字数 1844,阅读大约需 10 分钟
AI系统“不可接受风险”禁令在欧盟生效
自2月2日(周日)起,欧盟监管机构有权禁止使用他们认为会带来“不可接受风险”或危害的AI系统。2月2日是欧盟《人工智能法案》(AI Act)的首个合规截止日期,该全面的AI监管框架历经多年发展,于去年3月最终获欧洲议会批准,并于8月1日正式生效。
《人工智能法案》的风险分级与监管细则
《人工智能法案》旨在涵盖AI可能出现并与个人交互的众多场景,从消费应用到实体环境。根据欧盟的方案,AI风险分为四个等级:
- 1. 最小风险:如电子邮件垃圾邮件过滤器,无需监管。此类应用在市场上广泛使用,对用户基本无潜在风险,超90%的电子邮件服务提供商采用类似技术保障用户邮箱安全。
- 2. 有限风险:包括客户服务聊天机器人,将受到轻度监管。在电商领域,约70%的企业使用客户服务聊天机器人提高效率,此类机器人虽有一定风险,但相对可控。
- 3. 高风险:以医疗保健推荐AI为例,将面临严格监管。在医疗行业,AI辅助诊断技术存在误诊风险,部分高风险AI医疗应用误诊率可达5% – 10%,因此需严格监管保障患者安全。
- 4. 不可接受风险:此类应用将被完全禁止,具体如下:
- • 社会评分类AI:基于个人行为构建风险档案,侵犯个人隐私,破坏社会公平。曾有公司利用此类AI技术对求职者评估,致大量求职者因不合理风险评估失去工作机会。
- • 潜意识或欺骗性操纵决策的AI:干扰个人自主决策,影响市场正常竞争。某广告公司利用AI技术对消费者进行潜意识广告推送,使消费者在不知情下购买产品,损害消费者权益。
- • 利用年龄、残疾或社会经济地位等弱点的AI:违背公平原则,伤害弱势群体。在金融贷款审批领域应用,使低收入群体和残疾人获贷难度大增。
- • 基于外貌预测犯罪的AI:缺乏科学依据,易造成歧视。此类AI预测准确率极低,对特定外貌人群不公平对待。
- • 使用生物识别技术推断个人特征(如性取向)的AI:严重侵犯个人隐私,违反人权原则。曾有个别公司尝试通过面部识别技术推断用户性取向,引发公众强烈谴责。
- • 在公共场所收集“实时”生物识别数据用于执法的AI:虽有执法需求,但可能侵犯公众隐私。某些城市曾试点类似技术,因公众反对和隐私保护问题暂停。
- • 试图在工作或学校推断人们情绪的AI:可能侵犯员工和学生隐私,影响正常工作学习环境。一项职场调查显示,70%的员工对工作场所使用情绪推断AI表示担忧。
- • 通过在线抓取图像或从安全摄像头创建或扩展面部识别数据库的AI:易导致数据泄露和滥用。近年来因面部识别数据库泄露导致的个人信息泄露事件呈上升趋势。
在欧盟使用上述任何AI应用的公司,无论总部位于何处,都将面临罚款。罚款金额最高可达3500万欧元(约3600万美元),或上一财年年度收入的7%,以较高者为准。英国律师事务所Slaughter and May的技术主管Rob Sumroy表示,罚款不会立即生效。各组织应在2月2日全面合规,公司需关注的下一个重要截止日期是8月,届时主管部门确定,罚款和执行条款生效。
企业初步承诺情况
去年9月,100多家公司签署了《欧盟人工智能公约》,这是一项自愿承诺,旨在《人工智能法案》正式实施前就开始应用其原则。签署方包括亚马逊、谷歌和OpenAI等,他们承诺识别可能被归类为《人工智能法案》下高风险的AI系统。然而,Meta、Apple以及法国AI初创公司Mistral选择不签署该公约。但这并不意味着他们不会履行义务,包括对不可接受风险系统的禁令。Sumroy指出,鉴于被禁止的用例性质,大多数公司不会从事这些做法。对于各组织而言,围绕《欧盟人工智能法案》的关键担忧是明确的指导方针、标准和行为准则能否及时出台,以及是否能为组织提供合规方面的明确指引。不过,到目前为止,各工作组在为开发者制定行为准则方面都按时完成了任务。
可能的豁免情况
《人工智能法案》的多项禁令存在例外情况。例如,该法案允许执法部门在公共场所使用某些收集生物识别信息的系统,前提是这些系统有助于对绑架受害者等进行“有针对性的搜索”,或有助于预防对生命的“特定、重大且迫在眉睫”的威胁。这种豁免需要得到适当管理机构的授权,且执法部门不能仅基于这些系统的输出做出对个人“产生不利法律影响”的决定。
该法案还对在工作场所和学校中有“医疗或安全”理由推断情绪的系统做出例外规定,如用于治疗目的的系统。欧盟执行机构欧盟委员会表示,在去年11月与利益相关者进行磋商后,将于“2025年初”发布额外指南,但这些指南尚未公布。Sumroy还表示,目前不清楚其他现行法律将如何与《人工智能法案》的禁令及相关条款相互作用。随着执行窗口临近,今年晚些时候可能有明确答案。各组织必须记住,AI监管并非孤立存在,其他法律框架,如《通用数据保护条例》(GDPR)、《网络与信息系统安全指令2.0》(NIS2)和《数字运营弹性法案》(DORA),将与《人工智能法案》相互作用,带来潜在挑战,尤其是在重叠的事件通知要求方面。理解这些法律如何协同,与理解《人工智能法案》本身同样重要。
