辛小天、楊雪嬌/文

隨著ChatGPT作為一款現(xiàn)象級的AI產(chǎn)品火爆之后，各大互聯(lián)網(wǎng)公司也紛紛入場表示正在研發(fā)或要推出類似產(chǎn)品。在浪潮澎湃之下，其身后暗藏的法律和倫理道德隱患也開始引發(fā)公眾關(guān)注。ChatGPT這一類生成式AI產(chǎn)品涉及的法律風險包括：

知識產(chǎn)權(quán)侵權(quán)：包括產(chǎn)品本身可能挖掘他人具有著作權(quán)的作品作為數(shù)據(jù)庫，用戶在使用過程中也會涉及輸入他人具有著作權(quán)的作品要求ChatGPT進行總結(jié)分析。

生成和傳播虛假信息：ChatGPT本身無法核實數(shù)據(jù)來源的真實性，也不直接提供數(shù)據(jù)來源，用戶無法得知信息的可靠性；另一方面，在缺乏足夠數(shù)據(jù)進行深度學習的情況，模型給出的答案本身也會存在問題，很多網(wǎng)友就發(fā)現(xiàn)了ChatGPT在“一本正經(jīng)地胡說八道”情況。

數(shù)據(jù)隱私和商業(yè)秘密：ChatGPT作為一款互動型的聊天機器人，基于對用戶數(shù)據(jù)的收集和分析來作出回答，用戶可能在毫無警覺得情況下向ChatGPT輸入個人信息、商業(yè)秘密或其他敏感數(shù)據(jù)引發(fā)的法律風險，包括用戶自身行為的侵權(quán)風險以及ChatGPT將這些數(shù)據(jù)作為訓練數(shù)據(jù)進行使用時的合規(guī)風險。目前已有多家公司和機構(gòu)例如摩根大通、花旗集團、沃爾瑪和亞馬遜等因擔心信息泄漏和合規(guī)風險限制員工在工作場所使用ChatGPT。

此外，針對ChatGPT應用帶來的學術(shù)不端和作弊問題，教育界和學術(shù)屆也開始作出反應，對其使用進行抵制或限制。法國巴黎政治學院宣布禁止使用ChatGPT和其他所有基于人工智能的工具完成學習和考試任務(wù)。國內(nèi)外學術(shù)期刊，例如Nature、《暨南學報(哲學社會科學版)》等也陸續(xù)發(fā)聲，針對在論文創(chuàng)作中使用LLM（大型語言模型工具，例如ChatGPT）明確規(guī)則：一是LLM不能成為作者，因為其無法對作品承擔責任；二是如果論文創(chuàng)作中使用過相關(guān)工具的，作者應在論文的方法、致謝、參考文獻或其他適當部分進行明確說明。

針對ChatGPT引發(fā)法律和倫理風險討論，歐盟委員會內(nèi)部市場專員Thierry Breton在接受路透社采訪時表示歐盟的《AI法案》就旨在解決人們對ChatGPT等AI技術(shù)帶來的風險的擔憂，并指出建立一個堅實的監(jiān)管框架在高質(zhì)量數(shù)據(jù)的基礎(chǔ)上確保人工智能可信賴的重要性。

事實上，在促進AI創(chuàng)新發(fā)展的同時，確保AI的可信賴并降低AI發(fā)展和應用所帶來的風險，已經(jīng)成為了一個全球性議題，除了歐盟，其他重要的國際組織和國家地區(qū)政府也都發(fā)布了相關(guān)政策、法律或指引文件，探索AI監(jiān)管的方式。盡管出于監(jiān)管目的和初衷的不同，各國政府在具體監(jiān)管方式的選擇和側(cè)重點上也有所不同，但為了實現(xiàn)AI創(chuàng)新發(fā)展促進人類福祉和減少、預防AI應用所帶來的風險之間的平衡，避免過度立法和監(jiān)管，在具體監(jiān)管思路上，“基于風險的方法”（risk-based approach）已然成為AI監(jiān)管中一個全球趨勢。

一、“基于風險的方法”的AI監(jiān)管

（一）何為“基于風險的監(jiān)管”

“基于風險的方法”強調(diào)的是治理不應當以消除所有潛在的損害或者更廣泛的“不利后果”為目標；相反，應當關(guān)注潛在不利后果的概率及其影響。一般認為，“基于風險的監(jiān)管”（risk-based regulation）主要有四個特征：(1)風險提供了監(jiān)管的對象；(2)風險成為監(jiān)管的正當化依據(jù)；(3)風險架構(gòu)和塑造了監(jiān)管組織和監(jiān)管程序；(4)風險塑造了責任關(guān)系。

基于風險的方法一開始出現(xiàn)在環(huán)境保護、食品安全、衛(wèi)生健康等傳統(tǒng)領(lǐng)域，而隨著信息技術(shù)的發(fā)展，科技帶來的風險的不確定，使得“基于風險的方法”在更加廣泛，特別是科技前沿的領(lǐng)域得到應用，例如歐盟的《通用數(shù)據(jù)保護條例》（“GDPR”）中基于風險方法的個人數(shù)據(jù)保護，在AI領(lǐng)域，歐盟和美國的AI戰(zhàn)略和政策文件中都明確提到了應當“基于風險的方法”。

（二）歐盟

歐盟強調(diào)個人基本權(quán)利的保護以及維護歐盟內(nèi)部市場的統(tǒng)一，因此青睞于立法這一強監(jiān)管工具。2020年2月，歐盟委員會頒布《人工智能白皮書》，提出要建立一個明確的AI監(jiān)管框架。《人工智能白皮書》的出臺意味著歐盟對AI的監(jiān)管從倫理指引轉(zhuǎn)向了立法監(jiān)管。歐盟委員會認為，新的監(jiān)管框架應采取“基于風險的方法”，以確保監(jiān)管干預的程度是適當?shù)模瑥亩谟行崿F(xiàn)監(jiān)管目標的同時不會因為過度規(guī)范而對AI實踐者特別是中小企業(yè)造成不成比例的負擔。

1.基于風險的AI系統(tǒng)分類監(jiān)管

基于《人工智能白皮書》，2021年4月21日，歐盟委員會發(fā)布了歐洲議事和理事會的《關(guān)于制定人工智能統(tǒng)一規(guī)則》（“《AI法案》”）提案。《AI法案》根據(jù)可能對人的基本權(quán)利和安全產(chǎn)生風險的等級將AI系統(tǒng)分為以下四個類別，并采取不同的監(jiān)管措施：

2.重點監(jiān)管：高風險的AI系統(tǒng)

《人工智能白皮書》將立法監(jiān)管的目標錨定高風險的AI應用，在對AI系統(tǒng)進行分類監(jiān)管的基礎(chǔ)上，《AI法案》主要針對高風險AI系統(tǒng)，從以下三個層面對高風險AI系統(tǒng)的實踐進行了強制性規(guī)范：

高風險AI系統(tǒng)本身應當滿足的合規(guī)要求：包括建立風險管理機制、使用高質(zhì)量的訓練、驗證和測試的數(shù)據(jù)、透明度和用戶告知義務(wù)、人類的有效監(jiān)管等；

高風險AI系統(tǒng)的參與者的合規(guī)義務(wù)：包括供應商、進口商、分銷商、使用者等；

高風險AI系統(tǒng)的全生命周期合規(guī)：包括事前合格評估、產(chǎn)品投入市場后的售后監(jiān)督、重大事件報告機制。

為避免高風險AI系統(tǒng)判斷標準模糊而導致監(jiān)管泛化，《AI法案》明確了可被識別為高風險AI系統(tǒng)的兩個分類規(guī)則，并分別以附件二和附件三清單的方式對高風險AI系統(tǒng)進行了列舉：（1）旨在用作由歐盟協(xié)調(diào)立法所覆蓋產(chǎn)品的安全組件的AI系統(tǒng)，例如個人安保產(chǎn)品、醫(yī)療設(shè)備、無線電設(shè)備等；（2）其他影響基本權(quán)利進而被視為高風險的AI系統(tǒng)。

對于第（2）個分類規(guī)則，《AI法案》在法案附件三列舉了八個領(lǐng)域。但并非只要是這八個領(lǐng)域的AI系統(tǒng)就會被視為高風險，只有在這八個領(lǐng)域下明確列舉的AI系統(tǒng)應用才會被視為高風險：

(1)自然人進行生物特征識別和分類（例如用于對自然人的實時和事后遠程生物識別的AI系統(tǒng)）

(2)關(guān)鍵基礎(chǔ)設(shè)施管理和運營（例如作為管理和運營道路交通安全組件的AI系統(tǒng)）

(3)教育和職業(yè)培訓（例如用于確定個人進入教育和職業(yè)培訓機構(gòu)的機會活分配、對學生進行評估的AI系統(tǒng)）

(4)就業(yè)、員工管理和開展自營職業(yè)的機會（例如用于篩選候選人申請、在面試中評估候選人的AI系統(tǒng)）

(5)獲得和享受基本的私人服務(wù)和公共服務(wù)及福利（例如對自然人進行信用評分或者用于消防隊員和醫(yī)療救援等緊急響應服務(wù)調(diào)度的AI系統(tǒng)）

(6)執(zhí)法（例如用于評估自然人犯罪風險的AI系統(tǒng)）

(7)移民、庇護和邊境管制（例如用于驗證旅行證件真實性的AI系統(tǒng)）

(8)司法和民主程序（例如協(xié)助法官研究和解釋事實和法律，并將法律適用于事實的AI系統(tǒng)）

《AI法案》還賦予了歐盟委員會經(jīng)過評估確定一個AI系統(tǒng)對人的健康安全的損害或?qū)緳?quán)利構(gòu)成不利影響風險的嚴重程度和發(fā)生概率相當于或大于附件三八個領(lǐng)域下已列舉的AI系統(tǒng)時，適時對清單進行更新補充的權(quán)力。在開展評估時，《AI法案》規(guī)定了歐盟委員會應當考慮的評估標準，包括AI系統(tǒng)的預期用途；使用在多大程度上已經(jīng)對健康安全造成了損害，或?qū)緳?quán)利造成了不利影響；可能受到損害或不利影響的人在多大程度上依賴于AI系統(tǒng)產(chǎn)生的結(jié)果以及處于弱勢地位的程度；產(chǎn)生的結(jié)果在多大程度上是容易逆轉(zhuǎn)等。《AI法案》是世界上首部AI監(jiān)管法律，它的頒布在很大程度上會成為全球其他地區(qū)治理和監(jiān)管AI的參考對象。此前，外界普遍預計《AI法案》將于3月底在歐洲議會進行投票，屆時歐盟各成員國將就該法案的最終條款進行談判。但根據(jù)外媒報道，歐洲議會的議員們目前尚未就一些基本原則達成一致，包括如何在數(shù)據(jù)隱私和民主參與等基本權(quán)利與避免扼殺AI領(lǐng)域的創(chuàng)新和投資之間取得平衡，而其中最具爭議的問題之一就是將哪些AI系統(tǒng)歸類為高風險。ChatGPT使得歐盟關(guān)于如何監(jiān)管AI的討論更加激烈，特別是對于大型語言模型工具等通用AI（General Purpose AI）如何監(jiān)管以及是否需要劃分為高風險等問題的討論，可以預見《AI法案》在出臺前還將面臨漫長的權(quán)衡和調(diào)整。

3.意大利針對AI產(chǎn)品透明度和相稱性原則的監(jiān)管

2023年2月3日，意大利數(shù)據(jù)保護局作出決定，要求AI聊天機器人Replika停止處理意大利用戶的個人數(shù)據(jù)。Replika是由位于美國的Luka公司研發(fā)的一款可以與用戶進行圖文和語音聊天的“虛擬伴侶”應用程序。意大利數(shù)據(jù)保護局認為Replika未遵守透明度原則，未對兒童設(shè)置年齡驗證或者控制機制特別是在兒童不能訂立合同的情況情況下，依據(jù)訂立和履行合同所必需處理兒童個人數(shù)據(jù)構(gòu)成非法處理數(shù)據(jù)。

在《AI法案》尚未生效的情況下，意大利數(shù)據(jù)保護局依據(jù)GDPR對Replika作出的決定，但在決定理由部分也顯示了其基于風險的監(jiān)管思路。意大利數(shù)據(jù)保護局認為Replika“提供的回復與兒童這一弱勢群體所應得到的保護并不相符。”“Replika宣稱‘虛擬伴侶’能夠改善用戶的情緒健康，幫助用戶通過壓力管理、社交和尋找愛情來了解他們的想法和平息焦慮。這些特征需要與一個人的情緒相互作用，并可能給尚未長大或情緒脆弱的人帶來更大的風險。”

綜上所述，歐盟的“基于風險的方法”AI監(jiān)管路徑是在對AI系統(tǒng)進行分類監(jiān)管的基礎(chǔ)上，針對可能對人基本權(quán)利和安全產(chǎn)生重大影響的AI系統(tǒng)特別是高風險AI系統(tǒng)所致?lián)p害建立一個全面的風險預防體系，這個風險預防體系是在政府立法主導和監(jiān)督下（包括高風險AI系統(tǒng)需要在公共數(shù)據(jù)庫注冊以及高風險AI系統(tǒng)違反法律規(guī)定時嚴格的處罰措施等）推動企業(yè)自我規(guī)制，建設(shè)內(nèi)部風險管理機制達成的。而如何判斷評估確定將某一類AI系統(tǒng)歸類為高風險AI系統(tǒng)也是這一立法監(jiān)管路徑的重點和難點。

（三）美國

在AI監(jiān)管方式的選擇上，美國強調(diào)AI的創(chuàng)新和發(fā)展，以維護美國作為全球AI創(chuàng)新領(lǐng)導者的地位，因此對于立法監(jiān)管采取非常謹慎的態(tài)度，更傾向于通過組織自愿適用的指引、框架或標準等非監(jiān)管方法對AI應用采取軟治理。

1.監(jiān)管政策制定：風險評估和風險管理

2020年1月，美國白宮科技政策辦公室(“OSTP”)發(fā)布《人工智能應用監(jiān)管指南》，為聯(lián)邦機構(gòu)針對AI應用制定監(jiān)管和非監(jiān)管措施提供指引，《指南》強調(diào)在現(xiàn)有法規(guī)是足夠或頒布新法規(guī)不符合成本效益分析時，聯(lián)邦機構(gòu)應考慮不采取任何行動或者只采取可以解決特定AI應用所帶來風險的非監(jiān)管方法。

但不管是監(jiān)管方法還是非監(jiān)管方法，指南強調(diào)在具體監(jiān)管政策制定時都應當遵守風險評估和風險管理的原則。一是監(jiān)管政策的制定本身是一個風險衡量的結(jié)果，應當使用基于風險的方法確定哪些風險可接受，哪些風險可能帶來不可接受的損害或者帶來成本大于收益的損害。二是要求聯(lián)邦政府機構(gòu)公開風險評估的結(jié)果，并在適當?shù)臅r間間隔重新評估其假設(shè)和結(jié)論，同時在此期間AI工具本身的失敗或成功，也有助于確定真正適合識別和減輕AI應用風險的監(jiān)管政策（不管是監(jiān)管程度上還是具體措施）。

在風險評估方面，《指南》強調(diào)聯(lián)邦政府機構(gòu)要關(guān)注AI應用所帶來風險本身的動態(tài)變化，并考慮AI系統(tǒng)在整個設(shè)計、開發(fā)、部署和操作過程中對算法和數(shù)據(jù)保護不足的風險，以及AI應用部署可能帶來的反競爭效應。

在風險管理方面，《指南》指出對AI應用風險的管理應當與聯(lián)邦政府機構(gòu)在評估中確定的風險程度相適應，要求聯(lián)邦政府機構(gòu)根據(jù)AI技術(shù)成功或失敗所帶來風險和后果的程度進行分級監(jiān)管。對于低風險的AI應用，聯(lián)邦政府機構(gòu)可以通過要求信息披露或者消費者教育等不那么嚴格和繁重的監(jiān)管或非監(jiān)管方法；而對于高風險的AI應用，聯(lián)邦政府機構(gòu)應當綜合考慮以下因素制定具體監(jiān)管政策：AI應用對個人的影響、部署的環(huán)境、備份系統(tǒng)的必要性或可用性、AI應用出現(xiàn)錯誤或失敗時可用的系統(tǒng)架構(gòu)或能力控制方法，以及如何檢測和修復這些錯誤和故障。

2.自愿適用的風險管理工具

基于《人工智能應用監(jiān)管指南》，OSTP和美國商務(wù)部下屬國家標準與技術(shù)研究所(“NIST”)相繼頒布了自愿適用的AI風險管理工具，用以指導AI相關(guān)方建立相適應的內(nèi)部風險管理制度，在設(shè)計、開發(fā)、部署和使用AI系統(tǒng)過程中對風險進行識別、評估和處理。

2022年10月，OSTP發(fā)布《人工智能權(quán)利法案藍圖》，列出了美國公眾應該享有的五項核心權(quán)利保護：安全有效的系統(tǒng)、算法歧視保護、數(shù)據(jù)隱私、通知和解釋、人工替代方案、考慮和退路。《人工智能權(quán)利法案藍圖》還在每一項權(quán)利保護下詳細闡述了該項權(quán)利保護的重要性，以及政府、企業(yè)或其他AI相關(guān)方在設(shè)計、使用和部署自動化系統(tǒng)時可以采取的具體步驟，以確保將這些權(quán)利保護考慮真正付諸實踐。

2023年1月，NIST在經(jīng)過幾輪公開征求意見后正式頒布《人工智能風險管理框架》（“AI RMF”）的1.0版本。AI RMF將風險管理框架分為四個具體模塊，即治理、映射、測量和管理（Govern, Map，Measure, Management），在這四個具體模塊下又進行了分類和子分類，并分解成具體的行動和結(jié)果，以促進AI風險管理中的對話、理解，幫助組織在實踐中具體解決AI系統(tǒng)的風險，負責任地開發(fā)可信賴的AI系統(tǒng)。

綜上所述，美國“基于風險的方法”的AI監(jiān)管，一方面為聯(lián)邦政府機構(gòu)制定AI監(jiān)管政策提供了基于“風險評估和風險管理”的方法論，另一方面通過積極地為AI實踐者提供自愿適用的風險管理工具，以實現(xiàn)對公民權(quán)利的保護而又不阻礙AI創(chuàng)新發(fā)展的目的。同時，值得關(guān)注的是，與歐盟相同，美國也拒絕對AI應用進行無差別監(jiān)管，強調(diào)應根據(jù)AI應用帶來的風險和后果進行差異化的分級監(jiān)管。

二、我國AI監(jiān)管現(xiàn)狀

我國作為AI領(lǐng)域的領(lǐng)先大國，也在積極探索建立AI法律法規(guī)、倫理規(guī)范和政策體系。雖然國家在已頒布的AI政策文件未有直接的“基于風險的方法”相關(guān)表述，但當前的監(jiān)管活動還是從多個方面體現(xiàn)了“基于風險的方法”的監(jiān)管思路：

1.科技倫理治理

2022年3月中共中央辦公廳、國務(wù)院辦公廳發(fā)布《關(guān)于加強科技倫理治理的意見》。意見明確開展科技活動應遵守合理控制風險的原則，并重點強調(diào)對科技倫理敏感領(lǐng)域以及科技倫理高風險科技活動的監(jiān)管，相關(guān)主要意見包括：從事人工智能、醫(yī)學、生命科學等科技活動的單位，研究內(nèi)容涉及科技倫理敏感領(lǐng)域的，應設(shè)立科技倫理（審查）委員會；從事科技活動的單位應建立健全科技活動全流程科技倫理監(jiān)管機制和審查質(zhì)量控制、監(jiān)督評價機制，加強對科技倫理高風險科技活動的動態(tài)跟蹤、風險評估和倫理事件應急處置；國家科技倫理委員會研究制定科技倫理高風險科技活動清單，開展科技倫理高風險科技活動應按規(guī)定進行登記。

人工智能公司在上市過程中也會面臨關(guān)于科技倫理方面的審核和問詢。例如北京格靈深瞳信息技術(shù)股份有限公司和曠世科技有限公司都被上交所要求披露和說明公司在保證人工智能技術(shù)可控、符合倫理規(guī)范的措施和規(guī)劃，曠視科技還被進一要求說明分析公司在技術(shù)和業(yè)務(wù)開展過程所面臨的倫理風險。

2.數(shù)據(jù)安全和算法治理

“基于風險的方法”的監(jiān)管也體現(xiàn)在對作為AI核心技術(shù)的數(shù)據(jù)和算法的監(jiān)管上。在數(shù)據(jù)安全方面，國家強調(diào)對數(shù)據(jù)進行分類分級管理，重點監(jiān)管個人信息和重要數(shù)據(jù)，要求在進行對個人權(quán)益有重大影響的個人信息處理活動前開展個人信息保護影響評估，開展重要數(shù)據(jù)處理活動的要求定期進行數(shù)據(jù)安全評估等。

在對算法安全的監(jiān)管上中國也走在了前列，對應用算法推薦技術(shù)特別是應用深度合成技術(shù)提供互聯(lián)網(wǎng)信息服務(wù)進行專門的立法監(jiān)管。根據(jù)《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》（“《深度合成管理規(guī)定》”），深度合成技術(shù)是指利用深度學習、虛擬現(xiàn)實等生成合成類算法制作文本、圖像、音頻、視頻、虛擬場景等網(wǎng)絡(luò)信息的技術(shù)，其中就明確包括篇章生成、文本風格轉(zhuǎn)換、問答對話等生成或者編輯文本內(nèi)容的技術(shù)，可見ChatGPT這類聊天機器人型的AI應用早已被國家納入監(jiān)管范圍。

《深度合成管理規(guī)定》強化深度合成服務(wù)提供者的自我風險管理，立法主導從管理制度和技術(shù)規(guī)范上推動深度合成服務(wù)提供者建立內(nèi)部的風險管理機制，包括要求建立健全用戶注冊、算法機制機理審核、科技倫理審查、信息發(fā)布審核、數(shù)據(jù)安全、個人信息保護、反電信網(wǎng)絡(luò)詐騙、應急處置等管理制度，具有安全可控的技術(shù)保障措施。此外，提供可能導致公眾混淆或者誤認的深度合成服務(wù)，例如ChatGPT這類可以提供智能對話的深度合成服務(wù)的，《深度合成管理規(guī)定》還要求應當在生成或者編輯的信息內(nèi)容的合理位置、區(qū)域進行顯著標識，向公眾提示深度合成情況。

3.特定行業(yè)領(lǐng)域的AI應用監(jiān)管

對于AI應用可能對社會和公眾權(quán)益造成重大影響的特定行業(yè)領(lǐng)域，特別是自動駕駛、醫(yī)療器械等，相關(guān)部門也在陸續(xù)起草和出臺相關(guān)指南、標準和監(jiān)管文件，例如《自動駕駛汽車運輸安全服務(wù)指南（試行）》（征求意見稿）、《智能網(wǎng)聯(lián)汽車道路測試與示范應用管理規(guī)范（試行）》《國家藥監(jiān)局器審中心關(guān)于發(fā)布人工智能醫(yī)療器械注冊審查指導原則的通告》等進行重點監(jiān)管。

4.地方層面的AI應用分類分級監(jiān)管探索

2022年9月，深圳和上海相繼頒布《深圳經(jīng)濟特區(qū)人工智能產(chǎn)業(yè)促進條例》（“深圳條例”）和《上海市促進人工智能產(chǎn)業(yè)發(fā)展條例》（“上海條例”），要求地方政府及有關(guān)部門對AI應用開展基于風險等級的分類分級治理。對于高風險的AI應用，深圳條例和上海條例設(shè)置了事前合規(guī)評估/審查的高門檻，深圳條例規(guī)定采用事前評估和風險預警的監(jiān)管模式上海條例表明將實行清單式管理，開展合規(guī)審查。而對于對中低風險AI應用，深圳條例和上海條例都采用事先披露和事后跟蹤/控制的治理模式，以鼓勵創(chuàng)新的態(tài)度促進AI企業(yè)先行先試。

關(guān)于分類分級的具體監(jiān)管辦法將由兩地人民政府另行制定。如前文在歐盟《AI法案》部分所述，如何判斷評估確定將某一類AI應用歸類為高風險AI應用是分類分級立法監(jiān)管的重點和難點，深圳和上海的立法先行探索也將會為國家的立法監(jiān)管提供寶貴經(jīng)驗。

三、結(jié)語：對AI相關(guān)企業(yè)的合規(guī)提示

與基于風險的監(jiān)管相對，對于作為監(jiān)管對象的AI企業(yè)而言，“基于風險的方法”主要體現(xiàn)為“基于風險的合規(guī)”(risk-based compliance)，這種方法側(cè)重于因不合規(guī)而產(chǎn)生的風險，并利用對這些風險的評估指導合規(guī)工具的選擇及資源部署，以最大限度降低風險和提高合規(guī)性[2]。

一方面，AI企業(yè)可以根據(jù)已有的境內(nèi)境外基于風險的監(jiān)管政策，以及所設(shè)計、開發(fā)和使用的AI產(chǎn)品所應用的行業(yè)領(lǐng)域、可能對社會及公眾帶來的風險和不利影響等，判斷是否屬于監(jiān)管或者可能屬于未來監(jiān)管的重點，同時考慮到一些國家或地區(qū)例如歐盟的《AI法案》還具有域外管轄效力，AI產(chǎn)品如果存在海外市場的，還需要提前做好海外市場的合規(guī)布局。

另一方面，AI企業(yè)應建設(shè)內(nèi)部的風險管理框架和流程。在具體合規(guī)風險管理框架搭建上，AI企業(yè)可以考慮從以下幾個方面著手：

1.組織架構(gòu)：明確AI倫理風險管理部門，負責企業(yè)內(nèi)部的倫理風險管理政策制定、執(zhí)行監(jiān)督、AI產(chǎn)品的倫理審查以及重大問題的決策等；

2.內(nèi)部的制度機制建設(shè)：建立AI產(chǎn)品全流程的倫理風險識別、評估和處置機制；建立健全數(shù)據(jù)安全、算法安全、信息安全等管理制度；建立倫理事件的應急處置機制；建立第三方合作伙伴（特別是數(shù)據(jù)來源方或者部署使用第三方的AI產(chǎn)品和技術(shù)）的風險評估和審查機制等。

3.技術(shù)管控措施：采取技術(shù)措施確保數(shù)據(jù)、算法和網(wǎng)絡(luò)安全；開展數(shù)據(jù)治理，確保數(shù)據(jù)質(zhì)量；開發(fā)系統(tǒng)日志記錄，確保事故可追溯；A I產(chǎn)品的設(shè)計、開發(fā)和部署使用過程應當確保可以由人為進行有效監(jiān)控，降低AI產(chǎn)品偏離預期用途使用帶來的風險等。 

4.人員管理：確立問責制，明確相關(guān)人員的權(quán)限和職責；對員工開展相關(guān)AI風險管理培訓等。

5.用戶權(quán)益保障：保障透明度，確保用戶可以了解AI產(chǎn)品和服務(wù)的決策和運行機制；建立用戶的反饋和投訴機制，為用戶提供人工審查的途徑等。

作者簡介：

辛小天，北京德和衡（深圳）律師事務(wù)所合伙人、數(shù)字經(jīng)濟與人工智能業(yè)務(wù)中心總監(jiān)，網(wǎng)絡(luò)空間安全戰(zhàn)略與法律委員會委員，清華大學創(chuàng)業(yè)引導年度榮譽導師。曾就職于MayerBrown JSM 律師事務(wù)所，美國美富律師事務(wù)所，通用電氣及奇虎360 。擅長數(shù)據(jù)合規(guī)、互聯(lián)網(wǎng)法律及合規(guī)風控、投融資以及并購法律、反壟斷法、公司法及勞動相關(guān)法律、外商投資及外資公司設(shè)立相關(guān)法律。

楊雪嬌，北京德和衡律師事務(wù)所執(zhí)業(yè)律師，畢業(yè)于浙江大學和德國慕尼黑大學。擅長領(lǐng)域：民商事、互聯(lián)網(wǎng)和TMT領(lǐng)域合規(guī)。