胡静、陈境轩等：欧盟《人工智能法》亮点解读与中国企业的应对之策

　　当地时间 2024 年 3 月 13 日，欧洲议会正式投票通过并批准欧盟《人工智能法案》。这一里程碑事件会带来哪些影响？本文将为您解读欧盟《人工智能法案》的适用范围、与我国人工智能相关立法的区别、立法亮点等内容，并为中国境内企业提供应对建议。

　　一、立法宗旨

　　从欧盟《人工智能法》的鉴于条款以及主条款不难看出，《人工智能法》的立法宗旨在于保障人工智能相关产业蓬勃发展、实现创新的同时，保障欧盟内主体能够免受人工智能系统与模型的有害影响。

　　从立法宗旨上来看，中国与欧盟对人工智能的管理存在相似性。《生成式人工智能服务管理暂行办法》第三条明确 “国家坚持发展和安全并重、促进创新和依法治理相结合的原则，采取有效措施鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管”。欧盟立法不但同样寻求在促进相关领域创新的基础上保障欧盟内主体免受人工智能系统的有害影响，同样采用了分类分级管理的思想。

　　二、背景及进程

　　欧洲议会目前已经通过《人工智能法》，接下来需要欧盟理事会正式通过。之后《人工智能法》将在欧盟《官方公报》上公布二十天后生效，并在生效 24 个月后完全适用，但以下情况除外：

　　1. 与被禁止的应用相关的规则将在生效日期六个月后适用；

　　2. 业务守则将在生效日期九个月后适用；

　　3. 包括治理在内的通用人工智能规则将在生效日期 12 个月后适用；

　　4. 高风险人工智能系统相关义务将在生效日期 36 个月后适用。

　　三、适用范围

　　从适用范围对比欧盟《人工智能法》与中国的人工智能相关立法，中国《生成式人工智能服务管理暂行办法》适用于向中国境内公众提供生成文本、图片、音频、视频等内容的服务；《互联网信息服务算法推荐管理规定》适用于在中国境内应用算法推荐技术提供互联网信息服务；《互联网信息服务深度合成管理规定》适用于在中国境内应用深度合成技术提供互联网信息服务。

　　而欧盟《人工智能法》不但适用于在欧盟境内将人工智能系统投放市场或提供服务或将通用人工智能模型投放市场的提供者，还适用于在欧盟内设立场所或位于欧盟内的人工智能系统部署者等主体，具有更广泛的适用范围。

　　此外，有别于欧盟《人工智能法》将相关主体细分为提供者、部署者、授权代表、进口商以及分销商的做法，我国的《生成式人工智能服务管理暂行办法》则主要将主体划分为生成式人工智能服务提供者以及使用者两类进行管理。

　　四、立法亮点

　　(一) 人工智能系统分类分级管理

　　人工智能系统的管理规则分类分级。应对不同人工智能系统的风险强度和范围，调整人工智能的管理规则的类型和内容。有的人工智能实践应当完全禁止，有的则可以适度减轻约束。

　　《人工智能法》将人工智能系统风险分为四个等级：不可接受的风险（Unacceptable Risk）、高风险（High Risk）、有限风险（Limited Risk）和低风险（Minimal Risk）。

　　根据《人工智能法》，一些人工智能系统因严重侵犯基本人权或违反欧盟价值观，将其投放市场，或是投入服务或使用的行为均应被禁止，即所谓 “不可接受的风险”。具体被禁止的对人工智能的应用标准如下：

　　1. 使用超出个人意识的潜意识技术或有目的地操纵或欺骗性技术，损害其作出知情决定的能力，实质性扭曲其行为，造成或可能造成重大伤害。

　　2. 利用个人与年龄、残疾或特定社会或经济状况相关的缺陷实质性扭曲其行为，造成或可能造成重大伤害。

　　3. 依据自然人或群体的社会行为、推断或预测的个性特征，对其进行社会性评价或分类，对其造成损害或不利待遇。

　　4. 仅通过自然人的画像或人格特征，评估或预测其实施犯罪行为的风险。

　　5. 通过从互联网或闭路电视录像中无差别爬取的面部图像来创建或扩展面部识别数据库。

　　6. 在工作场所和教育机构领域使用人工智能系统推断自然人的情绪（情绪识别）。

　　7. 通过生物数据对人进行分类，以推测种族、政治观点、工会成员身份、宗教或哲学信仰、性生活或性取向。

　　8. 除特定情况下必要外，在公共场合使用实时的远程生物识别系统识别特定个人。

　　不遵守规定进行上述被禁止的对人工智能的应用的，如是自然人则最高将面临 3500 万欧元的罚款；如果是非小微型企业，最高为其上一财政年度全球年营业总额的 7% 或 3500 万欧元取高者；如果是小微型企业，最高为其上一财政年度全球年营业总额的 7% 或 3500 万欧元取低者。该等处罚力度也是《人工智能法》下最重的。相较于中国在人工智能相关立法下的执法力度，欧盟《人工智能法》无疑在整体上延续了欧盟《通用数据保护条例》的力度，意图采用高昂的罚款让相关企业自觉遵守相关规定。

　　高风险人工智能系统是《人工智能法》的监管重点，人工智能系统如果被用作产品的安全组件（“安全组件” 是指产品的一个组件，该组件对该产品或系统具有安全功能，或其故障或失灵危及人或财产的健康和安全），或者这些系统本身就是《人工智能法》附件一所涵盖的产品，并且这些产品必须通过第三方合格性评估才能投放市场或提供服务，那么这样的系统被视为高风险系统。除了上述情况外，《人工智能法》附件三所列领域（包括生物识别、关键基础设施、教育、职业培训、就业、获得和享受基本私人服务以及基本公共服务和福利、执法部门、移民、庇护和边境控制管理、司法和民主进程等）的人工智能系统也被视为高风险系统。

　　“有限风险” 是指用户在使用人工智能系统过程中相关人工智能系统缺乏透明度的风险。《人工智能法》为此引入了具体的透明度义务，要求人工智能系统在必要时告知用户。例如，当用户使用聊天机器人等人工智能系统时，应该让用户意识到他们正在与人工智能（而不是真人）互动，用户可以决定继续聊天或者退出。当前市场上常见的属于有限风险的人工智能系统有 ChatGPT、Gemini 等。

　　最后，《人工智能法》允许自由使用低风险的人工智能系统，包括使用人工智能的游戏和垃圾邮件过滤器等系统。目前欧盟使用的绝大多数人工智能系统都属于这一类。

　　(二) 高风险人工智能系统的全生命周期安全管理

　　如前述所言，对于高风险人工智能系统，欧盟《人工智能法》采用 “清单治理” 加“动态管理”的治理模式，对属于高风险人工智能系统的系统类型、领域进行枚举，并明确欧盟委员会可以通过立法修订，从而增加、修改高风险人工智能系统的清单，并以全生命周期模式对高风险人工智能系统进行管理。《人工智能法》从高风险人工智能投入市场、投入市场后监测、纠错、报告等后市场义务都进行了全面规定。具体主要义务如下：

　　1. 建立、实施、记录和维护风险管理系统；

　　2. 数据与数据治理（训练、验证与测试数据集等）；

　　3. 编制与更新技术文件；

　　4. 记录留存（日志）；

　　5. 透明度以及提供者应向部署者提供的信息；

　　6. 高风险人工智能系统的设计和开发方式应能在人工智能系统使用期间由自然人进行有效监督等人类监督要求；

　　7. 准确性、稳健性与网络安全；

　　8. 提供者需建立质量管理系统；

　　9. 纠正行动和提供信息的义务；

　　10. 合格性评估（第三方评估机构）与提交欧盟合格性声明；

　　11. CE 标识（遵循 765/2008 号条例第 30 条规定的一般原则等）；

　　12. 高风险人工智能系统登记（欧盟数据库）；

　　13. 后市场监测系统；

　　14. 严重事件的报告。

　　(三) 通用式人工智能模型监管要求

　　为了防止人工智能系统被滥用，尤其是通用型人工智能（“通用型人工智能”是指非为特殊目的进行特别设计的具有广泛适用性的人工智能系统，其一般功能包括但不限于图像和语音识别、音频和视频生成、模式检测、问答、翻译和其他功能）被部署者或其它使用者用于高风险的领域，《人工智能法》将通用式人工智能模型分为 “有系统性风险的人工智能模型” 以及一般性人工智能模型，并对有系统性风险的人工智能模型的提供者提出了更高的安全要求。在承担符合《人工智能法》第 53 条对一般性人工智能模型安全要求的义务以外，有系统性风险的人工智能模型还需要：

　　1. 根据反映先进技术水平的标准化协议和工具进行模型评估，包括对模型进行对抗测试并记录在案，以识别和降低系统性风险；

　　2. 评估和减轻欧盟层面可能存在的系统性风险，包括因开发、投放市场或使用具有系统性风险的通用人工智能模型而产生的系统性风险的来源；

　　3. 跟踪、记录并及时向人工智能办公室报告，并酌情向国家主管机关报告严重事件的相关信息以及为解决这些问题可能采取的纠正措施；

　　4. 确保对具有系统风险的通用人工智能模型和模型的物理基础设施提供足够水平的网络安全保护。

　　(四) 鼓励创新，更加细化的国家层面人工智能系统创新研发政策

　　《人工智能法》要求欧盟成员国创建人工智能监管沙盒，为广大人工智能企业提供创新、研发的良好环境，并专门为中小及初创型企业提供更为优越的条件。此外，《人工智能法》也对通过真实世界环境测试高风险人工智能系统提出了相应要求。

　　五、欧盟主要人工智能管理体系

　　欧盟的人工智能管理体系是一个多层次、多维度的框架，欧盟在考虑人工智能产业发展的同时，也较为关注人工智能对现有政治秩序与道德伦理的影响，在确保人工智能的发展和应用能够符合欧盟的价值观和法律标准的原则下，出台多部法律法规，形成了现有的人工智能管理体系。以下是欧盟主要人工智能管理体系的重要组成部分：

　　(一) 伦理原则

　　欧盟 2019 年发布了人工智能道德准则《Ethics Guidelines For Trustworthy AI》，其提出四项伦理准则：尊重人自主性、预防伤害、公平性和可解释性。它还提出实现可信赖人工智能的七个关键要素：人的能动性和监督；技术鲁棒性和安全性；隐私和数据管理；透明性；多样性、非歧视性和公平性；社会和环境福祉；问责。

　　(二) 监管框架

　　2024 年，欧洲议会通过了《人工智能法》，旨在构建一个以风险为基础的人工智能系统监管框架，将人工智能系统风险分级，基于风险等级实施分级管控，规制手段随着风险类型和大小程度进行动态调整，覆盖规制全过程。欧盟为规范欧洲的数据利用和流转制度，在前些年发布了《数字服务法案》（Digital Service Act）、《数字市场法案》（Digital Market Act）、《数据治理法案》（Digital Governance Act）等，这些与已经通过的《人工智能法案》共同构成欧盟数据战略框架下的重要监管规则。

　　(三) 数据和隐私保护

　　欧盟的《通用数据保护条例》（GDPR）为个人数据的保护提供了法律基础，人工智能系统在处理个人数据时也必须遵守这些规定。

　　(四) 研究和创新政策

　　欧盟通过 “地平线欧洲”（2021-2027）等研究计划支持人工智能的研究和创新，来保持欧盟在全球的竞争力。欧盟在构建其人工智能管理体系时，从技术层面入手，致力于加强数据的安全保护措施，确保个人数据的隐私和完整性，同时推动欧洲内部的数据流通和共享，以促进经济和社会的发展。欧盟也致力于建立平衡的监管机制，该机制旨在保障个人的基本权利，如隐私权、数据控制权等，同时鼓励创新和技术的进步。此外，为了防范算法自动化决策可能带来的潜在风险，如歧视、不公平和隐私泄露等问题，欧盟也积极建立相应的伦理价值标准。

　　(五) 与中国的对比

　　在立法框架上，相比与中国将人工智能细分为《生成式人工智能服务管理暂行办法》《互联网信息服务深度合成管理规定》《互联网信息服务算法推荐管理规定》《最高人民法院关于规范和加强人工智能司法应用的意见》《科技伦理审查办法（试行）》等领域进行分别管理，欧盟的《人工智能法》采用更为集中统一的管理模式，在一部法律中集中以风险识别为基础对人工智能相关系统与模型进行管理。

　　从内容上看，《生成式人工智能服务管理暂行办法》虽然同样对训练数据处理活动、数据标注等事项提出要求，但从整体上看，更注重生成式人工智能服务提供者与使用者的社会责任，包括对生成内容的审核、社会主义核心价值观的坚持、对未成年人防沉迷的注重等。

　　两个立法体系都对人工智能进行了严监管。中国在人工智能领域，对属于具有舆论属性或社会动员能力的生成式人工智能服务，需按规定开展安全评估，并履行互联网信息服务算法备案相关政府审批手续。欧盟《人工智能法》则对所有高风险人工智能系统提供者或其他相关角色提出了前置审批的要求，包括在投放市场或提供服务前经过合格性评估、应国家主管机关合理要求证明高风险人工智能系统符合相关要求等。

　　六、中国境内企业的应对之道

　　为应对欧盟《人工智能法》，中国企业可以从以下几个方面入手：

　　第一，熟悉条例提出的要求并对自身情况进行梳理。中国企业首先需要深入了解欧盟《人工智能法》的具体内容和要求，并结合《人工智能法》对人工智能系统提供者、部署者、分销商等不同角色的定义明确自身定位，厘清自身角色在《人工智能法》下所需履行的义务。建议中国企业在进行此步骤时及时寻求律师的帮助，以求实现对自身合规义务的准确梳理以及对应对策略的及时安排。

　　第二，风险评估与管理。对照《人工智能法》评估自身人工智能产品和服务进行全面自查，评估其是否属于条例下的高风险人工智能系统，以及是否符合相关要求。为此，企业内部应建立相应的风险评估机制、组织架构与人员安排，准确对自身系统 / 模型合规性作出判断。同样地，企业应当加强伦理审查方面的工作，保障自身人工智能产品和服务符合相应要求。

　　第三，建立一体化系统性的管理体系。欧盟境内包括《人工智能法》《通用数据保护条例》等完善的人工智能、数据隐私保护相关法律法规给企业提出了严格的合规要求，为此，企业应建立一体化系统性的人工智能管理体系，以实现多维度、多层次合规的同时，避免冗杂的管理架构带来的高昂成本与运行过程中的不便。

　　第四，采取全覆盖的研究培训机制。根据《人工智能法》的要求，中国企业不但需要密切关注欧盟境内对人工智能相关法律法规的最新动态与政策变化，还需要及时将相关要求在全企业范围内，对涉及部门与人员进行必要的培训，提升整体合规意识和能力。

　　七、结语

　　在人工智能如火如荼发展的今天，本法是欧盟在该领域内提出在世界范围内具有影响力的前沿立法举措。即便该部立法尚未正式生效，但是在欧洲议会投票通过之后，仍然是以 “一石激起千重浪” 的态势，引起了全球范围内业界专业人士的充分关注。持续关注该部立法的最新动态，势必将成为广大人工智能技术相关企业向欧盟发展、开拓市场的必修课。

　　来源：国浩律师事务所

　　作者：

• 　　胡静，国浩北京合伙人；业务领域：数据合规、出口管制与经济制裁、公司治理；邮箱：hujing@grandall.com.cn
• 　　陈境轩，国浩北京律师助理；业务领域：数据合规、公司治理、投资与并购；邮箱：chenjingxuan@grandall.com.cn
• 　　张钰坤，国浩北京实习律师；业务领域：数据合规、公司治理、投资与并购；邮箱：zhangyukun@grandall.com.cn
• 　　顾钰洁，国浩北京律师助理；业务领域：数据合规、公司治理、投资与并购；邮箱：guyujie@grandall.com.cn

（国浩北京实习生王伟博对本文亦有贡献。）

　　特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。