今年(2023年) 5月11日歐洲議會內部市場委員會(Internal Market Committee)以及公民自由委員會(Civil Liberties Committee)以84票同意、7票反對以及12票棄權之壓倒性票數接受了歐盟AI法案(EU Artificial Intelligence Act)草案修改版本(全文連結見此)。這份版本將於今年六月提交歐洲議會全體表決,再由歐洲議會、歐盟理事會及歐盟委員會三方會議決定最終條款,最後與成員國完成談判後實施。歐盟AI法案預計將是全球第一部針對AI進行法律監管的法案,屆時,所有在歐盟境內發展AI技術、配置AI系統及使用AI技術的產業或產品,都將必須遵守歐盟AI法案的規定。
台灣前往歐盟投資的產業不少,不論供應商、進口商、用戶、或第三方平台只要產品技術涉及AI技術(包括機器學習、專家系統等)均將受此法案影響。下文將簡介歐盟AI法案目前走向,並分析「專利佈局」在產業AI化以及法律監管之下的重要性。
【歐盟AI法案】簡介
2023年5月所通過版本,是根據歐盟執委會2年前所提出的草案之進一步修改。修改重點在於確保AI系統可受到人類監督、是安全、透明、可追蹤、非歧視,且對環境友善的。這套規範遵循風險評估機制,針對以下三種不同風險等級的AI應用,賦予供應者以及用戶不同的義務。
-
不可接受的風險等級
當AI應用被歸類屬於不可接受的風險等級,將被嚴格禁用。這種風險等級的AI系統例如:
a. 採用超越人類意識的潛意識技術、或有目的性的操縱/欺騙技術,以扭曲人或群體的行為為目的,削弱人得知資訊後做出決定的能力,來使人做出原本不會做的決定而造成該人、另一人或群體受到重大傷害;
b. 利用人或特定群體的弱點(包括已知或預知的個人特質、社經狀況、年齡或身體/精神殘疾),以扭曲該人或群體的行為為目的,而造成該人或另一人受到重大傷害;
c. 用於對自然人或群體,根據他們的社會行為或已知、推斷、預期的個人特徵去進行社會評分、評價或分類,而該評分導致對他們的不公平對待;以及
d. 用於根據人的位置、過去犯罪行為等個人特質或特徵,評估自然人犯罪或再犯罪風險;從網路上或有線電視資料片中無差別地毯式搜集生物資料而產生人臉辨識資料庫;或者用於在執法、邊境管理、工作場所以及教育機構中推斷人的情緒。
-
高風險等級
本次委員會修改的草案,擴大了高風險等級的範圍,只要是「傷害人類健康、安全,或對基本權利造成不利影響」的AI系統,都歸類為高風險的AI應用,需額外遵守安全規範。
對於是否「傷害健康、安全或對基本權利造成不利影響」的評估,應考慮到:AI系統的預期目的、可能被使用的程度、潛在傷害/不利影響的強度以及影響的人數,以及讓人依賴AI系統輸出結果的程度,特別是當使用者無法選擇不參與AI系統所輸出的結果。
此外,修正版本在法案的附件大幅增列適用的範圍,例如針對在政治活動中用於影響選民所使用的AI系統、以及在社群媒體平台所使用的推薦系統,都屬於高風險等級的AI應用。
當AI應用被歸類屬於高風險等級,需額外遵守的安全規範例如:應建立風險管理機制,該機制在該高風險等級AI應用的整個生命週期中持續的運作,識別及分析已知的或可預見的風險;高風險等級AI應用應該被設計為能夠自動記錄事件(logs)、具有可追溯性、具備適當的人機介面以供人類有效監督(由用戶實施),以及能夠讓人類透過「停止」按鈕或類似的程序來中斷AI系統的運作等等。此外,這類AI應用在投入市場前,還必須向監管機構提供技術文件,技術文件的內容包含AI系統預期的目的、AI系統開發過程的詳細描述等。
媒體關注的其中一個重點是,本次修正版本要求AI系統中所使用的基礎模型的供應商,應公布其所用來訓練模型的受著作權保護的資料。
-
有限或低風險
當AI應用未被歸類為上述不可接受或者高風險,即屬於有限或低風險的等級,不會被禁用也無須遵守額外的安全規範,但法規要求AI系統供應商以及用戶皆須承擔「透明度義務」。
透明度義務包括:
- AI系統供應商有義務告知使用者系統提供的內容是由AI產生。
- 當系統的用戶使用AI系統生成的圖像、聲音或影片內容與真實的人、地、物相似,該用戶必須揭露該內容是人工生成的。
面對AI,企業的因應之道
由以上歐盟AI法案目前草案修正版的簡介可知,歐盟不僅對於傷害人權的AI應用直接禁止,對於「傷害人類健康、安全,或對基本權利造成不利影響」的AI應用也有相當嚴格的規範,其目的在於藉由法律監管來限制企業及用戶,避免AI朝向人類無法控制的方向發展。歐盟已經跨出第一步,相信各國也會陸續制定相關規範以及建立專責機關。
歐盟AI法案之草案修正版本還須經過歐洲議會全體表決、三方會議,以及歐盟成員國談判才會定案以及實施,產品布局進入歐盟市場的企業可以預先準備的是:第一是盡可能避免讓產品所開發、配置、使用的AI技術落入「不可接受的風險等級」或者「高風險等級」;第二,則是預先建立好風險管理機制以及預先準備充分的技術文件,一旦所開發、配置、使用的AI技術落入「高風險等級」,則能盡速提供給監管機構相關的證明,以避免措手不及而付出高額罰款。
以專利從業角度來看,歐盟AI法案之草案在技術文件的規範方面,事實上與專利法的揭露性要求異曲同工,對於AI系統的技術描述同樣須避免以黑盒子的方式帶過,而是必須揭露系統的設計目的、所採用的預訓練系統或工具、演算方法、資料結構、各種參數的相關性,以及所使用的驗證以及測試程序等。也就是說,一份揭露充分明確的AI相關發明專利說明書,不但滿足專利要件,同時也在某種程度上預先準備歐盟AI法案所要求的技術文件,兼顧專利佈局與滿足法律監管,達到事半功倍的效果。