人工智能 (AI) 与业务流程的融合正在各行各业蓬勃发展,市场上可用于各种用途的应用程序的数量和质量也在快速增长。人工智能系统的应用为企业带来了巨大的机遇,尤其是在自动化、效率提升和创新领域。然而,引入人工智能技术不仅是一项技术和组织上的挑战,从法律角度来看也绝非易事。为了防范相关风险并避免严厉的处罚,企业应在构思阶段和选择合适的人工智能应用程序时,以及在实施和使用过程中,充分考虑相关的法律问题。本文旨在为使用人工智能系统的企业提供入门指南,帮助他们了解人工智能合规性,并概述在商业中使用人工智能应用程序的关键法律方面。.
1. 人工智能与数据保护
使用人工智能应用程序最重要的法律方面之一是保护所谓的输入数据。输入数据是指输入到人工智能系统或由人工智能系统直接收集的数据,系统基于这些数据生成输出(人工智能条例[欧盟条例2024/1689]第3条第33款也有定义)。.
在此背景下,尤其需要关注两方面:首先是个人数据,即与已识别或可识别的自然人相关的信息(定义见《通用数据保护条例》(GDPR,(EU) 2016/679 号条例)第 4 条第 1 款);其次是构成商业秘密的数据。在此背景下,除了用户自身的商业秘密外,还必须特别注意第三方的商业秘密。.
(1)个人资料
即使是确定所用数据是否属于个人数据这一问题,通常也并非易事,尤其是在处理大型数据集时,很多情况下只有通过分析数据集本身的结构才能明确判断。因此,在人工智能应用的规划阶段,就必须仔细确定和分析输入数据的选择和定义,并考虑其中是否包含个人数据。.
公司在使用或处理个人数据时,必须确保遵守相关的数据保护法规。除根据处理目的可能适用的任何特定法律规定外,主要依据是《通用数据保护条例》(GDPR)的规定。尤其需要遵守以下要求:
- 数据处理的法律依据只有在具备充分的法律依据的情况下,才能处理个人数据。这意味着处理或使用数据需要获得法律规定的许可(特别是,GDPR 第 6 条第 1 款的规定在此适用),或者需要获得数据主体的明确同意。.
- 数据最小化和目的限制此外,应当注意的是,只有为实现相应法律依据所涵盖的目的绝对必要的数据才能用于处理(数据最小化原则)。此外,数据只能用于法律依据所涵盖的特定目的,不得用于任何其他目的。.
- 数据安全公司在处理个人数据时,必须确保采取组织措施,尤其是技术措施,以保障数据保护水平与处理相关风险相匹配。尤其需要关注向第三方(相关IT系统的提供商和供应商)传输个人数据的情况,特别是当数据传输至欧洲经济区(EEA)以外的国家/地区时。这是因为欧洲立法者普遍认为这些国家/地区(即所谓的第三国)的数据保护水平不足,因此必须采取单独的措施来保障这方面的安全。.
- 文件编制、透明度和信息义务如果处理个人数据,则必须按照 GDPR 的具体要求进行记录。此外,必须事先以透明的方式告知个人数据被处理的数据主体(例如,通过隐私政策和其他通知)。.
(2)其他数据/商业秘密
除了个人数据之外,确保所有用作输入的数据保密至关重要。这既适用于用户自身的商业秘密,尤其适用于受法律规定和保密协议(NDA)保护的第三方机密数据,这些数据作为商业秘密受到保护,只能在有限的范围内用于或根本不得用于相应的AI应用。.
在这方面,输入数据的选择和调整也必须在相应人工智能应用的设计框架内进行仔细分析。.
2. 人工智能监管的要求
欧洲人工智能条例((EU) 2024/1689 号条例),简称 AI 条例,首次为欧盟人工智能系统的开发、营销和使用建立了统一的法律框架。.
人工智能监管遵循所谓的基于风险的方法,根据人工智能系统使用相关的风险,将其分为四个不同的类别。根据系统的分类,规定了不同的义务,特别是针对系统的提供商和用户(在人工智能监管中被称为„运营商“)。.
根据风险分类,可区分以下几类:
(1) 代表违禁行为的系统
《人工智能条例》第五条对构成禁止行为的人工智能应用进行了规定。该条款主要涵盖面向公众用户而非私营企业的应用,例如用于所谓„社会评分“或基于用户画像预测犯罪的人工智能系统。此类应用既不得投放市场,也不得使用。.
(2)高风险人工智能系统(受到严格监管)
所谓高风险人工智能系统受到严格监管,并在《人工智能条例》第六条和附件三中进行了明确定义。例如,这些系统包括旨在用作关键数字基础设施、道路交通或水、燃气、热能或电力供应管理和运营安全组件的人工智能系统。此外,生物识别远程身份识别系统和用于就业决策支持的人工智能系统也被归类为高风险人工智能系统。.
此类系统运营商的义务受《人工智能条例》第26条的约束,尤其包括:
- 技术和组织措施实施适当的技术和组织措施(TOM),以确保系统按照提供商的规范使用。.
- 人工监督: 确保由训练有素、有能力的自然人监督该系统,以便监控和纠正该系统的决策。.
- 运营监控: 根据供应商的规范,持续监控系统性能,如有必要,有义务将任何异常情况告知供应商。.
- 日志记录: 自动生成的日志必须保留一段合理的时间(至少 6 个月)。.
- 报告义务: 如果运营商发现系统发生严重事故或故障,必须立即通知服务提供商和相关部门。.
- 检查输入数据: 只要操作员能够控制输入数据,他就必须确保数据的相关性和代表性,以最大限度地减少错误结果。.
(3)有限风险系统
对于风险有限的人工智能系统,特别是直接与人类交互或合成生成音频、图像、视频或文本内容的人工智能系统,适用特定的透明度义务(例如,标明聊天机器人中使用人工智能系统、标记合成内容或深度伪造内容等)。这些义务在《人工智能条例》第50条中有所规定。.
(4)风险极低(无或自愿性要求)
低风险人工智能系统占当今人工智能系统的绝大多数(例如,翻译工具、研究、排序和过滤系统、文本和通信工具等),不受人工智能法规的任何特定要求约束。但是,鼓励运营商采用自愿性行为准则和最佳实践,以确保质量和透明度(另见人工智能法规第95条)。.
3. 人工智能与知识产权
知识产权问题,特别是版权问题,在使用人工智能系统时也至关重要。在不同的阶段和不同的背景下,都会出现相应的问题。.
(1) 人工智能生成的内容和知识产权
首先,知识产权问题出现在人工智能系统为用户生成内容的使用过程中。如果这些内容包含受保护的材料(例如文本或图像),则可能侵犯第三方的知识产权,特别是版权。.
因此,在使用生成式人工智能系统时,应在相应业务流程的设计阶段就考虑对生成输出的内容进行适当的控制机制。.
反之,值得注意的是,用户通常不会为其使用人工智能系统生成的内容建立版权保护。具体而言,人工智能系统生成的内容——除因输入和训练数据侵权而涉及第三方既有权利的情况外——通常不受版权保护,因为它通常不构成个人智力创作。根据定义,此类创作需要自然人参与创作过程并做出相应的原创性贡献。由于生成的内容缺乏版权保护,因此无法禁止第三方使用这些内容,至少无法以版权为由禁止,这具有特殊意义。.
(2) 受保护材料作为输入数据
在选择用于人工智能系统的输入数据时,还应考虑到使用某些素材作为输入数据可能会侵犯第三方的权利,尤其是版权。根据使用类型和所用素材的不同,应事先核实素材的来源以及第三方权利相关的法律状况。.
在这方面,也建议在公司内部以具有约束力的方式规范允许作为输入数据的内容类型和结构(例如,通过适当的指南),并在既定流程框架内监控对要求的遵守情况。.
4. 劳动法问题
根据人工智能应用的类型和相应的应用领域,企业在使用人工智能系统时可能会涉及各种劳动法问题。.
除了员工数据保护问题(例如在人工智能支持的处理操作中处理员工数据的合法性问题,或在就业环境中人工智能支持的自动化决策的可采纳性问题,或某些密集型人工智能支持的处理操作的数据保护影响评估要求)之外,从劳动法的角度来看,在实施人工智能系统时,还必须考虑员工参与的各个方面。.
(1) 知情权和咨询权
在公司引入人工智能系统之前,必须首先尊重职工委员会的知情权和协商权。特别是,《劳动组织法》(BetrVG)第90条第1款第3项规定的知情权尤为重要。根据该条款,雇主必须及时向职工委员会通报工作流程和程序(包括人工智能的使用)的规划,并提供必要的文档。《劳动组织法》(BetrVG)第90条第2款还规定了协商权。因此,雇主必须及时就计划措施及其对员工的影响(特别是对员工工作性质和由此产生的工作要求的影响)与职工委员会进行协商,以便在规划过程中充分考虑职工委员会的建议和意见。.
(2) 共同决定权
此外,根据《工程组织法》第 87 条第 1 款第 6 项和第 7 项,职工委员会的共同决定权尤为重要。.
德国《劳动组织法》(BetrVG)第87条第1款第6项规定,在利用人工智能系统监控员工行为或绩效的情况下,员工享有共同决定权。只要相关人工智能系统客观上能够监控员工行为或绩效即可。雇主无需有监控员工的意图。.
此外,根据德国《劳动组织法》(BetrVG)第87条第1款第7项的规定,如果人工智能系统对员工的身心健康构成风险,则员工也享有共同决定权。然而,如果人工智能系统以生成式人工智能的形式仅仅作为辅助员工的工具,则不太可能出现这种情况。.
在极少数情况下,如果人工智能系统对公司的组织或公司员工的行为产生重大影响,也可以考虑根据《工程组织法》(BetrVG)第 87 条第 1 款第 1 项进行共同决定。.
最后,如果人工智能系统被用于公司的招聘措施中,则根据《企业组织法》(BetrVG)第 94 条和第 95 条,职工委员会可能会获得进一步的共同决定权。.
5. 使用人工智能系统时的责任和义务
与人工智能系统使用相关的另一个重要方面是,因使用人工智能系统而对第三方造成的损害的责任问题。.
从人工智能系统的用户和运营者的角度来看(这才是关键所在),这些组合在用户利用人工智能系统向客户提供服务时尤为重要。可设想的应用场景多种多样:从作为产品和服务开发工具,到用于物流、金融服务和支付处理、市场营销、IT服务、客户沟通或医疗服务(仅举几例)。许多应用场景都值得设想。.
如果客户损失是由人工智能系统本身的错误造成的,那么人工智能系统的用户首先需要处理客户的责任索赔。这些索赔一方面包括用户与其客户之间的合同关系所产生的合同索赔,另一方面包括法定损害赔偿请求,特别是侵权索赔。此外,在这种情况下,用户还需考虑是否可以向存在缺陷的人工智能系统的经销商和/或提供商追索,以及此类损失是否可以获得保险赔偿。.
因此,从用户的角度来看,建议在人工智能系统的采购阶段就特别重视有关责任和追索权的适当合同条款。反之,当相应的人工智能系统集成到为客户提供的服务中时,与客户签订的合同也应如此。尤其需要注意的是,责任条款应与针对人工智能系统提供商的追索权相一致,并且在购买保险时应考虑相应的损害赔偿。
此外,通过实施适当的内部指导方针和政策,最大限度地降低公司在应用人工智能系统方面的风险至关重要。.
6. 合规管理
为确保在使用人工智能系统方面符合公司特定的法律要求,应从一开始就考虑相关流程并将其纳入公司的内部合规管理中。.
这包括相关人工智能项目所有三个阶段的措施:(1)人工智能支持的业务流程的构思和人工智能系统的选择,(2)人工智能系统的实施,以及(3)人工智能系统的使用。.
建立适当的合规措施,除了定义和记录流程外,还应包括引入相应的内部准则,特别是具有约束力的员工政策和合规监控机制。其他措施还包括针对特定主题和应用的员工培训(除非法律另有规定,例如针对高风险人工智能系统),这些培训应定期更新和扩展。.
结论
人工智能在商业领域的应用潜力巨大,但根据应用领域和人工智能系统类型的不同,有时也会伴随复杂的法律要求。然而,如果及时采取适当的合规措施,这些挑战和风险是可以有效应对的。.