2021年4月21日,欧盟委员会针对人工智能技术发布了监管法规草案(Laying Down Harmonised Rules on Artificial Intelligence and Amending Certain Union Legislative Acts,下称“《人工智能法案》”或“法案”),在这项草案中,人工智能的一系列应用范围都受到了不同程度的限制,例如人工智能领域最具代表性的技术应用之一生物特征识别(包括人脸识别)就被规定为应禁止的人工智能实践,仅可在特定情况下使用。
一、中国企业应该关注这部欧盟的新法案吗?
根据这部草案第2条规定,该法案适用于:“(a) 在欧盟中投放市场或将AI系统投入服务的提供商,无论这些提供商是在欧盟内部还是在第三国建立的;(b) 位于欧盟内的AI系统的用户;(c) 位于第三国的AI系统的提供者和用户,该系统产生的输出在欧盟中使用”。很显然,与欧盟另一部自2018年5月起生效的法案《通用数据保护条例》(“GDPR”)类似,这部法案也规定了域外效力,适用于在欧盟中投入服务或对欧盟产生影响的服务提供商,无论该服务提供商是否在欧盟境内。因而这部法案也被不少人称之为受GDPR成功经验所启发的下一部GDPR。
因而,如该法案最终能够得到通过并实施,其将很大程度上对其他法域的人工智能行业产生显著影响,包括对于旨在欧洲发展业务的人工智能行业的中国企业肯定会产生重大影响,中国企业应当慎重评估自身业务形态与使用的技术是否在该法案的禁止或限制的范围内。
此外,尽管根据欧盟委员会于2020年2月19日在布鲁塞尔发布的、旨在促进欧洲在人工智能领域创新能力与核心竞争力的《人工智能白皮书》,欧盟拟在未来10年中每年在欧盟吸引200亿欧元的人工智能技术研发投资与应用资金,但该《人工智能法案》的面世很显然会引发拟进军欧洲相关领域的中国投资人的担忧,该法案对于其既定的商业目标与战略发展规划可能存在不确定性,因而持续关注这部法案的立法进程在目前阶段来看是很有必要的。
该法案项下对“人工智能系统”采用了基本定义+列举的开放式定义,即列于该法案附件一中的“对于给定的一组人类定义的目标,可以生成诸如内容、预测之类的输出,影响与其互动的环境的建议或决策”的技术,包括机器学习技术、基于知识以及逻辑的分析技术以及数据分析技术等。这其中,人工智能技术根据风险等级被划分为了几类,对于不同风险级别的人工智能实践规定了不一样的合规义务:
1. 禁止的人工智能实践,包括以个人无法认知的方式部署潜意识教化技术严重扭曲一个人行为的技术,利用特定人群的任何脆弱性实质性地扭曲与该人群有关的行为的技术,或是对自然人的信誉进行评估或分类的技术,以及上文提及的出于执法目的在公共场所使用实时远程生物特征识别系统技术。其中,对于生物特征识别技术,该法案仅规定了寻找特定的潜在犯罪受害者(包括失踪儿童)、预防对自然人的生命或人身安全或恐怖袭击、以及侦测定位犯罪嫌疑人几项例外,为了前述目的的使用均应当事先获得司法当局或政府的批准;
2. 高风险人工智能系统,包括根据欧盟相关法律规定(参见该法案附件二),安全组件为人工智能系统的产品、必须经过第三方合格评定,以根据欧盟统一标准将该产品投放市场或投入使用的系统,以及该法案附件三规定的关键基础设施运营、教育及职业培训等使用场景。委员会可以通过增加满足符合法定条件的高风险人工智能系统使用场景来更新附件三中的列表;
3. 具有透明性义务的人工智能系统(相对风险较低的系统),包括与自然人互动的方式设计的系统,情绪识别系统或生物特征分类系统,以及生成或操作图像、音频或视频内容的人工智能系统。
上述立法模式是否会得到中国立法机关及行政主管部门的借鉴也有待我们继续关注。目前为止,中国并未对人工智能进行统一的立法规制,而是以个人数据为抓手,在所涉及的各个细分领域里通过单独的禁止或限制性规定进行分类管理,详见我们以下第二部分概览。
二、中国目前涉及生物信息识别/人工智能相关立法文件概览
生物信息识别是人工智能应用的一个重要方面。包括人脸识别在内,绝大多数人工智能技术均离不开对于个人数据以及个人信息的采集,因为人工智能技术一般都是建立在数据分析以及算法之上的。以人脸识别为例,人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术,包括面部解锁、刷脸支付等具体应用均离不开具体个人脸部的五官位置、脸型等数据的收集与分析,最终识别判断用户的身份。换言之,对个人数据的收集与处理进行相对严格的法律规制,实际上就是从源头上控制了人工智能的应用场景。如果不考虑正在拟议中的《人工智能法案》,欧盟目前的立法模式就是类似思路。GDPR中,能够识别或确定自然人的独特标识(例如脸部形象或指纹数据)的生物识别数据作为敏感数据进行了更严格的管控,并且数据主体有权反对完全依靠自动化处理(包括用户画像)对数据主体做出具有法律影响或类似严重影响的决策,比如为了评估数据主体的工作表现、经济状况、健康、个人偏好等而进行的处理。
中国同样采取了类似的以数据管控为核心的规制模式。例如,2021年5月17日,广东省人大常委会召开了《广东省社会信用条例》新闻发布会,宣布《广东省社会信用条例》经过两次审议,于今年3月18日通过广东省十三届人大常委会审议,将于6月1日起施行。关于该条例,禁止采集生物识别信息的规定就引起了多方关注。事实上,包括该条例在内,目前中国已有一系列法律文件涉及了生物识别信息的收集以及人工智能算法等问题 ,具体而言:
随着著名的“人脸识别第一案”于2021年4月9日迎来终审判决,杭州市中级人民法院判决删除当事人此前为办理指纹年卡时提交的面部特征信息和指纹识别信息,越来越多的人会对为社会生活带来福利的人工智能/人脸识别技术的使用边界进行思考,我们会持续关注是否会因此催生更多相关立法文件,尤其是类似欧盟《人工智能法案》这样对于人工智能领域进行系统性梳理的高位阶的立法性文件。
三、未来已来还是作茧自缚?对于人工智能法律规制的一些浅见
随着欧盟《人工智能法案》草案的出台,欧盟构建的数据合规立法体系又进入了新的一页,但在此之前该草案是否能够通过并最终付诸实行也将经过漫长的讨论方才可以知晓。由于涉及多个国家不同法域的法律协调、以及多方既得利益主体商业模式的洗牌等问题,欧盟的数据立法总是需要经过数年时间方才可以落实,该法案想来也不能例外。此前GDPR就经过了超过四年时间、经过欧盟委员会(European Commission)、欧洲议会(European Parliament)以及欧盟理事会(Council of EU)三方多轮会谈(Trilogue)方才成型,这还是在此前已有一部实施了多年的欧盟数据保护指令(95/46/EC)作为基础的结果。而在GDPR生效三周年之际,原本期待与GDPR同时生效的欧盟《电子隐私法规》草案(E-Privacy Regulation)仍然在审议中,是否通过至今仍是未知数。
相比于以往,这部《人工智能法案》草案似乎招来了更多反对的声音,毕竟GDPR已经让欧盟成为了世界上对于数据领域以及科技行业最激进的、最严格的监管主体,而《人工智能法案》似乎要更进一步。不少人担忧这部法案所带来的严苛的监管环境无异于作茧自缚,这会让欧盟企业再也无力追赶美国以及中国在该领域内的竞争对手。
但事实真的如此吗?宽松的监管法规是否是行业发展的必要条件,人工智能行业是否就必须被放任野蛮式生长方才能让整个行业乃至社会从技术发展中获得最高的福祉。越来越多的案例已经让人们反思技术的发展和使用与个人权利的冲突边界问题,民众对个人隐私的保护意识都在不断增强,对于技术的滥用、尤其是涉及个人敏感权利领域的技术发展进行强监管是各国法律与监管环境发展的大势所趋。即便是在人工智能第一强国美国,包括纽约、波士顿、华盛顿、弗吉尼亚以及诸多互联网巨头企业的总部加州等地近两年也不断出台立法性文件,对人脸识别以及生物信息识别等进行限制,防止技术的不断发展对公民的隐私及自由造成侵害。此外,《加州隐私权保护法案》(CPRA,将于2023年1月取代现行有效的CCPA)也对敏感个人信息的收集进行了特别规定。
因此,对相关领域进行越来越严格的立法限制是全球范围内不可逆的浪潮,中国也不能例外,这也是为什么我们近年来看到越来越多的法律文件开始强调个人信息与个人数据合规,以及对于人工智能以及生物信息识别领域开始了更多的关注,以利好政策换取行业的快速发展这样的模式在人工智能行业领域并不具备长期生存的土壤。相信未来还会有更多的征求意见稿出台,也会有更多人意识到用隐私换取便利并不是唯一以及必然的选择。
此外,一个很显而易见的事实是,中国企业长期存在出海以及全球化发展的需求,这也使中国需要与包括欧盟及美国在内的其他法域的法律合规要求进行对接。而在一个全球化的环境中,不同国家的法律,随着国际交往日益发展的需要,会逐渐相互吸收、相互渗透,从而趋于接近甚至趋于一致的现象,即国际私法领域中的法律趋同化现象。一个很直接的例子就是,《个人信息保护法(草案二次审议稿)》等立法文件就借鉴了包括GDPR在内的其他国家数据立法的一些思路与经验。我们相信在人工智能行业也同样不会例外。
一个正在快速发展的行业究竟需要怎样的监管法规,这是立法机关以及主管部门需要考虑的问题。从数据主体的角度,我们认为无论选择怎样的监管模式,在确保技术安全的情况下,都应当对数据主体的个人权利给予足够的尊重、在其充分理解知悉、不存在歧义的情况下赋予其以个人意思作出对技术的选择自由。正如《人工智能法案》草案宗旨中指出的,唯有确保法律上的确定性,加强对适用于人工智能系统的基本权利和安全要求的现有法律有效执行和治理,才能更好的促进行业与市场发展。戴姆勒董事会主席兼梅赛德斯-奔驰汽车集团全球总裁康林松此前也曾指出人工智能的四项基本原则:合理利用;可解释;保护隐私;安全且可靠。
对于企业而言,除了及时跟进快速更新的行业监管政策以及适用的法律法规之外,还应当关注该领域内全球范围的立法趋势,以求未雨绸缪,占得先机。