欧盟当前的人工智能法规状况及展望是什么?也解析对日本企业的影响
随着AI的发展,ChatGPT等AI工具被广泛应用于业务中,AI相关业务日益繁荣。与此同时,国际上对AI监管的问题也受到了广泛关注。
在日本,经济产业省已经发布了《日本经济产业省AI原则实践的治理指南 Ver. 1.1》[ja](撰写本文时)。2023年6月14日(令和5年),欧盟欧洲议会通过了世界上首个国际性的《AI监管法》,这在日本也引起了广泛关注。
本文将介绍AI监管法的现状和展望,并解析其对日本企业的影响。
什么是AI法规(AI Act)?
2023年6月14日,针对AI全面应用的综合性“AI规则案”在欧盟的欧洲议会中获得通过。这是世界上首个由85条组成的国际性“AI法规(AI Act)”,属于欧盟统一规则(次级法律)。
展望未来,预计在2023年内达成协议,欧洲委员会、欧洲议会和欧洲理事会三方将进行非正式谈判(三方对话)。在获得立法机构欧洲议会和欧洲理事会的批准后,该法规将正式成立,并计划于2024年开始实施。
欧盟的法律体系
欧盟的法律体系由三种类型构成:一级法(条约)、二级法(共同体立法)和判例。
二级法是基于一级法(条约)制定的,它直接或间接地对欧盟成员国进行规制,被称为欧盟法或派生法。
二级法大致分为以下五种类型,而“欧盟人工智能法规”属于规则(Regulation),因此它是直接约束欧盟成员国的统一规则。
欧盟的法令(二级法)包括以下五种类型:
- 规则(Regulation):对所有成员国具有约束力,一旦通过,即具有直接适用性(无需成员国内部批准程序即成为国内法律体系的一部分)。
- 指令(Directive):要求各成员国为达到既定目标而新制定或修改国内法律,承担法律义务。
- 决定(Decision):具有法律约束力的法律形式之一,其适用对象不是一般性的,而是特定的,对象可以是特定的成员国、企业或个人。
- 建议(Recommendation):欧洲委员会向成员国政府、企业或个人等提出某些行为或措施的建议。虽然没有法律约束力和强制力,但被视为促进成员国内法律的制定和修订。
- 意见(Opinion):有时也称为“见解”,是欧洲委员会就特定主题发表的观点,没有法律约束力和强制力。
“规则”(Regulation)在二级法中具有最强的强制力,例如GDPR(General Data Protection Regulation)即“一般数据保护条例”就是规则的一个例子。
AI监管法的适用范围
欧盟的《AI监管法》不仅直接适用于欧盟境内,同时也对第三国的交易国具有域外适用性和法律约束力。该法规的适用对象包括针对欧洲市场推出AI系统和服务的企业,适用于AI的开发者、部署者、提供者、进口商、销售商和用户。
《AI监管法》明确了对特定AI系统的具体要求和企业的义务,同时也要求减轻中小企业(SME)的行政和财政负担。
该法案是旨在保障AI的安全性和基本权利、加强欧盟整体对AI的参与、投资和创新的广泛AI政策包的一部分。
欧洲法规必须符合其基本理念,即《欧洲联盟基本条约》。这意味着即使在AI技术领域,也必须保障欧盟境内的人权和自由,并需要相应的保障措施。
法案中关于监管目的的说明是“通过人类监督来促进可信赖的AI使用,并确保保护健康、安全、基本权利、民主和法治以及环境免受AI风险的影响”。
具体而言,法案中列出了以下“适用于所有AI系统的一般原则”:
- 人类的自主性和监督
- 技术的稳健性和安全性
- 隐私和数据治理
- 透明性
- 多样性、非歧视和公平性
- 对社会和环境的良性影响
在本监管法中,为了实现AI原则,确保AI开发者、用户和提供者的AI素养措施也是至关重要的。
一旦违反规定,将面临基于全球销售额的巨额罚款(最高可达3000万欧元,约合47亿日元,或全球销售额的6%中的较高者为上限),可能导致无法在欧盟范围内开展AI业务。
因此,包括日本在内的企业,如果目前在欧盟市场从事AI业务,或考虑未来进入欧盟市场,也需要采取符合欧盟新AI监管法的相应措施。
AI监管法制定的背景
生成AI虽然是便利的工具,但同时也潜藏着助长犯罪和威胁民主主义的风险。随着AI技术的发展和普及,这些问题已成为不可回避的挑战。
自2016年以来,欧洲联盟(EU)、美国和中国已经发布了关于AI的指导原则和国家战略草案。特别是在EU,已经在2017年至2022年期间制定了重要的指导原则、宣言和监管草案。
例如,2016年4月,欧盟制定了《一般数据保护条例(GDPR)》,2021年4月21日公布了《AI监管法草案》,2022年5月30日制定了《欧洲数据治理法(DGA)》,并于2023年9月24日开始实施。
这些监管措施旨在确保AI和大数据在整个社会中的安全和公正使用,并同时促进创新和经济增长。
EU提出了数字战略“适应数字时代的欧洲”。
在《AI监管法草案》公布后,鉴于生成AI的快速进化和普及,欧洲委员会在2023年6月14日采纳了包含生成AI相关思路和要求的修正案。
| 日期 | 会议 |
| 2021年4月21日 | 欧洲委员会公布《EU AI监管法草案》 |
| 2023年5月11日 | “内部市场与消费者保护委员会”和“公民自由、司法与内政委员会”修正案通过 |
| 2023年6月14日 | 欧洲议会修正案采纳 |
| 2023年10月24日 | 第四轮三方对话(Trilogue)举行 暂定协议 |
| 2023年12月6日 | 最终三方对话(Trilogue)预定举行 欧洲议会与EU理事会批准 《EU AI监管法》制定 |
| 2024年下半年 | 预定实施 |
AI监管法的特点
“AI监管法”的框架主要由三个特点构成,分别是“基于风险的AI分类”、“要求事项与义务”以及“创新支持”。
该监管采用所谓的“基于风险的方法”,将AI的风险等级分为四个层次,并对应施加相应的监管措施。
具体来说,如下表所示,根据AI系统的四种风险等级,规定了禁止事项、要求事项和义务。对于高风险AI,从确保人的身体和生命安全、自主决策权、民主以及公正程序的角度出发,其使用范围已被特别指定。
| 风险等级 | 使用限制 | 目标AI系统 | 要求事项・义务 |
| <禁止风险> 与欧盟价值观相悖的AI禁止 | 禁止 | ①潜意识技术 ②利用脆弱性 ③社会评分 ④法律执行目的在公共区域的“实时”远程生物识别系统(例外除外) | 禁止 |
| <高风险> ・监管对象产品的安全要素 ・特定领域的AI系统+对健康・安全・基本权利・环境构成重大风险的AI | 遵守要求和适配性评估为条件 | ①生物识别・分类(工业机械・医疗设备) ②关键基础设施的管理与运营 ③教育・职业培训 ④就业、劳工管理、自营业务获取 ⑤必要的私营・公共服务获取 ⑥法律执行(所有主体均为执法机构) ⑦移民・庇护・边境管理(所有主体均为管辖的公共机构) ⑧司法及民主过程的运营 | 风险管理系统・数据治理・技术文件编制・日志保存・人工监督措施・适配性评估程序等严格规定 |
| <有限风险> 适用透明度义务的AI系统 | 透明度义务为条件 | ①如聊天机器人等与自然人互动的AI系统 ②情感识别系统・生物分类系统 ③深度伪造生成AI系统 | 设计模型时确保不产生非法内容 • 公布使用版权保护数据的训练模型・AI使用前告知等有限义务 |
| <最低风险> 以上以外的系统 | 无限制 | 以上以外的系统 | 推荐行为规范 |
欧盟AI法规对日本的影响
欧盟在人权保障、个人信息保护、环境保护等领域国际领先地引入了规制,并成为了各国制度设计的“黄金标准”。
日本的个人信息保护法修正也是为了统一分散的规制,同时应对欧盟的GDPR(数据保护法)成为了推进的重大任务。此外,还有参考欧盟法规制定的法规,如“特定数字平台的透明性及公正性提升法”(2021年(令和3年)2月1日施行)。
目前日本在AI方面并未采取硬法规的规制,而是采取了软法规的自律规制策略。
正如上述,欧盟的“AI法规”不仅直接适用于成员国,而且在欧盟境内开展业务时也有跨境适用,适用于海外的企业。
如后文所述,在欧盟境内出货AI产品可能需要遵守多个不同角度制定的法律,对这些法律的应对措施是不可或缺的。日本企业也需要密切关注未来的动向,并采取合法的应对策略。
采纳包含生成AI的修正案
AI监管法是一项应用了欧盟三方(欧洲理事会、欧洲议会、欧洲委员会)修正案的法律。
2023年5月11日(令和5年),IMCO(内部市场与消费者保护委员会)和LIBE(公民自由、司法与内政委员会)通过了关于AI监管法的修正案。
这些修正案于2023年6月14日(令和5年)在欧洲议会获得采纳。
报告中包含了立法提案的重要修正,如禁止预测性警务、在高风险独立AI名单中增加多项内容、以及设立新的AI办公室(EAIB,取代欧洲人工智能委员会)的强大而全面的角色。
此外,还提出了与GDPR(数据保护法)更强有力的协同工作,某些领域中利益相关者的参与度增加,以及引入了与生成AI和通用AI相关的特定规定。
随后,在2023年10月24日(令和5年),举行了关于AI监管法的第四轮三方对话,就一些政治上敏感的问题取得了显著进展。特别是,就备受争议的高风险AI系统的过滤机制(Art. 6)达成了临时协议。
此外,就基础模型/通用AI系统、治理、禁令以及执法机构的未来方向提供了政治指导,技术团队被要求着手处理上述问题的具体文本提案。
关于相关法律的AI规制
AI规制法涉及多个从不同角度制定的法律。这三部法律是由欧洲联盟(EU)制定的,旨在数字空间中保护个人信息和确保公平竞争。
DSA(数字服务法)
欧盟的《数字服务法》(DSA=Digital Services Act)是于2022年11月16日(公历)开始施行的,预计将于2024年2月17日(公历)全面施行的,针对欧盟电子商务的全面规定。
尽管欧盟在2000年就制定了电子商务指令,但随着互联网和在线平台等数字环境的发展,适应这些变化变得越来越困难。因此,通过修订该指令,实施了统一的欧盟规则——DSA(数字服务法)。
该法旨在通过确保欧盟内部市场的中介服务正常运作,保护用户的基本权利,并维护更安全的数字环境。受规制的业务包括在线中介服务、托管服务和在线平台(包括VLOP和VLOSE)。
这是一部全面规定BtoB和BtoC双方面的法律,明确了在非法内容发布以及发生争议时的责任归属和处理方式。
具体来说,该法律强制要求采取措施排除非法内容、产品和服务,加强保护用户的基本权利,并要求确保透明度和承担解释责任。
此外,对于在欧盟内部月均用户超过4500万人的VLOP(非常大型在线平台)和VLOSE(非常大型在线搜索引擎),规定了更为严格的规则。
被指定的VLOP和VLOSE必须在接到决定通知后的4个月内,调整其系统、资源和流程以符合DSA的要求,并建立缓解措施和独立的法规遵从系统。此外,它们还必须进行审计和首次年度风险评估,并向欧洲委员会报告。
DSA(数字服务法)预计将从2024年2月17日(公历)开始全面适用,VLOP和VLOSE以外的业务者的DSA履行状况将由欧洲委员会和成员国当局进行监督。
成员国必须在2024年2月17日(公历)之前设立具有独立权威的“数字服务协调员”,以监督DSA的遵守情况,并授予执行包括罚款在内的处罚权。
而对于VLOP和VLOSE,则由欧洲委员会直接监督和执行处罚权。
违反法律的制裁金上限为相关业务者前一财年全球年销售额的6%。
该法律是作为欧盟“适应数字时代的欧洲”战略的一部分而实施的,旨在应对数字时代不断演变的新挑战和风险。
DMA(数字市场法)
欧盟的《数字市场法》(DMA=Digital Markets Act)自2023年5月2日起大体上开始施行,旨在确保数字市场的公正与竞争力,并防止特定的数字平台主宰市场。
受监管的对象是被指定的“门户守卫者”,该法律规定了它们的义务,并规定违反者将面临不超过全球销售额10%的罚款等制裁措施。
所谓的“门户守卫者”是指在欧洲联盟内运营的最大规模的数字平台,它们在某些数字领域持续占据市场地位,并满足用户数量、销售额、资本金等一定的标准。
欧洲委员会计划在2023年9月6日前指定最新的门户守卫者,这些企业将有最长6个月的宽限期(至2024年3月)来遵守数字市场法的新义务。此次被指定为“门户守卫者”的有Alphabet、亚马逊、苹果、字节跳动、Meta以及微软等6家公司,它们提供的共22个主要平台和服务被列为法律的监管对象。
该法律旨在防止大型数字平台滥用市场力量,并使新进入者更容易进入市场。
GDPR(一般数据保护条例)
GDPR(一般数据保护条例)是欧盟在2018年5月25日(公历)实施的新型“数据保护法”。
它为欧盟内外的组织设定了收集和处理个人信息的指导原则和法律框架。该条例对在欧盟境内运营或收集与欧盟居民相关数据的组织施加了义务。
预期的人工智能监管趋势
接下来,我们将解释企业应当关注的AI风险分类表中的AI系统。
禁止使用社会信用评分
在欧盟(EU)的规章法律中,被列为“禁止风险”的人工智能(AI)系统之一就是社会信用评分(Social Credit Score)。根据修正案,这一系统将被全面禁止,不仅限于公共机构。
所谓的“社会信用评分”是指根据个人公民的社会地位和行为来打分的系统。
在中国,这一系统作为监控社会的工具而发挥作用,并且作为国家政策,在“公务”、“商业”、“社会”、“司法”四个领域构建了社会信用系统。
具体的限制包括禁止乘坐飞机和高速铁路、被私立学校排除、禁止成立非政府组织(NPO)等组织、被排除在享有声望的工作之外、被酒店排除、互联网连接速度降低、在网站和媒体上公开个人信息等。另一方面,如果评分高,则可以享受各种“特权”。
然而,这样的系统引发了对个人隐私和自由的担忧,其运营一直是一个争议的话题。
在欧盟境内禁止使用社会信用评分,旨在确保人工智能技术的使用是公正和透明的。
加强生成型AI的限制
在欧盟的监管法中,被归类为“有限风险”的人工智能系统之一就是生成型AI。
生成型AI(Generative AI)是一种基于学习数据生成新内容或解决方案的人工智能,近年来像Chat GPT这样的技术受到了广泛关注。然而,生成型AI面临着各种挑战,因此需要相应的监管。
在人工智能监管法中,鉴于生成型AI的快速发展和普及,已经增加了对生成型AI的考量和要求。
具体来说,对于OpenAI等生成型AI供应商,将强制要求披露用于LLM(Large Language Model,大型语言模型)学习的受版权保护的数据。
这样做的目的是为了确保生成型AI的透明度,并加强风险管理的监管。
在欧盟的立法中,从GDPR(数据保护法)开始,传统上一直重视“透明性”原则,要求提前向数据主体披露保护措施和AI的用途、目的,这一原则已成为国际上的“黄金标准”。
情感识别AI的使用限制
根据欧盟(EU)规定法中的“有限风险”类别,情感识别AI也是一种适用透明度义务的AI系统,对AI使用将施加如事前告知等有限的义务。
所谓“情感识别AI”,指的是能够读取人类情感变化的AI技术。
具体来说,包括以下四种类型,通过麦克风、摄像头和传感器等手段,分析人的喜怒哀乐和兴趣水平:
- 文本情感识别AI:分析人类输入的文字或将语音数据转换为文本的信息,以判断情感。
- 语音情感识别AI:从人类发出的声音中分析情感。
- 表情情感识别AI:通过摄像头读取面部表情来识别情感。
- 生物信息情感识别AI:从脑电波、心跳等生物信息中认识情感。
这些技术已经在接待服务、呼叫中心、销售等多种场合得到应用。随着技术的进一步发展,未来在医疗领域的应用也备受期待。
然而,必须要保护通过生物信息和个人信息收集而来的隐私,并且需要相应的法律法规来配套。
总结:AI法规的现状与未来展望
以上,我们解释了欧盟的《AI法规》当前的状况、未来的展望以及对日本企业的影响。可以说,世界首个《欧盟AI法规》有很高的可能成为国际上的“黄金标准”。
对于未来计划进入欧盟市场的日本企业来说,关注这一AI法规的动向显得尤为重要。我们建议,对于欧盟地区的AI法规问题,咨询精通国际法务和AI技术的律师将是明智之举。
本所提供的对策介绍
Monolith律师事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。AI业务伴随着许多法律风险,因此,获得精通AI相关法律问题的律师支持是至关重要的。本所拥有精通AI的律师和工程师等组成的团队,为包括ChatGPT在内的AI业务提供合同起草、商业模式合法性审查、知识产权保护、隐私应对等高级法律支持。详细内容已在下文中说明。
Monolith律师事务所的业务范围:AI(包括ChatGPT等)法务[ja]
