2024年10月29日,IAPP发布一篇对欧洲委员会《人工智能框架公约》的评论文章,预计未来几年内,相关国家的立法机构将通过符合要求的立法以执行该公约。与《人权公约》相比,此公约的执行机制较弱。为监督执行情况,签署方将再次召开会议评估各方合规性。尽管欧盟及其成员国可能已履行条约义务,但美国或英国尚未出台全面立法。以下为全文
欧洲委员会《人工智能框架公约》(The Council of Europe's Framework Convention on Artificial Intelligence)是首个具有法律约束力的人工智能国际条约,它对未来欧盟、美国、英国等签署司法管辖区的人工智能立法提出了一系列要求。对于欧盟内部人士及与欧盟《人工智能法案》(EU AI Act)关系密切的人士而言,该公约的要求并不会带来意外或额外负担,因为《人工智能法案》的要求已经远超这些要求。尽管如此,该公约仍为私营企业未来可能面临的监管负担提供了诸多线索,即使这些企业不在欧盟管辖范围内。
欧洲委员会(CoE)的46个成员国与欧盟成员国有所重叠,并扩展到包括英国、安道尔和乌克兰等其他在文化、政治或地理上相近的国家。该委员会不应与欧洲理事会(European Council)和欧盟理事会(Council of the European Union)(均为欧盟组成部分)相混淆。欧洲委员会经常致力于多边协议的制定,往往着眼于扩展和实施基本人权。
在委员会成员参与协商公约的同时,一些非成员国和观察员国,如阿根廷和美国,也定期参与谈判,并可约束自己遵守条约结果。过去由该委员会协商达成的公约包括《欧洲人权公约》(European Convention on Human Rights)和《关于个人数据处理的第108号公约》(Convention 108 on processing personal data)。这些多边协议对缔约国产生了深远影响;自1959年成立以来,欧洲人权法院(European Court of Human Rights)已通过了超过16,000项具有约束力的判决。
《框架公约》的协商过程与委员会之前的条约类似。协商始于2019年,当时成立了人工智能特设委员会(ad-hoc Committee on Artificial Intelligence),随后该委员会被人工智能委员会(Committee on Artificial Intelligence)取代。该条约由委员会起草,所有成员、欧盟以及非成员和观察员国都作出了贡献。条约于2024年5月最终确定,并于2024年9月开放供签署。
多边人工智能治理协议
尽管该公约自诩为人工智能治理领域的“世界上首个具有法律约束力的国际条约”,但它并非首个多边协议。经济合作与发展组织(Organisation for Economic Co-operation and Development)的《可信人工智能原则》(Principles for Trustworthy AI)在很大程度上与该公约重叠,该原则于2019年通过,并于2024年5月修订。此外,《布莱奇利宣言》(The Bletchley Declaration)也先于该公约,于2023年11月由一组与公约签署国非常相似的国家通过。相比之下,《布莱奇利宣言》代表了各加入国在人工智能安全方面进行合作的自愿承诺。
2024年5月在首尔举行的后续会议通过了《首尔宣言》(Seoul Declaration),该宣言致力于通过承诺建立人工智能安全研究所并合作开展人工智能安全研究,进一步推动人工智能安全领域的合作。许多加入国已经这样做了,一个显著的例子是美国和欧盟的人工智能安全研究所正在合作。
七国集团(G7)成员的《广岛人工智能进程》(Hiroshima AI Process)及其协议也先于该公约,但与经合组织、《布莱奇利宣言》/《首尔宣言》一样,它们不具有法律约束力。《广岛人工智能进程》会议于2023年10月产生了两份文件:一份是关于人工智能使用的原则,主要基于经合组织的原则;另一份是行为守则,要求各组织自愿遵守关于风险评估和缓解的各种建议,并在人工智能使用以及任何人工智能事故方面增强透明度,以及遵守各种治理、隐私和安全措施。尽管这些协议不具有法律约束力,但参与方(其组成往往相似)之间讨论的演变显示出过去五年在风险认知及其应对方式上的稳定性。
承诺通过人工智能治理规则
《框架公约》的签署方包括安道尔、格鲁吉亚、冰岛、挪威、摩尔多瓦共和国、圣马力诺、英国、以色列、美国和欧盟。其他国家,如加拿大,参与了谈判,但并未作为第一批签署国签署该条约。通过签署该条约,各方承诺将通过符合最低要求的立法。
预计各方相关国家立法机构将在未来几年内通过符合要求的立法。与《人权公约》不同,该公约的执行机制并不那么强大。为执行该公约,签署方将再次召集会议,确定各方是否遵守规定。尽管欧盟及其成员国可能已经履行了条约规定的义务,但美国或英国尚未出台任何全面立法来履行这些要求。
该条约列出了几项原则,这些原则应存在于各缔约国关于公共和私人实体开发、使用和治理人工智能的国内立法中。这些原则包括人类尊严和个人自主权、平等和非歧视、隐私和个人数据保护、透明度和监督、问责制和责任制、可靠性以及安全创新。
对于那些关注过去几年发布的各种国家人工智能政策的人来说,其中大多数原则应该并不陌生,这些政策可以在国际隐私专业人士协会(IAPP)的《全球人工智能法律和政策追踪》(Global AI Law and Policy Tracker)中找到。这些原则与经合组织采用的原则相一致,经合组织的成员与公约签署国有很大重叠。该公约中人工智能的定义也呼应了美国国家标准与技术研究院(National Institute of Standards and Technology)提出的定义,该定义也被经合组织、《人工智能法案》和《科罗拉多州人工智能消费者保护法》(Colorado Consumer Protections for AI)所采用,这进一步证明了这个相对宽泛的定义正成为国际标准。
然而,其中一个可能引人注目的原则是“安全创新”,在欧洲委员会的文献中,这意味着各国应通过有针对性地暂时暂停监管,为人工智能系统的受控开发和测试创造空间。这基本上是《人工智能法案》第57条所允许的监管沙盒的内容。另一个例子可以在《犹他州人工智能政策法案》(Utah's AI Policy Act)中找到,该法案建立了人工智能学习实验室计划。监管沙盒和学习实验室具有相同的目标:允许人工智能开发测试监管的边界,并让监管机构和立法者据此学习和调整监管措施。
该公约中有一个关于国家安全的例外条款,这似乎也是立法者和监管机构之间的共识,他们认为不应限制人工智能在战争或国土安全等领域的使用。虽然其他多边论坛,如法律自主武器系统政府专家组(Group of Governmental Experts on Legal Autonomous Weapons Systems),正在讨论人工智能和自主武器的使用,但许多更强大的人工智能治理和政策框架似乎并没有特别规定或限制人工智能在国家安全领域的应用。
具体治理要求
《框架公约》规定了对人工智能系统开发者和部署者构成合规负担的若干治理要求。这些要求与《人工智能法案》并无太大差异。虽然公约没有区分高风险和最低风险的人工智能,但却使用了语言来表明在考虑对人工智能系统施加限制或义务时应考虑风险。
人工智能系统应向系统使用者提供文档,且文档应足够详尽,以便用户能够对人工智能系统或其决策提出质疑。各方需要使受人工智能系统影响的人能够通过政府机构寻求补救措施,这意味着必须存在一个政府机构来处理此类投诉。
开发者和部署者需要通知与人工智能互动的人员,他们确实是在与人工智能系统互动。他们还需要在发布前进行风险和影响评估,并可能需要对系统进行测试。开发者和部署者必须根据评估结果制定预防和缓解措施。此外,《框架公约》的缔约方还可以选择引入更广泛的保护措施,或者像《人工智能法案》那样彻底禁止任何人工智能系统。
正在准备遵守现行全面人工智能立法(如《人工智能法案》或《科罗拉多州人工智能消费者保护法》)的组织应注意这一条约,并确保其政策和治理工作预先符合批准该公约后产生的任何立法要求。
这包括向公众提供或准备向公众提供的详实文档、对任何可能影响基本人权和公共服务获取的人工智能系统进行风险和影响评估、基于这些评估实施风险和缓解计划,以及确保公共人工智能系统的使用透明度,包括向与人工智能系统互动的人员发出通知。许多这些措施已经是全面人工智能立法所要求的,因此不应带来太大的额外负担。
欧洲委员会的《框架公约》是多年谈判的成果,也是美国、英国和欧盟等熟悉角色达成的另一项多边协议。虽然该条约似乎是对之前协议(如经合组织的《可信人工智能原则》、《布莱奇利宣言》/《首尔宣言》和《广岛人工智能进程》)的进一步迭代,但它是首个此类具有法律约束力的条约。公约的签署国已承诺通过符合该协议的立法,尽管它们可以像欧盟那样在国内进一步限制人工智能的使用。
原文作者:Richard Sentinella
