首先,委员会提出的做法是将“生物识别系统”的使用视为特别具有侵入性,并建立了一些例外情况,几乎基于 GDPR 的第 13 条。 9.其次,理事会的妥协案文增加了“实时”和“远程生物特征识别系统”的区别,并扩展了执法部门使用“实时”生物特征识别的目标清单。最后,欧洲议会的妥协文本规定了进一步的协调,同时认识到使用 FRT 相关的风险。
如果最初提议的文本区分了 FRT 的“投放市场”和“投入使用”,。但是,它仍然将生物特征识别系统与“远程”(第 3 条第 36 款)和“实时”(第 3 条第 37 款)区分开来。正如其他学者所观察到的,这种区别 比利时号码数据 造成的混乱多于清晰度。这也适用于在公共场所一般禁止使用生物识别系统的例外情况清单。值得注意的是,委员会的提议允许成员国授权特定用途,例如预防严重犯罪、搜寻失踪儿童、预防特定或迫在眉睫的自然人生命或人身安全威胁,以及侦查、定位、识别或起诉犯罪实施者或犯罪嫌疑人(刑期至少为三年)。最后,该禁令并未涉及将“远程生物特征识别”用于非执法目的,这类规定属于 GDPR 的范畴。
从这个简要概述中可以看出两个主要问题。首先,《人工智能法案》没有列出人工智能何时对社会和个人构成不可接受的风险的标准;它只是陈述了风险的假设。有学者指出,除了列出的禁止用途外,进一步扩大第 5 条的适用范围将相当于对该法进行修订。这一选择被认为是武断的,令人担忧,因为它只审查了人工智能生命周期的一部分。
其次,这种缺乏明确性导致了《人工智能法案》面临的最大挑战,这似乎就是其可执行性。因此,即使欧洲版本的文本属于第 59 条,它也要求成员国有义务建立或指定一个国家监管机构 (NSA) 作为市场监督机构;需要更好地明确该系统的集中化如何运作,考虑到成员国对使用 FRT 的态度不同——例如,法国正试图在下届奥运会上应用 FRT 。