MONOLITH 律師事務所+81-3-6262-3248平日 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

歐盟(EU)中的人工智慧(AI)規範法現狀與展望?也解說對日本企業的影響

General Corporate

歐盟(EU)中的人工智慧(AI)規範法現狀與展望?也解說對日本企業的影響

隨著AI的發展,業務中開始使用ChatGPT等AI工具,AI相關業務日益興盛。同時,國際上對AI規範的問題也受到廣泛關注。

在日本,經濟產業省已經發布了「日本AI原則實踐的治理指南 Ver. 1.1」[ja](撰寫本文時)。2023年(令和5年)6月14日,歐盟歐洲議會通過了世界上首個國際性的「AI規範法」,這在日本也引起了廣泛關注。

本文將介紹AI規範法的現狀和展望,並解析其對日本企業的影響。

什麼是AI規制法(AI Act)?

2023年6月14日(令和5年6月14日),針對AI全般的應用,歐盟的歐洲議會通過了一項全面的「AI規則草案」。這是世界上首個國際性的「AI規制法(AI Act)」,由85條條文組成,屬於歐盟的統一規則(二次法)。

預計在2023年內,歐洲委員會、歐洲議會和歐洲理事會將進行非正式的三方談判(三邊對話),在獲得立法機關歐洲議會和歐洲理事會的批准後,該法案將正式成立,並計劃於2024年開始實施。

歐盟的法律體系

歐盟的法律體系由三種類型構成:一次法(條約)、二次法(共同體立法)以及判例。

所謂二次法,是基於一次法(條約)制定的,對歐盟成員國產生直接或間接規範作用的法律,也被稱為歐盟法或派生法。

二次法大致可分為以下五種類型,而「歐盟人工智能規範法」屬於規則(Regulation),因此它將成為直接約束歐盟成員國的統一規則。

歐盟的法令(二次法)包括以下五種類型:

  • 規則(Regulation):對所有成員國具有約束力,一旦採納,即具有直接適用性(無需成員國內部批准程序即成為國內法律體系的一部分)。
  • 指令(Directive):要求各成員國為達成目標而新制或修訂國內法,承擔法律義務。
  • 決定(Decision):具有法律約束力的法律形式之一,其適用對象不是一般性的,而是特定的,可能是特定的成員國、企業或個人。
  • 勧告(Recommendation):歐洲委員會建議成員國政府、企業或個人採取某些行動或措施。雖然沒有法律約束力或強制力,但被視為促進成員國內法制化或修訂的手段。
  • 意見(Opinion):有時也被稱為「見解」,歐洲委員會對特定主題發表的意見,沒有法律約束力或強制力。

「規則」被視為二次法中具有最強約束力的法律,例如GDPR(General Data Protection Regulation)即「一般資料保護規則」就是一個規則的例子。

AI規範法的適用範圍

歐盟的「日本AI規範法」將直接適用於歐盟境內,同時對第三國的交易國具有域外適用性和法律約束力。規範對象包括針對歐洲市場推出AI系統・服務的經營者,涵蓋AI的開發者、部署者、提供者、進口商、銷售商及使用者。

AI規範法明確規定了特定AI系統的具體要求和經營者的義務,同時要求減輕中小企業(SME)的行政和財政負擔。

該法案是一個廣泛的AI套件的一部分,旨在保障AI的安全性和基本權利,並加強歐盟整體對AI的參與、投資和創新。

歐洲規範必須遵循其基本理念,即歐洲聯盟基本條約。這意味著即使在AI技術領域,也必須保障歐盟境內的人權和自由,並需要相應的保障措施。

法案闡述了規範目的,即「促進可靠AI的使用,透過人類監督來保護健康、安全、基本權利、民主主義與法治以及環境免受AI風險的侵害」。

具體而言,法案列出了以下「適用於所有AI系統的一般原則」:

  • 人類自主性和監督
  • 技術的堅固性和安全性
  • 隱私權和數據治理
  • 透明度
  • 多樣性、非歧視和公平性
  • 對社會和環境的良性影響

在本規範法中,為達成AI原則,確保AI開發者、使用者和提供者的AI素養是不可或缺的措施。

一旦違反,將面臨基於全球銷售額的巨額罰款(最高可達3,000萬歐元,約合47億日元或全球銷售額的6%,以較高者為限),可能導致無法在歐盟範圍內從事AI業務。

因此,包括日本在內的企業,若已在歐盟市場投入AI業務或計劃進軍歐盟市場,也需要遵守歐盟新的AI規範,採取相應的適應措施。

AI規範立法的背景

AI規範法的立法背景

生成AI雖然是一項便利的工具,但同時也蘊含著促進犯罪和威脅民主主義的風險。隨著AI技術的進步和普及,這些問題已成為不可迴避的挑戰。

自2016年起,歐洲聯盟(EU)、美國和中國已經公布了有關AI的指導原則和國家戰略草案。特別是在EU,從2017年到2022年間,已經制定了一系列重要的指導原則、宣言和規範草案,以推進AI和大數據的規範。

例如,2016年4月制定了「一般數據保護規則(GDPR)」,2021年4月21日公布了「AI規範法案」,2022年5月30日制定了「歐洲數據治理法(DGA)」,並於2023年9月24日開始實施。

這些規範旨在確保AI和大數據在整個社會中的安全和公正使用,同時促進創新和經濟增長。

EU提出了數位戰略「適合數位時代的歐洲」。

在「AI規範法案」公布後,鑑於生成AI的快速進化和普及,歐洲委員會於2023年6月14日採納了包含生成AI的新思路和要求的修正案。

日 程  會 議
2021年4月21日歐洲委員會公布「EU AI規範法案」
2023年5月11日「內部市場與消費者保護委員會」「公民自由、司法與內政委員會」修正案通過
2023年6月14日歐洲議會修正案採納
2023年10月24日第四輪三方對話(Trilogue)舉行
達成臨時協議
2023年12月6日最終三方對話(Trilogue)預定舉行
歐洲議會與EU理事會批准
「EU AI規範法」制定
2024年下半年預計實施

AI規範法的特點

AI規範法的特點

「AI規範法」的架構主要由三大特點構成:「基於風險的AI分類」、「要求事項與義務」以及「創新支援」。

該規範採用所謂的「風險基礎方法」,將AI的風險等級分為四個層次,並根據這些層次施加相應的規範。

具體來說,如下表所示,根據AI系統的四種風險等級,設定了禁止事項、要求事項和義務。對於高風險AI,從保障人類身體與生命安全、自主決定權、民主以及適當程序的角度出發,其使用範圍已被特別界定。

風險等級使用限制目標AI系統要求事項・義務
 <禁止風險>          
與歐盟價值觀相悖的AI禁止
禁止①潛意識技法
②利用脆弱性
③社會信用評分
④法執行目的在公共區域的「即時」遠程生物識別系統(例外除外)
禁止
<高風險>
・規範對象產品的安全要素
・特定領域的AI系統+對健康・安全・基本權利・環境造成重大風險的AI
遵守要求和適合性評估為條件①生物識別・分類(工業機械・醫療器械)
②關鍵基礎設施的管理與運營
③教育・職業訓練
④就業、勞工管理、自營業取得途徑
⑤必要的民間・公共服務取得途徑
⑥法執行(全部主體為法執行機構)
⑦移民・庇護・邊境管理(全部主體為管轄的公共機構)
⑧司法及民主程序的運作
風險管理系統・數據治理・技術文件的編制・日誌保存・人工監督措施・適合性評估程序等嚴格規範
<有限風險>
適用透明度義務的AI系統
透明度義務為條件       ①如聊天機器人等與自然人互動的AI系統
②情感識別系統・生物分類系統
③深度偽造生成AI系統
設計模型時防止非法內容生成 • 公開使用著作權保護的數據訓練 • AI使用前告知等有限義務
<最小風險>
上述以外的系統
無限制 上述以外的系統推薦行為準則

歐盟AI規範法對日本的影響

歐盟在人權保障、個人資料保護、環境保護等領域,國際上居於領先地位,引入規範,並成為各國制度設計的「黃金標準」。

日本的個人資料保護法修正,除了統一分散的規範外,對應歐盟的GDPR(General Data Protection Regulation,一般資料保護規範)也是一大挑戰,因此積極推進。同時,參考歐盟法規制定的法律,如「特定數位平台透明度及公正性提升法」(2021年(令和3年)2月1日施行),也在日本存在。

目前日本對於AI的規範,尚未透過硬法律(Hard Law)進行,而是採取軟法律(Soft Law)的自主規範方式應對。

如前所述,歐盟的「AI規範法」不僅直接適用於歐盟成員國,而且對在歐盟境內開展業務的企業也有跨境適用,即使是海外的企業也需遵守。

如後文將提到,歐盟境內AI產品的出貨可能會受到多個不同角度制定的法律適用,因此必須採取相應的對策。日本企業也需密切關注未來的發展,並採取合法的應對措施。

採納包含生成AI的修正案

採納包含生成AI的修正案

AI規範法是一項應用了歐盟三大機構(歐洲理事會、歐洲議會、歐洲委員會)修正案的法律。

2023年5月11日(西元2023年),IMCO(內部市場與消費者保護委員會)和LIBE(公民自由、司法與內政委員會)通過了關於AI規範法的修正案。

這些修正案於2023年6月14日(西元2023年)在歐洲議會獲得採納。

該報告包含了立法提案的重要修正,包括禁止預測性警務、將多項高風險獨立AI加入清單、以及設立新的AI辦公室(EAIB-取代歐洲人工智能委員會的機構)並賦予其強大而全面的角色。

此外,還提出了與GDPR(資料保護法)更緊密的合作,某些領域中利益相關者的參與增加,以及引入了與生成AI和通用AI相關的特定規定。

隨後,在2023年10月24日(西元2023年),舉行了第四次關於AI規範法的三方對話(Trilogue),在政治上敏感的問題上取得了許多進展。特別是,對於備受爭議的高風險AI系統的篩選機制(Art. 6)達成了臨時協議。

此外,對於基礎模型/通用AI系統、治理、禁令以及執法機關未來方向的政治指導也已進行,技術團隊被要求著手處理上述問題的具體文本提案。

關於相關法律的AI規制

AI規制法涉及多個從不同角度制定的法律。這三項法律是為了保護數位空間中的個人資訊和確保公平競爭,由歐洲聯盟(EU)所制定。

DSA(數位服務法案)

歐盟的「數位服務法案」(DSA=Digital Services Act)是於2022年11月16日(2024年2月17日全面實施)開始施行的,針對歐盟電子商務的全面性規範。

自2000年起,歐盟已有電子商務指令,但隨著互聯網和線上平台等數位環境的演進,該指令越來越難以適用,因此歐盟通過了統一的DSA(數位服務法案)來修訂現行指令。

DSA的制定旨在確保歐盟內部市場的中介服務能夠適當運作,保護用戶的基本權利,並維持更安全的數位環境。受規範的業者包括線上中介服務、寄存服務和線上平台(包括VLOP和VLOSE)。

該法律全面規範了BtoB和BtoC雙方面,針對違法內容發布時的責任問題,以及發生爭議時的處理方式。

具體而言,它要求業者採取措施排除違法內容、產品和服務,加強保護用戶的基本權利,並要求確保透明度和負責任的全面規範。

此外,對於歐盟內部月均用戶數超過4500萬的VLOP(非常大型線上平台)和VLOSE(非常大型線上搜尋引擎),則施加了更嚴格的規則。

被指定的VLOP和VLOSE必須在接到決定通知後的4個月內,調整其系統、資源和流程以符合DSA,並建立緩和措施和獨立的法規遵循系統。然後,它們需要進行審計和首次年度風險評估,並向歐洲委員會報告。

DSA(數位服務法案)預計將於2024年2月17日全面實施,VLOP和VLOSE以外的業者將由歐洲委員會和成員國當局監督其DSA的履行狀況。

成員國必須在2024年2月17日之前設立具有獨立權限的「數位服務協調官」,以監督DSA的遵守情況,並賦予執行包括罰款在內的處罰權限。

對於VLOP和VLOSE,歐洲委員會將直接監督並擁有執行罰則的權限。

違反法律的制裁金上限為該業者前一年度全球年銷售額的6%。

此法律作為歐盟「適合數位時代的歐洲」戰略的一部分而實施,旨在應對數位時代不斷演進的新挑戰和風險。

歐盟數位市場法(DMA)

歐盟的「數位市場法」(DMA=Digital Markets Act)將於2023年5月2日(西元2023年)開始大致施行,旨在使數位市場保持公正且具競爭力,並防止特定數位平台主宰市場。

該法規的適用對象為被指定的「門戶守門人」,並為其設定義務。若違反規定,將面臨最高不超過全球年銷售額10%的罰金等制裁措施。

所謂的「門戶守門人」指的是在歐盟境內運營的最大規模數位平台,由於在某些數位領域持續占據市場地位,以及滿足用戶數量、年銷售額、資本金等特定標準,因此被稱為「門戶守門人」。

歐盟委員會預計在2023年9月6日(西元2023年)前指定最新的「門戶守門人」,這些企業將有最多六個月的緩衝期(至2024年3月)來遵守數位市場法的新義務。此次被指定為「門戶守門人」的包括Alphabet、Amazon、Apple、ByteDance、Meta以及Microsoft等六家公司,它們提供的共22個主要平台與服務被列為法律的適用對象。

此法律旨在防止大型數位平台濫用市場力量,並旨在讓新進入者更容易進入市場。

GDPR(一般資料保護規則)

GDPR(一般資料保護規則)是於2018年5月25日(平成30年)開始實施的歐盟新「資料保護法」。

這是一套法律框架,旨在設定歐盟內外機構收集和處理個人資料的指導原則。該規則對於針對歐盟或收集與歐盟內人士相關資料的組織施加義務。

相關文章:解說製作符合GDPR的隱私政策時的要點[ja]

預期未來的人工智能規範動態

預期未來的人工智能規範動態

針對先前提到的AI風險分類表,本文將解釋企業應該關注的AI系統。

禁止使用社會信用評分

歐盟(EU)規章法中被列為「禁止風險」的人工智慧(AI)系統之一,就包括了社會信用評分(社會信用分數)。根據修正案,這將不僅限於公共機構,而是將被全面禁止。

所謂的「社會信用評分」,是指根據個別公民的社會地位和行為來進行評分的系統。

在中國,這一系統作為監控社會的工具而運作,並作為國家政策,在「公務」、「商業」、「社會」、「司法」四個領域建立了社會信用系統。

具體的限制包括禁止使用飛機或高速鐵路、被私立學校排除、禁止成立非營利組織、被排除於聲望高的工作、被酒店排除、互聯網連接速度降低、在網站或媒體上公開個人信息等。另一方面,如果評分高,則可以獲得各種「特權」。

然而,這樣的系統引發了對個人隱私和自由的擔憂,其運作方式一直是公眾討論的焦點。

在歐盟範圍內禁止使用社會信用評分,旨在確保AI技術的使用是公正且透明的。

加強生成AI的限制

在歐盟規範法中被歸類為「有限風險」的人工智慧系統之一,就包括了生成AI。

生成AI(Generative AI)是一種基於學習數據創造新內容或解決方案的人工智慧,像是Chat GPT等近年來受到廣泛關注的技術。然而,生成AI面臨著多種挑戰,因此需要相應的規範。

在人工智慧規範法中,鑑於生成AI的快速發展和普及,對生成AI的思維方式和要求事項進行了補充。

具體來說,對OpenAI等生成AI供應商施加了新的要求,例如必須披露用於訓練LLM(Large Language Model,大型語言模型)的受著作權保護的數據。

這樣做的目的是為了加強生成AI的透明度和風險管理的規範。

在歐盟的立法中,從GDPR(資料保護法)開始,傳統上就非常重視「透明性」原則,要求提前向對象披露保護措施以及AI的用途和目的,這一原則已成為國際上的「黃金標準」。

感情識別AI的使用限制

根據歐盟規範法(EU Regulation Law)中的「限定風險」類別,感情識別AI也是一種適用透明度義務的AI系統,對AI使用將施加如事前告知等限定性義務。

所謂「感情識別AI」,指的是能夠讀取人類情感變化的人工智能。

具體來說,包括以下四種類型,透過麥克風、攝像頭或感應器等,分析人們的喜怒哀樂及興趣水平:

  • 文字感情識別AI:分析人類輸入的文字或將語音數據轉換為文字的信息,以判斷情感。
  • 語音感情識別AI:從人類發出的聲音中分析情感。
  • 表情感情識別AI:通過攝像頭讀取臉部表情來識別情感。
  • 生理信息感情識別AI:從腦波、心跳等生理信息中識別情感。

這些技術已在接待業務、呼叫中心、銷售職位等多種場合得到應用。隨著技術的進一步發展,未來在醫療領域的應用也備受期待。

然而,保護生理信息和所獲得的個人信息的隱私,以及隨之而來的法律建設,是必不可少的。

總結:AI規範法的現狀與未來展望

以上,本所對歐盟的「AI規範法」現狀及未來展望、以及對日本企業的影響進行了解說。世界首部的「歐盟AI規範法」有很高的可能性成為國際間的「黃金標準」。

對於未來計劃進軍歐盟市場的日本企業而言,關注這項AI規範法的動態將變得至關重要。針對歐盟範圍內的AI規範法問題,本所建議咨詢精通國際法務與AI技術的律師。

本所提供的對策介紹

Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的法律事務所。AI業務伴隨著許多法律風險,因此獲得精通AI相關法律問題的律師支持是至關重要的。本所擁有精通AI的律師和工程師等專業團隊,為包括ChatGPT在內的AI業務提供契約撰寫、業務模式合法性審查、知識產權保護、隱私應對等高級法律支持。詳細內容請參閱下文。

Monolith法律事務所的業務範圍:AI(包括ChatGPT等)法務[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

返回頂部