一、概說
2021年4月,歐盟提出了《人工智慧法》(Artificial Intelligence Act, 以下簡稱AI Act)草案,並於2024年3月13日歐洲議會通過,5月21日歐盟理事會接受 預計於2026年全面施行 。這是全球首個針對人工智慧的立法。
該法案旨在引入一個共通的監管法律框架,以確保投入歐盟市場使用的人工智慧皆尊重基本權利和安全 。其立法目的如下 :
1.確保進入歐盟的人工智慧系統是安全的,並尊重歐盟的基本權和歐盟價值觀;
2.確保促進人工智慧投資和創新;
3.加強對人工智慧的治理及監督,以確保其符合現行法律的遵守;
4.促進合法、安全、可信賴的人工智慧應用單一市場的發展,防止市場分散。
以規範人工智慧技術或系統提供者的方式,確保人工智慧的透明度、問責性和安全性,同時促進創新和技術進步。
二、規範
(一)風險分級
AI Act以風險管理為導向,依人工智慧的系統風險程度劃分為四個類別:不可接受風險、高風險、有限風險和最小風險,針對不同風險級別的人工智慧採取相應的監管措施。不可接受風險級別的人工智慧程式被禁止使用;高風險人工智慧程式必須遵守較高的安全、透明度和品質義務,並須接受評定;有限風險人工智慧程式僅具有透明度義務;而最小風險人工智慧程式則不受監管。
1.不可接受風險:對個人和社會構成不可接受的風險,故禁止使用會引起心理或身體傷害的人工智慧。例如,針對人類行為進行「社會評分」。
2.高風險:預計會對人們的健康、安全或基本權利構成重大威脅的人工智慧應用,使用前應進行「基本權利影響評估」。例如在關鍵基礎設施、教育和職業訓練、招聘、私人和公共服務、執法、移民管理、司法等領域使用的人工智慧。
3.有限風險:僅需符合透明度要求,確保用戶知悉他們正在與人工智慧進行互動。例如,使用聊天機器人時需要通知使用者他們正在與人工智慧互動。
4.最小風險:如垃圾郵件過濾器或遊戲中的人工智慧,不需要額外的監管措施。
(二)監管
1.合法性
AI Act要求對高風險人工智慧進行定期審計和監督。高風險人工智慧的開發者和運營者需要建立內部審查機制,並接受外部監管機構的審查和監督。歐盟將成立歐洲人工智慧委員會以及人工智慧辦公室,該機構將協調所有成員國AI Act的實施,並監督通用人工智慧提供者的合規性。除此之外ChatGPT在使用上仍應遵守現有的歐盟法律及慣例,例如:《一般資料保護規則-》(General Data Protection Regulation, GDPR)等規範。
2.透明度
注重人工智慧的透明度和使用者知情權。人工智慧應明確告知用戶其正在與人工智慧互動,而非真人,並在涉及決策或建議時提供相應的解釋,說明人工智慧是如何得出這些建議的。在ChatGPT與使用者進行互動時,應明確告知使用者是在與人工智慧互動,而非真人。如果ChatGPT的生成的內容涉及決策或建議,應說明是如何得出這些建議的,以增強透明度及可信賴度。
3.資料及隱私保護
人工智慧需要被進行訓練,高風險人工智慧的資料庫之數據需具備一定品質,且來源合法,取得數據提供者明確的同意。在使用人工智慧處理個人數據時,須確保隱私保護及傳輸和存儲過程中數據的安全,以防止數據洩露和濫用。
4.法律責任
如果人工智慧在使用過程中導致使用者權益受損或引發法律糾紛,AI Act規範開發和運營該人工智慧的企業需要承擔相應的法律責任,建立完善的問責機制。在使用者協議中明確說明法律責任,並提供使用者申訴管道,在出現問題時,受影響的使用者可以獲得合理解釋和補救措施。
(三)域外效力
AI Act具有域外效力,意即此一法案不僅適用歐盟會員國,也對全球範圍內與歐盟市場進行貿易的企業產生影響。只要在歐盟市場上銷售或使用的人工智慧,就需要遵守,以確保所有進入歐盟市場的人工智慧都符合相同的標準,從而保護歐盟公民的權益和安全。
因此非歐盟會員國之企業,在進入歐盟市場時,將增加產品或服務成本,對產品和服務進行調整,以滿足AI Act的法律要求,包括人工智慧技術、採取的安全措施、透明度及倫理規範。
我國需針對AI Act對歐洲人工智慧產業的影響,包括成本、創新和競爭力進行評估,也需了解是否會影響台灣在國際人工智慧市場的競爭力,尤其是與歐盟有密切貿易關係的情況下,評估是否會對台灣的人工智慧產業帶來衝擊。
三、AI Act應對GAI-ChatGPT之風險
ChatGPT是高度發達的自然語言處理模型,同樣受到AI Act的規範及監管,其風險級別依據其使用的方式而有不同。若ChatGPT被用於醫療診斷、法律諮詢或金融理財等重大決策的領域,可能被歸類為高風險的級別。若僅使用於文字對話、人工智慧客服或文本生成等應用,其風險等級可能被歸為有限風險。
為因應ChatGPT此種生成式人工智慧的特殊性,AI Act增加通用人工智慧 (General-purpose AI)此一分類。通用人工智慧具有較高風險潛力的技術,須符合高風險等級的合規要求和管理框架,以確保這些技術的安全性和可靠性,也須遵守透明度要求、使用上也須經過徹底的評估。
(一)著作權侵權及合理使用
AI Act 要求人工智慧的開發使用的數據必須來源合法且符合著作權規範,開發者需記錄數據的來源和處理方式,防止未經授權的數據,降低侵權風險。在演算法也需具備透明度和可解釋性,使人工智慧產出的內容可以被追溯,確認是否合理使用受保護的內容。此外,在教育、學術研究等用途上,AI Act設有豁免條款以衡平著作權保護及創新發展。
(二)資安防護
AI Act 對高風險人工智慧系統(如醫療、交通、關鍵基礎設施)設立嚴格的安全標準,要求系統具有強大的安全防護機制。開發者需建立風險管理體系,持續監測和評估系統的安全性,並對潛在威脅作出快速反應。數據保護要求,包括加密和匿名化措施,以確保個人數據的安全。
(三)數位歧視與資料正確性
AI Act 要求開發者須防止演算法產生偏見,確保系統不會基於種族、性別、年齡等發生歧視,要求高風險人工智慧的演算過程能夠被解釋和理解,以助於識別和修正人工智慧歧視性結果。同時也要求訓練人工智慧的數據須具備高品質,確保輸出結果是可靠且具可信賴。開發者亦需建立監控機制,持續檢查和校正數據中的錯誤和偏差,確保人工智慧的資料正確性和公平性。
人工智慧的技術日新月異,相關的事件也層出不窮,AI Act從風險管理的角度,將人工智慧進行風險級別的分類,由主管機關針對不同風險級別的制定相應的監管要求,並定期進行監督和審查。此一法案是否能真的有效應對GAI的風險,作為第一部針對人工智慧的法案,仍尚待觀察與評估。
AI Act於2026年全面實施,此一階段需評估高風險人工智慧的應用監管措施是否適合我國需求,也需了解AI Act中對數據保護和隱私的規定是否適合我國的社會文化和法律環境,如何在保護個人隱私的同時促進人工智慧技術的發展和應用,以及AI Act要求的技術標準是否能夠在台灣有效實施。
四、創新沙盒:
近年許多國家設立創新沙盒(Innovation Sandbox),允許企業在受控環境下測試和應用新的人工智慧技術,同時確保符合相關法律和監管標準。各國設置監理沙盒能夠提供人工智慧技術風險可控的測試場域,滿足監管要求同時進行創新,另一方面也可以滾動調整人工智慧監管的規範,促進人工智慧技術的健全發展。例如,英國金融行為監管局(FCA)、新加坡金融管理局(MAS)、香港金融管理局(HKMA)和證監會(SFC)、阿布達比全球市場(ADGM)和迪拜國際金融中心(DIFC)設立監管沙盒,支持金融科技創新;加拿大證券管理局(CSA)、荷蘭金融市場管理局(AFM)與荷蘭央行(DNB)的聯合沙盒、瑞士金融市場監管局(FINMA)、澳大利亞證券和投資委員會(ASIC)也設有類似計劃,促進金融創新。
依據2023年人工智慧技術在金融業中的應用比例約為60-70% ,主要應用在風險管理和欺詐檢測、自動交易和投資建議、以及客戶服務等。可以考慮設置人工智慧的創新沙盒,第一步結合目前的金融監理沙盒,以促進人工智慧技術在金融科技(FinTech)領域的發展和應用。創新沙盒是一種受監管的測試環境,允許企業在實際市場條件下測試和驗證其創新技術和產品,同時在一定程度上豁免部分法規要求。這樣的環境有助於減少創新過程中的風險和成本,促進技術的快速迭代和應用。有助於促進台灣人工智慧技術的創新和應用,推動產業發展和國際競爭力的提升,並幫助監管機構更好地應對技術變革,確保法律和政策的與時俱進。