當前，全球數(shù)字經(jīng)濟正逐漸向以人工智能(AI)為核心驅(qū)動力的智能經(jīng)濟新階段邁進。AI技術(shù)在各行業(yè)得到廣泛應(yīng)用，但在為經(jīng)濟和社會發(fā)展注入新動能的同時，也帶來了監(jiān)管難題。為此，2021年4月，歐盟發(fā)布《人工智能法》提案(以下簡稱《法案》)，提出了AI統(tǒng)一監(jiān)管規(guī)則，旨在從國家法律層面限制AI技術(shù)發(fā)展帶來的潛在風險和不良影響，使AI技術(shù)在符合歐洲價值觀和基本權(quán)利的基礎(chǔ)上技術(shù)應(yīng)用創(chuàng)新得到進一步加強，讓歐洲成為可信賴的全球AI中心。作為AI領(lǐng)域的“GDPR”，該《法案》是全球首部AI管制法律，研究其內(nèi)容和創(chuàng)新點，對制定我國AI等數(shù)字技術(shù)治理方案具有重要借鑒意義。

　　《法案》核心內(nèi)容

　　寬泛定義了AI系統(tǒng)，并設(shè)置了AI規(guī)則的域外適用性。一方面，《法案》定義了AI系統(tǒng)、AI系統(tǒng)供應(yīng)鏈上涉及到的相關(guān)環(huán)節(jié)以及不同類別的AI數(shù)據(jù)等相關(guān)要素，對監(jiān)管對象(AI系統(tǒng))的定義表現(xiàn)出極強的寬泛性，幾乎涵蓋了全部使用傳統(tǒng)及新興AI技術(shù)的系統(tǒng)(AI技術(shù)使用常態(tài)化的互聯(lián)網(wǎng)服務(wù)均為監(jiān)管對象)，與GDPR中對受監(jiān)管的個人數(shù)據(jù)的寬泛定義保持一致。另一方面，《法案》明確了所有在歐盟市場投放、使用AI系統(tǒng)及相關(guān)服務(wù)的國內(nèi)外供應(yīng)商、服務(wù)商和公共服務(wù)用戶提供者，只要其AI系統(tǒng)影響到歐盟及歐盟公民的，均將受到《法案》約束，從而保證了AI規(guī)則的域外適用性。

　　對不同應(yīng)用場景的AI系統(tǒng)實施風險定級，并分別提出規(guī)制路徑?！斗ò浮坊诓煌瑧?yīng)用場景的風險差異性，將AI系統(tǒng)分為“不可接受、高、有限、極小”四個風險等級，并針對不同級別風險實施不同程度的規(guī)制，從而構(gòu)建起以風險為基礎(chǔ)的四級治理體系。一是將對基本人權(quán)和社會公平構(gòu)成明顯威脅的AI系統(tǒng)視為“不可接受”；二是將可能危及公民人身安全及生活基本權(quán)利場景中的AI系統(tǒng)視為“高風險”；三是將具有特定透明度義務(wù)的AI系統(tǒng)視為“有限風險”；四是將提供簡單工具性功能的AI系統(tǒng)視為“極小風險”。

　　為在特定領(lǐng)域提供“高風險”AI系統(tǒng)的企業(yè)提出“全生命周期”式的多重合規(guī)要求，旨在增強AI產(chǎn)品及服務(wù)的透明度?！斗ò浮分攸c對“高風險”AI系統(tǒng)的開發(fā)、部署和應(yīng)用等全生命周期提出了系列規(guī)范，并要求企業(yè)等AI系統(tǒng)供應(yīng)商履行以下透明化義務(wù)：一是在AI系統(tǒng)開發(fā)過程中，建立風險管理系統(tǒng)、進行數(shù)據(jù)質(zhì)量檢驗、設(shè)計用戶告知和日志追溯功能、搭建網(wǎng)絡(luò)安全保障能力、編制用于監(jiān)管審計的技術(shù)信息文件等。二是在AI系統(tǒng)首次運營前或系統(tǒng)升級迭代后，及時開展合規(guī)性評估，并在歐盟委員會建立和管理的大數(shù)據(jù)庫中進行備案登記。三是在AI系統(tǒng)投入使用過程中，建立與AI風險級別相匹配適應(yīng)的售后監(jiān)測系統(tǒng)與人為監(jiān)督機制，對AI應(yīng)用中的風險進行監(jiān)控預警，在發(fā)現(xiàn)可能的風險后召回系統(tǒng)處理并通知相關(guān)監(jiān)管機構(gòu)。四是在AI系統(tǒng)發(fā)生故障或嚴重事故時，應(yīng)立即采取補救措施，并在半個月內(nèi)向相關(guān)監(jiān)管部門報告。

　　設(shè)立專項AI監(jiān)督機構(gòu)，加大監(jiān)管執(zhí)法力度。在AI監(jiān)管主體方面，《法案》提出將通過建立歐洲人工智能委員會，推動AI新規(guī)則的實施完善，以及后續(xù)AI標準的制定出臺，并借此構(gòu)建各國監(jiān)管部門的聯(lián)絡(luò)渠道，協(xié)調(diào)歐盟層面的AI監(jiān)管政策，以保持AI監(jiān)管體系的統(tǒng)一性。此外，要求各成員國建立通知機構(gòu)，指定和通知第三方合格評定機構(gòu)開展監(jiān)管評估，并定期將監(jiān)管調(diào)查信息發(fā)送至AI委員會。在AI監(jiān)管執(zhí)法方面，《法案》提出將對創(chuàng)建或應(yīng)用AI系統(tǒng)過程中的違法企業(yè)處以高達約3600萬美元的行政罰款，或全球年度總營業(yè)額的2%-6%，取兩者中最高的金額進行處罰。相比GDPR中4%年營業(yè)額的罰款金額，《法案》的AI監(jiān)管處罰力度進一步加大。此外，將撤回未在規(guī)定時間內(nèi)實施整改措施企業(yè)的AI系統(tǒng)，并限制其市場銷售。

　　《法案》亮點分析

　　與GDPR有效銜接，進一步明確了AI系統(tǒng)的數(shù)據(jù)治理要求。數(shù)據(jù)和算法是AI技術(shù)的核心要素，AI系統(tǒng)通過數(shù)據(jù)喂養(yǎng)進行算法模型優(yōu)化，算法模型也應(yīng)用于對個人數(shù)據(jù)的深度挖掘，實現(xiàn)基于學習的智能化服務(wù)。為此，《法案》重點關(guān)注了AI系統(tǒng)的數(shù)據(jù)安全和算法歧視偏見等問題，并進行了明確規(guī)制，包括：AI系統(tǒng)在收集用戶數(shù)據(jù)前需履行告知義務(wù)，以保證用戶的知情權(quán)和選擇權(quán)，確保數(shù)據(jù)采集的合法性；在訓練、驗證、測試“高風險”AI系統(tǒng)數(shù)據(jù)集時，應(yīng)完成數(shù)據(jù)質(zhì)量檢驗、算法偏見評估檢查等要求；在AI監(jiān)管沙盒中處理個人數(shù)據(jù)時，應(yīng)保證個人數(shù)據(jù)均處于功能獨立、隔離且受保護的數(shù)據(jù)處理環(huán)境中，并需實施授權(quán)訪問和數(shù)據(jù)刪除機制。

　　搭建具備可拓展性的法律框架，彌補了技術(shù)監(jiān)管的滯后性缺陷。面對飛速發(fā)展的AI等新興數(shù)字技術(shù)，法律的適用性持續(xù)時間往往較短，新制定的法律規(guī)定可能很快就無法適用于實際情況，難以實現(xiàn)對迭代快速的AI技術(shù)進行全面監(jiān)管，AI領(lǐng)域的法制體系滯后性凸顯。為此，《法案》專門預留了及時調(diào)整更新法律的空間，通過設(shè)臵“動態(tài)清單”，巧妙化解了法律滯后性和技術(shù)飛速發(fā)展之間的矛盾。例如，對AI系統(tǒng)的定義，《法案》以附件形式詳細列舉了屬于AI范圍內(nèi)的技術(shù)和方法清單，并通過更新清單機制，保持與最前沿AI技術(shù)的同步性；針對“高風險”AI系統(tǒng)的界定，《法案》制定了“高風險”清單，并賦予人工智能委員會結(jié)合風險多邊性判斷并提出添加新“高風險”應(yīng)用場景建議的權(quán)利，以確保法律的及時更新。

　　實施對人工智能系統(tǒng)的分類分級監(jiān)管，構(gòu)建系統(tǒng)性AI治理體系。AI技術(shù)具有跨學科、前沿知識融合等復雜屬性，不同AI系統(tǒng)在相同場景中可造成不同種類的風險，相同AI系統(tǒng)在不同場景中應(yīng)用也可能帶來不同種類或不同程度的風險。為此，《法案》采用分類分級思路，在梳理重點應(yīng)用場景類別的基礎(chǔ)上，對不同應(yīng)用場景按照AI系統(tǒng)風險可能的影響程度和危害性質(zhì)實施不同等級的分類治理，替代對不同場景的AI風險進行分散專項治理的傳統(tǒng)路徑。通過構(gòu)建清晰且系統(tǒng)性的治理框架，實現(xiàn)對AI系統(tǒng)復雜性風險的“降維”治理。

　　率先建立AI監(jiān)管沙盒機制，探索監(jiān)管人工智能風險的新模式。技術(shù)規(guī)制的法律制定常見難點之一就是如何在實現(xiàn)有效監(jiān)管的同時，兼顧技術(shù)創(chuàng)新發(fā)展，鼓勵企業(yè)負責任的創(chuàng)新行為。為此，《法案》提出通過建立AI監(jiān)管沙盒，為AI系統(tǒng)的開發(fā)、部署、驗證、測試提供了一個可控的隔離環(huán)境，使歐洲企業(yè)可在免責條件下進行AI相關(guān)的試驗和創(chuàng)新，且試驗全過程受到監(jiān)管部門的監(jiān)督。通過在可控范圍內(nèi)實行容錯糾錯機制，在杜絕AI未知問題向不可控外部環(huán)境擴散風險的同時，也為AI創(chuàng)新企業(yè)創(chuàng)造了相對寬松的發(fā)展環(huán)境。

　　四點啟示

　　強化AI立法，制定具備銜接性與靈活性的法律監(jiān)管框架?；贏I風險的復雜性、多變性，以及其與數(shù)據(jù)安全的緊密關(guān)聯(lián)性，在探索AI法律規(guī)制路徑時，可參考歐盟《法案》亮點，增強法律內(nèi)容的銜接協(xié)調(diào)與靈活開放特性。一方面，確保AI法律與《網(wǎng)絡(luò)安全法》、《民典法》、《數(shù)據(jù)安全法》、《個人信息保護法(草案)》四項數(shù)據(jù)和個人信息保護基本法的有效銜接，明確AI語境下的數(shù)據(jù)安全及個人隱私保護原則，規(guī)制AI數(shù)據(jù)安全風險。另一方面，針對AI技術(shù)、“高中低”風險應(yīng)用場景等具有變化特征的概念實施動態(tài)定義，通過設(shè)臵清單列表并建立類數(shù)據(jù)庫功能的“增刪改查”調(diào)整機制，確保法律在技術(shù)發(fā)展和場景變更下的時效性和靈活性，防止AI法律內(nèi)容滯后帶來的監(jiān)管困境。

　　探索分類分級監(jiān)管路徑，依據(jù)不同應(yīng)用場景精準施策?？煽紤]采用《法案》中的分類分級治理思路，依托對不同場景類別的梳理，以及場景風險對個人生命和生活權(quán)利、社會秩序影響大小，將不同應(yīng)用場景進行分級，對歸屬于同一風險級別場景中的AI系統(tǒng)進行統(tǒng)一管控，對不同風險級別場景中的AI系統(tǒng)分別采取具有不同約束程度的治理方式，從而建立起自下而上限制逐步加深的“風險金字塔”規(guī)制模型。嘗試以“風險金字塔”為抓手，構(gòu)建系統(tǒng)精準的AI監(jiān)管治理體系，解決長久以來面臨復雜多樣的AI系統(tǒng)風險時監(jiān)管效能低下的困境。

　　明確企業(yè)在AI產(chǎn)品開發(fā)、運營過程中的強制性義務(wù)，提高AI系統(tǒng)的透明度。要求企業(yè)在AI產(chǎn)品開發(fā)過程中，建立完善的AI系統(tǒng)風險管控流程，包括開展數(shù)據(jù)質(zhì)量檢驗避免數(shù)據(jù)投毒等事件發(fā)生、建立日志追溯機制強化風險的歸因溯源、建設(shè)網(wǎng)絡(luò)安全保障能力防止數(shù)據(jù)泄露等；在AI產(chǎn)品投入市場使用前或系統(tǒng)改造后，定期通過第三方評估機構(gòu)開展評估認證，向監(jiān)管部門備案AI算法的設(shè)計運行機制、可能的偏見和漏洞、AI數(shù)據(jù)安全保護和風險管控措施；在AI產(chǎn)品投入使用后，及時開展監(jiān)控預警，建立應(yīng)急響應(yīng)機制，及時處理可能的AI風險事故并同步監(jiān)管部門。

　　多措并舉構(gòu)建體系化的AI監(jiān)管機制，制定包容審慎的技術(shù)監(jiān)管措施。一是建立AI監(jiān)管專項負責機構(gòu)，及時跟蹤和制約AI風險。AI監(jiān)管機構(gòu)負責跟蹤AI技術(shù)發(fā)展和應(yīng)用場景變化，及時提出AI新風險應(yīng)對、監(jiān)管范圍更新等相關(guān)建議；對各類不負責任的AI提供者實施約談處罰，進行有效制約和威懾。二是完善標準體系，建立第三方機構(gòu)開展AI風險檢測認證。加快制定AI相關(guān)技術(shù)和應(yīng)用的安全標準，明確各領(lǐng)域AI系統(tǒng)的審計、日志、告知等透明性要求與衡量指標；培育權(quán)威的第三方AI風險評估機構(gòu)，開展AI算法、透明度、數(shù)據(jù)安全風險等相關(guān)評估。三是探索設(shè)立AI沙盒監(jiān)管，探尋風險制約和創(chuàng)新保護之間的最佳結(jié)合點。建議由AI監(jiān)管的專項負責機構(gòu)確定沙盒監(jiān)管基本原則和條件，將具備創(chuàng)新性但風險未知的AI產(chǎn)品或商業(yè)模式在進入市場前，預先在沙盒環(huán)境進行迭代驗證，使用戶在受保護的環(huán)境使用AI產(chǎn)品或服務(wù)。