一、歐盟人工智能法案的立法進展
歐盟議會於2023年6月14日通過「人工智能法案(Artificial Intelligence Act)」,使草案推進到「三方會談(trilogue)」階段,此階段為立法程序的最後階段,將由歐盟理事會、委員會和議會三方談判以敲定法案最終細節,可望於今年底達成政治協議。一旦達成協議,預估各成員國約有兩年過渡期(即2025年底前),可將本法案過渡為成員國本國法,屆時與歐盟相關往來的業者均有受本法案影響之可能。
二、歐盟議會通過法案之前特別新增「AI基礎模型提供者」條款
(一) 本法案基本架構在2021年即已經歐盟理事會提出,目標是在歐盟法律體系建立具有技術中立性的「AI系統定義」,並根據利用AI系統產生的「風險高低」分層加以規範。將AI系統略分為四類,從最低風險(minimal risk)到有限度風險(limited risk)、高風險(high risk),以及具有無法被接受的風險(unacceptable)而禁止發展的項目,個別訂有不同要求。
(二) 期間由於派生於「通用人工智能」的「生成式AI」(例如ChatGPT以及MidJourney)快速發展,引發一系列道德、經濟及社會風險疑慮,且科學家警告:建構生成式AI的底層「基礎模型」包括大型語言模型(LLMs)等,可能被廣泛應用在各種風險類別的產業,將對醫療、製造、汽車、航空、國防、文創以及人力資源等產生重大影響。而原有的草案僅規範到「應用層級」,即僅對應用於特定用途的AI系統加以管制,不及於應用程式的底層「基礎模型」,馾許多風險卻肇因在訓練AI系統的階段。歐盟議會在各界之呼籲及協調下再對2022年11月版本的法案提出修正案,在2023年6月14日議會通過的法案中特別針對通用人工智能的基礎模型和生成式AI新增規範。主要為修正案第28b條之規定。論者認為,這代表生成式AI原則上不是「被禁止發展」的系統,而歐盟嘗試立法管理其發展範圍。
三、歐盟人工智能法案與「生成式AI」相關的規範
(一) 基本定義
1. 「基礎模型(Foundation models)」:從廣泛的數據來源和大數據上以監督學習、強化學習等方式進行訓練,為了通用性和多功能性之目的基於演算法而開發,以完成廣泛的下游任務,基礎模型可以是單模態或多模態,可以利用開源(open source)或者應用程式(app)做為實現特定用途的人工智能系統,或者做為通用人工智能系統(法案前言60(e)(h)、本法案第 3(1c) 條)。
2.「生成式AI (Generative AI)」:基礎模型中用於生成具有不同自主程度之文章、圖像、音頻或視頻等內容的通用人工智能系統(本法案第 28b(4) 條)。
(二) 主要規範對象
1.. 本法案第28b條主要規範對象為「基礎模型提供者 (provider of a foundation model)」,因此基礎模型的「利用者」尚非本條規範對象、另可能根據具體應用情形依本法案規範的「風險配置」項目適用不同規範(例如:企業利用AI系統進行招聘人才之篩選即適用「高風險」級別之監控及揭露規範)。
2. 基於前述定義,基礎模型是為了通用性和多功能性之目的而開發,而生成式AI亦為通用人工智能的一種應用。因此實際適用範圍很廣,解釋上可能包括基礎模型的開發商以及技術提供者(例如:提供大數據資料鏈結資訊給基礎模型開發商,使後者得據以訓練AI之情形)。
(三) 主要規範義務內容
1. 基礎模型提供者應採取適當措施來減輕模型對公眾造成的風險,並記錄任何無法減輕的風險:
(1) 基礎模型的提供者有義務在開發之前和開發過程中識別並減緩其模型可能對「健康、安全、基本權、環境、民主法治」造成的風險;確保系統具有足夠的性能、可預測性、可解釋性、可糾正性、安全性等目標。具體作法包括:導入外部獨立專家參與模型開發之評估、針對開發過程進行紀錄及分析。並在其基礎模型投放市場或投入使用後10年內保留前述技術文件,預備作為主管監督部門使用查核。
(2) 起草技術文件和易於理解的使用說明,使下游供應商能夠遵守本法案第 16 條(高風險系統的相關規範)和第 28(1)條(對於已投放市場的系統進行符合本法規定的修改) 等規範義務。
(3) 不僅是模型開發過程,而是在模型整個生命週期進行廣泛的測試(例如:確保數據集的品質以避免模型的「歧視」),並建立品管機制,以確保並記錄已遵守本法案規範的「基礎模型提供者」義務。
(4) 利用適用的標準來減少能源使用、資源使用和浪費,並提高能源效率和系統的整體效率,且不損害現有的歐盟和成員國法律。
2. 基礎模型提供者應向本法案60條規範的歐盟高風險人工智能數據庫註冊該基礎模型。
3. 「生成式AI」的基礎模型提供者應更進一步遵守以下規範
(1) 遵守本法案第 52(1)條規定的「透明度義務」:
- 除非從具體情況和前後談話內容可以輕易辨識,否則對於應用在與 自然人互動的AI系統,應確保以及時、清晰和易懂的方式告知自然人,他們正在與AI系統互動。
- 使與AI系統互動的自然人可以知悉系統哪些具體功能是由AI所運作、是否有人監督、誰負責決策過程,以及根據歐盟和成員國相關法律的現有規範架構,是否可以允許自然人或其代表拒絕應用此類AI系統,並針對AI系統做出的決定或造成的損害尋求司法救濟(包括尋求解釋)的權利。
(2) 訓練並在適用的情況下設計和開發基礎模型,以確保根據公認的現 有技術,在不損害基本權(包括言論自由)的情況下,預防生成內容違反歐盟法律。
(3) 在不損害歐盟或成員國或其聯盟有關著作權法的情況下,記錄並公開使用受著作權法保護之培訓數據的詳細摘要。
4. 倘若未能遵守前述義務,將被處以4千萬歐元或該公司前一年全球營業額7%的巨額罰款(以高者為準)。
5. 無論基礎模型是屬於獨立產品還是被嵌入AI系統中應用,也無論基礎模型是否以開源或者免費等方式提供,基礎模型提供者均受以上規範所拘束。
四、前述新增規範對生成式AI應用者產生的影響
(一) 本法案對於基礎模型的開發供應商具有直接影響力:
對於OpenAI 及其派生的 ChatGPT 和Google的Bard等大型語言模型(Large Language Models)供應商而言,前述規範架構對其等產生直接效力,但仍有許多細部有待釐清,例如:針對生成式AI發生的著作權爭議特別規範「記錄並公開基礎模型使用受著作權法保護之培訓數據的詳細摘要」義務,然而培訓大型語言模型的數據資料可能大於數十億作品,「摘要」必須達到如何程度才符合法定的「詳細」要件,仍有待進一步解釋。
(二) 關於生成式AI已經衍生的智慧財產侵權爭議案件:
1. 歐盟前述對於「生成式AI」的新增立法主要是針對「開發商」課以確保技術安全可控性、技術文件備置、透明度、基礎數據集管理(例如內容偏差性防止)等行政管理義務,以減輕「生成式AI」系統可能造成的侵權風險,而法案第28 b條亦概括規範供應商應「在不損害歐盟所保護基本權(含著作權)之情形下預防生成內容違反歐盟法律」。因此,著作權等智慧財產權利可被概括涵蓋在被保護的權利範圍內,但目前尚未見賦予智慧財產權人可直接根據本法案請求救濟之權利。
2. 因此,生成式AI衍生的具體著作等智慧財產侵權爭議案,在歐盟體系中仍依既有的法律規範加以解釋。例如:在歐盟體系內利用爬蟲機器人在網路挖掘大數據資料用以訓練、開發「大型語言模型」,擷取基礎模型訓練數據集的行為是否侵害著作權,仍依既有的歐盟「DSM 著作權指令(Directive on Copyright in the Digital Single Market, 2016/0280(COD), DSM Directive)」判斷,是否有該指令「大數據文字與資料探勘(Text and Data Mining, TDM)」例外不構成侵權條款之適用。
(三) 對於擬應用生成式AI的其他企業而言:
儘管上述新增法案不直接規範生成式AI的「利用者」,但生成式AI本即可廣泛應用在各種領域,只要其AI系統之影響及於歐盟境內,無論該AI系統的提供者或用戶位於何處,即有本法案之適用,並依其可能產生的風險適用本法案既有的「風險級別」分層管理規範。例如,將生成式AI應用在「聊天機器人」對外服務企業客戶,屬於「低風險」級別,而應符合「透明度」相關要求。因此,對於擬應用生成式AI的企業而言,仍宜在現階段採取行動盤點和記錄營運行為中可能利用生成式AI的項目,具體識別對應在歐盟體系規範的「風險級別」,以對應實施合規措施。