科技發展總是比法例更新走得更快!生成式AI現已在全球各處遍地開花,但目前仍未有專屬監管法規。隨著歐洲議會剛剛通過《人工智能法》(AI Act)草案,這個「無法可依」的局面將被改寫——未來AI將按風險等級來實施不同程度的監管。不過Google卻擔心,新法例可能會危及公司商業機密。Open AI執行長奧特曼更一度表示,新法規監管過度,可能因此而退出歐洲市場!究竟此法案將對AI產業帶來甚麼程度的衝擊呢?
AI劃分3個風險等級作相應監管
為防範AI發展失控,歐洲議會在2023年6月14日以大比數表決通過《人工智能法》草案。其實早於2021年,歐盟已就AI監管啟動立法程序,惟2022年底以ChatGPT為首的生成式AI突然爆紅,於是立法者們再針對這種新型AI工具調整草案。根據修訂後的草案,AI工具將依照本身技術特性,劃分為3個風險等級,不同級別會有相應的監管準則。
2023年6月14日,歐洲議會以499比28票的大比數,表決通過《人工智能法》草案。(圖片來源:Twitter@IoanDragosT)
不可接受風險:在公共場所運作的人臉辨識、生物識別監控系統;以種族、行為、社會地位、或經濟能力來分類民眾的社會評級系統;通過分析先前犯罪行為,試圖預測未來非法活動的預測性警務系統,被列為「不可接受風險」等級,完全禁止使用。
高風險:透過AI進行信用評分,判斷申請人能否獲得貸款;運用AI篩選履歷,判斷求職者能否獲得面試機會……等,可能會決定民眾生計的AI系統,被評定為「高風險」等級。此外,大型社交媒體平台的AI演算法,負責向用戶推薦觀看甚麼內容,因為可能被用於影響民意和選舉結果,所以也被歸類為「高風險」,必須遵守一定的法例要求。
在《AI Act》之下,ChatGPT等生成式AI工具未被列為「高風險」等級,但AI模型的訓練數據來源卻被硬性規定要全面披露。(圖片來源:Freepik圖庫)
低風險:利用AI開發的電子遊戲,以及基於AI運作的垃圾電郵過濾器,則被歸入「低風險」等級,基本上不受限制。
根據《AI Act》,無論是支援AI運算的電玩產品、還是透過AI開發的電子遊戲,均被列為「低風險」等級。(圖片來源:Freepik圖庫)
AI模型訓練數據來源須全面披露
《AI Act》法案共同起草人、來自羅馬尼亞的歐洲議會議員圖多拉切(Dragos Tudorache)表示,這是全球首次針對人工智能的正式立法,代表著歐盟可以帶領AI朝著「以人為本」、值得信賴、以及具安全性的方向前進。
《AI Act》法案共同起草人、來自羅馬尼亞的歐洲議會議員圖多拉切強調:「歐盟這部新法規將為全球AI發展和治理定下基調。」(圖片來源:Twitter@IoanDragosT)
該法案未有將ChatGPT等生成式AI工具視為「高風險」,惟對其背後的大型語言模型則加入了設立護欄與提高透明度的要求,包括:AI開發商必須採取保護措施,防止AI生成非法內容;開發商必須標記AI生成的內容,以防止AI被濫用於散播假資訊;開發商必須披露用來訓練語言模型的數據來源,確保沒有取用受版權保護的數據來進行訓練;當內容創作者的作品被AI用作生成內容的材料時,開發商必須向版權持有人提供分享利潤方案。
一旦《AI Act》法案獲歐盟全面通過,將會成為世上首部全面性的AI監管法規,日後如有業者違反,最高可以被判處4,000萬歐元(約3.44億港元),或是公司全球年度收入7%的罰款,以高者為準。
出版與新聞界支持立法保障版權
歐盟籌備兩年的AI法案獲得階段性通過,當然得到不少掌聲。該法案針對生成式AI所提出的監管,獲得出版商、新聞媒體、以及內容創作者的廣泛支持。在《AI Act》之下,內容創作者能夠知曉他們的博客文章、畫作、影片或歌曲,曾否被用於訓練AI模型,他們可以據此來決定是否准許其作品被AI複製和使用,並尋求相應的賠償。
同時,科技界與學術界也不乏人支持此法案,因為他們認為現時AI軍備競賽過於激烈,如不從最根本的研發過程著手,施加限制和監管,一旦出現問題便會一發不可收拾。AI研調機構艾達·洛芙萊斯研究所(Ada Lovelace Institute)的代理主任班奈特(Francine Bennett)認為,如在沒有充分監管的情況下,容許AI公司繼續營運,對社會而言肯定是更糟糕的事。
然而,AI業界卻認為,法例規管應針對特定AI應用軟件,而不是對整體AI研發定立諸多限制,因為這樣只會窒礙AI產業創新。電腦與通訊產業協會歐洲政策經理錢普利斯(Boniface de Champris)指出,歐盟法案不但應明確定義「風險」,更應為AI開發者提供足夠的靈活性,這樣才可以讓所有歐洲人有機會用到有用的AI工具。
AI Act過於空泛或窒礙科技創新
Salesforce策略規劃高級副總裁彼得·舒瓦茲(Peter Schwartz)批評,歐盟草擬《AI Act》時根本沒有考慮現實狀況,更指出歐洲公司在AI領域發展較慢,當下推出AI法案,實際上只是歐洲監管機構管制美國科技企業。他認為,鑑於《AI Act》條文太過空泛,很可能令到部分美國科企重新思考在歐洲市場的參與度。
Google也對歐盟AI法案作出批評,強調用於訓練AI模型的資源均屬於商業機密,《AI Act》強制開發商披露相關資料,可能會讓公司商業秘密外洩,或為系統創造安全漏洞,被競爭對手或犯罪分子有機可乘。
OpenAI執行長山姆·奧特曼(Sam Altman)曾多次呼籲對AI進行規管,近幾個月更跑遍歐洲、亞洲、南美洲和非洲,拜訪多國立法者,其中包括歐盟委員會主席馮德萊恩(Ursula von der Leyen),探討應怎樣對AI實施管制。儘管如此,他亦希望監管法例不會抑制AI研發人員進行創新。
OpenAI執行長奧特曼(左)最近幾個月走訪了約100名美洲、歐洲、亞洲、以及非洲國家的政策制定者,其中包括歐盟委員會主席馮德萊恩(右),討論如何在不阻礙科技創新下,實施AI監管。(圖片來源:Twitter@vonderleyen)
2023年5月24日,奧特曼表示,《AI Act》草案對AI產業監管過度,更揚言假如發現OpenAI沒辦法遵守歐盟新法例,將會因此而退出歐洲市場。他這番離開歐洲的威脅言論,惹來歐盟內部市場業務執委布勒東(Thierry Breton)和多位歐洲議員的大肆批評。於是,奧特曼在5月26日連忙改口說:「我們很高興能繼續在這裡營運,當然沒有離開的計劃。」
AI生物辨識造成歧視、侵犯私隱
縱然有AI公司認為《AI Act》的監管力度過大,但也有安全風險專家指出,法案的規管範圍不夠全面——欠缺對AI運算力的管制。每當有新一代的大型語言模型發布,AI系統的運算力都會比上代呈現指數級增長,伴隨而來的安全隱患亦可能以倍數暴增。AI資訊安全初創Conjecture的策略及治理長米奧蒂(Andrea Miotti)表示,用於訓練AI模型的運算力愈大,AI就愈强大,所衍生的潛在風險亦會愈大。
除此以外,《AI Act》本身亦存有一項較具爭議性的條文——禁止使用生物識別系統。根據《BBC》與國際特赦組織發表的報告,擁有人臉與生物辨識技術的AI公司,只要通過社交媒體或電視影像,就可以大規模蒐集民眾的外觀資訊進行分析,對個人私隱構成極大威脅。
針對AI生物辨識技術的管制力度,歐洲議會與歐盟執委會尚未能達成共識,這將成為《AI Act》法案獲全面通過的一大阻力。(圖片來源:Freepik圖庫)
目前人臉辨識技術已能依照外觀來識別民眾的種族,如被廣泛引入至執法機關,黑人與棕色人種被攔截搜查的比例有機會大幅上升。國際特赦組織發現,荷蘭科技公司TKH Security製造的人臉辨識攝影機,已被以色列用來輔助執行對巴勒斯坦人的種族隔離政策。
歐盟樹立AI監管準則成全球典範
歐洲議會的表決是完全禁用AI生物識別技術,但歐盟執委會卻希望在尋找失蹤兒童或追捕恐怖分子時,容許政府使用生物辨識系統。事實上,歐盟《AI Act》需要歐洲議會、歐盟執委會、歐洲理事會三方均表決通過,法案始能生效。即使該法案已獲歐洲議會通過,惟還需與歐盟執委會、歐洲理事會進行協商。
歐盟官員表示將會盡快展開協商,希望在2023年底前達成協議,好讓法案能夠在2024年歐盟選舉前生效。可是,因為歐洲議會與歐盟執委會對生物辨識應用的規管力度各持己見,加上歐洲理事會由歐盟27成員國代表組成,要逐一遊說和談判,實際上要花多久時間真的很難說。
倘若AI法案的最終版本可以在2023年底獲三方通過,將設有兩年的適應寬限期,預期要等到2025年之後才會全面生效。雖然《AI Act》的管轄範圍只覆蓋歐盟成員國,但其針對AI監管的規範卻可以成為其他國家的參考,預計將會影響全球AI政策的制定;再者,大企業通常會在國際上採取一致性做法,所以歐盟定下的規管準則有很大機會滲透到所有消費產品的標準。由是觀之,這部領先全球的AI監管法例將對未來AI發展有著無遠弗屆的影響力。
《AI Act》法案需要歐洲議會、歐洲理事會、歐盟執委會皆表決通過,才有可能生效。即使該法案現已獲歐洲議會通過,但未來內容仍有可能會再變動。(圖片來源:Twitter@IoanDragosT)
延伸閱讀:
AI發展太快惹恐慌!歐盟、加拿大搶先全球立法規管!OpenAI建議華府成立專責監管機構
AI可能導致人類滅亡?白宮下令AI接受評估,歐盟擬立法監管AI,教AI做人或是最佳解決方法!