欧洲AI监管,起源与未来
Félicien Vallet
法国国家信息与自由委员会(CNIL)
AI监管部门主任
去年年底,由ChatGPT掀起了新一轮人工智能的热潮还在持续。以生成式人工智能和大模型为代表的新一代智能技术发展日新月异,成为本轮世界科技革命和产业变革的先导力量。随着以ChatGPT为代表的大模型进入应用,AI的重要性愈发凸显。但是,发展的同时会带来新的安全问题。是否需要对AI发展制定相应的法规进行监管?应该采取什么方法来监管AI?AI监管应该关注哪些方面的问题?
AI的应用范围在不断扩大,其管理问题引发了人们的诸多担忧。
尽管AI的发展日新月异,但欧洲目前还未推出专门针对AI的法规。
欧洲议会已投票支持通过《人工智能法》——一项针对AI的法规。
AI的使用和快速发展引发了人们对安全、透明度和自动化等重大问题的探讨。
为了解决这些问题,法国国家信息与自由委员会(CNIL)成立了一个跨学科部门,专门负责AI相关事务。
生成式人工智能产业正在蓬勃发展。据彭博社(Bloomberg)报道,到 2032年,该产业的市值有望达到1.3万亿美元。但是,生成式AI的指数型增长在世界范围内引发了不少担忧,人们对其安全和立法问题也提出了不少疑问。面对这一不断增长的市场,微软、谷歌、OpenAI和初创公司Anthropic这四家美国AI巨头正在联手进行自我监管,以平息日益增多的质疑声。欧洲正在考虑制定相关法规,英国首相苏纳克(Rishi Sunak)也在不久前宣布,将于今年年底在英国举办全球首次AI峰会。
由于AI的重要性愈发凸显,法国国家信息与自由委员会(CNIL)史无前例地成立了一个AI监管部门。在部门主任Félicien Vallet的领导下,该机构正努力对安全、透明度和自动化等重大问题提供监管。
01
为什么CNIL认为有必要成立一个专门负责AI的新部门?
自1978年成立以来,CNIL这一监管部门始终负责法国境内的数据保护。2018年后,相关数据保护一直以通用数据保护条例(GDPR)为参考。最近,各大领域都出现了与AI相关的个人数据问题,且数量在不断上涨。CNIL的一贯做法是以部门为基础开展相关工作,例如,我们会设置专门负责卫生或政府事务的部门。我们的观察显示,AI正越来越多地应用于多种领域,包括:打击房产税偷税漏税(如基于卫星图像的住宅游泳池自动检测)、安保(如能分析人类行为的增强型视频监控系统)、医疗保健(如辅助诊断)和教育(如基于学习习惯分析的教学模式个性化)等领域。作为个人数据处理的监管机构,法国国家信息与自由委员会(CNIL)特别关注可能对公民产生影响的AI应用。之所以设立一个专门负责AI的多学科部门,是因为该领域所涉及的问题具有跨学科性质。
02
CNIL对AI的定义是什么?是我们现在常说的生成式AI吗?
CNIL对AI并没有严格的定义。根据我们发布在网站上的描述,AI指的是一种逻辑和自动化过程,通常以算法为基础,并以执行定义明确的任务为目的。欧洲议会将AI定义为机器用来“再现与人类相关的行为,如推理、规划和创造力”的工具。生成式AI是现有AI系统的一个组成部分,但它也会引发人们对个人数据使用的担忧。
03
CNIL采取了什么方法来监管AI?
CNIL采用了一种基于风险的方法。这一方法是欧盟正在起草的《人工智能法》(AI Act)的核心,它根据风险等级将AI系统分为了四类:不可接受、高风险、有限风险和最低风险。由于监管对“不可接受”这一等级的AI系统根本不予考虑,因此完全没有在欧洲本土实施。高风险系统通常部署在医疗保健或政府事务等领域,由于它们总是牵涉到个人数据的处理,与个人的发展息息相关,因此格外敏感。在部署这些AI系统之前,也会采取一些特别的预防措施。生成式AI属于有限风险系统,需要为用户提供更大的透明度。低风险系统则不受任何特定义务的约束。
04
围绕这些AI系统的主要问题是什么?
主要问题是透明度、自动化和安全性。有了透明度,人们才会明白AI系统在处理与其相关的个人数据,并且自己拥有一定的反对权。这些系统处理的信息体量可能十分庞大,而并非所有人都知晓这一点。
自动化也绝非万无一失,即便有人类操作员的参与,过度信任机器等认知偏差也会影响决策,因此,我们需要对操作员的控制方法,以及操作员在决策环路中扮演的角色保持警惕。
AI系统的安全性是另一个主要担忧。与其他IT系统一样,AI系统也可能成为网络攻击的对象,特别是访问劫持或数据盗窃。此外,它们还可能被恶意利用,如开展网络钓鱼活动或大规模传播虚假信息等。
05
有没有什么方法能够确保这些法规的实施?
我们的行动计划主要围绕四点展开。首先是了解AI技术,毕竟该领域日新月异,每天都会迸发源源不断的创新和灵感,技术也在突飞猛进。
第二是引导AI的使用。之前也说了,我们主要以《通用数据保护条例》(GDPR)为参考,但该文件比较中立,并没有具体规定在AI时代下应如何处理个人数据。因此,我们需要根据AI的不同技术路径和用途来调整GDPR的一般原则,从而为专业人员提供有效的指导。
第三点是与我们的欧洲同行、权利捍卫者(Défenseur des droits)、法国竞争管理机构(Autorité de la concurrence)及研究机构开展互动与合作,以解决与歧视、竞争和创新有关的问题,并动员各方广泛参与这些问题的解决。
最后,我们需要在AI系统实施前后部署管控措施,并探索能够助力我们执行管控的方法,如制定核对清单,使用自我评估指南等。
06
法国或其他国家有其他类似的项目吗?
目前,无论是法国、欧洲境内还是其他地区,都没有专门针对AI的法规,欧洲的《人工智能法》草案将是这一领域的首创。不过,与GDPR类似的通用法规可以间接适用于AI,且某些特定行业与产品安全相关的法规也可能适用于包含AI的产品,如医疗设备。
07
欧美的法规差异是否会在AI领域表现得更加明显?
根据以往的经验,欧洲在数字技术的法规实施方面一直比较积极主动,GDPR的颁布便是有力证明。不过,美国对AI监管的呼声也越来越高。例如,OpenAI的首席执行官明确告诉美国国会,对AI进行监管将带来诸多益处。话虽如此,我们也不应忘记,美国技术高管眼中的“适当监管”与欧洲的设想可能不尽相同。为了给《人工智能法》的通过做铺垫,并尽量争取主要工业企业的支持,欧委会委员Margrethe Vestager(负责竞争事务)和Thierry Breton(负责内部市场事务)分别提出了《人工智能行为准则》(AI Code of Conduct)和《人工智能契约》(AI Pact)。
作者
Jean Zeid
编辑
Meister Xia