歐盟人工智慧AI法案草案概觀：第三國供應商也適用

※如欲轉載本文，請與北美智權報聯絡

李淑蓮╱北美智權報　編輯部

歐洲議會於2023 年 6 月14日以 499 票贊成、28 票反對、93 票棄權的結果通過了人工智慧 (AI) 法案的草案，隨後會與歐盟成員國就該法案的最終形式進行談判，目標是在今年年底前達成共識協議。這些規範將確保歐洲開發及使用的人工智慧能完全符合歐盟的權利和價值觀，包括人類監督、安全、隱私、透明度、非歧視以及社會和環境福祉。

乍看之下歐盟人工智慧法案和台灣關係有點遙遠，其實不然。因為新規範除了適用於在歐盟境內的人工智慧系統供應商之外，還適用於在第三國設立，但於歐盟市場或歐盟提供或使用其人工智慧系統的供應商。為了防止廠商規避法規，新規範也適用於身處第三國的人工智慧系統供應商和用戶，而這些系統所產出的成品會在歐盟使用。在此規範下，歐盟人工智慧法案變得與台商息息相關，加上台灣對於人工智慧的產出及應用也進入立法監管的階段，我們對歐盟於人工智慧的監管方針，也應多加了解。

立法進程及法案概觀

歐盟委員會 (European Commission，以下簡稱委員會)於 2021 年 4 月提出了歐盟人工智慧 (AI) 監管框架提案，而這一份人工智慧法案草案是有史以來首次嘗試對人工智慧製定水平式橫向監管規範。委員會擬議的法律框架側重於人工智慧系統的特定應用和相關風險，提議在歐盟法律中為人工智慧系統建立一個技術中立定義，並根據「基於風險的取向」（risk-based approach）制定具有不同要求和義務的人工智慧系統分類。一些存在「無法接受」風險的人工智慧系統將被禁止。其外，各種「高風險」的人工智慧系統將會被授權，且要遵守一系列要求和義務才能進入歐盟市場。那些僅呈現「有限風險」的人工智慧系統將受低透明度的義務約束。歐盟理事會於 2021 年 12 月同意了歐盟成員國的整體立場，其後，歐洲議會於 2023 年 6 月14日對其立場進行了投票並獲得通過。歐盟立法部門目前開始以談判方式敲定新法案，並對委員會的提案進行實質性修改，包括修改人工智慧系統的定義、擴大被禁止的人工智慧系統清單，並對通用人工智慧和生成人工智慧模型（如ChatGPT）賦予義務。

提案簡介

人們預料人工智慧技術將於環境與健康、公共部門、金融、交通、內政和農業……等等多個領域帶來廣泛的經濟和社會效益；特別是在精進預測、優化營運、資源分配以及個性化服務等區塊。然而，當人工智慧技術嵌入到產品及服務中時，人工智慧系統對《歐盟基本權利憲章》(EU Charter of Fundamental Rights) 保護的基本權利帶來的影響，以及人工智慧系統使用時給用戶帶來的安全風險，已開始引起人們的關注。最值得注意的是，人工智慧系統可能會危害人民基本權利，例如不受歧視的權利、言論自由、人類尊嚴、個人數據保護和隱私等等。

鑑於人工智慧相關技術的快速發展，近年來人工智慧監管已成為歐盟的核心政策問題。政策制定者承諾制定「以人為中心」(humancentric) 的人工智慧手段，以確保歐洲民眾能夠從依據歐盟價值觀和原則開發及運作的新技術中受益。在其歐盟2020 年人工智慧白皮書中（2020 White Paper on Artificial Intelligence），歐盟委員會承諾促進人工智慧的採用，並解決伴隨應用這項新技術而來的一些相關風險。雖然委員會最初採取了軟法律方法，並發布了不具法律約束力的 《2019值得信賴的人工智慧及政策道德準則》 (2019 Ethics Guidelines for Trustworthy AI and Policy），以及投資建議，但隨後轉向了立法方式，呼籲採用統一的規範來監管人工智慧系統的開發、投入市場及使用。

歐洲議會的立場

歐洲議會在 2017 年關於機器人民法規範的廣泛建議中，引領了歐盟層面的辯論，呼籲歐盟委員會評估人工智慧的影響，並起草歐盟人工智慧框架。在2020年和2021年，歐洲議會通過了多項呼籲歐盟採取行動的非立法決議，以及兩項呼籲在人工智慧領域通過歐盟立法的立法決議。第一項立法決議要求委員會為歐盟內人工智慧、機器人和相關技術的開發、部署和使用建立道德原則的法律框架。第二項立法決議呼籲協調民事責任索賠的法律框架，並對高風險人工智慧系統的營運商實行嚴格責任制度。此外，議會還通過了一系列建議，呼籲歐盟在智慧財產權、刑法、教育、文化和視聽領域，以及民用和軍用人工智慧應用方面，對人工智慧採取共同手段。

歐盟理事會角色

歐盟理事會 (Council of the European Union) 在過去（包括在 2017 年和 2019 年）曾多次呼籲採用通用人工智慧規則。理事會在2020年呼籲委員會提出具體建議，並在考慮現有立法基礎下，遵循一個建基於風險、平衡、以及必要的監管方法。此外，理事會呼籲歐盟和成員國考慮採取有效措施來識別、預測和應對包括人工智慧在內的數位技術對基本權利的潛在影響。

繼 2020 年 2 月通過人工智慧白皮書後，委員會於2020年啟動了廣泛的公眾諮詢，並發布了人工智慧監管影響評估、支持性研究和提案草稿，並收到了各方利益關係人的反饋。在其影響評估中，委員會指出人工智慧系統由於其具體特徵，在開發和使用時所引發的幾個問題。

草案帶來的影響

人工智慧法案草案被設計成為歐盟水平橫向立法指引，適用於所有在歐盟市場中投放、或被使用的人工智慧系統。

● 目的、法律依據和範圍

2021 年 4 月公佈的人工智慧法案提案的總體目標是為歐盟內開發和使用值得信賴的人工智慧系統創造條件，以確保單一市場的正常運作。該草案為人工智慧產品和服務的開發、投放到歐盟市場以及使用，制定了統一的法律框架。此外，人工智慧法案提案力求實現一系列具體目標，包括（i）確保投放到歐盟市場的人工智慧系統安全並尊重現有歐盟法律，（ii）確保法律確定性以促進人工智慧投資和創新， (iii) 加強對適用於人工智慧系統的基本權利和安全要求的歐盟法律的治理和有效執行，以及 (iv) 促進合法、安全和值得信賴的人工智慧應用的單一市場發展，並防止市場碎片化。

新的人工智慧框架基於《歐盟運作條約》（TFEU）第 114條和第16條，會對人工智慧系統進行技術中立的定義，並採取基於風險的方式，在於歐盟開發、市場投放和使用人工智慧系統方面賦予了不同的義務及需求規定。在實踐中，該提案定義了適用於人工智慧系統在投放市場之前的設計和開發的通用性強制要求，並協調了事後控制的實施方式。

人工智慧法案提案補充了現有和即將出台的橫向和部門性歐盟安全法規。委員會建議遵循新立法框架 (NLF) 的邏輯，即當產品進入歐盟市場時，歐盟必須確保該系列產品通過合格評定和有合規的CE標誌。

新規範主要適用於在歐盟境內的人工智慧系統供應商，或在第三國設立，但於歐盟市場或歐盟提供或使用其人工智慧系統的供應商，以及身處歐盟成員國的人工智慧系統用戶。為了防止廠商規避法規，新規則也適用於身處第三國的人工智慧系統供應商和用戶，而這些系統所產出的成品會在歐盟被使用。但是，該法規草案不適用於專門為軍事目的、第三方國家公部門、國際組織、或在國際執法和司法合作協議框架內使用人工智慧系統的局方開發或使用的人工智慧系統。

●定義

目前科學界對人工智慧的單一定義並沒有共識，「人工智慧」一詞經常被用作基於不同技術的各種電腦應用程序的「統稱術語」。人工智慧高水平專家組 (High Level Expert Group) 提出了人工智慧的基線定義，該定義在科學文獻中的使用率日增，聯合研究中心也基於分類法建立了人工智慧的操作性定義，該分類法涵蓋了政治、研究和工業領域的所有人工智慧子領域。

然而，委員會發現，鑑於確定「人工智慧系統」的構成對於新人工智慧框架下的法律責任分配至關重要，因此應該對人工智慧系統的概念進行更明確的定義。因此，委員會建議在歐盟法律中建立「人工智慧系統」的法律定義，該定義主要基於經合組織 (OECD) 已經使用的定義。

草案第 3 條第(1)款規定，「人工智慧系統」是指：

...使用[特定]技術和方法 [在附件1中列出] [1]開發的軟件，可以針對一組給定的人類定義的目標，生成影響其交互環境的內容、預測、建議或決策等輸出結果。

此外，第 3 條提供也了其他相關定義，包括人工智慧系統的「提供者」和「用戶」（涵蓋公共和私人實體），以及「進口商」和「分銷商」、「情感識別」和「人工智慧系統」，以及「生物識別分類」。

「基於風險的取向」（risk-based approach）

● 風險金字塔

人工智慧的使用具有其特定的特徵（例如不透明、複雜性、對數據的依賴、自主行為），可能會對許多基本權利和用戶的安全產生不利影響。為了解決這些問題，人工智慧法案草案遵循基於風險的方法，即根據具體的風險水平進行法律干預。為此，人工智慧法案草案區分了具有以下4個層級風險的人工智慧系統：(i) 無法接受的風險、(ii) 高風險、(iii) 有限風險和 (iv) 低風險或極小風險 (圖2)。人工智慧應用程序只會在嚴格必要的情況下受到監管。

● 無法接受的風險：禁止實踐的人工智慧

人工智慧法案草案第二章（第 5 條）明確禁止有害的人工智慧實踐，因為造成了「無法接受的風險」，故 被認為對人民的安全、生計和權利構成明顯威脅；因此，禁止在歐盟市場投放、投入服務或使用，具體包括：

人工智慧系統採用有害的操縱性「潛意識技術」；

利用特定弱勢群體（身體或精神殘疾）的人工智慧系統；

公部門或代表公部門使用的人工智慧系統，用於社會評分目的；

出於執法目的，在公共場所使用「實時」遠程生物特徵識別系統，但少數情況除外。

● 高風險：受監管的高風險人工智慧系統

人工智慧草案提案第三章（第 6 條）監管對人們的安全或基本權利造成不利影響的「高風險」人工智慧系統。該草案文本區分了兩類高風險人工智慧系統。

用作產品安全組件或受歐盟健康和安全協調立法管轄的系統（例如玩具、航空、汽車、醫療設備、電梯）。

部署在附件三確定的8個具體領域的系統 (如下)，委員會可以根據需要通過授權行為更新這些系統（第 7 條）：

(1) 自然人的生物特徵識別和分類；

(2) 關鍵基礎設施的管理和營運；

(3) 教育和職業培訓；

(4) 就業、工人管理和邁入自營業；

(5) 獲得和享受基本私人服務、以及公共服務和福利；

(6) 執法；

(7) 移民、庇護和邊境管制管理；

(8) 司法和民主程序。

所有這些高風險人工智慧系統都將受到一系列新規則的約束，包括：

事前合格評定的要求：高風險人工智慧系統的供應商在將產品於歐盟市場推出或投入使用前，需要在歐盟委員會管理的歐盟範圍內的數據庫中註冊其系統。任何受現有產品安全立法管轄的人工智慧產品和服務，都將屬於已適用的現有第三方合規框架（例如醫療設備）。目前不受歐盟立法管轄的人工智慧系統供應商必須進行自己的合格評定（自我評估），以表明他們符合新要求，並可以使用 CE 標誌。只有用於生物識別的高風險人工智慧系統才需要由「公告機構」進行合格評定。

其他要求：此類高風險人工智慧系統必須遵守一系列要求，特別是在風險管理、測試、技術穩健性、數據培訓和數據治理、透明度、人類監督和網路安全方面的要求（第 8 至 15 條）。在這方面，高風險人工智慧系統的供應商、進口商、分銷商和用戶必須履行一系列義務。來自歐盟以外的供應商將要求歐盟境內的授權代表確保合格評定、建立上市後監控系統，並根據需要採取糾正措施。

● 有限風險：透明度義務

呈現「有限風險」的人工智慧系統，例如與人類交互的系統（即聊天機器人）、情感識別系統、生物識別分類系統以及生成或操縱圖像、音頻或視頻內容（即深度偽造，deepfakes）的人工智慧系統，將受到一系列有限的透明度義務。

● 低或最小風險：無義務

所有其他較低或最小風險的人工智慧系統都可以在歐盟開發和使用，而無需遵守任何額外的法律義務。然而，人工智慧法案草案設想制定行為準則，以鼓勵非高風險人工智慧系統的提供者自願適用高風險人工智慧系統的強制性要求。

參考資料：

(1) Artificial intelligence act BRIEFING，EU Legislation in Progress，EPRS | European Parliamentary Research Service，June 2023

(2) Regulatory framework proposal on artificial intelligence, European Commission, Last update 20 June 2023

備註：

(1) 該草案的附件 1 列出了目前用於開發人工智慧的技術和方法清單。因此，「人工智慧系統」的概念將指一系列基於軟體的技術，包括「機器學習」、「基於邏輯和知識的」系統以及「統計」方法。這一廣泛的定義涵蓋了可以獨立使用或作為產品組件使用的人工智慧系統。此外，擬議的立法旨在面向未來，涵蓋當前和未來的人工智慧技術發展。為此，委員會將通過採用授權法案，通過用於開發人工智慧系統的新方法和技術來補充附件 1 清單（第 4 條）。

延伸閱讀：

(1) 《人工智慧AI專題報導：法規》人工智慧AI法案草案通過後的挑戰：5年給歐洲經濟造成 310 億歐元的損失？

(2) 《人工智慧AI專題報導：應用》ChatGPT通過美國醫師執照考試！生成式AI在智慧醫療應用的前景可期

(3) 《人工智慧AI專題報導：應用》人工智慧賦能無人機，風電太陽能廠都受惠

(4) 《人工智慧AI專題報導：應用》眾安搶先發表基於生成式AI的保險行業應用白皮書

【詳細內容請見《北美智權報》336期；歡迎訂閱《北美智權報》電子報】