歐盟對於人工智慧發展一直非常關注,2019年提出「值得信任的人工智慧倫理指南(Ethics Guidelines for Trustworthy AI)」,2020年發布《人工智慧白皮書》(White Paper on Artificial Intelligence),2021年4月則推出歐盟人工智慧監管框架提案,2023年6月14日歐洲議會(European Parliament)通過《人工智慧法案》(Artificial Intelligence Act),已進入立法程序的最後階段(即目前仍為草案[1]),後續透過歐盟理事會、委員會和議會三方協商確認法案最終細節。若順利於2023年底完成,預估將有二年過渡期,由歐盟各國將此法案導入各該國家立法。《人工智慧法案》為整個歐盟資料策略的一環,為歐盟透過立法展現其在數位轉型、資料經濟、人工智慧領域影響力的手段,將實質影響其他國家人工智慧法律立法的進程。
臺灣自2019年即有立委提出對於人工智慧相關的立法,主要都是採取「基本法」模式,針對重要的原則、綱領等進行政策性的宣示。行政機關較具體的立法意向,則可參考行政院智慧國家推動小組於2023年2月所提出之《臺灣AI行動計畫2.0》。法制部分列於推動架構「完善運作環境」之分項,主軸是「藉由推動資料治理,促進資料流通、並針對通用領域及如醫療、交通、金融等特定應用領域推動AI法制,以驅動AI應用創造價值。」亦即,針對AI所引發「通用領域」風險,如假訊息、隱私侵害、偏見歧視及安全性等,將參考國際立法潮流,重視AI倫理法制(如訂立AI相關指引、規範及評估訂定AI基本法等),推動與國際介接的規範與標準,以期「完善可信任AI運作環境」;針對「特定應用領域」,將配合醫療、交通、金融等領域之特殊需求,檢討既有法規,促成AI發展與應用。
然而,即將通過的歐盟《人工智慧法案》,其採具體、詳盡的監管機制,顯然已使臺灣政府原先擬以基本法規範的規劃時程受到影響,面臨是否應該越過基本法,直接研議AI相關監管機制的立法。事實上,不僅臺灣,各國都面臨歐盟強勢立法的壓力,美國、中國亦紛紛加速人工智慧監管的法制進程。本文以下即介紹歐盟《人工智慧法案》之監管架構,再分享有關臺灣有關AI相關法制可能的思考方向。
一、歐盟《人工智慧法案》監管架構
(一)儘可能擴大AI系統的適用範圍
依據第3條的定義,「人工智慧系統」(AI系統)指使用附件I所列出一種或多種技術或方法開發的軟體,能夠對一組人類給定的目標,生成如內容、預測、建議或影響其互動環境的決策」;而Annex I所列出的科技,則包括:(a)機器學習方法,包括監督、非監督和強化學習,使用包括深度學習在內各種不同方法;(b)以邏輯與知識為基礎的方法,包括知識表述、歸納(邏輯)編程、以知識為基礎、推理和演繹引擎、(符號)推理及專家系統;(c)統計方法、貝葉斯推斷、搜尋及最佳化方法。前述Annex I所列的科技大致臚列目前常見的AI科技,也就是說,無論弱人工智慧或是強人工智慧,均會被納入。該法案同時考量科技發展日新月異,依第4條規定授權委員會更新附件內容。
(二)依據風險等級區分監管強度
歐盟將AI系統依據其應用領域對於基本人權影響的風險等級,區分為不可接受的風險(unacceptable risk)、高風險(high risk)、低風險(low risk)、最低風險(minimal risk)。依第5條規定,包括像是對於人類或特定弱勢群體進行認知行為操控、進行社會評分而可能產生不當連結或違反比例原則之應用、基於刑事訴追目的於公眾得出入之場所進行即時或遠端的生物辨識,此等屬不可接受的風險原則禁止,例外對於像用於尋找失蹤兒童、防止恐怖攻擊或對人身安全之重大立即危險、特定重大犯罪等,在取得司法機關或獨立行政機關之事先許可方可進行。
至於經評估對安全或基本權利可能產生負面影響的AI系統應用,則屬於高風險類別,採取事前管制。若該等AI系統應用之商品或服務,原先即屬於歐盟產品安全法規所規範之產品,如特定器械、玩具、遊艇、纜車、航空器、外用醫療設備、電梯等,須依既有法規取得第三方合格評鑑方可上市;另外,若涉及人類生物特徵識別或分類、關鍵基礎設施管理及維運、教育及職業訓練、聘僱、受僱者管理及自僱者進入資格(如Uber eats、foodpanda等資訊平台接案資格審查或分案系統)、取得或享有關鍵私人服務或公共服務或福利、法律執行、移民、庇護及邊境管制、司法及民主程序等八大類,屬高風險領域。高風險AI服務上市前須先通過第三方的合格評鑑,獲得CE合格認證標誌,且至獨立之高風險AI系統歐盟資料庫完成登記。
《人工智慧法案》監管機制,主要即針對高風險之AI系統應用,除前述上市前程序外,須建立含蓋整個生命週期的風險管理系統、應遵守透明度要求、確保AI系統處於人類有效監控下運作、告知使用者是在與AI而非真人互動等,即建立可信任的AI服務等。
(三)生成式AI的特別規範
歐盟長期以來人工智慧立法的討論,是以特定領域的AI應用作為判斷風險的基礎,然而,2022年底生成式AI的熱潮,則突顯出原先架構對於通用型AI監管的適用疑義,故歐洲議會在通過《人工智慧法案》時,即將通用型的「基礎模型(Foundation models)及生成式AI明確納入監管。以ChatGPT為例,其基礎模型即為OpenAI公司的GPT-3.5、GPT-4,Bard的基礎模型則為Google公司的LaMDA,開源的Llama 2、圖片生成的DALL-E 2都是屬於基礎模型。
基礎模型提供者在開發過程中應識別並減少其模型可能對健康、安全、基本權利、環境、民主法治造成的風險,確保其可預測性、可解釋性、可糾正性、安全性等目標。具體作法包括:導入外部獨立專家參與模型開發之評估、針對開發過程進行紀錄及分析,即令產品上市後仍要持續廣泛的測試,例如:確保其資料集品質,避免歧視等目前生成式AI已知的倫理問題,同時也要遵守第52條的透明性義務,以避免像是deepfake等問題。針對訓練資料所涉著作權議題,亦規定在不影響歐盟會員國相關著作權法之情形,記錄並公開使用受著作權法保護之訓練資料的詳細摘要。
(四)域外效力
依據第2條,本法規適用於:(a)在歐盟市場銷售或投入使用AI系統的提供者,無論前述提供者是在歐盟內或在第三國設立;(b)位於歐盟內AI系統的使用者;(c)位於第三國設立的AI系統的提供者及使用者,而該系統產出的成果在歐盟中使用。
前述適用的規定,實際上即對歐盟域外提供者具有管轄效力,一旦AI服務的提供者被認定在歐盟提供服務或其產出成果被用於歐盟境內,即使伺服器置於其他國家,歐盟仍可透過《人工智慧法案》要求境外提供者遵守相關規範,對於臺灣的廠商而言,即令只是AI系統的應用廠商,只要歐盟使用者透過網路連線使用,仍須適用歐盟AI相關法規。
二、臺灣AI法制的思考方向
(一)AI監管應置於國家資料治理架構思考
歐盟《人工智慧法案》是其《資料策略》的一環,採取高強度的監管,具有歐盟建立單一資料市場,透過法律規範主導資料經濟未來的策略意涵。臺灣建立AI相關法制,亦應學習歐盟先釐清本身應採取的資料策略為何,建立國家層級的資料治理架構,再落實AI監管的相關立法。
(二)AI的特殊性與監管及法規遵循成本
AI系統具有複雜性、不透明性、不可預測性、自主性(Autonomy)及需要利用大量各種資料,涉及複雜且專業的領域,無論是政府機關進行監管或是企業進行法規遵循,都會產生相當大的成本。以個人資料保護法修正新增「個人資料保護委員會」為例,限於行政院組織法,不可能為獨立的二級機關,若為特定部會轄下的三級機關,則如何對於其他政府機關個資保護事項進行監管,又如何能有足夠的人力資源推動原由各目的事業主管機關負責之個資行政相關工作。AI的監管也有同樣的問題,歐盟模式所需的專業與監管資源相當高,也會造成企業端高的法規遵循成本,須一併納入考量。
(三)須同時思考來自政府及企業端的侵害風險
歐盟採取以風險為基礎的分級管理,著重在於AI對基本權利的侵害風險,但這並非只針對開發AI的企業,對於政府機關也同樣適用,《人工智慧法案》僅排除軍事用途。以GDPR及臺灣個人資料保護法施行的實際狀況,歐盟GDPR的大刀不只砍向企業,對於各國政府本身也有諸多違反GDPR的案件。事實上,憲法之所以保障基本權利,正是因為要讓人民有對抗政府機關的法律武器,人工智慧時代的來臨,政府有關AI工具的使用及對人民可能的負面影響,亦應在設計架構時一併考慮,勿再重蹈個人資料保護法之覆轍。
(四)生成式AI採特別規範有其必要
雖然目前歐盟在針對《人工智慧法案》各國協商的部分,已傳出可能因為部分國家對於基礎模型的監管意見不一致,可能無法如預期在2023年底達成共識,但生成式AI作為目前最具商業化可能的AI服務,其優缺點已逐漸為世人所熟知,進行AI的立法,不可能不處理此類泛用型AI的議題。歐盟議會通過修正內容區分基礎模型提供者與應用者而異其監管模式,在臺灣企業比較困難獨立完成大型基礎模型開發,主要多為應用者,不致對於臺灣企業造成過高的法規遵循成本。
三、結語
對於歐盟而言,《人工智慧法案》是由倫理指南、白皮書、監管框架逐步開展、凝聚各會員國共識,而且是整體歐盟《資料策略》的重要環節,用以實現其「單一資料市場」,透過法律獲取科技領域國際話語權的重要手段。由GDPR到數位市場法(Digital Markets Act)、數位服務法(Digital Services Act),確實撼動以美國為主的網路巨頭,大幅增加其等法規遵循的成本。在《人工智慧法案》最終協商階段來自各方的強力游說與表態,吾人亦可預期將同樣對於各國人工智慧的發展產生相當的影響。
臺灣針對產業的發展而言,本來就已經深受地緣政治影響,在美、中兩大之間難為小,業者經常面臨必須要「選邊站」的風險。而歐盟針對數位經濟透過《資料策略》引領立法,抗衡來自美國網路及AI產業的快速發展,也成為臺灣政府相當重要的借鑑。然而,臺灣網路、AI產業與美國連結較強,華文世界中相較於中國的大量簡體中文資料,臺灣獨有的繁體中文及背後薀含的文化在AI時代的發展需求,則是在人工智慧相關立法時,顯然是異於歐盟的立法考量。未來很難再如百餘年前開始的法律移植工作,幾乎照樣全搬就算完成,否則,即可能出現有如先前 參考數位服務法所公布之數位中介服務法草案,遭到來自數個不同產業的強力反彈。
未來無疑是人工智慧的年代,人工智慧對社會帶來巨大好處的同時,必然伴隨著負面的影響。歐盟《人工智慧法案》整個立法的期程其實是相當長的,與過去臺灣習慣由行政機關提案,立法院政治折衝通過有所不同,因為人工智慧系統涉及複雜且專業的領域,且仍然在持續發展中,儘可能地認識、熟習人工智慧的發展,參與相關立法的討論,是我們這一代人應盡的責任。
本文刊登於《會計研究》第457期,2023年12月
[1] 2023/6/14歐盟議會通過的版本,可於下述網址取得:https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.pdf
