2024年12月10日,巴西参议院通过了2023年第2338号法案(自公布一年后生效),该法案规范了人工智能的使用,并概述了数据保护措施。根据巴西《通用数据保护法》(LGPD),该法案要求人工智能(AI)系统提供商遵守个人的隐私权和个人数据保护权。法案要求系统提供商告知个人是否使用了情绪识别系统或生物识别分类系统,以及系统使用的数据。此外,法案规定个人有权更正人工智能系统使用的不完整、不准确或过时的数据,并要求人工智能系统在数据不再符合其收集目的或当个人要求删除其数据时,对数据进行匿名化处理或删除数据。最后,该法案规定了个人不受基于个人数据歧视的权利,包括地理来源、种族、肤色或民族、性别、社会经济阶层、性取向、年龄、残疾、宗教或政治观点。
一、巴西《人工智能法案》:数据安全与人权保护的平衡之道
随着人工智能(AI)技术的飞速发展,它正在深刻影响我们生活的方方面面,从医疗诊断到城市管理,甚至到我们的日常决策。然而人工智能系统的迅猛普及在为社会带来便利的同时,也引发了不少担忧:(1)透明性不足:AI做出的决策常常缺乏解释,个人很难理解其逻辑;(2)数据歧视风险:AI算法可能因训练数据偏差而引发性别、种族或社会阶层的歧视;(3)隐私问题:AI依赖于大量数据,这些数据若处理不当会侵犯个人隐私。为应对AI趋势并防范AI带来的风险,巴西联邦政府提出了《人工智能法案》(PL 2338/2023),这是一部立足于保障公民权利、推动技术创新,同时确保AI安全使用的法律。法案的核心关注点包括:人类中心性,防止技术滥用及歧视,保护数据隐私和安全,鼓励创新与可持续发展。法案分为九大章节,涵盖了AI系统的重要定义、权利保护、风险分类、治理、责任与监管等内容。这意味着,AI在巴西的未来,不仅要“智能”,更要“可信赖”。
二、重要定义及用户权利
重要定义
人工智能系统:具有不同自主程度的计算机系统,旨在通过基于机器学习和/或逻辑与知识表示的方法,利用来自机器或人类的输入数据推断如何实现一组目标,以产生可能影响虚拟或现实环境的预测、建议或决策;
人工智能系统供应商:自然人或法人,无论其性质为公共或私人,直接或通过订单开发人工智能系统,旨在将其投入市场或应用于其提供的服务的应用,以自己的名义或品牌,有偿或无偿;
人工智能系统运营商:自然人或法人,无论其性质为公共或私人,以自己的名义或利益使用人工智能系统,除非该系统用于非职业性质的个人活动范围内;
人工智能代理:人工智能系统的供应商和运营商;
歧视:在任何公共或私人生活领域中,任何区分、排除、限制或优先考虑,其目的或效果是取消或限制基于法律体系规定的平等条件下,一个或多个权利或自由的承认、享受或行使,由于个人特征如地理起源、种族、肤色或民族、性别、性取向、社会经济阶级、年龄、残疾、宗教或政治观点;
间接歧视:当看似中立的规范、实践或标准具有对属于特定群体的人造成不利或使他们处于不利地位的能力时发生的歧视,除非该规范、实践或标准有合理的和合法的目标或理由,符合平等权和其它基本权利;
文本和数据挖掘:从大量数据或文本内容的部分或全部中提取和分析的过程,从中提取出模式和相关性,这些模式和相关性将产生对人工智能系统开发或使用有重要信息。
用户权利
法案赋予了公民与AI系统互动时的基本权利,保障每个人都能理解、质疑AI的决策:
知情权:当AI系统参与决策时,用户有权被提前告知。
解释权:如果AI的决策影响个人权益,用户可以要求系统提供详细解释,包括决策的逻辑和依据。
异议权:对于重要决策,个人有权提出异议,并要求人类介入重新审核。
决策参与权:在考虑技术发展的背景和现状的情况下,对智能系统决策享有人的确定权和参与权;
反歧视权:AI决策不得产生直接、间接或系统性的歧视,系统若存在偏见,公民可以要求纠正和修复。
这些权利犹如一把“保护伞”,确保个人在AI主导的时代拥有充分的自主权。
三、AI风险分级监管
巴西《人工智能法案》要求在投入市场或投入使用之前,所有人工智能系统都必须经过供应商进行的初步评估,以确定其风险等级,只要该系统在初步评估中被认为是高风险的,需要将初步评估和算法影响评估通知有权机关。该法案以“风险分类原则”为核心,根据AI系统对社会、个人和公共安全的潜在影响,明确了对不同风险级别AI系统的要求:
极端风险AI系统
与欧盟AI法案类似,巴西法案禁止部分AI系统的法律逻辑是 AI不能通过操控人类行为获取商业利益,同时AI不得侵犯个人隐私,尤其是生物识别数据的非法收集。法案明确禁止实施和使用极端风险系统,这类系统通过AI技术对人类健康、安全、隐私造成无法接受的风险,必须禁止使用,具体禁止规定如下:I-使用暗示性的技术,旨在或产生诱导自然人以对其健康或安全有害或危险,或违反本法基础的行为;II-利用自然人特定群体的任何脆弱性,如与其年龄或身体或精神缺陷相关的,以诱导其以对其健康或安全有害或违反本法基础的方式行事;III-公权力基于自然人的社会行为或其个性特征,通过通用评分,非法或不合理地评估、分类或排名自然人,以获取商品和服务以及公共政策。
高风险AI系统
可能对人或社会造成损害的属于高风险AI系统,涉及关键基础设施、健康、教育、就业、司法等领域,具体而言包括:a) 作为基础设施管理和运营中的安全设备应用,例如交通控制和供水、供电网络;b) 教育和职业培训,包括确定进入教育或职业培训机构或评估和监控学生的系统;c) 招聘、筛选、筛选候选人、关于晋升或终止劳动合同的决定、任务分配以及受此类人工智能应用影响的就业、员工管理和自主就业的绩效和行为评估和控制的系统;d) 评估进入、资格、授予、审查、减少或撤销被认为至关重要的私人或公共服务的标准,包括用于评估自然人是否具有提供公共服务援助和保险资格的系统;e) 评估自然人的债务能力或建立其信用评级的系统;f) 发送或确定紧急响应服务(包括消防和医疗援助)的优先级的系统;g)司法管理,包括协助司法当局调查事实和执行法律的系统;h) 当其使用可能对人的身体健康造成风险时,自动驾驶车辆、健康领域的应用,包括旨在协助诊断和医疗程序的系统;i) 生物识别识别系统等。
有权机关应负责更新高风险人工智能系统的清单,这类系统必须遵循严格的合规治理,确保通过严格的算法影响评估,确保系统安全、透明且无偏见。具体需要满足的条件包括:AI决策逻辑、风险评估和数据来源必须对外可解释;供应商需在部署前进行算法偏见测试、数据安全审查,并定期更新报告;监管机构不定期进行合规性审核。
低风险AI系统
适用于娱乐、电子商务推荐等不属于极端和高风险领域的AI系统,监管要求相对宽松,对公众影响相对较小,但仍需遵守基本的透明度和数据保护要求。分级监管的做法既能防范AI滥用带来的风险,又不会阻碍AI创新发展。
四、企业的治理责任
AI系统治理框架
人工智能系统的供应商和运营商应建立确保系统安全和受影响人权的治理结构和内部流程,治理框架至少包括:
(1)数据治理: 数据的收集、处理和存储必须遵循巴西《通用数据保护法》(LGPD)的要求。根据数据保护法对数据处理进行合法化,包括从设计阶段开始采用隐私措施和默认措施,以及采用最小化个人数据使用的技术的采用; 采取适当的数据管理措施,确保数据经过偏见防控与质量检查,避免歧视性决策。
(2)算法透明与可解释性:提高人与AI系统交互中的透明度,包括使用适当、足够清晰和信息的人机界面。企业在人工智能系统开发和部署中采用的治理措施需要保证透明度,高风险人工智能系统的技术文档将在其投放市场或用于提供服务之前编制,并在其使用期间保持更新。便于公众理解和监督。
(3)安全与风险管理: 人工智能系统的治理措施适用于其整个生命周期,从初始设计到活动结束和停止。高风险人工智能系统的技术文档将在其投放市场或用于提供服务之前编制,并在其使用期间保持更新。采用适当的数据分离和组织参数,用于系统结果的训练、测试和验证;从设计到系统运行的信息安全适当措施的采用。人工智能系统的治理措施适用于其整个生命周期,从初始设计到活动结束和停止,确保在问题发生时及时修复和补救。
高风险AI系统的特殊治理要求
根据法案第20条,对于高风险AI系统,治理措施进一步强化,具体包括:
(1)自动化日志记录:以适当格式记录关于系统运作及其构建、实施和使用中涉及的决策的文档,包括系统生命周期中所有相关阶段,如设计阶段、开发阶段、评估阶段、运营阶段和系统停用阶段; 使用系统操作的自动记录工具,根据人工智能系统的行业和类型进行可靠性水平评估测试,以便评估其准确性和鲁棒性,并确定潜在的歧视性,并实施采取的风险缓解措施,特别关注不利影响,确保操作可追溯,便于事后审查。
(2)偏见防控机制:通过数据多样性、代表性和定期测试防止算法偏见。 a) 评估数据,采取适当的控制认知偏差的措施,可能影响数据的收集和组织,以及避免因分类问题、受影响群体的分类、信息不足或缺乏信息、代表性不足或扭曲等问题产生偏见,以及为避免可能通过技术延续和扩大的结构性社会偏见而采取的纠正措施;b) 组建包容性团队负责系统的设计和开发,以寻求多样性为导向。
(3)人工审查:在关键决策中确保有意义的人为干预。采取技术措施以实现人工智能系统结果的解释性,同时借助高风险人工智能系统的人工审查,以预防或最大限度地减少因正常使用或合理可预见的不当使用而产生的对个人权利和自由的潜在风险,负责人工审查的人员应能够:a) 理解人工智能系统的能力和局限性,并妥善控制其运作,以便尽快识别和解决异常、功能障碍和意外性能的信号;b) 了解自动或过度依赖人工智能系统产生的结果的潜在趋势;c) 正确解释人工智能系统的结果,考虑到系统的特征和可用的解释工具和方法;d) 在任何特定情况下决定不使用高风险人工智能系统或忽略、取消或逆转其结果;e) 干预高风险人工智能系统的运作或中断其运作。
五、政府的角色:引领与监管并重
根据法案规定,巴西政府在AI治理中扮演重要角色,确保法案的实施落地:
(1)设立专门监管机构:负责监督AI系统的开发和使用,推动巴西人工智能战略的制定、更新和实施,并受理公众投诉。 创建AI高风险系统的数据库,向公众公开算法评估报告,增强社会监督。
(2)推动AI创新:通过设立沙盒监管(sandbox),为AI企业提供安全可控的实验环境,提高效率、降低成本、增加安全性、降低风险,推动公共数据开放,支持AI技术的训练与开发,鼓励技术创新。对于数据挖掘和文本挖掘活动在人工智能系统中的其分析活动也作出了排除著作权侵权适用的情形规定。
(3)数据透明与公众参与:创建AI高风险系统的数据库,向公众公开算法评估报告,增强社会监督。
这体现了政府在新兴技术监管与促进创新之间的巧妙平衡。
合规启示
这部《人工智能法案》标志着巴西在全球AI监管领域迈出了重要一步,更释放了一个重要信号:在AI快速发展的时代,技术进步不能以牺牲人权为代价。AI的发展需要法律的引导,确保其服务于人类社会的整体利益。巴西通过这一法案,为全球AI治理提供了一个具有风险分级和人权优先特征的监管范本,它不仅保护了公民的基本权利,也为企业提供了明确的治理框架,减少了AI开发和使用的法律不确定性,提醒AI服务相关的企业和研究者AI的未来发展需要更加合规、透明。
