歐盟歐洲議會於2024年3月13日通過《人工智慧法案》(AI Act, AIA),並於2024年5月12日獲得會員國同意,由歐盟理事會通過,成為全球首部人工智慧監管法規。因此法具有域外效益,只要AI系統在歐盟市場產生影響者,無論系統是否設置在歐盟境內,都是其管轄的範圍,可能為AI產業未來發展與商業模式,甚至其他國家的監管架構帶來深遠影響。
壹、歐盟人工智慧法案重點
一、以風險等級為核心,橫跨AI產品生命週期的監管機制
歐盟《人工智慧法案》將AI分為4個風險等級,給予相對應的管制方法,風險越高所受的監管就越嚴格。由表1可以發現,此法適用的範圍非常的廣泛,從機器、運具、醫療器材,至銀行信用評等、保險業評估系統、移民與邊境管制等,雖然有些特定應用獲得豁免,如追蹤特定受害者、針對駕駛進行疲勞監測等狀況,但可以預見對將來企業研發或使用AI將產生重大影響。
表1 AI Act各風險等級與相關規範
資料來源:中經院彙整。European Parliament, 2024, Artificial Intelligent Act.
《人工智慧法案》主要監管對象是高風險AI,除了上市前須通過第三方合格評鑑,取得CE合格認證標誌外,還需至歐盟AI資料庫進行登記;此外本法案亦針對「高風險AI系統」應遵守的義務進行規範[1]:
• 建立風險評估與緩衝系統
• 建立涵蓋產品生命週期的風險管理系統
• 紀錄系統活動以確保該結果得以有效追溯
• 製作技術文件提供必要資訊,供主管機關評估其合法性(如演算法、資料來源)
• 提供使用者清楚充分的資訊(如使用手冊)
• 透明度與資訊條款
• 適當人為監督機制以減少風險
• 確保AI系統的正確性、穩定性、網路安全
然而因為各方對AI系統的分類仍有歧見,歐盟委員會將在法案執行後18個月內,提供更詳盡的分類指南。
《人工智慧法案》另外一項特色是,整個監管架構涵蓋AI系統的生命週期,從產品研發階段必須揭露訓練模型的資料來源、揭露模型算力、描述模型可能的風險;在產品上市後必須盡到告知義務如揭露內容為機器生成;至產品改版時,必須再度執行符合性評估如風險管理、修正技術文件、透明性、資料保存等。
二、針對生成式AI訂定監管法規,強調透明度與問責制
歐盟針對AI監管架構,原本只規劃對等級不同的特定用途AI(Fixed Purpose AI)加以規範,然而因為具有通用型人工智能(General Purpose AI)的「生成式AI」快速發展,許多風險在產品研發階段已經發生,造成個資、隱私、智慧財產權等爭議,因此在2023年6月草案中針對生成式AI提出監管條例,預計在2025年正式生效。根據《人工智慧法案》的定義,通用型AI模型(General Purpose AI Model, GPAI)是使用大數據自行監督訓練之AI模型,具有能力執行廣泛且不同之任務,可以被應用在市場或是整合至下游系統及應用程式,例如圖像和影音生成、語音辨識和翻譯等。
GPAI開發商及技術提供者的主要義務是透明度及問責制,相關規定包含[2]:
• 提供AI模型之技術文件,包含訓練與測試過程、評估結果等,並將資料提供予歐盟AI辦公室(EU AI Office)
• 提供相關文件給下游供應商,以整合AI模型並在透明性與專利保護之間取得平衡
• 必須符合歐盟著作權法
• 必須揭露訓練GPAI模型的資料來源
• 當GPAI被應用在AI系統上或是AI系統的零組件,就可能直接或間接適用高風險AI義務規範
三、具有域外效益,違反義務者將被課以鉅額罰款
《人工智慧法案》具有域外效益,只要AI系統在歐盟市場產生影響者,無論系統是否設置在歐盟境內,都是其管轄的範圍。影響所及包含歐盟境內的AI系統的使用者、投入AI系統至歐盟市場或提供服務的供應商、利用AI系統產出內容並在歐盟境內使用的供應商或使用者等。
對於違反相關規定的企業,將依違反行為被課以3種級距的高額罰款:
• 違反禁止規範者,最高可處以3,500萬歐元,或全球營業額7%之罰款,以其中金額高者計算。
• 不遵守「其他規範義務」,包括違反通用AI模型相關規則者,最高可處以1,500萬歐元,或全球營業額3%之罰款,以其中金額高者計算。
• 向主管機關提供不正確、不完整或誤導性訊息者,最高可處以750萬歐元,或全球營業額的1%之罰款,以其中金額高者計算。
四、歐盟AI監管架構複雜,企業面臨龐大責任風險與符合規範成本
歐盟與AI相關的監管法規其實並不只有《人工智慧法案》,包含2018年開始執行的《一般資料保護規則》;2024年《數位服務法案》、《數位市場法案》;研擬中的《人工智慧責任指令》。
AI系統的研發及應用高度仰賴數據資料,歐盟希望連結《一般資料保護規則》與《人工智慧法案》,強化個人資料的基本權利,為歐盟內外機構收集處理個人資料運用時提供行為規範。《一般資料保護規則》規定個資取得前須獲得當事人同意,且當事人可以隨時撤回[3]。此外資料跨境傳輸規定嚴格,只有在通過歐盟認定具備「適當保護水平」之地區或國家,才可跨境傳輸原本儲存在歐盟的個人資料。違反者可處以1,000萬至2,000萬歐元,或全球年營業總額2%至4%的罰款。目前已有多家國際企業因違反《一般資料保護規則》而遭受裁罰,2021年Amazon因為目標式廣告未取得用戶同意被罰7.46億歐元;2023年Meta因傳輸歐盟使用者的個人資料至美國,遭罰12億歐元;Google、H&M、萬豪酒店等都曾因違反此法遭罰。
《一般資料保護規則》已經產生具體影響,歐盟強勢監管數位市場的態度不容質疑,2024年開始執行的《數位服務法案》、《數位市場法案》,與即將生效的《人工智慧法案》,究竟會對AI產業造成何種效應仍待觀察。此外,歐洲複雜的監管架構將使得AI系統的開發者與部署者面臨龐大的責任風險與符合規範成本,大企業尚有資源可以對應,但對中小企業來說,無疑是雪上加霜,不公平競爭導致數位科技產業大者恆大的趨勢更難以扭轉。
貳、風險分類尚不明確,後續效應仍待觀察
《人工智慧法案》是以風險為核心橫跨AI產品生命週期的監管架構,另針對生成式AI訂定監管法規並強調透明度及問責制,域外效益使得此法案影響範圍擴及全球。然而目前的風險分類並不明確,雖然歐盟將在法案執行後18個月內提供更詳盡的分類指南,但不確定性與巨額罰款可能導致歐洲企業在AI投資放緩。未來企業不論在AI研發或是應用,除了必須遵守《人工智慧法案》的義務規範外,也需符合歐盟其他法規,複雜的監管制度及沉重的法律責任,可能影響模型表現亦或造成研發成本大幅提高。此外,相同企業使用多套AI系統,會因為應用領域的差異而分屬不同風險等級,企業風控難度增加。過去全球化的數位科技產業,在面對區域化的監管機制,或許不只是企業也是各國政府需要正視的問題。