歐盟(EU)中的人工智慧(AI)規範法現狀與展望?也解說對日本企業的影響
隨著AI的發展,業務中開始使用ChatGPT等AI工具,AI相關業務日益興盛。同時,國際上對AI規範的問題也受到廣泛關注。
在日本,經濟產業省已經發布了「日本AI原則實踐的治理指南 Ver. 1.1」[ja](撰寫本文時)。2023年(令和5年)6月14日,歐盟歐洲議會通過了世界上首個國際性的「AI規範法」,這在日本也引起了廣泛關注。
本文將介紹AI規範法的現狀和展望,並解析其對日本企業的影響。
什麼是AI規制法(AI Act)?
2023年6月14日(令和5年6月14日),針對AI全般的應用,歐盟的歐洲議會通過了一項全面的「AI規則草案」。這是世界上首個國際性的「AI規制法(AI Act)」,由85條條文組成,屬於歐盟的統一規則(二次法)。
預計在2023年內,歐洲委員會、歐洲議會和歐洲理事會將進行非正式的三方談判(三邊對話),在獲得立法機關歐洲議會和歐洲理事會的批准後,該法案將正式成立,並計劃於2024年開始實施。
歐盟的法律體系
歐盟的法律體系由三種類型構成:一次法(條約)、二次法(共同體立法)以及判例。
所謂二次法,是基於一次法(條約)制定的,對歐盟成員國產生直接或間接規範作用的法律,也被稱為歐盟法或派生法。
二次法大致可分為以下五種類型,而「歐盟人工智能規範法」屬於規則(Regulation),因此它將成為直接約束歐盟成員國的統一規則。
歐盟的法令(二次法)包括以下五種類型:
- 規則(Regulation):對所有成員國具有約束力,一旦採納,即具有直接適用性(無需成員國內部批准程序即成為國內法律體系的一部分)。
- 指令(Directive):要求各成員國為達成目標而新制或修訂國內法,承擔法律義務。
- 決定(Decision):具有法律約束力的法律形式之一,其適用對象不是一般性的,而是特定的,可能是特定的成員國、企業或個人。
- 勧告(Recommendation):歐洲委員會建議成員國政府、企業或個人採取某些行動或措施。雖然沒有法律約束力或強制力,但被視為促進成員國內法制化或修訂的手段。
- 意見(Opinion):有時也被稱為「見解」,歐洲委員會對特定主題發表的意見,沒有法律約束力或強制力。
「規則」被視為二次法中具有最強約束力的法律,例如GDPR(General Data Protection Regulation)即「一般資料保護規則」就是一個規則的例子。
AI規範法的適用範圍
歐盟的「日本AI規範法」將直接適用於歐盟境內,同時對第三國的交易國具有域外適用性和法律約束力。規範對象包括針對歐洲市場推出AI系統・服務的經營者,涵蓋AI的開發者、部署者、提供者、進口商、銷售商及使用者。
AI規範法明確規定了特定AI系統的具體要求和經營者的義務,同時要求減輕中小企業(SME)的行政和財政負擔。
該法案是一個廣泛的AI套件的一部分,旨在保障AI的安全性和基本權利,並加強歐盟整體對AI的參與、投資和創新。
歐洲規範必須遵循其基本理念,即歐洲聯盟基本條約。這意味著即使在AI技術領域,也必須保障歐盟境內的人權和自由,並需要相應的保障措施。
法案闡述了規範目的,即「促進可靠AI的使用,透過人類監督來保護健康、安全、基本權利、民主主義與法治以及環境免受AI風險的侵害」。
具體而言,法案列出了以下「適用於所有AI系統的一般原則」:
- 人類自主性和監督
- 技術的堅固性和安全性
- 隱私權和數據治理
- 透明度
- 多樣性、非歧視和公平性
- 對社會和環境的良性影響
在本規範法中,為達成AI原則,確保AI開發者、使用者和提供者的AI素養是不可或缺的措施。
一旦違反,將面臨基於全球銷售額的巨額罰款(最高可達3,000萬歐元,約合47億日元或全球銷售額的6%,以較高者為限),可能導致無法在歐盟範圍內從事AI業務。
因此,包括日本在內的企業,若已在歐盟市場投入AI業務或計劃進軍歐盟市場,也需要遵守歐盟新的AI規範,採取相應的適應措施。
AI規範立法的背景
生成AI雖然是一項便利的工具,但同時也蘊含著促進犯罪和威脅民主主義的風險。隨著AI技術的進步和普及,這些問題已成為不可迴避的挑戰。
自2016年起,歐洲聯盟(EU)、美國和中國已經公布了有關AI的指導原則和國家戰略草案。特別是在EU,從2017年到2022年間,已經制定了一系列重要的指導原則、宣言和規範草案,以推進AI和大數據的規範。
例如,2016年4月制定了「一般數據保護規則(GDPR)」,2021年4月21日公布了「AI規範法案」,2022年5月30日制定了「歐洲數據治理法(DGA)」,並於2023年9月24日開始實施。
這些規範旨在確保AI和大數據在整個社會中的安全和公正使用,同時促進創新和經濟增長。
EU提出了數位戰略「適合數位時代的歐洲」。
在「AI規範法案」公布後,鑑於生成AI的快速進化和普及,歐洲委員會於2023年6月14日採納了包含生成AI的新思路和要求的修正案。
日 程 | 會 議 |
2021年4月21日 | 歐洲委員會公布「EU AI規範法案」 |
2023年5月11日 | 「內部市場與消費者保護委員會」「公民自由、司法與內政委員會」修正案通過 |
2023年6月14日 | 歐洲議會修正案採納 |
2023年10月24日 | 第四輪三方對話(Trilogue)舉行 達成臨時協議 |
2023年12月6日 | 最終三方對話(Trilogue)預定舉行 歐洲議會與EU理事會批准 「EU AI規範法」制定 |
2024年下半年 | 預計實施 |
AI規範法的特點
「AI規範法」的架構主要由三大特點構成:「基於風險的AI分類」、「要求事項與義務」以及「創新支援」。
該規範採用所謂的「風險基礎方法」,將AI的風險等級分為四個層次,並根據這些層次施加相應的規範。
具體來說,如下表所示,根據AI系統的四種風險等級,設定了禁止事項、要求事項和義務。對於高風險AI,從保障人類身體與生命安全、自主決定權、民主以及適當程序的角度出發,其使用範圍已被特別界定。
風險等級 | 使用限制 | 目標AI系統 | 要求事項・義務 |
<禁止風險> 與歐盟價值觀相悖的AI禁止 | 禁止 | ①潛意識技法 ②利用脆弱性 ③社會信用評分 ④法執行目的在公共區域的「即時」遠程生物識別系統(例外除外) | 禁止 |
<高風險> ・規範對象產品的安全要素 ・特定領域的AI系統+對健康・安全・基本權利・環境造成重大風險的AI | 遵守要求和適合性評估為條件 | ①生物識別・分類(工業機械・醫療器械) ②關鍵基礎設施的管理與運營 ③教育・職業訓練 ④就業、勞工管理、自營業取得途徑 ⑤必要的民間・公共服務取得途徑 ⑥法執行(全部主體為法執行機構) ⑦移民・庇護・邊境管理(全部主體為管轄的公共機構) ⑧司法及民主程序的運作 | 風險管理系統・數據治理・技術文件的編制・日誌保存・人工監督措施・適合性評估程序等嚴格規範 |
<有限風險> 適用透明度義務的AI系統 | 透明度義務為條件 | ①如聊天機器人等與自然人互動的AI系統 ②情感識別系統・生物分類系統 ③深度偽造生成AI系統 | 設計模型時防止非法內容生成 • 公開使用著作權保護的數據訓練 • AI使用前告知等有限義務 |
<最小風險> 上述以外的系統 | 無限制 | 上述以外的系統 | 推薦行為準則 |
歐盟AI規範法對日本的影響
歐盟在人權保障、個人資料保護、環境保護等領域,國際上居於領先地位,引入規範,並成為各國制度設計的「黃金標準」。
日本的個人資料保護法修正,除了統一分散的規範外,對應歐盟的GDPR(General Data Protection Regulation,一般資料保護規範)也是一大挑戰,因此積極推進。同時,參考歐盟法規制定的法律,如「特定數位平台透明度及公正性提升法」(2021年(令和3年)2月1日施行),也在日本存在。
目前日本對於AI的規範,尚未透過硬法律(Hard Law)進行,而是採取軟法律(Soft Law)的自主規範方式應對。
如前所述,歐盟的「AI規範法」不僅直接適用於歐盟成員國,而且對在歐盟境內開展業務的企業也有跨境適用,即使是海外的企業也需遵守。
如後文將提到,歐盟境內AI產品的出貨可能會受到多個不同角度制定的法律適用,因此必須採取相應的對策。日本企業也需密切關注未來的發展,並採取合法的應對措施。
採納包含生成AI的修正案
AI規範法是一項應用了歐盟三大機構(歐洲理事會、歐洲議會、歐洲委員會)修正案的法律。
2023年5月11日(西元2023年),IMCO(內部市場與消費者保護委員會)和LIBE(公民自由、司法與內政委員會)通過了關於AI規範法的修正案。
這些修正案於2023年6月14日(西元2023年)在歐洲議會獲得採納。
該報告包含了立法提案的重要修正,包括禁止預測性警務、將多項高風險獨立AI加入清單、以及設立新的AI辦公室(EAIB-取代歐洲人工智能委員會的機構)並賦予其強大而全面的角色。
此外,還提出了與GDPR(資料保護法)更緊密的合作,某些領域中利益相關者的參與增加,以及引入了與生成AI和通用AI相關的特定規定。
隨後,在2023年10月24日(西元2023年),舉行了第四次關於AI規範法的三方對話(Trilogue),在政治上敏感的問題上取得了許多進展。特別是,對於備受爭議的高風險AI系統的篩選機制(Art. 6)達成了臨時協議。
此外,對於基礎模型/通用AI系統、治理、禁令以及執法機關未來方向的政治指導也已進行,技術團隊被要求著手處理上述問題的具體文本提案。
關於相關法律的AI規制
AI規制法涉及多個從不同角度制定的法律。這三項法律是為了保護數位空間中的個人資訊和確保公平競爭,由歐洲聯盟(EU)所制定。
DSA(數位服務法案)
歐盟的「數位服務法案」(DSA=Digital Services Act)是於2022年11月16日(2024年2月17日全面實施)開始施行的,針對歐盟電子商務的全面性規範。
自2000年起,歐盟已有電子商務指令,但隨著互聯網和線上平台等數位環境的演進,該指令越來越難以適用,因此歐盟通過了統一的DSA(數位服務法案)來修訂現行指令。
DSA的制定旨在確保歐盟內部市場的中介服務能夠適當運作,保護用戶的基本權利,並維持更安全的數位環境。受規範的業者包括線上中介服務、寄存服務和線上平台(包括VLOP和VLOSE)。
該法律全面規範了BtoB和BtoC雙方面,針對違法內容發布時的責任問題,以及發生爭議時的處理方式。
具體而言,它要求業者採取措施排除違法內容、產品和服務,加強保護用戶的基本權利,並要求確保透明度和負責任的全面規範。
此外,對於歐盟內部月均用戶數超過4500萬的VLOP(非常大型線上平台)和VLOSE(非常大型線上搜尋引擎),則施加了更嚴格的規則。
被指定的VLOP和VLOSE必須在接到決定通知後的4個月內,調整其系統、資源和流程以符合DSA,並建立緩和措施和獨立的法規遵循系統。然後,它們需要進行審計和首次年度風險評估,並向歐洲委員會報告。
DSA(數位服務法案)預計將於2024年2月17日全面實施,VLOP和VLOSE以外的業者將由歐洲委員會和成員國當局監督其DSA的履行狀況。
成員國必須在2024年2月17日之前設立具有獨立權限的「數位服務協調官」,以監督DSA的遵守情況,並賦予執行包括罰款在內的處罰權限。
對於VLOP和VLOSE,歐洲委員會將直接監督並擁有執行罰則的權限。
違反法律的制裁金上限為該業者前一年度全球年銷售額的6%。
此法律作為歐盟「適合數位時代的歐洲」戰略的一部分而實施,旨在應對數位時代不斷演進的新挑戰和風險。
歐盟數位市場法(DMA)
歐盟的「數位市場法」(DMA=Digital Markets Act)將於2023年5月2日(西元2023年)開始大致施行,旨在使數位市場保持公正且具競爭力,並防止特定數位平台主宰市場。
該法規的適用對象為被指定的「門戶守門人」,並為其設定義務。若違反規定,將面臨最高不超過全球年銷售額10%的罰金等制裁措施。
所謂的「門戶守門人」指的是在歐盟境內運營的最大規模數位平台,由於在某些數位領域持續占據市場地位,以及滿足用戶數量、年銷售額、資本金等特定標準,因此被稱為「門戶守門人」。
歐盟委員會預計在2023年9月6日(西元2023年)前指定最新的「門戶守門人」,這些企業將有最多六個月的緩衝期(至2024年3月)來遵守數位市場法的新義務。此次被指定為「門戶守門人」的包括Alphabet、Amazon、Apple、ByteDance、Meta以及Microsoft等六家公司,它們提供的共22個主要平台與服務被列為法律的適用對象。
此法律旨在防止大型數位平台濫用市場力量,並旨在讓新進入者更容易進入市場。
GDPR(一般資料保護規則)
GDPR(一般資料保護規則)是於2018年5月25日(平成30年)開始實施的歐盟新「資料保護法」。
這是一套法律框架,旨在設定歐盟內外機構收集和處理個人資料的指導原則。該規則對於針對歐盟或收集與歐盟內人士相關資料的組織施加義務。
預期未來的人工智能規範動態
針對先前提到的AI風險分類表,本文將解釋企業應該關注的AI系統。
禁止使用社會信用評分
歐盟(EU)規章法中被列為「禁止風險」的人工智慧(AI)系統之一,就包括了社會信用評分(社會信用分數)。根據修正案,這將不僅限於公共機構,而是將被全面禁止。
所謂的「社會信用評分」,是指根據個別公民的社會地位和行為來進行評分的系統。
在中國,這一系統作為監控社會的工具而運作,並作為國家政策,在「公務」、「商業」、「社會」、「司法」四個領域建立了社會信用系統。
具體的限制包括禁止使用飛機或高速鐵路、被私立學校排除、禁止成立非營利組織、被排除於聲望高的工作、被酒店排除、互聯網連接速度降低、在網站或媒體上公開個人信息等。另一方面,如果評分高,則可以獲得各種「特權」。
然而,這樣的系統引發了對個人隱私和自由的擔憂,其運作方式一直是公眾討論的焦點。
在歐盟範圍內禁止使用社會信用評分,旨在確保AI技術的使用是公正且透明的。
加強生成AI的限制
在歐盟規範法中被歸類為「有限風險」的人工智慧系統之一,就包括了生成AI。
生成AI(Generative AI)是一種基於學習數據創造新內容或解決方案的人工智慧,像是Chat GPT等近年來受到廣泛關注的技術。然而,生成AI面臨著多種挑戰,因此需要相應的規範。
在人工智慧規範法中,鑑於生成AI的快速發展和普及,對生成AI的思維方式和要求事項進行了補充。
具體來說,對OpenAI等生成AI供應商施加了新的要求,例如必須披露用於訓練LLM(Large Language Model,大型語言模型)的受著作權保護的數據。
這樣做的目的是為了加強生成AI的透明度和風險管理的規範。
在歐盟的立法中,從GDPR(資料保護法)開始,傳統上就非常重視「透明性」原則,要求提前向對象披露保護措施以及AI的用途和目的,這一原則已成為國際上的「黃金標準」。
感情識別AI的使用限制
根據歐盟規範法(EU Regulation Law)中的「限定風險」類別,感情識別AI也是一種適用透明度義務的AI系統,對AI使用將施加如事前告知等限定性義務。
所謂「感情識別AI」,指的是能夠讀取人類情感變化的人工智能。
具體來說,包括以下四種類型,透過麥克風、攝像頭或感應器等,分析人們的喜怒哀樂及興趣水平:
- 文字感情識別AI:分析人類輸入的文字或將語音數據轉換為文字的信息,以判斷情感。
- 語音感情識別AI:從人類發出的聲音中分析情感。
- 表情感情識別AI:通過攝像頭讀取臉部表情來識別情感。
- 生理信息感情識別AI:從腦波、心跳等生理信息中識別情感。
這些技術已在接待業務、呼叫中心、銷售職位等多種場合得到應用。隨著技術的進一步發展,未來在醫療領域的應用也備受期待。
然而,保護生理信息和所獲得的個人信息的隱私,以及隨之而來的法律建設,是必不可少的。
總結:AI規範法的現狀與未來展望
以上,本所對歐盟的「AI規範法」現狀及未來展望、以及對日本企業的影響進行了解說。世界首部的「歐盟AI規範法」有很高的可能性成為國際間的「黃金標準」。
對於未來計劃進軍歐盟市場的日本企業而言,關注這項AI規範法的動態將變得至關重要。針對歐盟範圍內的AI規範法問題,本所建議咨詢精通國際法務與AI技術的律師。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的法律事務所。AI業務伴隨著許多法律風險,因此獲得精通AI相關法律問題的律師支持是至關重要的。本所擁有精通AI的律師和工程師等專業團隊,為包括ChatGPT在內的AI業務提供契約撰寫、業務模式合法性審查、知識產權保護、隱私應對等高級法律支持。詳細內容請參閱下文。
Monolith法律事務所的業務範圍:AI(包括ChatGPT等)法務[ja]