南方財經全媒體集團記者 馮戀閣 21世紀經濟報道記者 王俊 鄭雪 廣州、北京報道

編者按：自1956年“人工智能”的概念首次被提出已過60余年，此間，人工智能從虛化的代碼逐漸轉化成實踐應用，催生出一批批商業故事。不過，人工智能規?；逃貌⒎翘雇?，概念的火熱一直以來未能助推技術突破與商業應用。

時間來到2022年，生成式AI發展為人工智能發展再注入一針強心劑。ChatGPT橫空出世，被視為通用人工智能的起點和強人工智能的拐點，引發新一輪人工智能革命。人工智能發展似乎找到了自己的主流敘事。

不過，技術創新的同時也帶來了監管難題。如何平衡發展與安全，中國正在摸索自己的AI治理路徑。南財合規科技研究院與觀韜中茂律師事務所推出《中國AI治理的獨立思考——生成式人工智能發展與監管白皮書》，通過分析生成式AI的發展現狀、政策導向、實操中面臨的風險，以及各國的監管路徑，以期為未來的AI治理提供有益思路。

2022年年底，OpenAI推出的ChatGPT爆火，將人工智能推向了“iPhone時刻”。

以ChatGPT等大語言模型為標志的生成式人工智能技術無疑為這一產業帶來了新的范式革命和廣闊的商業前景，資本市場持續高漲的熱情也足以彰顯它的價值。 

生成式AI技術在給人類帶來驚喜，也引發了人們對未知風險的恐慌。其在被使用過程中暴露的虛假信息傳播、個人信息權益侵害、數據安全、偏見和歧視等問題，逐漸引發了諸多輿論爭議。

事實上，面對日新月異的人工智能技術，各國政府和監管機構已開始采取措施加強監管，以確保公眾利益和安全。作為數字立法監管大國，歐盟已早早布局，逐步建構基于風險的人工智能治理體系。而大洋彼岸的科技強國——美國則在由發展轉向治理的過程中，探索出了以引導行業健康實踐為目的風險治理框架。

歐盟：構建基于風險的人工智能治理體系

在生成式AI為世界所知之前，人工智能一直是歐盟數字立法計劃關注的主題之一。 

2018年4月，歐盟發布政策文件《歐盟人工智能戰略》（European Strategy for Artificial Intelligence），提出要增加對人工智能的公共和私人投資，逐步建立適當的倫理和法律框架。同年12月，歐盟委員會（European Commission）發布《人工智能協調計劃》（Coordinated plan on AI），意在協調各成員國合作落實《歐洲人工智能戰略》。

此后的2019、2020年，歐盟在人工智能算法治理、倫理規制及產業發展等方向上皆有發力，發布了《可信賴人工智能倫理準則》（Ethics guidelines for trustworthy AI）、《人工智能白皮書》（White paper on AI: a European approach to excellence and trust）等多項政策。

2021年，歐盟委員會發布《2030數字指南針：歐洲數字十年之路》（2030 Digital Compass：the European way for the Digital Decade），其中指出到2030年，數據公平共享將成為數據經濟的重要基礎，人工智能、增強現實等數字技術將成為新產品、新制造流程、新商業模式的核心（而非手段）。在這年4月，歐盟委員會正式提出了《人工智能法案》提案，世界范圍內第一部針對人工智能進行規制的法律邁開腳步。 

2021年至今，該提案歷經多次更改。隨著ChatGPT影響力逐漸擴大，人工智能產業格局迎來變動，法案亦有新增和變更。今年6月14日，歐洲議會以499票贊成、28票反對和93票棄權的高票通過了《人工智能法案》談判授權草案（以下簡稱“《法案》”）。根據歐盟立法程序，歐洲議會、歐盟成員國和歐盟委員會將開始“三方談判”，以確定最終條款。

《法案》針對歐盟范圍內人工智能驅動的產品、服務及系統，法案對其開發、貿易和使用制定了核心規則。該法案的目標是創建可信的人工智能產品和服務，讓用戶最終能夠相信人工智能技術將被安全和合規地使用。

其落地后，將與《通用數據保護條例》（GDPR）、《數字市場法》、《數字服務法》共同為歐盟構筑起一道數字立法“長城”?！斗ò浮分赋?，除了設立歐洲人工智能委員會外，每個歐盟成員國還須設立一個單獨的監督機構監督法案具體內容的實施。此外，這部法案也將在世界范圍內產生影響：無論企業實體位于何處，只要該企業在歐盟市場開放服務或部署人工智能系統，都必須接受法案監管。 

作為世界上第一部關于人工智能治理和監管的綜合性全面立法，《法案》的諸多觀點和思路值得關注。

首先是《法案》的“立足之本”——風險分類系統?！斗ò浮芬罁赡軐θ祟惤】?、安全或基本權利造成的潛在風險將人工智能系統的風險分出4個等級：不可接受的風險、高風險、有限風險和最小風險。針對不同等級的風險，法案將實施不同程度的控制措施。

對人身安全、個人權利有明顯威脅的人工智能系統被認為是具有不可接受的風險；根據《法案》，具有不可接受風險的人工智能系統在歐盟內部被禁止部署。這類系統及使用目的包括：用于生物識別監控系統、情緒識別系統、預測性警務系統、從互聯網或監控中無針對性地抓取面部圖像創建的面部識別數據庫等。

高風險人工智能系統則屬于法案的重點限制對象，具體包括決定公民就業機會的系統（如用于招聘程序的簡歷排序軟件）、產品的安全組件（例如，人工智能在機器人輔助手術中的應用）等。值得注意的是，最新版《法案》中，在政治競選中用于影響選民的AI系統以及大型社交媒體平臺（超過4500萬用戶）使用的推薦系統也被列入高風險名單。 

在投入市場之前，高風險人工智能系統將受到嚴格的義務約束包括保證充分的風險評估；訓練者需為系統提供高質量的數據集，以減少風險和歧視性的結果；提供商向用戶提供清晰和充分的信息等。

而有限風險，則指具有特定透明度義務的人工智能系統。例如，當使用人工智能系統（如聊天機器人）時，用戶應該意識到他們正在與機器進行互動，這樣他們就可以對是否繼續使用做出理智的決定。 

目前在歐盟使用的絕大多數人工智能系統都屬于《法案》定義的具有“最小風險”的人工智能系統。這類系統可以被自由使用，包括人工智能支持的視頻游戲或垃圾郵件過濾器等應用。 

除了對“基于風險”的人工智能監管框架，《法案》還細化了主體責任分配，規定生成式人工智能基礎模型的提供者（比如開發出ChatGPT的公司OpenAI）有義務在將模型投放市場之前，充分考慮模型“可預見的健康、安全風險”，對模型采取安全檢查、采取數據治理措施和風險緩解措施；模型開發者需要為被認定為“高風險”的應用建立風險管理系統。 

《法案》針對“通用型人工智能系統”（非為特殊目的進行特別設計的具有廣泛適用性的人工智能系統）的提供商還提出了特別要求，指出提供商需要提供有關AI模型的所有相關信息和文檔以保證下游運營商的合規性。 

在處罰層面，違反《人工智能法案》的潛在罰金很高，且隨著立法的進展大幅增加。違規的最高處罰是4000萬歐元或公司上一財政年度全球總營業額的7%，以較高者為準。相比之下，這幾乎是GDPR最高處罰的兩倍。 

由于人工智能是一種快速發展的技術，該法案還有一個面向未來的方法，為規則隨技術變化而調整提供可能性。人工智能應用在投放市場后仍應保持可信度。在系統進入市場后，相關監管機構應負責市場監督，用戶應負責人力監督，供應商則需建立市場后監測系統。若遇到嚴重事故和系統故障，供應商和用戶也應及時作出報告。 

此外，2022年9月，歐盟委員會通過了《人工智能責任指令》（The AI Liability Directive）和《產品責任指令》（Directive of the European Parliament and of the council on liability for defective products）修訂版兩項提案。前者確定了針對人工智能系統所致損害的適用規則，后者將其適用范圍擴展到配備人工智能的產品。 

這兩項法規可能將與《法案》共同構成了歐盟當局應對數字時代和循環經濟的“三駕馬車”。

美國：由重產業轉向治理發展并重 

作為世界科技強國，美國在人工智能技術和產業領域的影響力不可忽視。相較于如何監管，發展是此前美國應對人工智能的核心詞匯。

從2016年起，美國在戰略層面上對人工智能持續加大關注與支持，除了相關政策，美國還陸續成立了國家人工智能倡議辦公室、國家AI研究資源工作組等機構。

2020年后，雖然產業發展相關規則的制定還在進行，但也開始出現治理為主的規則。比如，2020年8月，《數據問責和透明度法案》（Data Accountability and Transparency Act of 2020）發布企業相關服務的隱私收集提出規制。11月，《人工智能監管原則草案》（Guidance for Regulation of Artificial Intelligence Applications）則指出，要規范人工智能發展及應用，要求聯邦機構在制定人工智能方法時應考慮10項“人工智能應用管理原則”，包括公眾對人工智能的信任與參與、風險評估與管理、公平與非歧視、披露與透明度、安全與保障等。

在ChatGPT及相關技術引發越來越多關注和擔憂后，美國的治理思路從重視產業更多轉向監管治理與行業發展平衡。 

2022年10月美國白宮發布的《人工智能權利法案藍圖》，提出負責任地使用人工智能路線圖。該綜合文件確定了指導和管理人工智能系統有效開發和實施的五項核心原則，特別關注侵犯公民權利和人權的意外后果。          

而12月發布的《2022推進美國人工智能法案》（Advancing American AI Act）則著眼產業發展，提出增加投資、鼓勵運用等多項促進人工智能發展的舉措。          

今年1月，美國國家標準與技術研究院（NIST）在與私營和公共部門的合作下發布了《人工智能風險管理框架》（Artificial Intelligence Risk Management Framework，以下簡稱“《框架》”），期望為有需求的各方提供可參考的AI風險管理框架。4月，《2020年國家人工智能倡議法案》（National Artificial Intelligence Initiative Act of 2020）公布。該法案計劃在未來五年內提供近65億美元，確立美國在人工智能 (AI) 領域的領導地位。 

5月，2023年的《國家人工智能研發戰略規劃》( The National Artificial Intelligence Research and Development Strategic Plan)發布，美國政府宣布了一系列圍繞美國人工智能使用和發展的新舉措，以全面了解并捕捉到快速發展的AI技術所蘊含的風險和機遇。  

當前，美國傾向于認為人工智能將是決定未來戰略競爭力的一個關鍵領域。 

“人工智能是我們這個時代最強大的技術之一，具有廣泛的應用。為了抓住人工智能帶來的機會，必須首先管控其風險。為此，政府已采取行動，促進負責任的人工智能創新，將人、社區和公共利益放在中心位置，并管理AI技術發展對個人和社會、安全和經濟的風險?！卑讓m在官網上發布的新聞稿中稱。 

從整體思路來看，由于美國尚未就生成式AI應用制定專門的規定，生成式AI應用遵循其關于人工智能技術治理的相關規范。前文提到的《框架》作為引導行業實踐的AI風險管理框架文件，也許代表著美國對于生成式AI應用風險治理的主要思路。

《框架》是一份非強制性的指導文件，其目的是降低人工智能系統對公民自由和權利造成的威脅并實現人工智能系統積極影響的最大化，使得人工智能系統更加安全可信賴。          

《框架》由兩大部分構成：第一部分為使用的基礎信息介紹，包括企業如何界定人工智能系統的相關風險，并闡述框架的受眾和有效性。除此之外，還概述了可信的人工智能系統的特征，即可解釋性、透明度和問責制。通過將這些特征納入人工智能系統，各組織或企業可以確保其系統的可信性和安全性，避免對個人或社會產生不必要的風險。

所謂可解釋性（Explainability），是指人工智能系統對其決策過程提供清晰和可理解的解釋的能力。若缺乏可解釋性，系統會產生與偏見、歧視和其他負面影響有關的風險；而透明度（Transparency）是指人工智能系統以利益相關方可以理解的方式提供有關其運作和決策過程的信息的能力，包括提供關于數據來源、所使用的算法以及可能影響系統性能的其他相關因素的信息；問責制（Accountability）則指人工智能系統對其行為負責的能力，問責制的存在能夠確保有相應機制來識別和解決系統決策過程中的錯誤或偏見。

《框架》第二部分則涵蓋框架核心和用例配置文件，由治理（Govern）、映射（Map）、衡量（Measure）和管理（Manage）四個頂層模塊組成。

具體而言，治理（Govern）功能明確人類在“人類與人工智能團隊”中的角色和責任；明確系統性能監督者的角色和責任；使系統的決策過程更加明確，并幫助對抗系統性的偏見等。

映射（Map）功能映射有助于企業全面了解人工智能系統所涉及的風險，包括確定潛在漏洞，評估人工智能系統故障的影響，以及了解人工智能系統輸出的潛在后果等。這一功能能夠幫助企業提高其內部的風險識別能力，以識別系統的局限性，探索和檢查基于人工智能的系統在現實世界中的影響，并評估其整個生命周期的決策過程。         

衡量（Measure）功能的重點是量化和評估人工智能系統風險。它涉及制定衡量標準來評估人工智能系統的性能和有效性。衡量功能可以幫助企業評估人工智能系統風險的影響，并制定明智的風險緩解策略。         

管理（Manage）功能則聚焦制定和實施風險緩解戰略和風險控制戰略，以解決已明確的人工智能風險。具體而言包括制定和實施政策、程序和技術保障措施等活動，以緩解和控制整個人工智能系統生命周期的風險。管理功能確保采取適當的措施，最大限度地減少人工智能系統的潛在負面影響。

該《框架》具有高度的抽象性，因此NIST并沒有提供標準的配置模板。不過其提供了在線配套使用手冊，為管理者提供了具體的行動建議，包括示例和參考資料等，組織或企業可以根據自己的需求、風險偏好以及成本資源等因素靈活實施此框架。

白皮書出品團隊：南財合規科技研究院X觀韜中茂律師事務所

白皮書撰寫者：王俊 馮戀閣 鄭雪 王渝偉 楊欣如 周丹 錢雨晴 溫泳珊 林婉娜 羅洛

（陸釔潼 王敏 朱敏婕 對白皮書撰寫亦有貢獻）

責任編輯：王超