日本制定《AI企业指引》 引导企业规避AI全生命周期风险

最近，由于对侵犯人权和扩散虚假消息等恶意使用的担忧加剧，各国加强人工智能（以下称“AI”）监管的动向愈加明显，日本也不例外，正在着手探讨以大型AI研发商等为对象的法律监管。2024年7月19日，日本召开第10次AI战略会议，为贯彻“统合创新战略2024”（日本内阁会议于2024年6月4日制定）中的AI相关内容，决定设立“AI制度研究会”，推进AI相关立法工作。由于日本AI立法草案尚未公布，目前我们可以从日本政府于2024年4月制定的《AI企业指引（1.0版）》（以下称《指引》）窥见一斑。《指引》是日本AI企业自主规范的综合性指引，虽然在法律上没有约束力，但未来日本AI立法将以此为基础，探索更加严格有效的风险规避措施。

一、《指引》的制定目的、对象及框架

为了应对AI技术的急速变化，日本经济产业省和总务省在AI专家的建议下，分别召开由东京大学未来愿景研究中心教授渡部俊也主持的“AI企业指引研讨会”以及由中央大学国际信息学部教授须藤修主持的“AI网络社会推进会议”，在与专家进行反复讨论后，对现有三大AI指引（包括《人工智能研发指引》（2017年，总务省）、《人工智能利用指引》（2019年，总务省）、《人工智能原则实践治理指引（1.1版）》（2022年，经济产业省））进行整合和更新，于2024年4月19日制定《AI企业指引（1.0版）》（以下称《指引》），并计划持续进行更新。

《指引》基于“以人为中心的AI社会原则”（由日本统合创新战略推进会议制定于2019年3月，提出要尊重“人的尊严”“多元和包容”“可持续性”三大价值），旨在建立AI治理的统一规则，与利益相关者各方协作，共创一个既能促进AI创新又能规避AI全生命周期风险的框架。基本出发点一是支持企业自主举措，二是与国际规则衔接，三是便于理解。此外，作为动态文本，重视与利益相关者各方进行讨论，讲求实用性和合法性。

《指引》适用于从事一般AI业务活动的主体，基于在AI全生命周期中承担的作用，分“AI研发商”（数据预处理和学习、研发）、“AI提供商”（系统应用、提供）、“AI商业用户”三大类，暂不包括“数据提供商”及“非商业用户”。正文分五部分，第一部分是用语解释，第二部分是AI社会构建目标及各主体努力事项，包括基本理念、原则、通用准则、先进AI系统（最先进的基础模型及生成式AI系统）通用准则及治理体系构建，其余三部分为分别针对研发商、提供商、商业用户的规定。附件除了正文各部分的附属资料外，还包括指引参考注意事项、清单、跨主体假设案例、国外指引参照等。

二、《指引》的通用准则

《指引》提出，各主体应以人为中心，尊重法治、人权、民主、多元及公平公正的社会；遵守宪法及知识产权、个人信息保护等各领域相关法令，并留意国际准则的制定情况；构建AI治理体系，并根据AI导致的风险等级及各主体资源限制情况实施治理。AI各主体的通用准则分为各主体努力事项和有待与社会共同努力的事项两大部分。

其中，各主体努力事项包括以下7项——①以人为中心：采取行动让AI扩展人的能力，实现人的多元幸福；充分意识到AI生成的虚假信息、错误信息和偏见信息将会大大增加社会不稳定和混乱的风险，在此基础上采取必要措施；注重让社会弱势群体使用AI变得容易，让更多人享受到AI的惠泽。②安全性：正确实施风险分析并采取风险对策；在主体控制范围内避免因提供或使用偏离原本使用目的而发生危害；根据AI系统服务的特点及用途，追求学习数据的准确性，并在合理范围内做好支持数据透明性、遵守法律框架、更新AI模型等。③公平性：努力消除基于种族、性别、国籍、年龄、政治理念、宗教等多元背景理由针对特定个人及群体的不当有害偏见和歧视；为确保AI输出结果的公平性，不能一味仅凭AI的独自判断，在使用时要探讨人类判断的适当干预，在研发、提供、使用AI时留意无意识和潜在的偏见。④隐私保护：遵守个人信息保护法等相关法令，制定并公布各主体隐私政策，根据社会背景和人们合理期望，确保利益相关者隐私得到尊重和保护。⑤信息安全保障：基于当前技术水平采取合理对策，维持AI系统服务的机密性、完整性和可用性，始终确保AI的安全使用；针对AI系统服务的外部攻击手法日新月异，因此要确认应对这些风险的注意事项。⑥透明性：根据使用AI时的社会背景，确保AI系统服务的可验证性，并在必要且技术上可行的范围内向利益相关者提供合理和正确的信息（正在使用AI的事实及范围，数据收集及标注方法，AI系统服务的能力、界限、目标客户的正确及不当使用方法等）。⑦问责制：向利益相关者提供和解释关于确保可追溯性和遵守通用准则的信息；制定并发布各主体的AI治理相关政策、隐私政策等方针；相关信息应存档并存储一定时间，在需要时能以可用形式进行参照。

其中，有待与社会共同努力的事项包括以下3项——⑧教育和素养：采取必要措施，确保AI相关者在互动中具有充分水平的AI素养；考虑到AI的复杂性、错误信息特性及故意滥用的可能性，对利益相关者进行教育。⑨公平竞争保障：努力维护AI公平竞争环境，开创利用AI的新商业服务，保持经济可持续增长，并提出社会问题的解决方案。⑩创新：推动国际化、多元化、产学官合作及开放创新；确保本公司AI系统服务与其他AI系统服务之间的互连性和互用性；遵守标准化规格（如有）。

此外，《指引》还针对先进AI系统相关企业制定了12条通用准则，其中第一条至第十一条部分内容仅适用于先进AI系统研发商，因此要求各主体在适当范围内遵守：（一）在先进AI系统研发全程（包括应用及投放市场前）采取恰当措施识别、评估和减轻AI全生命周期风险；（二）应用及投放市场后，识别和填补漏洞，并根据需要识别和应对恶意利用事件和模式；（三）通过公布先进AI系统的能力、界限、正确及不当使用领域，支持充分保障透明性，促进完善问责制；（四）推动先进AI系统研发组织（包括行业、政府、民间社会和学术界）间负责任地共享信息，相互报告恶意利用事件；（五）尤其是针对先进AI系统研发商，基于风险为本理念，制定、实施和公布AI治理及风险管理方针，包括个人信息保护方针与缓和措施；（六）在AI全生命周期投资并实施强有力的安全性管理，包括物理安全、网络安全和针对内部威胁的安全对策；（七）技术可行的情况下，研发和应用可信赖的内容认证和来源机制，例如数字水印及其他技术，让AI商业用户及非商业用户等能够识别AI生成的内容；（八）优先实施减轻社会及安全风险的研究，并优先投资有效的风险缓解措施；（九）优先研发解决全球重大问题的先进AI系统，尤其是但不限于气候危机、全球健康、教育等；（十）推进全球性技术标准的开发，适时推进采用该标准；（十一）实施恰当的数据输入措施，保护个人数据及知识产权；（十二）为推动可信赖且负责任地使用先进AI系统做出贡献。

三、《指引》提出建立AI研发商、提供商、商业用户治理体系

《指引》指出，为了安全可信赖地使用AI，应重视在管理层领导下建立切实的AI治理体系来管控风险，同时要留意以下几点：一是AI研发及应用涉及多个主体，要从价值链/风险链的观点确保主体间的合作；二是在跨国的情况下，为确保数据跨境自由流通，要研究探讨相应的AI治理；三是要通过管理层的不懈努力，将AI治理体系纳入各组织的战略及体制，渗透进企业文化。其中，AI研发商应根据其能直接设计和修改AI模型的特点，注重尽可能提前考虑提供和使用AI时会产生什么影响，并采取应对措施；AI提供商应注重实现提供承载AI正确运行及使用的系统服务；AI商业用户应注重在提供商预期范围内保持正确使用，根据需要将AI系统用于业务，并不断学习更加有效使用AI的必要技能。

参考资料：

1. ＡＩ戦略会議（第８回） - 総合科学技術・イノベーション会議 - 内閣府. [EB/OL]. [2024-7-25]. https://www8.cao.go.jp/cstp/ai/ai_senryaku/8kai/8kai.html

2. ＡＩ戦略会議（第９回） - 総合科学技術・イノベーション会議 - 内閣府. [EB/OL]. [2024-7-25]. https://www8.cao.go.jp/cstp/ai/ai_senryaku/9kai/9kai.html

3. ＡＩ戦略会議（第１０回） - 総合科学技術・イノベーション会議 - 内閣府. [EB/OL]. [2024-7-25]. https://www8.cao.go.jp/cstp/ai/ai_senryaku/10kai/10kai.html

4. 統合イノベーション戦略2024 - 科学技術政策 - 内閣府. [EB/OL]. [2024-7-25]. https://www8.cao.go.jp/cstp/tougosenryaku/2024.html