随着人工智能(AI)系统——尤其是生成式AI——在各行业迅速扩展,全球监管机构正努力在不抑制创新的前提下管理风险。新加坡已成为采用审慎、生态系统导向监管方式的领先司法管辖区:这种方式较少依赖规定性立法,而更多依赖治理框架、保障机制和行业特定监管。这一做法使新加坡成为值得信赖的AI枢纽和负责任AI部署的监管试验场。
一、 监管体系与相关监管机构
新加坡尚未颁布单一、全面的AI法规。相反,AI治理通过多层次监管架构形成,包括:
1、资讯通信媒体发展管理局(IMDA):数字与AI治理的主导机构,负责"AI治理模型框架"、"生成式AI框架"、"AI Verify"和"全球AI保障沙盒"。
2、个人数据保护委员会(PDPC):执行《个人数据保护法》(PDPA),并发布与AI相关的数据使用指引。
3、新加坡金融管理局(MAS):监管金融服务业AI应用,尤其通过FEAT原则(公平、伦理、问责与透明)。
4、新加坡网络安全局(CSA):制定应对AI相关安全风险的网络安全战略与指引。
5、执法与司法机构:通过刑法、诈骗打击和网络安全立法应对AI引发的危害。
这种分散但协调的模式使新加坡能够按风险、用例和行业监管AI,而非仅按技术本身。
二、 AI治理模型框架:从传统AI到生成式AI
(一)AI治理模型框架
新加坡的《AI治理模型框架》首次发布于2019年,并于2020年更新,是由IMDA和PDPC联合发布的自愿性、行业无关框架。其核心在于通过两大原则为AI系统注入信任:
1、可解释性、透明性与公平性:确保AI辅助决策过程的公正与透明;
2、以人为本:确保AI系统优先考虑人的福祉、安全与自主权。
该框架为AI全生命周期提供了实用指引,包括内部治理结构、人类监督、运营管理和利益相关方沟通。
(二)生成式AI治理模型框架
针对生成式AI和大型语言模型(LLM)带来的独特风险,新加坡于2024年发布了《生成式AI治理模型框架》。该框架提出九大维度,以构建值得信赖的生成式AI生态系统:
1、问责制:在AI全生命周期中明确责任分工,确保开发者、部署者和运营者了解自身义务,并由高层管理层监督治理。
2、数据质量与合法使用:确保训练和运营数据的准确性、代表性,并符合法律(包括数据保护法规)要求。
3、可信模型开发与部署:实施健全的设计、测试和验证流程,最小化偏见、错误和意外输出,并保留可审计文档。
4、事件报告与补救:制定检测、报告和处理AI系统故障、错误或有害输出的程序,包括用户反馈和纠正机制。
5、测试与保障:定期进行内部和外部审计、压力测试和情景分析,以验证AI性能及其对伦理和安全标准的合规性。
6、安全性:通过加密、访问控制和监控,保护AI系统及相关数据免受网络威胁、未经授权访问和篡改。
7、内容溯源与透明度:清晰记录AI生成内容的来源、模型版本和修改情况,并确保用户知晓AI的参与。
8、安全与对齐研究:持续根据安全基准和伦理准则评估AI行为,并投入研究以使AI输出与人类及社会价值观保持一致。
9、AI促进公共利益:推动带来社会、环境或经济效益的AI应用,同时降低风险并确保公平获取。
(三)聚焦问责制
问责制是新加坡生成式AI治理模式的基石。责任应沿AI价值链分配——包括模型开发者、部署者、系统集成商和基础设施提供商——依据各方实际控制程度。这类似于云计算的问责理念,避免将责任"转嫁"给自主系统。组织应当:
1、明确AI风险的归属;
2、保留文档和审计记录;
3、确保高层管理层对AI治理的监督。
三、可信AI支持工具
(一)AI Verify
AI Verify是由AI Verify基金会在IMDA支持下开发的开源AI测试与治理工具包。AI Verify并非强制性合规"及格/不及格"工具,而是帮助组织验证其AI系统声明是否符合国际公认原则,包括公平性、稳健性、透明度和治理。
AI Verify将伦理原则与技术现实衔接,为监管者、客户和业务伙伴提供信心,确保AI系统负责任地设计与部署。
(二)全球AI保障沙盒
全球AI保障沙盒为AI系统——尤其是生成式AI应用——提供了一个可控环境,使其能在真实条件下根据安全、信任和风险标准进行测试。该沙盒由IMDA和AI Verify基金会运营,
1、促进AI开发者、部署者与独立保障机构的协作;
2、识别新兴风险(如幻觉、提示注入、数据泄露);
3、为未来治理标准和保障方法的制定提供参考。
这体现了新加坡偏好监管学习与实验,而非过早采取硬性法律干预。
四、PDPA、数据使用与网络安全合规
处理个人数据的AI系统完全受《个人数据保护法》(PDPA)约束。组织必须确保数据的合法收集、使用、披露和保存,并保证数据的准确性与安全性。PDPC的指引明确指出,AI并未削弱既有义务,反而提升了对治理和风险管理的期望。
与此同时,新加坡网络安全局(CSA)已发布应对AI特有安全风险的指引,包括对抗性攻击、模型操控和基础设施漏洞。这些措施通过增强系统韧性,尤其是在高风险场景下,补充了治理框架。
五、行业特定AI监管:聚焦金融行业
新加坡金融行业在MAS监管下面临有针对性的AI治理要求。银行、保险和资本市场等高风险AI应用必须在创新与审慎保障之间取得平衡:
1、FEAT原则(公平、伦理、问责、透明):AI系统在面向客户的流程中必须坚持公平、伦理、问责和透明。
2、风险管理与治理:AI风险管理应纳入企业风险框架,包括董事会层面的监督、内部控制和独立验证。
3、数据治理:AI应用所用数据必须高质量、准确且来源合规。
4、模型验证与可审计性:通过严格测试、验证和审计,确保AI输出达到预期性能和伦理标准。
5、消费者保护与可解释性:AI决策必须对客户可解释,并为其提供申诉渠道。
六、民事与刑事责任:应对AI引发的危害
在新加坡,AI部署涉及既有民事与监管责任体系,尤其当AI造成损害或侵犯权利时。
若AI系统:非法歧视;侵犯隐私或违反PDPA下的数据保护权利;侵犯知识产权;生成被用户依赖的诽谤或误导性内容,组织可能需承担责任。
新加坡法律不承认AI为法律主体。责任归属于部署、控制或受益于AI系统的人类或法人。对客户或公众的义务不能转嫁给AI模型。
安全风险:死亡、人身伤害与财产损失
若AI造成物理伤害——包括死亡、人身伤害或财产损失——可能引发以下责任:
1、过失责任:在设计、部署或监控中未尽合理注意义务;
2、产品责任:AI嵌入产品或系统并交付用户时;
3、合同责任:AI输出作为服务义务的一部分时。
新加坡法院表示有信心,既有法律原则可适应新技术,并可借鉴自动驾驶、航空自动驾驶系统和工业自动化等领域的类比。
AI引发危害的刑事责任:新加坡已加强刑事法律框架以应对AI引发的危害,认识到某些违法行为可能带来严重社会影响。《网络刑事危害法》赋予当局打击恶意网络活动的权力,包括AI生成的深度伪造、自动化诈骗和AI辅助冒充。
近期修法加重了涉及AI的犯罪处罚,显示政府遏制高风险行为的决心。刑事责任可能包括高额罚款、监禁和声誉损失,凸显鲁莽或恶意AI部署被视为对公共安全与信任的严重威胁。
结论:迈向可信AI的审慎之路
新加坡AI监管战略体现了一种有意识的选择:优先考虑信任、问责与互操作性,同时保持有利于创新的环境。通过结合治理框架、保障工具、行业监管和适应性责任原则,新加坡为在快速发展的技术环境中管理AI风险提供了有力范例。
来源:司凯律师事务所
作者:钟卫利,联系方式:+86 10 6505 6989,consulting@sequoiasmith.com
司凯声明:本文是司凯律师事务所专业团队严肃创作的作品,作品附属的权利和利益已由司凯专业团队的律师授权司凯律师事务所行使。作为文章的权利人,司凯律师事务所欢迎对本文依法进行援引、转载和其他合法形式的传播,并请在传播中注明文章来源于司凯律师事务所。未经本所书面同意,在任何情形下,作品所呈现出的有关的法律分析、观点和建议,均不可以理解为本所或本所律师向任何单位或个人提供的专业意见或建议。