“硬”监管与“软”治理 ——美欧最新人工智能监管政策分析

近期以来，美国和欧盟先后发布人工智能技术发展的监管政策，预示着人工智能（AI）将迎来监管时代。但美欧监管路径大相径庭，欧盟的“硬”监管模式意在加强监管以强化个人权利保护，美国的“软”治理模式则极力限制监管范围以促进创新与发展。尤其值得关注的是，欧盟人工智能监管框架延续了其《通用数据保护条例》（GDPR）的长臂管辖理念，意图通过欧盟立法为全球数字监管树立标准，将来可能波及中国科技公司。

在科威特哈瓦利省举行的机器人和人工智能节上，孩子们与现场的机器人互动。新华社发

欧盟：呼吁对“高风险”AI应用加强监管  

2月19日，欧盟委员会发布了新的数字战略，这是继2015年5月启动单一数字市场战略之后，欧盟面向数字化转型的又一纲领性战略。与之一道发布的还有“人工智能白皮书”和“数据战略”。欧盟出台数字战略，不仅意在增强欧盟的技术主权、产业领导力和经济竞争力，而且期望像《通用数据保护条例》（GDPR）那样，通过欧盟立法为全球数字监管树立标准，给全球数字经济发展带来持续性影响。

人工智能白皮书在2018年4月出台的欧盟人工智能战略的基础上，提出了投资和监管并举的思路，一方面将持续加强对芯片、算法、量子计算等技术和产业的投资；另一方面将通过建立监管框架来防范自动化决策不透明、算法歧视、隐私侵犯、犯罪行为等AI应用相关风险。旨在加强技术主权，确保技术信任，使各种风险和潜在损害最小化，同时避免过度监管。主要包括以下方面。

一是采取分类监管方式，并非所有的AI应用都会受到监管，监管只针对“高风险”AI应用。但“高风险”的判断标准（即“很有可能/有可能出现重大风险”）高度概括，非常模糊，存在很大解释空间，赋予监管较大的自由度，不排除将来出现监管泛化。具体可能涵盖哪些领域和使用场景，有待将来出台监管名单，来穷尽列举，并可定期评估、修订，白皮书也列举了医疗、交通、能源等领域。此外还有一个兜底规定，即不论是否在受监管的领域，只要AI系统被认为具有高风险，就应当受到监管，这会进一步扩大监管的范围。例如，当前广泛使用的AI人脸识别和AI招聘都是“高风险”应用，而这两种AI应用都被指责造成了种族或性别等社会歧视。

二是高风险系统需要遵守严格的强制性要求。这些要求涵盖训练数据、数据记录、信息提供与透明度、安全可靠与准确无误、人类监督和干预等五个方面。值得一提的是人类干预，存在方式和程度上的差异：有些决定（如社会福利申请）只能由人类做出，不能交给AI系统来决定；有些决定（如信用卡申请）虽然可以由AI系统处理，但之后可以向人类提出申请；有些AI系统需要具备关闭功能，如自动驾驶汽车的关闭按钮，AI系统超出设计的运行条件时应自动停止运行。此外，相比之前泄露出来的文件考虑在3-5年内禁止在公共场所使用人脸识别技术，白皮书并未禁止人脸识别的使用，但将限定使用情形并要求采取安全措施。而对于在公共场所使用人脸识别技术，欧盟委员会后续将讨论确定正当的使用场景以及共同的安全措施。

三是延续长臂管辖思路，可能影响他国科技公司。新的监管框架延续了《通用数据保护条例》（GDPR）建立的长臂管辖规则，即在欧盟境内提供AI相关产品或服务的所有相关主体都需要受到监管，遵守强制性要求，无论其是否在欧盟境内设有营业场所。这意味着欧盟以外的科技公司可能受到监管，中国科技公司也不例外。

四是建立涵盖事前、事中、事后各个环节的全面监管机制。事前，为了确保高风险AI应用遵守强制性要求，由监管部门对其进行合规认证评估，包括测试、监测和认证程序，以及对在研发阶段使用的算法和数据集进行检查。事中和事后，加强执法，包括监测合规与否，监管部门或第三方机构对AI应用进行测试。

五是不在监管范围之内的AI应用，不需要遵守这些强制性要求。但针对不受监管的AI应用建立自愿认证机制，即如果不受监管的AI应用自愿遵守强制性要求或者特别为自愿机制建立的类似要求，则可以被授予质量标签，表明该AI系统是可信的。自愿标签机制将激励行业主动合规，可能进一步扩大监管范围。

美国：强调审慎监管以促创新发展