AI 的法律定义:注意事项和共同点
快速阅读: 据《JD Supra》称,正确界定AI对合同和风险管理至关重要。内部定义应聚焦高风险机器学习系统,外部定义则需更广以涵盖第三方工具。合理的AI定义能减少合规负担,明确责任,并匹配实际风险。
截至目前,我们已经熟知什么是人工智能(AI)。有些人将ChatGPT用作搜索引擎、知己顾问、秘书甚至旅行代理。还有一些人至少意识到AI的存在,因为大家都在讨论它,也许从中获利,也可能因此失业。然而,当我们谈到起草一份考虑与AI相关风险和问题的合同,或者规范其提供和使用时,我们究竟清楚自己在说什么吗?从法律角度来看,AI经常被定义得过于宽泛且不明确,导致了意想不到的后果、不必要的义务和模糊性。本文探讨了在法律环境下定义AI的最佳实践、过于宽泛定义的风险,以及公司如何找到平衡点,以恰当地反映其需求和风险承受能力。
为何正确定义AI很重要
在合同中不恰当地定义AI,尤其是在服务或SaaS协议中,可能会带来重大的运营问题和法律风险。一些企业(和很多人)认为AI是任何能够自动化决策的系统,但这种过度概括可能会涵盖那些并不具备真正AI系统所具有的相同风险或复杂性的工具和技术。在合同背景下,这可能导致:
– 不必要的合规负担:过于宽泛的定义可能会使简单的自动化工具承担复杂的义务。例如,像电子邮件过滤器或静态报告生成器这样的基于规则的自动化系统,如果按照广义定义,可能会被归类为AI,从而触发不必要的审计、增加责任条款或引发其他合规程序。
– 增加合同责任:对AI的模糊定义也可能使企业面临不必要的责任。当AI没有明确定义时,合同各方可能对服务范围或与AI相关风险(如算法错误或数据滥用)的责任有不同的理解。
– 错失量身定制风险管理策略的机会:如果没有精确的定义,企业可能会错过制定特定风险管理策略的机会。如果合同语言将所有技术都归入广义AI旗帜下,可能会忽略针对AI特定风险的定制条款——例如在决策中使用机器学习算法。
在法律和法规背景下,AI的定义显然决定了监管范围。过于宽泛的定义可能会无意中捕捉传统的软件系统或基于规则的自动化,从而在原本不需要的情况下产生合规义务。例如,在欧盟AI法案下,将系统分类为AI可能会触发严格的文档、透明度和风险管理要求。如果由于定义不准确,公司或产品被错误地纳入这一制度,可能会面临不必要的监管负担或执法风险。相反,过于狭窄的定义可能会使真正高风险的系统不受监管,削弱AI立法的政策意图。
组织内的AI风险管理也依赖于清晰准确的定义。内部政策、模型清单、审计协议和董事会级别的报告通常将“AI”作为加强审查的触发因素。如果这个触发因素太模糊,治理框架可能会变得过于包容——让团队陷入不必要的官僚主义,或者过于狭隘——允许高影响力系统在缺乏足够监督的情况下运行。精确、符合上下文的定义有助于风险、法律、合规和技术团队就哪些系统最重要以及应如何管理达成一致。它还能够实现与实际风险相称的治理,随着风险的变化而扩展。明确区分有助于领导层判断是否真的存在需要额外考虑的风险。
正如我们都听说过AI一样,我们也听说过许多使其不同于一般技术的风险列表。与AI输入和输出相关的侵权问题;有偏见、歧视性、不准确或不道德的输出;隐私问题;以及基于上述内容的第三方索赔的危险,在某些方面仅对AI的一部分——特别是涉及动态学习以创建独特输出的机器学习类型——具有独特性。正确定义这一子集确保我们采取了正确的流程、限制和缓解措施。我们通常担忧的AI往往表现出涌现特性,产生难以解释或预测的输出,并且可以复制或转换可能受版权保护、保密或敏感的数据。(有关上述AI子集相关风险的更详细解释,请参阅我们之前的文章《AI系统的法律风险》和《AI系统中“可解释性”的必要性》。)
合同中的内部与外部AI定义
在组织内定义AI的最佳实践之一是区分AI的内部和外部应用。虽然在所有法律环境中应用单一的广泛定义很有诱惑力,但不同的业务背景需要不同的方法。
内部定义用于内部AI工具
当一家公司开发或定制自己的AI工具时,它对其技术的功能、输入和决策参数有更清晰的理解。在这种情况下,内部定义可能专门关注涉及动态学习或机器学习组件的系统。例如,内部合同可以将AI定义为“任何可以从无结构训练材料中进行动态学习并因此根据数据输入做出自主决策的系统”。这种更窄的定义允许公司在高风险系统上集中资源和合规努力,同时排除那些不构成重大风险的常规自动化工具。
外部定义用于外包或第三方AI工具
在外包和服务协议中,AI的定义应该更广泛。当依赖外部供应商时,企业通常无法完全了解正在部署的AI工具的工作原理。因此,明智的做法是更广泛地定义AI,以涵盖更广泛的科技范围,确保企业免受与第三方AI系统相关的潜在风险侵害。不过,重要的是不要定义得太广。例如,外部定义可能包括“任何能够自主处理数据并在最少的人类干预下生成决策、建议或预测的系统或工具”。这确保即便第三方系统不涉及高级机器学习或深度神经网络,只要它基于数据分析执行决策功能,仍然纳入合同范围。
AI定义中的共同点:清晰的最佳实践
各种行业和组织发布的AI定义可以作为起草合同的指南。例如,欧盟AI法案(由主要监管机构制定的第一个全面的AI法规)和经济合作与发展组织(OECD)AI政策观察站(经合组织的AI中心)各自提供了对“AI系统”的深思熟虑的定义:
– 欧盟AI法案:“AI系统”是一种基于机器的系统,设计时具有不同程度的自主性,并且在部署后可能表现出适应性,为了明确或隐含的目标,从接收到的输入中推断出如何生成可能影响物理或虚拟环境的预测、内容、建议或决定等输出。
– 经合组织:“AI系统”是一种基于机器的系统,为了明确或隐含的目标,从接收到的输入中推断出如何生成可能影响物理或虚拟环境的预测、内容、建议或决定等输出。不同AI系统在部署后的自主性和适应性水平有所不同。
虽然这些定义提供了一个起点,但在合同中使用时必须加以完善。以下是起草合同中AI定义时应考虑的关键要素:
– 自主性和决策:专注于涉及一定程度自主决策或数据驱动建议的系统。这种自主性通常会导致独特的输出而不是可预测的结果。应排除遵循预编程规则而没有学习或进化的例行自动化过程,以避免不必要的合规负担。
– 动态适应:包括可以根据新数据输入修改其行为的工具,如机器学习模型或自适应系统。通常,这种适应、神经网络的发展或学习逻辑是在幕后进行的,既不透明给开发者也不透明给用户。这突出了需要密切审查和量身定制风险管理的具体类型的AI。
– 数据处理和输出:定义应包括处理数据以进行预测或建议的系统。真正的机器学习需要大量数据才能正常工作,组织这些数据所需的人类监督程度可能会影响该工具的风险。因此,在区分基本数据分析工具和影响商业决策的复杂AI时,清晰是关键。
为合同提出平衡的AI定义
基于这些共同点,企业在合同中应追求灵活、上下文特定的AI定义。以下是一个可以适应各种合同环境的平衡定义提案:
– 内部用途:“AI是指旨在使用预测分析(如人工神经网络)来分析大数据集并基于自动化决策生成独特输出(如文本、图像、语音)的任何机器学习工具。”
– 外部用途:“AI是指任何能够自主处理数据或生成预测、建议、决策或表达性材料的系统或工具,且在最小的人类干预下,系统的行为可能根据新的输入而演变。”
这种方法确保AI定义在内部不过于狭隘,但在外部足够宽泛,以捕获可能引入风险的第三方工具。
结论
随着AI技术继续重塑企业和外包服务的格局,正确定义AI至关重要。精心设计的AI定义可以帮助减轻风险,明确责任,并防止对不存在重大风险的系统施加不必要的负担。通过采用平衡、上下文特定的方法,企业可以在不抑制创新或使操作过于复杂化的情况下得到保护。
(以上内容均由Ai生成)
