【前沿技术杂谈：迁移学习】欧洲人工智能法案对人工智能开发者的意义 [2023 年 12 月更新］

【前沿技术杂谈：迁移学习】欧洲人工智能法案对人工智能开发者的意义 [2023 年 12 月更新］

TL;DR AI 窥视，准备迎接冲击！欧盟人工智能法案即将推出，这是世界上第一个关于人工智能的立法。想象一下 GDPR，但对于人工智能来说。向“基础模型”和“通用人工智能系统”（GPAI）的法律定义问好。该法案为人工智能实践铺平了道路，强制披露，并强调“值得信赖的人工智能开发”。疯狂的旅程还不止于此——我们还有义务要遵循，“高风险人工智能系统”要仔细审查，以及谁是镇上新的人工智能警长的悬念。坚持住；这是人工智能立法的一个全新世界！

欧洲议会最近投票通过了《欧盟人工智能法案》，这是世界上第一部关于人工智能的立法。该立法旨在禁止具有“不可接受的风险水平”的系统，并为开发人工智能系统并将其部署到生产中建立护栏，特别是在有限风险和高风险场景中，我们稍后会讨论。就像 GDPR（哦，我们怎么不喜欢“接受 cookie”横幅）一样，该立法从采用（2016 年 4 月 14 日）到可执行（2018 年 5 月 25 日）花了几年时间，该立法必须经过双方之间的最终谈判。在我们更明确具体的执行时间表之前，我们需要先与各个欧盟机构进行磋商（所谓的“三部曲”）。

作为一名人工智能产品开发人员，你可能最不想花时间去理解和遵守法规（毕竟你应该考虑一下法律学位，呵呵），所以我决定熬夜阅读完整的《人工智能法案》——是的，全部 167 页，概述了在您着手将第一个人工智能产品推向市场时需要关注的要点。

我将在这篇文章中介绍的立法的主要部分和相应的部分是:

• 定义、一般原则和禁止做法 - 第 3/4/5 条
• 固定和通用人工智能系统和规定 - 第 3/28 条
• 高风险人工智能分类 - 文章 6/7
• 高风险义务 - 第三章（第三章）
• 透明度义务 - 第 52 条
• 治理和执行 - 第六章/第七章

是时候拿起那杯 ☕ 并准备好处理一些合法的样板文件了 🤡

定义、一般原则和禁止做法

与大多数欧盟立法一样，《人工智能法》起源于欧盟的一系列委员会。该法案是两个机构的心血结晶，即欧洲内部市场和消费者保护委员会（“IMCO”）和公民自由、司法和内政委员会（“LIBE”），这两个委员会似乎比开发人员更喜欢冗长的缩写词，它们于 2021 年 4 月 21 日首次通过欧盟委员会提出了该法案。

既然我们已经解决了这个问题，下面我们就来谈谈人工智能的一些法律定义🎉。

除了定义 “人工智能系统”（刻意保持中立，以涵盖尚未知晓/开发的技术）外，立法者还区分了 "基础模型 "和 “通用人工智能系统”（GPAI），在最近的版本中被采用，以涵盖可应用于广泛任务的模型开发（与固定用途的人工智能系统相对）。法案草案第 3(1)条规定，"人工智能系统 "是指

…使用[特定]技术和方法开发的软件，可以针对一组给定的人类定义的目标，生成影响其交互环境的内容、预测、建议或决策等输出。

值得注意的是，IMCO 和 LIBE 委员会已将其对 AI 的定义与 OECD 的定义保持一致，并在其文章中提出了 GPAI 和基础模型的以下定义：

(1c)“基础模型”是指在广泛的数据上进行大规模训练的人工智能模型，专为输出的通用性而设计，并且可以适应各种独特的任务

(1d)“通用人工智能系统”是指可用于并适应多种应用的人工智能系统，但并非有意和专门设计的

这些定义涵盖闭源和开源技术。这些定义很重要，因为它们决定了您属于哪个类别，以及您作为开发人员可能承担的义务。换句话说，如果您是基础模型开发人员，您必须遵守的一组要求与通用人工智能系统开发人员不同，并且与固定用途人工智能系统开发人员也不同。

GPAI 和基础模型定义可能看起来非常相似，因为 GPAI 可以解释为基础模型，反之亦然。然而，这些术语的定义方式存在一些微妙的差别。这两个概念之间的差异特别集中在训练数据（基础模型是在“大规模广泛数据”上进行训练）和适应性。此外，生成式人工智能系统属于基础模型的范畴，这意味着这些模型的提供者将必须遵守额外的透明度义务，我们稍后会讨论这一点。

该文本还包括固定用途和通用人工智能开发人员（甚至采用者/用户）必须遵守的一组一般原则和禁止做法。具体来说，第 4 条中采用的语言扩展了定义，包括所谓“值得信赖的人工智能开发”的一般原则。它概括了所有运营商（即开发人员和采用者/用户）尽最大努力开发“值得信赖”（我不会列出被认为值得信赖的所有要求，但可以在这里找到）人工智能系统的精神。本着以人为本的欧洲方针的精神，最终获得通过的最新立法版本还包括人工智能开发中禁止和严格禁止的做法（所谓的“不可接受的风险”）清单，例如，开发用于某些情况（例如绑架或恐怖袭击）的生物识别系统、生物识别分类、预测性警务以及在执法或边境管理中使用情绪识别软件。

人工智能系统开发者基于风险的义务

现在，事情变得有趣了，而且法律术语有点重，所以如果你还没有喝第二杯咖啡，现在是个好时机。

根据文本，任何在欧盟或众所周知的欧盟内部市场销售服务的人工智能开发商都必须遵守一般、高风险和透明度义务，采用“基于风险”的监管方法。这种基于风险的方法意味着您需要遵守的一组法律要求（以及法律干预）取决于您正在开发的应用程序的类型，以及您是否正在开发固定用途的人工智能系统、GPAI、基础模型、或生成人工智能。主要需要指出的是不同的基于风险的“桶类别”，分为最小/无风险、高风险和不可接受的风险类别，以及具有特定透明度的人工智能系统的附加“有限风险”类别义务（即 GPT 等生成式 AI）：

• 最小/无风险的人工智能系统（例如垃圾邮件过滤器和视频游戏中的人工智能）将不受限制地被允许。
• 有限风险的人工智能系统（例如图像/文本生成器）须遵守额外的透明度义务。
• 高风险人工智能系统（例如社交媒体平台使用的招聘、医疗设备和推荐系统 - 我在后面的内容中包含了关于高风险人工智能系统构成的整个部分 - 请继续关注）是允许的，但须遵守规定人工智能要求和合格评定——稍后会详细介绍。
• 我们之前提到过的不可接受的风险系统是被禁止的。

我们根据目前对法规的理解构建了以下决策树，您会注意到，通用人工智能系统、基础模型和生成人工智能开发人员无论在什么情况下都有一组“始终需要”的义务他们是否被视为高风险。

基础模型开发人员必须披露计算量（即总训练时间、模型大小、计算能力等）并测量用于训练模型的能耗，这与高风险人工智能系统开发人员类似- 还进行合格评定、在数据库中注册模型、进行技术审核等。如果您是生成式人工智能开发人员，您还必须记录并披露受版权保护的训练数据的任何使用情况。

固定和通用人工智能开发人员（第 3/28 条）

大多数人工智能系统不会是高风险的（第四章、第九章），不承担任何强制性义务，因此对开发者的规定和义务主要围绕高风险系统。然而，该法案设想制定“行为准则”，以鼓励非高风险人工智能系统的开发人员自愿遵守强制性要求。

构建高风险固定和某些类型的通用人工智能系统的开发人员必须遵守一套规则，包括如上所述的事前合格评定，以及其他广泛的要求，例如风险管理、测试、技术稳健性、该法第8条至第15条列出了所有要求，此处篇幅较长，无法一一列举。作为人工智能开发者，您应该特别关注第10条有关数据和数据治理的内容。以第十条第三款为例：

培训、验证和测试数据集应具有相关性、代表性、无错误且完整。

作为一名数据科学家，您可能会意识到证明合规性是多么困难💩

另外，合格评定（如果您必须进行评估 - 请参阅上面的决策树）规定，您必须在将系统投放市场或投入使用之前在欧盟范围内的数据库中注册该系统。如果您是向欧盟销售产品的供应商，您也不能逃脱责任 - 在这种情况下，您必须指定一名授权代表来确保合格评定并建立上市后监控系统。

从更技术性的法律角度来看（不，如果你是通过 API 销售模型或部署开源模型的人工智能平台，你并没有完全脱离🪝），《人工智能法案》要求 GPAI 提供商积极支持下游运营商实现合规性通过共享有关通用人工智能系统的人工智能模型的所有必要信息和文档。但该规定规定，如果下游提供商在高风险人工智能环境下使用GPAI系统，则将承担“高风险人工智能系统”提供商的责任。因此，假设您正在 AI 平台上或通过 API 运行模型，并将其作为下游部署者部署在高风险环境中。在这种情况下，您需要承担责任，而不是上游提供商（即本例中的 AI 平台或 API）。唷。

基础模型的提供者（第 28b 条）

立法者似乎选择了比一般固定用途系统和 GPAI 更严格的基础模型（相反，生成人工智能系统）方法，因为不存在最小/无风险系统的概念。具体而言，基础模型开发人员必须遵守与风险管理、数据治理以及由独立专家审查的基础模型稳健性水平相关的义务。这些要求意味着基础模型必须经过广泛记录的分析、测试和审查（类似于高风险人工智能系统），然后开发人员才能将其部署到生产中。谁知道，“AI 基础模型审核员”可能会成为 2020 年代最热门的职业。

与高风险系统一样，欧盟立法者要求基础模型提供商实施质量管理体系，以确保风险管理和数据治理。这些提供商必须在推出模型后长达 10 年内提供相关文件。此外，他们还需要在欧盟数据库中注册其基础模型，并披露所需的计算能力以及模型的总训练时间。

生成人工智能模型的提供商（第 28b 4 条）

作为对基础模型开发人员要求的附录，生成式 AI 提供商必须披露根据第 52 条（该条提供了官方定义）中概述的透明度义务人为生成或操纵的内容（文本、视频、图像等）。深度造假、令人兴奋的内容），并实施充分的保障措施，防止生成违反欧盟法律的内容。

此外，生成式人工智能模型必须“公开一份摘要，披露受版权法保护的训练数据的使用情况”。

哎呀，我们要做一些严肃的文书工作⚖️

高风险人工智能系统和分类（第 6/7 条）

鉴于高风险人工智能系统在后代监管中的重要性，我已经纳入了高风险人工智能系统的正式定义。开始！

高风险系统是对人的健康、安全或基本权利构成重大威胁的人工智能产品，需要提供商进行强制合格评定。以下条件满足系统被视为高风险的条件：

(a) 人工智能系统旨在用作产品的安全组件，或者本身就是附件二所列欧盟协调立法所涵盖的产品；

(b) 其安全组件为人工智能系统的产品，或人工智能系统本身作为产品，需要接受第三方合格评定，以便根据以下规定将该产品投放市场或投入使用：附件二中列出的欧盟统一立法。

附件二列出了涉及医疗器械、重型机械、安全玩具等监管的所有指令。

此外，文本明确规定将以下领域的人工智能系统视为高风险（附件三）：

• 自然人的生物特征识别和分类
• 关键基础设施的管理和运营
• 教育和职业培训
• 就业、工人管理和自营职业机会
• 获得和享受基本私人服务以及公共服务和福利
• 执法
• 移民、庇护和边境管制管理
• 司法和民主程序

ChatGPT 生成的关于高风险人工智能系统的笑话是合适的（全面披露：这个笑话是由生成模型创建的）。

问：为什么《人工智能法案》定义的所有人工智能系统都形成了一个支持小组？

答：因为他们意识到自己都是“高风险”个体，需要一些认真的调试治疗！

哈哈。

治理和执行

恭喜！您已经完成了我们 Encord 认为是 167 长文档中最相关且值得您熟悉的部分。然而，《人工智能法案》将如何实施仍存在许多未知数。相关法律定义和义务仍然模糊，引发了人们对实践中如何有效执行的疑问。

例如，基础模型定义中的“大规模广泛数据”是什么意思？它们对 Facebook AI Research (FAIR) 的意义与对小型研究实验室和一些最近出现的基础模型初创公司（如 Anthropic、Mistral 等）的意义不同。

目前关于执法的争论围绕着拟议的人工智能办公室的有限权力展开，该办公室旨在提供指导和协调联合调查（第六章/第七章）方面发挥支持作用。与此同时，欧盟委员会负责解决各国当局之间有关危险人工智能系统的争端，这增加了确定谁将最终监管合规并确保履行义务的复杂性。

显而易见的是，违规行为的罚款可能高达 3500 万欧元，或全球年营业额的 7%（取决于违规的严重程度）。

12 月修正案和批准

12月9日，经过近15个小时的谈判和近24小时的辩论，欧洲议会和欧盟国家达成了一项临时协议，概述了《人工智能法案》中人工智能使用的规则。谈判主要集中在不可接受的风险和高风险的人工智能系统上，担心过度监管会影响欧洲公司的创新。

不可接受风险的人工智能系统仍将在欧盟被禁止，该法案明确禁止在工作场所进行情绪识别，以及使用利用个人弱点的人工智能等做法。生物特征识别系统 (RBI) 通常被禁止，但出于执法目的在公共场所使用生物特征识别系统 (RBI) 的情况有限。

高风险系统将遵守之前在 6 月制定的大部分关键原则（如上文所述），并高度重视透明度。然而，在极端紧急的情况下，执法也有例外，允许绕过“合格评定程序”。

另一个值得注意的方面是 GPAI 的监管，分为两级。第 1 级适用于所有 GPAI，包括维护技术文档以确保透明度、遵守欧盟版权法以及提供培训所用内容摘要等要求。请注意，透明度要求不适用于开源模型以及不构成系统风险的研发模型。第 2 级为具有系统性风险的 GPAI 规定了额外义务，包括进行模型评估、评估和减轻系统性风险、进行对抗性测试、向委员会报告严重事件、确保网络安全以及报告能源效率。

还有其他几项值得注意的修订，包括推广沙箱以促进现实世界的测试和对中小企业的支持。大多数措施将在两年内生效，但禁令将在六个月后生效，GPAI 模型义务将在十二个月后生效。现在的焦点转移到议会和理事会，议会的内部市场和公民自由委员会预计将对协议进行投票，预计这主要是一种形式。

最后的评论

更严肃地说，《欧盟人工智能法案》是人工智能监管方面前所未有的一步，标志着人工智能领域问责和治理的新时代。作为人工智能开发人员，我们现在所处的世界中，对我们工作的道德、社会和个人影响的考虑不再是可选的，而是法律强制规定的。

该法案对我们的实践产生了重大影响，要求我们了解监管环境并致力于维护其核心原则。当我们冒险进入这个新领域时，挑战在于驾驭该法案的复杂性并将其原则融入我们的工作中。

在人工智能这个动态且快速发展的环境中，该法案充当了指南针，引导我们走向负责任和道德的人工智能发展。当前的任务绝非简单——它需要我们的耐心、勤奋和承诺。然而，正是通过这些挑战，我们将塑造一个人工智能驱动的未来，优先考虑个人和整个社会的权利和安全。

我们站在新时代的最前沿，肩负着将这项立法转化为行动的任务。前面的道路可能看起来令人畏惧，但它为我们提供了一个为人工智能行业制定新标准的机会，该标准倡导透明度、问责制和尊重人权。当我们踏入这个未知领域时，让我们以它所要求的严肃性来对待这项任务，坚持我们对负责任的人工智能的承诺，并努力实现人工智能成为行善工具的未来。