歐盟人工智能法案能否填補「AI空白」?|TECH
上個月,4月21日,歐盟委員會公布了「有史以來第一個人工智能法律框架」,這是世界上首次嘗試通過一套全面和統一的法規來應對智能計算機系統在全社會傳播的影響。而且,雖然批評者關注的是該法規將扼殺創新的風險,但圍繞「AI法」的制訂其實還有很多更深層次的問題。
儘管自2015年以來,各國政府發布了大量的「人工智能指南」——根據史丹福大學2021年人工智能指數報告,擁有已發布或正在準備的國家級人工智能政策的國家數量從2017年的3個激增到今年的54個國家——但世界上沒有一個國家建立了統一的法律框架專門來應對人工智能帶來的各種社會和道德挑戰。
法律中的「AI空白」?
然而,立法者很難忽視人工智能對社會產生的各種影響。最近,人工智能技術已被廣泛應用於醫療保健、執法、物流、媒體、電子商務以及我們日常生活的許多方面。在中國、歐洲或美國,圍繞人工智能的偏見和歧視、面部識別和私隱、或「智能法庭」和自動法律裁決等問題的辯論,都在公眾輿論中引起巨大波瀾。
人工智能立法關注度上升的一個例子是:在2005年至2016年期間,美國國會記錄中提到「人工智能」在每個立法會期上平均只得約15次(美國國會的一個立法會議持續兩年)。在最近的一屆會期上(2019年至2020年),國會記錄顯示,「人工智能」被提到486次,而在立法案中被提到173次。
當然,目前人工智能技術並不屬於法律之外。然而,今天被用來控制人工智能的法律並不是專門針對人工智能技術而起草的。相反,這些法律來自對於數據庫、個人信息保護、自動駕駛、算法交易等方面的立法。因此,這些規則並沒有形成一個全面的法律框架。
最近,歐盟試圖改變這種情況。上個月,4月21日,歐盟委員會公布了其「人工智能法案」(Artificial Intelligence Act,全稱是:「關於制定人工智能統一規則的條例提案」Proposal for a Regulation laying down harmonised rules on artificial intelligence)。歐盟委員會稱這一提案是 「有史以來第一個人工智能法律框架」,並表示它將使歐盟成為全球人工智能規則的主導者。
到目前為止,與人工智能有關的法律都集中在技術發展和競爭方面,而不是監管,包括為人工智能研究和產業提供資金,或建立新的人工智能政府機構。儘管一些國家試圖建立人工智能原則——譬如,中國科技部專家小組的8點《新一代人工智能治理原則》或美國政府的10頁《人工智能應用監管指南》(Guidance for Regulation of Artificial Intelligence Applications)——但這些原則仍然過於空泛,無法形成法規的基礎。
相比之下,歐盟的提案因其長度和雄心而脫穎而出。該提案長達100多頁,是目前為止世界上為提供一個全面的、具有法律約束力的人工智能監管框架所做的最佳法律嘗試。該文本只是一個開始,此後還要經過多年諮詢、遊說和修正的過程,才有可能通過成為歐盟法律。
歐盟的提案已經概述了新穎而有力的監管方法。它定義何謂將被徹底禁止的「不可接受」人工智能用途(如潛意識操縱),亦要求「高風險人工智能」技術的供應商須在一個公共登記處註冊,並遵守強制性的合格評定(conformity assessment),包括對透明度、功能、認證、監控和數據保留的義務。
與歐盟之前的數字監管法案類似——包括《通用數據保障條例》(General Data Protection Regulation,簡稱GDPR),《數字服務法案》(Digital Services Act)和《數字市場法案》(Digital Markets Act)——歐盟的提案也規定了高額的罰款。對違反其禁止不可接受的人工智能做法的行為,最高可處以全球年營業額6%或3,000萬歐元的罰款,而對未能履行提案中有關高風險人工智能的其他義務的行為,將處以最高全球年營業額4%或2,000萬歐元的罰款。
這些人工智能規則將適用於任何向歐盟客戶作銷售、處理歐盟公民數據或擁有歐盟僱員的公司。因此,與GDPR一樣,該提案可能會影響到遠在歐洲邊界之外的公司和監管機構,並有助於將歐洲的監管框架輸出到全球。
然而,該文本能否實現其雄心壯志?
監管人工智能的困難
這一全面監管人工智能的首次嘗試並沒有成功說服所有人,而且凸顯了監管智能工具的巨大困難。
技術分析師埃文斯(Benedict Evans)警告說,與歐盟之前的數據法規一樣,歐盟的新提案「包含了一些關於該技術和產業結構非常奇怪的想法,表明起草者似乎從未真正聽取過他們計劃監管的市場中任何人的意見。」他擔心的是,儘管圍繞人工智能有非常重要的政策問題,但歐盟的提案正試圖在「錯誤的思維層面」(wrong level of abstraction)進行立法。
監管者對人工智能長期以來一直感到沮喪,是因為現有的法律只集中在人工智能技術的部分方面,而無法掌握其所有的影響。舉個例子,2017年法國的一項人工智能指南感嘆,法律框架往往只「集中於處理個人數據的算法,並不考慮到算法對社會的集體影響」。
(歐盟的人工智能法)就像試圖寫一部關於『汽車』的單一法律,將醉酒駕駛、排放標準、停車設施和高速公路相關稅務等等不太相關的項目都包括在內一樣。
然而,像埃文斯這樣的技術評論者認為,目前的人工智能法規是由不同部門的各種法律組成的,這是有原因的。人工智能技術的使用涉及範圍極廣,無法由一套單一的規則來監管。「這就像試圖寫一部關於『汽車』的單一法律,將醉酒駕駛、排放標準、停車設施和高速公路相關稅務等等不太相關的項目都包括在內一樣。」
而且,由於人工智能是一個快速發展的研究領域,實際人工智能技術的複雜用途與統一法律監管框架願景之間的緊張關係,就因而進一步加劇。像深度學習(Deep Learning)這樣的人工智能研究領域已經成為近年來最具活力的科學課題之一,推動了技術創新的快速發展。因此,一個在進入法律之前需要經過多年審議的法律框架,永遠不可能趕上它所要規範的技術的最新發展。
此外,制定法律和執行法律是兩個完全不同的挑戰。正如GDPR的有限執行所表明的那樣,旨在監管數字行為的法律很難廣泛執行,更多是通過提高行業標準和消費者意識,以對不良行為者起威懾作用。與GDPR一樣,歐盟人工智能提案將執法權交給了成員國,因此很可能受到同樣的限制。這一次,歐盟表示,如果成員國未能執行人工智能法,它會有權利介入,但它沒有具體說明如何解決這個困難的執法問題。
更為根本的問題是,編寫一部關於人工智能的法律需要明確的道德原則,但目前在如何建立和衡量公正的人工智能方面還沒有道德共識。人工智能倫理學,這個年輕領域,既缺乏統一的技術基準,也缺乏商定的道德原則;圍繞着算法在確保公平方面應該使用什麼數學模型,或者絕對透明是否應該是最後目標等問題,今天仍然存在激烈的爭議。
假設你得了癌症,你必須在一個無法解釋其工作原理但有90%治癒率的黑盒人工智能外科醫生和一個有80%治癒率的人類外科醫生之間做出選擇。你會否希望人工智能外科醫生是非法的?
因此,歐盟立法者不得不在一系列往往互相衝突的原則中做出選擇。歸根結底,它採取了與GDPR類似的方向:歐盟人工智能提案旨在加強供應商告知用戶的義務和他們對「黑盒」(black box)技術的責任。
然而,將注意力集中於私隱、問責制和透明度並不一定能保證結果的公平性。知名的多倫多大學人工智能教授和Google研究員辛頓(Geoff Hinton)在Twitter上對歐盟的新提案作出反應,問道:「假設你得了癌症,你必須在一個無法解釋其工作原理但有90%治癒率的黑盒人工智能外科醫生和一個有80%治癒率的人類外科醫生之間做出選擇。你會否希望人工智能外科醫生是非法的?」該問題指出,通過選擇關注人工智能系統的局限性和人類監督的必要性,歐盟法規有可能過度監管人工智能的有效使用。
總而言之,在人工智能方面,監管者處於一個困難的境地:要讓一項革命性的技術不受全面的法律約束發展,還是要制定可能適得其反的法律?歐盟堅信強有力的數字監管的重要性,選擇了後一種方案。但是,對你不太了解或不能完全預測的東西進行監管,肯定會產生意想不到的後果:「意外效應法則」(law of unintended consequences)是政策制定者最頭痛的問題。
因此,那些對法律體系如何能夠跟上本世紀這項最具革命性的技術感到好奇的人,應該密切關注圍繞歐盟人工智能法的辯論,以及其早期實施的成功和失敗。根據中國國務院2017年發布的「新一代人工智能發展規劃」,中國打算在2025年前建立初步的人工智能法規,而其他計劃在未來幾年起草自己的人工智能法律的國家將仔細觀察歐盟法律的「意外效應」