歐盟人工智能法規(guī)近日有了新動向。

6月21日，歐盟數(shù)據(jù)保護委員會（EDPB）和歐盟數(shù)據(jù)保護監(jiān)督局（EDPS）針對歐盟今年4月發(fā)布的人工智能法規(guī)草案發(fā)表聯(lián)合意見，進一步呼吁在公共場所禁止使用人工智能自動識別個人特征，包括人臉識別、步態(tài)、指紋、DNA、聲音等生物或行為信號。

聯(lián)合意見還對數(shù)據(jù)保護做出了多處強調(diào)，建議將成員國的數(shù)據(jù)保護機構（DPA）指定為國家監(jiān)督機構，提議給予EAIB更大的自主權等。

此意見對最終的人工智能法規(guī)將造成多大影響？歐盟嚴格立法的目的何在？對我國有何借鑒意義？多位專家告訴21世紀經(jīng)濟報道記者，法規(guī)有多方考量，聯(lián)合意見或會促使法條的收緊，但對于歐盟立法的目的和借鑒意義上意見不一。

無論如何，在人工智能日益成為數(shù)字化轉(zhuǎn)型的重要依托和生態(tài)環(huán)境的未來，研判并建構人工智能的法律治理框架和自主體系，都將成為各國的必由之路。 

呼吁禁止公共場所人臉識別 

同歐盟今年4月提出的人工智能法規(guī)草案（以下簡稱草案）一樣，實時遠程生物識別技術也成為了此次聯(lián)合意見的關注焦點。

“作為實時遠程生物識別技術的一種，歐盟此處討論的人臉識別與我們狹義上認為的不同，它強調(diào)‘在公共場所監(jiān)控’的概念，歐盟對這點尤其反感。” 對外經(jīng)濟貿(mào)易大學數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可向21世紀經(jīng)濟報道記者舉例，在商店里安裝攝像頭進行人臉識別即屬于此類。其危害在于個人不知情或無法明確表示同意的情況下，處于被監(jiān)控狀態(tài)。而如刷臉入小區(qū)、入校等近距離的人臉識別，則不在歐盟的限制范圍內(nèi)。

此前，草案全面禁止了歐盟境內(nèi)無差別的大規(guī)模監(jiān)控，僅有三種特殊情況可豁免：尋找失蹤兒童，解除恐怖襲擊的威脅，和在法律允許范圍內(nèi)追查特定的刑事犯罪嫌疑人。違反者將面臨3000萬歐元或年收入6%的行政罰款。但這些規(guī)定仍被指為該技術留出了余地，曾有39名歐洲議會議員為此聯(lián)名上書抗議。

EDPB和EDPS在聯(lián)合意見呼吁歐盟全面禁止在公共場所使用人工智能自動識別人類特征，包括人臉識別、步態(tài)、指紋、DNA、聲音、點擊及其他生物或行為信號。此外，聯(lián)合意見還建議禁止據(jù)此將人們按照種族、性別、政治或性取向等進行分類或?qū)⑵溆糜谏鐣庞迷u分，禁止使用人工智能推斷自然人的情緒等。

“如果我們想維護自由，創(chuàng)建一個以人為中心的人工智能法律框架，全面禁止在公共場所使用人臉識別是一個必要的起點。”EDPB主席Andrea Jelinek和EDPS主管Wojciech Wiewiórowski表示，在公共場所使用遠程生物識別意味著人們再也無法匿名，而實時人臉識別等應用侵犯了人們的基本權利和自由，這要求監(jiān)管機構立即采取預防措施。

無獨有偶，英國ICO監(jiān)管機構近日也關注著實時人臉識別技術。信息專員伊麗莎白·德納姆在6月18日的一篇博客文章中表達了對人們在公共場所實時掃描和處理人臉的隱私風險，以及實時人臉識別與社交媒體或其他大數(shù)據(jù)結(jié)合的擔憂。

“在ICO對實時人臉識別的6次調(diào)查中，其主要用途包括解決公共安全問題和定位人群以投放個性化廣告，但實際上線的系統(tǒng)都沒有完全符合數(shù)據(jù)保護法，這些系統(tǒng)已停止使用該項技術。”她談到。

在美國，針對政府部門和校園的人臉識別禁令已經(jīng)落地。自2019年5月舊金山出臺法令，禁止警察和其他政府機構使用人臉識別技術始，薩默維爾、奧克蘭、波士頓等多個城市，以及紐約州、弗吉尼亞州等，紛紛頒布了類似禁令。如亞馬遜、微軟、IBM等大公司也暫停了人臉識別業(yè)務。 

強調(diào)數(shù)據(jù)保護 

作為歐盟的數(shù)據(jù)監(jiān)管機構，EDPB和EDPS在聯(lián)合意見中對數(shù)據(jù)保護做出了多處強調(diào)。

例如，應明確現(xiàn)有的《通用數(shù)據(jù)保護條例》（GDPR）、《歐盟數(shù)據(jù)保護代表條例》（EUDPR）和《數(shù)據(jù)保護執(zhí)法指令》（LED）等歐盟數(shù)據(jù)保護立法適用于人工智能法規(guī)草案范圍內(nèi)的任何個人數(shù)據(jù)處理。

人工智能法規(guī)草案將人工智能應用分為了不可接受、高、有限和低四個風險等級，并適用于不同的規(guī)制。聯(lián)合意見表示支持該基于風險的分類方法，但“基本權利風險”應與歐盟數(shù)據(jù)保護框架保持一致，并建議評估和減輕自然人群體的社會風險。此外，遵守歐盟包括個人數(shù)據(jù)保護在內(nèi)的法律義務，被視為擁有CE標志（歐盟安全認證標志）的產(chǎn)品進入歐洲市場的先決條件。

“人工智能這一項技術本身依托于數(shù)據(jù)。”許可表示，其中生物識別就是一項特殊的數(shù)據(jù)，叫敏感個人信息。

在北京師范大學網(wǎng)絡法治國家中心執(zhí)行主任吳沈括看來，歐盟數(shù)據(jù)保護立法一向是全覆蓋的，聯(lián)合意見不過是重申了這一立場。這不僅反映了歐盟對數(shù)據(jù)保護作為基本權利的重視，而且表明了歐盟面對未來數(shù)字治理，各機關間全力調(diào)整和協(xié)調(diào)的態(tài)度。

除法律條文外，EDPB和EDPS還希望給數(shù)據(jù)監(jiān)管機構“擴權”。

針對草案第59條要求的指定國家主管部門以確保人工智能法規(guī)順利實施，聯(lián)合意見建議將成員國的數(shù)據(jù)保護機構（DPA）指定為國家監(jiān)督機構。因為DPA已經(jīng)在根據(jù)GDPR和LED進行執(zhí)法，此舉能夠保證監(jiān)管方式的統(tǒng)一及法律解釋的一致性。

聯(lián)合意見還對草案中指定歐盟委員會在歐洲人工智能委員會（EAIB）中發(fā)揮主導作用提出了質(zhì)疑，認為這與建立不受任何政治影響的歐洲人工智能機構的需求相沖突，并提議給予EAIB更大的自主權，確保其能夠獨立自主地采取行動。

“這會帶來三個層面上的影響：首先，現(xiàn)有的數(shù)據(jù)保護機關的執(zhí)法態(tài)度、監(jiān)管立場和執(zhí)法工具的適用面將進一步擴大；與此相關的，在數(shù)據(jù)保護中相對嚴格的監(jiān)管態(tài)度也會擴展到人工智能領域；第三，未來人工智能的治理規(guī)則，很大程度上會基于或圍繞數(shù)據(jù)治理規(guī)則展開。”吳沈括說。

他指出，治理人工智能有三種可行的思路，一是管住算力，二是聚焦算法，三是關注數(shù)據(jù)，這三項是人工智能的基本構成要素。從聯(lián)合意見來看，EDPB和EDPS是希望從數(shù)據(jù)保護角度影響人工智能的治理生態(tài)。

“從數(shù)據(jù)切入，既能充分發(fā)揮現(xiàn)有制度的優(yōu)勢，又有相對成熟的人力和機構配備支撐。并且，就影響力而言，管住數(shù)據(jù)就能夠撼動全球的數(shù)字生態(tài)。這屬于歐盟的強項。”吳沈括表示。 

對人工智能法規(guī)有多大影響？ 

回顧歐盟人工智能立法的進程，此次EDPB和EDPS的聯(lián)合意見可能僅是其中的一段小插曲。

早在2018年3月，有歐盟智庫之稱的歐洲政治戰(zhàn)略中心就發(fā)布了題為《人工智能時代：確立以人為本的歐洲戰(zhàn)略》的報告，解讀了歐盟在人工智能領域的最新發(fā)展現(xiàn)狀。同年4月，歐盟委員會發(fā)布一份政策文件《歐盟人工智能》提出了人工智能的歐盟道路。

2019年，歐盟人工智能高級專家小組制定了《可信人工智能指南》，并于2020年制定了《可信人工智能評估清單》。2020年2月，歐盟發(fā)布《人工智能白皮書》提出一系列人工智能研發(fā)和監(jiān)管的政策措施，以及“可信賴的人工智能框架”。直到今年4月21日，歐盟提出了人工智能法規(guī)草案。

根據(jù)歐盟法律制定流程，人工智能法規(guī)的最終版本最早也得等到明年。那么，這份聯(lián)合意見能夠激起多大的水花？

許可表示，草案本身就是多方妥協(xié)后的產(chǎn)物。原本在去年年底透露出的相關消息中，實時遠程生物識別就是要求禁止或在一定時間內(nèi)禁止的。但當時受到了各方的阻力，最后草案后退了一步，沒有完全禁止，但提出了很多限制條件，如進行評估、審慎地開展等。

吳沈括則認為，雖然起草人工智能法規(guī)的團隊與歐盟數(shù)據(jù)保護法的團隊不同，各自的考量也有差異。但作為歐盟數(shù)據(jù)保護的職能機關，EDPB和EDPS關注歐盟各項數(shù)據(jù)保護法規(guī)的執(zhí)行，他們基于現(xiàn)行有效的法規(guī)提出的意見，對于面向未來的人工智能及其法規(guī)都有較大的影響。

他進一步分析，從人工智能發(fā)展的角度而言，需要一個相對寬松的監(jiān)管環(huán)境，但歐盟現(xiàn)行的數(shù)據(jù)保護法制度較為嚴格，這就造成了一種歐盟內(nèi)部的分歧和關系的緊張。“這也考驗著歐盟的立法者，在現(xiàn)有的制度束縛之下，如何給人工智能發(fā)展提供或者留下必要的空間，體現(xiàn)了很高的立法智慧。”

上海交通大學數(shù)據(jù)法律研究中心執(zhí)行主任何淵同樣認可EDPB和EDPS的建議對人工智能法規(guī)產(chǎn)生的重要影響。“未來的法規(guī)將趨嚴。尤其是在公共場所使用遠程人臉識別技術的‘例外情況’將會不斷被收緊。政府若想通過此項技術提高管理效率，不太可能。”

但他也強調(diào)，趨嚴可能并不意味著完全禁止，而是要用愈加嚴格的程序約束，提高合規(guī)要求。 

或為本國產(chǎn)業(yè)爭取市場 

數(shù)字經(jīng)濟時代，人工智能高速發(fā)展。據(jù)中國電子學會2020年預測，2022年全球人工智能市場將達到 1630 億元。

2021年1月25日，美國科技創(chuàng)新智庫“信息技術和創(chuàng)新基金會”（ITIF）發(fā)布題為《誰將贏得這場人工智能競賽？中國、歐盟還是美國？》的2021年版報告，構建了人才、研究、應用、數(shù)據(jù)硬件等六大類指標，以百分制評分，系統(tǒng)分析了美國、中國和歐盟的人工智能能力。

報告發(fā)現(xiàn)，美國在人工智能總體領域仍然遙遙領先（44.6分），中國在一些重要領域與美國的差距持續(xù)縮小（32.0分），歐盟依然落后（23.3分）。

“歐盟的人工智能法規(guī)走在了世界前列，是第一次以全面、系統(tǒng)的立法方式進入人工智能的治理。”吳沈括評價，這一方面是為了維護公民的基本權利，另一方面也是在一定程度上延緩國際競爭企業(yè)的發(fā)展速度，為自己的人工智能產(chǎn)業(yè)發(fā)展爭取時間和市場空間。

“歐盟在立法和執(zhí)法層面積累了豐富的經(jīng)驗與案例，但市場地位劣于中美，更沒有技術、企業(yè)管理上的獨立資源，法律手段成為唯一的選擇。它能夠發(fā)揮制度的溢出，對于包括中美在內(nèi)的數(shù)據(jù)產(chǎn)業(yè)和生態(tài)造成影響。”吳沈括進一步分析。

何淵也表示，歐盟在人工智能領域的立法其實與當年制定GDPR思路一致，嚴格的監(jiān)管法規(guī)能夠讓其占據(jù)道德的制高點，從而在與中美等的談判中占有優(yōu)勢。

同時，相當于變相地給歐盟本地的小企業(yè)政府補貼。“因為，小企業(yè)受到監(jiān)管的影響遠沒有大企業(yè)嚴重，外國大企進入歐盟市場要提高合規(guī)成本。”何淵說。

許可則表達了不同的意見。他認為，人工智能法規(guī)限制的范圍非常窄，僅體現(xiàn)在遠程監(jiān)控上，而人臉識別等技術的應用遠不止于此。

即使是遠程監(jiān)控也必須有底層數(shù)據(jù)的支撐，否則只能拍攝到人，無法獲知個人的身份信息，所以該法規(guī)的限制對象更多的是政府，對企業(yè)的影響有限。

“人工智能與GDPR不同，它只能管本國企業(yè)，不具有跨國的管轄。數(shù)據(jù)的跨國管轄權有兩個重要抓手，其一是數(shù)據(jù)不能流出歐盟境外，這就控制了數(shù)據(jù)本身；其二是如果想進入歐盟貿(mào)易，必須遵守GDPR。”許可解釋，這其中存在布魯塞爾效應，企業(yè)一般遵循一致性標準保護和管理數(shù)據(jù)，因此通過歐盟的管轄可以間接影響到歐盟以外的企業(yè)。

他指出，歐盟立法的核心在于宣揚、貫徹和維護自己的人工智能價值觀，并不具有太強的經(jīng)濟目的。 

對我國有何借鑒？ 

在我國，遠程實時監(jiān)控等人臉識別技術的濫用情況同樣嚴峻，如頻繁曝光的售樓處人臉識別、315晚會上的科勒衛(wèi)浴等商戶安裝攝像偷取客戶人臉識別信息等，有關立法已落地或提上日程。

如《個人信息保護法》草案第27條要求在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，并設置顯著的提示標識。人臉識別國家標準征求意見稿也指出，在公共場合收集人臉識別數(shù)據(jù)時，應設置數(shù)據(jù)主體主動配合以防范人臉數(shù)據(jù)在不知情的時候被收集。

天津、南京、杭州、深圳等地也相繼出售監(jiān)管人臉識別。以深圳為例，《深圳經(jīng)濟特區(qū)公共安全視頻圖像信息系統(tǒng)管理條例（草案）》中嚴格限制了攝像頭的安裝。規(guī)定旅館客房、醫(yī)院病房、集體宿舍、公共浴室、衛(wèi)生間、更衣室、哺乳室等可能泄露公民隱私的場所和區(qū)域，禁止安裝系統(tǒng)。單位和個人安裝公共安全視頻圖像信息系統(tǒng)應當僅限于滿足自身安全防范需要。

對于我國而言，歐盟的立法有何借鑒意義？

許可表示，這啟示我國更加嚴格地監(jiān)管，將遠程監(jiān)控盡可能地放在窄的范圍內(nèi)。“我建議設置二維碼，讓人們知道人臉識別的目的、方法和內(nèi)容，以及行使權利的方式、存儲數(shù)據(jù)的時間，以提升個人信息的透明度。”

何淵則認為，歐盟在人工智能上的嚴格監(jiān)管是基于其產(chǎn)業(yè)發(fā)展的選擇，我國并非必須跟從。

“如今歐盟的立法有往一刀切的方向走了。即使歐盟在回顧當年GDPR的制定時，也意識到了問題，它們提出‘裁判永遠不能贏得比賽’，希望還以運動員的身份參賽。”何淵說，“自由市場、加強監(jiān)管”的模式更適合中國的發(fā)展，從合規(guī)而非嚴禁的角度出發(fā)，監(jiān)督企業(yè)做好數(shù)據(jù)合規(guī)體系，完善公司治理體系，防范風險的發(fā)生。

吳沈括提出了三個可借鑒的方面。其一是歐盟針對具體場景的利益平衡規(guī)則設計；其二是對于監(jiān)管機關的明確設定，用以改變我國九龍治水的監(jiān)管格局；其三是特別強調(diào)典型執(zhí)法案例的打造，不單單要注意條文上的規(guī)定，還要關注它在執(zhí)法過程中，對法律條文的進一步解釋。

“在人工智能日益成為數(shù)字化轉(zhuǎn)型的重要依托和重要生態(tài)環(huán)境的時代大趨勢下，盡早研判并建構人工智能的法律治理框架和自主體系，具有非常重要的時代意義，并且會成為獲得了全球數(shù)字治理規(guī)則、戰(zhàn)略制高點的一個重要抓手。我們有必要在人工智能立法的研究上使勁，兩年之后，當數(shù)據(jù)作為日常的規(guī)則，我們可能很少再談及個人信息保護或數(shù)據(jù)立法，而人工智能恰恰面臨著更大的風險和威脅。”吳沈括說。