人工智慧的風險管理與可能法律框架

前言

AI究竟該如何規範，從2017年開始就已是先進國家關注的議題。而美中科技戰、假訊息假新聞四處流竄，再加上2022年底大型生成式AI推出，使得各國紛紛加大力道，包括向來對創新科技規範較為寬鬆的美國，在2022年底也提出「AI權利法案藍圖」（Blueprint for an AI Bill of Rights），並在2023年1月發布「AI 風險管理框架」（Artificial Intelligence Risk Management Framework，AI RMF）。歐盟執委會亦於2023年6月14日通過人工智慧法案（Artificial Intelligence Act， AI Act），此法案是歐盟的一項法規。中國亦於2023年8月快速提出《生成式人工智能服務管理暫行辦法》。由於生成式AI的倫理問題、破壞力，以及極快的進化速度，讓各主要國家皆加速研擬可能AI法律監管框架，以對人工智慧的更進一步運用進行風險管理。

一、美國「AI風險管理框架1.0」（AI RMF 1.0）^[1]

美國國家標準暨技術研究院（National Institute of Standards and Technology，NIST）於2023年1月26日公布「AI風險管理框架1.0」（AI RMF 1.0），該自願性框架提供相關資源，以協助組織與個人管理人工智慧風險，並促進可信賴的人工智慧（Trustworthy AI）之設計、開發與使用。NIST曾於2021年7月29日提出「AI風險管理框架」草案進行公眾徵詢，獲得業界之建議包含框架應有明確之衡量方法以及數值指標、人工智慧系統設計時應先思考整體系統之假設於真實世界中運作時，是否會產生公平性或誤差的問題等。本框架將隨著各界使用後的意見回饋持續更新，期待各產業發展出適合自己的使用方式。

本框架首先說明人工智慧技術的風險與其他科技的差異，定義人工智慧與可信賴的人工智慧，並指出設計該自願性框架的目的。再來，其分析人工智慧風險管理的困難，並用人工智慧的生命週期定義出風險管理相關人員（AI actors）。本框架提供七種評估人工智慧系統之信賴度的特徵，包含：

1. 有效且可靠（valid and reliable）：有客觀證據證明人工智慧系統的有效性與系統穩定度；
2. 安全性（safe）：包含生命、健康、財產、環境安全，且應依照安全風險種類決定管理上的優先次序；
3. 資安與韌性（secure and resilient）；
4. 可歸責與資訊透明度（accountable and transparent）；
5. 可解釋性與可詮譯性（explainable and interpretable）；
6. 隱私保護（privacy-enhanced）；
7. 公平性—有害偏見管理（fair–with harmful bias managed）。

本框架亦提出人工智慧風險管理框架核心（AI RMF Core）概念，包含四項主要功能：治理（Govern）、映射（Mapping）、量測（Measure）與管理（Manage）。其中，治理功能為一切的基礎，負責孕育風險管理文化。各項功能皆有具體項目與子項目，並對應特定行動和結果產出。NIST同時公布「AI風險管理框架教戰手冊」（AI RMF Playbook），提供實際做法之建議，並鼓勵業界分享其具體成果供他人參考。2023年5月白宮則提出「關鍵與新興技術國家策略標準（National Standards Strategy for Critical and Emerging Technology），透過不同的法規逐步規範AI應用發展。而這些規範是否會有效保護AI使用者與利害關係人？或者反而阻礙創新科技的進步？因為牽涉層面過廣，仍需要不同領域的專家投入，進行專業對話。

二、歐盟「人工智慧法」（AI Act）^[2]

該項法案由歐盟執委會在2021年4月21日提議，並在2023年6月14日通過。法案旨在為人工智慧引入一個共同的監管和法律框架。除軍事用途外，法案範圍涵蓋所有人工智慧類型的範疇。作為監管產品的一部分，它不會賦予個人權利，但會規範人工智慧系統的提供者，以及以專業身分使用它們的實體。該法案的部分內容如下述：

1. AI定義：

本法所稱AI系統，係指使用本法附錄1所列之一個或數個技術或方法（例如包括監督式、非監督式，以及使用各種方法，包含深度學習之強化式學習）所研發之軟體，能夠根據人類所界定之一系列目標，產生影響與其互動之環境的輸出（outputs），例如內容、預測、建議或決定。

2. AI系統特徵包括：

複雜性（Complexity）、不透明性（Opacity）、不可預測性（Unpredictability）、自治性（Autonomy）、資料（Data）。新型態AI威脅是來自傳統所稱AI的黑盒子，其決策具不透明性及複雜性，且一般而言，受到影響的人不是研發者，或甚至研發者也未必完全清楚黑盒子的狀況，因此將產生對於基本人權及公共安全的風險。

3. 歐盟人工智慧法的核心：

以風險為基礎的分級管制方法。歐盟人工智慧法之管制結構依照風險、危害性程度構成金字塔狀結構，管制程度則相對應成倒金字塔狀。AI系統依其風險程度而分為四個等級。

• • • 第一類為「不可接受風險」（unacceptable risk）的AI系統：

所謂風險可不可接受或是高度、低度，是指該風險與歐盟基本價值的抵觸程度或侵犯程度有多大。因此，牴觸歐盟基本價值的AI系統，尤其明確侵犯基本人權的AI系統，原則上予以禁止，只有在嚴格的限制條件下才例外予以許可。

• • • 第二類為「高風險」（high risk）的AI系統：

此等級為本法案的規範重心，係指對於歐盟基本人權或歐盟法承認並保護的公益，即歐盟法所稱「迫切公益理由」（overriding reason in the public interest），造成重大風險的AI。在上市或提供使用前，應符合本法之相關要求，且經過第三方驗證，通過合格評估程序才能正式上市。

• • • 第三類為特定之「低度風險」（low risk）的AI系統：

係指有特定欺瞞風險之AI，例如深偽技術、與人互動的AI，因其具有特別的身分詐欺風險性，從而課予相對應之透明義務。

• • • 第四類為「風險極小」（minimal risk）的AI系統：

係指現行既有的法令規範能夠妥適因應的該種風險，因此基於歐盟法的補充性原則，歐盟AI法不課予額外的義務，亦即不予規範。由於基本上沒有強制性的規定，此類AI的供應者，得自願適用確保值得信賴AI的要求，並遵守自願性的行為準則（codes of conduct）。

AI法案經歐洲議會通過後，目前正由各成員國進行內部討論。儘管企業界同意有監管AI的必要性，歐盟致力樹立國際AI標準，卻引發歐洲企業界強烈反彈。多家產業巨頭日前一起向歐盟發出公開信，警告該法會傷害歐盟競爭力，甚至引發資金外逃。

三、中國《生成式人工智能服務管理暫行辦法》^[3]

中國國家互聯網信息辦公室等7個部門，於2023年7月13日聯合公布《生成式人工智能服務管理暫行辦法》自2023年8月15日起實施。該項辦法旨在促進生成式AI健康發展和規範應用，避免傳播不實訊息、侵害個人資料權益、資料安全等問題；同時鼓勵生成式AI多方應用，平等互利展開國際合作；另外也提出資源共享，提升算力資源利用效能。其中也規定了生成式AI服務規範，明訂生成式AI服務提供者應當採取有效措施，防範未成年使用者沉迷生成式AI服務，並按照《互聯網信息服務深度合成管理規定》，對圖片、影音等生成內容進行標示，如發現違法內容應當及時採取處置措施等。此外，還規定了安全評估、演算法報備、投訴舉報等制度，明訂法律責任。

四、臺灣AI評測中心

我國科技部（現國家科學及技術委員會）曾於2019年9月發布「人工智慧科研發展指引」（AI Technology R&D Guidelines）[4]。數位發展部為確保AI使用安全、進一步鼓勵產業導入應用，其轄下的國家資通安全研究院規劃在2023年底成立AI評測中心[5]，可測試包含臺版「可信任人工智慧對話引擎」（Trustworthy AI Dialog Engine，TAIDE）在內的模型。

結語

美國的AI RMF及歐洲議會的AI Act，是目前為止全球最重要完整的兩套AI監管框架性文件。中國方面，由於其網路強制監管的特殊性，亦可列為比較之參考。目前看來，歐洲的監管速度和力度都走在前列，中國次之，美國較慢且最為寬鬆。我國因為AI相關系統研發尚未具有足夠全球影響力，相關監管框架仍處於學習歐美中的階段。

美國Artificial Intelligence Risk Management Framework（AI RMF 1.0），檢自： https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf (Aug. 18 , 2023)

Artificial intelligence act，檢自：https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf (Aug. 18 , 2023)

中國生成式人工智能服务管理暂行办法，檢自：http://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm (Aug. 18 , 2023)

科技部（2020）。科技部首度發布「人工智慧科研發展指引」。天下雜誌。檢自：https://www.cw.com.tw/article/5097901 (Aug. 18 , 2023)

數位部年底成立AI評測中心 確保AI安全性 鼓勵產業導入應用，檢自： https://ec.ltn.com.tw/article/paper/1587490 (Aug. 18 , 2023)