歐盟人工智慧規則草案(台灣)

郭彥含 律師、鄭伊芳 資深顧問[1]

歐盟執委會(European Commission)於2021年4月21日提出「人工智慧規則(AI Act)草案[2]」(以下簡稱AIA草案),延續歐盟2020年2月發布之「人工智慧白皮書」所提出之策略架構,建議歐盟建立一套以人為中心(human-centric)的AI法規,鼓勵對於安全、值得信賴且道德的AI進行研發與應用,透過AI法規監管體系的建立,發展AI信任生態圈(ecosystem of trust),以促進AI的發展。以下茲就歐盟執委會提出之AIA草案內容進行說明:

一、AI系統的定義:

AIA草案中所指的「人工智慧系統(AI system)」,定義相當寬廣,凡使用一種或多種附件I所列之機器學習、邏輯與知識方法或統計學方法[3],並可以對一組人為給定的目標,產出結果(如:內容、預測、建議或會影響與系統連動環境的決定)的軟體,皆屬於AIA草案中所稱之人工智慧系統。

二、AIA草案規範對象與域外效力:

AIA草案的規範對象涵蓋整個AI系統價值鏈上的參與者,包含供應商、製造商、進口商、經銷商、使用者等,但主要以AI系統的「供應商」與「使用者」為課予義務的對象。「供應商」指的是為了在歐盟市場中以自己的品牌將AI系統投放或投入服務(不論有償或無償),而開發AI系統的法人或自然人(包含公部門)。而「使用者」則是指,在自己權限範圍內使用AI系統的自然人、法人、機構或其他單位,但私人非專業活動之使用並不包含在內。

依草案規畫,未來AIA草案將適用於:(1)將AI系統投放到歐盟市場或將AI系統投入歐盟提供服務的供應商,無論該供應商設立於歐盟境內或第三國。(2)歐盟境內的AI系統使用者。(3)第三國AI系統的供應商或使用者,其系統產出的結果在歐盟境內使用。因此,AIA草案的域外效力不僅及於境外的系統供應商,亦包括AI系統本身在歐盟境內不可取得,且使用者非在歐盟境內使用,僅產出之結果在歐盟境內使用的情形。

三、對於AI系統的管制:

歐盟依循以風險為基礎的方法(risk–based approach),將AI系統分為四個風險層級:(1)不可接受的風險(Unacceptable risk )(即禁止使用的AI)(2)高風險(High-risk) (3)有限風險(Limited risk),及(4)最低風險(Minimal risk),不同風險層級的AI系統需遵循不同的規範,而AIA草案主要針對「不可接受的風險」及「高風險」AI進行規範。

(一) 禁止使用的AI:

AIA草案列出四種禁止使用的AI用途,這些用途因具有不可接受之風險,違反歐盟價值觀及基本權利,應予以完全禁止:

(1) 潛意識技術:

在個人未意識到的情況下,以潛意識技術嚴重扭曲個人的行為,導致(或可能導致)個人或他人身體或心理傷害;

(2) 利用弱勢:

利用特定群體年齡、身體或精神障礙的弱勢,嚴重扭曲弱勢群體中個人的行為,導致(或可能導致)個人或他人身體或心理傷害,例如:以語音鼓勵未成年人進行危險行為的玩具。

(3) 社會評分:

政府根據自然人的社會行為、特徵或個性,對自然人的信用進行評分或分類,對特定人或整個群體產生有害或不利的待遇;

(4) 公共場所生物辨識執法:

在公共場所出於執法目的而使用遠距生物辨識系統,但為尋找特定犯罪被害人(包括失踪兒童)、防止人身威脅或恐怖主義,或追訴重大犯罪,經司法機關或其他獨立機關事前授權,並在時間、地理範圍和人員受到適當的限制下,得在最小必要範圍內使用遠距生物辨識。

(二) 高風險AI系統:

除了禁止使用的AI外,以下AI技術的使用可能造成人身安全或基本權的負面影響,因此將被認定為「高風險」AI系統,而須遵循嚴格的法定義務:

(1) 產品或產品安全元件:

AI系統作為產品安全元件或本身即為產品,而受AIA附件II之歐盟既有產品相關法規規範(如醫療器材、機械、航空器、車輛、船舶、鐵路、兒童玩具等),且該等產品在市場銷售或投入使用前須經第三方進行符合性評估(conformity assessment)者;

(2) 特定領域的AI系統:

● 遠距生物辨識系統;

● 關鍵基礎設施(如運輸、水、電、瓦斯)安全元件;

● 教育與職業訓練之評分與錄取(如考試成績);

● 就業、勞動管理和自營資格(如用於招聘流程的履歷分類軟體);

● 公部門及私部門重要服務之取得(如信用評分、社會救助);

● 執法活動(如測謊、證據可信度的評估、再犯率評估);

● 移民、庇護和邊境管制(如旅行證件真實性的查核);

● 司法行政和民主程序(如依據具體事實適用法律)。

高風險AI系統應遵守的法定強制要求包括:

● 建立風險管理系統(Risk management system):

高風險AI必須建立並維持貫穿整個系統生命週期的風險管理系統,以識別和分析風險,並採取適當的風險管理措施;

● 資料治理(Data governance):

高風險AI用於訓練模型的資料應符合一定的品質,踐行適當的管理程序,且應具有相關性、代表性、正確且完整;

● 製作技術文件(Technical documentation):

高風險AI在投放市場或投入使用前,應製作詳細的技術文件,說明系統相關資訊及設置目的,供主管機關評估其合法性;

● 紀錄系統活動(Record-keeping):

高風險AI應具備自動記錄事件(Log)的功能,該功能應符合公認的標準或是通用的規格,以確保結果的可追溯性;

● 向使用者提供清楚充分的資訊(Transparency and provision of information to users):

高風險AI應確保使用者能夠解釋系統產出的結果且正確地使用系統產出的結果,系統並應配有使用說明,向使用者提供簡明、完整、正確、清晰的資訊;

● 適當的人為監督(Human oversight):

高風險AI應配有適當的人機介面工具,可由自然人監督系統運作,將風險降到最低;

● 準確性、穩健性和網路安全(Accuracy, robustness and cybersecurity):

高風險AI應有適當的準確性,面對系統內外發生錯誤、故障或不一致時候,仍具有穩健性,且應確保系統網路安全,預防對於系統的攻擊。

檢驗AI系統是否符合以上要求,係透過進入市場前的「符合性評估(conformity assessment)」來判斷,符合性評估的執行一部份將由歐盟既有產品相關法規之檢驗單位負責,另一部分則透過供應商內部控制程序自行評估,而生物辨識AI將由新成立之指定機構負責符合性評估程序。通過符合性評估後系統須印上CE標章以表彰其符合AIA草案規定而得以自由在歐盟市場流通。此外,高風險AI系統非屬歐盟既有產品法規下之產品者,在進入市場前必須在新設立的歐盟AI資料庫進行註冊。

AI系統進入市場後,供應商應進行上市後監控(post-market monitoring),確保AI系統持續符合前述之要求,且在發生重大事件時,通報各國監管機構。

(三) 有限風險AI系統:

有限風險AI系統即負有特定揭露義務之AI系統,AIA草案規定AI系統用於與自然人互動(例如:聊天機器人)、情緒辨別、生物分類、深度偽造者,應揭露予使用者知悉,讓使用者決定是否繼續使用該軟體。

(四) 最低風險AI系統:

最低風險AI系統即其他依循既有法規而無額外義務的AI系統。多數的AI系統皆屬於此風險層級,像是AI電玩或垃圾郵件分類器,AIA並不管制這類型的應用,但供應商得自願性遵守AI行為守則(codes of conduct)。

四、AI系統的監理:

在監理方面,歐盟將組成歐洲人工智慧委員會(European Artificial Intelligence Board)發布相關意見、指引,促進AIA的實施,以及推動人工智慧標準的發展。而由於AIA對於AI系統業者的遵循成本相當可觀,AIA草案中也鼓勵各國設立AI監理沙盒(即在給定的一段時間內,開放在可控制的環境中測試創新技術),並針對中小企業和新創企業提供協助。

五、違反AI規則的罰則:

目前AIA草案內,違反AIA之罰鍰金額相當高,使用禁止之AI系統或不遵守資料治理要求者,最高得處3000萬歐元,或上一會計年度全球年營業額的6%(以較高者為準);不遵守其他要求者,最高得處2000萬歐元或上一會計年度全球年營業額的4%;向指定機構或主管機關提供不正確、不完整或誤導性的資訊,最高得處1000萬歐元或上一會計年度全球年營業額的2%。

六、結論:AIA對於我國業者的影響

歐盟人工智慧規則(AIA)目前尚在草案階段,預計需要1至2年才能完成立法,且草案暫訂有24個月的寬限期,最終條文預計在3至5年後才會正式實施。自從草案提出後,各界對於草案內容仍有相當多意見,一部分人認為由於AIA對於AI的定義過於寬泛、高風險AI的領域過多且不明確、註冊所需揭露的項目內容過多等,可能造成AI研發與應用上的壓力;而另一方面,許多民間團體對於生物辨識技術的使用仍有顧慮,AIA草案對於生物辨識雖然有較嚴格的監管,但也開放許多例外,對於生物辨識監管的力道可能不如預期。從目前的討論來看,未來歐盟AIA的立法過程勢必仍將經歷各方的遊說與論辯,才能決定法案的最終版本。

然而,類似於歐盟一般資料保護規則(GDPR),歐盟人工智慧規則(AIA)亦將以歐盟規則(regulation)的形式發布,屆時將直接適用於歐盟各會員國,而其域外法效力擴及歐盟境外的AI系統產品或服務供應商,甚至是AI系統供應商及使用者皆位於歐盟境外,僅系統產出之結果於歐盟境內使用的情形。且AIA草案整合了歐盟既有的產品相關法規,除對開發AI系統的供應商課予相關責任外,特定產品的製造商亦與供應商負相同責任。因此,我國業者不論是有意在歐盟會員國以自己之品牌銷售AI系統,或其AI系統產生之結果可能在歐盟會員國使用,或是生產具有AI的醫療器材、機械、兒童玩具等特殊產品,皆須密切關注歐盟AIA草案的立法動態,在AIA正式實施前預作準備,以降低法令遵循風險。

[1] 本文僅代表作者個人意見,不代表事務所立場。

[2] Proposal for a Regulation laying down harmonised rules on artificial intelligence

https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence

[3] AI規則附件I所列AI開發技術和方法包括:(1)機器學習,包括監督式(supervised)、非監督式(unsupervised)、強化式 (reinforcement learning)及深度學習(deep learning)等各式方法; (2)邏輯和知識方法,包括知識表示法(knowledge representation)、歸納邏輯程式設計(inductive logic programming)、知識庫(knowledge base)、推理機(inference and deductive engine)、符號推理(symbolic reasoning)和專家系統(expert system);(3)統計方法、貝氏估計法(Bayesian estimation)、搜尋和優化方法。AI規則並授權未來將成立之歐洲人工智慧委員會(European Artificial Intelligence Board),得就附件I所列的AI開發技術與方法進行更新。