今年6月5日,经7轮修订,SB-1047法案获加州参议院通过。当时,笔者曾做过三点判断:
第一,“涵盖模型”定准过高,不会带来实质新增义务。“涵盖模型”指训练总算力大于1026浮点运算且总训练价格高于1亿美元。目前最大模型的训练总算力小于1026FLOPS,训练价格或有高于1亿美元,但“涵盖模型”成立的条件是“且”,意味着当下没有合乎标准的标的[1]。
第二,“有限责任豁免”设计或将创设AI时代的避风港规则。未来某天,如出现达致1026总浮点运算算力消耗且总训练成本高于1亿美元的模型,只要履行了22603节相关流程义务——类似与平台时代的“通知-删除义务”和“合理谨慎义务”——则享有“有限责任豁免”。这套“尽职免责”设计,重事前审慎而轻事后追责、重过程正义而轻结果审判、重行业自愿而轻官方审批。
第三,不是一部“重监管法”,但会造成“心理冲击”。本质上是当时各方关于AI Safety共识的提炼,是对当下硅谷正在执行的安全水位、流程、措施、效果的一次梳理和确认,是对过去两年软法的一次“硬化”。区别在于,之前都是软法约束,这回是白纸黑字、强制义务,行业既有合规工作需要变成Paper Work提交监管。
判断做出的核心,是当时版本法案的第22603节,规定了一项重要制度,即模型研发、商用中,只要开发者适当履行义务,即可适用“有限责任豁免” (limited duty exemption):首先,a)款,如训练前开发者确信,所训模型不属于“涵盖模型”,或模型潜在能力显著小于一些已被证明不具备危险能力的涵盖模型的,则可向主管部门提交一份承诺,表明判断,据此适用“有限责任豁免”。其次,b)款,如训练前开发者并不能确信模型不会造成显见伤害,则需履行共10项法定义务,并c)款,模型训练完毕后进行能力测试,如确认适用“有限责任豁免”,需在投入商用或公用后30天内,向主管部门报备义务履行情况和测试情况,据此适用“有限责任豁免”;最后,d)款,如开发者确信模型不适用“有限责任豁免”,则需在投入商用或公用后,额外履行4项义务,包括1)直接义务,防止原始模型造成关键伤害、防止微调出衍生模型导致关键伤害并确保伤害可溯源;2)间接义务,帮助模型微调方履行1)类义务;3)不投入商用或公用;4)寻求专业帮助(采纳NIST标准或行业最佳实践)。
a/b/c层层递进,大意是大模型研发企业只要1)训练前做了判断,或2)假设判断不清,训练中善意履行了安全保障义务,或3)假设履行义务后依然判断不好,还进行了测试,测试结果是好的——上述每一个动作都向监管上报,且承诺不做伪证,那么企业就可以享有“有限责任豁免”权利。实际上,历经a/b/c三步,模型造成“显见伤害”的概率大大降低,是自然可以享有“有限责任豁免”的,22603节实际借此明确了一条原则:负责任的大模型,都应享有“有限责任豁免”。如上述每一动作后,开发者依然是认为自身不符合“有限责任豁免”,那么履行额外的d)款“矫正义务”甚至“暂停商业运营”,在目前的产业-监管共识框架下,其实也无可厚非——毕竟,一旦出问题,即便没有新增立法,既有法律责任也需承担。
如果22603节没有a/b/c,直接跳到d,直接列出模型开发者的义务,那么无疑成为了一部“无限责任”立法:开发者不仅需要履行直接义务,还需要为重新训练或调优部署本模型的开发者履行间接义务,且在风险排除以前不得投入商用。遗憾的是,法案送加州众议院后,再历经5轮修订,新版恰恰跳过了“有限责任豁免”制度设计,直接提出义务要求:包括22603和22604两节,分别指向“涵盖模型开发者义务”和“算力集群运营者义务”。
1、涵盖模型开发者责任。22603节,规定了涵盖模型开发者的10项义务,重点包括“训练前义务(22603-a)”和“部署前义务(22603-b)”两大部分。
1.1训练前义务(22603-a):1)实施适当的行政、技术和物理网络安全保护措施,以防止未经授权的访问、滥用或对涵盖模型及其衍生物进行不安全的后续训练修改。2)确保能实施快速实施完全关闭(full shutdown)。3)实施一个书面且独立的安全和保障协议(safety and security protocol)。4)确保安全和保障协议得到执行,包括指定1名高管作为负责人。5)用于商业、公共用途的模型,安全和保障协议需保留至少5年。6)逐年审查安全和保障协议,并根据需要进行修改。7)安全和保障协议的修改需要向检察长和公众同步。
1.2 部署前义务(22603-b) :1)评估模型是否有能力造成或显著促成致命伤害(critical harm)。2)记录并保留评估信息。3)实施适当的保障措施,防止模型造成或显著促成关键伤害。
1.3 商业化或公开使用前排除措施(22603-c) :如果涵盖模型有风险,则不得商用或公开使用。
1.4 其他义务(22603-d~j) :每年重新评估(22603-d)、三方审计(22603-e)、向检察长提交年度合规声明(22603-f)、及时报告(22603-g)、训练前和部署前合规义务履行声明提交(22603-h)、参考依据(22603-i)、政府合同例外(22603-j)。
2、计算集群运营者责任。22604节规定,如果客户使用足够的计算资源来训练受控模型,计算集群的运营商也须实施各种措施,包括:1)获取基本的管理信息;2)评估客户是否打算使用计算集群来训练受控模型,并在每次训练前验证身份信息;3)实施能够迅速全面关闭任何用于训练或操作客户模型资源的能力;4)记录客户用于访问的IP地址以及每次访问的日期和时间。
1047虽列出涵盖模型在研发、商用前的“前置义务”,但并非行政许可,市场主体并不需要等待行政审批同意后才开始训练或上线商用,而只需在训练开始/上线商用之后30天内,将安全与保障协议向公众公布并向检察长报备义务,并向公众公布。22603-c所谓“如涵盖模型有风险,则不得商用或公开使用”,其实只是一种原则性的宣示,并无牙齿。
既无事前许可,市场主体是否积极/充分履行事前、事中义务,则主要取决于后果。即义务履行与可能的“关键伤害”之间的逻辑关系,由此带来两个问题:其一,从技术和业务的视角,法案义务是否能化解“关键伤害”;其二,如不能直接化解,法案义务履行是否可能降低/对冲原本的责任风险。
首先,法案重复了基于影响和假设的安全理念,但并没有提出基于实证和研究的安全主张、解决方案,并不能够直接化解“关键伤害”。法案笼统提出了义务类型(22603-a/b、22604a)和程序要求(22603-c~j),但并未给出具体标准、最佳实践作为参考,即便成法,也还是需要行业拿出技术和业务层面的解决方案。这也是州长否决时所提到的“这种标准可能会让公众对控制这一快速发展的技术产生错误的安全感。”
其次,法案规定的民事诉讼、罚款、禁令救济、损害赔偿等,与市场主体是否履行义务之间没有必然关联。一方面,哪怕没有1047法案,在诸如隐私侵犯、知产侵权以及消费者人身/财产损失等风险事件中,当事方或第三方(如州检察长),依然可以援引既有隐私保护、知产保护、消费者保护法规,要求模型企业承担责任——尽管追责可能和90年代互联网兴起之初相类似,要经过一段“口水期”。另一方面,即便有了1047法案,有了22603节的义务罗列,哪怕企业逐一对照、充分履行,最多只构成法院在个案审判中的酌定因素之一,企业并不能因此免责。
至此,1047立法格局演化为:行政部门事前许可无依据,事后归责与司法救济渠道本就通畅,立法者却试图借立法来为市场主体创设新义务[2]。这一义务,固有AI Safety这一政治正确的大环境做仰赖,但其一方面粗线条,“不解决实际问题”,另一方面又没有实现市场主体的权利-义务对等,市场主体既不能通过义务履行、信息报送来达成“许可免责”,又不能借此达成“司法豁免”,唯徒增企业合规成本,降低模型训练/投产速度,还可能因过重文牍负担导致商秘泄露风险,再结合繁冗的法律责任,对创新无疑将产生寒蝉效应。
1047立法过程中,行业展现出复杂、多变的态度,各家看法也不一,笔者判断:一来法案历经12次修改,版本差别大,导致行业在“支持/反对/中立”之间横跳[3]。如前所述,旧法案创设“有限责任豁免”制度,本质上是一种“合规激励”,体现了鼓励创新的激励相容原则,而这部分在新法案中被完全抹去。二来各家业务模态、合规水位有所差异,法案能在多大程度上“帮忙不添乱”,因人而异。无论如何,如果新增义务一能够解决实际问题且没有显著增加成本,二能够在立法层面创设一定的责任豁免,或至少对司法裁判起到对冲和引导,那么立法至少是有一定意义的。反之,则很难得到行业包括AI产业高地加州政府的祝福。
(二)风险敞口并不显著、标准与最佳实践渐次推出,过早将“软法治理”硬化为前置性的刚性义务,必要性与可行性存疑,利大于弊,于整体治理进路不符。
AI Safety成为一种政治正确,但基于目前的技术水平、产业应用水平和风险防范实践,已暴露的风险敞口并不显著,立法缺了一大块必要性支撑。笔者曾讨论美国会推动的模型出口管制立法(Enforce法案),认为模型训练需要足够的资本、算力、数据和算法人才,上述资源掌握于有限的市场主体手中,而考虑到开源模型只是“有限开源”,闭源模型的训练、访问高度中心化,加之CBRN风险行业数据本身控制严格,这导致需要出口管制解决的风险并不显著,立法必要性不足。这一逻辑在美国国内治理中同样存在:从Open AI GPT系列产品推出商用至今,美国并未出现过类似“剑桥分析”级别的隐私丑闻,“太阳风”级别的网络攻击事件,或因AI滥用致死致伤等重大风险事件,今年大选年也没有掀起波澜,这至少证明生成式人工智能截至目前在产业应用和风险防控两侧,尚处可防可控的范围之内,产业实践和监管实践行之有效。
现实风险敞口不显著之外,法案也偏离了美技术治理以软法为主的主要路径,法案被否,折射出有效的软法治理可以对激进的刚性立法构成牵制。以“最佳实践”“标准指南”等软法开展渐进式治理,对刚性立法形成“塑造+牵制”的双向效应,是美人工智能治理的一个重要特征(参考阅读:《静水流深:美国人工智能治理的特征、趋势与启示》)。美联邦层面的战略、行政令、计划、指南、标准、指引,对市场有软性约束作用,通过被私营部门引用,嵌入到产业实践中,产业实践经验也通过与监管的互动,实现对软法的反哺。国会部分立法方向,实际就是对行政部门软法主张的立法确认,而行之有效的软法还能对激进立法提案构成约束。
软法之治推动下,围绕AI Safety的风险原理探究、风险防范实践迈入了基于实证和研究的关键一步。加州州长提到, “法律应当关注实际风险而非假设风险”,“立法或监管框架应基于对AI系统和能力的实证轨迹分析之上,基于实证证据和科学”,“美国国家科学技术研究所(NIST)下属的美国AI安全研究所(USAISI),正在基于证据的方法,制定关于国家安全风险的指南。”确如州长所言,目前,USAISI已发布多个报告、工具来解决生成式人工智能风险问题,代表文档包括1)《人工智能风险管理框架:生成性人工智能概况》(AI RMF Generative AI Profile, NIST AI 600-1),2)《双重用途基础模型滥用风险管理》(NIST AI 800-1),3)《生成性人工智能和双重用途基础模型的安全软件开发实践》(Secure Software Development Practices for Generative AI and Dual-Use Foundation Models, NIST Special Publication (SP) 800-218A)。
NIST与USAISI的实践,充分回应了1047立法的主要诉求,并提出了初步解决方案,这加剧了1047的 “假大空”,让其看上去更像是“站在原地的一级标题复读机”。风险场景方面,1047法案所定义的 “严重伤害”(critical harm)场景,完全被NIST AI 600-1和NIST AI 800-1涵盖。1047定义的严重伤害包括由涵盖模型或涵盖模型衍生物造成或促成的以下伤害:1)助力制造或使用化学、生物、放射或核武器(CBRN),造成大规模伤亡;2)助力对关键基础设施进行网络攻击,造成大规模伤亡或至少 5 亿美元的损失;3)在有限的人类监督、干预或监管下的行为,导致死亡、重大身体伤害、财产损失;4)其他与上述伤害严重性相当的对公共安全和保障的伤害。相比之下,NIST AI 600-1列出的风险场景包括了“CBRN信息或能力;深度伪造;危险、暴力或仇恨内容;数据隐私;环境影响;有害偏见或同质化;人工智能配置[4];信息完整性;信息安全;知识产权;淫秽、贬低和/或虐待内容;价值链和组件集成[5]”等12类。而NIST AI 800-1提出的滥用风险核心关切点,也包括了“CBRN、自动化助力网络攻击、通过欺骗或混淆手段规避人类控制或监督”。解决方案方面,1047规定的训练前、部署前的通报义务,也完全被NIST AI 800-1所涵盖,包括预见潜在的滥用风险评估、制定滥用风险管理计划、管理模型被非法获取的风险、测量滥用风险、确保在部署基础模型之前管理滥用风险、收集并响应部署后有关滥用的信息、提供关于滥用风险的适当透明度,NIST AI 800-1不仅给出了目标(义务),还进一步给出了细颗粒度的“有效实施建议”。
法案规定合规义务,与NIST AI 800-1、NIST AI 600-1的实施建议殊途同归,后者更具体、要求更高,但这不意味着当下是将软法与行业实践硬化为刚性立法的好时机。不可否认,1047所列义务中,一部分已是既有行业安全实践的梳理和确认,甚至体现为公司内部的“安全策略”。但“安全策略”是否全面、有效、具针对性,合盘对公众、监管托出拖出是否合宜、必要,仍有待讨论和检验。当合规义务以建议标准、最佳实践的方式呈现,既符合行业尚处初步阶段的实际,又给到了行业对标、吸收、内化的时间,还给到了让标准成熟、让行业实践得到检验的空间,导向监管与产业的良性互动。急于以立法方式将其“硬化”为刚性的前置义务,并辅以严格的法律责任,非但无助于提供增量价值,还容易增加成本、抑制创新,引来市场的反弹或敷衍应对,甚至导致研发转入底下,更不可控。待到NIST、USAISI等基于实证的行政力量推动下,行业标准、最佳实践逐步完善、成熟,并被证明行之有效,与行业实践“同频共振”,写入立法自然水到渠成——这正是软法之治对立法的塑造与牵制效应。
(三)法案背离了顶层设计、行政牵引为主导的治理模式,过早地让美国AI治理进入了联邦-州博弈竞合阶段,甚至可能冲击联邦定下的发展优先的主航道。
与加州隐私立法的时空环境不同,当前AI技术应用落地尚处初步,由国会统一开展一揽子、系统性AI立法,更有利于通用技术的扩散发展,州议会开展此类立法,容易导向监管碎片化,抑制技术的创新与落地应用。当前,美国会尚未成功推动AI治理类立法,进展主要来自于行政部门,“总开关”是去年10月拜登政府发布的《关于安全、可靠和值得信赖的人工智能行政令》(EO14110),这是一个美国两党、政府会暂时都能接受的美AI治理顶层设计。行政令第四章(Sec. 4)聚焦安全,下辖 “两横三纵”五个方面。两横聚焦横向治理:Sec. 4.1,建章立制、构建原则和标准,前述NIST和USAISI的相关工作,均在该条意见指导下开展;Sec. 4.2,企业合规建议和信息报告制度。三纵聚焦风险场景:Sec. 4.3,AI+关基与网络安全;Sec. 4.4,AI+军控;Sec. 4.5,AI+合成内容。
两横三纵中,聚焦企业合规建议和信息报告制度的Sec. 4.2也是1047法案的主要着力点,但与行政令和部门规则的谨慎不同,1047颇为激进,试图通过立法将行政治理“硬化”。Sec. 4.2创设对“模型企业”和“算力集群”的信息通报义务,提出a/b/c/d/e等5项具体要求,a/b项为美国内治理中的信息通报,c/d/e项涉海外用户的信息通报,聚焦国内治理的1047法案重点关联a/b项[6]。具体而言:针对基础模型研发者,通报义务包括四类,一是为确保训练过程的完整性、防范外部威胁而采取的物理和网络安全措施,二是模型权重的所有权和占有权,以及为保护模型权重而采取的物理和网络安全措施,三是红队测试结果[7];四是其他与双重用途基础模型的安全性和可靠性相关的信息,或对美国国家安全构成关切的活动或风险。针对算力集群,通报义务包括算力集群“有没有、在哪儿、算力有多大”。尽管有行政令在手,白宫也援引《国防生产法》来为市场主体的报告义务寻找法律依据,但与加州政府类似,联邦政府同样无法对大模型训练、上线施加行政许可,报告义务履行也仍仰赖市场配合。为落实a/b款,美商务部迟至今年9月才颁布《建立高级人工智能模型和计算集群开发报告要求》拟议规则,且措辞谨慎,完全照搬行政令,不敢丝毫扩充。相较之下,加州1047法案的义务种类、程序要求颇为激进:对大模型研发主体,信息通报范围更广,还新增了全面关停、三方审计、逐年评估、年度合规声明等义务;对计算集群,要求验证客户身份和目的、有完全关停能力、保留适当的记录至少七年等,大大超出美国内场景计算集群运营商的信息通报范围,甚至超出了仍处在拟议规则阶段的针对“外国对手”的今年1月商务部规则。
对于治理面临的合法性挑战,白宫未尝不愿意看到立法的跟进配合,但当前留给联邦、州层面AI立法的空间不大:AI技术进路是否明确?风险敞口有多大?风险判断是否基于实证?在行政令已有全面覆盖、各部会有所行动的情况下,到底有什么新的问题,需要立法来解决?部门规则、风险管理框架多数尚且处在拟议、草稿阶段,要不要等实际治理落地、问题暴露再行立法不迟?
AI Safety问题上,个别政客或科学家群体的意见,未必全盘代表美国的国家意志或硅谷产业意志。从过去一年全球AI Safety的政策演进路线来看,美态度偏中立,而不似英国或欧盟一样处于进攻姿态、意图担起AI Safety的大梁,其根源在于:美国是产业的集聚地,发展、治理均有抓手,可进亦可退,当下的重中之重依然是促发展,扩大对跟随国家的领先优势,这与其在平台时代的治理思路如出一辙。AI Safety是美国AI治理中的重要一环,但其权重目前绝非是压倒性的,作为AI产业重镇同时也是蓝营重镇的加州,其立法、行政、司法,既不太可能让行业“意外”,也不太可能让民主党人主政的联邦政府“惊讶”,作为民主党新星的加州州长出面否决提案,也合乎情理。
(四)法案重横向治理、轻场景治理,且风险场景定义又脱离了“加州特色”,失去立法势能。
法案反对者吴恩达一直强调,“通用技术是否安全,更多地取决于其下游应用,而非技术本身”。 州长对1047法案的否决信提到,“法案未能考虑AI系统是否部署在高风险环境中、是否涉及关键决策或使用敏感数据”。两段评论指向同一方向:讨论风险需要基于具体场景。
加州AI监管立法活跃,但均聚焦场景监管、用例监管。目前,深度合成、虚假信息、版权,是三大重点方向,也是加州定义出的“核心风险场景”。具体而言:1)《生成式人工智能训练数据透明度法案》(Generative artificial intelligence: training data transparency,AB2013),要求AI公司在开发和训练模型时,对数据集进行更加透明的披露;2)《加州人工智能透明度法案》(California Artificial Intelligence Transparency Act,SB942),要求加贴标签并明确告知消费者内容系AI生成,并在无法使用标签时,为消费者提供AI检测工具来评估内容来源;3)三部与深度伪造和虚假信息治理相关立法,包括:AB2655—要求大型社交平台删除或标记选举相关的AI生成类内容,AB2839—禁止故意分发欺骗性AI生成式选举材料,以及AB2355—要求所有与选举相关的AI生成式广告,必须明确标注,防止误导性信息传播;4)两部影视行业立法,包括:AB2602—要求影视公司在生成演员AI克隆形象或声音前,须获得明确同意,AB1836—使用已故演员的AI克隆形象时,须得到遗产管理人的许可,防止未经授权的商业用途。
加州立法实践生动表明,场景或用例不是通过事前想象、规划出来的,其所伴随的风险也绝不是凭空发生的,而是基于长期的产业实践,以及产业+AI中实际暴露出的问题。加州是数字产业高地,也是数字治理高地,系美国首个州隐私立法诞生地。作为全球主要社交媒体总部所在地,加州始终因虚假信息、深度合成问题,处在平台责任之辩的第一线:在共和、民主两党有关管控保守主义与放任自由主义的指摘中,加州企业多次面临失去平台责任豁免的威胁。正因此,大选季给虚假信息、机器人生成信息加标注,早已是行业基本操作,也浸入到加州的政治基因中去,这是三部与深度伪造和虚假信息治理立法以及《加州人工智能透明度法案》得以诞生的土壤。同时,好莱坞工业的长期基础,让加州在AI知识产权保护方面更为急迫,两部影视行业立法得以迅速过关。反观1047法案,其列出的“严重伤害”场景,主要是AI+关基/网络以及AI+军控,可以映射到联邦行政令 “三纵”风险场景中的前两纵,但与加州立法的大方向几乎不相干。
1047法案映射了联邦行政令框架,援引了行政令中“排名靠前”的两大纵向风险场景,但其主攻的是对行政令“横向治理”的立法确认,意图在系统性、一揽子法案方面有所作为,这一立法进路选择,弊端明显:首先,如前文所言,选择横向治理,合法性天然不足,且横向治理更应是联邦事务、统一监管,且行政部门已在行动(商务部规则),立法必要性不强。其次, AI+关基/网络以及AI+军控两大场景,固然重要,但其性质、影响、解决方案,暂无确凿结论,美国土安全部、国防部等负责研究推进,专门立法的必要性、可行性均不强。和联邦一样,加州州长9月也颁布了一份行政令,要求对AI+基础设施的风险予以评估。概言之,行政令圈出的三大用例风险场景中,目前只有“AI+合成内容”的风险敞口最确定,治理的工具、抓手最明确,这同时也是加州的“地方特色”,1047法案却恰恰没有将此视作严重伤害,而彻底脱离了合成内容、虚假信息、版权这些加州产业所正面临的核心风险场景,因此难以借取地方“立法势能”。
告别大而全、形而上,坚持问题导向、实证主义,走向场景立法,才是正路。纵观过去一年美国会的相关动作以及加州立法资源的投入方向、不同立法效度,不难发现:横向的系统性、一揽子统一立法,或某种大而全的监管框架,的确更容易获取政治加分(典型如民主党参议院领袖舒默),但这类框架目前已经“供过于求”,要么容易因脱离场景而流于原则性,相关规定并无法映射到风险场景的最终解决方案上去——如信息通报义务最大的问题并不是合规成本,而是其根本无以解决关基/网络、CBRN等问题,要么因为标准制定一刀切而广受批评,如立法和行政令都试图以算力消耗、训练价格作为监管的门槛来给市场主体施加义务,而“对即使是最基本的功能,也使用最严格的标准,这不是保护公众受该技术带来的真正威胁的最佳方法”,且“仅关注最昂贵和大规模的模型,但较小的、专门化的模型可能会变得同样危险、甚至更危险”。
就美国的AI立法进展而言,笔者判断:未来2-3年,系统性、一揽子AI立法和监管框架将持续变少,即便有,也大概率停留在联邦层面,而其中某些细节点位是否有必要、是否能够转化为立法,将取决于技术的发展情况、风险敞口的实际大小以及有专业背景、具实际抓手的行政部门的工作进展。在州层面,类似三大风险场景以及更多富有地方特色、行业特色的小切口立法将会迎来机遇,将比系统性、一揽子立法更容易取得进展。
立法作为一种刚性治理工具,能够针对产业所面对的制度困境作出系统性的回应,从而解决技术演进迭代和制度稳定可预期之间的张力。但工具本身只是手段而非目的,产业期待的立法并非为立而立,在目前对AI整体风险的判断存在各界共同无知、场景风险的认定缺乏实证研究支撑的前提下,建议采用“软法优先+公共知识/产业实践+司法判例”的治理模式,构建鼓励创新的风险容错机制,同时协调现有制度约束和自主行业监督,通过各界协同共治来建立符合技术发展及应用特征的风险管控模式。
