全球AI监管观察丨欧盟《人工智能责任指令》将给世界立什么规矩？

【编者按】“布鲁塞尔效应”已经成为全球企业应对政府监管的现实场景。中国AI产业快速发展之际，相关企业就必须深入研究欧盟给世界立的规矩。

《互联网法律评论》特约专家、大成律所（上海）合伙人曲晓琨律师指出，“安全和责任是一枚硬币的两面”，欧盟《人工智能法案》是一面，《人工智能责任指令》则将是另一面，深入研究欧盟相关监管规则是中国涉及AI应用企业应对全球监管的必修课。

今日，《互联网法律评论》获授权刊发曲晓琨律师及其团队分析解读欧盟《人工智能责任指令》的文章，供国内业界参考。参与这组文章撰写的作者还有Dentons欧洲团队的多名律师。在未来，我们将持续刊发曲晓琨律师团队的系列文章，深入研究欧盟监管规则。

“安全和责任是一枚硬币的两面”，欧盟《人工智能法案》是一面，《人工智能责任指令》则将是另一面。

欧盟委员会于2022年9月28日提出了一项关于人工智能（简称“AI”）非合同民事责任规则的立法草案——Artificial Intelligence Liability Directive（《人工智能责任指令》，简称“《指令》”）。《指令》旨在解决AI产生损害时的民事责任判定问题，以确保受害者得到与任何其他情况下受到损害时相同的保护标准。《指令》是欧盟首次针对AI损害民事责任的专门立法，与欧盟《人工智能法案》适配，共同构成了欧盟AI治理法律体系的“一体两面”。2023年10月11日，欧盟数据保护监督机构（European Data Protection Supervisor, “EDPS”）就《指令》发表了意见，总体认可《指令》的宗旨和框架等，但也对某些细节问题提出了修改意见。总体而言，欧盟AI治理法律体系进一步丰富、深入。

通过联合Dentons欧洲团队，我们对《指令》的几个关键事项进行总结，以供国内业界参考。

1.《指令》的关键内容

《指令》主要规定了以下两项重要内容（合称“保障措施”）：

（1）因果关系推定

考虑到AI具有复杂性、自主性、不透明性等特点，由受害者完全承担举证责任可能存在诸多困难。鉴于此《指令》提出了因果关系推定规则，以减轻受害者的举证责任。对此，被告（如AI的开发者、部署者等，下同）仍有权通过举证推翻该等因果关系推定，比如举证证明损害由其他原因造成。

具体而言，在满足以下三个条件的情况下，可推定过错与AI输出（或输出失败）之间具有因果关系：

原告举证或法庭推定，被告存在过错而违反了相关法律规定的谨慎义务（duty of care）；

根据案件的具体情况，可以合理地认为过错影响了AI输出（或输出失败）;

原告举证AI输出（或输出失败）造成了损害。

值得注意的是，上述因果关系推定规则对高风险AI和非高风险AI的适用存在一定差异：高风险AI原则上适用；非高风险AI适用门槛较高。具体而言：

对于涉及高风险AI系统的损害赔偿而言，如果被告证明原告可以合理地获得足够的证据和专业知识来证明因果关系，则不适用因果关系推定规则；

对于涉及非高风险AI系统的损害赔偿而言，因果关系推定规则仅在法庭认定由原告证明因果关系存在过度困难的情况下才适用。

（2）证据披露

在受害者已尽一切合理努力但仍无法获得相关证据以支持赔偿请求的情况下，法庭有权（根据受害者的请求等）责令披露有关高风险AI系统的相关证据。

进而，如果被告不遵守法庭有关证据披露的命令，则推定被告违反相应谨慎义务（duty of care）。

2.《指令》与《人工智能法案》的关系

“安全和责任是一枚硬币的两面”——以安全为导向的规则，旨在降低风险和防止损害；但风险永远不会完全消除，因此需要责任规则，以确保在风险造成现实损害时的赔偿的有效性。

《人工智能法案》旨在预防损害的发生，其规定了以安全为导向的降低风险和防止损害的规则，并要求建立质量管理体系、各种文件记录、符合性评定程序、登记义务、人工监督机制和上市后监测等等。

《指令》解决发生损害时的责任判定问题，其规定了因果关系推定、证据披露等规则，旨在保障受害者在受到AI损害时可获得有效的赔偿。

可见《人工智能法案》和《指令》规制不同的层面，同时又是“一体两面”、相辅相成。

具体而言，《指令》还援引了与《人工智能法案》项下相关概念一致的定义，保持了高风险/非高风险AI之间的区分，通过证据披露机制使《人工智能法案》的文档和透明度要求与民事责任判定挂钩，并激励AI系统的开发者、部署者遵守《人工智能法案》项下的义务等。进而，不满足《人工智能法案》项下合规要求（尤其是高风险AI面临的较严的合规要求），除面临相应监管处罚外，在造成损害而被民事索赔时，还面临《指令》项下的证据披露和不利推定等。

3.《指令》的进展——EDPS的意见

目前，欧盟立法机构尚在就《指令》征求意见、进行谈判。与此同时，EDPS作为立法进程中重要的利益相关方（尤其在个人数据保护方面），于2023年10月11日发表了其就《指令》的意见，主要涉及如下内容（以及《指令》对欧盟机构使用AI造成损害时的适用问题等）。EDPS总体认可《指令》的宗旨和框架等，但也对某些细节问题提出了修改意见。总体而言，欧盟AI治理法律体系进一步丰富、深入，预计《指令》将随《人工智能法案》适时出台。

（1）《指令》与数据保护法的关系

EDPS认为，《指令》不应影响欧盟个人数据保护法律（如GDPR）的适用性。为避免《指令》与现有欧盟数据保护法律之间产生冲突，EDPS建议《指令》对此进行明确澄清。

（2）保障措施不应仅限于高风险AI，而应及于包括非高风险AI在内的所有类型的AI系统

根据《指令》，因果关系推定和证据披露规则主要适用于“高风险AI”。EDPS认为，非高风险AI，尽管风险等级不及高风险AI，同样可能对个人造成重大损害。而且，非高风险AI可能同样具有复杂性、不透明性等特点，因而受害者难以承担举证责任。因而，EDPS建议，因果关系推定和证据披露规则不应仅限于高风险AI，而应适用于所有类型的AI系统，包括非高风险AI。

（3）披露应清晰易懂

实践中根据《指令》披露的证据可能是专业性非常强的技术文档，EDPS担心其不易于理解。为了使披露的信息具有有效的证据价值，EDPS建议《指令》要求披露的信息不仅限于技术文件，还应辅以清晰易懂的解释。

（4）进一步减轻受害者举证责任

尽管《指令》引入了因果关系推定和证据披露机制，旨在减轻受害者的举证责任，但《指令》仍基于过错责任原则，意味着受害者仍然需要证明AI系统开发者、部署者等的过错。然而，鉴于AI的复杂性等特点，受害者可能根本不具备证明过错和因果关系的能力。此前，欧盟委员会曾考虑过举证责任倒置方案，但鉴于很多科技公司的反对，为避免阻碍AI技术创新，《指令》并未采纳该方案。但是，EDPS仍建议在《指令》现有草案基础上考虑采取进一步措施减轻受害者的举证责任，以平衡AI的挑战和责任规则的有效性。

4. 结语

AI浪潮下，各行各业可能都已经、正在或将要被AI渗透，AI的应用可能涉及业务运营的各个层面。AI治理，不仅仅是一个合规问题，而且可能影响AI产业发展以及传统业务的有效性。做好准备，迎接新时代。