「布鲁金斯学会：美国应利用隐私立法帮助解决人工智能问题」 2023年7月7日，布鲁金斯学会（Brookings Institution）发布其杰出访问学者卡梅伦·克里（Cameron F. Kerry）撰写的评论文章《隐私立法如何帮助解决人工智能问题（How privacy legislation can help address AI）》。作者从《美国数据隐私和保护法案（American Data Privacy and Protection Act，ADPPA）》入手，讨论了美国应如何利用隐私立法帮助解决人工智能问题，并将人工智能准则和框架的关键要素纳入到ADPPA的条款中。 作者首先指出，以ADPPA为代表的隐私立法可以预见算法问题。从参议员玛丽亚·坎特威尔（Maria Cantwell）和罗杰·威克（Roger Wicker）在第 116 届国会上提出的主要参议院法案开始，主要的隐私立法都包含了有关算法责任和公平性的条款；第 117 届国会上两党基于此共同提出了ADPPA；在本届国会中，众议院能源与商业委员会在3月和4月专门就隐私立法举行了听证会。作者表示，个人信息的收集、使用和共享是许多备受关注的技术应用的基础，而ADPPA中的条款也涉及到了人工智能治理的其他重要方面，许多人也都建议通过隐私立法来解决隐私本身以外的监管问题。ADPPA 法案也包含三项有助于解决人工智能问题的重要条款。首先，该法案将对个人信息的收集、使用和共享设定界限，要求此类过程必须是提供产品或服务或其他列举目的所必需的，这将有助于限制人工智能 “通过将个人信息的分析提升到新的力量和速度水平，扩大使用个人信息的能力，从而侵犯隐私利益” 的力量。事实上，数据治理（包括对数据来源、质量和合乎道德的使用）对人工智能治理框架至关重要，随着基础模型的推出，欧洲和美国加利福尼亚州的隐私和数据保护监管机构也已经开始探索个人数据的来源和使用。其次，ADPPA 包含一项突破性条款，即禁止以歧视的方式使用个人信息，来加强了数字领域对民权法律的保护。正如白宫去年发布的《人工智能权利法案（AI Bill of Rights）》所指出的，算法和自动化系统中的偏见问题有据可查，糟糕的算法设计或不具代表性的训练数据会在影响生活的环境中嵌入历史性的不平等，并呼吁联邦机构运用现有法律和机制解决住房、就业和其他机会方面的歧视问题。而ADPPA的民权条款将加强这些努力。第三，ADPPA的公民权利部分还包含了上述关于算法评估和问责制的条款。这些规定要求算法评估触及人工智能准则和框架的关键要素，不过这些规定可以通过提高人工智能系统的透明度和问责制来完善。 其次，作者就如何将人工智能准则和框架的关键要素纳入ADPPA的算法条款提出建议。根据众议院能源与商业委员会在2022年7月发布的报告，ADPPA规定了两个不同级别的算法评估。首先，“大型数据持有者”（年总收入在 2.5 亿美元或以，或数据来自 500 万或以上个人或设备的实体）将被要求更广泛的“影响评估”，且必须在颁布后两年内进行，此后每年进行一次，被评估者需详细说明设计、使用、训练数据、输出和列举的风险。其次，所有其他被监管实体都必须进行更一般的“设计评估”，评估范围包括算法的“设计、结构和输入”以应对针对大型数据持有者影响评估所列举的相同风险。两类评估都必须向联邦贸易委员会备案，并可选择公开摘要。鉴于对人工智能的关注日益突出，ADPPA应更新涵盖的算法和实体、评估范围、信息披露三个方面的规定，要求所涵盖的实体向公众提供有关算法决策的信息，并明确所涵盖的算法和风险，以及衡量结果的必要性。首先，根据法案条款，普遍适用的“设计评估”要求适用于任何“后果性”算法决策，但“后果性”从措辞上并不清楚所包含的算法决策是什么。此外，尽管ADPPA中“所涵盖的算法”定义已经经过修改，但仍然过于宽泛。例如，当推荐引擎在产品推荐中产生令人反感的歧视或将儿童和青少年带入有害内容的“兔子洞”时，推荐引擎就会引起关注，但并不是每次使用都会引起关注。因此，与其将“后果性”的含义留给算法评估的实质性规定，不如在“所涵盖的算法”的定义中阐述“后果性”的含义，以明确算法评估和问责规定的要求是算法决策的后果。同时，该定义应包含确定的具体伤害类别，以确定应考虑的背景和后果，且额外的总括性语言仍应涵盖这些类别所属的更广泛的伤害。例如，欧盟的《通用数据保护条例（General Data Protection Regulation，GDPR）》规定，“对于对个人有‘法律影响或类似重大影响’的自动化决策，有权进行人工审核”，可以用“机会和经济、社会及个人福祉”这样的措辞来澄清“类似的重大影响”这样宽泛模糊的概念。这将涵盖所列举的类别，但也包括其他影响生活的应用。另外，“设计评估”条款的范围涵盖了“在知情的情况下开发”所涵盖算法的实体或服务提供商，但未关注使用其他实体开发的算法程序的实体，这就涉及到与加利福尼亚州AB 331法案和欧盟拟议的《人工智能法案（AI Act）》有关的软件价值链责任分配问题，而且遗漏了可能会产生影响的用途。作者建议，信息隐私立法不应涉及整个价值链中的此类义务，而应适用对“采用”所涵盖的算法的相关实体进行设计评估的义务。在这种情况下，对设计、结构、输入和输出进行评估的能力可能会受到限制，但无论如何，进行一些此类调查是实现负责任的人工智能系统的必要步骤。第二，关于评估范围，美国国家标准与技术研究院（National Institute for Standards and Technology, NIST）于2023年1月发布了其人工智能风险管理框架（AI Risk Management Framework, AI RMF）的 1.0 版本，为识别人工智能风险提供了一个概念框架，并为评估和管理这些风险提供了一套组织流程。因此，由于NIST的AI RMF将以反复和互动的方式不断更新，因此它比通常的机构规则或指南更具活力，ADPPA 应将 NIST的AI RMF纳入算法评估和设计评价，作为指导参考。例如，为避免设计评估规定一刀切，ADPPA可以考虑按照所涉实体的规模和复杂性，以及数据的数量和敏感性进行分级分类管理，最重要的是，算法评估的要素应通过审计或测试更明确、更清晰地纳入测量，以确保人工智能系统的运行符合预期，减轻潜在危害的措施行之有效，以及避免机器学习的适应性造成不良后果。第三，在信息披露方面，ADPPA 的评估条款将要求大型数据持有者和其他被监管实体向联邦贸易委员会提交相关评估报告，但仅将是否向公众提供这些信息作为可选项。这就忽略了人工智能透明度的一个基本要素。ADPPA 在其有关透明度的章节中详细说明了必须披露的有关相关实体收集、使用个人信息及其隐私保护措施的信息，其中还应包括基于此类数据的算法决策信息，如此类使用和决策的性质及其所依据的数据和逻辑。虽然只有一小部分人可能会查看这些信息，但他们将更容易获得所需信息，当实体的行为与其披露的信息不符时，发表这些公开声明也可以帮助联邦贸易委员依法处理不公平和欺骗性行为。虽然关于从平台内容管理到人工智能可解释性等一系列技术应用的透明度问题还需要进行广泛的讨论，参议员埃德·马基（Edward Markey）也提出了《算法正义与在线平台责任法案（Algorithmic Justice and Online Platform Accountability Act）》来解决其中的几个问题，但涉及个人信息的收集、使用和共享，并要求披露相关信息的隐私立法时，应包括披露个人信息在算法决策中的使用情况，因为这些算法决策可能会影响到作为信息主体的个人，信息披露也可以帮助人们更充分了解和应对人工智能系统的挑战，为相关讨论提供信息，降低风险，并为最有可能对个人产生影响的一些人工智能应用提供基准。 卡梅伦·克里（Cameron F. Kerry）：布鲁金斯学会特聘访问学者，专注于研究隐私、人工智能和信息技术的跨境挑战、国际数据流动、数字经济等问题。奥巴马政府时期曾任商务部总法律顾问和代理部长。 原文链接： https://www.brookings.edu/articles/how-privacy-legislation-can-help-address-ai/