歐盟人工智能立法進行時:呼籲禁止公共場所人臉識別
(原標題:深度丨歐盟人工智能立法進行時:呼籲禁止公共場所人臉識別,嚴格監管或爲爭取市場)
歐盟人工智能法規近日有了新動向。
6月21日,歐盟數據保護委員會(EDPB)和歐盟數據保護監督局(EDPS)針對歐盟今年4月發佈的人工智能法規草案發表聯合意見,進一步呼籲在公共場所禁止使用人工智能自動識別個人特徵,包括人臉識別、步態、指紋、DNA、聲音等生物或行爲信號。
聯合意見還對數據保護做出了多處強調,建議將成員國的數據保護機構(DPA)指定爲國家監督機構,提議給予EAIB更大的自主權等。
此意見對最終的人工智能法規將造成多大影響?歐盟嚴格立法的目的何在?對我國有何借鑑意義?多位專家告訴21世紀經濟報道記者,法規有多方考量,聯合意見或會促使法條的收緊,但對於歐盟立法的目的和借鑑意義上意見不一。
無論如何,在人工智能日益成爲數字化轉型的重要依託和生態環境的未來,研判並建構人工智能的法律治理框架和自主體系,都將成爲各國的必由之路。
呼籲禁止公共場所人臉識別
同歐盟今年4月提出的人工智能法規草案(以下簡稱草案)一樣,實時遠程生物識別技術也成爲了此次聯合意見的關注焦點。
“作爲實時遠程生物識別技術的一種,歐盟此處討論的人臉識別與我們狹義上認爲的不同,它強調‘在公共場所監控’的概念,歐盟對這點尤其反感。”對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可向21世紀經濟報道記者舉例,在商店裡安裝攝像頭進行人臉識別即屬於此類。其危害在於個人不知情或無法明確表示同意的情況下,處於被監控狀態。而如刷臉入小區、入校等近距離的人臉識別,則不在歐盟的限制範圍內。
此前,草案全面禁止了歐盟境內無差別的大規模監控,僅有三種特殊情況可豁免:尋找失蹤兒童,解除恐怖襲擊的威脅,和在法律允許範圍內追查特定的刑事犯罪嫌疑人。違反者將面臨3000萬歐元或年收入6%的行政罰款。但這些規定仍被指爲該技術留出了餘地,曾有39名歐洲議會議員爲此聯名上書抗議。
EDPB和EDPS在聯合意見呼籲歐盟全面禁止在公共場所使用人工智能自動識別人類特徵,包括人臉識別、步態、指紋、DNA、聲音、點擊及其他生物或行爲信號。此外,聯合意見還建議禁止據此將人們按照種族、性別、政治或性取向等進行分類或將其用於社會信用評分,禁止使用人工智能推斷自然人的情緒等。
“如果我們想維護自由,創建一個以人爲中心的人工智能法律框架,全面禁止在公共場所使用人臉識別是一個必要的起點。”EDPB主席Andrea Jelinek和EDPS主管Wojciech Wiewiórowski表示,在公共場所使用遠程生物識別意味着人們再也無法匿名,而實時人臉識別等應用侵犯了人們的基本權利和自由,這要求監管機構立即採取預防措施。
無獨有偶,英國ICO監管機構近日也關注着實時人臉識別技術。信息專員伊麗莎白·德納姆在6月18日的一篇博客文章中表達了對人們在公共場所實時掃描和處理人臉的隱私風險,以及實時人臉識別與社交媒體或其他大數據結合的擔憂。
“在ICO對實時人臉識別的6次調查中,其主要用途包括解決公共安全問題和定位人羣以投放個性化廣告,但實際上線的系統都沒有完全符合數據保護法,這些系統已停止使用該項技術。”她談到。
在美國,針對政府部門和校園的人臉識別禁令已經落地。自2019年5月舊金山出臺法令,禁止警察和其他政府機構使用人臉識別技術始,薩默維爾、奧克蘭、波士頓等多個城市,以及紐約州、弗吉尼亞州等,紛紛頒佈了類似禁令。如亞馬遜、微軟、IBM等大公司也暫停了人臉識別業務。
強調數據保護
作爲歐盟的數據監管機構,EDPB和EDPS在聯合意見中對數據保護做出了多處強調。
例如,應明確現有的《通用數據保護條例》(GDPR)、《歐盟數據保護代表條例》(EUDPR)和《數據保護執法指令》(LED)等歐盟數據保護立法適用於人工智能法規草案範圍內的任何個人數據處理。
人工智能法規草案將人工智能應用分爲了不可接受、高、有限和低四個風險等級,並適用於不同的規制。聯合意見表示支持該基於風險的分類方法,但“基本權利風險”應與歐盟數據保護框架保持一致,並建議評估和減輕自然人羣體的社會風險。此外,遵守歐盟包括個人數據保護在內的法律義務,被視爲擁有CE標誌(歐盟安全認證標誌)的產品進入歐洲市場的先決條件。
“人工智能這一項技術本身依託於數據。”許可表示,其中生物識別就是一項特殊的數據,叫敏感個人信息。
在北京師範大學網絡法治國家中心執行主任吳沈括看來,歐盟數據保護立法一向是全覆蓋的,聯合意見不過是重申了這一立場。這不僅反映了歐盟對數據保護作爲基本權利的重視,而且表明了歐盟面對未來數字治理,各機關間全力調整和協調的態度。
除法律條文外,EDPB和EDPS還希望給數據監管機構“擴權”。
針對草案第59條要求的指定國家主管部門以確保人工智能法規順利實施,聯合意見建議將成員國的數據保護機構(DPA)指定爲國家監督機構。因爲DPA已經在根據GDPR和LED進行執法,此舉能夠保證監管方式的統一及法律解釋的一致性。
聯合意見還對草案中指定歐盟委員會在歐洲人工智能委員會(EAIB)中發揮主導作用提出了質疑,認爲這與建立不受任何政治影響的歐洲人工智能機構的需求相沖突,並提議給予EAIB更大的自主權,確保其能夠獨立自主地採取行動。
“這會帶來三個層面上的影響:首先,現有的數據保護機關的執法態度、監管立場和執法工具的適用面將進一步擴大;與此相關的,在數據保護中相對嚴格的監管態度也會擴展到人工智能領域;第三,未來人工智能的治理規則,很大程度上會基於或圍繞數據治理規則展開。”吳沈括說。
他指出,治理人工智能有三種可行的思路,一是管住算力,二是聚焦算法,三是關注數據,這三項是人工智能的基本構成要素。從聯合意見來看,EDPB和EDPS是希望從數據保護角度影響人工智能的治理生態。
“從數據切入,既能充分發揮現有制度的優勢,又有相對成熟的人力和機構配備支撐。並且,就影響力而言,管住數據就能夠撼動全球的數字生態。這屬於歐盟的強項。”吳沈括表示。
對人工智能法規有多大影響?
回顧歐盟人工智能立法的進程,此次EDPB和EDPS的聯合意見可能僅是其中的一段小插曲。
早在2018年3月,有歐盟智庫之稱的歐洲政治戰略中心就發佈了題爲《人工智能時代:確立以人爲本的歐洲戰略》的報告,解讀了歐盟在人工智能領域的最新發展現狀。同年4月,歐盟委員會發布一份政策文件《歐盟人工智能》提出了人工智能的歐盟道路。
2019年,歐盟人工智能高級專家小組制定了《可信人工智能指南》,並於2020年制定了《可信人工智能評估清單》。2020年2月,歐盟發佈《人工智能白皮書》提出一系列人工智能研發和監管的政策措施,以及“可信賴的人工智能框架”。直到今年4月21日,歐盟提出了人工智能法規草案。
根據歐盟法律制定流程,人工智能法規的最終版本最早也得等到明年。那麼,這份聯合意見能夠激起多大的水花?
許可表示,草案本身就是多方妥協後的產物。原本在去年年底透露出的相關消息中,實時遠程生物識別就是要求禁止或在一定時間內禁止的。但當時受到了各方的阻力,最後草案後退了一步,沒有完全禁止,但提出了很多限制條件,如進行評估、審慎地開展等。
吳沈括則認爲,雖然起草人工智能法規的團隊與歐盟數據保護法的團隊不同,各自的考量也有差異。但作爲歐盟數據保護的職能機關,EDPB和EDPS關注歐盟各項數據保護法規的執行,他們基於現行有效的法規提出的意見,對於面向未來的人工智能及其法規都有較大的影響。
他進一步分析,從人工智能發展的角度而言,需要一個相對寬鬆的監管環境,但歐盟現行的數據保護法制度較爲嚴格,這就造成了一種歐盟內部的分歧和關係的緊張。“這也考驗着歐盟的立法者,在現有的制度束縛之下,如何給人工智能發展提供或者留下必要的空間,體現了很高的立法智慧。”
上海交通大學數據法律研究中心執行主任何淵同樣認可EDPB和EDPS的建議對人工智能法規產生的重要影響。“未來的法規將趨嚴。尤其是在公共場所使用遠程人臉識別技術的‘例外情況’將會不斷被收緊。政府若想通過此項技術提高管理效率,不太可能。”
但他也強調,趨嚴可能並不意味着完全禁止,而是要用愈加嚴格的程序約束,提高合規要求。
或爲本國產業爭取市場
數字經濟時代,人工智能高速發展。據中國電子學會2020年預測,2022年全球人工智能市場將達到1630億元。
2021年1月25日,美國科技創新智庫“信息技術和創新基金會”(ITIF)發佈題爲《誰將贏得這場人工智能競賽?中國、歐盟還是美國?》的2021年版報告,構建了人才、研究、應用、數據硬件等六大類指標,以百分制評分,系統分析了美國、中國和歐盟的人工智能能力。
報告發現,美國在人工智能總體領域仍然遙遙領先(44.6分),中國在一些重要領域與美國的差距持續縮小(32.0分),歐盟依然落後(23.3分)。
“歐盟的人工智能法規走在了世界前列,是第一次以全面、系統的立法方式進入人工智能的治理。”吳沈括評價,這一方面是爲了維護公民的基本權利,另一方面也是在一定程度上延緩國際競爭企業的發展速度,爲自己的人工智能產業發展爭取時間和市場空間。
“歐盟在立法和執法層面積累了豐富的經驗與案例,但市場地位劣於中美,更沒有技術、企業管理上的獨立資源,法律手段成爲唯一的選擇。它能夠發揮制度的溢出,對於包括中美在內的數據產業和生態造成影響。”吳沈括進一步分析。
何淵也表示,歐盟在人工智能領域的立法其實與當年制定GDPR思路一致,嚴格的監管法規能夠讓其佔據道德的制高點,從而在與中美等的談判中佔有優勢。
同時,相當於變相地給歐盟本地的小企業政府補貼。“因爲,小企業受到監管的影響遠沒有大企業嚴重,外國大企進入歐盟市場要提高合規成本。”何淵說。
許可則表達了不同的意見。他認爲,人工智能法規限制的範圍非常窄,僅體現在遠程監控上,而人臉識別等技術的應用遠不止於此。
即使是遠程監控也必須有底層數據的支撐,否則只能拍攝到人,無法獲知個人的身份信息,所以該法規的限制對象更多的是政府,對企業的影響有限。
“人工智能與GDPR不同,它只能管本國企業,不具有跨國的管轄。數據的跨國管轄權有兩個重要抓手,其一是數據不能流出歐盟境外,這就控制了數據本身;其二是如果想進入歐盟貿易,必須遵守GDPR。”許可解釋,這其中存在布魯塞爾效應,企業一般遵循一致性標準保護和管理數據,因此通過歐盟的管轄可以間接影響到歐盟以外的企業。
他指出,歐盟立法的核心在於宣揚、貫徹和維護自己的人工智能價值觀,並不具有太強的經濟目的。
對我國有何借鑑?
在我國,遠程實時監控等人臉識別技術的濫用情況同樣嚴峻,如頻繁曝光的售樓處人臉識別、315晚會上的科勒衛浴等商戶安裝攝像偷取客戶人臉識別信息等,有關立法已落地或提上日程。
如《個人信息保護法》草案第27條要求在公共場所安裝圖像採集、個人身份識別設備,應當爲維護公共安全所必需,並設置顯著的提示標識。人臉識別國家標準徵求意見稿也指出,在公共場合收集人臉識別數據時,應設置數據主體主動配合以防範人臉數據在不知情的時候被收集。
天津、南京、杭州、深圳等地也相繼出售監管人臉識別。以深圳爲例,《深圳經濟特區公共安全視頻圖像信息系統管理條例(草案)》中嚴格限制了攝像頭的安裝。規定旅館客房、醫院病房、集體宿舍、公共浴室、衛生間、更衣室、哺乳室等可能泄露公民隱私的場所和區域,禁止安裝系統。單位和個人安裝公共安全視頻圖像信息系統應當僅限於滿足自身安全防範需要。
對於我國而言,歐盟的立法有何借鑑意義?
許可表示,這啓示我國更加嚴格地監管,將遠程監控儘可能地放在窄的範圍內。“我建議設置二維碼,讓人們知道人臉識別的目的、方法和內容,以及行使權利的方式、存儲數據的時間,以提升個人信息的透明度。”
何淵則認爲,歐盟在人工智能上的嚴格監管是基於其產業發展的選擇,我國並非必須跟從。
“如今歐盟的立法有往一刀切的方向走了。即使歐盟在回顧當年GDPR的制定時,也意識到了問題,它們提出‘裁判永遠不能贏得比賽’,希望還以運動員的身份參賽。”何淵說,“自由市場、加強監管”的模式更適合中國的發展,從合規而非嚴禁的角度出發,監督企業做好數據合規體系,完善公司治理體系,防範風險的發生。
吳沈括提出了三個可借鑑的方面。其一是歐盟針對具體場景的利益平衡規則設計;其二是對於監管機關的明確設定,用以改變我國九龍治水的監管格局;其三是特別強調典型執法案例的打造,不單單要注意條文上的規定,還要關注它在執法過程中,對法律條文的進一步解釋。
“在人工智能日益成爲數字化轉型的重要依託和重要生態環境的時代大趨勢下,儘早研判並建構人工智能的法律治理框架和自主體系,具有非常重要的時代意義,並且會成爲獲得了全球數字治理規則、戰略制高點的一個重要抓手。我們有必要在人工智能立法的研究上使勁,兩年之後,當數據作爲日常的規則,我們可能很少再談及個人信息保護或數據立法,而人工智能恰恰面臨着更大的風險和威脅。”吳沈括說。