欧盟提出《人工智能法》，扼杀自己的AI初创企业？

企业罚金最高达年营收6%。

监管人工智能，需要担心矫枉过正吗？数字科技监管走在前列的欧盟，又推进了一步。 4月21日，欧盟委员会公布了《人工智能法》的草案（下称AI草案），这也是第一个人工智能法律框架。

这是欧盟第二次在数字科技领域设立具有普遍规范性的监管法案，此前欧盟颁布的《通用数据保护条例》（GDPR）在2018年开始实行。

上海申伦律师事务所律师夏海龙对全现在表示：无论是GDPR，还是这次的AI草案，都主要体现了欧盟意欲在全球科技监管扮演领导角色的目的，都会给相关企业带来沉重的合规压力和法律成本。

在罚款上，此次的草案也比GDPR更进一步。GDPR对违法企业的罚款金额高达年营业额的4%，而AI草案的对应数字则是6%。

欧洲适应数字时代的执行副主席玛格丽特·维斯塔格（Margarethe Vestager）在欧盟的申明中表示，“有了这些具有里程碑意义的规则，欧盟正带头发展新的全球规范，以确保人工智能可信。”

玛格丽特·维斯塔格（Margarethe Vestager）

如何定义“AI”、风险分级？

这次草案的一大特色是以风险等级来分类AI，区别监管。遵循“基于风险”的方法，草案将人工智能系统分成四种等级：不可接受的风险、高风险、有限风险和低风险。

其中，有“不可接受风险”的人工智能被禁止使用。比如，除非绝对必要，出于执法目的在公共场所使用实时远程生物特征识别系统被禁止。不可接受风险是指“对人们的安全、生计和权利”有明显的威胁。

人脸识别是应用最广泛的生物识别，“实时远程”则意味着，不需要某个人知晓，系统即可马上对个人身份等相关信息作出判断。

人脸识别是否可以应用于执法一直是对AI技术边界的争议点。美国旧金山市、马萨诸塞州此前已经通过地方立法禁止警方和 ********* 机构使用人脸识别软件。

对比之下，欧盟草案对执法使用人脸识别留有空间。在寻找失踪儿童等特殊受害者、处理紧急人身安全或恐怖袭击、定位特定嫌疑人等情况下可以破例使用。在特别紧急的情况下，甚至可以先使用再请求授权。

在欧盟内部，如何限制“远程实时生物识别”也存在不同声音。在草案公布之后，有40名欧盟议员，批评草案对这一技术网开一面。纽约大学信息法研究所的高级研究员凯特·克劳福德（Kate Crawford）认为，“远程实时”这样的定义限制，其实默许了执法者使用其它的AI系统。

英国爱丁堡大学讲师，伯明翰大学博士后科技法研究员李汶龙表示，“以风险为基础的四级治理体系，或许同时是它的优点和问题所在。”

他分析：优点在于形成系统的治理框架，禁止明显有害的AI应用，同时促进明显无害、有利公益的AI发展，位于中间的绝大部分的AI应用受到有力的监管和充分的评估；但是，带来的一个难题是如何准确或公正地将AI分类，举例而言，在欧盟的AI 法案中，deep fake没有被认定为高风险就广受诟病。

来源：CFP

也有人认为法案对“AI”本身的定义就含混不清。

伦敦大学学院的计算机荣誉副教授朱利安·科尼比斯（Julien Cornebise）认为，新的法案不一定会产生类似GDPR的影响，这是由于AI的定义非常宽泛，而且一直发生变化。他曾经在谷歌DeepMind 团队工作过六年，“我们的手机每天都在做20年前被认为是‘AI’的事情。这就存在风险，可能导致法规迷失在定义中，或者很快过时。”

依据草案，监管的对象为“人工智能系统”，是一类特殊软件，这类软件“能够针对一组特定的人类定义的目标，产生如内容、预测、建议或影响其互动环境的决定的输出”。这些软件所涉及的技术和方法，则列在“附件一”中。考虑到AI应用的快速发展，委员会可以对附件一进行修改。

夏海龙告诉全现在：按照这个描述来看，从输入法的单词预测到各种App的自动推送、从语音助手到地图导航，几乎所有常见的互联网服务都会被纳入或部分纳入监管范围。

李汶龙分析，很明显这次欧盟委员会针对的主要是基于机器学习的“高级”人工智能，但对AI系统的定义却尽可能宽泛，几乎涵盖了所有传统和新兴的技术，这跟几年前欧盟在GDPR中宽泛地定义个人数据的进路如出一辙。

全面监管约束发展？

全面监管是否会约束欧洲人工智能的发展？

在英国高伟绅律师事务所伦敦办公室的律师斯瓦尼克（Herbert Swaniker）看来，实际上GDPR迫使其它国家寻求新的、更高要求的国际标准。“对AI法规，我们可以同样期待。”随之而来的是科技公司在欧洲所面临的压力，这意味着经济成本和人力投入，这些提议将迫使供应商从根本上重新思考人工智能的获取和设计方式。

商业上的大部分AI应用都落入了“高风险”的分类中，比如人脸识别、与人相关的AI评估系统、以及与自动驾驶相关的交通基础设施。这些系统进入市场前会需要满足一系列要求，比如充分的风险评估、确保记录可追溯等。

同时，法案中也提出了兼顾技术创新的举措。这受到了欧洲数字中小企业联盟的欢迎。“AI监管沙箱”为程序提供隔离环境，从而进行开发和测试。欧洲数字中小企业联盟认为，这将允许小型企业在不用担心受到责备的情况下，用AI进行试验和创新。

夏海龙介绍，GDPR实施以来，有影响力的执法几乎全都集中于谷歌、Facebook等美国互联网巨头身上。“若此次法案最终通过，相信这一特点会更加明显。”

数据创新中心的高级政策分析师本杰明·穆勒(Benjamin Mueller)认为，新的要求会让在欧洲建造人工智能的成本过分高昂、甚至是技术上不可行。“美国和中国将饶有兴致地看着欧盟扼杀自己的初创企业。”

在不少媒体看来，相较于美国和中国，欧洲在人工智能方面被看做是监管超前，却发展滞后。而此次的AI草案似乎会进一步加强这一局面。

李汶龙对全现在表示：这是一个纯以经济为视角看待法律的伪命题。监管只有在问题发生之前才有意义，因此必须超前；发展不应该成为AI治理的唯一目标（甚至不应是主要目标）。AI系统的潜能、危害和社会影响，我们有太多的未知，只能依赖于法律制度提供足够的时间和空间，进行评估、测试、学习以及制定对策。因此，让发展不至于过快是法律（人）的使命。

“与其去担心监管超前可能对科技创新或者经济造成的影响，我觉得我们更应该关注这些不完美、易出错的科技对于个人和社会带来的影响——这是目前国内公共讨论中非常缺失的元素。”