美国、欧盟及英国对人工智能的监管与规制

文/郑孜青 编辑/王亚亚

当前，以ChatGPT为代表的人工智能成为新一轮科技革命的重要方向。人工智能不仅有利于全球智能制造的产业升级，也有利于各经济体挖掘新的增长引擎。与此同时，以ChatGPT为代表的人工智能对个人隐私、网络安全、知识创作等均带来潜在风险。主要发达经济体已意识到上述问题，并就人工智能技术监管与规制进行探索，以确保人工智能技术开发或部署的透明度、公平性和可问责性。本文聚焦美国、欧盟、英国这三个司法辖区对人工智能的监管政策和监管活动，对比这三个司法辖区对人工智能监管的异同，并对未来相关监管趋势进行展望。

人工智能监管概况

ChatGPT发布以来，美国、欧盟、英国社会各界对ChatGPT提出的法律风险主要集中在以下三个方面：一是以ChatGPT为代表的人工智能生成内容所涉及的著作权许可和侵权问题，该问题的核心在于人工智能生成内容是否构成作品。二是人工智能工具使用过程涉及的数据和个人隐私保护问题。三是以ChatGPT为代表的人工智能未取得相关执业许可即提供专业建议的的法律风险问题。

截至目前，美国、欧盟、英国尚未正式出台专门规制人工智能的法律法规或指南，不过，已经出现了涵盖人工智能的相关监管指导性文件，其中受关注程度最高的政策文件或草案是：美国国家标准及技术研究所（National Institute of Standards and Technology，NIST）发布的指导性文件《人工智能风险管理框架1.0》、欧盟委员会的立法草案《人工智能法案（草案）》和英国发布的指导性文件《人工智能监管政策》（AI Regulation Policy Paper）。根据上述政策文件，目前这三个司法辖区在人工智能行业发展政策、立法和执法重点、监管机构设置以及社会关切等方面均存在一定差异。

在人工智能行业导向方面，美国干涉力度较低，而欧盟和英国则对人工智能发展保持相对谨慎态度，这也与三个司法辖区人工智能产业发展状况和法制环境不同有关。目前，美国人工智能技术领先于全球，其后为英国、中国、日本、韩国等。在美国，人工智能监管旨在促进科技行业的创新和发展，而在欧盟和英国，人工智能监管在促进创新的同时，也强调在人工智能发展中捍卫公民的基本权利，即保护公民的生命和自由、不受奴役和酷刑、获得教育和工作等基本权利，并且要求把捍卫公民基本权利上升到人工智能开发的价值观层面（以下统称“基本权利和价值观”）。

在人工智能监管的立法和执法重点方面，美国为了尽可能促进人工智能的开发利用，鼓励科技行业自愿遵守相关原则并进行自我监管。而欧盟和英国则积极围绕人工智能构建一个能够保护上述基本权利和价值观的法律框架，计划通过建立强有力的执法机制以确保相关人工智能企业合规。

在人工智能监管机构的设置方面，美国目前尚没有设置统一的人工智能监管机构的计划，美国各政府部门在各自职权范围内开展针对人工智能的监管。与美国不同，欧盟委员会提议成立一个欧洲人工智能委员会。英国则拟指定英国政府下设的独立机构——信息专员办公室（Information Commissioner's Office，ICO）对人工智能进行监管，目前尚不会设立新的专门的人工智能监管机构。

在社会关切方面，美国涉及人工智能的立法障碍主要来自党派僵局和缺乏监管必要性的共识。欧盟和英国人工智能的立法面临的挑战则是如何在促进创新与保护基本权利和价值观的需求之间取得平衡。此外，美欧人工智能监管也持续地受到国际关系和政治动态的影响。

整体来说，相对于欧盟、英国，美国对人工智能发展监管力度较弱，而欧盟、英国，除规划中监管机构设置有所不同，二者在人工智能产业发展政策、立法和执法重点、社会关切等方面均有相似之处。

美国监管政策及执法实践

联邦层面，虽然美国迄今为止尚未制定全面规制人工智能的联邦立法，但是美国国会已启动规范人工智能应用的多部法律立法进程。此外，相关行政部门也在持续地制定涉及人工智能的风险管理指令和规则，例如平等就业机会委员会正在考虑的人员雇佣和办公场所管理等方面人工智能系统应用的政策指引等。目前，在传统监管框架内，美国已有多部现行法规可以涵盖涉及人工智能的行为，如涉及产品责任、数据隐私、知识产权、反歧视和工作场所权利等法规同样适用于人工智能的监管。在这种分散管理型的法律框架下，相关主体应用人工智能的行为如果违反了《公平信用报告法》《平等信用机会法》《联邦贸易法（第五节）》《1964 年民权法案第七章》《美国残疾人法案》《就业年龄歧视法》《公平住房法》《遗传信息和非歧视法》等法规，将承担相应的法律责任。

州层面，美国目前暂未出现专注于人工智能监管的州一级立法。部分州的数据和隐私保护法规定了有关自动化决策的条款，与人工智能的监管有一定关联，如加利福尼亚州的《加州隐私权法》规定，消费者有权选择不使用他们的个人信息进行自动化决策，这包括评估或有关消费者工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为、位置或运动的决策。

最受业界关注的监管文件是NIST于2023年1月发布的《人工智能风险管理框架1.0》。该文件之所以备受关注，是因为它提出了一套有关人工智能风险识别和管理的全面指南和实践建议，旨在帮助相关方管理与人工智能系统部署相关的各类风险。《人工智能风险管理框架1.0》是在包括工业界、学术界、政府和民间主体的各利益相关方的广泛参与下制定的，可信度和接受度较高。《人工智能风险管理框架1.0》包括两部分，第一部分梳理了人工智能相关风险，并概述了可信赖人工智能系统的特征。第二部分介绍了《人工智能风险管理框架1.0》的四大核心功能，即治理、映射、测量和管理，每个功能项下还分为不同的类别和子类别，通过多元化的方法，帮助各个相关主体应对实践中人工智能系统带来的风险和潜在影响，以确保以负责任的方式开发和使用人工智能系统。

美国未指定专门机构来开展人工智能相关监管，因此，不同行政机关都在积极探索，包括以各种方式发布新规则或者发布对既有规则的解释和指引，以便将人工智能监管纳入它们已有的职责范围之内。预计未来美国将持续发布更多人工智能监管政策文件。

目前，美国与人工智能相关的监管行动主要集中在美国联邦贸易委员会和美国版权局。两个机构分别在各自职权范围内，从维护市场竞争和保护著作权的角度开展了相关执法，如在线照片存储平台Everalbum案和克里斯蒂娜·卡什塔诺娃（Kristina Kashtanova）案。

在2021年的在线照片存储平台Everalbum案中，联邦贸易委员会要求在线照片存储平台Everalbum公司删除其面部识别算法，这一算法是利用用户存储在其平台上的照片训练而成的。美国联邦贸易委员会认为，虽然Everablum告诉用户可以关闭面部识别功能，但即便用户关闭了面部识别功能，Everablum仍在继续使用用户照片训练其面部识别人工智能系统。美国联邦贸易委员会认为该行为违反了《联邦贸易委员会法案（第五节）》，属于欺骗消费者行为，并要求Everalbum删除其面部训练数据和已经开发的人工智能算法。

在2022年底的Kristina Kashtanova案中，美国版权局追溯性地重新审查艺术家Kristina Kashtanova此前已经获批的著作权登记申请，告知该艺术家她的图画小说《黎明查莉娅》的第一期注册可能会被取消，理由是人工智能部分地参与了该作品的创作。美国版权局曾经在此前批准了Kristina Kashtanova对该作品的登记，随后被广泛宣传为已知的首个在美国版权局成功登记的人工智能生成作品。此次美国版权局认为，根据美国法律，版权依赖于人类作者身份而存在，对仅由机器和人工智能创作的作品，美国版权局将不予批准其著作权登记申请。有观点指出，美国版权局在该案中的态度是对创作者的一种预警，任何提交包含人工智能生成内容的作品的人，都被要求披露作品中的人工智能生成内容，并证明人类参与创作的程度。目前，该案仍在审查中。

当前，美国有可能持续加强包括人工智能领域在内的出口管制和贸易制裁措施，中企需要对潜在的管制措施前瞻性地对人工智能供应链所产生的影响进行评估，预判一旦无法获取关键物项和技术而可能造成的影响，是否存在替代渠道，并基于评估结果对国内外的业务链和研发布局进行调整。企业需要建立合规流程，在签订贸易或采购合同时谨慎进行物项分类、开展尽职调查和合规评估。目前，受美国《出口管制条例》管制的、涉及人工智能的常见物项包括：神经网络和某些其他自适应系统、数字计算机、图像识别软件、机器学习技术、高性能计算软件等。

欧盟监管政策及执法实践

自2018年起，欧盟陆续发布了有关人工智能监管的政策性文件，但尚未发布专门规制人工智能的立法。目前，与人工智能直接或间接相关的、欧盟现行有效立法主要包括《通用数据保护条例》《产品责任指令》《可信赖人工智能道德指南》等。

继2022年欧盟推出旨在加强在线服务竞争的《数字市场法》以及旨在保护用户数据的《数字服务法》后，市场认为，2023年欧盟将加快推动包括人工智能在内的互联网立法，并有望诞生全球首部人工智能专门性法律，以规范人工智能在欧盟的利用，并形成广泛的标准，以约束计划在欧盟使用、构建或销售人工智能产品和服务的供应商。

2021年4月，欧盟委员会发布《人工智能法案（草案）》（下称《草案》）。该草案旨在建立一个规范人工智能使用的监管框架，采取基于风险分类的方法监管人工智能使用，并设立全球标杆。《草案》没有对所有类型的人工智能系统进行一揽子监管，而是将人工智能系统分为“不可接受风险、高风险和低风险”三个层级，《草案》拟明确禁止具有不可接受风险的人工智能系统，如扭曲人类行为的人工智能系统、为公共当局或其代表进行社会评分的人工智能系统和实时远程生物特征识别人工智能系统，重点规制高风险人工智能系统，这些系统将在技术、监控和合规方面引发重点关注，《草案》要求低风险类别中的某些人工智能系统须遵守透明度义务，鼓励低风险业务经营者通过实施行为准则进行自我监管。与《通用数据保护条例》类似，《草案》对违规行为规定了巨额罚款以及其他补救措施。根据严重程度，违规行为将适用不同的罚款等级：违反不可接受的风险相关的禁令或违反高风险相关的数据治理规定，最高可处3000万欧元或全球年营业额的6%罚款，以二者中较高者为准；人工智能系统不符合《草案》其他规定，最高可处2000万欧元或全球年营业额的4%罚款；向监管机构提供不准确、不完整的信息或虚假信息的，最高可处1000万欧元或全球年营业额的2%罚款。

人工智能的监管和治理是一项复杂的议题，主要经济体均在探索出台更多政策以规制其发展。

目前，欧盟在人工智能领域的的执法案例主要涉及反垄断法和数据保护法，典型案例包括谷歌案和面部识别公司Clearview案。在2017年的谷歌案中，欧盟委员会对谷歌处以24.2亿欧元的罚款，原因是谷歌在搜索结果中普遍性地将其自营的比较购物服务置于显著位置，同时在其搜索结果中对竞争对手的服务作降级处理。这一行为违反了欧盟反垄断法，构成了滥用市场支配地位的行为。欧盟委员会调查发现，谷歌使用复杂的算法获得有利于其自营的比较购物服务的搜索结果，这引发了监管机构对科技巨头利用算法或人工智能系统实施垄断行为的担忧。在2021年的面部识别公司Clearview案中，法国数据保护机构——国家信息与自由委员会（CNIL）对Clearview公司在未经个人同意的情况下使用面部识别技术收集和处理个人生物识别数据展开调查。Clearview 公司从各类网站收集所有可在这些网络上直接访问的照片和在线视频，从中提取信息，并建立了一个商用的人像搜索引擎，供使用者利用照片搜索到特定自然人。本案中，CNIL对Clearview公司处以2000万欧元罚款，并命令该公司停止收集和使用没有法律依据的法国个人信息，删除已经收集的个人信息。未来，《草案》出台后，欧盟执法机构预计将拥有更明确的监管依据，欧盟的人工智能执法将更加活跃。

对于计划在欧盟市场拓展相关人工智能业务的企业，建议重点考虑促进人工智能领域创新的同时，做好监管机构要求的人的生命和自由、不受奴役和酷刑、获得工作和教育的权利等基本权利平衡。首先，企业应当特别注意遵守欧盟的《通用数据保护条例》。该条例对个人信息的收集、处理和存储均提出了严格的合规管理要求。其次，建议相关企业对其人工智能系统对公民基本权利的影响从非歧视、公平和透明角度进行评估。此外，企业和投资者应寻求具体化的法律建议，以确保遵守欧盟、相关成员国、相关州或地区各不同层级的有关人工智能的法律和监管规则。

英国监管政策及执法实践

根据英国政府2022年7月发布的《人工智能监管政策》，英国尚无明确规制人工智能监管的专门法，目前是通过以其他立法目的而制定的零散法规来监管人工智能。《人工智能监管政策》提议建立一个支持创新的人工智能监管框架，该框架将以人工智能的具体特征为基础，并综合协调不同部门开展人工智能监管工作，其倡议的监管原则包括以下四个方面：

一是基于具体情形的原则。《人工智能监管政策》提议根据人工智能在特定环境下对个人、团体和企业的影响来监管人工智能，并将设计和实施相应监管措施的责任委托给各个监管机构。这样的监管方式不仅有针对性，而且有利于促进创新。

二是促进创新和基于风险的原则。《人工智能监管政策》鼓励创新，并避免对创新设置不必要的障碍。各监管机构需要重点解决有明确证据表明存在真正风险的问题，而不是紧盯着那些与人工智能相关的假设或低风险问题。

三是协调原则。《人工智能监管政策》建议建立一套针对人工智能独特特征的跨部门基本原则，供监管机构在其监管领域内自行解释、考量和实施。与此同时，为了操作便利和监管口径的一致性，该政策鼓励建立监管部门之间的协调机制。

四是比例性和适应性原则。《人工智能监管政策》强调监管方法应当符合被监管行为的特点，并且保持手段和目标之间适当的比例性。监管机构可以优先考虑更宽松的监管措施，例如行政指导。

截至目前，英国在人工智能方面的执法主要基于《英国通用数据保护条例》，出于保护个人信息与隐私的目的而进行的。总体上，ICO的相关执法并不活跃，仅有少量罚款案件，如和欧盟处罚类似的面部识别公司Clearview案。在2021年的Clearview案中，ICO称，Clearview 公司在多个方面违反了英国数据保护法，包括：未能以公平透明的方式使用英国居民的信息，没有收集相关信息的合法理由，以及未能建立非永久保存相关数据的机制。2022年5月23日，ICO对Clearview 公司处以750万英镑罚款。

对于在英国司法辖区开展业务的相关企业来说，首先，可密切关注ICO发布的指南或法规，预计ICO较有可能成为英国未来最主要的人工智能执法机构和协调机构。其次，企业应遵守《英国通用数据保护条例》，主动进行数据和隐私方面的影响评估，以识别人工智能对个人信息主体权利构成的风险，提前将可能造成的不利影响控制在最小范围，并积极响应政策要求的个人信息主体行使其数据权利的请求。此外，企业还应对人工智能的道德性进行评估，选择更符合道德观和保障基本人权的人工智能进行投资。

人工智能的监管和治理是一项复杂的议题，主要经济体均在探索出台更多政策以规制其发展。随着ChatGPT的问世，在可预见的未来，人工智能在经济和社会生活中扮演的角色将愈发重要，针对人工智能监管的法规预期也将更为紧迫。在这一背景下，相关企业在利用人工智能降低内容生产成本、为企业市场发展赋能的同时，也应当留意各国政策发展，关注社会舆论、产业政策和国际关系变化，以积极做好多方应对准备。