文 | 互聯(lián)網(wǎng)法律評論

2024年3月13日，歐洲議會通過了歐盟《人工智能法案》，大量報道認為，漫長議會之旅提前結(jié)束——甚至早于歐盟委員會最初提案中計劃的時間，這標志著歐盟掃清了立法監(jiān)管人工智能的最后障礙。事實上，該法律已被歐洲議會用作推動內(nèi)部改革并呼吁歐盟制定法律方式發(fā)生重大變化的最佳范例。

然而，歐洲議會的投票通過遠非歐盟人工智能立法的終點。

• 從中期來看，下一屆歐盟委員會將在人工智能方面開展更多工作：
• 必須解決工作場所中的人工智能問題，并致力于吸引歐洲的投資；
• 將啟動有關(guān)人工智能責任提案的談判，并可能關(guān)注人工智能和知識產(chǎn)權(quán)；

《人工智能法案》和即將生效的更新后的《產(chǎn)品責任指令》、即將生效的《網(wǎng)絡(luò)彈性法案》的實施情況。

“這很復雜”甚至不足以描述人工智能相關(guān)監(jiān)管的發(fā)展，目前的歐盟《人工智能法案》只是漫長監(jiān)管過程的開始。所有相關(guān)推動該法案執(zhí)行的工作，將決定它將在多大程度上成為刺激值得信賴的人工智能創(chuàng)新的早熟工具，或過早扼殺創(chuàng)新的監(jiān)管。

本文將結(jié)合兩位歐盟專家的觀點，闡述歐盟《人工智能法案》背后的復雜性。

01《人工智能法案》概念上不適合監(jiān)管人工智能

歐盟《人工智能法案》本質(zhì)上是一項產(chǎn)品安全法規(guī)，旨在降低人類使用人工智能系統(tǒng)帶來的風險。產(chǎn)品安全監(jiān)管適用于單一用途產(chǎn)品，可以評估為此目的而應(yīng)用的風險。

許多老一代的人工智能系統(tǒng)都是針對單一應(yīng)用程序進行訓練的。然而，問題來自最新的通用大型語言模型和生成人工智能系統(tǒng)，例如 OpenAI 的 ChatGPT、Meta 的 Llama 或 Google 的 Gemini，這些模型可以用于幾乎無限的用途。評估所有風險并為所有可能的用途設(shè)計法規(guī)變得很困難。

《人工智能法案》試圖解決這個問題，并規(guī)定了避免損害人類基本權(quán)利的一般義務(wù)。根據(jù)歐洲議會該法案的一位共同起草者——Kai Zenner的說法，這種產(chǎn)品安全和基本權(quán)利標準的監(jiān)管組合并不適合人工智能模型：

我們認為《人工智能法案》在概念上不適合監(jiān)管人工智能。我們從一開始就指出，將產(chǎn)品安全和基本權(quán)利混合在一起以及使用“實質(zhì)性修改”等概念對于不斷發(fā)展的人工智能系統(tǒng)并不適用。這種技術(shù)無法與真空吸塵器相比。而且，基本權(quán)利的保護是歐盟新立法框架（NLF，以新方法指令為代表的技術(shù)協(xié)調(diào)體系）制度沒有任何經(jīng)驗的。然而，盡管這種概念選擇所帶來的法律問題在談判過程中變得非常明顯，但他們并不愿意進行概念上的改變。

例如，《人工智能法案》的大部分內(nèi)容側(cè)重于對處于有限風險和不可接受風險之間的高風險人工智能系統(tǒng)進行監(jiān)管。根據(jù)法律規(guī)定，當用于訓練的計算能力超過 10 flops（浮點計算機運算）時，通用人工智能（GPAI）模型就成為系統(tǒng)性風險模型。系統(tǒng)性風險 GPAI 模型的提供者必須進行模型評估和對抗性測試，提供用于避免有害應(yīng)用程序的指標、報告事件并確保網(wǎng)絡(luò)安全保護。目前可用的模型尚未達到該閾值。但2024年發(fā)布的下一代人工智能模型很可能會突破這個門檻。那么，這條規(guī)定可能會涵蓋所有新的大型人工智能模型。

02 人工智能與版權(quán)

訓練人工智能大模型需要大量數(shù)據(jù)輸入，包括從網(wǎng)頁收集的文本、掃描的文檔和書籍、從網(wǎng)絡(luò)收集的圖像、電影檔案中的視頻、音樂收藏中的聲音。其中大部分內(nèi)容受版權(quán)保護。歐盟版權(quán)指令包括文本和數(shù)據(jù)挖掘目的的版權(quán)保護的例外情況，前提是用戶可以合法訪問輸入內(nèi)容。版權(quán)所有者可以選擇退出例外并收取費用。

幾家新聞出版商已與能夠負擔費用的大型科技人工智能開發(fā)商達成了許可協(xié)議。人工智能初創(chuàng)企業(yè)正在等待幾起懸而未決的法庭案件的結(jié)果，這些案件應(yīng)該會澄清對人工智能應(yīng)用的版權(quán)法的解釋，包括美國“變革性使用”版權(quán)原則的應(yīng)用。然而，授權(quán)的數(shù)據(jù)集可能質(zhì)量更高，并降低培訓成本。但它們也可能減少可用的訓練數(shù)據(jù)集，并導致有偏見的訓練。

《人工智能法案》規(guī)定，人工智能視聽和文本輸出應(yīng)具有機器可讀的水印，以將其與人類輸出和深度偽造品區(qū)分開來。然而，一方面水印技術(shù)仍處于早期階段，很容易受到規(guī)避；另一方面，當人工智能僅協(xié)助人類時，水印義務(wù)不適用。在大多數(shù)國家，只有人類的產(chǎn)出可以要求版權(quán)，而機器的產(chǎn)出則不能。混合輸出需要多少人類貢獻才能獲得版權(quán)？一行人寫的“提示”是否足夠？這些問題表明歐盟版權(quán)指令可能需要重新思考。

03 歐盟正在創(chuàng)建一個過于復雜的人工智能治理體系

歐盟和成員國都擔心《人工智能法案》的治理體系方面干涉國家自由。因此，成員國將指定截然不同的國家主管當局，盡管第 66 條中有歐盟保障程序，但這將導致截然不同的解釋和執(zhí)法活動。

此外，歐盟《人工智能法案》不僅與其他法律——《通用數(shù)據(jù)保護條例》（GDPR）、《數(shù)字服務(wù)法》（DSA）、《平臺工人指令》（PWD）、《醫(yī)療器械法規(guī)》（MDR）——存在法律重疊，而且與正在修訂或通過的其他法律和框架也有交疊：

1、《產(chǎn)品責任指令》

2024年3月12日，歐洲議會正式通過了修訂后的新的歐盟消費者保護規(guī)則《產(chǎn)品責任指令》（Product Liability Directive）。該指令建立了嚴格的產(chǎn)品責任制度，本次修訂更新了其已有 40 年歷史的規(guī)則。

該指令將產(chǎn)品范圍擴大到涵蓋軟件和人工智能等數(shù)字產(chǎn)品，將損害的概念擴大到包括數(shù)據(jù)丟失或損壞，改變了由于技術(shù)或原因難以證明缺陷或因果關(guān)系的情況下的舉證責任。一旦生效，這項更新后的法律將影響歐盟的許多制造商、進口商和分銷商。

2、《網(wǎng)絡(luò)彈性法案》

2024年3月12日，歐洲議會還以 517 票贊成、12 票反對、78 票棄權(quán)通過了《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act，簡稱CRA）。接下來，歐盟理事會理事會將正式批準該立法，并發(fā)布在歐盟官方公報上公布使之生效。

歐盟委員會最初針對“具有數(shù)字元素的產(chǎn)品”提出了這項法規(guī)，其主要目標有兩個：鼓勵對聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全采取生命周期方法，并確保它們投放市場時漏洞較少；并允許用戶在選擇和使用連接設(shè)備時考慮網(wǎng)絡(luò)安全。CRA定義了網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中的責任鏈，并引入了其他新義務(wù)——包括在新連接設(shè)備的技術(shù)文檔中進行網(wǎng)絡(luò)安全風險評估，以及在發(fā)現(xiàn)事件后24小時內(nèi)報告影響連接設(shè)備安全的事件以及主動利用漏洞的要求。

3、網(wǎng)絡(luò)安全認證框架

歐盟網(wǎng)絡(luò)安全機構(gòu)在其官網(wǎng)上概述了其“網(wǎng)絡(luò)安全認證框架”。這項工作源于2019年通過的《網(wǎng)絡(luò)安全法案》（CSA），該法案為歐盟范圍內(nèi)的產(chǎn)品、流程和服務(wù)的網(wǎng)絡(luò)安全認證規(guī)則創(chuàng)建了歐盟級框架。

該框架一直是起草通用標準認證、5G以及更重要的可信云服務(wù)的基礎(chǔ)。而“可信云服務(wù)”一直是激烈的政治和技術(shù)討論的來源，這些討論正是主權(quán)辯論的核心，法國一直在推動將主權(quán)要求納入歐盟層面的計劃。這場爭論尚未解決，這解釋了可信云方案遲遲沒有最終確定的原因。

這項工作也可能與人工智能相關(guān)，因為歐盟網(wǎng)絡(luò)安全局（ENISA）正在評估該網(wǎng)絡(luò)安全認證工作流程是否以及如何適用于該技術(shù)，以及如何重新使用正在制定的方案。CSA認證框架部分的修正案于2023年4月提出，將其應(yīng)用范圍擴大到“托管安全服務(wù)”。

04 前景

《人工智能法案》的不完整性未能為人工智能開發(fā)者和部署者提供法律確定性。此外，它還會產(chǎn)生高昂的合規(guī)成本，特別是對于可能發(fā)現(xiàn)歐盟監(jiān)管環(huán)境成本過高且風險過高的中小企業(yè)和初創(chuàng)企業(yè)而言。

無論如何，歐盟《人工智能法案》為歐盟委員會及其新成立的人工智能辦公室的進一步監(jiān)管工作奠定了基礎(chǔ)。該辦公室將登記并驗證人工智能開發(fā)人員發(fā)送的通知。然而，該辦公室將面臨有限的資源，并且需要一段時間才能加快步伐。

作者簡介：

• Bertin Martens：歐洲與全球經(jīng)濟研究所（Bruegel） 的高級研究員。作為歐盟委員會聯(lián)合研究中心（塞維利亞）的高級經(jīng)濟學家，他多年來一直致力于數(shù)字經(jīng)濟問題的研究，包括電子商務(wù)、地理封鎖、數(shù)字版權(quán)和媒體、在線平臺以及數(shù)據(jù)市場和監(jiān)管。
• Isabelle Roccia：國際隱私專業(yè)人員協(xié)會（IAPP）歐洲董事總經(jīng)理，關(guān)注數(shù)據(jù)隱私、國際數(shù)據(jù)流、網(wǎng)絡(luò)安全、數(shù)字貿(mào)易和數(shù)字化轉(zhuǎn)型，是歐洲、歐盟成員國和多邊層面這些問題決策的公認貢獻者。曾擔任BSA 歐洲、中東和非洲政策總監(jiān)，布魯塞爾美國駐歐盟代表團的高級政策顧問。