计算机行业点评报告:拜登限制部分数据向中国跨境传输,中美欧人工智能法律法规对比
AI智能总结
拜登限制部分数据向中国跨境传输,中美欧人工智能法律法规对比 核心观点: 拜登政府限制个人数据向中国跨境传输,人工智能“主权”问题再受关注,发展数据侧发展势在必行。2024年2月28日,拜登政府依据《国际紧急经济权力法》(IEEPA)发布了一项保护美国人个人敏感数据免遭“受关注 国家”利用的行政命令,主要包括中国(包括港澳地区)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉等国家传输美国公民个人数据。被限制数据主要包括美国公民私人与敏感信息,主要有基因组数据、生物特征数据、个人健康数据、地 理位置数据、财务数据与某些类型的个人可识别信息。我们认为,拜登此举是 以往贸易限制的延续以及在人工智能三要素中数据领域的一种影射,跨境数据安全监管预期提升。 欧盟:全球第一部关于人工智能的综合法律《人工智能法案》即将落地。2024年1月21日,全球第一部关于人工智能的综合法律《人工智能法案》定稿公开,2月2日,欧盟27国代表投票一致支持该法案文本,法案还需要提交欧洲议会批准。如获批准,相关规则将分阶段实施。其主要亮点包括根据风险级别对人工智能系统进行分类,从最小风险到不可接受的风险,并根据人工智能系统属于哪个类别强制实施监管,特别强调人工智能的隐私和安全。此外, 《法案》还涉及到支持创新的相关举措。 美国:行政命令侧重安全与隐私保护,进一步限制数据跨境传输,鼓励技术发展创新是重点。拜登政府于2023年10月底发布了关于人工智能的行政 命令,侧重要求提高人工智能产业的透明度和制定新标准的指令。我们认为,该法案侧重于安全与隐私的高度保护,防止人工智能导致的不公平与歧视加剧,保障个体权利的同时提升政府在人工智能数据与技术方面的管控。相对于欧盟严管控的法律态度,美国更加鼓励创新与引导最新技术实践。主要体现了发展为先,监管跟上的态度。 中国:以引导技术发展为主,采取鼓励发展与监管并重的策略,各地方与各行业部门相继完善人工智能监管体系。随着AGI的发展,国内立法紧迫 性不断凸显。2023年6月,国务院宣布“人工智能法”列入立法议程。2023年7月13日,中国国家网信办会同六部委共同发布《生成式人工智能服务管理暂行办法》(以下简称《暂行办法》),并宣布该办法将于2023年8月15日正式施行。《暂行办法》在鼓励创新与技术发展上有所侧重,并将强监管严打 击的态度转变为兼顾发展与合规。我们总结认为,人工智能法律风险所涉六 大领域,包括:1、人工智能主权;2、数据及算法(包括“数据的隐私与保护”、“算法偏见与歧视”、“跨境数据流通”等);3、知识产权;4、劳动权益;5、伦理准则;6、竞争与垄断,各国法律预计主要围绕这六大领域展开。 投资建议:建议关注国产AI芯片龙头公司及数据安全相关企业,包括海光信息、寒武纪、启明星辰、深信服、三六零、天融信、绿盟科技、亚信安全、拓尔思、安恒信息、奇安信等公司。 风险提示:人工智能技术发展不及预期的风险;中美贸易战加剧的风险;市场竞争加剧的风险;供应链风险等。 计算机 推荐维持评级 分析师 吴砚靖 :(8610)66568589 :wuyanjing@chinastock.com.cn分析师登记编码:S0130519070001 李璐昕 :(021)20252650 :liluxin_yj@chinastock.com.cn分析师登记编码:S0130521040001 行业点评报告●计算机 2024年03月01日 www.chinastock.com.cn证券研究报告请务必阅读正文最后的中国银河证券股份有限公司免责声明 目录 一、人工智能主要的法律风险与防范领域3 二、欧盟:《人工智能法案》涵盖全面,通过分类分级的方式进行管控4 三、美国:行政命令侧重安全与隐私保护,进一步限制数据跨境传输6 四、中国:以引导技术发展为主,采取鼓励发展与监管并重的策略7 五、投资建议:9 六、风险提示10 引言:2023年对于人工智能政策来说,是具有里程碑意义的一年:欧盟商定了第一部全面的人工智能法案,美国参议院召开了听证会和并颁布了行政命令,以及中国针对推荐算法与生成式人工智能出台系列具体规则。2023年是立法者就愿景达成一致的一年,2024年将是政策开始转化为具体行动的一年。 近期,拜登政府依据《国际紧急经济权力法》(IEEPA)发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知 (ANPRM)FactSheet。此项举措表明美国政府决意切断某些数据向中国和其他几个同样被美国视为“受关注的国家”的跨境传输。我们认为,这一举措将在AI数据层面进行一定管制。本报告旨在研究与梳理中美欧目前核心人工智能相关法律法规,以更好地跟踪行业发展动向。 一、人工智能主要的法律风险与防范领域 综合人工智能产业链与各国的法律法规重点关注事项来看,人工智能主要存在以下风险与防范点:1、人工智能主权;2、数据及算法(“数据的隐私与保护”、“算法偏见与歧视”、“跨境数据流通”);3、知识产权;4、劳动权益;5、伦理准则;6、竞争与垄断。 图1:人工智能法律风险所涉六大领域 资料来源:中国银河证券研究院 图2:人工智能主要的法律风险与相关案例 风险例子 主权人工智能是一个国家对本国数据所产生的信息的所 1.人工智能主权 2.数据及算法(“数据的隐私与保护”、“算法偏见与歧视”、“跨境数据流通”) 有权,它包括了一个国家的语言、历史、文化、经济、知识、常识等IP内容。此外,人工智能主权应该保障算力、算法、数据以及内容相关的安全、自主、可控。人工智能主权涉及到国家安全层面风险,。 大量个人数据被用于训练AI模型,以提高其准确性和效能。这些数据包括但不限于个人身份信息、位置数据、消费习惯、甚至是生物识别信息。如果这些敏感数据被不当处理,可能会导致严重的隐私泄露,进而损害个人权益,甚至威胁到社会的公共安全。算法偏见和歧视问题是指人 《数据安全管理办法》明确数据处理者在国内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储。 AI招聘工具根据其以往的训练数据,可能存在歧视女性或其他弱势群体的可能性;滴滴出行数据涉及个人身份与位置等数据,被隐私和网络安全法律调查 3.知识产权 4.劳动权益 5.伦理准则 工智能(AI)系统在决策过程中展现出的不公平、偏向某一群体或对特定群体产生负面影响的行为。这种问题往往源于训练AI系统所用的数据集中存在的偏见,因为AI系统的决策和行为反映了其训练数据的特性。算法偏见不仅违背了社会公平和正义的原则,还可能导致对某些群体的系统性歧视,引发法律和道德上的重大问题。 生成式AI被用来进行各种文字、图片与音频创作,AI生成作品的版权归属和保护范围、以及AI作为发明者的专利申请资格等问题需要进行重点界定。 传统的工作可能会被AI取代,导致部分劳动者失去工作,可能引发新型的社会冲突。例如工作时长、工作强度、薪酬待遇等方面的改变,容易引发劳资矛盾和法律纠纷。人工智能伦理尚未又清晰的准则,如何确保AI技术的发展和应用符合道德、社会和法律的要求,避免AI技术可能引发的负面影响和伦理风险是关键所在。 使用文心一言生成AI图片后在网络上盈利,目前版权没有明确的界定 某知名电商企业引入机器人取代一部分物流人员,导致部分员工失业,并引发了劳资纠纷。 人脸识别技术在中国社会信用体系中引发了公众对隐私保护和个人权益的担忧 6.竞争与垄断 企业可能利用AI技术来扩大市场优势,甚至实施垄断行为,存在非法竞争风险。 中国市场监管总局对腾讯、阿里等互联网平台展开反垄断调查 资料来源:锦天城律所,中国银河证券研究院 二、欧盟:《人工智能法案》涵盖全面,通过分类分级的方式进行管 控 针对人工智能,欧盟采取较为全面和预防性的策略,主要体现在2023年6月通过的《欧盟人工智能法案》,是全球第一部关于人工智能的综合法律,并于2024年1月21日定稿公开。 图3:《欧盟人工智能法案》发展时间线 资料来源:欧盟议会与委员会,中国银河证券研究院 该立法重点关注五个主要优先事项:人工智能的使用应该安全、透明、可追溯、非歧视和环境友好。该立法还要求人工智能系统由人而非自动化监督,对人工智能的构成建立技术中立的统一定义,并将适用于已经开发的系统以及未来的人工智能系统。欧盟人工智能法案要求位于欧盟的人工智能系统提供商遵守该法规。此外,如果其人工智能系统的结果在欧盟境内使用,位于欧盟以外的提供商和 用户也有义务遵守这些准则。尽管如此,将人工智能用于军事目的的组织和欧盟以外国家的公共机构不受此规定的约束。其主要亮点包括根据风险级别对人工智能系统进行分类,从最小风险到不可接受的风险,并根据人工智能系统属于哪个类别强制实施监管,特别强调人工智能的隐私和安全。 其中,明确禁止的人工智能实践主要有三种: 第一类禁止的人工智能是指运用超出个人意识的潜意识技术和有目的的操纵或欺骗技术,上述技术明显损害个人或群体做出知情决定的能力,扭曲其行为,导致做出意料之外的决定,从而对其产生重大伤害的系统。 第二类禁止的人工智能是指利用特定个人或群体的弱点,扭曲其行为,或可能以对其造成重大伤害为目的或效果的系统。 第三类禁止的人工智能是指利用自然人及其群体的社会行为或已知及潜在的个性特征,在一定时期内对其进行评估或分类的人工智能系统。 图4:《欧盟人工智能法案》的监管分级 资料来源:欧盟议会与委员会,中国银河证券研究院 该法案对高风险人工智能系统从设计、实施和上市后进入阶段提出了一系列要求。包括:风险管理制度(第九条);数据和数据治理(第10条);技术文件(第11条和附件IV);记录保存(第12条);透明度和向用户提供信息(第13条);人工监督(第14条);准确性、稳健性和网络安全(第 15条);质量管理体系(第十七条);基本权利影响评估。虽然有限风险系统不会面临相同的合规审查,包括合格评定和产品安全审查,但它们也将在这些类别下进行评估。 欧盟人工智能法案的处罚: 对违反人工智能法案的罚款按照违规公司上一财年全球年营业额的百分比或预定金额确定,以较高者为准。违反被禁止的人工智能应用程序的罚款为3500万欧元或7%,违反人工智能法案义务的罚款为1500万欧元或3%,提供不正确信息的罚款为750万欧元或1.5%。 我们认为,欧盟人工智能法案覆盖较为全面,是一部综合性的值得全球参考的法案,通过分类分级的方法提供了管控的具体执行办法,其侧重于数据治理、隐私与安全的严管控,相较于发展为先,强调严格的限制举措与态度。 三、美国:行政命令侧重安全与隐私保护,进一步限制数据跨境传输 2023年,人工智能真正进入了美国的政治对话,不仅仅是辩论,此外还采取了系列行动,最终导致拜登政府于10月底发布了关于人工智能的行政命令,侧重要求提高人工智能产业的透明度和制定新标准的指令。行政命令是法规,不是立法,在到期或被撤销之前一直有效。该行政命令主要从以下方面对人工智能发展做出规范限制: 图5:美国人工智能行政命令的主要规范限制 1人工智能安全新标准 保护美国公民的隐私,尤其是数据隐 该行政命令要求最强大的人工智能系统的开发人员与美国政府分享其安全测试结果和其他关键信息。目的是这些措施将确保人工智能系统在公开之前是安全、可靠和值得信赖的。美国国家标准技术研究院将制定严格的测试标准以确保安全,并由政府部门实施。政府部门还将制定防止人工智能欺诈的指南,并制定开发人工智能工具以协助网络安全的计划。 拜登政府利用行政命令呼吁国会通过数据保护立法,以保护所有美国人,特别是儿童的隐私 2 私权利。它还指示联邦政府将优先支持加速数据隐私的发展。 该行政命令发布指示,通过制定指导、培训和最佳实践,防止人工智能被用来加剧司法、医 3促进公平和公民权利 4保障消费者、患者和学生权益 疗保健和住房领域的歧视、偏见和其他滥用行为。 通过部署适当的
