【神州控股】欧盟抢跑AI治理，-人工智能法案-的下一步是什么？

　　21世纪经济报道记者冯恋阁肖潇广州、北京报道

　　欧洲议会的 人工智能 法案联合责任人将3月13日形容为“历史性的一天”。

　　当地时间13日，欧洲议会以 523 票赞成、46 票反对、49 票弃权的压倒性优势通过《 人工智能 法案》（以下简称“《法案》”），并公布了法案的文本。

　　受访专家指出，相比今年1月非正式公开的文本，本次官方公布的内容实质变动不大。在通用 人工智能 系统、 生物识别 、国家安全等条款进行了一定调整。顺畅通过议会后，《法案》面前又少了一个关卡。如果4月29日通过欧盟理事会的批准，预计法案将在5月、6月开始生效。

　　欧盟或许再次成了数字科技领域的全球标准制定者。

　　实质内容已定稿

　　“欧盟的 人工智能 法是个比较重要的立法样本。”对外经济贸易大学 数字经济 与法律创新研究中心执行主任张欣指出，整体而言，欧盟对 人工智能 的立法规制思路仍然与之前一脉相承，即基于风险的分类分级治理。

　　根据欧洲议会官方网站公开的法案，基于不一样的危险，AI系统被分为四个类别：分别是完全被禁止、高风险、有限风险、低风险的AI系统。

　　完全被禁止的AI应用有六类，好比在公共场所面部识别，用AI在工作或学校识别情绪。值得注意的是，此前争议颇大的 生物识别 ，最终没有被完全禁止。当执法人员需要追踪严重犯罪者、预防恐怖主义时，如果获得了司法或行政授权，仍然可以在公共场合使用面部识别技术。

　　更为大众熟悉的ChatGPT、Gemini等基础模型，可能被用于各种目的，因此属于“典型的通用目的 人工智能 （General Purpose AI, GPAI）” 它们务必额外满足一些透明度要求，好比遵守现行的欧盟版权法，发布训练数据的详细摘要。

　　据媒体透露，版权条款是《法案》“游说最激烈”的一部分，来自不同立场的说法不断碰撞，难以达成一致。同济大学法学院助理教授、上海 人工智能 社会治理协同创新中心研究员朱悦认为，版权问题的争议围绕一个问题： 人工智能 企业的练习内容披露，到底要详细到何种水平？

　　“媒体、作家等版权人可能会认为，既然自己的数据已经被使用，AI企业就应该尽量详细地公开相关信息；但另一端的模型开发者则会认为，一方面，训练数据的决策、配比等是企业的商业秘密，不会全盘公开；另一方面，Sora该类卓越的大模型，其训练数据有可能是高质量的私有数据，公开可能会对企业造成商业上的不良影响。”

　　“说实话，在详细的表现守则或指南出来之前，或在重要案例判决之前，欧盟在版权问题上的实践到底会做到啥水平很难说清楚。”他表示。

　　法案还重点指出， 人工智能 全面的部署者和提供者都负有对人造或操作生成的图像、音频或视频内容（深度伪造品，deepfake）明确标记的义务。

　　“目前官方在这个问题上的监察管理态度还比较审慎。”朱悦指出，一般而言，这种标识可以通过水印、标识、元数据等方法来实现。从技术成熟度上来看，图片的明水印、暗水印技术已经逐步成熟，但文字内容如何做好水印标识可能还需进一步探索。“可能还需要有配套的表现守则对技术手段等进行指导。”

　　要不要监管基础模型，也曾是此前的核心争议。各自拥有明星AI草创公司的法国、德国，在去年12月突然对基础模型的监察管理提出异议，一度让《法案》的谈判陷入僵局。在本次欧洲议会的新闻发布会上，被问及法国Mistral公司的游说情况，和游说是否削弱了《法案》对基础模型的监察管理力度，欧盟内部市场专员蒂埃里·布雷顿驳斥了这一说法。他强调：“这是游说力度最大的立法之一，但欧盟顶住了压力。”

　　在朱悦看来，本轮后文本显示，欧盟对于GPAI的监察管理力度不算太强。“主要是披露义务和一些常规的自律义务，很可能此前来自产业界等多方的游说在这方面还是发生了一定影响。”

　　而张欣认为，对基础模型的规制思路，和对风险的认定和评估，是本轮法案值得借鉴的亮点。此次法案中提出，依据一定的指标和基准对通用 人工智能 模型的影响能力进行评估。“生成式 人工智能 是一个技术族群，不一样的模型所能造成的危险和影响不可同日而语。这种通过训练使用计算量、模型技能获取效率、通用性分析和数据丰富度、算法效率和模型通用性维度并结合特定模型基准而构建的条件模型分层治理思路有一定参考价值。”

　　在她看来，甭管是今天的生成式 人工智能 还是即将出现的AI Agent（ 人工智能 体），治理的关键节点都在基础模型环节。因此欧盟的分层治理是其尝试统筹发展与安全和精准治理的思路之一。

　　评估细化、框架融合等难题待解

　　脚步渐近， 人工智能 法案迈向下一步的路上。受访专家指出，新规则与旧制度的融合、新风险与旧框架的冲突，都是接着执法要面对的困扰。

　　张欣指出，一方面，欧盟需要思考， 人工智能 法如何与已经生效的 人工智能 责任指令、产品责任指令、通用产品安全法规、GDPR、《数据治理法》《数字市场法》和《数字服务法》之间组成的庞大的规范体系相衔接，避免法律规则之间的冲突与重叠；另一方面，虽然以风险分级作为基础治理思路，可是 人工智能 的危险显现动态性特征，即便欧盟制定了更新评估的机制，可是仍然可能面临滞后与评估偏差的危险。另外，风险评估和基础模型分层评估所依赖的评估机构体系和评估生态尚在雏形之中，未来如何高效运作，能否实现立法者的期待也是未定之数。

　　“未来落地的挑战还十分艰巨。”她表示。

　　《法案》之后，新的机构和规则是否也将逐渐跟上？

　　21记者发现，欧盟相关的机构和规则配套的进度也在逐渐加快。今年年初，成立欧洲 人工智能 办公室(AI Office)的决定发布，这一办公室将作为通信网络、 人工智能 内容和技术总局行政架构的一部分，其职能主要包含增进 人工智能 全面的实施、监测和监督和 人工智能 治理。目前，该办公室的人员协调已经展开。

　　在规则方面，《产品责任指令》（Product Liability Directive，以下简称“《指令》”）和《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）的进一步适用都值得关注。

　　在朱悦看来，GDPR中包含了多类个人数据，而AI的成长和运行都与数据脱不了干系。“GDPR在 人工智能 领域的适用有可能对AI实践发生特别大的影响。”

　　《产品责任指令》的重要性也不可小视。朱悦认为，《指令》多处表明，构成软件，进而构成产品的 人工智能 将是其规制的重要对象。一般而言，民事诉讼中大多数时候依循“谁主张、谁举证”的准则，但《指令》在诉讼权责分配方面有特别的规定，如果原告能证明系统存在科学上的复杂性，则其举证责任可能降低。针对AI从业者，《指令》也有相对“人性化”的条款，好比“发展抗辩”——如果损害的发生来自AI企业在现今科技水平不能预见、不可克服的危险，则企业有可能免去责任。

　　欧洲议会法律工作联合责任人在新闻发布会上表示，夏季议会选举后，可能会出台更多与 人工智能 相关的立法和细则。