【科技.未来】欧盟祭出最严法案 监管AI时代来临
两周前,欧盟委员会发表《人工智能法案》(Artificial Intelligence Act)立法草案,除了全面禁止使用人工智能(AI)作大规模监控及社会信用评分之外,还就不同用途区分风险程度,并订立相应的使用条件及罚则。
或掀“布鲁塞尔效应”
草案建议把AI用途分成不同风险来监管(见表)。最严格一类为“不可接受风险”,这类用途完全禁止。包括利用AI实行“社会信用体系”,以及“在公众地方使用实时遥距生物特征辨识系统作执法用途”。一些影响人们生命安全或重要日常服务的AI应用被列为“高风险”。草案对这些高风险AI应用的供应者有多种要求,违规企业最高可被判以其全球年度收入6%的罚款。而且,所有归类为高风险的AI必须在一个新设立的欧盟数据库登记。此外,草案也要求供应者对某些AI应用下有“透明义务”。草案还建议成立“欧洲AI委员会”,以确保在欧盟内统一实施新法。
草案要成为正成法例,需要得到欧洲理事会及欧洲议会通过,哥伦比亚大学法律教授、《布鲁塞尔效应》一书作者Anu Bradford估计,可能需要两年才能通过审议程序。若成功通过,将会对欧洲内外构成重大影响:一方面,若某个AI系统可以在欧盟成员国内使用,身处欧盟范围内的人都会受到影响;另一方面,就如欧盟在2018年带头实施《通用数据保障条例》(GDPR)后,欧盟以外不少地区迅即仿傚立法,监管AI的新规例或会再次带来这种“布鲁塞尔效应”。
中美以外“第三条路”
数码权利倡议组织Access Now欧洲政策分析师Daniel Leufer形容,在监管新科技上,欧洲在美国和中国之外采取了“第三条路”。最多科技巨头所在的美国素来以鼓励创新为由,主张自由市场、对AI采取宽松的监管态度。而与另一AI及科技大国中国相比,欧盟草案特别指明禁止使用AI建立社会信用评分,也显示了欧盟不接受“奥威尔式”的AI应用。欧盟委员会执行副主席韦斯塔格(Margrethe Vestager)也明言:“我们的社会容不下大规模监控。”
事实上,中、美在监管AI方面虽然明显落后于欧盟,但两国也意识到AI应用的各种潜在祸害,某程度上同意要开始着手监管AI。在中国,中共中央今年初印发的《法治中国建设规划(2020-2025年)》文件表明要“加强信息技术领域立法”,包括AI,形容相关法律制度要“抓紧补齐短板”。而在美国,联邦贸易委员会(FTC)私隐及身份保障分部律师Elisa Jillson在上月19日发表网志,表示FTC正计划监管使用和出售带有偏见的AI应用的公司。当然,FTC的权力范围只限于规管企业,实际上有否动力进行监管,又是另一回事。不过,纽约大学AI Now研究所所长Meredith Whittaker认为,FTC的举动标志着美国正在进入新的监管时代。
魔鬼尽在细节中
不过,即使欧盟高呼新法保障人权,不少人权组织却对其感到失望。他们尤其不满草案中对人面辨识应用禁令存有漏洞。首先,草案只是“原则上禁止”使用人面辨识作执法用途,列明在例外情况下仍可经法官批准后使用,包括寻找失踪儿童、制止迫切恐怖主义威胁、缉捕严重刑事罪行疑犯等。其次,草案只是禁止实时和在公众地方使用生物特征辨识执法,换言之,若非实时使用或并非由执法机构使用生物识别系统,该AI应用就会从“不可接受风险”变成“高风险”。
欧洲数码人权组织(EDRi)高级政策顾问Sarah Chander批评:“豁免范围阔到难以置信,难以称得上是一条禁令。”EDRi政策与活动课员Ella Jakubowska亦担心,人面辨识仍可在学校、企业之类,或其他执法调查程序中,用作大规模监视。Chander主张彻底禁止大规模生物特征辨识,才是“捍卫民主的唯一途径”。
此外,虽然草案要求“高风险”AI应用须预先进行评估,但除却某些特定用途,如人面辨识之外,这类评估不必由第三方进行。Jakubowska批评:“实际上是让AI开发者自己改自己的功课……当你把责任外判予这些利用AI赚尽每分每毫的公司,很难称之为一种监管。”
更根本的问题是,草案中不少措辞空泛含糊,定义有解读空间。例如它禁止“超越个人意识的潜意识技术,从而实质上改变人的行为,造成身生理及心理伤害”。Gesser指出:“所有广告设计为‘操纵行为’。挑战在于如何决定什么是可以接受和不可以接受。”英国AI初创公司CausaLens应用数据科学总监Andre Franca亦认同,需要仔细的定义才能判断新法例的影响,例如到底怎样才算“适当的人为监督”。
(节录)
上文节录自第263期《香港01》周报(2021年5月3日)《欧盟祭出最严法案 监管AI时代来临》。如欲阅读全文请按此试阅周报电子刊,浏览更多深度报道。