欧盟委员会在上周净泄露后,欧盟委员会终于出版了急切期待的人工智能行为的提案。拟议的法案为人工智能(125页)介绍了一类综合的法律框架(125页),这使得协调内部市场的现有法律旨在促进投资和创新,同时也保护基本权利和确保安全要求的尊重(包括保护个人数据)。

正如预期的那样,基于委员会以前的出版物对主题,该法案提出了横向立法,并对广泛的主题产生影响。在此过程中,该法案从GDPR,NIS指令,产品安全指令,不公平的商业行为指令和市场监测监管中展开了现有的监管框架和方法。

该提案的重点在于,根据有关人工智能系统的(风险),为人工智能系统设定不同类型的限制。虽然第一套规则旨在禁止选定的人工智能实践,但该法案的第二部分也是主要部分监管高风险人工智能系统的投放市场、投入服务和使用(包括市场监测和监督)。第三套规则涉及特定的人工智能系统(如用于与自然人交互的人工智能系统和用于生成或操作图像、音频或视频内容的人工智能系统),并引入了新的透明度义务。

最后,该法案还提出了一系列旨在支持创新(并刺激欧盟吸收人工智能)的措施,一个治理和gdp式的惩罚框架,以及一个通过行为守则的框架,鼓励非高风险人工智能系统的提供者自愿适用适用于高风险人工智能系统的强制性要求。

虽然该提案已经受到了利益相关者和政府行为者(包括在委员会内)的批评,而且仍必须通过欧盟(冗长的)立法程序,可能进行修正,但很明显,该法案将对供应商、进口商、分销商和AI系统用户,在实施前需要充足的准备时间。

1.范围和定义(标题I)

拟议的法案具有广泛的申请和领土范围,旨在适用于广泛的行动者:(i)在市场上放置或投入欧盟的服务AI系统(INELLICE或者欧盟以外),(ii)位于欧盟的AI系统的用户,(iii)位于第三国的AI系统的提供者和用户,其中由系统产生的输出用于联盟。该法案还规定,它不影响电子商务指令的规定对中介服务提供商的责任(据“数字服务法”的相应规定所取代)。

该法案的关键是,不出所料,AI和“AI系统”的定义。委员会提出了一个AI系统的定义,该系统旨在成为技术 - 中立和未来的防范,虽然提供了足够的法律确定性。根据该法,AI系统可以包含使用现代软件技术的许多产品,并且被定义为:

  • 软件;
  • 与ACT附件一的一个或多个技术和方法一起发展(委员会将能够通过委派行为提供时间。目前在附件我中列出的技术和方法包括:
    • 机器学习方法;
    • 基于逻辑和知识的方法;
    • 统计方法,贝叶斯估计,搜索和优化方法;
  • 对于给定的一组人的人定义目标,可以生成影响影响他们与之交互的环境的内容,预测,建议或决策等输出。

2.禁止人工情报实践(该法标题II)

该提案包括禁止某些人工智能做法,这些做法被认为会造成不可接受的风险(如侵犯基本权利),请注意该法并不禁止特定的人工智能系统,只有特定的AI实践),其列于该法案第5条中。这些都是:

  • 基于ai黑暗模式(AI系统将潜意识技术部署超出一个人的意识,以便以导致或可能导致该人或其他人身体或心理伤害的方式重大扭曲一个人的行为。
  • 基于AI的微目标(利用特定人群漏洞的AI系统,以便以导致或可能导致该人或其他人的身体或心理危害的方式将其与该群体有关的人的行为进行重大扭曲。
  • 基于ai社交评分(人工智能系统是公共当局根据自然人的社会行为或个性特征在一定时期内对其可信度进行评估或分类的工具,社会分数导致在与收集数据的环境无关的社会环境中受到不利/不利的对待)。
  • 使用“实时”远程生物识别系统(i)针对特定犯罪的潜在受害者进行有针对性的搜索,(ii)防止对生命的威胁或恐怖袭击,或(iii)发现、定位、识别或起诉某些严重犯罪的肇事者或嫌疑人。在这方面,应考虑到情况的性质和使用的后果(损害的严重性、可能性和规模),应遵守必要和相称的保障措施,并应事先得到司法/行政当局的授权。

值得注意的是,较早(未发表的)该法的行为没有禁止使用“远程生物识别系统”,而是只设置授权系统。相反,此类法案的此类事先版本禁止禁止基于AI的通用监测,但此禁令并非如此已包含在已发布的提案中。

3.高风险人工智能系统(法案第三章)

该提案还包括有关高风险AI系统的具体规则,这是本法中最严格和全面的监管AI系统。

a)高风险人工智能系统的定义

《人工智能法》第6条对高风险人工智能系统进行了定义,通过参照现有欧盟立法的系统,主要涉及产品安全风险。事实上,将人工智能系统归类为高风险是基于人工智能系统的预期目的,符合现有的产品安全立法(基于风险的方法):

  • 第一类问题人工智能系统被用作产品的安全组件(或它们本身是一种产品)符合第三方的前方符合性评估.这些高风险AI系统列于附件二。在这一类别中,可以在(i)与新的立法框架(NLF)立法(如机械,医疗设备,玩具)和(ii)高风险AI相关的产品相关的高风险AI系统之间进行进一步区分与相关旧方法涵盖的产品相关的系统(例如航空,汽车)。关于前者,这个想法是,根据相关NLF立法的一部分,将在该法案中列出的AI系统的要求作为符合性评估程序的一部分。关于后者,该行为不会直接申请,但在采用这些行为下采用相关的执行或授权的立法时,需要考虑对高风险AI系统的前赌注基本要求。
  • 第二类涉及其他独立的AI系统,主要具有基本权利的影响附件三明确列出的。这个列表包含一个有限数量的AI系统的风险已经物化或有可能实现在不久的将来,和在未来可以扩展到其他人工智能系统提供足够的风险程度的伤害由委员会委托要求特定的预定义区域内(即地区点1到8的附件III),根据一套标准和风险评估方法的应用。

委员会必须由委员会向该名单添加到附件三的列表中的伤害风险程度涉及“对健康和安全的危害或对基本权利产生不利影响的风险相当于或大于已经在附件III中提到的高风险AI系统构成的伤害风险。“

法案进一步提出了许多标准考虑的委员会,如人工智能系统的目的、使用的程度,程度的伤害已经造成,潜在的程度(强度和范围)的伤害,影响人的依赖和脆弱,可逆性的结果,以及根据欧盟法律尽可能减少这些风险的补救措施。

因此,这种方法允许欧盟监管机构保持一定的灵活性,同时确保法律确定性,将任何额外的高风险人工智能系统交由欧盟委员会进行基于风险的评估。

b)适用于高风险AI系统的要求

该法案征决与高风险AI系统有关的重大合规义务。遵守该法案规定的要求必须考虑到(i)AI系统的目的和(ii)第9条规定的风险管理系统(在整个生命周期的连续迭代过程中,高风险AI系统),并且必须在在市场上放置之前进行评估,或者通过该法案中规定的符合性评估程序投入使用这种高风险AI系统。

除其他外,以下合规义务适用:

  • 培训,验证和测试数据集应受适当的数据治理和管理实践的约束,必须相关、有代表性、无错误和完整,具有适当的统计特性,考虑到地理、行为或功能的特殊性,…并应受适当的数据治理和管理实践的约束(第10条)。
  • 完全和最新技术文档必须进行维护(并由供应商在投放市场/投入服务前起草),以证明符合法案,高风险人工智能系统的输出必须在其整个生命周期内是可验证和可追踪的,特别是通过允许自动生成日志(在其控制下,必须由提供商保留)(第11,12和第16条)。
  • 透明度必须确保AI系统的操作(使用户能够理解和控制输出的生产),并且高风险AI系统必须伴随着清晰的文档和用户使用说明书,必须包含该法案第13(3)条中规定的信息。
  • 人类监督必须能够并通过适当措施确保高风险人工智能系统(第14条)。
  • 高水平的准确性,鲁棒性和安全性必须在高风险人工智能系统的整个生命周期内始终如一地得到保证(第15条)。

这些合规义务主要是由此确保的高风险AI系统的提供者.除了上述义务外,这些提供者还必须:

  • 设置,实施和维护一个市场后监测系统(以与人工智能技术的性质和高风险AI系统的风险成比例的方式(第61条)。
  • 有符合要求(记录)质量管理体系在的地方。
  • 确保系统经历相关合格评定程序(在产品上市/投入使用前),并拟备一份欧盟合格声明。
  • 注册他们的高风险AI系统欧盟数据库在高风险AI系统(在市场上放置/投入服务之前)(第16和51条)。
  • 立即采取纠正措施关于不符合规定的高风险人工智能系统(向国家主管当局通报这种不遵守情况和采取的行动)(第21和22条)。
  • 粘贴CE标记到他们的高风险AI系统,以表明符合性。
  • 应国家主管当局的要求,证明高风险人工智能系统的符合性(第23条)。
  • 报告向国家市场监管部门举报严重事故或人工智能系统故障在该事件/故障与人工智能系统之间产生因果关系后,并在不晚于意识到该严重事件或故障后15天内,构成违反旨在保护基本权利的工会法所规定的义务(第62条)。
  • 通过书面授权委任授权代表,没有进口商无法识别。(第25条)。

进口商(第26条),分销商(第27条),和用户对高风险人工智能系统(第29条)的遵守也有若干义务,但这些义务一般比提供者所遵守的义务要少得多。例如,用户(i)必须按照使用说明使用高风险人工智能系统;(ii)必须确保输入的数据与高风险人工智能系统的预期用途有关;(iii)必须监测系统的运行,并将可疑风险和严重事件或故障通知供应商/分销商,以及(iv)必须保存该高风险人工智能系统自动生成的日志,只要这些日志在其控制之下。

c)关于公告机构、通知当局和合格评定的框架

该法案进一步规定了一个相当复杂的通知机构框架,并通知会员国指定或建立的当局,并将其作为与高风险AI系统有关的合格评估程序中的独立第三方。

最后,该法案详细说明了每种类型的高风险AI系统遵循的(相对复杂的)符合性评估程序。这种符合性评估方法旨在尽量减少经济运营商以及通知机构的负担。符合性评估框架相当复杂。

关于高风险的AI系统用作产品的安全组件(即第一类高风险的AI系统,附件二列),由新的立法框架立法(例如机械,玩具,医疗设备)受益于a“简化的”制度:它们受其是组成部分的产品的相同合规和执法机制,但这些合规和执法机制必须确保不仅根据有关部门立法所确定的要求,而且还要确保遵守该法规定的合规义务(如上所述)。

关于附件三中列出的独立高风险人工智能系统,该法案建立了一个新的合规和执行系统,仿照新立法框架的立法,并通过供应商的内部控制检查来实施(受第三方合格评估的远程生物识别系统除外)。

4.关于某些特定AI系统的透明义务(该法案的标题IV)

该提案中的某些AI系统并不禁止,不一定是高风险(尽管它们可以是在这种情况下,与高风险AI系统有关的要求仍然适用),但受到许多透明度义务的影响。这些义务特别包括:

  • 提供商必须确保旨在与自然人互动的AI系统通知自然人,他们与AI系统进行互动(除非这是明显的或与犯罪调查有关)。
  • 必须由这种系统的用户通知受情感识别系统或生物识别分类系统的自然人。
  • AI系统的用户产生所谓的“赝品”必须披露的内容已经人为地创造或操纵(除必要的检测、预防、调查和起诉刑事犯罪或有必要行使言论自由的权利和自由的艺术,须有适当的保障措施)。

5.旨在支持创新的规定(该法案的标题V)

如上所述,AI行为不仅对AI系统施加限制,而且还包含一些旨在支持创新和刺激欧盟内AI的摄取的一些规定。这包括与放置AI监管沙箱的措施有关的规定,并采取措施降低中小企业和初创公司的监管负担。

(i) AI监管沙盒

该法案规定,国家主管机构(来自一个或多个毫秒)或EDPS可以建立AI监管沙箱(提供受控环境),促进了对职业直接监督和监督的创新AI系统的开发,验证和测试AI系统在市场上或以其他方式投入使用之前,当局。

但是,该法案还规定,监督当局仍然能够与参与此类沙箱的AI系统的权力行使他们的权力,并且这种沙箱中的参与者对第三方造成的任何伤害持责任是由实验服用的结果造成的任何危害放在这样的Ai沙箱中。

(ii)减少中小企业/小规模提供者的监管负担的措施

该法案还涉及国家主管部门承担了一些旨在减少所谓的“小规模提供商”的监管负担的行动(即中小企业):他们必须为AI沙箱提供优先权的小规模提供商,他们必须组织对小规模提供者量身定制的提高认识活动,了解本法的应用,他们必须在国家主管当局建立专门的枢纽,以与小规模提供者进行沟通(包括提供指导并回应关于疑问实施该法案)。

数字集线器和测试实验设施包括在此法令的前一(未发表的),不包括在委员会的官方提案中。

6.治理、执行和制裁(法案第6至12条)

(一世)欧洲人工智能委员会

该法案(第56号和第57条)规定了建立欧洲人工智能委员会(EAIB),由国家监管机构和EDPS组成。董事会在其他方面,该委员会在委员会和协助委员会就该法案所涵盖的事项方面,为了(i)促进国家监管机构和委员会的有效合作,(ii)协调和贡献委员会和国家监管机构和其他主管当局对新出现问题的指导和分析和(iii)协助国家监管机构和委员会确保该法案的一致申请。

这两个任务及其结构都提醒我们与GDPR相关的欧洲数据保护委员会(EDPB),尽管这里特别强调了EAIB的咨询性质(建议委员会)的咨询性质。

与委员会的这一援助有关,EAIB尤其涉及:收集和分享欧盟成员国之间的专业知识和最佳做法,促成欧盟成员国的统一行政做法,发行意见,建议或书面捐款与与之相关的事项(实施)法案(第58条)。

国家主管当局

此外,该法还规定欧盟成员国(第59条)必须指定国家主管当局,其中包括国家监督当局,以便就实施该法提供指导和咨询意见,包括向小规模供应者提供意见。

(iii)执法

该法案还规定,根据法规(EU) 2019/1020(第63条),应对该法案涵盖的AI系统进行市场监督和控制,该法规应被授予对供应商使用的培训、验证和测试数据集的完全访问权限(第64条)。

在欧盟成员国的市场监测权有充分的理由相信该法案所涵盖的AI系统造成健康或安全的风险或保护人员的基本权利,他们将对AI进行评估有关系统以及必要时,需要纠正措施(第65条第57条)。

与GDPR类似,该法案也提供了采用行为准则的可能性。更准确地说,欧盟委员会和欧盟成员国应鼓励和便利制定行为守则,旨在(i)促进将适用于高风险人工智能系统的要求自愿应用于非高风险人工智能系统,(ii)促进人工智能系统自愿应用与环境可持续性、残疾人无障碍、利益相关方参与人工智能系统的设计和开发以及开发团队的多样性等相关要求。

(iv)制裁

最后,该法案规定了适用于该法案的某些侵权行为的若干制裁:

  • 违禁AI实践(第5条)和与数据质量有关的义务(第10条)须缴纳高达30万欧元的行政罚款,或者如果罪犯是一家公司,占全球全球总营业额的6%前一财政年度,以较高者为准。
  • 违规行为的人工智能系统与其他任何要求或义务行为比上面提到的,受制于行政罚款EUR20百万,或如果罪犯是一个公司,高达4%的全球总前一财政年度的年营业额,哪个更高。
  • 供应的不正确、不完整或虚假信息通知机构和国家主管部门回复请求给予行政罚款EUR10百万,或如果罪犯是一个公司,高达2%的全球总前一财政年度的年营业额,哪个更高。

此外,该法还规定,欧盟成员国必须列出适用于侵犯法令的有效,比例和孤立的惩罚(包括行政罚款),并必须采取所有必要的措施,以确保其适当和有效地实施。

在这方面需要注意的是,该法案没有对受人工智能系统管辖的个人的投诉系统作出规定。因此,该法的执行将完全由主管当局负责。

金博宝188转账DLA Piper正在积极监控这一关键法规和有关人工智能的讨论,并将在未来几周和几个月内推出各种指导文件、网络研讨会和分析。接下来将特别从英国的角度对该法案进行分析。