「AI版GDPR」立法工作展開

歐盟執委會昨天（20日）作出一項重要立法工作公佈，歐委會副主席（數碼）韋斯塔格（Margrethe Vestager，照片左）跟內部市場專員布列頓（Thierry Breton，照片右，照片來自歐委會）公佈了歐盟數碼政策文件，其中重點是人工智能（AI）和數據的推廣和監管。本文先說AI部份。

IT數據：本屆歐委會兩大政策之一
本屆馮德萊恩（Ursula von der Leyen）歐委會有兩大政策重點，一為環保及對抗氣候變化，一為IT數碼，理論上歐盟未來5年將在這兩方面有大動作。IT方面，如果大家記得2018年開始生效的歐盟私隱保護法規GDPR的話，就知道歐盟在IT有大動作的全球影響。基本上全球企業都要遵守GDPR，因為企業很難完全避免其網上業務不在歐盟推出，或不服務歐盟成員國公民，而歐盟計劃在一些新興的IT技術領域也推出類似的法律監管，全球企業都會受影響。

其中，AI是歐盟第一個最急切出手對付的領域。

歐盟的IT政策不全是「為管而管」的，馮德萊恩在爭取成為歐委會主席時，揚言要建立「歐洲科技主權」，不在IT方面落後美中，要做到這點，就有幾個目標要達成：一、推動歐盟成員國內的IT研究及應用發展；二、確保IT技術發展的同時，不會因為各成員國的規管有所不同，而令歐盟的單一市場支離破碎；三、確保新的IT技術不會削弱、侵犯歐盟公民的人權。

至於為何上述第一個目標也會涉及監管呢？正如任何產品，例如汽車，作出監管守則，業界發展相關產品或技術時，就要圍住這套守則來進行，所以歐盟推出IT新技術的監管，可以影響這些技術的發展，從而確立自己在這些技術的地位，免得日後美中企業已研發得成熟時，歐盟（及歐盟國家的企業）反過來而跟隨人家的標準。

以AI為例，歐委會的文件（PDF檔案）是分為兩部份，用歐盟自己的jargon，就是「優秀的生態系統」（ecosystem of excellence）和「信任的生態系統」（ecosystem of trust），轉回較簡單的說法，歐盟在AI的政策涉及推動研發，以及加強監管規範。

有關推動研發方面，不能說歐盟的政策及工作沒有用，但也要記住，歐盟始終不是國家，更不是中國那種舉國體制，科技發展、尤其是落在商業應用層面的話，其實也得看私人企業，政府所做的不多，歐盟的主要工作是在資金、科研、勞工技能、協助企業、鼓勵公共服務使用AI等方面，整合各成員國原有的措施，例如如果所需要資金多到單一成員國不能負擔，歐盟就會協調各國，甚至動用歐盟一些基金。

所以，在新聞報導方面，大部份都不會提及這些建議，各位除非想看看如何用到歐盟的資金，否則那份AI政策文件，首9頁可以不看，由第10頁開始閱讀。

AI規管的建議
至於規範監管方面，AI以至隨後歐盟還會監管的更多新技術，其最大疑問是「難懂」。現有法例其實已規管了任何新技術，例如擔心AI侵犯私隱的話，GDPR可以用來對付，但對於這些新技術會發展成什麼，大家仍未能掌握，會否出現現有法規不能應對新技術的風險呢？這是歐盟這份AI文件有關規管部份要回答的問題。

歐盟主要希望處理AI的3大方面風險：

1、人權
2、安全
3、法律

所謂人權，包括私隱、個人數據應用、反歧視等等。例如，如果求職、房屋招租程式中的AI，可以猜測到使用者的背景，例如種族，繼而阻止他們尋找某些工作或房屋，這就違反了反歧視條例，需要阻止。

至於安全，最明顯的例子是汽車，汽車加入了AI後，會否更易撞車？

法律方面，是指問責責任。如果產品出事，例如汽車撞車，目前是很清楚是哪一方面對此負責，但如果加入了AI，會否出現是AI出錯，因此無人需要負責的情況呢？又或者，AI出事，應是AI研發、相關產品（例如汽車）生產商、抑或AI使用者（消費者）的責任呢？這些法律情況要及釐清。

如果現有法規未能處理以上風險，那就可能要修改現有法規，或是推出新法規來彌補。

歐委會建議中的規管範圍，已算較預期為小，未有建議全面規管AI，只監管「高風險」。

何謂「高風險」？歐委會暫時只提出2個準則，但未完全整理好規管情況。準則一為視乎AI應用在什麼界別，如果該界別出事會有嚴重風險的話，就要監管，歐盟暫時提出的例子包括醫療、運輸、能源和部份公共服務。

另一個準則是應用在什麼用途，繼而會出現上述的人權、安全或法律風險。文件提出的例子是：就算同樣是應用在醫療界別，但如果AI應用在預約系統，即使出問題，大不了只是預約混亂，但不會令病人死亡或醫療系統癱瘓，這個情況的AI未必需要有特定新法例監管。

從AI本身來分類的話，歐盟提出要就6點研究是否監管，其中5項為：

1、用來訓練AI的數據
2、訓練AI時的過程及期間所得出的新數據
3、AI本身的資料
4、AI準確性
5、人手監察

歐盟的AI監管法規，可能就上述細項提出研發時要做什麼，例如規定AI可應用前，要使用一定數量的數據(1)，要把訓練AI時的過程紀錄下來並公開，確保透明度(2)，要列明該AI本身想做什麼(3)，要確保AI準確(4)，要確保在什麼情況下，可透過人手矯正AI的錯誤(5)。

臉部辦識的規管
至於第6個細項，就是外界最關注的臉部辨識技術，又或者歐盟文件中所稱的「遙遠生物辨識」（remote biometric identification）技術。即是說，你家大門和你的手機要有臉部辨識來開門或解鎖，而這些數據不輸往一個伺服器的話，應該不會監管，但如果公眾地方廣設臉部辨識設施，即類似中國的街頭臉部辨識監察系統，就會列入研究是否監管的範圍。

之前曾傳出歐盟想在有新法規前，全面禁止公眾地方臉部辨識系統，但最後未有這樣提出。嚴格來說，現有法規，例如GDPR，已經可以阻止在歐盟出現中國式臉部辨識系統，但這些法規依然有修款，允許在涉及公眾利益的情況下，使用這些系統，現在歐盟要研究的是，想進一步說清楚豁免情況，毋謂等到有人作出法律挑戰，才由歐洲法院解決。

這份AI文件只是建議，而且還有很多細節公佈，未來仍有可能改變，暫時歐盟的目標是本年年底前完成所有立法工作。

延伸閱讀：
臉書允全球適用ＧＤＰＲ　歐盟私隱法勝一仗