2024-05-28 17:44:13 互联网
全球首部AI领域的法案—《人工智能法案》(下称《AI法案》)于近日已经生效。该法案基于风险分类,将AI系统划分为四类,即不可接受风险、高风险、有限风险和极低风险,并针对不同风险类别采取了相应监管策略。
《AI法案》不是欧盟在数字经济领域监管的第一次尝试。近年,欧盟为抢占数字监管领域的先导地位,已经推出了《通用数据保护条例》(GDPR)、《数字服务法案》、《数字市场法案》相关法案法规。正奇五度数字AI助手通过对公开资料搜集整理,发现欧盟推出的这些法案中存在着定义、合规不清晰、模糊、相互冲突等问题,在《AI法案》中同样存在,这埋下了《AI法案》在未来监管企业合规时难点重重的种子。关于《AI法案》将会面临的难点,监管是否有用,第一财经记者采访了网络安全和数据合规领域有多年执业经验的资深人士吴涵对此作出了以下看法。
(图片来源于财经频道截图)
欧盟治理数字经济法案众多,是否会出现“意大利面”碗现象,同时适用AI Act和GDPR合规责任不清晰的问题是否频发。吴涵表示《AI法案》并不是空中楼阁,想要与正在制定中的以及既存的欧盟数字经济法案取得协调不会是易事,其中可能涉及规范重叠、空白和不一致性等诸多问题。
举例而言,欧盟《数字市场法案》的“守门人”相关制度条款均正好也已于2024年3月生效,欧盟委员会首次指定的六家“守门人”企业,需要尽快确保被指定的核心平台服务符合“守门人”相关要求。正奇五度AI数字助手收集资料显示,“守门人”为Alphabet、亚马逊、苹果、字节跳动、Meta和微软,不难发现,这些企业几乎也都是AI市场的领头羊,因此他们会如何处理欧盟数字《市场法案》与《AI法案》的交叉竞合会是很棘手但也很有意思的问题。
例如,“守门人”需考虑到《AI法案》和欧盟《数字市场法案》对于数据集、数据库等概念的定义并不一致,这就要求“守门人”需要思考将用户数据用于AI训练时,如何做好数据隔离等措施来保障自身对于训练数据集的权益,并同时满足法律要求。
正奇五度数字AI助手翻阅《AI法案》时,了解到关于AI供应链相关责任主体存在着责任界定不清晰的问题。针对该问题,吴涵表示欧盟《AI法案》已初步构建起围绕AI系统提供者、分销者、进口者等相关主体的价值链,明确了提供者以外的利益相关主体对于高风险AI系统投放市场、投入使用应承担的合规义务并规定了相关罚款。但就包含高风险AI系统、通用AI系统在内的AI系统所造成的实际损害责任分配机制而言,相应的法律责任仍然处于模糊不清的状态。
(图片来源于赛博研究院)
例如,某个企业通过某高风险AI系统向用户提供服务,但这一系统是基于某通用AI模型提供者提供的AI模型生成的。如果该系统主要由提供者输入数据进行优化,企业仅能输入有限数量的数据对系统进行训练,当最终该AI系统生成的内容对用户造成了实际损害,该企业是否需就相关损害独立承担责任、企业是否能要求通用AI模型提供者共同承担责任?如企业和通用AI模型提供者需共同对损害承担法律责任,则双方各自需在多大程度上承担责任?等诸如此类问题,《AI法案》的责任分配机制无法明确。
《AI法案》责任主体定义不清,正奇五度数字AI助手注意到了另外一种观点。该观点认为,《AI法案》对AI系统相关主体责任分配机制的留白是欧盟AI监管立法的“有意为之”。考虑到AI技术更迭、发展迅猛的特点,结合AI系统自主学习而可能引发的“算法黑箱”等问题,在对未来AI系统的应用场景、可预期作用目标、可能给社会、公民造成的权益损害等均具备一定程度不确定性的现阶段,保留责任分配机制的适当模糊性可能有助于欧盟的AI监管部门在个案中调整责任分配策略,始终实现维护个人健康、安全等基本权利的最终目标,同时避免部分企业在明确清晰的责任分配框架下通过调整业务模式等方式转移其本应承担的法律责任。
综上,正奇五度数字AI助手专家团研究员认为,《AI法案》对企业合规监管确实仍存在着许多问题和难点,但随着AI领域的发展,未来法案会进一步清晰和完善。
