主页
topics
欧盟 AI 法案
发布日期:2024 年 4 月 8 日
撰稿人:Matt Kosinski
《欧盟人工智能法案》,或《欧盟 AI 法案》,是欧盟 (EU) 的一项管理人工智能开发和使用的法律。该法案采用基于风险的监管方法,根据 AI 系统对人类健康、安全和权利构成的威胁,对其应用不同的规则。
《欧盟 AI 法案》被认为是世上首个全面的人工智能应用监管框架,该法案完全禁止某些人工智能用途,并对其他用途执行严格的安全和透明度标准。
该法案还为设计、训练和部署通用人工智能模型制定了具有针对性的规则,例如为 ChatGPT 和 Google Gemini 提供支持的基础模型。
违规行为的罚款最高可达 35,000,000 欧元或公司全球年收入的 7%(以较高者为准)。
正如欧盟的《通用数据保护条例》(GDPR) 激励其他国家采用数据隐私法一样,专家预计《欧盟 AI 法案》将刺激全球制定更为强大的 AI 治理和道德标准。
《欧盟 AI 法案》适用于欧盟 AI 系统和模型的提供商、部署者、进口商和分销商。
该法案将 AI 系统定义为能够在一定程度上自主处理输入,以产生影响人类和环境的输出的系统。这些有影响力的输出包括预测、决策和内容等。
用该法案的语言来说,AI 模型主要是指可以适应构建各种 AI 系统的通用 AI (GPAI)。例如 GPT-4 大型语言模型就是一个 AI 模型。基于 GPT-4 构建的 ChatGPT 聊天机器人是一个 AI 系统。
该法案中的其他重要条款:
《欧盟 AI 法案》适用于欧洲以外的个人和组织,如果其 AI 工具或这些工具的输出将在欧盟境内使用。
例如,假设欧盟的一家公司将客户数据发送给欧盟以外的第三方,而该第三方使用 AI 来处理客户数据并将结果发送回该公司。由于该公司在欧盟境内使用第三方 AI 系统的输出,因此第三方受《欧盟 AI 法案》的约束。
在欧盟提供 AI 服务的欧盟境外提供商必须在欧盟指定授权代表,以代表其协调合规工作。
虽然该法案适用范围广泛,但 AI 的部分用途不受限制。其中包括:
《欧盟 AI 法案》包含许多旨在支持负责任地使用和开发 AI 的规则。部分最重要的条款包括禁止危险的AI,开发和部署高风险 AI 的标准,透明度义务,以及通用模型规则。
值得注意的是,《欧盟 AI 法案》中有关实施的很多更加精细的细节仍在敲定中。例如,该法案指出,欧盟委员会将发布有关上市后监测计划和训练数据摘要等要求的进一步指导方针。
《欧盟 AI 法案》根据风险水平将 AI 系统分为不同的类别。这里的风险是指 AI 可能对健康、安全或人权造成潜在危害的可能性和严重性。
从广义上讲,该法案涉及四类 AI 风险:
· 不可接受的风险
· 高风险
· 有限风险
· 最小风险
构成不可接受的风险的 AI 应用将被禁止。《欧盟 AI 法案》明确罗列了所有禁止的 AI 做法,其中包括:
欧盟委员会保留重新审查和修改这份清单的权利,因此未来可能会禁止更多的 AI 用途。
该法案的大部分内容涉及高风险的 AI 系统。根据《欧盟 AI 法案》,将系统视为高风险系统的途径有两种:该系统用于受管制的产品,或被明确指定为高风险系统。
某些行业的产品,如玩具、无线电设备和医疗设备,已经受到欧盟现有法律的监管。任何作为这些受监管产品的安全组件,或本身作为受监管产品的 AI 系统,都会自动被视为高风险。
该法案还列出了始终视为高风险的特定 AI 用途。其中包括:
与禁用 AI 清单一样,欧盟委员会今后可能会随时更新此清单。
高风险系统的提供商必须遵守以下规则:
如果 AI 系统属于高风险类别之一,但不会对健康、安全或权利构成重大威胁,提供商可以免除这些要求。提供商必须记录系统不会构成风险的证据,监管机构可以对错误分类系统的组织进行处罚。
有限风险 AI 系统是指满足特定透明度义务的系统,即无论其风险等级如何,特定类型的 AI 都必须遵守的规则。此类规则包括:
最低风险类别(有时称为“最低风险或无风险类别”)包括不直接与人互动,或直接与人互动但产生很小的实质性影响的 AI 工具。相关示例包括电子邮件的垃圾邮件过滤器和电子游戏中的 AI。当下许多常见的 AI 用途都属于这一类。
大部分 AI 法案的规则都不适用于最低风险的 AI(尽管有些 AI 可能需要履行上述透明度义务)。
GPAI 模型的适应性很强,很难根据风险级别对其进行分类。因此,《欧盟 AI 法案》明确为 GPAI 制定了一套单独的规则。
GPAI 模型的所有提供商必须:
大多数免费的开源 GPAI 模型不受前两项要求的约束。这类模型只需遵守版权法,并共享训练数据摘要。
《欧盟 AI 法案》认为某些 GPAI 模型会构成系统性风险。系统性风险是指模型可能对公共健康、安全或基本权利造成严重而深远的损害。
根据该法案,如果一个模型具有"高影响力的功能“,则可称为构成系统性风险。本质上,这意味着该模型的功能可匹配或超越当时最先进的 GPAI。
该法案将训练资源作为识别系统风险的关键标准。如果用于训练模型的累计计算能力大于 1025 次浮点运算 (FLOP),则可认为具有高影响力,并构成系统性风险。
如果欧盟委员会确定模型具有与这些高风险功能相当的影响力,即使不符合 FLOP 阈值,也可以将该模型归类为系统性风险。
构成系统性风险的 GPAI 模型(包括免费的开源模型)必须满足上述所有要求,以及一些附加义务:
GPAI 模型的提供商可通过采用欧盟 AI 办公室目前正在起草的自愿行为准则来满足合规要求。这些准则预计将在法案生效后的九个月内完成。不采用这些准则的提供商必须以其他方式证明其合规性。
提供商、部署者、进口商和分销商通常会负责确保他们制造、使用或流通的 AI 产品的合规。他们必须将合规证据记录在案,并应要求与监管机构共享。他们还必须共享信息,并相互合作,以确保 AI 供应链中的每个组织都能遵守《欧盟 AI 法案》。
提供商和部署者还必须确保代表组织使用 AI 的工作人员或其他各方具备必要的 AI 素养,以便负责任地处理 AI。
除了这些宽泛要求之外,各方都有自己的具体义务。
进口商和分销商必须确保他们负责流通的 AI 系统和模型符合《欧盟 AI 法案》。
如果进口商或分销商在产品上增加自己的名称或商标,或对产品进行重大更改,则将被视为 AI 的提供商。在这种情况下,进口商或分销商必须承担该法案中概述的所有提供商责任。
该法案的执行将由多个不同机构分担。
在欧盟层面,欧盟委员会设立了 AI 办公室,帮助协调成员国家或地区之间法案的一致应用。AI 办公室还将直接执行 GPAI 规则,能够对组织进行罚款,并强制采取纠正措施。
各个成员国家或地区将指定国家级主管机构来执行所有非 GPAI 法规。该法案要求每个国家或地区成立两个不同的机构:市场监督机构和通知机构。
市场监督机构应确保组织遵守《欧盟 AI 法案》。他们可以听取消费者的投诉,调查违规行为,并对组织进行罚款。
通知机构应监督对新的高风险 AI 产品进行合规性评估的第三方。
使用禁用 AI 做法的组织将被处以高达 35,000,000 欧元或全球营业额 7% 的罚款,以较高者为准。
对于其他违规行为,包括违反 GPAI 规则的行为,组织可能会被处以高达 15,000,000 欧元的罚款或全球营业额的 3%,以较高者为准。
如向权力机构提供不正确或误导性的信息,组织可能会被处以高达 7,500,000 欧元或营业额 1% 的罚款,以较高者为准。
值得注意的是,《欧盟 AI 法案》对初创企业和其他小型组织的罚款有不同的规定。针对这些企业,罚款金额为两个可能金额中的较低者。这与该法案的总体方向一致,即确保要求不会过于繁重,不至于将小型企业排除在 AI 市场之外。
欧洲议会于 2024 年 3 月 13 日批准了《欧盟 AI 法案》。欧洲理事会将完成最后一轮审查,该法律将在《欧盟官方公报》上公布 20 天后生效。观察人员预计,这将于 2024 年 5 月实现。
这项法案要到 2026 年才会全面生效,不同的条款将会随时间的推移逐步实施:
我们最新的电子书概述了 AI 治理的关键构建块,并分享了您可以在组织中应用的详细 AI 治理框架。
深入了解负责任的 AI 对组织的变革潜力,并了解采用符合道德规范的 AI 的实践背后的关键驱动因素。
加入讨论为什么企业需要优先考虑 AI 治理来部署负责任的 AI。
了解数据治理如何能确保公司从数据资产中获得最大收益。
可解释 AI 至关重要,可在组织将 AI 模型投入生产时帮助组织建立信任和信心。
AI 伦理是一个多学科领域,研究如何优化 AI 的有益影响,同时降低风险和不良后果。阅读有关 IBM 的 AI 伦理方法。