点击蓝字 关注我们
摘要
2022 年 9 月 28 日,欧盟委员会发布了以下两项提案("提案"):
欧洲议会和委员会关于缺陷产品责任指令提案( Proposal for a directive of the European Parliament and of the Council on liability for defective products,以下简称"PLD 提案")、
欧洲议会和委员会关于根据人工智能调整非合同民事责任规则的指令提案(Proposal for a Directive of the European Parliament and of the Council on adapting noncontractual civil liability rules to artificial intelligence,以下简称"AILD 提案")。
这两项提案的共同目标是使责任规则适应数字时代,以确保受害者在受到人工智能(AI)产品或服务的伤害时,能像在任何其他情况下受到伤害时一样,享受相同标准的保护。这两项提案是支持在欧洲部署人工智能的一揽子措施的一部分,其中还包括一项规定人工智能系统横向规则的立法提案(拟议的《人工智能法》)。EDPS 完全支持这两项提案的目标,即确保人工智能所造成损害的受害者享有与人工智能系统未介入情况下所造成损害的索赔者同等水平的保护。在这方面,人工智能系统的具体特点,如不透明性、自主性、复杂性、持续适应性和缺乏可预测性,会对因使用此类系统造成的损害而寻求补救的个人造成重大障碍。
EDPS 提出了一些具体建议:首先,他呼吁共同立法者确保因欧盟机构、团体和机关开发和/或使用的人工智能系统而遭受损害的个人,与因私营主体或国家当局制作和/或使用的人工智能系统而遭受损害的个人享有同等程度的保护。其次,AILD提案第3条和第4条规定的程序保障措施应适用于人工智能系统造成损害的所有案件,无论其被归类为高风险或非高风险。此外,应明确要求提供者和用户根据 AILD提案第 3 条以易懂和一般理解的形式披露信息。EDPS 还建议,AILD 提案应明确确认其不妨碍GDPR,从而不会以任何方式限制个人的潜在补救途径。
最后,EDPS 请共同立法者考虑进一步减轻举证责任的额外措施是否是一种更公平和更平衡的方法,以应对人工智能系统对欧盟和各国责任规则的有效性提出的挑战。同样,建议在 AILD提案和 PLD提案中规定的审查期应当缩短。 
背景:两项指令的总结
为了便于大家阅读该意见,译者将这两项指令的主要内容做了总结,作为背景参考材料:
(一)PLD提案《产品责任指令》
核心条款:
- PLD不影响GDPR的适用范围。
- 产品的定义包括数字制造文件(digital manufacturing files)、软件。数字制造文件是指可移动部件的数字版本。
- 损害的定义是由于如下原因所造成的物质损害:
1. 死亡或人身伤害,包括医学上公认的心理健康伤害;
2. 损害或破坏任何财产,但以下情况除外:
(1)缺陷产品本身;
(2)因产品部件缺陷而受损的产品;
(3)专门用于专业目的的财产;
3. 非专门用于专业目的的数据丢失或损坏;

- 通过上述条款的明确,将人工智能纳入到缺陷产品的无过错责任范围内。
具体条款:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52022PC0495 
(二)AILD提案《人工智能责任指令》
核心条款:
- 该指令规定了以下方面的共同规则:

(1)披露高风险人工智能(AI)系统的证据,使索赔人能够证实非基于合同过失的民法损害索赔;

(2)在就人工智能系统造成的损害向国家法院提出非合同过错民法索赔时的举证责任。

- 证据披露规则:成员国应确保国家法院有权根据潜在索赔人的要求(该潜在索赔人曾要求提供者、根据[《人工智能法》第 24 条或第 28(1)条] 承担提供者义务的人或用户披露其掌握的关于可能造成损害的特定高风险人工智能系统的相关证据,但遭到拒绝或索赔人的要求,则命令上述主体披露此类证据。若未能披露,则推定被告未履行相关注意义务。被告有权反驳这一推定。
- 过错原则下可反驳的因果关系推定:
在不违反本条规定的前提下,国内法院在对损害赔偿要求适用责任规则时,应推定被告的过错与人工智能系统产生的输出或人工智能系统未能产生输出之间存在因果关系,只要满足以下所有条件:
(1)原告已证明或法院已根据第 3 条第(5)款推定被告或被告应对其行为负责的人有过错,即不遵守联盟或国家法律规定的直接旨在保护所发生的损害的注意义务;
(2)根据案件的具体情况,可以合理地认为故障有可能影响了人工智能系统产生的输出或人工智能系统未能产生输出;
(3)索赔人已证明人工智能系统产生的输出或人工智能系统未能产生输出导致了损害。
-对于《人工智能法》规定的高风险人工智能以及第24或28条的人工智能,则证明其未履行相关义务的,即满足上述(1)推定条件。
-在对不属于高风险人工智能系统的人工智能系统提出损害赔偿要求的情况下,推定只适用于国家法院认为索赔人过分难以证明第1款所述因果关系的情况。
- 被告有权推翻上述推定。 

具体条款请见:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0496
导言
1. 2022 年 9 月 28 日,欧盟委员会发布了以下提案("提案"):
- 欧洲议会和委员会关于缺陷产品责任指令提案( Proposal for a directive of the European Parliament and of the Council on liability for defective products,以下简称"PLD 提案")、
- 欧洲议会和委员会关于根据人工智能调整非合同民事责任规则的指令提案(Proposal for a Directive of the European Parliament and of the Council on adapting noncontractual civil liability rules to artificial intelligence,以下简称"AILD 提案")。
2. 提案的一个共同目标是使责任规则适应数字时代,以确保受害者在受到人工智能(AI)产品或服务的伤害时,与在任何其他情况下受到伤害时享受相同的保护标准。为此,建议旨在“形成一个整体有效的民事责任体系 ”。
3. 这两份提案密切相关,相辅相成。PLD 提案涉及制造商对有缺陷产品的无过错责任,它将更新现行的法律框架,将软件和数字制造文件(digital manufacturing files)纳入产品的定义范围,并澄清何时应将相关服务视为产品的组成部分。该提案允许对因死亡、人身伤害、财产损失以及数据丢失或损坏造成的物质损失进行赔偿。AILD提案涉及在某些人工智能系统参与造成损害的情况下,根据过错责任制度提出的责任索赔。该提案就某些人工智能系统造成的损害制定了获取信息和减轻举证责任的统一规则。
4. 该提案是支持在欧洲部署人工智能的一揽子措施的一部分,其中还包括制定人工智能系统横向规则的立法提案(拟议的《人工智能法》)以及对部门和横向产品安全规则的修订。这些措施符合《人工智能白皮书》的目标,欧盟委员会在该白皮书中承诺促进人工智能的应用,并解决与人工智能某些用途相关的风险。
5. 本意见是根据《欧盟保护人权与基本自由公约》第 57(1)(g)条自行提出的意见。本意见应与 EDPB-EDPS 关于拟议的《人工智能法》的联合意见一并阅读。
总体性评价
6. EDPS 对委员会的倡议表示欢迎,该倡议旨在确保人工智能造成的损害的受 害者享有与人工智能系统未介入情况下所造成损害的索赔者同等水平的保护。在这方面,EDPS 支持委员会的结论,即人工智能系统的具体特点 "可能会使受害者难以确定责任人并举证证明构成赔偿,或者实际所花费的成本过高 "。
7. 欧盟委员会已明确指出,有必要就人工智能系统的使用制定具体的责任规则,特别是在其与AILD提案一同提出的影响评估报告中。EDPS 同意,由于人工智能系统的特点,如不透明性、自主性、复杂性、持续适应性和缺乏可预测性,目前的责任规则,特别是基于过错的责任规则,可能不适合处理人工智能产品和服务所造成损害的责任索赔,因此必须进行现代化。
8. 在关于制定人工智能统一规则的法规提案(人工智能法)的联合意见中,EDPS 和 EDPB 敦促立法者明确解决受人工智能系统影响的个人的权利和救济问题。本意见书的主要目的之一是评估这两份提案在多大程度上满足了确保受到人工智能系统伤害的个人能够在实践中获得救济的需求。
9. 此外,EDPS 认为,需要仔细分析这两项提案的范围及其与欧盟个人数据保护法和拟议的人工智能法之间的关系,以确保建立一个全面、一致的法律框架,保证个人在人工智能系统的特定背景下获得有效的补救。
10. EDPS 赞同委员会的观点,即安全和责任是一个问题的两个方面,两者相辅相成,虽然 确保安全和保护基本权利的规则会减少风险,但并不能完全消除这些风险。因此,EDPS 强调,关于责任的规则不能被理解为可以降低用以减少人工智能所带来的风险的保障措施。更重要的是,实施新的责任规则不应被视为禁止EDPS和EDPB 在其关于制定人工智能(AI Act)统一规则的条例提案的联合意见中所识别的可能带来不可接受的风险的人工智能的替代方案(例如,用于 "社交评分 "的人工智能系统、在公共场所进行远程生物识别、根据生物识别技术对个人进行分类的人工智能系统、推断情感的人工智能系统等......)。
欧盟机关、团体和机构的责任
11. 拟议的《人工智能法》将适用于作为人工智能系统提供者或使用者的欧盟机构、办事处、团体和机关(EUIs)。在其关于《人工智能法》提案的联合意见中,欧洲数据处理局和欧洲电子政务署大力支持该提案的范围涵盖欧盟机构提供和使用人工智能系统,强调 "由于[欧盟机构]使用人工智能系统也可能对个人的基本权利产生重大影响,与欧盟成员国内部的使用情况类似,因此新的人工智能监管框架必须同时适用于欧盟成员国和欧盟机构、办事处、机关和机构,以确保整个欧盟采用一致的方法 "。
12. EDPS 指出,无论是 "AILD提案 "还是 "PLD 提案",似乎都不适用于欧盟机构、团体和部门生产和/或使用的人工智能系统造成的损害。
13. 在这方面,EDPS 回顾道,欧盟机构或其公务员在履行职责时造成损害的非合同责任规则载于欧盟 法院解释的《欧盟运作条约》第 340(2)条。同时,建议书所选择的法律文书,即根据《欧盟运作条约》第 288 条发出的指令,意味着所设想的规则,包括 AILD提案第 3 和第 4 条规定的程序保障,是针对欧盟成员国的,对欧盟机构的非合同责 任没有直接的法律影响。
14. 考虑到适用于成员国和欧盟机构的非合同责任法律框架不同,EDPS 呼吁共同立法者和委员会考虑采取必要措施解决这种情况,从而确保因欧盟机构、团体和机关生产和/或使用的人工智能系统而遭受损害的个人不会处于较不利的地位,并与因私人行为者或国家当局生产和/或使用的人工智能系统而遭受损害的个人享有相同的保护标准。
两项指令提案与GDPR之间的关系
15. EDPS 认为,必须确保提案不应影响欧盟GDPR的适用性。因此,他对 PLD 提案第 2(3)(a)条明确指出这一点表示认可。
16. 同时,在不应受到 AILD提案影响的规则中没有提到欧盟的个人数据保护规则,这可能会给该建议与欧盟现行数据保护法之间的关系 带来法律上的不确定性。因此,EDPS 建议在 AILD提案中也明确说明这一点。
17. 此外,EDPS 还注意到,PLD 提案所附的解释性备忘录明确指出,第 2016/679号条例("GDPR")涉及数据处理者和控制者对违反 GDPR 的个人数据处理所造成的物质和非物质损失的责任,"而 PLD 提案仅对因死亡、人身 伤害、财产损失和数据丢失或损坏造成的物质损失提供赔偿 "。
18. 事实上,PLD 提案第 4 条在 "损害 "的定义中包括了 "非专门用于专业目的的数据的丢失或损坏",并参照(EU)2022/86820 号条例(《数据治理法》)第 2(1)条对 "数据 "进行了定义。然而,EDPS 指出,有关数据很可能也包括个人数据。鉴于PLD提案的损害赔偿定义,仅限于因数据丢失或损害而可能导致的实质损害赔偿,PLD提案的责任机制与违反GDPR的处理活动的人工智能系统而受到损害的个人有关的可能性很少。同时,人工智能产品对个人造成的损害也是 GDPR 第 75 条所述的有形损害或物质损害,这并不是不可想象的,这将导致现行欧盟数据保护框架中的责任制度被同时适用 。如果数据集由个人数据和非个人数据组成,而这两类数据又密不可分地联系在一起,EDPS 认为,与欧盟委员会发布的指导一致,GDPR 适用于整个数据集。鉴于第 2(3)(a)条,EDPS认为,在这个情况下,受到损失的自然人可选择根据修订后的PLD或根据GDPR,或根据LED指令的有关规定提出索赔,或者同时根据二者提出索赔。EDPS 坚信,同样的原则也应适用于 AILD提案。
19. 因此,EDPS 建议,至少应在 AILD提案中明确提及不受该提案影响的欧盟个人数据保护规则,以便不以任何方式限制个人的潜在补救途径。
20. EDPS 还回顾,本着明确的目的,应特别考虑到各方的作用和责任的一致性,包括人工智能系统的提供者、制造者、进口者、分发者或用户--与数据保护框架中的数据控制者和数据处理者的概念并不一致。
对AILD提案的具体意见
5.1. 与拟议的人工智能法的关系
21. 作为初步事项,EDPS 支持欧盟委员会的意图,即确保 AILD 提案与欧盟人工智能主要监管框架--拟议的《人工智能法》--之间的一致性,特别是 AILD 中 "人工智能系统"、"高 风险人工智能系统"、"提供者"和 "用户"的定义,这些定义直接参考了《人工智能法》 提案中的定义。
22. 虽然《人工智能法》提案和AILD 提案是同一套立法的一部分,但EDPS指出,它们的目的是不同的:前者旨在制定关于人工智能的横向规则,后者旨在解决 与人工智能系统有关的责任问题。在此背景下,EDPS 担心,AILD提案规定的具体规则将主要适用于拟议的《人工智能法》中规定的 "高风险人工智能系统"。然而,在实践中,未被列为高风险的人工智能系统所造成的实际伤害可能仍然相当严重。例如,人工智能系统可能会被用于决定自然人是否有资格购买房屋保险或责任保险。此外,未被标记为高风险的人工智能系统所造成损害的受害者在获取证据以证实其责任索赔方面可能面临类似的困难。
23. 根据 AILD提案,第 3 条规定的披露证据的新机制将仅限于高风险人工智能系统。同时,获取可能造成损害的具体人工智能系统的信息可能是证实受影响个人索赔的一个重 要甚至是关键因素。
24. 同样,AILD提案第 4 条规定了可反驳的推定,即提供者或使用者的过失与人工智能系统产生的输出或人工智能系统未能产生输出之间存在因果关系,该推定将主要适用于高风险的人工智能系统。该推定也应适用于非高风险的人工智能系统,但只适用于国家法院认为原告 "过分难以"证明因果关系的情况,这错误地表明这种情况仍将是例外。
5.2. 未被列为 "高风险 "的人工智能系统
25. EDPS 认为,未被归类为 "高风险 "的人工智能系统仍有可能对个人造成重大伤害,即使这些系统被认为不会对整个社会构成同等程度的风险。此外,非高风险的人工智能系统同样复杂和不透明(黑箱),因此受害者在获取必要证据以确定潜在过失方面可能存在严重的困难。
26. EDPS 回顾道,AILD提案的明确目的是 "确保因人工智能系统对其造成的损害而要求赔偿的人享有的 保护水平与因没有人工智能系统参与造成的损害而要求赔偿的人享有的保护水平相当 "。考虑到创造这种公平竞争环境的目标,有更充分的理由不根据有关人工智能系 统的高风险或非高风险分类来区分受人工智能系统影响的个人。
27. 出于这些原因,EDPS 建议,AILD提案第 3 条规定的证据披露机制和第 4 条规定的过失情况下可反驳的因果关系推定都应与《人工智能法》对 "高风险 "系统的定义脱钩,并应适用于所有人工智能系统。
5.3. 可解释性
28. EDPS 注意到,根据 AILD提案第 3 条披露的信息实际上是高风险人工智能系统提供商有 义务根据人工智能法提案29 第 18 条和附件四起草的技术文件,以及根据其第 12 条自动记录的事件("日志")。在这种情况下,EDPS 担心,人工智能系统的复杂性和不透明性可能会对其文件产生影响,使 其技术性很强,因此只有少数专家能够理解。EDPB-EDPS 关于拟议的人工智能法的联合意见以及正在进行的所谓可解释人工智能(XAI) 的工作已经强调了这一事实。
29. EDPS回顾道,《人工智能法提案》为解决这一问题,在第 13(2)条中规定高 风险人工智能系统的提供者有义务随附使用说明,其中包括 "简明、完整、正确和清晰的信 息,这些信息与用户相关,便于用户使用和理解"。因此,为了使根据 AILD提案第 3 条披露的信息具有有效的证据价值,EDPS 建议在 AILD 中引入类似的要求,即披露的信息不仅限于披露技术文件,还必须辅以清晰易懂的解释。
5.4. 规避风险和潜在的保护漏洞
30. EDPS 还提请注意 AILD提案序言的第 15 段,根据该段,"如果损害是由人类行为或不行为之后的人类评估造成的,而人工智能系统只提供了相关人类行为者所考虑的信息或建议,则[AILD]没有必要涵盖索赔。在后一种情况下,有可能将损害追溯到人的作为或不作为,因为人工智能系统的输出并没有介于人的作为或不作为与损害之间,因此,确定因果关系并不比不涉及人工智能系统的情况更困难"。
31. EDPS 指出,对拟议的 AILD 范围的这一澄清仅在不具约束力的序言中提供,在指令的执行部分中没有相应的法律规定。尽管如此,仍对其可能造成的潜在法律不确定性以及人工智能提供者或使用者规避新的人工智能责任规则的风险表示担忧,例如,人工智能提供者或使用者在人工智能评估结果上盖 "橡皮图章",而不为受影响的个人提供任何有意义的保障("自动化偏见")。在这种情况下,原告将不得不遵循标准责任规则,而不可能利用 "AILD提案 "第 3 条和第 4 条中预见的程序保障来减轻举证责任。
32. 因此,为了法律上的确定性,EDPS建议删除 AILD提案序言 15 的最后两句。
5.5. 举证责任
33. EDPS注意到,尽管引入了具体的程序保障,例如证据披露和可推翻的因果关系推定,以及减轻受害人的举证责任,但拟议的人工智能法的责任制度仍然是以过错责任为基础的责任机制,即受害者仍然需要证明人工智能系统提供者、运营者或使用者有过错。在人工智能系统的背景下,满足这样的要求可能特别困难,因为在人工智能系统中,操纵、歧视和任意决定的风险肯定会发生,即使提供商、运营商和用户表面上遵守了拟议《人工智能法》规定的审慎义务。
34. 委员会在其影响评估报告中承认,"人工智能系统的具体特点可能会使受害人的举证责任过于困难,甚至无法履行 "。为了克服这些与举证有关的困难,委员会提出了不同的方法,其中包括举证责任倒置。在这种情况下,将由人工智能系统的提供者或使用者来证明一个或所有承担责任的条件没有得到满足。正如委员会所提到的,欧洲议会为过错责任提出了这样一个解决方案:人工智能系统的运营商将默认对该系统造成的伤害或损害承担责任,除非他们能够证明伤害或损害是在其没有过错的情况下造成的。
35. 委员会还承认,消费者利益代表强调了举证责任对所有人工智能产品的极端重要性,强调消费者几乎不可能证明过错,更难证明因果关系。根据这些消费者组织的观点,消费者只需证明损害的存在,其他所有适用责任的条件的举证责任倒置的 理由是 "消费者与专业人士之间普遍存在的信息不对称 " 。然而,委员会并没有在不同的政策选择中保留普遍颠倒举证责任的做法,因为一些技术和软件行业的代表批评这一规则不合理.
5.6. 审查
37. EDPS 并没有低估在人工智能这样一个不断发展的领域制定新的责任规则的难度。在这方面,EDPS 积极地注意到,对 AILD 的审查将特别研究 "针对某些人工智能系统运营者的索赔的无过失责任规则的适当性 "38。不过,根据AILD提案第 5(2)条的规定,预计将在相对较长的 5 年后进行审查。
38. 有鉴于此,EDPS 建议缩短审查期限,以便及时了解因人工智能系统而遭受损害的自然人在多大程度上能够有效获得赔偿。
结论
39. 鉴于上述情况,EDPS提出以下建议:
(1) 确保因欧盟各机构、团体和部门生产和/或使用的人工智能系统而遭受损害的个人不会处于较不利的地位,并能享有提案中规定的同等保护水平;
(2) 明确确认AILD提案不妨碍欧盟数据保护法;
(3) 将AILD提案第 3 和第 4 条规定的程序保障,即证据披露和因果关系推定,扩 展到人工智能系统造成损害的所有案件,无论其属于高风险还是非高风险;
(4) 确保根据AILD提案第 3 条披露的信息附有以易懂和普遍可理解的形式提供的解释;
(5) 删除 AILD提案序言部分第 15 段的最后两句;
(6) 考虑采取更多措施,进一步减轻人工智能系统受害者的举证责任,以确保欧盟和各国责任规则的有效性;
(7) 缩短 AILD提案第 5(2)条规定的审查期限。
图片来自网络,侵权联系删除
继续阅读
阅读原文
关键词
意见
规则
法律
框架
风险