歐洲《人工智能法》草案解構

2021年歐盟《AI統一規則條例（提案）》發布，2023年歐洲《人工智能法案》草案（《法案》）發布，在諸如數據和個人信息保護、人工智能等領域，歐洲堪稱立法先驅，進行著“足以稱為當前世界範圍內最為系統的人工智能立法探索”。
《法案》提出了適用於人工智能系統的一般原則，對各方主體及其義務、高風險人工智能系統基本權利影響評估、評估的程序方式要素、人工智能相關治理等進行了豐富的闡述。《法案》結構龐大內容繁雜，本文將摘錄其中部分條款進行評析。

一、人工智能風險等級及相應監管

各風險等級詳解

禁止類：主要包括“實質性地扭曲人類行為，從而有可能發生身份或心裡傷害”為目的的人工智能系統；根據已知或推斷的敏感或受保護的特征將自然人歸入特定類別的人工智能系統，其中“特征”包括性別、性別認同、種族、民族血統、移民或公民身份、政治取向、性取向、宗教、殘疾等；為一般目的提供自然人社會評分的人工智能系統，從這種人工智能系統獲得的評分可能導致與其社會行為的嚴重性不成比例或不合理的不利待遇；根據自然人的畫像或者個性特征和特點的數據分析，預測實際或潛在的刑事犯罪或其他社會危害行為的人工智能，包括欺詐預測系統；不加區分地地從社交媒體或閉路電視錄像中爬取生物識別數據的人工智能系統等。但同時禁止類的人工智能還能系統中，也有特例存在，即附條件的使用：在非公眾可進入的區域，或在執法過程中，事先獲得司法授權且在與已經發生的特定嚴重刑事犯罪有關的目標搜索嚴格需要的情況下，可使用人工智能系統對自然人進行遠程生物識別。

高風險類：高風險的人工智能系統並未被禁止，但其開發和使用受到嚴重限制，並只允許在進行了“符合性”評估戶才能進行。歐洲議會、理事會、委員會的認定範圍會有一些不同。《法案》附件中列出了高風險領域和使用情況清單，同時指出這個清單應定期評估、長期審查。這些高風險AI系統主要包括關鍵基礎設施的管理和運營、教育和職業培訓就業，工人管理和自營職業的準入、移民庇護邊境管理等。

二、高風險人工智能提供者、使用者的義務

作為提供者的自然人或法人應對高風險人工智能系統的投放市場或投入使用負責，而無論該自然人或法人是否是涉及或者開發該系統的人。

在人工智能系統的整個聲明周期中，應建立、實施、記錄和維護與高風險人工智能系統有關的風險管理系統。

實施適當的數據治理和管理以確保高質量的訓練、驗證和測試數據集，確保高風險的人工智能系統按預期安全地運行。

保證隱私權和保護個人數據的權利，這些措施不僅包括匿名化和加密，還包括數據傳輸、數據複制等的限制。

對高風險人工智能系統保持記錄並提供技術文件，其中包括評估人工智能系統是否符合相關要求的必要信息、能源消耗信息。其中所有人工智能類產品均應在開發、訓練和部署階段進行能源和資源消耗方面的記錄。

遵守無障礙要求，確保殘疾人與其他人一樣獲得信息和通信技術，並確保尊重殘疾人的隱私。

信息明示（包括標示名稱、商標、地址、聯系信息等，加貼CE標志）、完成合格評估等。

除此之外，《法案》還要求高風險人工智能系統提供者建立質量管理制度、制定糾正措施等。

三、監管沙盒

1、什麼是“監管沙盒”

有關監管沙盒的條款見於《法案》第五章“支持創新的措施”中。每個成員國均應在國家層面至少設立一個監管沙盒，其向所有符合資格的人工智能系統潛在申請者開放，主要用於為AI系統提供一個受控的環境，在有限的時間內促進創新人工智能系統的開發、測試和驗證。其設立目的是通過官方資源保證對AI系統的指導、促進和監管，保證AI系統符合《法案》及成員國相關規定。

值得注意的是，AI沙盒中的潛在AI提供者雖需對因在沙盒中進行實驗而對第三方造成的損害承擔責任，但只要該潛在提供者尊重相關條款和條件並善意地遵循當局指導，監管當局將不會對違反本條例的行為進行罰款。

2、監管沙盒的局域性

監管沙盒使得人工智能系統開發者在一個“密閉”的環境中對產品進行部署和測試。沙盒背景下處理的任何個人數據都在一個功能獨立、隔離和受保護的數據處理環境中，由潛在的供應者控制，並且只有特定授權的人才能接觸到這些數據；沙盒背景下對個人數據的處理並不會影響數據主體的措施和決定，也不會影響他們在歐盟法律中的個人信息權利。

結語

除以上內容外，認證、處罰、監管機構及其職責等也是AI法律研究者關注的熱點，因篇幅有限，此次不做詳細介紹。