將進入最終的跨機構協商階段。這要求成員國(由歐盟部長理事會代表)、議會和委員會之間進行溝通,將批準的草案制定為最終的法律檔案。歐洲數位權利協會的高級政策顧問莎拉·尚德爾表示:“理論上,這一過程應在今年結束,並在兩到五年內生效。”如果發現 AI 法案中的某些規定特別具爭議性,這些協商將為調整提供機會。據 Leufer 表示盡管部分規定可能會被削弱,針對生成型 AI 的規定可能會被加固。“評議會對於生成型 AI 尚未發表意見,他們可能對一些問題感到擔憂,比如其在政治虛假訊息中的作用。因此在下一階段的協商中,我們可能會看到一些新的可能非常強硬的措施出現。”
生成型 AI 對 AI 法案的挑戰
在生成型 AI 模型開始出現的時候,AI 法案的第一稿已經開始制定。歐洲立法者被這些 AI 系統的迅猛發展所困擾,他們必須迅速找出如何在提出的立法中對這些系統進行監管。學者們稱這些模型為“基礎”模型,這一術語由斯坦福大學提出,用於指稱那些“在大量資料上進行大規模訓練、設計成通用輸出的模型,能夠適應各種不同的任務。”GPT-4 等模型的應用非常廣泛,包括生成報告或論文、生成程式碼以及回答各種問題。然而他們的應用遠不止於此。一家公司可以在 GPT-4 上構建一個人臉識別或物體檢測 API,然後讓開發者根據自己的需求開發應用程式。開發這些應用程式的速度比歐盟制定具體規則涵蓋每個應用程式的速度更快。如果基礎模型本身沒有涉及,個別開發者可能會因未遵守 AI 法案而被追究責任,即使問題源自基礎模型本身。
因此立法者已提出了多項修正案,以確保這些新興技術及其未知應用能夠落入 AI 法案的管轄範圍。這些模型的能力和法律陷阱迅速引起了全球監管機構的警惕。像 ChatGPT 和微軟的 Bard 這樣的服務被發現能夠將不準確甚至危險的訊息生成出來。關於用於訓練這些系統的智慧財產權和個人資料的問題,已經引發了多起訴訟。在歐盟成員國境內,監管機構們透過採取替代方案來監管 AI 公司。例如,義大利的資料保護專員臨時禁止了 ChatGPT 的使用,因為該系統違反了 GDPR。阿姆斯特丹的上訴法院也對 Uber 和 Lyft 違反員工權益的算法薪酬管理和自動解僱與招聘做出了裁決。其他國家也制定了自己的規則,以遏制 AI 公司。中國早在今年 4 月就已經發布了關於生成型 AI 在其境內應如何受到監管的指南。美國的一些州,如加利福尼亞、伊利諾伊和德克薩斯,也透過了著重保護消費者免受 AI 潛在危害影響的法律。聯邦貿易委員會(FTC)在某些案件中申請了“算法謝罪”,要求公司銷毀基於非法獲取的資料構建的算法或 AI 模型,這可能為未來全國範圍的監管奠定基礎。
法案的不足和挑戰
AI 法案對基礎模型制定了具體的規定。供應商必須評估其產品可能存在的各種風險,包括對健康和安全產生影響的風險以及對歐盟成員國居民民主權利產生影響的風險。他們必須在發布之前將其模型註冊到歐盟資料庫中。使用這些基礎模型的生成型 AI 系統,例如 OpenAI 的 ChatGPT 聊天機器人,需要遵守透明度要求(例如在內容由 AI 生成時進行披露)並確保有保護措施防止使用者生成非法內容。最重要的是,支援基礎模型的公司需要向公眾披露用於訓練這些模型的任何受版權保護的資料。這項措施可能對 AI 公司產生巨大的影響。受歡迎的文字和影象生成器透過模仿人類創造的程式碼、文字、音樂、藝術和其他資料來訓練生成內容,而這些資料幾乎肯定包含受版權保護的材料。對於這樣的訓練,存在法律灰色地帶,有贊成和反對這種無需版權持有人許可就可以進行訓練的觀點。個別創作者和大公司已經因此提起訴訟,而讓版權材料更容易識別的措施可能會引發更多訴訟。然而專家表示 AI 法案的規定範圍可能還不夠廣泛。立法者曾拒絕將一項對所有 General Purpose AI Systems(GPAIs)貼上“高風險”標籤的修正案納入法案中,GPAIs 被定義為“一種可用於且可以適應各種其未經意地設計和特別設計的應用的 AI 系統”。在這項修正案提出時,AI 法案並未明確區分 GPAIs 和基礎 AI 模型,因此可能會對大量 AI 開發者產生影響。根據 appliedAI 在 2022 年 12 月進行的一項研究,45%的受訪新創公司認為他們的 AI 系統是 GPAI。GPAIs 在法案的已獲批草案中仍有定義,不過現在是根據它們的具體應用進行評估。立法者另外增加了一個為基礎模型設立的獨立類別,盡管這些模型仍然需要遵守許多監管規則,但它們不會自動被歸類為高風險。“‘基礎模型’是一個廣泛的術語,斯坦福大學主張這一術語,也對這種系統抱有利益。因此歐洲議會的立場只在有限程度上涵蓋了這些系統,比之前關於通用系統的工作要窄得多。” Chander 說。立法者對 AI 才智型系統供應商的影響力存有疑問。Leufer 表示:“我們看到一些問題,生成型 AI 的 CEO 正在就他們的產品應該如何受到監管發表意見,這本來沒有問題。但他們並不是唯一的意見,他們的聲音不應該最大,因為他們的利益極其自私。”
法案無法保護移民和難民免受 AI 系統的傷害
AI 法案在關注基礎模型以外的領域方面也受到批評,認為它未能保護到可能受到技術影響的邊緣群體。Myers West 表示:“它存在明顯的缺陷,比如忽視了移民情況中使用 AI 的問題,這些問題對有色人種群體影響最大。監管介入最緊迫的是那些已經廣泛使用 AI 的方式,這些方式影響人們獲取資源、生活機會,並加劇不平等現象。”如果 AI 法案的效果不如現有法律保護個人權利,這對於歐盟的 AI 計劃可能不是一個好兆頭,尤其如果不加嚴格執行。畢竟,義大利利用 GDPR 打擊 ChatGPT 的嘗試起初看起來是一個艱巨的執法過程,包括無法實現的要求,如確保聊天機器人不提供不準確的訊息。但 OpenAI 似乎透過為其條款和政策檔案增加新的免責宣告來滿足義大利監管機構的要求。
這篇報導對歐盟的 AI 法案進行了詳細探討,包括 AI 法的目標、規定以及面臨的挑戰。該報導分析了 AI 法案在處理生成型 AI 模型、基礎模型安全性和移民保護等問題上的不足之處。同時該報導也強調了對 AI 產業透明度和公共監督的需求。最後報導提出對 AI 法案的建議,包括加固對生成型 AI 的規範,並注重保護邊緣群體的利益和權益。