Meta từ chối ký thỏa thuận AI của châu Âu, chỉ trích đây là `quy định quá mức` kìm hãm tăng trưởng

Bản giải thích về bản dự thảo đầu tiên của EU AI Act từ Latham & Watkins được nhắc tới trong bình luận Hacker News bên dưới

European Commission Releases First Draft of General-Purpose AI Code of Practice

• EU AI Act đã có hiệu lực từ ngày 1 tháng 8 năm 2024, và các nghĩa vụ liên quan sẽ được triển khai theo từng giai đoạn
• AI Office trực thuộc Ủy ban châu Âu đang dẫn dắt việc xây dựng bộ quy tắc thực hành, dự kiến hoàn tất vào tháng 5 năm 2025 và có hiệu lực từ ngày 2 tháng 8
• Ngày 14 tháng 11 năm 2024, EC lần đầu công bố bản dự thảo Quy tắc thực hành cho AI mục đích chung
• Bản dự thảo đưa ra các mục tiêu, biện pháp và chỉ số hiệu suất cốt lõi (KPI) rõ ràng, phù hợp với các nguyên tắc và giá trị của EU

Nội dung chính của dự thảo EU AI Act

Minh bạch

• Minh bạch là nguyên tắc cốt lõi của bộ quy tắc thực hành
• Nhà cung cấp mô hình GPAI phải lập tài liệu và duy trì các thông tin sau
  • Thông tin về chính mô hình
  • Loại hệ thống AI có thể tích hợp và mục đích sử dụng
  • Chính sách sử dụng được phép
  • Các yếu tố cốt lõi của giấy phép mô hình
  • Đặc tả thiết kế và quá trình huấn luyện
  • Cách thức kiểm thử và xác minh
• Các thông tin trên phải được cung cấp theo yêu cầu cho AI Office và cơ quan quốc gia, hoặc nhà cung cấp hệ thống AI
• Nếu có thể, cũng khuyến nghị công khai thông tin cho công chúng

Tuân thủ bản quyền

• Việc tuân thủ bản quyền và các quyền liên quan của EU được nhấn mạnh
• Nhà cung cấp mô hình GPAI phải thiết lập chính sách bản quyền nội bộ toàn diện trong suốt vòng đời của mô hình
• Trước khi ký hợp đồng dataset với bên thứ ba, cần thực hiện thẩm định bản quyền và xác nhận tuân thủ quyền của chủ sở hữu theo Điều 4(3)
• Trừ SME, nhà cung cấp GPAI cần có các biện pháp phòng ngừa hợp lý để mô hình không tạo ra đầu ra vi phạm bản quyền
• Khi cung cấp mô hình, nên đưa vào điều khoản hợp đồng yêu cầu bên còn lại cam kết có biện pháp ngăn chặn hành vi vi phạm bản quyền lặp lại

Text and Data Mining (TDM)

• Khi thực hiện TDM, có nghĩa vụ bảo đảm quyền truy cập hợp pháp vào nội dung được bảo hộ bản quyền
• Chỉ sử dụng crawler tuân thủ Robot Exclusion Protocol
• Cần lưu ý để việc loại trừ crawler không ảnh hưởng tiêu cực đến khả năng nội dung được tìm thấy trên công cụ tìm kiếm
• Chủ động phản hồi các chỉ dấu quyền của chủ sở hữu ở dạng máy có thể đọc được
• Hợp tác trong việc phát triển tiêu chuẩn cho chủ sở hữu quyền
• Cần có các biện pháp hợp lý để ngăn crawler truy quét các nguồn sao chép lậu

Minh bạch trong tuân thủ bản quyền

• Có nghĩa vụ công khai các biện pháp liên quan đến bản quyền và việc tuân thủ quyền của chủ sở hữu
• Cần cung cấp một đầu mối liên hệ duy nhất để chủ sở hữu quyền có thể gửi khiếu nại
• Phải cung cấp cho AI Office thông tin về nguồn dữ liệu huấn luyện, kiểm thử, xác minh và quyền truy cập tương ứng

Phân loại rủi ro hệ thống

• Nhà cung cấp GPAI phải liên tục đánh giá và ứng phó với rủi ro dựa trên hệ thống phân loại rủi ro hệ thống
• Các hạng mục rủi ro chính:
  • Tội phạm mạng
  • Nguy cơ hóa học, sinh học, phóng xạ, hạt nhân
  • Mất khả năng kiểm soát mô hình
  • Tự động hóa cho mục đích nghiên cứu và phát triển AI
  • Thuyết phục và thao túng trên quy mô lớn
  • Phân biệt đối xử trên quy mô lớn

Khung quản lý rủi ro hệ thống

• Nhà cung cấp mô hình GPAI được xác định có rủi ro hệ thống phải xây dựng khung an toàn và bảo mật
• Cần có tài liệu hóa và cấu trúc quản trị để tăng cường minh bạch và trách nhiệm giải trình, bao gồm cả đánh giá của chuyên gia độc lập
• Cũng nêu rõ các biện pháp như báo cáo sự cố, bảo vệ người tố giác và minh bạch với công chúng

Ý kiến Hacker News

• Không chỉ Meta, mà 40 công ty châu Âu cũng đã yêu cầu EU hoãn 2 năm vì việc thực thi Đạo luật AI còn thiếu rõ ràng; code of practice lần này là một bộ tiêu chuẩn tự nguyện và còn bao quát hơn cả luật thực tế; EU cũng ám chỉ rằng nếu tự nguyện tham gia bộ tiêu chuẩn này thì có thể bị điều tiết nhẹ hơn. Tuy nhiên, Meta cho rằng vì đằng nào cũng bị điều tiết ở mọi mặt nên việc tự nguyện đồng ý như vậy không mang lại lợi ích thực tế đáng kể. Điểm quan trọng trong luật là nhà cung cấp mô hình có thể phải chịu trách nhiệm cả khi đối tác sử dụng không phù hợp, đây là yêu cầu rất khắt khe với mã nguồn mở. Ví dụ, nhà cung cấp GPAI phải thiết lập các biện pháp hợp lý để ngăn vi phạm bản quyền, đồng thời được khuyến khích nêu rõ trong hợp đồng rằng đối tác cũng phải tuân thủ các biện pháp đó. Xem thêm phân tích của Latham & Watkins

  • Đọc đoạn trích dẫn đó có thể hiểu được bối cảnh vì sao EU đưa vào điều khoản ngoại lệ cho phép dùng tài liệu có bản quyền làm dữ liệu huấn luyện mà không cần cấp phép; dù việc thực thi có khó khăn, tôi vẫn thấy đây là một nỗ lực cân bằng khá tinh tế

  • Tôi thấy bộ tiêu chuẩn này là hợp lý; ngay cả với mô hình AI mã nguồn mở cũng có thể đưa vào điều khoản giấy phép yêu cầu “thực hiện các biện pháp phù hợp để không lặp đi lặp lại việc tạo ra đầu ra giống hệt hoặc tương tự với nội dung được bảo hộ bản quyền”. Đây là luật châu Âu chứ không phải luật Mỹ, và khái niệm “hợp lý (reasonable)” sẽ được thẩm phán diễn giải bằng cách cân nhắc lợi ích của cả hai bên, chứ không chỉ dựa vào cách hiểu mặt chữ

  • Thật bực bội khi một ngành còn non trẻ như thế này lại bị điều tiết quá sớm trong khi chẳng ai biết thị trường sẽ phát triển ra sao

  • Tôi không nghĩ bộ tiêu chuẩn này là quá đáng, xét ở chỗ nếu bạn tạo ra một mô hình có thể tái tạo nguyên xi vô số tác phẩm có bản quyền thì không nên cho phép phát hành nó; điều đó cũng sẽ không được chấp nhận với phần mềm thông thường, nên không thể chỉ vì là mô hình AI mà được ngoại lệ

  • Phần nói rằng nhà cung cấp mô hình phải chịu trách nhiệm cả cho việc đối tác lạm dụng không có trong nguyên văn luật[0], mà nằm trong chương bản quyền của Code of Practice. Tuy nhiên, Code này không áp thêm yêu cầu mới ngoài luật mà mang tính minh họa cách có thể tuân thủ luật “như thế nào”. Ví dụ, luật yêu cầu tôn trọng “machine-readable opt-out” nhưng không nêu cách cụ thể, còn code thì lấy robots.txt làm ví dụ. Nội dung liên quan bản quyền được ghi ở measure 1.4, gồm: a) áp dụng biện pháp kỹ thuật để mô hình không tái tạo nội dung vi phạm bản quyền, b) nêu rõ trong điều khoản sử dụng hoặc tài liệu rằng không cho phép sử dụng để vi phạm bản quyền; với mô hình mã nguồn mở thì chỉ cần thông báo điều đó trong tài liệu. Code of Practice này chỉ áp dụng khi tự nguyện ký tham gia; không phải ai đó lấy mô hình của tôi đi ký là tôi phát sinh trách nhiệm, cũng giống như việc công bố plugin Photoshop theo GPL không thể buộc phải công khai mã nguồn Photoshop. Trong luật có khá nhiều ngoại lệ cho mã nguồn mở. Có vẻ Meta phản đối vì EU AI Office không công nhận Meta AI là mã nguồn mở nên không được hưởng các ngoại lệ này. Xem nguyên văn tại liên kết luật và liên kết Code of Practice

• Tôi thừa nhận chỉ riêng phản ứng của Meta cũng khiến tôi thiên về cảm giác rằng đạo luật AI lần này hẳn là điều chúng ta thực sự cần, dù thật ra tôi còn chưa rõ chính xác bên trong có gì

  • “AI Code of Practice” gồm tổng cộng 3 chương, có thể xem tại đây và lịch sử các bản nháp. Tôi vẫn chưa đọc toàn văn, chỉ quen với Đạo luật AI trước đó (artificialintelligenceact.eu); đoán chừng Meta chủ yếu phản đối chương 2, phần về bản quyền, đặc biệt là điểm xung đột với thực tiễn crawl dữ liệu bản quyền không xin phép. Đến giờ việc đó có thực sự thuộc “fair use” hay không vẫn còn chưa rõ

  • Tôi không nghĩ rằng chỉ vì một công ty “xấu” thì mọi lập luận của họ mặc nhiên đều sai

• Với ai muốn xem tóm tắt hướng dẫn, có thể xem ở đây; quả thực đây là một bộ quy định nặng gánh, và nhìn vào thì có vẻ chủ yếu có lợi cho các chủ sở hữu bản quyền lớn, luật sư và quan chức

  • Những quy định như vậy cuối cùng có thể trở thành cái bẫy với doanh nghiệp châu Âu. Khi vượt qua một quy mô nhất định thì gánh nặng tuân thủ tăng vọt, khiến các công ty AI nhỏ hoặc mới ở châu Âu sợ phải vượt qua ngưỡng tăng trưởng đó. Trong khi đó, big tech Mỹ và Trung Quốc có thể đổi mới nhanh hơn nhiều, vừa nâng cấp trình độ AI vừa tích lũy vốn; đến khi vào thị trường EU, họ sẽ có sản phẩm hoàn thiện hơn và tiềm lực tài chính mạnh hơn, khiến cuộc cạnh tranh thực sự nghiêng về phía họ

  • Châu Âu chưa từng xây dựng được ngành AI đúng nghĩa, vậy mà lại muốn điều tiết cả ngành một cách quá chi li. Mức độ điều tiết gần như là điều tiết vì điều tiết. Tôi từng kỳ vọng báo cáo năng lực cạnh tranh EU của Draghi sẽ là bước ngoặt cho thay đổi, nhưng rất thất vọng khi EU trên thực tế chẳng đổi hướng chút nào. Điều đó làm tôi mất niềm tin vào chính sách của EU

  • Bạn nói đây là quy định “nặng gánh”, nhưng cụ thể điểm nào khiến bạn thấy nặng gánh đến vậy?

• Các quy định của EU đôi khi từng có sức mạnh khiến cả thế giới phải làm theo, như chính sách cookie chẳng hạn. Nói chung, để thiểu số áp đặt được yêu cầu lên số đông thì chi phí tuân thủ phải thấp hơn chi phí chống lại. Nhưng AI thì khác: cuộc chơi quá lớn và sẽ không ai dừng lại. Trừ khi có chiến tranh hạt nhân, AI sẽ không thể bị ngăn lại

  • Rủi ro tiềm tàng của AI là cực kỳ lớn, từ vũ khí tự động cho đến AGI ác ý đều có thể hình dung được. Đức vẫn còn ám ảnh từ thời Đông-Tây Đức bị chia cắt với các súng máy tự động, còn Ukraine hiện cũng đang chịu cú sốc tâm lý nặng nề từ chiến tranh drone. Những rủi ro thực chất của AI là có thật, nên quy định và luật pháp là điều bắt buộc

  • Kết quả của luật cookie chỉ là mọi người bị hành hạ bởi popup bất tận; không có uBlock thì dùng web gần như là cực hình. Theo dõi người dùng đã chuyển sang phía server, còn quyền riêng tư thực tế thì không được cải thiện. Có quá nhiều tiền luân chuyển nên ngành công nghiệp rất dễ lách qua những quy định lỏng lẻo như vậy

• Tôi khá ngạc nhiên khi có nhiều bình luận đồng tình với quy định châu Âu một cách gần như vô điều kiện; không biết có phải tôi là người duy nhất cho rằng về cơ bản quy định của châu Âu là quá mức và được thiết kế kém hay không

  • Từ trước đến nay châu Âu chưa từng đưa ra chính sách nào phá được thế độc quyền của big tech Mỹ; phần lớn người dùng EU vẫn phụ thuộc vào Google, Meta và Amazon. Có vẻ mục tiêu của EU không phải đối đầu trực diện với doanh nghiệp Mỹ, mà là giữ phép lịch sự và bảo vệ một phần lợi ích an ninh quốc gia. Đó là một lập trường quá ôn hòa nhưng về bản chất lại hợp lý

  • Nếu xét từ góc độ bảo vệ công dân, tôi không rõ việc quy định nghiêm ngặt hơn thì có gì là xấu

  • Việc khẳng định là “mù quáng” đồng nghĩa với việc bạn cho rằng mình đúng còn người khác chỉ vì không biết nên mới đưa ra quyết định đó. Chính bạn cũng nói là mình “về cơ bản giả định” như vậy, nên chẳng khác nào đang tự phê phán mình

  • Thực ra có vẻ đã có quá nhiều ý kiến từ bên ngoài can thiệp theo hướng muốn kiềm chế châu Âu

  • Chính việc “về cơ bản giả định” mới là vấn đề. Thay vì mặc định như vậy, hãy tự đọc các nội dung liên quan và hình thành quan điểm của riêng mình. Tôi nghĩ sẽ tốt hơn nếu mỗi người có quan điểm riêng, thay vì chỉ lặp lại ý kiến của các tập đoàn đa quốc gia xuyên biên giới

• Tôi lo rằng EU rồi cũng sẽ gắn popup lên cả LLM giống như với mọi website

  • Internet vốn đã đầy popup và các kiểu UX đánh lạc hướng sự chú ý, nên thật lạ khi thứ duy nhất bị đem ra than phiền lại là popup cho người dùng cơ hội trực tiếp chọn từ chối bị theo dõi

  • Bắt buộc phải có popup không phải do EU mà do phía doanh nghiệp. Nếu các website giảm hoặc tránh hẳn việc thu thập dữ liệu thì đã chẳng cần popup; thay vào đó họ chấp nhận hy sinh trải nghiệm để đưa vào những popup vô nghĩa. Kết quả là tình trạng hỗn loạn như hiện nay. Ít nhất thì các website không thu thập gì cả (ví dụ: blog của Fabien Sanglard) hoàn toàn không có popup. Sai lầm của EU là đã không lường trước kiểu lạm dụng này, và kết quả thì đúng là rất tệ

  • Không cần popup vẫn hoàn toàn làm được, nhưng ai cũng chỉ mải bắt chước các công ty lớn. Bắt chước quan trọng hơn trải nghiệm người dùng

  • Tôi thực sự ghét mấy popup kiểu này; việc tình trạng đó vẫn bị bỏ mặc cho thấy những người phụ trách chậm chạp đến mức nào

• Tôi đoán mục tiêu là kìm hãm sự tăng trưởng của Meta. Nhưng theo bài đăng trên LinkedIn, Meta lại nói họ lo ngại cho tăng trưởng của doanh nghiệp châu Âu: “Những quy định quá mức như vậy sẽ cản trở việc phát triển/triển khai các mô hình AI frontier tại châu Âu, đồng thời làm nản lòng cả các doanh nghiệp châu Âu muốn xây dựng hoạt động kinh doanh trên đó”

  • Khi Meta nói rằng họ “chia sẻ mối lo ngại với các công ty khác”, ý thực sự chỉ là họ đang dùng lập luận thuận tiện nhất cho PR vào thời điểm đó. Trên thực tế họ không hề quan tâm đến lợi ích công hay lợi ích của doanh nghiệp khác, mà chỉ muốn thu thập thêm dữ liệu và bán thêm quảng cáo

  • Nếu lướt qua Code of Practice thực tế thì chẳng có gì đặc biệt quá đáng hay có thể gọi là “lạm quyền quá mức”. Cuối cùng thì chỉ là các nhà cung cấp mô hình phải hành xử minh bạch, và điều này xung đột với cách làm lâu nay của Meta mà thôi

• Trong bài đăng LinkedIn của Kaplan hoàn toàn không nói rõ điểm nào của chính sách là vấn đề; thậm chí tôi nghĩ cái gọi là “cản trở tăng trưởng” có khi chỉ là những thứ khá khiêm tốn như bắt buộc opt-in khi tung tính năng mới

  • Cảm giác như trước bất kỳ quy định nào thì kiểu cái cớ này cũng luôn được đem ra dùng

• Môi trường toàn cầu ngày càng bị phân cực, và tôi nghĩ Meta cũng góp phần làm khuếch đại sự bất mãn và xung đột đó. Một ngày nào đó tôi muốn đến châu Âu và tự do sử dụng các LLM mã nguồn mở

• Tôi hy vọng cuộc thảo luận này sẽ không trôi theo kết luận rằng “có quy định thì AI sẽ ngừng phát triển”; chúng ta cũng cần đặt đủ giá trị vào việc bảo vệ bản quyền và nguồn gốc thông tin