转自 赛博研究院

9月2日，欧洲政策研究中心（Centre for European Policy Studies，简称“CEPS”）发布报告《<人工智能法案>和新兴的欧盟数字保护法——重叠、差距和不一致》（The AI ACT and Emerging EU Digital Acquis——Overlaps, gaps and inconsistencies），就《人工智能法案》人工智能的定义、风险分类和相关监管补救措施、治理安排和执行规则等关键问题进行了详细的分析。

摘译 | 李秋娟/赛博研究院实习研究员

来源 | EDPS

欧盟委员会于2021年4月提出的《人工智能法案》(Artificial Intelligence Act)是一项重要的立法发展，表明欧盟正在加速监管数字技术和服务的进程。目前，在欧洲议会和欧盟理事会的讨论中，这一法案是欧洲行政部门期待已久的尝试，旨在监管广泛的人工智能应用和产品，通过风险为基的方法使其符合欧盟的价值观和基本权利。

目前欧盟层面的谈判仍在进行，欧洲立法者仍在对法案的范围、工具和治理框架进行辩论和完善，以期在2023年中期完成文本定稿，并在2024年末或2025年实施。然而，《人工智能法案》的跨领域属性和人工智能的广泛影响，使得该法案与与现行立法重叠且不一致，并可能与欧盟在平台监管、数据治理和责任等方面开展的实质性工作相冲突。

本文节选自报告的第二节和第三节，介绍了《人工智能法案》与欧盟其他数据保护法之间的重叠、差距和不一致之处，具体分解为八个关键领域，阐述了各领域面临的重大挑战，并提出了相应的立法建议。

重叠、差距和不一致

报告列出了数据保护、数字服务包、数据治理、网络安全、不公平的商业惯例、知识产权和责任承担规则这七个政策领域的重叠、差距和不一致之处，绘制了当前围绕《人工智能法案》关键层面的政策现状表格，为研究者提供了一个合适的分析框架，以探讨《人工智能法案》目前的草案文本与其他（包括即将出台的）欧盟立法之间的相互作用。

政策建议

以下是针对一些特别重要的挑战提出的政策建议，主要是为了确保《人工智能法案》的实施在监管的确定性、监管成本或法律规避可能性方面不存在明显缺陷。

1、澄清术语并使其与现有欧盟立法保持一致

对人工智能系统定义的不一致将引发重大争议。一方面，宽泛的定义可能意味着该立法会影响在欧盟市场流通的大多数软件或算法。另一方面，狭义的定义可能意味着监管要求（特别是人工智能提供商的透明度和责任方面）仅适用于人工智能系统的一个子集，这可能会导致人工智能提供商为了规避监管范围来选择次优解决方案。

因此，《人工智能法案》中人工智能系统、人工智能生命周期的参与者等定义都需要更加明确，应确保欧盟数字政策文件中的现有术语与国际商定的定义保持更高的一致性。

2、调整特定行业立法

《人工智能法案》需要与特定行业的立法进行额外的微调。正如委员会人工智能高级别专家组制定的《值得信赖的人工智能伦理准则（2019）》所强调的那样，“除了横向适用的规则外，还存在各种适用于特定人工智能应用领域的规则”。

在健康方面，需要解决有关规则与《人工智能法案》之间有限的一致性问题。例如医疗保健领域使用的某些人工智能系统应被视为高风险，因为其涉及诊断治疗、医疗处方和健康保险评估，将对健康和安全造成显著影响。

另外，在军事方面，航空、车辆、海事和铁路部门最初被排除在《人工智能法案》提案之外。因此，建议在《人工智能法案》中添加一条规定，明确法案适用于两用物项（可用于民用和军事目的的物项）的人工智能系统。

3、优化数据保护和治理规则

《人工智能法案》在数据治理及遵守GDPR规则方面产生了一定程度的混乱。《人工智能法案》的制定过程，深受增加数据共享访问和注重隐私两方观点冲突的影响。更根本的是，《人工智能法案》的目标之一是在欧盟层面增加对人工智能系统的吸纳，这本身需要访问的大量数据和较强的数据处理能力。这一目标不可避免地与欧盟数据保护法中的其他原则（如数据最小化、默认情况下的数据保护）发生冲突。

所以，法案需要界定：为满足《人工智能法案》的透明度要求而对个人数据、同高风险AI系统有关数据的处理是否合法。

4、强化《人工智能法案》风险为基的方法

《人工智能法案》遵循风险为基的方法。然而，在《人工智能法案》中，人工智能系统构成“不可接受风险”的标准并没有被明确，构成人工智能系统不可接受风险的标准尚不清楚。这一风险阈值可能必须通过未来的解释性指导加以澄清，这也与GDPR和消费者保护立法等现有法律的范围息息相关。

因此，在设定“高风险应用程序”的定义时应考虑到类似因素，例如可以将用于保险和医疗分类的人工智能系统，以及与儿童互动、影响民主进程的人工智能系统列为“高风险”。

5、更好地整合《人工智能法案》与欧盟产品安全规则

关于产品安全责任，人工智能法案借鉴了旨在确保欧盟市场产品安全的新立法框架（New Legislative Framework，简称“NLF”）。在NLF制度下，制造商必须在产品上市前通过对法律规定的基本要求进行符合性评估，以确定产品的安全性和性能，然后制造商才能在合格的产品上标上“CE”标志”。

但是这是否能够适用于人工智能系统等无形产品？规则的不明确性使人工智能供应商难以确保他们的“产品”安全。因此，《人工智能法案》应该认识到人工智能系统等非有形产品的特殊性，并在整个人工智能生命周期中对场景和环境进行区分，以更好地解决提供者和部署者之间的责任分配问题。

6、建立更强大的执法生态系统

一个统一的执法机构可以在执法中发挥协同效应和规模效应，同时减少受监管实体的行政负担和合规成本。实际上欧盟恰恰缺乏数字领域统一且强大的执法生态系统，这可能会导致重大分歧。

拟建立的欧盟人工智能委员会目前权力有限，这进一步放大了设立统一执法机构的挑战。关于执法系统，不同主体有着不同的看法：法国主张取消国家一级的监督权力的概念，将执法权赋予会员国；部分欧洲议会议员主张创建人工智能咨询委员会；而也有很多声音支持向欧盟移交比最初设想的更强的执法权。

此外，对于大多数高风险AI系统，通过自我认证流程并不能满足要求。事前第三方认证将是一个更好的选择。

最后，《人工智能法案》没有为公民单独或集体投诉人工智能系统提供足够的权利。为了弥补集体补救机制的缺失，欧洲消费者组织建议将《人工智能法案》添加到关于保护消费者集体利益的代表行动指令“2020/1828/EC”的附件中。

7、将数据传输规则与人工智能行为的既定目标保持一致

关于非个人数据国际转移的新规则可能会影响欧盟的数据流动和人工智能系统的采用。然而，欧盟对国际数据跨境的治理方法，与其加强欧洲人工智能技术发展的政治野心似乎缺乏一致性。

在2016年到现在这段时间里，欧盟对数据流动的态度发生了转变：从支持非个人数据的自由流动，转变为在现行数据法案中管理和限制数据传输。这一做法在《数据法案》（Data Act）中得以实现，其规定云服务提供商有义务防止非个人数据的国际传输，因为这种传输可能与欧盟和成员国的法律产生冲突。与此同时，欧盟数据保护委员会（European Data Protection Board，简称“EDPB”）最近发布了GDPR的新指南，更加明确了数据跨境的规则。对跨境数据流动的法律限制是合理的，但随着越来越多的国家采用数据本地化要求，实行这项规定需要大量的国际合作。

这些事态发展表明，应更好地评估数据流动的新要求对欧盟和跨境人工智能发展的影响。

8、保障科学研究工作的责任豁免权

《人工智能法案》没有为科学项目提供与GDPR第89条类似的豁免权，这可能意味着AI科学家在学术环境中发布其AI模型时，面临与人工智能提供商承担相同义务的风险。

因此，《人工智能法案》应当增加豁免条款，确保其不会阻碍人工智能系统的研发工作。只有当科学项目预计或需要将人工智能系统投放市场时，该规定才应适用。仅以科学研究为目的开发的人工智能系统不应受到该监管框架的约束。