欧盟抢跑AI治理，《人工智能法案》的下一步是什么？

　　欧洲议会的人工智能法案联合负责人将3月13日形容为“历史性的一天”。

　　当地时间13日，欧洲议会以 523 票赞成、46 票反对、49 票弃权的压倒性优势通过《人工智能法案》（以下简称“《法案》”），并公布了法案的文本。

　　受访专家指出，相比今年1月非正式公开的文本，本次官方公布的内容实质变动不大。在通用人工智能系统、生物识别、国家安全等条款进行了一定调整。顺利通过议会后，《法案》面前又少了一个关卡。如果4月29日通过欧盟理事会的批准，预计法案将在5月、6月开始生效。

　　欧盟或许再次成为了数字科技领域的全球标准制定者。

　　实质内容已定稿

　　“欧盟的人工智能法是个比较重要的立法样本。”对外经济贸易大学数字经济与法律创新研究中心执行主任张欣指出，整体而言，欧盟对人工智能的立法规制思路仍然与之前一脉相承，即基于风险的分类分级治理。

　　根据欧洲议会官网公开的法案，基于不同的风险，AI系统被分为四个类别：分别是完全被禁止、高风险、有限风险、低风险的AI系统。

　　完全被禁止的AI应用有六类，比如在公共场所面部识别，用AI在工作或学校识别情绪。值得注意的是，此前争议颇大的生物识别，最终没有被完全禁止。当执法人员需要追踪严重犯罪者、预防恐怖主义时，如果获得了司法或行政授权，仍然可以在公共场合使用面部识别技术。

　　更为大众熟悉的ChatGPT、Gemini等基础模型，可能被用于各种目的，因此属于“典型的通用目的人工智能（General Purpose AI, GPAI）” 它们必须额外满足一些透明度要求，比如遵守现行的欧盟版权法，发布训练数据的详细摘要。

　　据媒体报道，版权条款是《法案》“游说最激烈”的一部分，来自不同立场的观点不断碰撞，难以达成一致。同济大学法学院助理教授、上海市人工智能社会治理协同创新中心研究员朱悦认为，版权问题的争议围绕一个问题：人工智能企业的训练内容披露，究竟要详细到何种程度？

　　“媒体、作家等版权人可能会认为，既然自己的数据已经被使用，AI企业就应该尽量详细地公开相关信息；但另一端的模型开发者则会认为，一方面，训练数据的选择、配比等是企业的商业秘密，不可能全盘公开；另一方面，Sora这类顶尖的大模型，其训练数据很可能是高质量的私有数据，公开可能会对企业造成商业上的负面影响。”

　　“说实话，在详细的行为守则或者指南出来之前，或者在重要案例判决之前，欧盟在版权问题上的实践究竟会做到什么程度很难说清楚。”他表示。

　　法案还重点指出，人工智能系统的部署者和提供者都负有对人造或操纵生成的图像、音频或视频内容（深度伪造品，deepfake）明确标记的义务。

　　“目前官方在这个问题上的监管态度还比较审慎。”朱悦指出，一般来说，这种标识可以通过水印、标识、元数据等方法来实现。从技术成熟度上来看，图片的明水印、暗水印技术已经逐步成熟，但文字内容如何做好水印标识可能还需进一步探索。“可能还需要有配套的行为守则对技术手段等进行指导。”

　　要不要监管基础模型，也曾是此前的核心争议。各自拥有明星AI初创公司的法国、德国，在去年12月突然对基础模型的监管提出异议，一度让《法案》的谈判陷入僵局。在本次欧洲议会的新闻发布会上，被问到法国Mistral公司的游说情况，以及游说是否削弱了《法案》对基础模型的监管力度，欧盟内部市场专员蒂埃里·布雷顿驳斥了这一说法。他强调：“这是游说力度最大的立法之一，但欧盟顶住了压力。”

　　在朱悦看来，本轮后文本显示，欧盟对于GPAI的监管力度不算太强。“主要是披露义务和一些常规的自律义务，很可能此前来自产业界等多方的游说在这方面还是产生了一定影响。”

　　而张欣认为，对基础模型的规制思路，以及对风险的认定和评估，是本轮法案值得借鉴的亮点。此次法案中提出，依据一定的指标和基准对通用人工智能模型的影响能力进行评估。“生成式人工智能是一个技术族群，不同的模型所能带来的风险和影响不可一概而论。这种通过训练使用计算量、模型技能获取效率、通用性分析以及数据丰富度、算法效率和模型通用性维度并结合特定模型基准而构建的基础模型分层治理思路有一定参考价值。”

　　在她看来，无论是今天的生成式人工智能还是即将出现的AI Agent（人工智能体），治理的关键节点都在基础模型环节。因此欧盟的分层治理是其尝试统筹发展与安全和精准治理的思路之一。

　　评估细化、框架融合等难题待解

　　脚步渐近，人工智能法案迈向下一步的路上。受访专家指出，新规则与旧制度的融合、新风险与旧框架的冲突，都是接下来执法要面对的难题。

　　张欣指出，一方面，欧盟需要思考，人工智能法如何与已经生效的人工智能责任指令、产品责任指令、通用产品安全法规、GDPR、《数据治理法》《数字市场法》以及《数字服务法》之间构成的庞大的规范体系相衔接，避免法律规则之间的冲突与重叠；另一方面，虽然以风险分级作为基础治理思路，但是人工智能的风险呈现动态性特征，即使欧盟制定了更新评估的机制，但是仍然可能面临滞后与评估偏差的风险。此外，风险评估和基础模型分层评估所依赖的评估机构体系和评估生态尚在雏形之中，未来如何高效运作，能否实现立法者的预期也是未定之数。

　　“未来落地的挑战还十分艰巨。”她表示。

　　《法案》之后，新的机构和规则是否也将陆续跟上？

　　21记者发现，欧盟相关的机构和规则配套的进度也在逐渐加快。今年年初，成立欧洲人工智能办公室(AI Office)的决定发布，这一办公室将作为通信网络、人工智能内容和技术总局行政架构的一部分，其职能主要包括促进人工智能系统的实施、监测和监督以及人工智能治理。目前，该办公室的人员协调已经展开。

　　在规则方面，《产品责任指令》（Product Liability Directive，以下简称“《指令》”）和《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）的进一步适用都值得关注。

　　在朱悦看来，GDPR中包含了多类个人数据，而AI的成长和运行都与数据脱不了干系。“GDPR在人工智能领域的适用有可能对AI实践产生非常大的影响。”

　　《产品责任指令》的重要性也不可小视。朱悦认为，《指令》多处表明，构成软件，进而构成产品的人工智能将是其规制的重要对象。一般来说，民事诉讼中大多数时候依循“谁主张、谁举证”的原则，但《指令》在诉讼权责分配方面有特别的规定，如果原告能证明系统存在科学上的复杂性，则其举证责任可能降低。针对AI从业者，《指令》也有相对“人性化”的条款，比如“发展抗辩”——如果损害的发生来自AI企业在当前科技水平不能预见、不可克服的风险，则企业有可能免除责任。

　　欧洲议会法律工作联合负责人在新闻发布会上表示，夏季议会选举后，可能会出台更多与人工智能相关的立法和细则。