【文章上載於南韓時間29日下午1時51分;更新於晚上9時45分】 南韓星期日早上發生境內死傷最嚴重的空難,濟州航空 7C2216 號國際航班客機在全羅南道務安國際機場(光州和木浦市的國際機場)降落時墜毀,搜救部門晚上證實,已找到全部179名死者的遺體,只有2名較早時間尋回的生還者獲救。
歐盟執委會昨天(20日)作出一項重要立法工作公佈,歐委會副主席(數碼)韋斯塔格(Margrethe Vestager,照片左)跟內部市場專員布列頓(Thierry Breton,照片右,照片來自歐委會)公佈了歐盟數碼政策文件,其中重點是人工智能(AI)和數據的推廣和監管。本文先說AI部份。
IT數據:本屆歐委會兩大政策之一
本屆馮德萊恩(Ursula von der Leyen)歐委會有兩大政策重點,一為環保及對抗氣候變化,一為IT數碼,理論上歐盟未來5年將在這兩方面有大動作。IT方面,如果大家記得2018年開始生效的歐盟私隱保護法規GDPR的話,就知道歐盟在IT有大動作的全球影響。基本上全球企業都要遵守GDPR,因為企業很難完全避免其網上業務不在歐盟推出,或不服務歐盟成員國公民,而歐盟計劃在一些新興的IT技術領域也推出類似的法律監管,全球企業都會受影響。
其中,AI是歐盟第一個最急切出手對付的領域。
歐盟的IT政策不全是「為管而管」的,馮德萊恩在爭取成為歐委會主席時,揚言要建立「歐洲科技主權」,不在IT方面落後美中,要做到這點,就有幾個目標要達成:一、推動歐盟成員國內的IT研究及應用發展;二、確保IT技術發展的同時,不會因為各成員國的規管有所不同,而令歐盟的單一市場支離破碎;三、確保新的IT技術不會削弱、侵犯歐盟公民的人權。
至於為何上述第一個目標也會涉及監管呢?正如任何產品,例如汽車,作出監管守則,業界發展相關產品或技術時,就要圍住這套守則來進行,所以歐盟推出IT新技術的監管,可以影響這些技術的發展,從而確立自己在這些技術的地位,免得日後美中企業已研發得成熟時,歐盟(及歐盟國家的企業)反過來而跟隨人家的標準。
以AI為例,歐委會的文件(PDF檔案)是分為兩部份,用歐盟自己的jargon,就是「優秀的生態系統」(ecosystem of excellence)和「信任的生態系統」(ecosystem of trust),轉回較簡單的說法,歐盟在AI的政策涉及推動研發,以及加強監管規範。
有關推動研發方面,不能說歐盟的政策及工作沒有用,但也要記住,歐盟始終不是國家,更不是中國那種舉國體制,科技發展、尤其是落在商業應用層面的話,其實也得看私人企業,政府所做的不多,歐盟的主要工作是在資金、科研、勞工技能、協助企業、鼓勵公共服務使用AI等方面,整合各成員國原有的措施,例如如果所需要資金多到單一成員國不能負擔,歐盟就會協調各國,甚至動用歐盟一些基金。
所以,在新聞報導方面,大部份都不會提及這些建議,各位除非想看看如何用到歐盟的資金,否則那份AI政策文件,首9頁可以不看,由第10頁開始閱讀。
AI規管的建議
至於規範監管方面,AI以至隨後歐盟還會監管的更多新技術,其最大疑問是「難懂」。現有法例其實已規管了任何新技術,例如擔心AI侵犯私隱的話,GDPR可以用來對付,但對於這些新技術會發展成什麼,大家仍未能掌握,會否出現現有法規不能應對新技術的風險呢?這是歐盟這份AI文件有關規管部份要回答的問題。
歐盟主要希望處理AI的3大方面風險:
至於安全,最明顯的例子是汽車,汽車加入了AI後,會否更易撞車?
法律方面,是指問責責任。如果產品出事,例如汽車撞車,目前是很清楚是哪一方面對此負責,但如果加入了AI,會否出現是AI出錯,因此無人需要負責的情況呢?又或者,AI出事,應是AI研發、相關產品(例如汽車)生產商、抑或AI使用者(消費者)的責任呢?這些法律情況要及釐清。
如果現有法規未能處理以上風險,那就可能要修改現有法規,或是推出新法規來彌補。
歐委會建議中的規管範圍,已算較預期為小,未有建議全面規管AI,只監管「高風險」。
何謂「高風險」?歐委會暫時只提出2個準則,但未完全整理好規管情況。準則一為視乎AI應用在什麼界別,如果該界別出事會有嚴重風險的話,就要監管,歐盟暫時提出的例子包括醫療、運輸、能源和部份公共服務。
另一個準則是應用在什麼用途,繼而會出現上述的人權、安全或法律風險。文件提出的例子是:就算同樣是應用在醫療界別,但如果AI應用在預約系統,即使出問題,大不了只是預約混亂,但不會令病人死亡或醫療系統癱瘓,這個情況的AI未必需要有特定新法例監管。
從AI本身來分類的話,歐盟提出要就6點研究是否監管,其中5項為:
臉部辦識的規管
至於第6個細項,就是外界最關注的臉部辨識技術,又或者歐盟文件中所稱的「遙遠生物辨識」(remote biometric identification)技術。即是說,你家大門和你的手機要有臉部辨識來開門或解鎖,而這些數據不輸往一個伺服器的話,應該不會監管,但如果公眾地方廣設臉部辨識設施,即類似中國的街頭臉部辨識監察系統,就會列入研究是否監管的範圍。
之前曾傳出歐盟想在有新法規前,全面禁止公眾地方臉部辨識系統,但最後未有這樣提出。嚴格來說,現有法規,例如GDPR,已經可以阻止在歐盟出現中國式臉部辨識系統,但這些法規依然有修款,允許在涉及公眾利益的情況下,使用這些系統,現在歐盟要研究的是,想進一步說清楚豁免情況,毋謂等到有人作出法律挑戰,才由歐洲法院解決。
這份AI文件只是建議,而且還有很多細節公佈,未來仍有可能改變,暫時歐盟的目標是本年年底前完成所有立法工作。
延伸閱讀:
臉書允全球適用GDPR 歐盟私隱法勝一仗
IT數據:本屆歐委會兩大政策之一
本屆馮德萊恩(Ursula von der Leyen)歐委會有兩大政策重點,一為環保及對抗氣候變化,一為IT數碼,理論上歐盟未來5年將在這兩方面有大動作。IT方面,如果大家記得2018年開始生效的歐盟私隱保護法規GDPR的話,就知道歐盟在IT有大動作的全球影響。基本上全球企業都要遵守GDPR,因為企業很難完全避免其網上業務不在歐盟推出,或不服務歐盟成員國公民,而歐盟計劃在一些新興的IT技術領域也推出類似的法律監管,全球企業都會受影響。
其中,AI是歐盟第一個最急切出手對付的領域。
歐盟的IT政策不全是「為管而管」的,馮德萊恩在爭取成為歐委會主席時,揚言要建立「歐洲科技主權」,不在IT方面落後美中,要做到這點,就有幾個目標要達成:一、推動歐盟成員國內的IT研究及應用發展;二、確保IT技術發展的同時,不會因為各成員國的規管有所不同,而令歐盟的單一市場支離破碎;三、確保新的IT技術不會削弱、侵犯歐盟公民的人權。
至於為何上述第一個目標也會涉及監管呢?正如任何產品,例如汽車,作出監管守則,業界發展相關產品或技術時,就要圍住這套守則來進行,所以歐盟推出IT新技術的監管,可以影響這些技術的發展,從而確立自己在這些技術的地位,免得日後美中企業已研發得成熟時,歐盟(及歐盟國家的企業)反過來而跟隨人家的標準。
以AI為例,歐委會的文件(PDF檔案)是分為兩部份,用歐盟自己的jargon,就是「優秀的生態系統」(ecosystem of excellence)和「信任的生態系統」(ecosystem of trust),轉回較簡單的說法,歐盟在AI的政策涉及推動研發,以及加強監管規範。
有關推動研發方面,不能說歐盟的政策及工作沒有用,但也要記住,歐盟始終不是國家,更不是中國那種舉國體制,科技發展、尤其是落在商業應用層面的話,其實也得看私人企業,政府所做的不多,歐盟的主要工作是在資金、科研、勞工技能、協助企業、鼓勵公共服務使用AI等方面,整合各成員國原有的措施,例如如果所需要資金多到單一成員國不能負擔,歐盟就會協調各國,甚至動用歐盟一些基金。
所以,在新聞報導方面,大部份都不會提及這些建議,各位除非想看看如何用到歐盟的資金,否則那份AI政策文件,首9頁可以不看,由第10頁開始閱讀。
AI規管的建議
至於規範監管方面,AI以至隨後歐盟還會監管的更多新技術,其最大疑問是「難懂」。現有法例其實已規管了任何新技術,例如擔心AI侵犯私隱的話,GDPR可以用來對付,但對於這些新技術會發展成什麼,大家仍未能掌握,會否出現現有法規不能應對新技術的風險呢?這是歐盟這份AI文件有關規管部份要回答的問題。
歐盟主要希望處理AI的3大方面風險:
1、人權所謂人權,包括私隱、個人數據應用、反歧視等等。例如,如果求職、房屋招租程式中的AI,可以猜測到使用者的背景,例如種族,繼而阻止他們尋找某些工作或房屋,這就違反了反歧視條例,需要阻止。
2、安全
3、法律
至於安全,最明顯的例子是汽車,汽車加入了AI後,會否更易撞車?
法律方面,是指問責責任。如果產品出事,例如汽車撞車,目前是很清楚是哪一方面對此負責,但如果加入了AI,會否出現是AI出錯,因此無人需要負責的情況呢?又或者,AI出事,應是AI研發、相關產品(例如汽車)生產商、抑或AI使用者(消費者)的責任呢?這些法律情況要及釐清。
如果現有法規未能處理以上風險,那就可能要修改現有法規,或是推出新法規來彌補。
歐委會建議中的規管範圍,已算較預期為小,未有建議全面規管AI,只監管「高風險」。
何謂「高風險」?歐委會暫時只提出2個準則,但未完全整理好規管情況。準則一為視乎AI應用在什麼界別,如果該界別出事會有嚴重風險的話,就要監管,歐盟暫時提出的例子包括醫療、運輸、能源和部份公共服務。
另一個準則是應用在什麼用途,繼而會出現上述的人權、安全或法律風險。文件提出的例子是:就算同樣是應用在醫療界別,但如果AI應用在預約系統,即使出問題,大不了只是預約混亂,但不會令病人死亡或醫療系統癱瘓,這個情況的AI未必需要有特定新法例監管。
從AI本身來分類的話,歐盟提出要就6點研究是否監管,其中5項為:
1、用來訓練AI的數據歐盟的AI監管法規,可能就上述細項提出研發時要做什麼,例如規定AI可應用前,要使用一定數量的數據(1),要把訓練AI時的過程紀錄下來並公開,確保透明度(2),要列明該AI本身想做什麼(3),要確保AI準確(4),要確保在什麼情況下,可透過人手矯正AI的錯誤(5)。
2、訓練AI時的過程及期間所得出的新數據
3、AI本身的資料
4、AI準確性
5、人手監察
臉部辦識的規管
至於第6個細項,就是外界最關注的臉部辨識技術,又或者歐盟文件中所稱的「遙遠生物辨識」(remote biometric identification)技術。即是說,你家大門和你的手機要有臉部辨識來開門或解鎖,而這些數據不輸往一個伺服器的話,應該不會監管,但如果公眾地方廣設臉部辨識設施,即類似中國的街頭臉部辨識監察系統,就會列入研究是否監管的範圍。
之前曾傳出歐盟想在有新法規前,全面禁止公眾地方臉部辨識系統,但最後未有這樣提出。嚴格來說,現有法規,例如GDPR,已經可以阻止在歐盟出現中國式臉部辨識系統,但這些法規依然有修款,允許在涉及公眾利益的情況下,使用這些系統,現在歐盟要研究的是,想進一步說清楚豁免情況,毋謂等到有人作出法律挑戰,才由歐洲法院解決。
這份AI文件只是建議,而且還有很多細節公佈,未來仍有可能改變,暫時歐盟的目標是本年年底前完成所有立法工作。
延伸閱讀:
臉書允全球適用GDPR 歐盟私隱法勝一仗
留言
發佈留言