AI法治前沿系列｜欧盟《人工智能法案》解读(一) ：通用人工智能分类、供应者义务及行为守则要求_人工智能_供给者

2024-10-10 02:43:02 计算机

（一）通用人工智能模型及通用人工智能系统

AI法治前沿系列｜欧盟《人工智能法案》解读(一) ：通用人工智能分类、供应者义务及行为守则要求_人工智能_供给者计算机

根据欧盟《人工智能法案》（以下称“法案”）的规定，“通用人工智能模型”是指这样一个人工智能模型，包括在利用大量数据进行大规模自我监督演习时，无论该模型以何种办法投放市场，都显示出显著的通用性，能够胜任各种不同的任务，并可集成到各种下贱系统或运用中。
这不包括在投放市场前用于研究、开拓和原型设计活动的人工智能模型。
换言之，“通用人工智能模型”是指具有通用性，且能够胜任各种任务的人工智能模型。
与传统的人工智能模型不同，通用人工智能具有更广泛的范围和自主性，其平滑的可扩展性使其无需大量培训即可处理来自不同领域的输入。
[1]

通用人工智能模型不同于通用人工智能系统，后者是指以通用人工智能模型为根本的人工智能系统，例如Chatgpt-4，该系统具有做事于各种目的的能力，既可直策应用，也可集成到其他人工智能系统中。
换言之，通用人工智能系统是指可以完成或适应完成一系列不同的任务（包括一些不是故意和专门演习的任务），或最初供应者没有预见或声明的目的（任务）的一种人工智能系统。
[2]但是，有学者认为，欧盟对通用人工智能系统的定义过于宽泛，将产生一些不利影响。
[3]

（二）通用人工智能模型的分类

1. 分类标准（第51条第1款）

第51条第1款如果一个通用人工智能模型符合以下任何一项标准，则应将其归类为具有系统性风险的通用人工智能模型：

(a) 根据适当的技能手段和方法，包括指标和基准，对其影响能力进行评估；

(b) 根据委员会依权益做出的决定，或在科学小组提出有保留的警告后，考虑附件十三设定的准则，认为通用人工智能模型具有与a点相同的能力或影响。

第2款根据第1款a点，当一个通用人工智能模型用于演习的累计打算量，以浮点运算计大于10^25时，应推定该模型具有高影响能力。

该条款规定通用人工智能模型的分类，明确将通用人工智能模型规定为具有系统风险的通用人工智能和其他通用人工智能。

换言之，在知足欧盟规定的技能标准的环境下，此种类别的通用人工智能则会被认定为具有系统风险。
而该技能标准是不断更新的，正如欧盟法案所规定的那般，委员会须根据不断进步的技能对该标准进行更新，以顺应社会科学技能的发展，反响前辈技能水平。

2. 评估程序（第52条）

对“具有系统风险的通用人工智能模型”的评估程序可细分为两种环境：

一是基于供应者主动关照而产生的评估程序，如图1所示：

图1

二是委员会基于权益对通用人工智能模型进行评估，程序如图2所示：

图2

3. 分类之正当性剖析

欧盟法案将具有系统风险的通用人工智能模型独立出来具有极其主要意义。

根据欧盟委员会所揭橥的对法案的解答，其采取了一种基于风险的方法，将人工智能系统的风险分为四个级别，并确定了通用模型特有的风险。
[4]故而，法案将人工智能系统分为：（1）不可接管的风险；（2）高风险；（3）有限风险；（4）低风险或最小风险。
欧盟委员会亦基于同样的方法，将通用人工智能模型分为具有系统风险的人工智能模型及其他通用模型。

须要把稳的是，虽然欧盟所采纳的根本分类方法相同，但是并不虞味着具有系统性风险的通用人工智能模型即为高风险人工智能系统，二者非互换等同之观点。
换言之，两者的详细分类标准是不同的。
例如，某个人工智能模型虽在技能上符合高风险的标准，但由于其受到严格掌握，从而降落了对公共安全或社会的影响，该模型不应被归类为具有系统风险的模型。

鉴于人工智能的利用具有其分外性（如不透明性、繁芜性、对数据的依赖性、自主行为），可能会对一些基本权利和用户的安全产生不利影响，[5]不同风险级别的人工智能供应者更应该承担不同的责任。
通用人工智能模型亦是如此，具有系统风险的通用模型具有更大的潜在影响，法案单独规定具有系统风险的通用人工智能模型具有一定的正当性。

二、所有通用人工智能模型供应者的责任

（一）程序责任

1. 符合有关条件的供应者具有及时关照责任

该责任的主体是知足法案第51条第1款第a点哀求的通用模型供应者，即有关通用模型供应者须在知道或者应该知道模型知足上述哀求的两周内关照委员会，不知足该哀求的供应者无需承担该项责任。
关照应该包括可以证明知足该哀求的必要信息，可以包括证明该模型虽知足哀求但不具有系统风险的充分证据。
若委员会在规定韶光内未收到关照，则可将该通用模型指定为具有系统风险的通用模型，有关供应者须承担本法第55条所规定的责任。

2. 供应者可供应证据证明其模型不具有系统风险

严格来说，此项并非属于有关供应者的责任，法案有关规定为：有关供应者可以在关照中供应可以证明其模型虽知足哀求但不具有系统风险的充分证据。
按照该法案的规定，供应者当然可以选择不供应。
但是若供应者不供应，委员会可将其模型认定为具有系统风险的通用模型，供应者则需承担更多的责任。

（二）实体责任

1. 供应责任

a.体例并更新模型的技能文件，即通用人工智能模型供应者应哀求向人工智能办公室和国家主管机关供应有关技能文件，包括但不限于该模型的演习和测试过程及其评估结果，法案亦哀求供应者所供应的技能文件至少应该包含与模型的规模和风险状况相适应的信息，如对通用人工智能模型的一样平常性描述及其开拓过程等描述。

b.体例、更新、供应模型的有关信息及文件，须要把稳的是，该项供应责任工具并非人工智能办公室及有关国家机关，而是意图将通用人工智能模型纳入其人工智能系统的人工智能系统供应者。
通用人工智能模型是其他人工智能系统的根本，只有下贱供应者完备理解该模型的功能、用场等信息，才能更为精确地制作人工智能系统，保障人工智能市场。

c.为了促进技能的发展与创新，对付免费且对"大众年夜众开放利用的人工智能系统，该法案并不哀求该模型供应者供应有关信息与文件，这是由于此类模型供应者须要确保高水平的透明度和公开性，有关信息与文件完备透明，因而无须要求该供应者承担相应的供应责任。
但是，该法案亦明确规定，若模型存在系统性风险，纵然该模型是免费且向公众开放，其供应者亦需承担相应的供应责任，以保障社会安全与稳定。

2. 公开责任

仅限于免费且开源容许向公众年夜众供应的人工智能模型的供应者。
正如上文所说，此类供应者不具有上述供应责任，但是须要将有关信息与文件充分公开。

3. 互助责任

所谓的互助责任，是指通用人工智能模型供应者在行使法案所规定的权限和权力时，应该与委员会和国家主管机关进行必要的互助。
以认定通用人工智能模型是否具有系统性风险的程序为例，该程序就直接表示了供应者与委员会和国家主管机关的互助。

4. 保密责任

根据法案的规定：“本条规定得到的任何信息和文件，包括商业秘密，均应按照第78条规定的保密责任处理。
”该78条哀求委员会及任何有关自然人或法人遵守实行任务或活动中所得到的信息和数据的保密性，特殊保护知识产权、商业秘密等。

以商业秘密为例，通用人工智能模型供应者所撰写的与该模型仿照、开拓等有关的信息、文件可构成商业秘密受到反不正当竞争法的保护，其他主体不可任意利用他人的商业秘密，但是反不正当竞争法对商业秘密的保护并没有逼迫性规定有关主体具有保密责任，对商业秘密的保护存在一定的毛病。
而对商业秘密的保护，保密是关键。
只有有关信息、文件的秘密性得到保障，有关主体才能取得竞争上风，得到商业利益。
故而，法案规定通用人工智能模型供应者具有保密责任具有一定的合理性。

5. 授权责任

该责任是指，若在欧盟之外设立的供应者欲在欧盟市场上投放通用人工智能模型，应在投放之前与一名在欧盟内设立的授权代表订立书面授权协议，授权该主体在欧盟市场进行商业活动，而不能自己在欧盟市场进行商业活动。
欧盟内部的主体对欧盟的法律规定更为理解，哀求供应者必须授权他人在欧盟市场投放通用人工智能模型，有利于对通用人工智能进行规制，且有助于促进该法案的履行。

在免费且开源容许下向公众开放的通用人工智能模型供应者不具有此项责任，除非相应通用人工智能模型存在系统性风险。

6 其他

法案明确规定，在统一标准公布之前，通用人工智能模型的供应者可以依赖第56条所指的行为守则来证明其遵守法案所规定的责任。

而对付供应者是否履行责任，欧盟尚未规定出统一标准，这就导致对供应者的规制涌现困难，而这条规定无疑办理了这一困境。
供应者可以依赖行为准则来证明自己遵守了干系责任。
在统一标准公布之后，供应者遵守欧盟统一标准即可推定其知足哀求。

三、授权代表的权利责任

正如上文所述，欧盟以外设立的供应者应该授权欧盟内有关主体代替其在欧盟市场从事商业活动，该授权代表亦需承担相应的责任，同样也享有一定的权利。

（一）责任

授权代表应根据条约约定，实行供应者书面授权条约中所规定的任务，包括但不限于以下：

a.核实有关技能文件是否已经体例，以及供应者是否履行了法案规定的所有责任；

b.在该通用目的人工智能模型投放市场后的10年内，向人工智能办公室和国家主管机关提交一份有关技能文件副本以及指定授权代表的供应者的详细联系信息，以供有关机关保存；

b.在收到确有理据的哀求的情形下，向人工智能办公室供应所有必要的信息和文件；

c.在人工智能办公室和国家主管机关提出合理哀求后，与其进行互助。

（二）权利

第54条第4款授权代表应有权在与确保遵守本条例有关的所有问题上，除供应者外，或代替供应者，接管人工智能办公室或国家主管机关的讯问。

第5款如果授权代表认为或有情由认为供应者的行为违反了本条例规定的责任，则应终止授权。
在这种情形下，授权代表也应立即将任务终止及其缘故原由关照人工智能办公室。

根据该两款的规定，授权代表享有接管讯问权及终止授权权。
前者是指，授权代表在接管讯问时与供应者具有相同的地位，且授权代表的回答与供应者具有相同的效力。
至于后者，该法案授予了授权代表终止授权的权利，当授权代表认为供应者违反责任时，可以终止授权，从而避免其遭受有关机关的追责。
后项权利无疑减轻了授权代表的任务，有助于促进该法案的履行。

四、具有系统风险的通用人工智能模型供应者的特有责任

此类供应者除了具有上述责任外，还具有其他责任，包括：

首先，模型评估责任，即供应者应该根据反响前辈技能水平的标准化协议和工具进行模型评估，包括对模型进行对抗测试并记录在案，以识别和降落系统性风险。
具有系统风险的通用人工智能模型具有潜在危险，可能危害他人合法权柄，对此类模型该当进行严格的评估，以判断此类模型的风险程度，这也是一种合规责任。

其次，评估及减微风险责任，即供应者应该评估和减轻欧盟层面可能存在的系统性风险，包括因开拓、投放市场或利用具有系统性风险的通用人工智能模型而产生的系统性风险的来源。

再者，跟踪、记录及报告责任，即供应者应该跟踪、记录并及时向人工智能办公室等报告严重事宜的干系信息以及为办理这些问题可能采纳的纠正方法。
此类通用人工智能模型的供应者应该对其所供应的模型的安全进行保障，应该不断跟踪、记录模型有关信息，并向有关机关报告，保护公共利益。

末了，供应网络安全保护责任，即供应者应该确保对具有系统风险的通用人工智能模型和模型的物理根本举动步伐供应足够水平的网络安全保护。
网络安全保护应充分考虑模型的意外泄露、规避安全方法，以及防御网络攻击、未经授权的访问或模型失落窃等。
供应者可以通过确保模型权重、算法、做事器和数据集的安全来促进这种保护，例如通过信息安全的操作安全方法、详细的网络安全政策、适当的技能和既定办理方案，以及网络和物理访问掌握，以适应干系情形和所涉及的风险。

具有系统风险的通用人工智能模型的供应者亦具有保密责任，但是该项保密责任与前文所述保密责任并无不同，在此不再赘述。
此外，该类模型的供应者同样可以按照行为准则证明自己已经履行了责任。
须要把稳的是，具有系统性风险的通用人工智能模型的供应者如不遵守经批准的行为守则，应证明有其他适当的合规手段，以供委员会批准。

责任汇总图

五、行为守则干系内容

法案具有一定的进步意义，然而，其仍存在一定的不敷。
一方面，目前各方对人工智能法律规制尚处于探索阶段，现存法案并不完善；另一方面，人工智能是不断发展的，预先制订而具有滞后性的法案在某种程度上无法对人工智能进行完全、全面地规制。
正是由于上述缘故原由，法案明文规定了行为守则，因此补充法案的空缺，有效规制人工智能。

（一）行为守则起草方案

根据法案的规定，人工智能办公室可约请通用人工智能模型的供应者以及干系国家主管机关参与行为守则的起草事情。
其他公民、社会组织、行业、学术界和其他利益干系方，如下贱供应者和独立专家，可帮忙起草事情。

（二）行为守则内容哀求

首先，人工智能办公室和人工智能理事会应确保行为守则涵盖第53条和第55条规定的责任等内容。
这是由于在第53条和第55条中，欧盟明确规定了供应者可以按照行为守则来证明实在行了责任。
只有行为守则涵盖这些责任，行为守则才能发挥其证明浸染，才能知足法律规定。

其次，行为守则应该明确规定其详细目标，并包含承诺或方法，包括适当的关键绩效指标，以确保实现这些目标，并在同盟层面适当考虑所有干系方，包括受影响职员。

（三）行为守则之监督

行为守则起草参与者应该定期向人工智能办公室报告承诺的履行情形和所采纳的方法及其结果，包括酌情根据关键绩效指标进行衡量。
人工智能办公室和欧洲人工智能委员会应根据参与者的报告定期监测和评估参与方实现行为守则目标的情形及其瞄准确切行本条例的贡献。

（四）行为守则之审查与调度

当涌现新的标准时，人工智能办公室应及时对行为守则进行审查和调度。

根据法案的规定，行为守则最迟应在本法案生效之日起九个月之前准备完毕。
人工智能办公室应采纳相应必要方法。
如果自生效之日起12个月内，行为守则无法准备完毕，或者人工智能办公室在评估后认为行为守则仍不充分，则委员会可通过履行法案供应共同规则，以履行第53条和第55条规定的责任，包括其他要点。

（五）行为守则之效力

法案明确规定，通用人工智能模型供应者可以按照行为准则证明自己已经履行了法案所规定的责任。
换言之，行为守则可用于证明供应者已履行责任。
这些行为守则作为一套志愿性的标准，旨在促进通用人工智能模型供应者在缺少详细法律的情形下，依然能够确保人工智能模型的合规性和道德行。