AI法案违规举报的四大焦点:匿名渠道、加密平台与法律保护的权衡
欧洲AI Office推出的举报机制旨在通过安全加密渠道,接收关于人工智能法规违规行为的匿名报告。然而,该机制在操作与法律层面仍存在四个关键问题。
欧盟委员会近期通过其欧洲人工智能办公室启动了一项举报计划,旨在接收关于人工智能法案潜在违规行为的“受保护”举报。该法案的核心法规——欧盟第2024/1689号条例——大部分条款将于2026年8月2日生效。
其中,条例第87条规定,欧盟关于举报人保护的第2019/1937号指令同样适用于成员国境内的AI法案违规行为及相关举报人。由于这是一项条例,它将直接在成员国生效。因此,意大利为执行举报人保护指令而颁布的第24/2023号立法法令,应被视为已据此更新。
新的举报工具:是什么及如何运作
欧盟举报机制与AI法案
欧盟委员会积极鼓励人工智能领域的相关方在涉嫌违法时使用举报渠道,这凸显了举报作为治理工具和人权导向手段的双重角色。它是一个让举报人负责任地参与制止侵权行为、并受到合理保护以对抗敌对行为的工具。
需要记住的几点是:
- 举报指令并不直接适用于欧盟机构(但其原则无疑适用)。
- 在欧盟机构层面,尽管长期以来对此议题有广泛讨论,但进展有限,主要依据如《欧盟机构官员规章》中的条款,要求官员报告其知晓的非法活动并确保其因此类报告受到保护。
- 根据指令序言第69段及第6条,举报属于指令适用范围违规行为的人员,有权获得向欧盟主管机构进行外部举报所提供的保护。
与此相对应的是意大利第24/2023号立法法令的第16条和第6条,规定向欧盟主管机构进行符合外部举报条件的举报人,可以获得保护措施。
外部举报渠道
在以下情况下允许进行外部举报:
- 未启动内部渠道;
- 通过内部渠道进行的常规举报未获结果;
- 举报人担心举报不被受理或可能遭到报复;
- 有合理理由认为违规行为可能对公共利益构成紧迫或明显的危险。
主要是后两项规定,可能会促使举报人向欧盟(或意大利外部举报渠道的管理者ANAC)进行举报。
可举报的AI法案违规行为
近期推出的针对AI法案的举报举措本身值得肯定。但它需要良好构建,才能成为欧盟的增值来源,并让举报人能够在充分知情的情况下决定是否存在条件以及向谁进行外部举报:是ANAC还是欧盟的相关机构(当违规行为具有跨国性质或涉及欧盟直接适用条例规定的义务时,后者可能更受青睐)。
根据该办公室的说明,直至明年8月2日,仅可举报涉及人工智能某些活动的AI法案违规行为,特别是关于产品安全、消费者保护、隐私和个人数据以及信息安全的违规,因为这些已由纳入国内法律体系的欧盟举报条款所涵盖(参见意大利第24/2023号立法法令第2.3条)。在此日期之后,保护范围将覆盖AI法案所规范的整个领域。
匿名性的作用
举报人被建议避免包含任何可能识别其身份的数据。因此,需要明确的是,匿名不仅保护举报人,也避免办公室可能被举报对象依据欧盟第2018/1725号条例(即适用于欧洲机构的《通用数据保护条例》)第17条规定的访问权,要求提供举报人身份。
关于匿名性,举报指令允许成员国自行决定其系统中是否将匿名举报视为举报行为,但举报人仍应享有规定的保护。
举报:举报AI法案违规行为的匿名渠道
该举措规定使用一个匿名渠道向欧洲人工智能办公室举报潜在的AI法案违规行为。
举报必须通过“经过ISO 27001认证的平台(‘Integrity Line’)”以匿名形式提交,该平台不收集个人数据、IP地址或设备信息。
特别提示写道:“请不要使用雇主提供的任何技术设备,如PC、智能手机或Wi-Fi,来发送您的举报”:这是为避免举报人可能通过IT痕迹被识别而采取的必要预防措施。
数据保护机构的意见
与此相关,可参考意大利数据保护机构近期就ANAC即将发布的内部举报渠道指南所发表的意见。其中明确指出,“使用电子邮件(普通或认证)本身被认为不足以保证举报人身份的保密性,除非辅以特定的对策……这些对策应在数据保护影响评估阶段确定”,特别是因为通过日志可能追溯到举报人。
该系统主要面向为AI模型提供商工作或曾经工作的人员,因为他们可能最先察觉到违规行为。
据称,所提供的信息将得到极高安全和保密标准的处理:所有内容均被加密,仅存储在经批准的设备上,且仅限授权人员访问。举报人保留控制信息使用、更正、限制传播或反对披露的权利,除非法律要求。
处理流程
当举报到达时,欧洲人工智能办公室通过安全平台接收,并由机器学习、模型评估、网络安全、风险评估和版权法等领域的专家进行初步审查。
在审查期间,举报人通过匿名邮箱保持知情。
处理流程可能涉及其他当局,并始终让举报人知情。
该系统目前并未提供针对报复的“全面”保护,但自2026年8月2日起,与AI Act相关的举报,若符合进行外部举报的条件,将受到现行举报条款的保护。或许是为了激励潜在的举报人,常见问题解答中写道“您可能是最先注意到潜在违法行为的人之一”。
四个未决问题
以下是一些值得深入探讨和回应的问题:
- 鉴于这仍然涉及个人数据处理,是否已进行数据保护影响评估并定义了专门的处理程序(根据欧盟第2018/1725号条例第31条,该程序应纳入委员会的隐私登记册并通常公开)?
- 尽管该举措显然旨在防止人工智能使用中的非法偏差,但相对于欧盟各国管理的“常规”举报机制,它能带来什么附加价值?
- 举报人为何应选择此欧盟渠道而非国家渠道?
- 设立一个专门针对AI法案(或其他特定领域)的特殊举报渠道有何意义?
对第一个问题的回应
根据目前可从欧盟委员会数据保护官公共登记册中查阅的信息,存在多项与举报相关的处理程序,涉及:欧盟数字服务法案、欧盟数字市场法案、违反欧盟制裁、反垄断等领域。
这表明,欧盟针对AI法案的举报举措并非首次,并且为上述每个领域都启用了举报渠道(比较DSA、DMA、制裁、反垄断的工具),在某些情况下还允许举报人选择是否提供其身份信息。针对AI法案渠道的考虑与此类似。但未说明是否计划执行DPIA。
第二个问题
关于第2点,欧盟委员会的举措可能在技术和跨国两个层面提供附加价值。 一方面,AI办公室的渠道可以集中机器学习、网络安全、模型评估等领域的专业能力,这些可能是国家举报渠道(内部和外部)管理者所不具备的,从而能更准确、及时地解读与人工智能相关的举报。 另一方面,欧洲系统可能更好地处理超越单个国家边界、常见于大型AI开发商的违规行为,在此背景下,国家渠道单独运作可能显得零散或缺乏协调。 参考其他提及的领域(如AI Act和DSA),另一个原因可能是委员会对违反相关规定的行为拥有制裁权力。 相反,可能会发生举报人就同一问题分别向办公室和国家规定的举报渠道进行多次举报的情况,从而产生管理复杂性和对举报人的更大风险。
第三点
关于第三个问题,举报人可能因机构中立性、欧洲系统的程序成熟度以及程序设置所提供的完全匿名性而倾向于选择AI办公室(及其他提及的)渠道。由委员会直接管理的渠道,可能给人一种远离地方动态、组织压力或国家当局与行业经济运营商之间既定关系的感知。在像AI这样高度创新的领域,这种中立性对于举报敏感或潜在争议行为的人来说,可能是一个令人安心的因素。
除了这个可能的附加价值,也存在不可忽视的风险。 首先是保护措施的反复不一致性,因为欧洲渠道保证匿名性,但提供的法律保护水平可能与国家系统不同(除非符合第6条的情况)。 第二个风险是由于并行渠道共存导致的不确定性,这可能使潜在举报人对应遵循的路径产生困惑,存在延误举报和处理违规行为的风险。
第四个问题
关于第4点,可以认为,专门针对AI法案的举报渠道作为操作反应性工具是有意义的:它允许委员会立即开始收集关于人工智能的针对性信息,构建一个欧洲观察站,能够识别重复模式、系统性风险和难以仅通过国家渠道察觉的症结。
根据发布的信息,可以理解为无需等到明年8月2日,即可就整个AI法案进行举报,正如所述:“欢迎提供关于AI模型提供商可能违反AI法案所规定义务的任何内部做法的信息,或关于任何其他可能危及基本权利、健康或公共信任的活动信息。”
如果是这样,欧洲系统提前配备了一个技术和程序结构,这在该条例完全适用时将至关重要。
需要更明确的选择:三个选项
有必要将某些领域的举报权限转移至布鲁x塞尔,但同时需澄清/说明对举报人的保护措施,这些措施应在整个欧盟自动适用(关于向欧盟机构举报者最低共同保护的含义,参见第2019/1937号指令序言第69段:“本指令不应影响外部举报程序和渠道,但应确保向欧盟机构、机关和部门进行举报的人员在整个欧盟享有最低限度的共同保护标准”)。
在此选项中,还可以统一举报收集中心(DSA、DMA等),形成一个单一中心,然后将举报分发给欧盟主管机构。 此外,在中间版本中,应维持国家和欧盟两个渠道,根据违规行为的范围来选择使用(并规定在举报人未联系主管机构的情况下,委员会与成员国之间可转交案件)。 最后,需要避免欧盟并行渠道。 在更高级和合作的版本中,将欧盟办公室作为能力和信息交流中心保持活跃,类似于过去在某些场合设想的机构,负责向国家当局和欧盟机构提供意见,并促进整个欧盟环境(欧盟机构和成员国)在举报事务上最佳实践的协调。国家举报渠道管理者可以参照这些中心,他们仍是处理举报的唯一主管机构,同时尊重对举报人的保护。
未来展望
欧盟委员会的举措引发了不一致的思考。 一方面,就AI法案而言,它似乎是预见性地提供了监管人工智能等具有高度系统影响领域所需工具。 另一方面,它显示出“规范性脆弱性”和局限性,必须明确加以解决,以避免可能适得其反的效果,并确保建立一个真正一致、适用、稳定的监管架构,能够与快速发展的技术相协调,并支持一个尊重权利和公共利益的人工智能发展。 如果希望将举报视为一种治理工具和人权导向的手段,就需要尽快在欧盟和成员国的生态系统中系统化其整体规范框架。