未來已經到來？歐盟人工智慧法規草案概述

作為「歐洲資料戰略」^[2]的一部分，AI 法規草案旨在為歐盟內的 AI 法規制定黃金標準。^[3]雖然目前建議中的法規仍在討論中，且有數千項修正提案，但預計將於 2022 年秋季通過。^[4]一旦通過，人工智慧法規將於公布二十天後生效，並為歐盟內提供或使用人工智慧系統的所有組織留出 24 個月的過渡期，以執行相關措施與義務。

本文將概述 AI 法規草案及其對全球組織的影響。

適用範圍

AI 法規草案將具有 GDPR 式的域外效力，適用於 (第 2 條)：

• 在歐盟行銷或在歐盟投入 AI 系統服務的提供者；
• 歐盟境內的 AI 系統使用者；以及
• 在歐盟境內使用其輸出的人工智慧系統的提供者與使用者。

AI 法規草案將「提供者」一詞定義為開發 AI 系統或已開發 AI 系統，以期以自己的名稱或商標將其投放市場或投入服務的人（第 3 條）。應注意的是，任何經銷商、進口商、使用者或其他第三方若有下列情形，即視為提供者 (第 28 條)：

1. 以自己的名稱或商標在市場上推出人工智慧系統；
2. 修改現有 AI 系統的預期用途；或
3. 對 AI 系統進行重大修改。

使用者」一詞被定義為在其授權下使用 AI 系統的人，除非該 AI 系統是在個人非專業活動過程中使用 (第 3 條)。

值得注意的是，人工智慧法規草案提供了一個橫向的法規框架。^[5]現有的技術法規、法律、標準、規範等在大多數情況下適用於特定產業，並未針對這些技術透過硬體與軟體系統的實施。建議中的法規將嘗試橫向規範人工智慧，因此獨立於使用個案^[6]。

人工智能的定義

建議中的《規例》並未列出人工智能的定義。相反，它提供了人工智能系統的定義（第 3 條）：

「人工智能系統」（AI system）是指使用附件一中列出的一種或多種技術和方法開發的軟件，該軟件能夠針對一組特定的人類定義目標，產生影響與之交互的環境的內容、預測、建議或決定等輸出。

附件一中的技術和方法清單包括機器學習方法、邏輯和基於知識的方法以及統計方法。

AI 法規草案中過於廣泛的 AI 系統定義已獲得各利益相關者的批評。雖然人工智慧法規草案的最終版本仍有待觀察，但有些國家提出了較狹義的人工智慧定義，並增加了兩項要求：系統能夠「學習、推理或以技術與方法實現的建模」，同時也是「產生系統」，直接影響其環境^[7]。

人工智能系統的種類與相關合規要求

AI 法規草案將 AI 系統分為四類：不可接受風險的 AI 系統、高風險的 AI 系統、有透明度義務的 AI 系統，以及最低風險的 AI 系統。

不可接受風險的人工智慧系統(第 5 條)：舉例來說，違反歐盟價值，並對人們的安全、生計和基本權利構成明顯威脅的人工智慧做法，被視為不可接受風險系統。人工智能法規草案不允許這樣的系統。

高風險 AI 系統(第 6 條)：以下類別的人工智慧系統屬於此類別：

1. 生物辨識系統；
2. 可能危及公民生命和健康的關鍵基礎設施；
3. 教育或職業訓練，可能決定某人的受教育機會和職業生涯；
4. 產品的安全元件；
5. 就業、工人管理及自僱；
6. 必要的私人和公共服務；
7. 執法、司法和民主程序；
8. 移民、庇護和邊境管制管理。

高風險人工智慧系統的提供者必須遵守下列實質義務：

1. 建立並執行適當的風險管理與減緩系統 (第 9 條)；
2. 勤勉地管理資料和資料治理，包括訓練和測試使用資料的高風險 AI 系統 (第 10 條)；
3. 建立並提供使用者技術文件 (第 11 條)；
4. 為主管機關提供詳細的記錄 (第 12、20 條)；
5. 以明確與足夠的資訊來滿足使用者 (第 13 條)；
6. 提供適當程度的人工監督 (第 14 條)；
7. 注意準確性、穩健性和網路安全 (第 15 條)；
8. 建立適當的品質管理系統 (第 17 條)；
9. 對高風險人工智慧系統的效能進行上市後監控 (第 61 條)。

高風險人工智慧系統的提供者也必須遵守下列程序義務：

1. 提供者應確保其高風險人工智慧系統完成所謂的 「符合性評估」，才能在市場上提供或投入服務（第 19 條）。生物辨識系統的符合性評估應由相關的 「通知機構 」進行（附件七）。對於所有其他類型的高風險 AI 系統，供應商可以進行自我評估（附件 VI）；
2. 一旦高風險人工智慧系統通過符合性評估，提供者應擬定符合性書面聲明 (第 48 條)，在高風險人工智慧系統文件上附上符合性 CE 標誌 (第 49 條)，並在歐盟資料庫中註冊高風險人工智慧系統 (第 51 條)；
3. 提供者應在高風險人工智慧系統發生「嚴重事故」或「故障」後 15 天內向相關主管機關報告 (Art.62)。

相較於提供者，高風險人工智慧系統的使用者受到有限的要求。推而廣之，他們必須確保依照高風險人工智慧系統的使用說明，監控高風險人工智慧系統的運作，並保留高風險人工智慧系統所產生的日誌記錄（第 29 條）。

有透明度義務的 AI 系統 (第 52 條)：聊天機器人或冒充機器人屬於此類。此類系統的提供者必須確保其設計與開發方式能讓自然人得知他們正在與人工智能系統互動。

風險最小的人工智慧系統(第69條)：由人工智能啟動的電子遊戲或垃圾郵件過濾器都屬於此類。這類 AI 系統沒有合規要求。目前在歐盟使用的絕大多數 AI 系統都可定義為最低風險 AI 系統。

制裁

違反 AI 法規草案規定的義務，將依據違規類型處以量化罰金 (第 71 條)。

對於以下兩種違法行為，違法者（提供者和/或使用者，如適用）最高可被處以 30,000,000 歐元的行政罰款，若違法者為公司，則最高可被處以上一財政年度全球總營業額的 6%，以較高者為準：

• 將不可接受風險的 AI 作業方式推出市場、投入服務或使用 (第 5 條)；
• 不遵守高風險人工智慧系統的資料管理規定（第 10.4 條）。

對於不遵守上述要求和義務以外的其他要求和義務，違規者最高可處以 20,000,000 歐元的行政罰款，若違規者為公司，則最高可處以上一財政年度全球年營業額總額的 4%，以較高者為準。

AI 法規草案還規定了對未能應任何要求向通知機構和國家主管機關提供正確、完整或準確資訊的制裁。如果屬於這種情況，違法者將被處以最高 10,000,000 歐元的行政罰款，如果違法者是公司，則最高可處以其上一財政年度全球年度營業總額的 2%，以較高者為準。

對企業的影響

AI 法規草案為所有經濟領域的產業在 AI 領域的合規義務設定了高標準。麥肯錫 (McKinsey⁾進行的一項全球調查顯示，許多組織在滿足即將實施的《法規》潛在合規要求方面遠遠落後，因為只有 38% 的組織正積極處理人工智能領域的合規風險。這將需要必要的技能組合和資源，從而提升合規專業人員的角色。企業可能會擴大其合規團隊，並聘請更多具有此特定背景的專業人員。對於外部法律顧問的需求也將增加。