欧盟人工智能法规近期有新动向。6月21日,欧洲数据保护委员会(EDPB)和欧洲数据保护监管局(EDPS)就欧盟今年4月发布的人工智能法规草案发表联合意见,进一步呼吁禁止使用人工智能在公共场所自动识别个人特征,包括人脸识别、步态、指纹、DNA、声音等生物或行为信号。联合意见还对数据保护进行了多重强调,建议将成员国的数据保护机构(DPA)指定为国家监管机构,并提出赋予EAIB更大的自主权等。该意见将对哪些方面产生影响?最终的人工智能法规?严格的欧盟立法的目的是什么?对我国有何借鉴意义?多位专家告诉21世纪经济报道记者,该规定有很多考量,联合发表意见可能导致法律收紧,但对欧盟立法的目的和借鉴意义看法不一。无论如何,随着人工智能日益成为数字化转型和生态环境未来的重要支撑,将成为各国研判、构建人工智能法律治理框架和自治体系的必由之路。呼吁禁止在公共场所进行人脸识别与欧盟今年4月提出的人工智能法规草案(以下简称草案)一样,实时远程生物识别技术也成为此次联合意见的重点。“作为一种实时远程生物识别技术,欧盟这里讨论的人脸识别与我们狭义上的想法不同,它强调的是‘公共场所监控’的概念,欧盟对此尤为反感。”“对外经济贸易大学数字经济与法律创新研究中心执行主任许旭向21世纪经济报道记者举了一个例子。在商店中安装用于人脸识别的摄像头属于此类。危险在于个人在他们不知情或未明确同意的情况下受到监控。短距离人脸识别,比如刷脸进入社区或者进入学校,不在欧盟的限制范围内。此前,该草案全面禁止欧盟范围内的不分青红皂白的大规模监视,只有三种特殊情况可以豁免:寻找失踪儿童、消除恐怖袭击威胁、在法律允许的范围内追捕特定犯罪嫌疑人。违反者将面临3000万欧元或年收入6%的行政罚款。但据称规则仍为该技术留有余地,39名欧洲议会议员已签署抗议信。在一份联合意见中,EDPB和EDPS呼吁欧盟禁止在公共场所使用人工智能自动识别人体特征,包括面部识别、步态、指纹、DNA、声音、点击和其他生物或行为信号。此外,联合意见还建议禁止根据种族、性别、政治或性取向等对人进行分类或用于社会信用评分,禁止利用人工智能推断自然人的情绪。EDP??B主席安德里亚·耶利内克(AndreaJelinek)和Wojciech表示:“如果我们想保护自由,就必须为人工智能创建一个以人为本的法律框架,全面禁止在公共场所使用人脸识别,这是一个必要的起点。”EDP??S主任Wiewiórowski。生物识别意味着人们不能再匿名,实时面部识别等应用侵犯了人们的基本权利和自由,需要监管机构立即采取预防措施。无独有偶,英国ICO监管机构近期也关注了实时人脸识别技术。在6月18日的一篇博文中,信息专员伊丽莎白·德纳姆(ElizabethDenham)表达了对人们在公共场合实时扫描和处理人脸的隐私风险以及实时人脸识别与社交媒体或其他大数据相结合的担忧。“在实时面部识别的6次ICO调查中,其主要用途包括解决公共安全问题和针对人群进行个性化广告,但实际上线的系统都没有完全符合数据保护法,这些系统已经停止使用它的技术,”她说。在美国,政府部门和校园的人脸识别禁令已经落地。自旧金山于2019年5月颁布法令禁止警察和其他政府机构使用人脸识别技术以来,萨默维尔、奥克兰和波士顿以及纽约和弗吉尼亚等城市都颁布了类似的禁令。亚马逊、微软、IBM等大公司也暂停了人脸识别业务。强调数据保护作为欧盟的数据监管机构,EDPB和EDPS在联合意见中多次强调数据保护。例如,应该澄清的是现有的欧盟数据保护立法,例如《通用数据保护条例》(GDPR)、《欧盟数据保护代表条例》(EUDPR)和《数据保护执法指令》(LED)适用于AI法规草案范围内的任何个人数据处理.人工智能法规草案将人工智能应用分为四个风险等级:不可接受、高、有限和低,适用于不同的法规。联合意见表示支持这种基于风险的分类方法,前提是“基本权利风险”应与欧盟数据保护框架保持一致,并建议评估和减轻自然人群体的社会风险。此外,遵守包括保护个人数据在内的欧盟法律义务,被认为是带有CE标志(欧盟安全认证标志)的产品进入欧洲市场的先决条件。“人工智能的技术本身就依赖于数据。”许说,生物识别是一种特殊类型的数据,称为个人敏感信息。在北京师范大学国家法治研究中心执行主任吴申阔看来,欧盟数据保护立法一向很全面,联合意见恰恰重申了这一立场。这不仅体现了欧盟将数据保护作为一项基本权利的重视,也表明了欧盟在面对未来数字治理时,各机构间充分调整和协调的态度。除了法律规定,EDPB和EDPS还希望向数据监管机构“扩权”。针对草案第59条要求指定国家主管部门以确保人工智能法规的顺利实施,联合意见建议指定成员国的数据保护主管部门(DPA)为国家监管部门。由于DPA已经根据GDPR和LED执法,这将确保统一的监管方法和一致的法律解释。联合意见还对欧盟委员会指定在欧洲人工智能委员会(EAIB)中发挥主导作用的草案提出质疑,认为这与建立一个不受任何政治影响的欧洲人工智能机构的需要相冲突,并提议给予EAIB拥有更大的自主权,以确保它能够独立自主地行事。“这将带来三个层面的影响:一是现有数据保护机构的执法态度、监管阵地和执法工具的应用将进一步扩大;与此相关的是,数据保护方面相对严格的监管态度也会进一步扩大。”延伸到人工智能领域;第三,未来人工智能的治理规则将在很大程度上基于或围绕数据治理规则。吴申阔说。他指出,治理人工智能有三个可行思路,一是控制算力,二是聚焦算法,三是聚焦数据。这三者是人工智能的基本要素。从联合意见来看,EDPB和EDPS希望从数据保护的角度来影响人工智能的治理生态。“从数据出发,既可以发挥现有系统的优势,又可以拥有相对成熟的人力和机构支持。而且,就影响力而言,控制数据可以撼动全球数字生态。这就是欧盟的力量。”吴审阔说道。它将在多大程度上影响AI监管?回顾欧盟人工智能立法的过程,EDPB和EDPS的联合意见可能只是一个小插曲。早在2018年3月,有欧盟智库之称的欧洲政治战略中心就发布了一份题为《人工智能时代:确立以人为本的欧洲战略》的报告,解读了欧盟在人工智能领域的最新发展状况。同年4月,欧盟委员会发布政策文件《欧盟人工智能》,提出欧盟人工智能之路。2019年,欧盟人工智能高级别专家组制定了《可信人工智能指南》,2020年制定了《可信人工智能评估清单》。2020年2月,欧盟发布《人工智能白皮书》,提出了人工智能研发和监管的一系列政策措施,以及“可信赖的人工智能框架”。直到今年4月21日,欧盟提出了人工智能法规草案。按照欧盟的立法程序,人工智能法规的最终版本最早要等到明年。那么,这份联合意见究竟能引起多大的轰动呢?李克表示,草案本身就是各方妥协的产物。在去年底最初披露的相关消息中,实时远程生物识别被要求在一定时间内禁止或禁用。但当时遭到各方抵制,终稿后退了一步。并没有完全禁止,而是提出了评价、审慎开发等诸多限制条件。吴申阔认为,起草人工智能法规的团队虽然与欧盟数据保护法团队不同,但考虑因素也不同。但是,作为欧盟数据保护的职能机构,EDPB和EDPS关注欧盟各项数据保护法规的实施。他们基于现行有效法规的意见对面向未来的人工智能及其法规具有更大的影响。他进一步分析,从人工智能发展的角度来看,需要一个相对宽松的监管环境,但目前欧盟的数据保护法律体系相对严格,这在欧盟内部造成了一种分歧和紧张。“这也是对欧盟立法者的考验,如何在现有制度的约束下,为人工智能的发展提供或留下必要的空间,体现了高水平的立法智慧。”上海交通大学数据法研究中心执行主任何源也认可了EDPB和EDPS的建议对人工智能法规的重要影响。“未来监管会越来越严格,尤其是在公共场所使用远程人脸识别技术的‘例外’会不断收紧,政府不可能通过这项技术来提高管理效率。”但他也强调,更严格的措施可能并不意味着完全禁止,而是更严格的程序约束和更高的合规要求。或为国内产业争市场数字经济时代,人工智能发展迅猛。据中国电子学会2020年预测,2022年全球人工智能市场规模将达到1630亿元人民币。2021年1月25日,美国科技创新智库“信息技术与创新基金会”(ITIF)发布了以《谁将赢得这场人工智能竞赛?中国、欧盟还是美国?》为标题的2021年报告,构建了人才、科研、应用、数据硬件六大类指标。100分评分系统系统地分析了美国、中国和欧盟的人工智能能力。报告发现,美国在人工智能整体领域仍遥遥领先(44.6分),中国在一些重要领域继续缩小与美国的差距(32.0分),欧盟仍落后(23.3分)。“欧盟的人工智能法规走在世界前列,是第一次全面系统地立法进入人工智能治理领域。”吴申阔评价说,这一方面是为了保障公民的基本权利,另一方面也在一定程度上减缓了具有国际竞争力的企业发展,为发展争取时间和市场空间。自己的人工智能产业。”执法积累了丰富的经验和案例,但市场地位不如中美两国,在技术和企业管理上没有独立的资源。法律手段成了唯一的选择。可以充分发挥系统的溢出效应,对包括中美在内的数据产业和生态产生影响。吴慎括进一步分析。何源还表示,欧盟在人工智能领域的立法其实与过去GDPR的制定是一致的。严格的监管规定可以让它占据道德的制高点,从而在与中美的谈判中占据优势。同时,相当于变相给予欧盟小企业政府补贴。“因为小企业受监管影响远小于大企业,而国外大企业进入欧盟市场不得不增加合规成本。”何源说。许可方面发表了不同意见。他认为,人工智能的监管范围很窄,仅体现在远程监控,而人脸识别等技术的应用远不止于此。它必须得到基础数据的支持。否则只能拍到人,无法获取个人身份信息。因此,监管受政府约束较多,对企业影响有限。“人工智能不同于GDPR,它只能控制国内企业,不具有跨国管辖权。数据的跨国管辖权有两个重要的出发点。一是数据不能流出欧盟,欧盟本身就控制着数据;二是就是如果要进入欧盟贸易,就必须遵守GDPR,许可解释有布鲁塞尔效应,企业普遍遵循一致的标准来保护和管理数据,因此欧盟的管辖权可以间接影响欧盟以外的企业。他指出,欧盟立法的核心是推动、实施和维护自身的人工智能价值,没有强烈的经济目的。中国有什么可以借鉴的?在中国,滥用人脸识别技术,如远程实时监控也很严重,比如频繁曝光的售楼处人脸识别,315晚会等商家科勒卫浴安装摄像头窃取客户人脸识别信息。安全需要,并设置显着提示标志。人脸识别国家标准草案还指出,在公共场所采集人脸识别数据时,应设置数据主体主动配合,防止人脸数据在不知情的情况下被采集。天津、南京、杭州、深圳和其他地方也陆续发售监管人脸识别。以深圳为例,在《深圳经济特区公共安全视频图像信息系统管理条例(草案)》严格限制安装摄像头。规定宾馆客房、医院病房、宿舍、公共浴室、厕所、更衣室、哺乳室等可能泄露公民隐私的场所和区域,禁止安装系统。单位和个人安装公安视频图像信息系统,应当以自身安全需要为限。对我国而言,欧盟立法的借鉴意义是什么?李克说,这启发了我国严格规范远程监控,尽可能缩小范围。“我建议设置一个二维码,让人们知道人脸识别的目的、方式和内容,以及行使权利的方式和存储数据的时间,提高个人信息的透明度。”何源认为,欧盟对人工智能中国的严格监管是基于其产业发展的选择,我国不一定非要效仿。“如今,欧盟的立法已经朝着一刀切的方向发展,即使欧盟在审查GDPR的制定时,也意识到了问题。他们提出‘裁判永远赢不了比赛’,希望参与其中。”作为运动员。”何源表示,“自由市场、强化监管”的模式更适合中国的发展。从合规而非严禁的角度,督促企业做好数据合规制度,完善公司治理体系,防范风险。吴慎括提出三个方面可以借鉴。一是欧盟针对特定场景的利益平衡规则设计;二是明确监管机构设置,改变我国九龙治水监管格局;三是特别注重典型执法案例的打造,不仅仅关注条文执法过程中,还要关注其对法律条文的进一步解读。“在人工智能日益成为数字化转型的重要支撑和重要生态环境的时代大趋势下,尽快研判构建人工智能的法律治理框架和自治体系具有重要意义。成为全球数字治理的关键角色。规则,战略制高点的重要抓手。我们需要在人工智能立法研究上下功夫。两年后,当数据成为日常规则时,我们可能很少谈及个人信息保护或数据立法,人工智能只是面临着更大的风险和威胁。”吴审阔说道。
