2023年3月,在英国《金融时报》报道科大讯飞等被美国制裁的中国企业正通过使用云服务绕开美国芯片出口管制后,《华尔街日报》透露美国政府正酝酿禁止中企通过使用美国云服务训练AI模型。那之后,关于美国政府将如何实施限制有不少猜测,笔者曾经在“美国会怎么对云服务进行出口管制”中详细论证了几种可能的政策选项。昨天,美国商务部公布了“采取额外措施应对重大恶意网络活动的国家紧急情况”的拟议规则,并向公众征求意见,正式揭晓了答案。
一、拟议规则的核心内容
(一)政策目标
美国认为,外国恶意行为者(基本上暗指中国)可以利用美国“基础设施即服务”(IaaS)提供商和外国转售商提供的云服务训练AI大模型,并用来进行恶意网络活动,因此美国的IaaS提供商要验证“外国人”(外国政府、企业、个人)客户的身份,并且在满足条件时向商务部报告“外国人”客户的详细身份信息和他们训练模型的活动,并且确保美国云服务商的外国经销商也验证“外国人”客户的身份和向其报告相关信息。
(二)法律依据
一是特朗普政府发布的第13984号“采取额外措施应对重大恶意网络活动的国家紧急情况”行政令。该行政令授权商务部要求美国IaaS提供商验证美国IaaS产品的外国客户身份、保存相关记录,并在适当情况下限制访问。
二是拜登政府的第14110号"安全、可靠和值得信赖的人工智能开发和使用"行政令。该行政令第4.2(c)条指示美国商务部长在行政令发布后90天内制定一项法规,要求美国 IaaS 提供商在外国人与美国 IaaS 提供商进行交易,以训练具有潜在能力、可用于恶意网络活动的AI大模型时,向商务部长提交报告。根据该条,美国 IaaS 提供商还应当要求外国转售商向其提交报告(美国 IaaS 提供商再将该报告转交给商务部长)。要报告的内容包括“外国人”的身份信息和模型训练活动。
(三)主要内容
1、要求“美国IaaS提供商”执行“了解您的客户计划或客户识别计划”(CIP)。
提供商可以制定自己的程序和方法来验证其潜在外国客户和受益所有人的身份,前提是他们的CIP包括基于风险的程序,使提供商能够对每个客户和受益所有人的真实身份形成合理的信念。如果经过CIP发现“外国人”使用其云服务,并且用于训练具有“潜在用于恶意网络活动的能力的AI大模型”,那么美国IaaS提供商必须向商务部提交报告。报告应包括以下信息:“外国人”的身份、符合第14110号人工智能行政令规定或由商务部长确定的AI模型的“训练运行”情况、商务部长确定的其他信息。
“美国IaaS提供商”:任何提供IaaS服务的“美国人”(美国公民、美国永居、根据美国法律设立的实体、任何位于美国的个人),包括美国IaaS产品的美国经销商。这里面是不是包括“美国IaaS”提供商的外国子公司是一个很重要的问题。美国商务部指出,一些评论认为拟议规则应侧重于解决美国IaaS产品对美国的威胁,而不是外国子公司的威胁,因此不应该把外国子公司纳入管辖范围。商务部初步考虑不把美国IaaS提供商的外国子公司放进来。
“外国人”:简言之,如果一个人不是美国公民或在美国法律下不被视为“美国人”,那么就属于“外国人”,这也包括“受益所有人”。商务部表示考虑要求美国IaaS提供商收集验证实体拥有或维护的账户的受益所有人的身份,并且也报告这些“受益所有人”的详细信息。根据拟议规则,判断是不是“受益所有人”的标准是:(1)对客户行使实质性控制;(2)拥有或控制客户至少25%的所有权利益的个人;两者满足一个即可。商务部希望公众能对该判断标准提供评论,包括“实质性控制”的含义具体应该指什么。这就堵上了中国公司通过间接控制第三国公司规避KYC的口子。
“潜在用于恶意网络活动的能力的AI大模型”:这是触发美国IaaS提供商报告义务的关键,也就是说一般地使用云服务(比如用来进行内容审核的算法训练)不用报告,但如果是用来做很强能力的AI大模型则要报告。那么这种很强能力的阈值指标是什么呢?商务部在这个问题上很谨慎,希望公众能够给他们提供建议。
“外国人”的身份信息:客户的姓名、地址、每个客户账户的付款方式和来源、电子邮件地址和电话号码,以及用于访问或管理账户的网际互连协议(IP)地址。商务部希望公众就以下问题发表意见:(1)是否应将其他形式的身份识别信息(如数字或基于技术的身份识别)作为美国IaaS提供商验证客户身份的可接受手段;(2)公司是否有隐私保护或隐私增强技术来验证相同的信息或其他可以有效实现实名认证的替代方案。
“训练运行”信息:即AI模型通过使用计算能力从数据中学习的任何过程,包括关于“训练运行”的识别信息(即客户的姓名、地址、客户账户的付款方式和来源、电子邮件地址、电话号码和IP地址)以及“训练运行”本身的情况。商务部还说,如果公众觉得还应当要求IaaS提供商报告除此之外的其他信息,欢迎提出评论意见。
2、要求美国IaaS提供商和美国IaaS产品的外国经销商CIP维护、保护和获取在验证客户身份过程中访问的相关客户信息记录的程序。至少,此记录必须包括客户首次尝试开设账户时提供的身份证据和属性的描述,验证客户身份所采取的任何措施的方法和结果的描述,以及验证识别信息时发现的任何实质性差异的解决方案的描述。
3、要求美国IaaS提供商还必须向商务部提交CIP认证表,其中包括用于验证外国人身份的机制、服务、软件、系统或工具的描述、用于要求客户通知IaaS提供商其所有权变更的程序、IaaS提供商用于持续验证客户提供信息准确性的流程,还必须描述IaaS提供商用于检测恶意网络活动的机制、服务、软件、系统或工具。
4、商务部长在与国防部长、司法部长、国土安全部长和国家情报局局长以及其他部门协商后,可以根据自己认为适当的因素,豁免相关美国IaaS提供商验证外国客户身份和报告信息的义务。比如如果美国公司能积极主动地提供有关外国客户恶意网络活动的取证信息等,作为一种合规奖励机制,可以给予豁免。
二、对拟议规则的整体观察和评价
(一)对云服务的限制显然没有采取和芯片一样的“出口管制”思路
商务部工业和安全局(BIS)一直认为提供云服务不受EAR的管辖,并且把云服务的用户/客户(而不是云服务提供商本身)视为相关的“出口商”。出于这些原因,EAR的基于物项的控制、最终用途控制和最终用户控制(都只适用于实物商品、软件和技术),难以用在云服务身上。即便是把管制范围限定在最接近硬件层的IaaS,也要对美国出口管制法进行较大的突破(在传统管制的对象物项、软件和技术之外,新增加“服务”),需要修改《出口管理条例》(EAR),这个难度可想而知。
(二)限制范围相对比较克制和限缩
1、把限制的云服务范围控制在“基础设施即服务”(IaaS)
IaaS是指把IT系统的基础设施层作为服务出租出去。由云服务提供商把IT系统的基础设施建设好,并对计算设备进行池化,然后直接对外出租硬件服务器、虚拟主机、存储或网络设施(负载均衡器、防火墙、公网IP地址及诸如DNS等基础服务)等。云服务提供商负责管理机房基础设施、计算机网络、磁盘柜、服务器(包括所用芯片)和虚拟机,租户自己安装和管理操作系统、数据库、中间件和运行库、应用软件和数据信息。IssS本身仍然是“服务”,但却是云服务中最贴近EAR管制“物项”的部分,也是最接近直接向客户提供受控芯片的情况。“软件即服务”(SaaS)和平台即服务(PaaS)由于基本不涉及硬件,和大模型训练关系不大,所以没有放入拟议规则。
2、把限制的主体范围控制在“美国IaaS提供商”
理论上,BIS可以基于“美国人”这个法律连接点,限制“美国人”(包括美国公民、永久居民、美国公司和任何位于美国的人)从事“支持”向中国的军事、安全或情报服务最终用途和最终用户提供云服务的行为,进而管到非美国云服务商。比如位于北京的中国云服务商、位于迪拜的某个中东云服务商,本身不是“美国人”,但如果雇佣了参与云服务销售的“美国人”,理论上也会被BIS长臂管辖。但这次商务部发布的拟议规则明确了只适用于“美国IaaS提供商”,彻底排除了没有注册在美国的中国或第三国云服务商,并且连美国云服务商的海外子公司都排除了。
当然,美国政府肯定是有自己的考虑的,因为把“美国人”做连接点去管非美国的云服务商,可能会激励非美国云服务商把“美国人”从其销售和支持团队中移除,以避免受到美国的管辖,好继续向中国售卖云服务。这样伤害的只能是亚马逊这些美国云服务商,失业的也肯定都是美国人。
3、采取了“了解你的客户”(Know Your Customer/KYC)思路
KYC是在金融领域应用很成熟的规则,也是银行反洗钱和反恐怖主义融资的基石。美国通过《银行保密法》等国内立法规定,金融机构有义务实施客户识别程序、进行风险评估、对被评估为高风险的客户加强尽调、识别和验证客户的受益所有人、进行持续监控、向美国政府报告可疑活动等。美国财政部内的金融犯罪执法网络(FinCEN)负责监督执行相关义务的履行情况。鉴于金融市场和交易的全球性,金融部门的KYC规则得到了国际社会的普遍认可与支持。G7于1989年设立了金融特别工作组,作为促进全球反洗钱和反恐怖主义融资的主要政府间组织,确保了G7采取一致的KYC,打击洗钱、恐怖主义融资和大规模杀伤性武器扩散。
去年,美英智库就如何限制中国公司通过美国云服务规避芯片出口管制出了很多点子,其中大家比较有共识的就是让美国云服务商借鉴金融机构的KYC规则,承担更多的尽职调查义务。2023年6月,新美国安全中心研究员Tim Fist在《外交政策》的文章、乔治城大学安全和新兴技术中心的报告、英国人工智能治理中心的报告都提出了这个思路,并且有的还给出了很详尽的制度设计。从拟议规则看,美国商务部最终采纳了专家智库的上述建议。
三、为什么能采取KYC这种路径?
对云的访问,有条件建立精确而灵活的机制来限制人工智能的扩散。这和芯片这类实物的出口明显不同,芯片出口到了国外就很难再控制其流转,但云服务的实质是对芯片的数字访问,只能为相关客户提供特定时间点的计算能力,云服务提供商可以随时限制或关闭服务,还可以了解每个客户使用了多少算力。这也让云服务商有能力精确地瞄准最资源密集型的计算用途,并且因应地缘政治等风险变化来灵活控制。
拜登政府第14110号人工智能行政令实际上设定了一个阈值作为美国云服务商的开关,即如果有一个正在做AI大模型的美国云服务商客户需要非常强大的计算能力,大模型是在一群连接得很紧密、工作得很快的计算机上训练出来的,那么就很可能被中国用来做网络攻击等坏事(当然这都是借口),就需要云服务提供商向美国政府报告这些客户的情况。第14110号人工智能行政令设想的具体阈值是:相关大模型需要超过10的26次方次的计算能力,并且是在一群强大的计算机上训练,这群计算机放在同一个数据中心里的,相互之间可以非常快速地交换数据(速度超过每秒100GB),且整个数据中心的计算速度可以达到每秒10的20次方次。
这种指定一个计算能力阈值的方式,能够实现对云服务的精准控制,并且不需要云服务商访问其客户的数据或机密信息(这在很多客户看来是很忌讳的,可能最后直接选择不用了)。多数情况下,客户从云服务商采购的计算总量在签订合同时就设定了,并且对芯片的数字访问一般是按小时计费,因此云服务商很容易持续监控和识别累积的总计算能力,然后对任何超过该阈值的客户按照KYC加强尽调,在发现有中国客户使用大量计算资源的情况时及时报告美国商务部。
对美国商务部而言,这提供了一个监控中国大模型领先企业和发展情况的工具,BIS可以根据不同中国公司的情况采取不同措施,正如雷蒙多昨天对外宣称的,“我们正在努力获取这些信息。我们如何处理取决于我们发现了什么”。笔者认为,对已经在各类制裁清单上的公司,BIS大概率会直接要求美国云服务商切断服务;对其他的公司不排除放行的可能,但雷蒙多昨天说的话是很硬的:“美国正在尽我们所能阻止中国获得训练自己AI模型的计算能力,但如果他们绕过这一点使用我们的云来训练他们的模型,那有什么好处呢?”基于她的这一表态,笔者认为不乐观,放行的很可能是极少数。
四、对产业的影响
(一)对中国AI大模型训练的影响
