你的AI行动计划
关于政治、谈判和妥协
AI法案[1]是通过一个漫长而痛苦的过程形成的,完美地展示了政治在欧洲立法过程中的影响和重要性。但也展示了缺乏专业知识和视角可能造成的问题。例如,最著名且广泛讨论的生成型AI模型甚至在法案的初稿中都没有提及,而这显然是在ChatGPT公开并扰乱了我们认为自己生活在的现实之前发布的。对于这些模型的相关内容经历了多次根本性变化和重新谈判,往往在新发布的科学论文或欧洲生成型AI初创企业的报道进展的影响下。最终,在最后的谈判中,这些内容成为最重要的决定性因素之一。关键问题之一。
由于所有这些,我们最终得到了令人困惑的矛盾,偶尔有逻辑联系,并希望仍然可以实施的条款。尽管如此,该法案已经得到政治协议,我们(希望)很快会看到这个怪物的最终版本。(尽管在未来的一个或两个月内可能不会出现。)而在我们等待弗兰肯斯坦吓唬我们,并通过其庞大的罚款使我们遵守时,我们可以采取一些措施来建立我们的防线。
行动计划
没有比从头开始更好的地方。因此,让我们首先确立以下事实,如果您正在开发或部署任何形式的自动化系统,您很可能属于该法案的范围。既定这个事实之后,我们还可以确定这并不是威胁,也不是世界末日。然而,这是每个开发或部署AI系统(或者想要从事以上任一项)的个人或公司必须面对的现实。希望以下行动计划能帮助您做到这一点。
1. 从今天开始规划,符合AI法案的义务需要时间。
熟悉法案的内容。最终的政治妥协文本目前尚不可用,而在未来几个月内也不会可用。然而,考虑到某些义务在法案发布后6个或12个月后生效。另外,该法案有150页之多,目光转向其他地方并等待事情变得真实是非常糟糕的策略。
风险管理系统(第9条)或质量管理系统(第17条)中包含的义务,不仅包括制定应对系统风险的概念,还包括实施所述管理系统以及设计处理新风险的流程。这些都不是琐事。
另一方面,诸如人类监督(第14条)之类的其他义务只能通过在产品中构建安全功能和防护措施来实施。相反,试图在自动化过程的任何部分进行人工干预的反向实施,大多数情况下都将非常困难,可能是不可能的,或者至少与严重的困难、开发/部署延误和额外的财务成本相关。
最后,请问您是否有资源和能力来应对法案的挑战。如果没有,请务必寻找一些资源。
2. 了解您的角色
AI法案中有5种角色。供应商,部署者,进口商,分销商和制造商。然而,在大多数情况下,只有其中两种角色是相关的。这些是供应商和部署者。属于其中一种角色与遵守的义务的数量和严重性有着巨大的不同。
《法案》的许多义务(许多列在第16条中)主要会影响到AI系统的提供者。这意味着无论公司是在欧洲联盟领土上开发还是仅部署AI系统,只要他们开发了AI系统并将其投入市场,都会受到影响。然而,任何篡改提供者所传达的AI系统预期使用目的或对系统进行重大更改的人也会被归入这一类别,并获得尝试履行《法案》所规定义务的特权(第28条)。而且这些义务有好几项,所以避免涉足提供者的领域可能是实现《法案》合规的最重要技巧。
第二个相关角色是在其业务活动范围内部署AI系统的个人或公司,他们承担的法律负担较轻(第29条)。这个负担主要包括尽职调查义务。在这方面,了解您部署的系统及其提供者是一个很好的起点。其次是根据提供者的文档使用系统,并依据提供者的预期用途使用系统的建议。最后,根据系统和情况的不同,部署者可能还需要遵守实施有效人工监督、启用自动记录或简单地协助提供者履行义务的义务。所有这些都是相关的,但明显比起第一步设计这个系统要简单得多。
3. 了解您的系统
正如前面提到的,几乎所有自动化系统也都将被认为是AI系统,并纳入《法案》的范畴。这是一件需要认真对待、并影响到开发和部署过程中所有阶段的事情。因此,您可以从一开始就根据AI法案的要求来思考系统。这主要包括首先了解您的系统是否属于高风险类别。为了进行这一评估,您可以按照下面三个基本步骤进行。
a. 我使用的系统是否是受特殊安全法规管制的产品,或可以作为此类产品的重要组成部分集成?
b. 我的系统是否在附录三(永久冗长)的清单中?
c. 如果是,与我具体产品相关的风险是否真的很高?
这个基本评估的最后一步迄今为止最复杂,包括进行风险评估。然而,这种评估也是摆脱广泛义务的唯一潜在途径,即使逃离尝试不成功,这种评估仍然可以帮助您执行行动计划的下一步。
4. 了解您的风险并随着风险的出现予以应对
《法案》中最复杂且义务范围最广的之一是实施风险管理系统。为了能够开始设计此系统,您首先必须非常清楚地了解您的系统所引起的风险。这在一定程度上可以通过之前步骤中的风险评估得到支持,但为了设计和开发风险管理系统,之前进行的任何评估都必须得到大幅度的升级。
要进行成功且有效的评估,您应该回答以下问题:
a. 该系统的预期目的是什么,使用该系统是否存在任何严重和明显的风险?
b. 我通过实施该系统的目标是什么?增加效率?自动执行流程的某些部分?在我的流程中实施额外的检查或预检查?这随后可以帮助您评估并证明实施该系统的合理性。
c. 与系统的预期使用相关的风险类别有哪些?系统风险?环境风险?隐私风险?
d. 风险会影响哪些人?整个社会?我的员工?我的产品/服务的用户?
e. 我可以做些什么来减少每种风险,并且需要多久检查一次已实施措施的有效性以确保仍然适用于解决风险?
在这个背景下,非常重要的是要考虑所有潜在的风险,并且独立地以及彼此之间互相分析。然而,始终要记住自己的具体AI使用目的。
5. 做好全面记录
《法案》下的罚款将会很高(是的,比GDPR还要高),合规和问责制是防范这些罚款的唯一措施(第71条)。因此,您所做的一切都应该被记录下来,即使这(还)不是法律义务。通过这样做,您可以证明您早在开始时就考虑了风险和潜在问题,并思考了如何应对这些问题。分析风险、设计和记录控制流程、报告和责任链,以及为员工或用户发布指南只会有助于您的情况。这些只是在《法案》生效后,发生某些事情或有人上门检查您的系统时,将有助于您的情况的最佳做法步骤。
6. 不要忘记其他的事情
最后,是的,AI法案是庞大而可怕的,并且即将到来。然而,对AI系统适用的许多其他法规也存在。其中大部分涉及更具体的问题。从用于训练过程中的数据到系统的输出和后端创建的数据。其中一些包括GDPR、数字服务法案、数字市场法案和数据法。而且这些法律法规的数量还在稳定增加。尽管如此,任何提及(或未提及)的法案中包含的义务也必须得到关注并解决。然而,由于欧盟尚未就这些法案与AI法案的互动问题提供指导,可悲的是,这意味着这需要由您自己来解决。
最后的思考
在过去几个月密切关注这些发展后,我个人对AI法案的结论是,它与法语语法非常相似。对于每一个规则,至少有7个例外。以至于您开始质疑为什么一开始会有一个规则。然而,这不能成为简单放弃的借口,而应该成为尽快面对法案及其许多复杂性的动力。因为一旦您到达巴黎,开始学习法语已经太迟了,一旦AI法案已经生效,开始了解其许多复杂问题也将为时已晚。
[1] 最后修改于2023年6月14日的原文可查看:https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.pdf。