美國、歐盟及英國對人工智能的監管與規制

文/鄭孜青 編輯/王亞亞

當前，以ChatGPT為代表的人工智能成為新一輪科技革命的重要方向。人工智能不僅有利于全球智能制造的產業升級，也有利于各經濟體挖掘新的增長引擎。與此同時，以ChatGPT為代表的人工智能對個人隱私、網絡安全、知識創作等均帶來潛在風險。主要發達經濟體已意識到上述問題，并就人工智能技術監管與規制進行探索，以確保人工智能技術開發或部署的透明度、公平性和可問責性。本文聚焦美國、歐盟、英國這三個司法轄區對人工智能的監管政策和監管活動，對比這三個司法轄區對人工智能監管的異同，并對未來相關監管趨勢進行展望。

人工智能監管概況

ChatGPT發布以來，美國、歐盟、英國社會各界對ChatGPT提出的法律風險主要集中在以下三個方面：一是以ChatGPT為代表的人工智能生成內容所涉及的著作權許可和侵權問題，該問題的核心在于人工智能生成內容是否構成作品。二是人工智能工具使用過程涉及的數據和個人隱私保護問題。三是以ChatGPT為代表的人工智能未取得相關執業許可即提供專業建議的的法律風險問題。

截至目前，美國、歐盟、英國尚未正式出臺專門規制人工智能的法律法規或指南，不過，已經出現了涵蓋人工智能的相關監管指導性文件，其中受關注程度最高的政策文件或草案是：美國國家標準及技術研究所（National Institute of Standards and Technology，NIST）發布的指導性文件《人工智能風險管理框架1.0》、歐盟委員會的立法草案《人工智能法案（草案）》和英國發布的指導性文件《人工智能監管政策》（AI Regulation Policy Paper）。根據上述政策文件，目前這三個司法轄區在人工智能行業發展政策、立法和執法重點、監管機構設置以及社會關切等方面均存在一定差異。

在人工智能行業導向方面，美國干涉力度較低，而歐盟和英國則對人工智能發展保持相對謹慎態度，這也與三個司法轄區人工智能產業發展狀況和法制環境不同有關。目前，美國人工智能技術領先于全球，其后為英國、中國、日本、韓國等。在美國，人工智能監管旨在促進科技行業的創新和發展，而在歐盟和英國，人工智能監管在促進創新的同時，也強調在人工智能發展中捍衛公民的基本權利，即保護公民的生命和自由、不受奴役和酷刑、獲得教育和工作等基本權利，并且要求把捍衛公民基本權利上升到人工智能開發的價值觀層面（以下統稱“基本權利和價值觀”）。

在人工智能監管的立法和執法重點方面，美國為了盡可能促進人工智能的開發利用，鼓勵科技行業自愿遵守相關原則并進行自我監管。而歐盟和英國則積極圍繞人工智能構建一個能夠保護上述基本權利和價值觀的法律框架，計劃通過建立強有力的執法機制以確保相關人工智能企業合規。

在人工智能監管機構的設置方面，美國目前尚沒有設置統一的人工智能監管機構的計劃，美國各政府部門在各自職權范圍內開展針對人工智能的監管。與美國不同，歐盟委員會提議成立一個歐洲人工智能委員會。英國則擬指定英國政府下設的獨立機構——信息專員辦公室（Information Commissioner's Office，ICO）對人工智能進行監管，目前尚不會設立新的專門的人工智能監管機構。

在社會關切方面，美國涉及人工智能的立法障礙主要來自黨派僵局和缺乏監管必要性的共識。歐盟和英國人工智能的立法面臨的挑戰則是如何在促進創新與保護基本權利和價值觀的需求之間取得平衡。此外，美歐人工智能監管也持續地受到國際關系和政治動態的影響。

整體來說，相對于歐盟、英國，美國對人工智能發展監管力度較弱，而歐盟、英國，除規劃中監管機構設置有所不同，二者在人工智能產業發展政策、立法和執法重點、社會關切等方面均有相似之處。

美國監管政策及執法實踐

聯邦層面，雖然美國迄今為止尚未制定全面規制人工智能的聯邦立法，但是美國國會已啟動規范人工智能應用的多部法律立法進程。此外，相關行政部門也在持續地制定涉及人工智能的風險管理指令和規則，例如平等就業機會委員會正在考慮的人員雇傭和辦公場所管理等方面人工智能系統應用的政策指引等。目前，在傳統監管框架內，美國已有多部現行法規可以涵蓋涉及人工智能的行為，如涉及產品責任、數據隱私、知識產權、反歧視和工作場所權利等法規同樣適用于人工智能的監管。在這種分散管理型的法律框架下，相關主體應用人工智能的行為如果違反了《公平信用報告法》《平等信用機會法》《聯邦貿易法（第五節）》《1964 年民權法案第七章》《美國殘疾人法案》《就業年齡歧視法》《公平住房法》《遺傳信息和非歧視法》等法規，將承擔相應的法律責任。

州層面，美國目前暫未出現專注于人工智能監管的州一級立法。部分州的數據和隱私保護法規定了有關自動化決策的條款，與人工智能的監管有一定關聯，如加利福尼亞州的《加州隱私權法》規定，消費者有權選擇不使用他們的個人信息進行自動化決策，這包括評估或有關消費者工作表現、經濟狀況、健康狀況、個人偏好、興趣、可靠性、行為、位置或運動的決策。

最受業界關注的監管文件是NIST于2023年1月發布的《人工智能風險管理框架1.0》。該文件之所以備受關注，是因為它提出了一套有關人工智能風險識別和管理的全面指南和實踐建議，旨在幫助相關方管理與人工智能系統部署相關的各類風險?！度斯ぶ悄茱L險管理框架1.0》是在包括工業界、學術界、政府和民間主體的各利益相關方的廣泛參與下制定的，可信度和接受度較高。《人工智能風險管理框架1.0》包括兩部分，第一部分梳理了人工智能相關風險，并概述了可信賴人工智能系統的特征。第二部分介紹了《人工智能風險管理框架1.0》的四大核心功能，即治理、映射、測量和管理，每個功能項下還分為不同的類別和子類別，通過多元化的方法，幫助各個相關主體應對實踐中人工智能系統帶來的風險和潛在影響，以確保以負責任的方式開發和使用人工智能系統。

美國未指定專門機構來開展人工智能相關監管，因此，不同行政機關都在積極探索，包括以各種方式發布新規則或者發布對既有規則的解釋和指引，以便將人工智能監管納入它們已有的職責范圍之內。預計未來美國將持續發布更多人工智能監管政策文件。

目前，美國與人工智能相關的監管行動主要集中在美國聯邦貿易委員會和美國版權局。兩個機構分別在各自職權范圍內，從維護市場競爭和保護著作權的角度開展了相關執法，如在線照片存儲平臺Everalbum案和克里斯蒂娜·卡什塔諾娃（Kristina Kashtanova）案。

在2021年的在線照片存儲平臺Everalbum案中，聯邦貿易委員會要求在線照片存儲平臺Everalbum公司刪除其面部識別算法，這一算法是利用用戶存儲在其平臺上的照片訓練而成的。美國聯邦貿易委員會認為，雖然Everablum告訴用戶可以關閉面部識別功能，但即便用戶關閉了面部識別功能，Everablum仍在繼續使用用戶照片訓練其面部識別人工智能系統。美國聯邦貿易委員會認為該行為違反了《聯邦貿易委員會法案（第五節）》，屬于欺騙消費者行為，并要求Everalbum刪除其面部訓練數據和已經開發的人工智能算法。

在2022年底的Kristina Kashtanova案中，美國版權局追溯性地重新審查藝術家Kristina Kashtanova此前已經獲批的著作權登記申請，告知該藝術家她的圖畫小說《黎明查莉婭》的第一期注冊可能會被取消，理由是人工智能部分地參與了該作品的創作。美國版權局曾經在此前批準了Kristina Kashtanova對該作品的登記，隨后被廣泛宣傳為已知的首個在美國版權局成功登記的人工智能生成作品。此次美國版權局認為，根據美國法律，版權依賴于人類作者身份而存在，對僅由機器和人工智能創作的作品，美國版權局將不予批準其著作權登記申請。有觀點指出，美國版權局在該案中的態度是對創作者的一種預警，任何提交包含人工智能生成內容的作品的人，都被要求披露作品中的人工智能生成內容，并證明人類參與創作的程度。目前，該案仍在審查中。

當前，美國有可能持續加強包括人工智能領域在內的出口管制和貿易制裁措施，中企需要對潛在的管制措施前瞻性地對人工智能供應鏈所產生的影響進行評估，預判一旦無法獲取關鍵物項和技術而可能造成的影響，是否存在替代渠道，并基于評估結果對國內外的業務鏈和研發布局進行調整。企業需要建立合規流程，在簽訂貿易或采購合同時謹慎進行物項分類、開展盡職調查和合規評估。目前，受美國《出口管制條例》管制的、涉及人工智能的常見物項包括：神經網絡和某些其他自適應系統、數字計算機、圖像識別軟件、機器學習技術、高性能計算軟件等。

歐盟監管政策及執法實踐

自2018年起，歐盟陸續發布了有關人工智能監管的政策性文件，但尚未發布專門規制人工智能的立法。目前，與人工智能直接或間接相關的、歐盟現行有效立法主要包括《通用數據保護條例》《產品責任指令》《可信賴人工智能道德指南》等。

繼2022年歐盟推出旨在加強在線服務競爭的《數字市場法》以及旨在保護用戶數據的《數字服務法》后，市場認為，2023年歐盟將加快推動包括人工智能在內的互聯網立法，并有望誕生全球首部人工智能專門性法律，以規范人工智能在歐盟的利用，并形成廣泛的標準，以約束計劃在歐盟使用、構建或銷售人工智能產品和服務的供應商。

2021年4月，歐盟委員會發布《人工智能法案（草案）》（下稱《草案》）。該草案旨在建立一個規范人工智能使用的監管框架，采取基于風險分類的方法監管人工智能使用，并設立全球標桿?！恫莅浮窙]有對所有類型的人工智能系統進行一攬子監管，而是將人工智能系統分為“不可接受風險、高風險和低風險”三個層級，《草案》擬明確禁止具有不可接受風險的人工智能系統，如扭曲人類行為的人工智能系統、為公共當局或其代表進行社會評分的人工智能系統和實時遠程生物特征識別人工智能系統，重點規制高風險人工智能系統，這些系統將在技術、監控和合規方面引發重點關注，《草案》要求低風險類別中的某些人工智能系統須遵守透明度義務，鼓勵低風險業務經營者通過實施行為準則進行自我監管。與《通用數據保護條例》類似，《草案》對違規行為規定了巨額罰款以及其他補救措施。根據嚴重程度，違規行為將適用不同的罰款等級：違反不可接受的風險相關的禁令或違反高風險相關的數據治理規定，最高可處3000萬歐元或全球年營業額的6%罰款，以二者中較高者為準；人工智能系統不符合《草案》其他規定，最高可處2000萬歐元或全球年營業額的4%罰款；向監管機構提供不準確、不完整的信息或虛假信息的，最高可處1000萬歐元或全球年營業額的2%罰款。

人工智能的監管和治理是一項復雜的議題，主要經濟體均在探索出臺更多政策以規制其發展。

目前，歐盟在人工智能領域的的執法案例主要涉及反壟斷法和數據保護法，典型案例包括谷歌案和面部識別公司Clearview案。在2017年的谷歌案中，歐盟委員會對谷歌處以24.2億歐元的罰款，原因是谷歌在搜索結果中普遍性地將其自營的比較購物服務置于顯著位置，同時在其搜索結果中對競爭對手的服務作降級處理。這一行為違反了歐盟反壟斷法，構成了濫用市場支配地位的行為。歐盟委員會調查發現，谷歌使用復雜的算法獲得有利于其自營的比較購物服務的搜索結果，這引發了監管機構對科技巨頭利用算法或人工智能系統實施壟斷行為的擔憂。在2021年的面部識別公司Clearview案中，法國數據保護機構——國家信息與自由委員會（CNIL）對Clearview公司在未經個人同意的情況下使用面部識別技術收集和處理個人生物識別數據展開調查。Clearview 公司從各類網站收集所有可在這些網絡上直接訪問的照片和在線視頻，從中提取信息，并建立了一個商用的人像搜索引擎，供使用者利用照片搜索到特定自然人。本案中，CNIL對Clearview公司處以2000萬歐元罰款，并命令該公司停止收集和使用沒有法律依據的法國個人信息，刪除已經收集的個人信息。未來，《草案》出臺后，歐盟執法機構預計將擁有更明確的監管依據，歐盟的人工智能執法將更加活躍。

對于計劃在歐盟市場拓展相關人工智能業務的企業，建議重點考慮促進人工智能領域創新的同時，做好監管機構要求的人的生命和自由、不受奴役和酷刑、獲得工作和教育的權利等基本權利平衡。首先，企業應當特別注意遵守歐盟的《通用數據保護條例》。該條例對個人信息的收集、處理和存儲均提出了嚴格的合規管理要求。其次，建議相關企業對其人工智能系統對公民基本權利的影響從非歧視、公平和透明角度進行評估。此外，企業和投資者應尋求具體化的法律建議，以確保遵守歐盟、相關成員國、相關州或地區各不同層級的有關人工智能的法律和監管規則。

英國監管政策及執法實踐

根據英國政府2022年7月發布的《人工智能監管政策》，英國尚無明確規制人工智能監管的專門法，目前是通過以其他立法目的而制定的零散法規來監管人工智能?！度斯ぶ悄鼙O管政策》提議建立一個支持創新的人工智能監管框架，該框架將以人工智能的具體特征為基礎，并綜合協調不同部門開展人工智能監管工作，其倡議的監管原則包括以下四個方面：

一是基于具體情形的原則。《人工智能監管政策》提議根據人工智能在特定環境下對個人、團體和企業的影響來監管人工智能，并將設計和實施相應監管措施的責任委托給各個監管機構。這樣的監管方式不僅有針對性，而且有利于促進創新。

二是促進創新和基于風險的原則?！度斯ぶ悄鼙O管政策》鼓勵創新，并避免對創新設置不必要的障礙。各監管機構需要重點解決有明確證據表明存在真正風險的問題，而不是緊盯著那些與人工智能相關的假設或低風險問題。

三是協調原則?！度斯ぶ悄鼙O管政策》建議建立一套針對人工智能獨特特征的跨部門基本原則，供監管機構在其監管領域內自行解釋、考量和實施。與此同時，為了操作便利和監管口徑的一致性，該政策鼓勵建立監管部門之間的協調機制。

四是比例性和適應性原則?！度斯ぶ悄鼙O管政策》強調監管方法應當符合被監管行為的特點，并且保持手段和目標之間適當的比例性。監管機構可以優先考慮更寬松的監管措施，例如行政指導。

截至目前，英國在人工智能方面的執法主要基于《英國通用數據保護條例》，出于保護個人信息與隱私的目的而進行的?？傮w上，ICO的相關執法并不活躍，僅有少量罰款案件，如和歐盟處罰類似的面部識別公司Clearview案。在2021年的Clearview案中，ICO稱，Clearview 公司在多個方面違反了英國數據保護法，包括：未能以公平透明的方式使用英國居民的信息，沒有收集相關信息的合法理由，以及未能建立非永久保存相關數據的機制。2022年5月23日，ICO對Clearview 公司處以750萬英鎊罰款。

對于在英國司法轄區開展業務的相關企業來說，首先，可密切關注ICO發布的指南或法規，預計ICO較有可能成為英國未來最主要的人工智能執法機構和協調機構。其次，企業應遵守《英國通用數據保護條例》，主動進行數據和隱私方面的影響評估，以識別人工智能對個人信息主體權利構成的風險，提前將可能造成的不利影響控制在最小范圍，并積極響應政策要求的個人信息主體行使其數據權利的請求。此外，企業還應對人工智能的道德性進行評估，選擇更符合道德觀和保障基本人權的人工智能進行投資。

人工智能的監管和治理是一項復雜的議題，主要經濟體均在探索出臺更多政策以規制其發展。隨著ChatGPT的問世，在可預見的未來，人工智能在經濟和社會生活中扮演的角色將愈發重要，針對人工智能監管的法規預期也將更為緊迫。在這一背景下，相關企業在利用人工智能降低內容生產成本、為企業市場發展賦能的同時，也應當留意各國政策發展，關注社會輿論、產業政策和國際關系變化，以積極做好多方應對準備。