加上上周的欧洲议会达成政治协议,推进欧盟开创性的人工智能法案(“欧盟人工智能法案”),欧洲离制定世界上第一个全面的人工智能监管框架又近了一步。然而,尽管欧盟即将成为第一个司法管辖区迈出这一步,其他国家也不甘落后。最近几个月,美国、加拿大、巴西和中国都出台了措施,说明了各自监管人工智能的目标和方法,加拿大和巴西的人工智能制度似乎在很大程度上以欧盟人工智能法案为蓝本。
在这篇博客文章中,我们概述了这些立法的发展,突出了每个国家方法之间的主要异同和趋势,并为部署重要人工智能系统的公司提供了一些考虑因素。
NIST和其他基于美国的监管计划
联邦一级
在全国范围内,与更全面的欧盟人工智能法案相比,美国在人工智能监管方面采取了分散的方法。美国对人工智能的监管在很大程度上是部门性的,由不同的机构执行,这些机构在银行、保险、证券市场、刑事司法、就业等方面拥有特定的权力。最近,消费者金融保护局、司法部民权司、平等就业机会委员会和联邦贸易委员会(“FTC”)发布了联合声明“现有的法律权威适用于自动化系统的使用”,各机构将“监督自动化系统的开发和使用”。作为美国机构利用现有监管权力的一个例子,联邦贸易委员会最近一直在提醒美国的公司误导或欺骗性营销关于人工智能产品,以及生成式人工智能的使用欺骗或操纵的目的,可能违反了《联邦贸易委员会法》。其他美国监管机构已经开始发布指导意见,说明他们对人工智能治理的期望,包括风险管理、模型测试和披露。
为了提供更广泛的指导,美国商务部的国家标准与技术研究所(“NIST”)最近发布了其人工智能风险管理框架1.0(“AI RMF”)这是一个自愿的、灵活的框架,旨在指导各种规模和部门的实体开发和使用人工智能系统。NIST的发布紧随其后白宫的人工智能权利法案蓝图这是另一个非约束性框架,旨在指导公共和私营部门使用人工智能系统。NIST的AI RMF概述了NIST认为开发和维护负责任的AI系统的关键的四个核心功能:治理、绘图、测量和管理.
州和地方两级
在州一级,我们已经以前讨论的科罗拉多州保险部门(“CO DOI”)基于风险的算法和预测模型治理法规草案如何对受监管实体施加重大的运营义务,例如要求组织确定人工智能的治理原则,由高级管理层和董事会建立监督,以及制定跨职能的人工智能治理委员会。纽约市的自动就业决策工具法(“NYC AEDT”)要求受保护的雇主每年进行独立的偏见审计,并公布审计结果的公开摘要。虽然这些法规为所涵盖的业务的期望和需求提供了更清晰的信息,但它们已经收到了来自涉众的大量批评,因为它们过于规定性,而NIST的AI RMF通过主要提供原则而不是具体需求来避免了这一点。
国际监管制度
欧洲
- 2021年4月21日,欧盟委员会发布了欧盟人工智能法案草案该法案迅速成为全球全面人工智能监管框架的领先典范。两年多来,欧盟人工智能法案草案在通过欧盟理事会和欧洲议会的过程中经历了辩论和修改。目前,该草案定于2023年5月11日进行关键委员会投票,全体投票可能在2023年6月的某个时候进行。全体表决后,该法案将通过三联程序进行进一步修改。
- 虽然最新的欧盟人工智能法案草案尚未公开,但早期的报告表明,它将包含有关生成式人工智能和基础模型的合规义务的新规则,包括几个独特的组成部分,例如要求披露模型训练数据中包含的版权作品。建议一经发布,我们将提供更多细节。
- 与欧盟人工智能法案不同,欧盟委员会于2022年9月28日发布了拟议的人工智能法案人工智能责任指示这将降低受到人工智能相关产品和服务伤害的个人的举证障碍,并使提起民事责任索赔变得更容易。由于立法者专注于最终确定《欧盟人工智能法案》和《欧盟产品责任指令》的相关修正案,人工智能责任指令的发布时间可能会推迟。
加拿大
- 2022年6月,加拿大政府提出了人工智能和数据法案(“AIDA”),作为《数字宪章实施法案》C-27号法案的一部分。《阿依达》仍在制定中,预计在2025年之前不会实施,之后的某个时间才会执行,但立法者计划在《阿依达》中采用的方法已经很明确。
- 与欧盟人工智能法案一样,AIDA将对人工智能系统的用户和开发人员实施一套基于风险的控制措施,其中大部分义务强加给风险最高(或“高影响”)的人工智能。这些包括透明度要求和风险管理系统,以识别、评估和减轻高影响力人工智能系统的危害风险。
- 然而,与《欧盟人工智能法案》相比,《人工智能法案》仍然存在一些空白,立法者打算通过未来的监管来填补这些空白。这包括“高影响力”人工智能的定义,以及将被彻底禁止的人工智能用例清单。
巴西
- 2022年12月,巴西参议院法学家委员会分发了他们的第一份草案拟议的人工智能法律框架(“人工智能框架”或“框架”),并将其提交国会审议。
- 根据委员会的说法,巴西的人工智能框架将具有双重目的.首先,与欧盟人工智能法案和AIDA类似,它将制定基于风险的监管控制措施,对指定的高风险人工智能系统(这一类别与欧盟人工智能法案的指定有很大重叠)的提供商施加广泛的要求,包括质量和风险管理程序、测试和文件要求以及透明度。
- 巴西的人工智能框架还将为受人工智能系统影响的巴西人创造一套个人权利。例如,根据《巴西框架》第5条,个人将有权对人工智能系统产生的任何决定或建议进行解释;对这些决定或预测提出质疑的权利;以及在此类系统中不受歧视和纠正偏见的权利。
中国
- 去年,中国发布了一系列监管声明。最近,在2023年4月11日,中国互联网信息办公室(“网信办”)发布了《生成式人工智能服务管理办法(《中国办法草案》),旨在管理和规范在中华人民共和国境内提供服务的生成式人工智能产品的研究、开发和使用。特别值得注意的是,中国的《办法草案》将在生成式人工智能产品向公众提供之前对这些产品进行安全评估。
- 中国的《办法草案》将对生成式人工智能的提供者提出要求,主要针对个人保护和个人权利。这包括提供者(我)采取措施确保这些系统不会产生歧视性内容,包括对其培训数据的具体要求;(2)在此类系统中使用个人信息时获得同意;(3)设立机制,接收和处理用户对使用其资料的投诉;和(4)按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》进行安全评估。
- 而中国的《办法草案》具体适用于生成人工智能,这些数据保护、非歧视和风险评估要求的主题与其他司法管辖区目前正在考虑的更广泛的人工智能框架是一致的。中国的《办法草案》还强调了中国政府特别关注的问题,包括要求人工智能产生的内容反映“社会主义核心价值观”,不得颠覆国家政权、推翻社会主义制度、煽动国家分裂或破坏国家统一。
公司可以做些什么准备
在全球范围内采用人工智能进行核心业务运营的公司应考虑以下步骤,为新兴的人工智能监管环境做好准备:
- 识别和评估风险最高的人工智能应用。新出台的人工智能法规的核心是,一般要求公司确定其高风险的人工智能应用,评估风险是否过高,如果过高,要么停止应用,要么实施足够的缓解措施,将风险降低到可接受的水平。能够有效地评估和降低人工智能应用风险的公司,正朝着基本遵守许多新兴的人工智能法规的方向发展。
- 风险因素和评估。创建风险因素列表,将人工智能应用划分为低风险或高风险,并确定如何评估人工智能应用的风险,以及可能的缓解措施列表。这允许组织优先考虑其风险最高的人工智能应用程序进行审查。
- 库存。为了能够识别高风险的人工智能应用程序,大多数公司需要一个清单,其中包括有关人工智能应用程序的足够详细信息,以便能够评估其风险。
- 负责任的执行或跨职能委员会。确定一名执行人员或建立一个跨职能委员会,审查高风险人工智能应用,并在必要时实施缓解措施,使其能够继续使用。该人员或委员会还可监督人工智能政策的实施,并就人工智能合规和治理问题向高级管理层或董事会报告。
- 跟踪监管发展。跟踪主要司法管辖区的人工智能监管发展,使公司能够确定未来的义务,这些义务将特别繁重地遵守,因此它可以开始收集资源,并花时间在生效日期之前实现合规。
订阅数据博客,请点击这里.
的Debevoise人工智能监管跟踪器(“DART”)现在可以帮助客户快速评估并遵守其当前和预期的人工智能相关法律义务,包括市、州、联邦和国际要求。
这篇博文的封面是由DALL-E制作的。
