從AI政策白皮書觀察歐盟未來AI監管法規之發展重點
發布日期:2020-06-02
日期: 2020/05/28 作者: 中華經濟研究院WTO及RTA中心 王煜翔 分析師 文件編號: WTOepaper693
一、歐盟將打造「以信任感為基礎」的AI監管法規環境
人工智慧(Artificial Intelligence, AI)監管法規之擘劃乃是歐盟近年間在建構數位法規環境的重點之一。歐盟執委會於2018年4月公布人工智慧與機器人政策文件—Artificial Intelligence for Europe,將AI倫理和法律框架列為歐盟發展AI的三大政策支柱,強調「AI發展與應用基於適當的倫理和法律框架」之重要性。其後,歐盟執委會責成「歐盟AI高階專家小組(High-Level Expert Group on AI)」負責AI倫理準則之制定工作,以及針對安全與責任規範體系進行評估,以確保歐盟法律架構能夠充分因應AI技術之安全性問題,約束AI及相關技術之發展對人類基本權利可能產生之衝擊影響。
同(2018)年12月,各成員國與歐盟執委會共同制定了AI協調計畫,該計畫首度揭示了「可信任的AI技術應用」此一概念,強調人工智慧需要公民的信任才能發展,為了贏得這種信任,人工智慧必須尊重能夠反映歐洲價值觀的道德標準,決策必須易於理解且以人為本。
歐盟在今(2020)年2月19日所發布的「人工智慧政策白皮書(White Paper on Artificial Intelligence)」中,對於可信任AI技術之發展有了更清楚地闡述。該項政策白皮書明確指出歐盟將建立「AI信任生態圈(ecosystem of trust)」,透過強化AI安全與責任法規之安定性,建立以風險為基礎的AI監管方式,確保AI技術之發展能夠充分遵守歐盟規範,特別是基本權利和消費者權利之保護規則。歐盟AI政策白皮書揭示歐盟計畫將針對風險較高的AI技術應用採取強制性規範,凸顯出歐盟將以嶄新的高標準來建構AI的法規監管環境。然而,目前AI技術被廣泛應用在各類產品與服務,歐盟未來在AI監管法規方面推動之變革,勢必對相關產業部門產生衝擊影響。據此,本文以歐盟本次所公布之「人工智慧政策白皮書」作為研究對象,分析歐盟未來AI監管法規之發展重點。
二、評估現行法規架構能否處理AI所帶來的風險
(一)AI技術應用可能對安全與基本權利產生新的風險
歐盟AI政策白皮書指出:AI技術之應用亦可能對消費者之安全(如人身安全、健康及財產損失)與基本權利(如隱私外洩、言論自由之限制、人性尊嚴、就業歧視)產生新的風險。根據歐盟目前對AI風險的界定,以基本權保障、安全和責任相關議題為最主要的涉及層面。在對基本權的影響上,AI可能侵犯言論自由、集會自由、人性尊嚴,及對性別、種族、宗教、年齡和性傾向的不歧視,亦可能影響司法救濟和公平審判、消費者保護等權利。AI之所以會產生此等風險的原因有二:其一,整體系統的設計上發生瑕疵;其二,則係在使用數據上未能做出適當修正,而導致AI決策結果發生的文化、種族、性別方面之偏差(bias)。
歐盟目前現有保護基本權利與消費者權利的相關法規有:《種族平等指令》(Race Equality Directive)、《工作與待遇平等指令》(Directive on equal treatment in employment and occupation)、與就業以及貨品及服務取得相關之性別平等待遇指令、若干消費者保護規章、《一般資料保護規則》(General Data Protection Regulation, GDPR)及《資料保護法執行指令》(Data Protection Law Enforcement Directive, Directive(EU)2016/680.)等,且歐盟預計於2025年執行之《歐盟可得性法案》(Europeam Accessibility Act, Directive(EU)2019/882)中將包含對貨品及服務的可得性要求。雖然上述歐盟法規與AI並無直接關係,但仍可評估現行法規是否可以適當處理AI系統帶來的風險,或法規內容是否需要進行調整。此外,在執行歐盟其他相關法規時,包含金融服務業、移民,或線上中介責任等領域,亦應考量基本權利。
(二)對現行法規架構之檢討方針
為了檢視現行法規架構是否有不足之處,執委會在白皮書中進一步訂定對現行法規架構之檢討方針:
- 現行歐盟及國內法規是否能有效運用與執行,以及是否有進行調整或使規範內容清晰化有其必要性。
- 目前通用之歐盟安全法規僅適用於產品而非服務,歐盟將檢討現存歐盟法規的範圍限制,以及是否有必要進一步涵蓋AI相關的服務業(如健康服務、金融服務、運輸服務等)。
- 目前法規僅針對新上市產品進行檢驗,並未包含後續更動所造成之可能風險,歐盟將針對改動AI系統功能可能引發的風險問題進行評估。
- 歐盟法規要求生產者應對上市產品擔負責任,但若由非生產者之人將AI附加於該項產品之上,則將導致責任歸屬難以界定。因此,歐盟擬針對現行產品責任規範進行檢視,降低供應鏈中不同營運者責任分配的不確定性。
- 與AI相關的產品及服務可能會產生目前尚未被歐盟所規範之風險,故歐盟應加強研究AI潛在風險之證據資料。
(三)強化AI應用的法律安定性
歐盟AI政策白皮書指出:除了對現行的法規進行調整外,應制定對AI的特定法令來規範目前及未來預期的科技及商業發展,以強化AI應用的法律安定性。歐盟甫於2020年2月完成新科技之法律安定性研究-《有關AI、網路與機器人之安全性與權責報告》(Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and Robotics),本次AI政策白皮書引據該報告之研究結論,指出現行產品安全法規雖已包含所有使用產品面臨的風險;然而,若法條可明確包含新興數位科技所可能帶來的新風險,可以增加法律的確定性。該份報告並進一步建議應優先從下列面向強化AI的法律安定性:
- 特定AI系統的自主性行為將可能造成重要產品對於安全性的影響,故需要人類監督產品設計以及AI產品的生命週期做為防衛;
- 在適當的範圍下,考慮生產者對於使用者的心理安全性風險的明確義務;
- 歐盟產品安全法規可以對資料安全性提供特定規範以及機制,確保資料在AI產品與系統的維護;
- 對於演算系統的不透明性可以透過透明化條款解決;
- 當獨立於市場或是下載於上市產品的軟體出現與安全性議題時,可以適用現行法規;以及
- 新興科技出現使供應鏈複雜化,條文若明確要求供應鏈中的經濟營運者以及使用者間的合作,則可提供法律的確定性。
承續該份報告,其中亦提及AI、網路與機器人等新興科技的特性可能對責任架構產生挑戰,難以追蹤損害源頭,增加受害者的成本以及舉證責任的難度,故在制定相關法規時亦需注意以下兩點:(1)使用含有AI系統科技導致權益受損之人,應享有與受損於其他科技者相同的保護,同時也應允許科技創新持續進行;以及(2)所有確保該項目標達成的選項皆應被小心評估,包含對《產品責任指令》(Product Liability Directive)的修訂以及未來對國內責任法規的調和。
三、歐盟對於未來AI監管體系之規劃
(一)監管體系主要涵蓋AI的兩大構成要件-「數據」與「演算法」
AI政策文件首先指出:AI監管體系應能夠涵蓋AI技術的兩大構成要件:「數據」與「演算法」,才能夠使監管法規適當涵蓋AI產品與服務之應用範圍。據此,歐盟執委會指派的AI高層級專家小組(AI HLEG)已對AI作進一步定義。而AI之定義需符合適應技術進步之靈活性以及提供必要法律明確性之精準度。
(二)以風險為基礎的AI監管架構
歐盟執委會認為AI的監管法規應採取基於風險(risk-based)的作法,以免造成企業太大的負擔。而基於風險的作法,需有明確的標準來區分各類型AI應用可能產生的風險危害程度,判斷是否涉及「高風險」。針對高風險,執委會特別以保護安全、消費者權利與基本權利的角度,考量該產業與預期用途是否涉及重大風險。
具體而言,本次AI政策白皮書揭示下列兩種情況者,原則上應認屬於高風險之AI應用:
- 將AI應用於可預期發生重大風險的產業中,如:醫療、運輸、能源以及公部門等。產業清單應明確列示於監管架構中,並定期審查與修訂。
- 將AI應用於產業中,但不一定會發生重大風險,如:醫院的預約系統故障並非重大風險。此時風險評估應基於對他人之影響,如:使用AI將危害個人或公司之權利;造成傷亡或重大財物損失;造成之影響是人類或法人無法合理規避。
除此之外,基於基本權侵害之顧慮,AI用於特定用途也應視為高風險,特別是(1)在工作招聘過程中以及會影響工人與消費者權利之情況下使用AI;以及(2)遠端生物識別技術(remote biometric identification)與其他侵入式監控技術(intrusive surveillance)之目的使用AI,這兩種情況下運用AI技術,無論其產業為何,均應視為高風險AI技術之應用,而適用較高密度的監管要求。原則上,符合上述高風險AI之應用,歐盟未來規劃將採行強制性要求,以確保監管範圍內AI技術應用具備較佳的法律安定性。
不被認定為高風險AI者,不適用所述強制規範之AI應用,除了適用歐盟現行法律規範之外,成員國政府或企業團體得考慮設立自願性標章計畫。在此計畫下,不受強制規定規範之企業經營者得自願遵守強制性規範,或遵守與強制性規範相類似之自願性規範,其AI產品或服務即可獲得自願性標章,如此將可彰顯其產品或服務為歐盟認可之可信賴AI。換言之,企業經營者得自由選擇是否遵守自願性規範,一旦選擇遵守即受這些規範之約束。
四、強制性規範要件之類型
為設計AI未來監管架構,歐盟主張應先決定強制性規範之要件類型。按歐盟高層級專家小組(HLEG)所作指引及前述考量,對於高風險之AI應用,歐盟認為其規範要件應具備下列監管要素:
(一)監管訓練用數據(trainging data)
鑑於AI系統之功能及其可能採取的行動與決策,多以該系統受訓時所用數據為依據,故歐盟認為應確保訓練AI系統時所用的數據係符合歐盟價值與規範。
(二)紀錄與數據之保存(keeping of record and data)
為追溯及查核AI系統的潛在性問題行動或決策,歐盟認為監管架構可明定保存下列紀錄與數據:
- 訓練與測試AI系統之數據集的精確紀錄,包含對數據集主要特徵的描寫與選定方式;
- 在具備正當理由的特定情形時,保存數據集;
- 有關程式設計與訓練方法之文件,以及用以設立、測試與驗證AI系統之過程與技術,包含與安全及避免偏見相關的資料。
前述紀錄、文件或數據集必須在一有限且合理的期間內予以保存,且應採取措施以確保他方經申請後可取得該等資料。另外,必要時亦應作出相應安排以保護機密資訊。
(三)監管資訊提供(information provision)
歐盟認為主動提供使用高風險AI系統的適當資訊至關重要,故監管架構可考慮包涵下列要件:
- 提供有關AI系統的能力與限制之清楚資訊,特別是系統預計達成的目標、運作條件及達成特定目標的準確度等。
- 應清楚知會人民係與AI系統而非人類互動,並以客觀、簡潔且易於理解之方式提供資訊。
(四)監管穩健性與準確性(robustness and accuracy)
AI系統及特定高風險的AI應用須具備穩健性及準確性,故在發展AI系統時應事先考量可能產生的風險並盡可能減少危害。基此,歐盟認為對AI的監管架構可設有下列規範要件:
- 確保AI系統在其生命週期內具備穩健性與準確性,或至少可正確反應其系統準確性;
- 保證AI系統之結果係可重現的(reproducible);
- 確定AI系統在生命週期內可適當地處理錯誤或不一致性之情形;
- 確保AI系統可抵禦攻擊或是對其數據或演算法之操縱行為,且對前述情形,AI系統應可採取減緩措施(mitigating measures)。
(五)確保人類監控機制(Human oversight)
透過人類監控,可保障AI系統不會減損人類自主權或是造成其他負面影響。然而,人類監控的類型或程度因AI系統的設計用途及其可能造成的效果而有所不同。舉例而言,人類監控包含但不限於下列方式:
- AI系統產出的結果如未經人類事先審核及確認,不具任何效力;
- AI系統產出的結果立即生效,但人類可在事後予以干涉;
- 監督AI系統之運作,且人類具有實時干涉與中止效力之能力;
- 在設計階段對AI系統施加操作限制。
(六)遠端生物辨識(remote biometric identification)之特殊要件
由於歐盟認為收集與使用生物數據以供遠端辨識,將為人民基本權利帶來特殊風險,故依據歐盟現行數據保護法規及《歐盟基本權利憲章》(Charter of Fundamental Rights of the European Union)之規定,除非符合特定條件,歐盟原則上禁止基於辨識自然人之目的,對生物數據進行處理。因此,僅有在具備正當理由、符合比例原則,以及提供適當的防衛措施之前提下,方可在歐洲境內使用遠端生物辨識之AI系統。然而,為解決歐盟人民對於在公共場合使用此等AI系統的關切,執委會承諾將召開辯論,以進一步探討有無及何種情形為具備正當理由,以及歐盟的共同防衛措施。
五、對我國政策意涵
從歐盟AI政策對我國業者衝擊影響的角度來觀察,歐盟預計針對AI應用導入風險為基礎的管理方式;劃分為高風險與一般風險分別採取不同強度的監管方式;高風險AI應用將受到穩健性、準確性、透明度、人類監控機制等強制性的規範要求,這些都將對AI技術之應用附加更多的法律遵循成本,對於運用AI技術為主要商業模式的業者影響甚鉅。因此,我國政府部門有必要盤點可能受影響之產業部門,持續掌握歐盟未來對應用AI技術具體制定了哪些強制性的規範要求,以及評估歐盟強制性規範可能對我國AI產品或服務產生哪些衝擊影響。
我國當前AI法規環境的推動重點,在於建構實驗性的法規環境與場域。在AI技術發展之倫理規範領域,我國科技部參考先進國家與國際組織所研擬之相關基本準則,在2019年訂定「人工智慧科研發展指引」。然而,該項僅適用於學術及研發階段,並未涵蓋應用與消費者使用階段。由此觀之,臺灣在提升AI信任度、建構法規環境之討論相對較少,而歐盟建構AI信任生態圈的倡議,應可作為我國推動國內相關討論之重要參考經驗。
相關連結: https://web.wtocenter.org.tw/Page.aspx?nid=126&pid=340398
