通过建构事前的“产品合规框架”、事中的“全生命周期合规框架”以及事后的“巨额罚款的处罚框架”,欧盟着力解决的难题是如何平衡发展(创新)与安全(权利)之间的紧张关系,这体现在既要促进AI的开发、投放市场、提供服务和使用,又要确保人们免受AI的损害,高水平地保护人们的健康、安全和基本权利,同时还要支持科技的创新。
我们建议遵守如下策略:其一陈辉,在企业内定义并控制AI模型及系统的边界;其二,在组织内制定详细具体的AI治理计划,实施持续风险防控并构建体系;其三,重点关注AI模型和系统的网络安全、个人信息保护及数据安全,遵循零信任原则;其四,做好AI的风险均衡化和分散化,避免集中式系统设计,以减少影响范围;其五,处理好AI系统全生命周期中的数据合规及数据治理;其六,做好组织内的AI素养教育,尤其是确保用户接受培训;其七,通过持续实施偏见测量等伦理审查,在组织内实现负责任和可信的AI。
首先,明确禁止性AI行为的具体范围。包括使用潜意识、操纵或欺骗性技术来扭曲行为;利用与年龄、残疾或社会经济状况相关的缺陷来扭曲行为;可能导致有害或不利待遇的社会评分;仅基于用户画像评估犯罪风险;非针对性编制人脸识别数据库;在工作场所或教育机构推断自然人的情绪;推断敏感数据的生物特征分类系统;在公共场所为执法目的使用实时远程生物特征识别系统等。
其次,界定在公共场所为执法目的使用实时远程生物特征识别系统的“豁免”条件。豁免范围仅限于:寻找特定犯罪受害者;自然人的生命或人身安全受到特定威胁或受到恐怖袭击;确定刑事犯罪行为人或嫌疑人的位置或身份,且可处以至少四年的监禁等。系统使用目的只能用于确认具体个人的身份,并应仅限于在时间、地理和个人方面绝对必要的情况。
首先,界定高风险AI系统的分类规则及具体范围。其中,正面清单涉及安全组件或附件一涵盖的产品,且需要进行符合性评估;附件三的高风险AI系统包括法律授权的生物特征识别系统,涉及关键基础设施的系统,教育与职业培训相关的系统,就业及劳动者管理等的系统,基本服务及福利的系统,法律授权执法行为的系统,移民、庇护和边境控制管理的系统,以及司法和民主进程的系统等;而负面清单包括仅涉及程序性任务、改进人类活动的结果、检测决策模式或其偏离情况、准备性工作等且不对自然人进行画像的系统。
其次,确定具体罚则:针对禁止性AI行为,最高罚款为3500万欧元或上一年度全球年营收的7%;针对高风险及特定AI系统,最高罚款为1500万欧元或上一年度全球年营收的3%;以错误信息回应主管机关等场景,最高罚款为750万欧元或上一年度全球年营收的1%;针对通用AI模型提供者,最高罚款为1500万欧元或上一年度全球年营收的3%。