2024年11月4日,联合国欧洲经济委员会(UNECE)监管合作与标准化政策工作组(WP.6)发布了《人工智能嵌入式产品合规宣言》(Compliance of products withembedded artifcial intelligence:Overarching principles and declarationto promote convergence of product reguations),旨在为各国政府提供一个自愿性的监管合作框架,以促进含有人工智能(AI)或其他数字技术的产品和服务的市场准入与监管一致性。
该声明的主要好处包括:
促进国际贸易:通过促进监管一致性,该宣言有助于消除冗余检查并支持更顺畅的跨境贸易。
增强监管一致性:采用 CRA 的政府机构获得了更高的清晰度和可预测性,避免了不必要的技术障碍,同时促进了相互认可。
促进可信度和弹性:CRA 解决与 AI 相关的社会和技术风险,确保嵌入式 AI 系统安全可靠且能够抵御网络威胁。
支持可持续发展:CRA 与联合国可持续发展目标 (SDG) 保持一致,鼓励实施 AI 以促进环境、经济和社会目标。
该宣言代表了对快速发展的数字环境的积极回应。它为全球监管合作提供了一个独特的平台,提供了一种灵活的、不具约束力的方法,以适应参与机构的成熟度水平。这种灵活性确保各机构能够实施针对其特定监管需求量身定制的最佳实践,而无需承担具有约束力的承诺。最终目标是确保进入市场的产品对消费者来说是安全的,并且人工智能元素不会对人类自主性、心理健康或个人自由产生负面影响。
UNECE W.P.6 项目负责人 Markus Krebsz 强调了 CRA 的更广泛影响,并指出它“不仅促进了贸易和监管的一致性,还解决了关键的社会挑战,如可信度、隐私、网络安全和缩小全球数字鸿沟。该框架鼓励持续合规和分享最佳实践,以确保 AI 技术的安全和负责任的开发。
以下为全文:
使用嵌入式人工智能(AI)或其他数字技术的产品或服务已被广泛应用,但尚未形成普遍接受或认同的定义,且处于不同的监管框架之下。相关标准正在制定中,旨在实现国际协调。此类产品的功能安全和网络安全是经济竞争力和产品法规的关键因素。然而,突破和创新的速度远快于行业和更广泛可持续性的标准和法规。产品监管通常采用孤立的方法,而嵌入式技术则更具横向性质。这可能导致一些经济体在国家层面上出现法规差异,对AI或其他嵌入式技术的要求可能以不同的方式被解释或测试。
欧洲经济委员会(ECE)WP.6关于基于良好监管实践的跨国监管合作国际模式的建议L中概述的共同监管安排(CRA)提供了一个自愿的监管合作框架,通过采用最佳实践促进市场准入,从而实现更大的协调,并在感兴趣的联合国会员国之间建立部门和/或产品特定安排。该CRA基于WP.6为2023年11月年会开发的文件“使用内置人工智能或其他数字技术的产品监管合规性”(ECE/CTCS/WP.6/2023/9),并考虑了联合国人工智能咨询委员会2023年12月制定的“临时报告:为人类治理AI”。从这一角度来看,它支持使用AI作为实现所有17项可持续发展目标和环境、经济和社会三个维度的可持续发展的潜在手段。
由于技术持续演进,可能需要定期审查本CRA并根据需要进行更新。引用本文件时,建议明确注明版本号。
范围
本CRA为内置AI系统或其他数字技术的产品或服务提供了一个总体方法,作为以下方面的基础:
设置合法的监管目标
识别和评估风险
确定制定法规的相关国际标准
建立相互认可的合格评定程序
建立市场监督和其他执法机制
它可用于国家层面,以促进现有或即将设立的机构之间的国家技术法规趋同。本CRA为内置AI或其他数字技术的产品或服务提供了一个总体方法。建议使用案例来展示CRA如何在不同部门中应用。
术语和定义
除非文本中另有说明,否则所使用的术语基于世界贸易组织(WTO)《贸易技术壁垒协定》(TBT)附件1或WP.6建议中的定义。本CRA不打算涵盖自动驾驶汽车或自主武器。这两者均直接由其他国家或国际安排涵盖。然而,本文档中的指导可能也对这些产品类别有用。
本CRA涵盖的产品和/或服务相关术语包括:
人工智能(AI)系统:为给定的一组人类定义的目标(例如,由国际标准化组织(ISO)/国际电工委员会(IEC)22989关于AI概念和术语所涵盖)生成输出(如内容、预测、建议或决策)的工程系统。
生成式人工智能(GenAI):一种能够生成各种数据(如图像、视频、3D模型或音频文件)的AI系统。这些系统可以嵌入到设备中或以软件即服务(SaaS)的形式提供。
内置AI或其他数字技术的产品和/或服务:一种内置可升级(远程、离线或其他方式)AI系统或集成可升级软件或两者的组合的产品和/或服务,它以不同程度的自主性运行并指导其操作,并能够做出影响物理或虚拟环境以通常旨在促进人类定义目标的决策。
产品和/或服务要求
监管目标和风险评估
设置监管目标应基于认识到零风险是不可实现的。确定可容忍的风险水平和风险承受能力应按照ECE WP.6关于监管框架中风险管理的建议R进行。
某些内置AI或其他数字技术的产品可能具有固有的高风险,例如,可能对人们的健康和安全或基本权利产生直接负面影响的产品。有限风险(或中等风险)是指可能影响安全问题的风险。低风险AI是指不使用个人数据且/或不影响人类的产品。政府需要评估风险并据此选择适当的合格评定方法。
在AI系统相关错误风险较高的情况下,应尽可能包含人为决策。AI系统不应能够覆盖人为控制。
某些行业的风险本质上更高,其中生命和健康的利害关系尤其大。例如,医院中的某些医疗设备具有使用内置AI的高级诊断系统。即使医疗设备能够生成算法决策,但考虑到责任问题和患者的潜在风险,建议尽可能包含人为决策。一些人类与由AI驱动的编程机器人并肩工作的工业机械也可能需要强制性的人为监督和干预。
监管目标和社会影响
内置系统已以减轻AI系统本身及AI辅助决策中的偏见的方式构思。这包括人类认知偏见、数据偏见和由工程决策引入的偏见。这些在ISO/IEC TR 24027关于AI系统中的偏见和AI辅助决策中有所概述。
内置系统已以不会导致个体自由、责任或人类自主性丧失的方式构思。
内置系统不会对个体心理健康或更广泛的社会影响产生负面影响。这包括保护儿童的脆弱性和儿童在教育、家庭、媒体和游戏方面的权利。这些在《联合国儿童权利公约》(UNCRC)中有所概述,并在该公约关于数字环境中儿童权利的第25号一般性意见(2021年)中进一步阐述。
内置系统不会进一步加剧数字鸿沟,如联合国关于“抓住安全、可靠和可信的人工智能系统促进可持续发展的机遇”的决议(A/78/L.49)所述。内置AI或其他数字技术的产品应在新兴经济体中功能齐全。它们还应进一步旨在不为新兴经济体在这些产品上的贸易或进入此类市场创造障碍。
监管目标和数字考量
内置系统应以确保可信赖性的方式设计。这将包括针对AI特定安全威胁、AI特定隐私威胁、不可预测性、不透明性和AI系统实施和使用中的挑战的保障措施。这些在ISO/IEC TR24028关于人工智能的可信赖性概述中有所阐述。对数据丢失或未经授权访问的具体关注已在例如欧盟(EU)《通用数据保护条例》(GDPR)、EU AI法案和其他数据法规中制定。
内置系统应预见一个强大的系统以保护免受网络攻击。这些系统应保障数据漂移、概念漂移、奖励黑客算法和安全探索。这在ISO/IEC TR5469关于功能安全和AI系统中有所阐述。例如,还参见美国国家标准与技术研究院(NIST)对抗性机器学习、攻击和缓解的分类和术语(NIST AI 100-2e2023)和NIST网络安全框架(CSF)2.0(NIST CSWP.29)。同样,应采取措施确保嵌入式技术不能用于非法活动(如未经授权或非法控制或监视、诽谤或中伤)。
参考国际标准
除了上一节中列出的标准外,还有许多标准可协助设计和监管内置AI或其他数字技术的产品或服务。
正如WP.6关于参考标准的建议D和WTO TBT协定第2.4条中所述:“当需要技术法规且存在相关国际标准或其完成在即时,[WTO]成员应使用它们或它们的相关部分作为其技术法规的基础,除非这些国际标准或相关部分将是实现所追求的合法目标无效或不适当的手段,例如由于基本气候或地理因素或基本技术问题。”
以下国际标准可能与内置AI或其他数字技术的产品或/和服务相关:
ISO/IEC 42001系列标准关于AI管理系统
ISO/IEC 23894:2023系列标准关于AI—风险管理指南
ISO/IEC TR 22100-5系列标准关于AI机器学习的含义
IEC 62443系列标准关于工业自动化和控制系统(IACS)
IEEE 7001-2021系列标准关于自主系统透明度
经济合作与发展组织(OECD)关于人工智能的理事会建议(OECD/LEGAL/0449)
联合国教育、科学及文化组织(UNESCO)关于人工智能伦理的建议(SHS/BIO/PI/2021/1)
世界卫生组织(WHO)关于人工智能伦理和治理的指导:关于大型多模态模型的指导
还需要考虑解决特定消费者保护和包容性的标准。
合格评定
当前合格评定的监管实践遵循部门特定授权,而内置AI或其他数字技术的产品或/和服务的合规性具有横向性质,需要新专业知识。作为多学科方法的横向监管协作对于识别和应对风险、漏洞和网络威胁以及提高运营韧性是必要的。这需要开发超越部门授权的横向监管能力,这些能力跨越授权的程序孤岛,既支持数字创新的动态性质,又符合数字市场所需的执法策略。
除了由特定机构监督的产品合规性检查外,内置AI或其他数字技术的产品还需要针对产品的AI特定技术方面进行验证。如上所述,风险在于每个国家机构可能对其传统上监督的产品采取不同的AI方法。这可能导致单一经济体内存在多个AI合规规则。建议避免这种方法。
合格评定程序的严格程度应与产品不合规的风险成比例。
AI系统的功能无法在标准中描述到符合标准的产品将被视为安全产品的程度。即使是这样,经济经营者或合格评定机构也无法查看这些系统进行测试。此外,它们的功能可能是随机的,它们可能在相似条件下表现出不同的行为。
AI系统的监管框架应为AI系统提供商/其他利益相关者建立要求,以在开发过程中减轻系统风险,并要求AI系统的残余风险是可容忍的。
供应商符合性声明
对于有限风险的内置AI或其他数字技术的产品或服务,以及最终对于低风险的产品或服务,可考虑供应商的符合性声明。
此类声明应概述供应商认可产品要求部分中的原则的重要性,并且产品或服务符合相关国际标准。例如,供应商声明可以有用地引用ISO/IEC TR5469关于功能安全和AI系统以及经济合作与发展组织(OECD)关于人工智能的理事会建议(OECD/LEGAL/0449)。
第三方合格评定
对于被视为高风险的内置AI或其他数字技术的产品或服务,可能更倾向于进行第三方合格评定。对于产品或服务的AI相关技术方面,此类评估应概述其符合产品要求部分中的原则,并且产品或服务符合相关国际标准。
引用的标准可能因产品类型而异。对于医疗设备,它可能是世界卫生组织(WHO)关于人工智能伦理和治理的指导:关于大型多模态模型的指导。
通过采用本CRA,政府机构将表明其接受基于本CRA原则的产品或服务的AI相关方面的第三方合格评定。这可以在现有相互承认协定的范围内或之外进行。在这两种情况下,都需要引用本CRA中关于AI相关方面的原则。
市场监督
内置AI或其他数字技术的产品或服务的一个主要定义方面和关键监管挑战是,它们可能与远程服务器相连,该服务器将提供定期更新。因此,挑战在于如何确保这些产品一旦投放市场后能够持续合规,这可能不允许对产品/服务属性的变化进行物理跟踪、检查或验证。
市场监管部门需要将持续合规的方法纳入其工作流程。这将包括定期强制性独立审计,以确保市场上已有的产品或服务符合政府批准的二元(合规/不合规)标准,并测试其是否符合最初进入市场所需的原则和标准(基于本CRA中的原则)。这些审计对于被确定为高风险的产品或服务将尤为重要。不再符合进入市场所需的原则和标准的产品或服务应及时召回并从市场中撤下。在出现严重不符合项的情况下,应发出国际警报以通知其他经济体。
内置人工智能产品的技术监管声明
跨国界监管合作和产品法规的协调是避免监管变成贸易技术壁垒的关键促进因素,这些监管针对风险和公共政策目的的合法目标,如国家安全、保护人类、动物或植物生命或健康、环境以及防止欺诈行为。本着这一目标,监管合作与标准化政策工作组(WP.6)制定了建议L:基于良好监管实践的跨国监管合作国际模式,并在第三十四届会议上提交了修订版以供决定(ECE/CTCS/WP.6/2024/13)。
建议L提供了关于如何建立共同监管安排(CRA)的指导,这是一个自愿机制,各国可以采纳以帮助协调产品法规并减少冗余的合规验证。一个关于内置人工智能或其他数字技术的产品或/和服务监管合规性的总体共同监管安排在第三十四届年会上提交以供决定(ECE/CTCS/WP.6/2024/11)。
为了跟踪本AI总体CRA的采用情况并促进基于其的产品特定CRA的制定,WP.6提议了一个简单的声明,政府机构可以利用该声明来促进技术法规的协调,并分享内置AI或其他数字技术的产品法规示例。
附件中的声明以WP.6关于性别敏感型标准和标准制定的声明(ECE/CTCS/WP.6/2018/6/Rev.1)为模型。建议的初步签署方为参加世界贸易组织贸易技术壁垒委员会的政府机构。其他从事产品监管的政府机构也欢迎采纳和签署。
附件
人工智能嵌入式产品的技术监管声明
组织:______________________________
我们作为政府机构:
承认可持续发展目标作为实现更好、更可持续未来的蓝图的重要性,包括在技术监管中的应用。
认识到内置于产品/服务中的人工智能(AI)和其他数字技术可能产生的社会影响。
认识到确保此类产品/服务的可信赖性、提高运营韧性和保护免受网络攻击的复杂性。
认识到朝着提高监管一致性努力的好处,并在可能的情况下,协调监管技术和方法,为可持续国际贸易带来清晰性,同时避免不必要的贸易技术壁垒并促进市场准入。
表示我们决心努力:
设置合法有效的监管目标
识别和评估风险
确定包含与内置AI产品相关要求的相关国际标准
确定相互认可的合格评定程序
建立有效的市场监督和其他执法机制
因此,我们特此承诺通过以下方式努力促进跨境监管趋同和增强与内置AI和其他数字技术的技术监管相关的互操作性:
(a)采用UNECE WP.6关于内置人工智能或其他数字技术的产品或/和服务监管合规性的总体共同监管安排2024年版(ECE/CTCS/WP.6/2024/11);
(b)提出总体CRA的应用产品特定用例,这些用例可作为最佳实践参考,并最终用作相互承认合格评定的基础;
(c)跟踪进展,收集并分享数据、经验教训和良好实践,以保持总体CRA和本声明的适用性。
授权签字人:_______________________
欧洲经济委员会贸易便利化和电子商务中心
监管合作与标准化政策工作组(WP.6)成立于20世纪70年代,是就非农产品法规协调问题开展交流的论坛。WP.6旨在促进监管合作、标准化政策和活动,这些活动有助于减少贸易技术壁垒,促进包括性别平等、气候和环境保护、循环经济以及适应新技术在内的可持续发展所有维度的进步。1999年成立了标准化和监管技术特设专家小组(START),以鼓励产品技术法规的监管趋同。主要目标是减轻企业的监管负担,鼓励各国政府协调其要求。自成立以来,START已为爆炸性环境设备、土方机械、电信和网络安全等领域制定了指导。这项工作由UNECE经济合作与贸易司(ECTD)内的市场准入科负责。ECTD协助成员国实现经济一体化,并促进和推动建立更有利的政策、金融和监管环境。这些支持包容性和可持续的后疫情复苏,并向更循环经济过渡,例如通过推广性别敏感型标准和通过数字和绿色转型。
