《人工智能法案》即将出台

fabiha01

对于那些看到机器人煮咖啡就会自动想到《太空堡垒卡拉狄加》等科幻系列的人来说，这一场景可能会让他们感到不舒服。

让机器人按照程序制作咖啡是一回事，但让它们自学这项技能则是另一回事。鉴于当前有关武器系统中人工智能 (AI) 的讨论，评估人工智能的潜在风险并制定应对这些威胁的策略非常重要。

联合国大会也认识到了这一全球挑战，并于2024年3月21日通过了A/78/L/49决议（关于负责任地使用人工智能的该决议的新闻稿概述了其内容。它呼吁各国不要使用与国际人权不相容或对人权构成重大风险的人工智能技术。建议为人工智能的安全、可信使用创造框架条件。

在欧洲，欧盟（EU）已经在制定这样的法规。根据欧盟委员会2021年提出的《人工智能法案》（2021/0106（COD），简称AI法案），欧洲议会于2024年3月13日通过了关于该《人工智能法案》的立场（P9_TA(2024)0138）。在此之前，议会和理事会之间进行了谈判，根据新闻稿，谈判于 2023 年 12 月结束。作为最后一步，理事会现在必须通过议会通过的文本，预计这将在 6 月欧洲选举之前完成。

《人工智能法案》的内容
起点是议会三月份通过的文本。

《人工智能法案》适用于民用人工智能应用，并影响在欧盟内部市场运营的所有人工智能系统运营商（《人工智能法案》第 2（1）条）。它不适用于军事应用或纯粹的研究和开发工作（《人工智能法》第2条第3款和第6款）。该法案强调，它并不能取代《GDPR》（《人工智能法案》第 2（7）条）。这也明确适用于根据第 14 条与自动决策相关的权利。 22 GDPR。

此外，《人工智能法》明确要求运营商确保有关员工具备足够的人工智能能力水平（《人工智能法》第 4 条）。

它还对人工智能系统进行了具体的分类：禁止的人工智能实践、高风险的人工智能系统和一般的人工智能模型，并对具有系统性风险的人工智能系统作出了特殊规定。

AI领域的禁止行为
人工智能法第5条规定了禁止人工智能的区域。禁止的行为包括但不限于操纵技术、剥削他人、加拿大商业传真列表 歧视性评估以及没有明确理由的某些形式的面部识别和情绪分析。

这项禁令主要针对以下技术：

旨在在未经他人有意识同意或不知情的情况下影响或操纵他人的技术；
利用他人的弱点或脆弱性；
根据人们的社会行为或个人特征对其进行评估，导致其处于不利地位或处于不利地位；
面部识别技术，无论是通过不加区分地读取互联网上的图像还是监控记录；
在没有医疗或安全原因的情况下，在工作场所或教育机构中提取情绪等敏感信息；
使用生物特征数据根据种族、政治观点或性取向等敏感特征对个人进行分类，但执法目的除外；
在公共场所使用面部识别等实时远程识别系统，除非为了调查严重犯罪（绑架、人口贩卖）或避免危险（寻找失踪人员、恐怖袭击威胁）绝对有必要。根据 GDPR 第 6 条关于敏感数据的要求。 9 还必须遵守 GDPR。
高风险人工智能系统
第二类涉及所谓的高风险系统（《人工智能法》第 6 条）。如果人工智能系统（例如 B.）要用于以下领域（《人工智能法》附件三），则人工智能系统将被归类为此类：

作为游艇、摩托车、电梯、缆车或防护设备等产品的安全组件或一部分；
作为生物识别远程识别系统或用于情绪识别；
在关键基础设施框架内；
确定进入或进入职业培训机构的资格；
评估学习成果或教育水平；
监视或检测学生在考试期间的违禁行为；
提供包括卫生服务在内的基本公共服务和福利；
在执法、移民领域、边境管制方面，只要联盟或国家法律允许使用。
上述AI用例只要不对人类构成重大风险，就不被视为高风险。也就是说，如果人工智能的使用旨在改善人类的工作，而不是取代或影响人类的工作。此外，如果人工智能不进行独立评估，而只进行准备活动，然后由人类进行评估，则使用风险较小。然而，在上述应用领域对自然人进行分析时，人工智能系统始终具有很高的风险。

如果提供商认为其人工智能系统不属于高风险系统，则必须记录其评估结果，并根据要求提交给主管部门审查。

对于被归类为高风险的人工智能系统，必须建立风险评估和管理体系。这意味着，该风险管理系统必须永久存在，以监控和评估人工智能系统，正如《人工智能法》第 9 条所要求的那样。

该风险管理系统包括以下步骤：

识别和分析相关使用中对健康、安全或基本权利的可预见风险；
对适当使用或可预见的误用所产生的风险的评估和评价；
市场推出后的进一步风险评估；
实施降低风险的措施。
风险管理的主要目标是确保每个重大风险都被认为是可接受的。这意味着在使用数据训练人工智能系统时，这些数据必须满足一定的质量标准。这些标准包括数据收集程序和有关数据来源的信息。如果数据是个人数据，则收集该数据的最初原因也必须明确，如《第 14 条》所述。 10 人工智能法案。

有必要为每个高风险人工智能系统准备技术文档。该文件必须清楚、全面地证明该系统符合《人工智能法》的规定（《人工智能法》第 11 条）。此外，必须建立一项功能来记录可能对个人的健康、安全或基本权利构成风险的事件（《人工智能法》第 12 条）。此日志承诺贯穿人工智能系统的整个生命周期，以确保持续的监控和问责。

此外，高风险系统的提供商必须履行进一步的义务，例如有效的人工监督（也可以停止系统）（《人工智能法》第 14 条）、在网络安全背景下的稳健性以保护数据（《人工智能法》第 15 条）以及确保遵守《人工智能法》的质量管理体系（《人工智能法》第 17 条）。高风险系统的运营者必须确保其运营采取了适当的技术和组织措施。

数据保护影响评估和基本权利影响评估
此外，《人工智能法》第 26（9）条规定，运营商必须根据 GDPR 第 35 条定期开展数据保护影响评估。