随着人工智能(AI)技术的进步,基于AI的应用已被广泛采用。与此同时,由于AI系统可能会生成人们并不需要或可能有害的结果,这引来了政策制定者越来越严格的审查。除了其他关注点外,政策制定者力求确保AI系统避免有害的偏见,而且准确、可解释并保护隐私。过去,出现在美国的这类问题会通过各种监管和州立法行动得到解决,但通常仅针对特定应用或问题。
2019年,特朗普政府发布了《关于保持美国在AI领域领导地位的行政命令(Executive Order on Maintaining American Leadership in AI)》,其中指示隶属于美国商务部的国家标准与技术研究院(National Institute of Standards and Technology,NIST)“为联邦参与开发技术标准和相关工具”制定一个全方位的“计划,以支持使用AI技术的可靠、稳固和可信赖的系统”。2020年,国会指示NIST开发“AI风险管理框架”(AI RMF)。2022年3月17日,NIST发布了其AI RMF的初稿。
AI RMF草案
AI RMF草案使用三类分类法对AI特征进行分类:(1)技术特征;(2)社会技术(socio-technical)特征;以及(3)指导原则。通过这些特征,可以评估AI是值得信赖的还是有风险的。技术特征是指AI系统设计中的风险,包括准确性(accuracy)、可靠性(reliability)、坚固性(robustness)和弹性(resilience)/安全性(security)。社会技术特征是指会影响AI系统使用方式和社会认知的人类和系统性的制度和社会偏见,包括可解释性(explainability)、可诠释性(interpretability)、私密性(privacy)、安全性(safety)和偏见管理(managing bias)。指导原则是指AI系统应遵守的更广泛的社会规范和价值观,包括公平、问责制和透明度。
参考该框架,AI RMF草案列出了各组织可以采取的行动清单,以识别和减轻特定AI系统的相关风险。AI RMF草案将这些操作归纳成4个功能:映射(Map)、测量(Measure)、管理(Manage)和治理(Govern),这些功能应该被迭代地执行。
继在2022年3月召开关于AI RMF草案的公开研讨会之后,NIST发布了第一轮公众意见,这些意见来自包括谷歌、凯萨医疗机构(Kaiser Permanente)、劳工统计局、美国财产意外伤害保险协会、美国唱片业协会、美国商会和伯克利大学等在内的企业、政府部门和高等教育机构的各类利益相关方。NIST还计划在2022年10月19日至21日举办另一场研讨会,并在2022年底或2023年初发布AI RMF草案的最终版本。
美国对AI的现行立法和监管
迄今为止,美国关于AI的法规仅针对AI RMF草案所确定的风险中的一部分。目前,美国没有任何联邦层面的立法用以管理AI系统,但有来自联邦监管机构——包括联邦贸易委员会(FTC)、住房和城市发展部、平等就业机会委员会(EEOC)——的监督。他们的监管范围必然是有限的。例如,FTC的规则仅限于解决歧视性和欺诈性的商业行为,EEOC则专注于在招聘和工作场所的应用中使用的AI。
在美国,至少有5个州——阿拉巴马州、科罗拉多州、伊利诺伊州、密西西比州和犹他州——已经通过了与AI相关的立法,还有十几个州正在等待立法。但到目前为止,州立法的范围也受到限制。例如,伊利诺伊州专注于监管用于就业决策的AI系统中的偏见,而阿拉巴马州的法案只是建立了一个AI咨询委员会。
即使是拟议的《欧盟AI法案(European Union AI Act)》——迄今为止提出的最全面的AI立法,也没能明确解决某些技术和社会技术风险,例如准确性、可解释性和可诠释性。而且,该法案因为缺乏根据未来发展对AI系统进行重新分类的方法而受到了批评。AI RMF为解决所有AI风险所做的努力可能会促成更全面的未来立法或监管。
AI RMF的潜在影响
尽管具有自愿性质,AI RMF本身可以通过告知普通法的注意标准(standard of care),有效地对AI系统的开发人员和用户施加法律义务。随着关于AI系统所造成损害的纠纷陆续出现,法院可能会通过AI RMF来确定是否应该采取其他措施来防止这些损害。目前,有一些使用自愿NIST框架作为注意标准的先例。2014年,NIST发布了一个自愿的网络安全框架。评论者承认它可以被采纳为注意标准。法院已经认识到它在告知注意标准方面的价值。例如,在一个有关投票权的案件中,专家证词在就适当的注意标准发表意见时援引了NIST的网络安全框架。遵守网络安全框架还是解决2020年雅虎数据安全漏洞集体诉讼的一个条件。未来,在关于AI系统的诉讼中,AI RMF很可能被类似地用于建立注意标准。
目前,AI RMF可以帮助相关组织解决适用于AI系统的各种新出现的法律要求,并为未来的全面监管做好准备。2020年发布的NIST隐私框架也起到了类似的作用。在隐私框架发布时,仅有《欧盟通用数据保护条例(E.U. General Data Protection Regulation)》和《加利福尼亚州消费者隐私法(California Consumer Privacy Act)》是有效的重要数据隐私法。从那时起,美国超过60%的州已经在考虑或通过了新的隐私法规。隐私框架帮助各组织预测并跟上了隐私法的立法浪潮。随着AI监管沿着类似的轨迹向前发展,AI RMF可能会成为相关组织跟上快速发展的法律环境的有用工具。(编译自www.quinnemanuel.com)