人工智能监管政策之美国《人工智能风险管理框架》

美国国家标准与技术研究院（NIST）于1月发布了《人工智能风险管理框架》（AI RMF）（以下简称《框架》）1.0版，可供相关组织设计和管理的可信赖和负责任的人工智能，旨在指导机构组织在开发和部署人工智能系统时降低安全风险，避免产生偏见和其他负面后果，提高人工智能可信度。2月15日，美国布鲁金斯学会技术创新中心特聘客座研究员卡梅伦·克里（Cameron Kerry）于该机构官网发文表示，《框架》代表了美国人工智能政策领域的新进展，有助于丰富当前正在进行的关于人工智能发展与政策的国际讨论。

核心功能与路线图

NIST隶属于美国商务部，主要从事物理、生物和工程方面的基础和应用研究，以及测量技术和测试方法方面的研究，并提供标准制定、标准参考数据及有关服务。随着科学技术在经济和社会中发挥的作用越来越大，NIST在政府、科学技术、商业等交叉领域中的作用日益增强。《框架》的形成主要是响应美国《国家人工智能倡议法》（National Artificial Intelligence Initiative Act）的要求，并遵循了NIST此前发布的信息风险管理和治理框架模板，其中包括2014年的《网络安全框架》与2020年的《隐私框架》。

人工智能作为一种通用技术，涵盖了广泛的技术、数据源和各类应用，其广度给信息技术风险管理带来了独特的挑战。因此，《框架》在其风险管理方法中引入了“社会技术”维度，涵盖了“社会动态和人类行为”，涉及广泛的参与者和利益相关者。与此同时，人工智能的发展引发了人们对其带来的风险与收益的广泛讨论、对人工智能训练数据和输出偏差的担忧以及对什么是可靠和值得信赖的人工智能的思考。为此，《框架》提供了应对以上问题的两个视角。

一是为识别人工智能环境中的风险提供了一个概念性路线图，概述了与人工智能相关的一般风险类型与来源，并列举了可信赖的人工智能的七个关键特征：安全、可靠和有韧性、可解释性、隐私增强、公平、负责任且透明、有效且可靠。二是提供了一套评估和管理风险的组织流程和活动，将人工智能的“社会技术”维度与人工智能系统生命周期的各个阶段，以及相关参与者联系起来。这些过程和活动的关键步骤是“测试、评估、验证和确认”，并被分解为治理、映射、测量和管理四大核心功能，每个功能项下还分为不同的类别和子类别，通过多元化展开，帮助机构组织在实践中应对人工智能系统带来的风险和潜在影响。

但是，《框架》作为“1.0版本”，并非人工智能风险管理的最后版本，反映了人工智能标准制定的早期阶段，仅包括了对国际标准化组织（ISO）、国际电工委员会（IEC）等国际标准机构的标准，以及经济合作与发展组织（OECD）指导方针的少量参考。该机构预计会在2028年之前进行全面、正式的审查，可能会产生2.0版本。这种迭代方法可以帮助《框架》适应人工智能技术的变化，并随时作出调整。《框架》文件中有关可信任人工智能的特征，也有待进一步了解。从目前来看，《框架》的核心功能及其项下的子类别就像路线图，展示了通往可信任人工智能道路上的步骤，但具体还要取决于应用《框架》的组织机构能否从这些路线中拼凑出自己的道路。

制度基础与实施机制

《框架》建立在《网络安全框架》与《隐私框架》的基础上。《网络安全框架》的关键目标是塑造和促进网络安全领域标准与实践的发展，该框架已被绝大多数美国公司应用，包括美国证券交易委员会在内的各种机构将《网络安全框架》作为受监管行业健全网络安全实践的基准。然而，《隐私框架》并没有产生与《网络安全框架》相同的影响。当《隐私框架》发布时，欧盟的《通用数据保护条例》（General Data Protection Regulation）和《加州消费者隐私法案》（California Consumer Privacy Act）都已经生效，引发了许多美国公司制定隐私设计和合规计划。这种较为完善的环境限制了《隐私框架》在隐私和数据保护标准、实践和流程领域发挥作用的空间。

欧盟和加拿大都在对人工智能进行立法，新加坡为可信赖的人工智能制定了自愿测试框架，经合组织的一个工作组建立了可信赖的人工智能工具包。《框架》发布之前，美国于2022年10月发布了《人工智能权利法案蓝图》（以下简称《蓝图》），这是一套保护个人免受伤害和歧视的原则，并配有相关技术方案，确定了人工智能系统影响这些原则的具体方式，以及应对不利影响的一般步骤。而《框架》提供了在各种组织中实施《蓝图》原则的工具。

与欧盟的人工智能立法相比，《框架》不具有法律效力，从性质上来讲是非强制性的指导性文件，供设计、开发、部署、使用人工智能系统的机构组织自愿使用。此类框架比约束性法律更容易在应用中实现更新迭代，但需要依靠软法机制来发挥其影响力，无法确保一定会被采用。在欧盟拟议的人工智能法案下，人工智能系统属于高风险类别，需要接受全面评估，其中涉及人工智能定义的范围、通用人工智能的应对等，已经成为欧盟立法辩论的症结所在，而且具有法律约束力的框架往往对措辞的准确性要求较高，同时不容易提供定制方案。总的来看，无论是欧盟的“硬”监管，还是美国的“软”治理，各国政府和社会都刚刚开始理解人工智能，其监管仍然处于摸索阶段，未来还有很长的一段路要走。