欧盟委员会在上周净泄露后,欧盟委员会终于出版了急切期待的人工智能行为的提案。拟议的法案为人工智能(125页)介绍了一类综合的法律框架(125页),这使得协调内部市场的现有法律旨在促进投资和创新,同时也保护基本权利和确保安全要求的尊重(包括保护个人数据)。

正如预期的那样,基于委员会以前的出版物对主题,该法案提出了横向立法,并对广泛的主题产生影响。在此过程中,该法案从GDPR,NIS指令,产品安全指令,不公平的商业行为指令和市场监测监管中展开了现有的监管框架和方法。

该提案侧重于对AI系统进行不同类型的限制,具体取决于所涉及的AI系统的(风险)。虽然第一批规则旨在禁止选定的AI实践,但行动的第二个和主要部分规范了市场,投入使用和使用高风险AI系统(包括市场监测和监测)。第三组规则涉及某些特定的AI系统(例如旨在与用于生成或操纵图像,音频或视频内容的自然人和AI系统进行交互的AI系统,并引入新的透明度义务。

最后,该法案还提出了一些旨在支持创新的措施(并刺激欧盟的AI的吸收),治理和GDPR风格的惩罚框架,以及采用鼓励提供者的行为守则的框架非高风险AI系统自愿应用适用于高风险AI系统的强制要求。

While the proposal has already received criticism from stakeholders and governmental actors (including within the Commission) and must still go through the EU’s (lengthy) legislative process with likely amendments, it is clear that this Act will impose major obligations on providers, importers, distributors and users of AI systems which will require ample preparation time ahead of implementation.

1.范围和定义(标题I)

拟议的法案具有广泛的申请和领土范围,旨在适用于广泛的行动者:(i)在市场上放置或投入欧盟的服务AI系统(INELLICE或者欧盟以外),(ii)位于欧盟的AI系统的用户,(iii)位于第三国的AI系统的提供者和用户,其中由系统产生的输出用于联盟。该法案还规定,它不影响电子商务指令的规定对中介服务提供商的责任(据“数字服务法”的相应规定所取代)。

该法案的关键是,不出所料,AI和“AI系统”的定义。委员会提出了一个AI系统的定义,该系统旨在成为技术 - 中立和未来的防范,虽然提供了足够的法律确定性。根据该法,AI系统可以包含使用现代软件技术的许多产品,并且被定义为:

  • 软件;
  • 与ACT附件一的一个或多个技术和方法一起发展(委员会将能够通过委派行为提供时间。目前在附件我中列出的技术和方法包括:
    • 机器学习方法;
    • 基于逻辑和知识的方法;
    • 统计方法,贝叶斯估计,搜索和优化方法;
  • 对于给定的一组人的人定义目标,可以生成影响影响他们与之交互的环境的内容,预测,建议或决策等输出。

2.禁止人工情报实践(该法标题II)

该提案包括禁止某些AI实践,这些惯例旨在产生不可接受的风险(例如,违反基本权利 - 请注意,该法不禁止特定的AI系统,只有特定的ai实践),其列于该法案第5条中。这些都是:

  • 基于ai黑暗模式(AI系统将潜意识技术部署超出一个人的意识,以便以导致或可能导致该人或其他人身体或心理伤害的方式重大扭曲一个人的行为。
  • 基于AI的微目标(利用特定人群漏洞的AI系统,以便以导致或可能导致该人或其他人的身体或心理危害的方式将其与该群体有关的人的行为进行重大扭曲。
  • 基于ai社交评分(公共当局使用的AI系统用于评估或分类自然人在一定时期的社会行为或人格特征在某一段时间内,社会评分导致与环境无关的社会背景下的有害/不利的待遇其中收集数据)。
  • 使用“实时”远程生物识别系统在公开可访问的空间中,除了执法的目的,除了有针对性的潜在受害者的针对性的潜在受害者,(ii),以防止对生命或恐怖主义攻击的威胁,或(iii)检测,本地化,识别或起诉肇事者或某些严重罪行的嫌疑人。在这方面,应考虑情况和使用的情况(危害的严重,概率和规模)的性质,应遵守必要和比例的保障,并应由司法/行政当局提前授权被授予。

值得注意的是,较早(未发表的)该法的行为没有禁止使用“远程生物识别系统”,而是只设置授权系统。相反,此类法案的此类事先版本禁止禁止基于AI的通用监测,但此禁令并非如此已包含在已发布的提案中。

3.高风险的AI系统(该法标题III)

该提案还包括有关高风险AI系统的具体规则,这是本法中最严格和全面的监管AI系统。

a)高风险AI系统的定义

高风险AI系统在AI法案第6条中定义,通过对现有欧盟立法的参考系统,基本上与产品安全风险相关。事实上,AI系统的分类为高风险是基于AI系统的预期目的,符合现有的产品安全立法(基于风险的方法):

  • 第一类问题AI系统旨在用作产品的安全组件(或它们本身是一种产品)符合第三方的前方符合性评估。这些高风险AI系统列于附件二。在这一类别中,可以在(i)与新的立法框架(NLF)立法(如机械,医疗设备,玩具)和(ii)高风险AI相关的产品相关的高风险AI系统之间进行进一步区分与相关旧方法涵盖的产品相关的系统(例如航空,汽车)。关于前者,这个想法是,根据相关NLF立法的一部分,将在该法案中列出的AI系统的要求作为符合性评估程序的一部分。关于后者,该行为不会直接申请,但在采用这些行为下采用相关的执行或授权的立法时,需要考虑对高风险AI系统的前赌注基本要求。
  • 第二类涉及其他独立的AI系统,主要具有基本权利的影响已明确列出附件三。此列表包含有限数量的AI系统,其风险已经实现或可能在不久的将来实现,并且将来可以扩展到其他AI系统,该系统在某些方面委托提出委员会委员会提出足够的危害风险程度predefined areas (i.e. the areas in point 1 to 8 of Annex III), subject to the application of a set of criteria and a risk assessment methodology.

委员会必须由委员会向该名单添加到附件三的列表中的伤害风险程度涉及“对健康和安全的危害或对基本权利产生不利影响的风险相当于或大于已经在附件III中提到的高风险AI系统构成的伤害风险。“

该法案进一步规定了委员会所考虑的许多标准,例如AI系统的预期目的,使用程度,已经引起的危害程度,潜在程度(强度和范围)的伤害,受影响人士的依赖和脆弱性,结果的可逆性,以及补救措施和措施最小化欧盟法律规定的风险。

因此,这种方法允许欧盟监管机构保持一定的灵活性,同时确保法律确定性,将任何额外的高风险人工智能系统交由欧盟委员会进行基于风险的评估。

b)适用于高风险AI系统的要求

该法案征决与高风险AI系统有关的重大合规义务。遵守该法案规定的要求必须考虑到(i)AI系统的目的和(ii)第9条规定的风险管理系统(在整个生命周期的连续迭代过程中,高风险AI系统),并且必须在在市场上放置之前进行评估,或者通过该法案中规定的符合性评估程序投入使用这种高风险AI系统。

除其他外,以下合规义务适用:

  • 培训,验证和测试数据集应当遵守适当的数据治理和管理惯例,必须是相关的,代表,没有错误和完整,具有适当的统计特性,考虑到地理,行为或功能特异性,......并应遵守适当的数据治理和管理。实践(第10条)。
  • 完全和最新技术文档必须维护(并由提供商在市场上放置/投入服务之前制定),以证明遵守法案和高风险AI系统的产出必须在整个生命周期中可核实和可追溯,特别是通过允许自动生成日志(在其控制下,必须由提供商保留)(第11,12和第16条)。
  • 透明度必须确保AI系统的操作(使用户能够理解和控制输出的生产),并且高风险AI系统必须伴随着清晰的文档和用户使用说明书,必须包含该法案第13(3)条中规定的信息。
  • 人类监督高风险的AI系统必须通过适当措施(第14条)确保。
  • 高水平的准确性,鲁棒性和安全性必须始终保证整个高风险的AI系统的生命周期(第15条)。

这些合规义务主要是由此确保的高风险AI系统的提供者。除上述义务外,这些提供者还必须包括:

  • 设置,实施和维护一个市场后监测系统(以与人工智能技术的性质和高风险AI系统的风险成比例的方式(第61条)。
  • 有符合要求(记录)质量管理体系在的地方。
  • 确保系统经历相关符合性评估程序(在市场上放置市场之前/投入服务之前)并制定欧盟的符合性宣言。
  • 注册他们的高风险AI系统欧盟数据库在高风险AI系统(在市场上放置/投入服务之前)(第16和51条)。
  • 立即采取纠正措施与非符合性高风险AI系统有关(通知国家主管权威和采取的行动)(第21和22条)。
  • 粘贴CE标记到他们的高风险AI系统,以表明符合性。
  • 根据国家主管当局要求,证明高风险AI系统的一致性(第23条)。
  • 报告向全国市场监督机构有任何一个严重事件或AI系统的任何故障在该事件/故障和AI系统之间的因果关系之后,在此事件/故障与AI系统之间的因果关系之后,这构成了违反工会法的义务,而不是在他们意识到严重事件或故障后的15天后(第62条)。
  • 通过书面授权委任授权代表,没有进口商无法识别。(第25条)。

进口商(第26条),分销商(第27条),和用户对高风险人工智能系统(第29条)的遵守也有若干义务,但这些义务一般比提供者所遵守的义务要少得多。例如,用户(i)必须按照使用说明使用高风险人工智能系统;(ii)必须确保输入的数据与高风险人工智能系统的预期用途有关;(iii)必须监测系统的运行,并将可疑风险和严重事件或故障通知供应商/分销商,以及(iv)必须保存该高风险人工智能系统自动生成的日志,只要这些日志在其控制之下。

c)关于通知机构的框架和通知当局和符合性评估

该法案进一步规定了一个相当复杂的通知机构框架,并通知会员国指定或建立的当局,并将其作为与高风险AI系统有关的合格评估程序中的独立第三方。

最后,该法案详细说明了每种类型的高风险AI系统遵循的(相对复杂的)符合性评估程序。这种符合性评估方法旨在尽量减少经济运营商以及通知机构的负担。符合性评估框架相当复杂。

关于高风险的AI系统用作产品的安全组件(即第一类高风险的AI系统,附件二列),由新的立法框架立法(例如机械,玩具,医疗设备)受益于a“简化的”制度:它们受其是组成部分的产品的相同合规和执法机制,但这些合规和执法机制必须确保不仅根据有关部门立法所确定的要求,而且还要确保遵守该法规定的合规义务(如上所述)。

关于附件三所列的独立高风险AI系统,法案建立了新的合规和执法制度,建模在新的立法框架立法,并通过提供商的内部控制检查(远程生物识别系统除了受第三方符合性评估的影响)。

4.关于某些特定AI系统的透明义务(该法案的标题IV)

该提案中的某些AI系统并不禁止,不一定是高风险(尽管它们可以是在这种情况下,与高风险AI系统有关的要求仍然适用),但受到许多透明度义务的影响。这些义务特别包括:

  • 提供商必须确保旨在与自然人互动的AI系统通知自然人,他们与AI系统进行互动(除非这是明显的或与犯罪调查有关)。
  • 必须由这种系统的用户通知受情感识别系统或生物识别分类系统的自然人。
  • AI系统的用户产生所谓的“赝品”必须披露的内容已经人为地创造或操纵(除必要的检测、预防、调查和起诉刑事犯罪或有必要行使言论自由的权利和自由的艺术,须有适当的保障措施)。

5.旨在支持创新的规定(该法案的标题V)

如上所述,AI行为不仅对AI系统施加限制,而且还包含一些旨在支持创新和刺激欧盟内AI的摄取的一些规定。这包括与放置AI监管沙箱的措施有关的规定,并采取措施降低中小企业和初创公司的监管负担。

(i)AI监管沙箱

该法案规定,国家主管机构(来自一个或多个毫秒)或EDPS可以建立AI监管沙箱(提供受控环境),促进了对职业直接监督和监督的创新AI系统的开发,验证和测试AI系统在市场上或以其他方式投入使用之前,当局。

但是,该法案还规定,监督当局仍然能够与参与此类沙箱的AI系统的权力行使他们的权力,并且这种沙箱中的参与者对第三方造成的任何伤害持责任是由实验服用的结果造成的任何危害放在这样的Ai沙箱中。

(ii)减少中小企业/小规模提供者的监管负担的措施

该法案还涉及国家主管部门承担了一些旨在减少所谓的“小规模提供商”的监管负担的行动(即中小企业):他们必须为AI沙箱提供优先权的小规模提供商,他们必须组织对小规模提供者量身定制的提高认识活动,了解本法的应用,他们必须在国家主管当局建立专门的枢纽,以与小规模提供者进行沟通(包括提供指导并回应关于疑问实施该法案)。

数字集线器和测试实验设施包括在此法令的前一(未发表的),不包括在委员会的官方提案中。

6.治理、执行和制裁(法案第6至12条)

(一世)欧洲人工智能板

该法案(第56号和第57条)规定了建立欧洲人工智能委员会(EAIB),由国家监管机构和EDPS组成。董事会在其他方面,该委员会在委员会和协助委员会就该法案所涵盖的事项方面,为了(i)促进国家监管机构和委员会的有效合作,(ii)协调和贡献委员会和国家监管机构和其他主管当局对新出现问题的指导和分析和(iii)协助国家监管机构和委员会确保该法案的一致申请。

这两个任务及其结构都提醒我们与GDPR相关的欧洲数据保护委员会(EDPB),尽管这里特别强调了EAIB的咨询性质(建议委员会)的咨询性质。

与委员会的这一援助有关,EAIB尤其涉及:收集和分享欧盟成员国之间的专业知识和最佳做法,促成欧盟成员国的统一行政做法,发行意见,建议或书面捐款与与之相关的事项(实施)法案(第58条)。

(ii)国家主管当局

此外,该法还规定欧盟成员国(第59条)必须指定国家主管当局,其中包括国家监督当局,以便就实施该法提供指导和咨询意见,包括向小规模供应者提供意见。

(iii)执法

该法案还规定,按照法规(欧盟)2019/1020(第63条)(第63条)(第63条)(第63条),应当有市场监督和控制权,该法案应予以完全访问使用的培训,验证和测试数据集由提供者(第64条)。

在欧盟成员国的市场监测权有充分的理由相信该法案所涵盖的AI系统造成健康或安全的风险或保护人员的基本权利,他们将对AI进行评估有关系统以及必要时,需要纠正措施(第65条第57条)。

与GDPR类似,该法案也提供了采用行为准则的可能性。更准确地说,欧盟委员会和欧盟成员国应鼓励和便利制定行为守则,旨在(i)促进将适用于高风险人工智能系统的要求自愿应用于非高风险人工智能系统,(ii)促进人工智能系统自愿应用与环境可持续性、残疾人无障碍、利益相关方参与人工智能系统的设计和开发以及开发团队的多样性等相关要求。

(iv)制裁

最后,该法案规定了适用于该法案的某些侵权行为的若干制裁:

  • 违禁AI实践(第5条)和与数据质量有关的义务(第10条)须缴纳高达30万欧元的行政罚款,或者如果罪犯是一家公司,占全球全球总营业额的6%前一财政年度,以较高者为准。
  • AI系统的不符合上述行为下的任何要求或义务,受到高达2000万欧元的行政罚款,或者罪犯是一家公司,占全球全球总营业额的4%前一财政年度,以较高者为准。
  • 向通知机构和国家主管当局提供不正确,不完整或虚假信息的供应答复要求,须达到1000万欧元的行政罚款,或者如果罪犯是一家公司,占全球全球总营业额的2%前一财政年度,以较高者为准。

此外,该法还规定,欧盟成员国必须列出适用于侵犯法令的有效,比例和孤立的惩罚(包括行政罚款),并必须采取所有必要的措施,以确保其适当和有效地实施。

在这方面说明的是,该法不适用于来自AI系统的个人的投诉系统。因此,该法案的执行将完全与主管当局介绍。

金博宝188转账DLA PIPER正在积极监测关于AI的这一关键监管和相关讨论,并将在未来几周和几个月中推出各种指导文件,网络研讨会和分析。特别是英国视角的行为分析将很快遵循。