近年来,以信息技术为基础的新一轮科技革命方兴未艾,人工智能(AI)广泛应用于人类社会生活不同领域,促进相关产业链发展,同时也滋生诸多风险与挑战。为有效应对人工智能带来的风险与挑战,世界主要国家和地区陆续制定人工智能监管制度。从共性来看,人工智能监管以风险分级治理为基本理念,以伦理审查、算法治理、内容治理、数据安全、竞争执法、行业监管等作为主要抓手,确保人工智能安全、可信、可控。我国作为人工智能研发与应用大国,应适当借鉴人工智能国际监管最新成果,控制相关领域风险并提升人工智能全球治理的话语权。
人工智能监管的全球维度
当前,人工智能监管往往以“软法”形式存在,其中《布莱切利宣言》较具有代表性。2023年11月1日至2日,首届全球人工智能安全峰会在英国举行,峰会发布《布莱切利宣言》。该宣言将前沿AI风险的监管重点分为三个方面。一是识别共同关注的AI安全与风险,构建以科学和证据为基础的风险识别方法与机制,拓展关于AI对人类社会深远影响的思考与认知范围。二是不同国家应根据不同风险级别制定相应监管制度以确保安全与发展,鼓励适当情况下的国际合作,同时理解不同国家可能因国情和法律框架不同而采取不同的监管制度与方法。三是除了提高私人机构在前沿AI开发方面的透明度要求外,还应制定合理的评估标准,推广安全测试工具,促进公共部门提升相关能力,鼓励科学研究。
人工智能监管的区域维度
2024年8月正式生效的欧盟《人工智能法案》,是全球第一部针对人工智能衍生风险而制定的监管法案,有助于提升欧盟在人工智能全球治理进程中的话语权。该法案根据人工智能对健康、安全和自然人基本权利存在的潜在风险,对其进行风险分类并设置不同法律义务与责任,主要内容如下:(1)不可接受的风险,禁止任何企业或个人等市场主体进入该领域;(2)高风险,允许相关主体在履行事前评估等义务后,进入市场或使用,同时要求事中、事后持续监测;(3)有限风险,无须取得特殊牌照、认证或履行报告、记录等义务,但应遵循透明度原则,允许合理的可追溯性和可解释性;(4)低风险或最低风险,相关主体可自行决定是否进入市场和使用。对于生成式人工智能,由于其没有特定目的并且可应用于不同场景,故不能基于一般操作模式对其进行风险分级,而应当按照开发或使用生成式人工智能的预期目的和具体应用领域进行区分。需要说明的是,该法案要在人工智能实践中予以落实和执行,仍存在技术等方面的不确定性。
人工智能监管的国家维度
美国以行业管理标准为主,辅之以必要的部门立法。自2016年以来,美国不断加大监管人工智能的力度,相继通过多部相关监管法律制度和指南。2020年11月,美国正式发布《人工智能应用监管指南》,提出美国联邦机构在制定人工智能应用立法时,应当考量的十项基本原则,包括风险评估与管理、公平和非歧视及公开与透明等要求。在《国家人工智能倡议法案》的推动下,美国成立国家人工智能资源研究工作小组,负责调查美国发展AI研究网络、基础设施的可及性和可供咨询特征,并在2023年1月发布《加强和民主化美国人工智能创新生态系统:国家人工智能研究资源实施计划》,旨在构建一个更加普遍、系统的AI研究网络基础设施体系。其目标包括:鼓励创新,增加人才供给多样性,提高管理能力,确保人工智能应用的安全、可控、可信。2023年1月,美国国家标准与技术研究院公布《人工智能风险管理框架》,用于指导组织机构在开发和部署人工智能系统时降低安全风险,避免产生偏见和其他负面后果,提高人工智能可信度,保护公民的公平自由权利。
英国制定人工智能政策白皮书。2023年3月,英国新设的科学创新与技术部公布了一份政策白皮书,即《创新型人工智能监管》(A pro-innovation approach to AI regulation),通过简化创新审查、制定监管相关风险与威胁等措施,促使英国在人工智能全球治理进程中发挥建设性作用。该白皮书提出以下五项监管原则:(1)安全与稳健性;(2)透明度和可解释性;(3)公平;(4)问责和治理;(5)可竞争性和补救。然而,AI供应链(包括算法、数据库、参数设计、训练模型设计等)通常是不透明的,这使其风险监管和问责措施难以在现实生活中执行。
韩国立法与行业监管相结合。从2019年的《国家人工智能战略》到2020年的《完善人工智能法律法规监管路线图》,再到2023年的《数字权利法案》等法律制度相继出台与生效,足以说明韩国正在持续完善人工智能监管体制机制。其中,尤其值得关注的是《促进人工智能产业和建立可信人工智能框架法案》。这项立法基于“先采用技术后监管”原则扶持AI技术发展,对高风险AI领域提出具体监管要求,包括强制要求事先通知用户,确保系统可信度和安全性等。此外,《信用信息使用和保护法》规定,信用数据主体有权要求相关数据控制者对自动化评估和决策作出解释,包括提交有利信息的权利、要求更正或删除基本信息的权利等。《个人信息保护法》规定,自动化决策对数据主体的权利或义务产生重大影响的,数据主体有权拒绝自动化决策,并要求相关数据控制者作出解释。即使自动化决策不会对数据主体的权利或义务产生重大影响,数据主体也可以要求数据控制者对自动化决策作出解释。
完善我国人工智能监管体系
妥善处理人工智能创新、发展与安全之间的关系,是国际社会监管人工智能的重要考量。当前,须在总体国家安全观的指导下,完善我国人工智能监管体系。
首先,划分风险等级,构建不同风险等级的监管制度。纵观前述全球、地区和国家的人工智能监管制度,可以发现以下两方面共同特征。一方面,系统评估人工智能应着重分析人工智能系统在使用中可能产生的潜在风险并逐一进行排查,比如训练数据的偏差、系统的稳健性、信息安全的防护等具体问题;另一方面,根据人工智能应用领域的差异而开展不同维度的风险评估,比如医疗领域AI应用比消费者推荐系统AI应用风险更高,应适用更严格且系统的风险评估。人工智能企业应提前布局,组建内部人工智能风险治理委员会,及时研判人工智能在数据、技术和应用等层面的潜在风险,逐步建立有效的风险预警与应急管理体制机制,采取分类分级监管等简便、有效方式,积极探索人工智能设计、研发、投入市场、运行维护等全流程评估验证机制,持续提升人工智能风险管控和处置能力。
其次,搭建资源平台,促进跨学科专家学者和实务界人士共同研究,构建AI安全应用方案。当下,我国应加大资源投入和搭建资源平台,聚集更多专家学者和实务界人士共同研发和改进人工智能,这有助于提升我国科技实力在全球的排名,并能够促进我国经济社会高质量发展。《生成式人工智能服务管理暂行办法》第5条、第6条明确了我国鼓励和发展生成式人工智能的立场和方案。比如,支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等,在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。今后,可以进一步出台相关行业规范和实施细则,推动此项方针政策依法有序落地。
最后,多措并举优化人工智能监管体制机制。一是建立健全科学、合理、公开和透明的人工智能监管体制机制,加强对人工智能的设计问责和应用监督的双重监管。二是充分实现对人工智能算法设计、产品开发和成果应用等全过程监督,督促人工智能行业及企业自律。以个人信息数据及隐私保护为核心,保护公民的个人信息和数据安全。三是减少偏见因素,确保技术中立,强化人工智能治理机构之间的协调性和能动性,建立多元有序的规制体系。
作者:徐超(中国社会科学院信息情报研究院副研究员)
