Tom Snyder：谁应该监管AI：政府还是大型科技公司？

谁应该监管AI：政府还是大型科技公司？

近期，我们见证了两个关于AI将变得安全可靠的重大新闻。首先是苹果公司宣布将自愿遵守拜登总统关于安全AI的行政命令。同时，欧盟通过了期待已久的《人工智能法案》，实施了广泛的AI监管。让我们深入了解一下这些公告，并探讨美国和欧盟在应对充满风险与机遇的AI革命时所采取的不同方法。

苹果的决定是在其发布Apple Intelligence（苹果智能）测试版大约一个月后做出的，这是一套全新的AI工具，适用于整个苹果笔记本电脑、平板电脑和智能手机生态系统。尽管来得稍晚，但苹果还是加入了微软、谷歌、Meta和亚马逊等主要科技公司的行列，这些公司之前都已宣布自愿遵守去年10月的行政命令。一些新兴的AI明星公司，如OpenAI、Anthropic和Inflection，也表达了遵守意愿。

苹果智能以安全性为卖点，声称这些AI工具足够轻便，可以在设备边缘（即直接在手机或笔记本电脑上）运行。对于需要云计算的复杂查询，苹果声称用户查询仅限于其私有云服务器，因此用户隐私和数据安全性得到了保障和加密。苹果网站上写道：“Apple Intelligence与私有云计算相结合，为隐私在AI领域树立了新标准，解锁了用户可以信赖的智能功能。”

这些大胆的声明确实在一定程度上提供了外部世界无法轻易访问用户数据的安全性。但鲜少提及的是，这种做法几乎无法保护用户数据免受苹果公司自身的侵害。多年来，大型科技公司一直在构建产品套件，正是为了将用户数据收集到他们的专有服务器上。例如，如果苹果比微软或谷歌更了解你，那么它就能为你提供更好的（AI定制）服务，从而进一步巩固其用户粘性。你是否曾尝试离开苹果的服务生态系统？这往往痛苦而艰难。AI将使客户锁定更加牢固。

科技巨头自愿遵守拜登的行政命令意味着什么？事实上，这并不意味着太多。首先，让我们看看行政命令涵盖的内容：

• 它鼓励行业达成共识标准，但没有明确推荐任何标准。对于行业而言，承诺在未来的讨论中拥有一席之地是相对容易的。

• 它强调安全、保障和道德考虑，但没有提出或定义这些领域的具体法规。公司因此获得了良好的公关效果，而无需真正遵守空洞的要求。

• 它依赖联邦机构根据自身领域的用例制定自己的标准。好消息是，行政命令赋予了机构采购和拨款的影响力，以引导资金流向表现良好的组织。但经济激励是否足够有效，尚待观察。

• 它没有对不遵守规定提出明确的处罚措施，而是依赖公司自我监管。这无异于让狐狸看守鸡舍。

• 它倡导明确AI训练和开发的版权和知识产权界限，但没有实际施加任何要求。我们寄希望于行业能够自行披露是否基于专有内容创建了衍生作品。我们已经看到艺术家们在新作品中添加“毒药”来捕捉AI的不当行为，初步迹象表明，很少有组织在道德上表现良好。至于这是否是公司故意或无意中试图区分受保护数据和未受保护数据的结果，尚待探讨。

总体而言，美国的行政命令只是一个起点，旨在开启一个政治上敏感且难以立即采取具体行动的对话。大公司因此获得了大量公关利益，而无需真正改变行为或承担不遵守规定的风险。一切都是自愿的，没有任何强制性要求。难怪苹果等到现在才宣布其遵守计划，这与他们最新的AI产品安全营销活动相得益彰。

那么欧盟呢？他们做得更好吗？

答案是肯定的，欧盟的《人工智能法案》要强大得多。尽管仍有很长的路要走，但该法案在初期已经制定了一些强有力的规定。这些规定能否经受住未来的法律挑战，尚待观察。以下是《人工智能法案》的关键点：

• 在所有欧盟成员国和所有市场领域建立了全面的监管框架。这将促进监管一致性，这是欧盟方法的一大重要优势。标准化有助于加速行业发展（尤其是对小企业而言），并减少特殊利益游说的切入点。相比之下，美国分散于多个机构的方法可能导致高度碎片化和行业特定的未来监管，进而产生漏洞。

• 建立了AI风险等级分类——不可接受、高风险和最低/无风险——以减轻对健康、安全和基本权利的风险。法规根据风险等级合理分配，为行业和监管机构提供了更多明确性。高风险应用受到严格监管。

• 禁止在公共场所使用远程生物识别技术。这一条款明确地将公共利益置于企业利益之上，是在保护个人权利和避免政府或企业监控国家方面迈出的一大步。

• 建立了明确的法律框架，对不遵守规定的行为规定了严厉的处罚措施。与美国让企业自行其是的方法不同，欧盟正在为企业制定规则。

• 要求公司全面披露在AI训练中使用的所有受保护作品和数据。这为版权材料的未经授权使用打开了法律纠纷和财务处罚的大门。

美国和欧盟的方法有一些共同点：

• 强调在AI部署前后进行持续和严格的测试。

• 充分认识到在所有网络系统中实施“设计安全”的重要性。网络安全必须从AI开发的初期就融入其中。

然而，两者之间的差异远大于相似之处：

欧盟继续在保护消费者隐私方面走在全球前列。自2016年《通用数据保护条例》颁布以来（并于2018年全面实施），这一文化在新的《人工智能法案》中得到了延续和扩展。与此同时，在美国，我们允许企业自行监管。这对于具有巨大影响力（游说能力）的大型科技公司而言是个好消息，因为它们可以根据自身产品和偏好定制未来法规，但这使小企业面临风险，因为它们只能寄希望于在高度碎片化的监管环境中生存下来。

那么接下来会发生什么？

在缺乏联邦监管的情况下，作者预计各州将制定各自的州级法规来填补明显的监管空白。这使得小企业难以开发出在各地使用都一致的新产品。大公司或许能够承受偶尔的法律挑战，但小企业却往往无法承受。对于任何希望在国际上竞争的人来说，最好的选择是遵循欧洲的领导地位，按照欧盟法规进行开发。虽然这样做在美国市场或许能更容易地上市，但大多数公司实际上是将利润置于消费者隐私之上，即使它们声称严格遵守行政命令。

来源：清华大学智能法治研究院整理