2024年7月3日,2024中国数字经济发展和治理学术年会在清华大学成功举办。本届学术年会聚焦“数据要素、人工智能与数智时代的理论创新”,邀请国内外40余位专家、学者及机构代表进行主旨演讲和交流。来自清华大学、北京大学、中国人民大学、中国科学院大学、中国社会科学院大学、浙江大学、南开大学、上海交通大学、西安交通大学等高校和数字经济相关科研机构及企业代表共400余人出席线下会议。会议通过多个平台同步直播,当天信息浏览量超过十万人次。
北京国际数字经济治理研究院执行院长、ICMA智联出行研究院院长何姗姗以《全球人工智能法律规制研究及北京实践》为题进行了主旨演讲。本文根据何姗姗院长现场发言内容整理。
今天非常开心跟各位分享全球人工智能法律规制研究这个话题。
人工智能的发展与治理,全球整体来看处于欧盟、美国、中国“三巨头”的规则大竞争的状态。
首先,对于人工智能要不要立法?欧盟在立法的时候,对于人工智能曾经探索过一个涵盖内容广泛的定义。到底哪些人工智能技术或应用会被落入人工智能立法的监管?那些传统的单纯基于预设的规则来做决策的系统还需要被纳入监管吗?如果对人工智能的定义过于宽泛,就会使得一些可能风险很低的早期人工智能系统也落入监管范畴。这种情况之下,人工智能从业者发现过多的立法对于整体人工智能技术的进步是有一定阻碍作用的。所以,整体来说人工智能首先要不要立法?也是提给大家今天要思考的一个问题。
另外一个角度,围绕对人工智能发展的引导和管理,在欧洲、北美、亚洲和南美,各国政府都对本国的监管机制做了相应的整体推进部署。
欧洲在人工智能方面的制度建设探索不仅包括第一个全面的人工智能立法,即《人工智能法》,还包括第一部有约束力的人工智能治理国际条约,也就是《人工智能、人权、民主和法治框架公约》。除了欧盟的努力,欧洲理事会也在积极制定人工智能公约,并在2024年3月14日完成了这一条约的谈判。预期将签署这一条约的国家既包括所有主要的欧洲国家,也包括作为欧洲理事会(Council of Europe)观察员的美国、加拿大和日本,以及其他一些相关国家。条约围绕着数据的保护,尤其是消费者权益的保护,对原有就业者基本权利的保护,还有确保AI产品安全的角度,对人工智能进行了全面规制。
欧盟AI的法规也是有域外的适用效力,就像GDPR一样。我们看到中国的企业也在走向海外,从数据管理角度来看,对他们来讲要求最多的就是GDPR。这些企业在向海外推进的过程中,往往倾向于用欧盟最严苛的数据保护规则来制定他们整体的产品策略,包括算法上的规则适用性,这样就能进入同样参照GDPR标准的各国市场。由此我们也在思考:人工智能的法律规制建立是否也要追求域外的管理效力?
接下来,我跟大家分享一下人工智能整体风险的分类。欧盟刚推出不久的人工智能立法将风险分成了三类,包括禁止性的AI实践、高风险AI体统、以及其它。从欧盟来讲,被禁止的8类AI实践往往是从人权的角度,违背了欧盟尊重人的尊严、自由、平等、民主和法治的价值观以及欧盟的基本权利,包括不受歧视的权利、数据保护和隐私权以及儿童权利。“高风险的AI系统”指的是针对欧盟内人员的健康、安全和基本权利有重大有害影响的系统。“其它”不属于被禁止或高风险的特定人工智能系统的提供者和部署者需要遵守透明度义务。
针对AI风险的划分,不同的国家基于价值观的考量,也有很大的区别。比如美国在人工智能的风险管理框架上,它将风险的划分从技术性、社会性、指导性的原则去做划分。联合国在人工智能风险的划分上,是从个人、群体到社会三者的角度上递进地去考量。中国也提出构建针对人工智能及相关制度的风险分级分类治理框架。尽管各种风险框架都看似具有全面性,但由于不同国家的政策和制度关注点存在差异,这种“全面性”恰恰导致了不同程度的疏漏。
整体来说,欧洲的人工智能法案关键问题还是有所回应的,以及是针对隐私和数据安全,按照GDPR的规定。对于不公平和偏见的规定,采用了之前提到的三类风险划分的角度。对于责任归属难题,是从产品责任的角度来沿袭欧盟的整个规制,同时纳入了行政责任处罚的要求。利益分配的角度上,更多探讨的是针对版权的分配利益去考虑的。透明度的角度上,针对高风险的人工智能系统的透明度,要求向部署者、包括向公众提供相应的信息。
美国的模式。美国在联邦层面是没有达成共识的,但是在各州的层面,比如加州、科罗拉多州都制定了比较全面的法律规制,科罗拉多州通过了美国首部全面人工智能监管法案,加州提出了“全面”的人工智能框架——加州议会法案 311。美国各州还通过作为综合隐私法一部分的具体条款,例如一些州法律,为消费者创建了自动化决策方面的选择退出权;或通过为在某些情况下使用人工智能的公司制定特定义务来监管人工智能(比如就业、医疗、自动驾驶等)。
相对来讲,拜登《关于安全、可靠、可信开发和使用人工智能的行政命令》虽然不是立法,但作为美国联邦层面迄今为止最全面的人工智能监管原则而备受关注。该行政命令已经布置了11项行动,更多是围绕着相应的监管机构,包括美国的国务卿、国土安全部、商务部、能源部,把方方面面的部门都纳入其中,给他们规定了从30天以及到540天之内需要完成的部署工作,以确保美国在把握人工智能前景和管理其风险方面处于国际领先地位。
该行政令涉及范围广泛,内容全面,比如它的规制方式,从标准到工具、测试,不是单点考虑,而是整体推进。但该行政令对大部分监管措施并未做出明确规定,虽然鼓励企业及各相关机构遵循美国国家标准与技术研究院(NIST)发布的人工智能风险管理框架,但是该框架属于自愿适用,并不强制遵守。
美国模式另一个值得探讨的话题是能否针对测试类的企业给予豁免政策?美国的情况是对中小企业、初创企业采用豁免的政策。对于中国未来推进AI治理的方式,我们建议应该是统筹创新与安全并重的模式,不要过多地去效仿,还是要结合中国自己人工智能技术发展的实际情况去制定规则。
我国在人工智能方面陆续出台了多部政策性文件,早期以人工智能产业促进为主,近年来逐步关注人工智能伦理安全、算法治理及行业应用安全等更多方面。2021年,我国将人工智能算法统一纳入监管范围。针对特定的人工智能技术,如虚拟现实(VR)技术以及人脸识别技术,我国出台了若干法律文件,如《关于加快推进虚拟现实产业发展的指导意见》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等加以规范。除了这些法律文件,针对生物特征识别,我国还发布了若干国家标准,如《信息安全技术人脸识别数据安全要求》等。针对人工智能在特定行业的应用,我国相关主管部门出台了细化的监管规则,如在生成式人工智能(AIGC)领域有《互联网信息服务深度合成管理规定》等;在自动驾驶领域有《智能网联汽车道路测试与示范应用管理规范》等规定。
总之,与人工智能国际三巨头对比,我国的产业发展出发点是统筹安全和创新,更多是关注具体、有针对性且涉及对特定技术的管理。美国的规则相对灵活,目的是鼓励企业可以自由发挥,它的规制和处罚相对滞后,往往是靠行业自律来进行治理。欧盟对人工智能的发展规则要求比较严苛,采取了一种基于风险的监管方法,试图涵盖广泛的人工智能应用领域。
我们今天着重跟大家分享的另一个话题是监管沙盒机制,这也是在欧盟人工智能立法的规则当中作为促进欧盟人工智能产业发展的方式所倡导的。同时,中国也在探讨监管沙盒对各个行业创新发展的推动作用。北京率先探索和实践监管沙盒创新机制,《北京市关于加快建设全球数字经济标杆城市的实施方案》《关于更好发挥数据要素作用进一步加快数字经济的实施意见》等文件中,已明确支持打造监管沙盒创新机制为促进数字经济发展服务。
2023年底,北京市经信局、北京市委网信办联合印发了《北京市数据流通与安全治理监管沙盒通用实施方案》,其中人工智能大模型领域就是监管沙盒重点落地实施的领域之一。今年的3月29日,北京人工智能数据训练基地正式启用,并配备建立了监管沙盒机制,向大模型企业的模型训练提供强大算力+海量数据+监管合规的完整训练要素。这是全国首例人工智能领域监管沙盒,开创国内人工智能产业创新机制先河。
训练基地内制定了人工智能数据训练基地、监管沙盒运行规则,通过弱版权保护政策,通过移除规则、创新纠纷解决机制、风险补偿等创新政策,降低数据版权风险。在数据存储安全、数据加工安全、数据交付安全、数据监管合规四方面,采取强技术安全保障措施,降低数据安全隐患。同时,训练基地监管沙盒还将为企业提供申请入盒、完备性审核、方案评估、训练验证、初核与退核、成果转化与宣传推广等全流程服务。训练基地依托北京数据基础制度先行区提供的可信空间,为数据企业提供了复杂权属的数据交易、使用的环境,为模型企业提供了大规模、高质量中文数据使用合规途径。
在管理上,利用监管沙盒管理机制,帮助企业在合法合规的范围内规避数据风险,为大模型的规范训练和价值挖掘保驾护航。
在技术上,通过数据加密、脱敏技术、云桌面操作、安全管理等先进技术,为模型企业和数据企业提供了坚实的基础保障,真正实现了数据的可用、可见、不可得,避免数据泄露等高风险事件。
训练基地监管沙盒的具体运营由我们北京国际数字经济治理研究院及北京国际算力服务有限公司、北京国际大数据交易所三方共同承担,分别主要负责监管沙盒机制、基地运营机制及数据交易规则。
4月19日,在北京人工智能数据训练基地监管沙盒机制建立后,人工智能大模型训练营第一期正式启动。同方知网、希尔贝壳、北京车网等14家数据企业,及中科闻歌、网智天元等模型企业,成为首批入盒试点企业。训练营一期引入近20个人工智能大模型高质量数据集,数据总量逾7000GB,覆盖多模态语料,涉及近10个领域的应用场景。这些数据企业和大模型企业将在监管沙盒机制的保障下开展模型训练,在秉承“开放、融合、安全、共赢”原则的基础上,切实推动高质量数据的价值释放,助力人工智能大模型迭代优化,促进数据模型协同合作,实现价值共创。
最后,我们再整体上针对人工智能产业的规范发展,提出一些建议:
建议一,针对开发和使用人工智能企业的建议。从企业侧的角度,明确内部政策和标准,创建伦理框架,组建多元化的治理团队,持续监督和评估,增加公众参与和沟通;同时要体系化地考虑合规性,包括隐私和数据保护、知识产权、消费者保护以及反歧视等。
建议二,对人工智能规制的建议。继续探索人工智能监管沙盒机制,帮助政府和企业理解和掌握人工智能技术的潜力和风险,促进更加安全、负责任和创新的人工智能应用发展。同时还要体现对中小企业的关切,为中小企业设计更为简化的监管流程和合规指南,提供明确的支持和指导。
建议三,探索一种相对灵活的管理模式,避免过度监管,从而更加鼓励企业的创新。
