标题摘要内容
当前的位置:
详情
全球首部AI法案——欧盟《人工智能法案》你想知道的都在这儿了~
来源: | 作者:LRQA | 发布时间: 2024-02-04 | 6363 次浏览 | 分享到:

图片

图片来源于网络

随着人工智能(AI)几乎渗透到我们生活的方方面面,世界各国政府正在考虑采取措施在国家层面规范其部署。欧盟处于这一运动的最前沿,颁布了管理人工智能开发和使用的开创性法规。


这项立法于2021年首次提出,根据人工智能系统的风险状况对其进行分类,区分禁用不可接受的风险类型、重点监管高风险类型、有限风险或轻微风险类型以及低风险类型。


这个全面的框架为整个欧盟的通用人工智能系统和基础人工智能模型制定了临时规则。

在历经马拉松式谈判后,欧洲议会、欧盟成员国和欧盟委员会三方于8日晚就《人工智能法案》达成协议,该法案将成为全球首部人工智能领域的全面监管法规。


基础知识


  • AI的定义:人工智能系统是一种基于机器的系统,为了明确或隐含的目标,从接收到的输入推断如何生成输出,例如预测、内容、建议、或可能影响物理或虚拟环境的决策。不同的人工智能系统在部署后的自主性和适应性水平各不相同。

  • 适用:域外向欧盟提供AI系统和服务的公司也适用这个法规

  • 豁免:国家安全、军事和国防;研发;开源(部分)

  • 合规宽限期为6-24 个月


广泛的范围和基于风险的要求


鉴于人工智能解决方案和应用范围广泛且不断变化,《欧盟人工智能法案》对人工智能的定义同样广泛:基本上,任何在欧盟部署的基于数据的驱动系统,无论其开发地点或数据来源如何,都将受其监管。对于凭借如此广泛的定义,欧盟采取了基于风险的方法来监管人工智能,对不同的风险等级实施不同的要求。


四种AI系统风险类型的划分


  • 禁用不可接受的风险类型


被认为对人类构成威胁的人工智能系统属于不可接受风险的类别。例如:


  1. 社会评分系统

  2. 旨在操纵儿童或其他弱势群体的系统

  3. 实时远程生物特征识别的系统

以上这些系统是被禁止的。


  • 重点监管高风险类型


对安全或基本权利产生负面影响的人工智能系统属于高风险。高风险可分为两个子类别:


  1. 人工智能系统用于欧盟产品安全法规范围内的产品,包括玩具、航空、汽车、医疗设备和电梯等。


  2. 需要在欧盟数据库中注册的八个领域的人工智能系统:

  1. 自然人的生物特征识别和分类

  2. 关键基础设施的管理和运营

  3. 教育和职业培训

  4. 就业、工人管理和自主创业

  5. 获得和享受基本私人服务、公共服务及福利

  6. 执法

  7. 移民、庇护和边境管制管理

  8. 协助法律解释和法律适用


高风险系统必须在上市前和整个生命周期内进行评估。


  • 有限风险或轻微风险类型


有限风险类型的人工智能系统,是指使用者在应用系统时能够意识到在与人工智能互动,且使用者仍然能以自己的判断做出明智的决定。该风险类型的人工智能系统在欧盟法案的监管框架下有较高的自由度,投放市场或投入使用前无需取得特殊的牌照、认证或履行繁杂的报告、监督、记录留存等义务。当前市场上常见的聊天机器人、文字和图片识别及生成软件、AI伴侣等大多属于此一风险类型。


  • 低风险


而未归类在不可接受的风险、高风险或有限风险类型的其他人工智能系统,都属于轻微风险类型。该风险类型的人工智能系统没有特殊的干预和审查制度,但提供者可自愿建立各行业的行为准则。


图片


合格评定


  • 合格评定(CA)有两种方式:内部评估或第三方评估。顾名思义,内部合格评定由供应商(或行为责任人)进行,而第三方合格评定则由外部“指定机构”进行。 

  • 《人工智能法》第43条对此提供了更明确的指导,说明了哪些情况需要进行内部合格评定,哪些情况应通过第三方CA。本操作步骤指南也为每个程序提供了更详细的步骤说明。

  • 鉴于专业上市前认证机构在产品安全领域的丰富经验以及所涉及风险的不同性质,至少在本法规实施的初始阶段,限制第三方合格评定对与产品相关的高风险人工智能系统的适用范围是适当的。因此,此类系统的合格评定应作为一项一般规则由提供商在其自己的责任下进行,唯一的例外是拟用于人员远程生物识别的人工智能系统,在不禁止的情况下,应预见到通知机构参与合格评定。



推荐阅读




如何将高风险系统的合格评定付诸实践


如前所述,合格评定的目标是验证高风险系统是否符合《人工智能法》中规定的七项要求,即风险管理、数据治理、技术文档、记录保存、透明度义务、人工监督以及准确性、稳健性和网络安全。


除非另有规定,否则应在人工智能系统投入使用或进入市场之前满足所有这些要求。一旦系统投入使用,供应商还必须确保在系统的整个生命周期内持续合规。 


在评估这些要求时,需要考虑系统的预期使用目的,以及可合理预见的系统滥用情况。