当前,AI治理逐渐走向法律治理时代,且呈现明显的“国别差异”特征。最有代表性的AI治理模式,分别是欧盟的以伦理优先为导向的集中式治理模式和美国以创新优先为导向的分散式治理模式。研究美、欧AI治理模式的内在形成逻辑、特征及其所面临的困境,对于反思、构建符合本国国情的AI治理体系大有裨益。文章从治理理念、治理架构、治理主体、治理强度、治理困境五个方面比较分析了美国、欧盟AI治理体系的差异。
01 引言
当前,人工智能(AI)已成为推动世界科技、经济、社会、政治与文化等发展变革的重要因素,同时也引发大量“伦理失范”现象。为确保其发展及应用的合伦理性,AI治理探索与实践逐渐走上日程,如根据《人工智能指数2021》,2015至2020年间,世界各国发布了117项与AI伦理相关的文件,同时,自2018年以来,世界许多国家颁布了AI相关法律法规。整体看,当前的AI治理模式呈现出明显的“国别差异性”特征,已有AI技术储备、商业生态状况、文化与法律传统、社会管理制度、人力资源、所处的治理阶段等要素,往往形塑着一国或地区的人工智能治理模式,从而产生不同的AI伦理治理理念与路径。
但是,当前学界关于人工智能治理的国际差异议题的研究并不充分,更倾向于从理论视角来阐释国际AI治理中所普遍存在的一些问题,较少从具体国家入手进行系统性的比较分析。为此,文章将从治理理念、治理架构、治理主体、治理强度、治理困境等层面,全面比较欧盟、美国两种典型AI治理模式的差异性、所面临问题及其背后的动力学机制,构建美欧人工智能治理模式差异性的系统性分析框架,为我国建构科学、合理、符合国情的人工智能治理模式提供有价值的参考。
02 治理理念:伦理优先 VS 创新优先
欧盟AI治理模式的突出特征之一是“伦理优先”,即通过构建完善的伦理原则及法律体系,增强欧盟在世界AI领域的影响力与领导力,弥补其AI创新及应用方面的不足;美国则坚持“创新优先导向”,尽力维护国家AI创新能力,确保美国AI技术创新的平稳推进与应用方式的公众可接受性,使“技术创新”与“应用的可接受性”两者间处于平衡态。
2.1 欧盟:旨在成为AI伦理及立法的世界领导者
欧洲具有人权传统,如1953年欧洲理事会便推出《保护人权与基本自由的公约》,而个人信息权作为人权体系的组成要素之一,同样获得关注,如德国早在20世纪70年代便将个人信息保护上升到宪法层面,欧洲理事会也于1981年制定了《关于个人资料自动化处理个人保护公约》。在人工智能时代,欧盟在AI研发投入、技术创新、产业生态、数据基础及技术应用等方面,难以形成对美国、中国的竞争优势,如欧盟在AI研究能力、开发能力、硬件等方面全面落后于美国,同时在“应用”、“数据”方面落后于中国。在这种情况下,欧盟选择了“迂回”策略,将数据伦理构建、数据权保护作为抓手,在AI领域与美国、中国等进行博弈与竞争。即,通过构建完善的伦理及法律体系及个人数据保护,彰显其在世界AI治理领域的影响力与领导力,以弥补其技术竞争劣势,这成为欧盟的重要政治选择。2018年12月,欧盟委员会发布《人工智能协调计划》,明确指出“欧盟的野心在于成为开发和布署前沿性、合伦理性及安全性AI的世界领导者,在全球范围内推广以人为中心的方法。”如在公民数字权利方面,无论是2014年的《被遗忘权》,还是2018年的GDPR,欧盟喜欢将自己视为开路先锋。2018年3月,欧洲政治战略中心发布报告《人工智能时代:确立以人为本的欧洲战略》,强调面对美国和中国的AI竞争,欧盟需要做出政策回应,利用其广泛认可的价值观和原则—“以人为本”—来建立全球治理标准。在AI立法领域,欧盟更是先行一步,于2016年4月通过《通用数据保护条例》(GDPR)。欧盟的做法取得了预期成效,如美国、日本、新加坡等国,大都以GDPR为蓝本,来构建本国的个人数据保护法规。
2.2 美国:为AI技术创新铺设伦理及法律保障护栏
与欧盟不同,美国的AI科技竞争力、产业竞争力均居于世界领先地位,“创新优先”成为确保美国AI资产及全球竞争力的重要保障,美国所希望的,是通过AI伦理及法律体系的完善来减少AI创新与应用中的障碍。美国众议院代表艾伦·麦奎恩(Alan Mcquinn)指出,“美国联邦隐私法制定原则,首先,也是最重要的,是应该保护和促进创新。”如,美国虽然是世界上较早发布国家性AI发展战略的国家之一,但是伦理要素在较长一段时间里并没有成为其主要关注点,在2016年10月的《国家人工智能研究和发展战略计划》中,“AI伦理、法律及社会问题”并非是“国家优先事项”。与欧盟相比,美国AI治理体系的建构具有较为明显的被动式应对特征,“与欧盟的发展相比,美国在制度上对于AI道德、治理和监管问题一直不是太积极。”欧洲对外关系委员会政策研究员乌尔里克·弗兰克(Ulrike frank)也指出,“许多欧洲人认为,美国'不知道如何监管'网络空间,并继续对此缺乏热情。”且,美国希望走出一条属于美国自己的、以维护技术创新为优先议题的道路,从而与欧盟AI治理模式分庭抗礼,如美国一直拒绝七国集团就人工智能全球伙伴关系项目开展合作,认为这一计划将以官僚主义方式干预、扼杀创新,为此,白宫首席技术官克拉希欧斯(Michael Kratsios)曾表示,避免官僚主义式全球人工智能治理的最佳方式,是确保美国及其国际合作伙伴仍然是全球创新、先进技术和符合我们价值观的行为中心。
03 治理架构:“伞”式统一治理 VS “双网格”式分散治理
从AI治理架构层面讲,欧盟具有明显的统一治理特征,强调“一个大陆,一部法律”,这不仅表现在全面法、通用法立法模式方面,同时在实施层面,它构建了一套垂直治理体系;相比之下,美国整体呈现“双网格”式的多头、分散治理特征,各州独立立法。欧盟与美国数据治理架构的差异性,本质上是两者独特的政治及社会管理模式在AI治理领域的具体体现。
3.1 欧盟的“伞式”垂直统一治理模式
欧盟AI治理模式整体呈自上而下式的“伞式”垂直治理这一特征(如图1所示),形成了以GDPR为“伞布”、欧盟数据保护委员会等为“伞骨”、各成员国数据保护机构为“伞柄”,以及企业等数据保护官为“伞尾”的治理架构。首先,GDPR对各成员国法律具有“直接效力”和“优先适用性”,欧盟成员国须以GDPR为蓝本构建本国的适用条例,且这一过程受欧盟委员会的监督,如至2020年6月12日,除斯洛文尼亚外,欧盟所有成员国均通过了新立法或修改了本国的国家数据保护法,“单一的一套规则带来了更多的法律确定性。”其次,欧盟建立了一套自上而下的垂直式GDPR实施制度,形成了[欧盟层面]宏观调控、[成员国层面]中观执行、[企业/机构层面]微观执行体系,其中:(1)欧盟数据保护委员会、欧洲数据保护专员公署是欧盟层面的数据治理和协调机构,对各成员国数据治理机构进行监督,确保GDPR在欧盟成员国中的一致执行;(2)每个欧盟成员国设立一个或多个独立的数据治理机构(如丹麦“数据监察局”、法国“国家信息与自由委员会”等),负责监督GDPR在本国的实施,进行具体事件的调查;(3)企业、公共机构等设立数据保护官,对机构内部的GDPR义务履行情况进行监督,并与数据治理机构进行合作。
图1 欧盟自上而下式的AI治理垂直管理制度
*宏观层面
“伞布”:GDPR适用于欧盟各成员国,各成员国依据GDPR构建本国的适用条例。
“伞骨”:欧盟数据保护委员会确保GDPR在欧盟的一致执行;欧洲数据保护专员公署负责监督数据保护规则的应用与调查投诉。
*中观层面
“伞柄”:每个欧盟成员国设立一个或多个独立机构,负责监督GDPR在本国的实施,发挥具体的调查、监督作用,处理违反GDPR的相关投诉案件。
*微观层面
“伞尾”:公共机构、企业、社会组织等设立数据保护官制度,构建起完善的数据隐私监督、事件沟通与处理的微组织企业数据保护官体系。
此外,欧盟重视通用型法律的构建。GDPR之所以称之为“通用数据保护条例”,是因为它是针对所有类型消费者数据处理的一般性准则,欧盟2021年4月发布的《人工智能法》提案也是将所有AI应用包纳进去。同时,欧盟在AI领域法(如深度伪造、人脸识别等)设立方面进展相对较慢。
3.2 美国的“双网格”式分散治理模式
美国的AI治理框架可以用“拼凑”来形容,(1)从纵向看,美国没有像欧盟GDPR那样的联邦级隐私法,取代而之的是各州的消费者数据保护法,如CCPA、《内华达州数据隐私法》等。因此,美国大多数AI相关法律在州一级,州检察长在执法过程中发挥着关键作用,“美国所有50个州都采用了数据泄露通知法……至少有35个州和波多黎各有单独的数据处理法”;(2)从横向看,美国尚没有专门的联邦数据保护机构,相关事务主要由联邦贸易委员会(FTC)等机构处理,如向联邦地区法院提出诉讼、或是向联邦贸易委员会行政法官提出行政诉讼请求等,等;此外,联邦通信委员会、卫生和公众服务部等联邦机构,则通过部门法律对所涉各类数据事件进行审查。各州及分散的联邦各部门数据治理机构,构成了美国的“双网格”式的AI治理体系;(3)美国具有更为灵活的领域法立法模式,以应对AI应用过程中所出现的新问题,如美国各州已陆续颁布针对深度伪造的相关法律,包括2019年9月德克萨斯州的《关于制作欺骗性视频意图影响选举结果的刑事犯罪法案》,以及加州的《选举:欺骗性音频或视觉媒体》等;各州的人脸识别条例也快速推进,如2019年5月,美国旧金山市禁止政府机关及执法机关使用人脸识别技术,成为全球首个对人脸识别发出禁令的城市,此外,马萨诸塞州萨默维尔市议会通过了《反面部识别条例》等;(4)从立法效率层面讲,相对于欧盟的全面法立法模式,美国的州法/领域法立法模式,所涉利益相关者以及文化冲突相对较少,制定及颁布效率相对较高。如GDPR自2010年11月提出构想,到2018年5月生效正式生效,总共耗时近8年时间,而美国一些州的消费者数据保护法,往往只需要1-2年的时间,如CCPA于2017年提出,2018年6月28日便获通过,而《内华达州数据隐私法》由讨论到最终出台,也仅经历1年多时间。
04 治理主体:强政府监控 VS 强企业自治
从AI伦理治理主体视角看,美国企业的伦理自治能力较强,具有更强的自下而上的治理征象;而欧盟的AI伦理治理则更依靠政府,呈现出自上而下的垂直治理特征,且企业自治能力相对较弱。根据“算法观察”2021年发布的最新“AI伦理指南全球清单”,在美国2015-2020年间所制定的44项AI伦理准则中,由企业制定的准则数量为18项,占比达43.1%,而同期欧盟这一数量只有14项,且仅占欧盟AI伦理准则总数(71项)的19.7%;美国政府所制定的AI伦理准则数量非常少,仅为3项,而欧盟各成员国政府所制定的AI伦理准则数量达22项,为美国的7倍多相比(如表1所示)。可以看出,美国企业更为注重AI伦理建设,表现出更多的热情,企业等在整个社会的AI伦理治理方面具有更多的话语权,相比之下,欧盟各成员国,除了德国、英国之外,在企业AI伦理建设方面乏善可陈。
表1 2015-2020年间北美和西欧各类组织所分布AI伦理原则数量
整体看,美国AI企业的伦理自治能力更为突出,而欧盟企业则更多的依赖于欧盟及本国政府所制定的AI伦理准则。
4.1 美国具有更强的“企业AI伦理自治”传统
更多的美国新兴科技企业构建了AI伦理委员会,如微软于2017年,谷歌、IBM于2018年建立了企业伦理委员会,对AI产品进行道德审查且起到切实作用。如2020年,谷歌云考虑使用AI技术帮助一家金融公司进行征信决策,但谷歌伦理委员会Lemonaid认为这有可能导致种族、性别偏见,同时还会使边缘群体在征信评估中处于劣势,因此Lemonaid投了反对票,最终使谷歌拒绝了客户要求。整个2020年,Lemonaid拒绝了三项类似提议;2019年,微软伦理委员会对微软所开发的可从文本中复制声音的AI技术进行伦理审查,最终认为这一技术虽然可以进行市场推广,但需要进行使用限制,如使用机构需要接受微软的“负责任人工智能”培训。另一方面,美国企业内部员工展现出更强的伦理自醒意识,通过自组织方式向企业高层施压,形成了美国较为独特的“企业AI伦理自治”传统。如2018年,亚马逊员工向首席执行官杰夫•贝佐斯(Jeff Bezos)写信,以“侵犯人权”为由,要求终止向执法部门出售面部识别软件Rekognit,迫使亚马逊在一年内停止向警方提供相关技术。
4.2 欧盟企业更注重对官方AI伦理规范的遵从
首先,欧盟企业建立伦理委员会的热情不高,如“AI伦理指南全球清单”中14家已发布AI伦理准则的欧盟企业中,只有英国的Digital Catapult和法国的SAP两家企业设有伦理委员会。在一些欧盟企业看来,建立伦理委员会是一种激进做法,会对企业原有组织体系形成冲击,增加企业决策层之间的矛盾。其次,欧盟企业内部员工通过自组织方式来对抗决策层的事件较少,对企业研发、销售AI产品进行伦理影响和约束的案例不多,欧盟企业更多的依赖于欧盟及本国政府所制定的AI法规。整体讲,欧盟企业更倾向于采用一种“温和”的方法对待AI伦理问题:一方面,构建AI伦理规范,树立企业“尊重伦理”的社会形象;另一方面,在现有制度基础之上进行适当的“伦理嵌入”,尽量避免因伦理问题引发内部对抗或外部争议,如芬兰企业Tieto试用了内部道德认证方式,并设立人工智能伦理和透明度工程师及培训师等新角色,西班牙企业Telefonica则设立了企业在线伦理培训课程。
05 治理强度:严治理 VS 弱治理
欧盟模式具有明显的“严”治理特征,而美国模式则展现出“企业友好型”及“弱治理”特征,给予企业更多容错空间。美国2020年1月发布的《执行部门和机构的领导备忘录》指出,“促进人工智能的创新和发展是美国政府的一项高度优先事项,通过宽容性的新法规来促进创新和增长可能是合适的。”美欧在治理强度上的差异性,蕴含着内在的治理逻辑——欧盟主要基于人权与法律逻辑,强调人权保护的全面性及数据处理的“合法基础”,而美国则强调商业逻辑,重视人权框架下的商业运行效率。下面主要从4个方面进行比较:
(1)中小企业豁免权比较。美国多数州所颁布的消费者数据保护法(纽约、夏威夷等少数州除外),均设置了所涵盖企业的资质边界,赋予中小企业一定的豁免权,而GDPR无此类规定。如CCPA仅适用于在加州进行业务并满足以下一项条件的企业:年收入超过2500万美元且年收入50%或更多源自于销售加州消费者的信息资料,或每年基于商业目的处理超过50000个加州消费者的个人、家庭或设备信息;弗吉尼亚州《消费者数据保护法》(CDPA)则仅适用于一年内控制或处理超过10万名弗州消费者数据的企业;马里兰州、北达科他州均规定年总收入不超过2500万美元的企业可获得豁免,马萨诸塞则为1000万美元。
(2)知情模式比较。GDPR以用户“选择加入(opt-in)”为原则,要求企业只有在获得消费者关于数据使用的“同意”答复后才可进行处理。然而,这种事无巨细的“同意”规则,既给用户带来了过度阅读负担,同时也给企业合理利用数据带来困扰;而CCPA则使用“选择退出(opt-out)”模式,即企业无需事先征得数据主体同意,只要在网站上向用户提供隐私通知(如明确“请勿出售我的个人信息”链接),告知他们有权选择不允许企业收集某些数据,一定程度上避免陷入“用户过度同意”困境。
(3)问责制比较。GDPR对数据控制者及处理者的义务进行更为严格、系统的规定,如数据保留义务(向个人提供适用的保留期限)、隐私设计义务(通过适当的技术设计来保护数据主体的隐私)、隐私事务执行人员设置义务(必须指定一名数据保护官员等)、数据安全程序设置义务(设置与数据风险相关的安全措施;可及时恢复个人数据的访问权限等)、数据最小化义务等。相反,CCPA并没有类似规定。
(4)企业更正期比较。CCPA对违规企业提供了更正期(通常为30天),并将“更正期作为行政及民事诉讼处罚的前置条件”,即只要在更正期内进行了合规性整改,便不再正式提起司法罚金诉讼或进行实际的行政罚金处罚。这一规定为企业提供了一定的时间缓冲带,使那些非恶意、非故意,以及由于不熟悉法规相关标准所导致的违法行为提供自我整改空间,避免为企业带来过多损失。其它州如弗吉尼亚《消费者数据保护法》同样为企业提供了30天的纠正违规时限,并需要向州总检察长提供一份“明确的书面声明,说明所指控的违规行为已经纠正,并且不会再发生违规行为”。相反,GDPR则没有相关规定。
需指出的是,无论是GDPR,还是美国各州的消费者信息保护法,均对个人诉讼进行了严格限制,防止出现滥诉现象,避免司法资源过度挤兑。如欧盟GDPR在执行过程中,私人诉讼案例非常少;美国大多数州(正在讨论中的《纽约隐私法》除外)的消费者信息保护法也没有赋予公民私诉权,或是进行严格限制。
06 治理困境:规则统一性困境 VS 规则分散性难题
无论是美国各州的消费者数据保护法,还是欧盟GDPR,均重构了大数据时代的人权和隐私保护体系,但作为一种变革性制度,无论是对于美国还是欧盟而言,均面临各种挑战,欧盟高级政策分析师埃斯特尔·马塞(Estelle Massé)曾用“希望、危机和挫折”三个关键来形容GDPR实施前三年的整体情形。一方面,世界各国面临一些需共同面对的问题,如资源供给不足难题(特别是专业人力资源匮乏)、“投诉过度”等;另一方面,不同国家和地区也会面临不同困境,呈现“问题的国别差异”现象。
6.1 欧盟:理念骑墙及“规则一致性幻境”
欧盟AI法律治理体系具有自上而下的强约束特征,一定程度上避免了规则碎片化所引发的高合规成本压力,但也面临两个主要难题,一是理念纠缠难题,二是“规则一致性”困境。具体讲:(1)技术创新与严治理之间的平衡问题。欧盟AI治理具有强约束特征,但也可能拖累欧盟的整体创新步伐、导致欧盟技术话语权的缺失,如西蒙娜·利普斯泰特(Simona Lipstaite)表示,“欧洲继续落后……这些考虑将影响欧盟选择治理的方式,其目的不是扼杀创新。”《人工智能——欧洲追求卓越和信任的方法》也承认,“目前欧盟尚不清楚如何在刺激人工智能创新和严格隐私监管之间取得平衡”;(2)“资源分配不平衡”与“规则一致性执行”间的张力难题。如:数据治理机构与治理对象之间存在资源极不平衡局面,2019年,谷歌年收入总额是其欧盟所在地爱尔兰数据保护机构——数据保护委员会预算额的98万倍,使后者“极度紧张”;欧盟各成员之间数据治理资源差异也很大,如2019年德国数据治理机构工作人员数量近800人,而大部分欧盟小国仅为50人左右;中小企业应对能力不足,欧洲约99%的企业为中小企业,他们认为GDPR的实施将使欧洲中小企业在竞争中处于劣势;(3)跨(欧盟)境治理协调难题。欧盟强调“一站式服务”,即当某成员国公民向本国数据治理机构就某一企业进行投诉时,如果企业不在本国境内而是在其它成员国,则需要所有涉事国家治理机构相互协作。然而,这一模式的实施效果并不理想,埃斯特尔·马塞指出,由于需要不同成员国数据治理当局合作,且需要和各国法院打交道,这种高度政治化的工作,面临着事件解决时间过长、程序过于复杂、各国法律不断碰撞等问题。德国联邦数据保护局局长乌尔里希•凯尔伯(Ulrich Kelber)也认为,这种模式“繁琐、耗时且无效,往往以失败告终。”
6.2 美国:规则碎片化难题及“客观性之殇”
美国是联邦体制,各州拥有较为独立的权力(包括立法权及执法权),联邦政府与各州之间、州与州之间存在各种文化、法律、利益突冲,这种特殊的政治体制,使其面临规则碎片化困境;此外,美国拥有世界上最为强大的高科技企业集群,能够对AI法律制定施加更大压力,引发公平性等问题。具体看,(1)联邦级数据法立法难题:从联邦层面创建统一的消费者数据保护法,一直是美国各界争论焦点,并获得多数企业的支持,如亚马逊Alexa Trust主管安妮·托特(Anne Toth)认为,“[当前]我们面对的是一床永远拼在一起的被子,但我们正努力将差异最小化”。当前面临两个突出问题,一是各方矛盾诸多,根据美国国会研究服务处报告《观察者:第116届国会隐私法案的比较》,不同的联邦消费者数据法提案,在“是否为敏感信息提供额外信息保护”、“是否提供私诉权”等方面差异很大;二是美国各州对于联邦法存在抵触情绪,美国各州拥有较大自治权,当不可能同时遵守联邦法和州法时,冲突便会发生。如2022年,美国众议院能源和商务委员会提出了《美国数据隐私和保护法案》(ADPPA),虽然它保留、豁免了16种不同类别的州法律,但是,人们依然担心它未来会“压制”、“冻结”许多现有及未来的州数据保护法,如电子前沿基金会强调“ADPPA阻止了各州在这些问题上的创新。”(2)州法间的规则协调难题:不同州的消费数据保护法之间存在规则不兼容难题,为企业等带来较大困扰,增加了合规成本(如表2所示)。如从所涵盖企业实体范围层面看,CCPA规定只有年收入超2500万元美元的实体才受约束,《马萨诸塞消费者数据隐私法案》则变为1000万美元,而《纽约隐私法》、《夏威夷消费者隐私保护法案》等则涵盖所有企业;从私诉权层面看,大部分州数据保护法没有涵盖私人诉讼权,但也有一小部分州法如《马萨诸塞消费者数据隐私法案》、《纽约隐私法》赋予了本州居民私人诉讼权利;(3)消费者数据保护法制定过程中的客观性、公平性问题:美国科技巨头往往会施加影响,要求制定符合企业利益的数据保护法。根据智库TheMarkup在2021年的调查,至少5个州的隐私法案明确带有行业游说痕迹,特别是许多大型科技企业极力反对新法律中包含私诉权。如2019年以来在康涅狄格州《数据隐私法》制定过程中,谷歌已经花费了10万美元进行游说,苹果、微软、亚马逊、Facebook则分别花费12.4万、12.4万、11.6万、15.5万美元。
表2 美国各州消费者数据保护法中三种个人诉讼模式
作者:王彦雨1、李正风2、高芳3
1 中国科学院自然科学史研究所
2 清华大学科技与社会研究中心
3 中国科学技术信息研究所
本文转载自微信公众号三思派,原载于《科学学研究》2024年第3期
本文有删节 | 
