背景
- 2021年4月,欧盟委员会提出了《人工智能法案》草案,和与欧盟成员国共同制定的新协调计划,旨在保障人们和企业的安全与基本权利,同时加强欧盟各国的投资和创新。
- 2023年12月,欧盟各立法者就《人工智能法案》临时协议,法案预计将于2024年7月底生效。
- 2024年8月1日,欧盟《人工智能法案》正式生效。
欧洲的人工智能监管正在进入关键阶段。随着欧盟《人工智能法案》(EU Artificial Intelligence Act, 简称AI Act,下简称《AI法案》)的部分要求将在2026年实施,企业在AI系统的治理、记录和监控方面面临根本性转变。
根据相关法规要求,AI不再被欧盟视为中性技术,因此AI产品须根据其对安全、基本权利和社会影响构成的风险水平进行评估。当前,产品的合规与否,取决于理解每个AI系统在其整个生命周期内如何被分类和治理。此类要求适用于在自身流程中开发、实施或使用AI的组织。
本文基于前期欧盟《AI法案》的总体合规要点,就在该法案管理框架下的AI治理如何运作进行进一步分析,重点包括但不限于:风险分级在实践中意味什么、企业如何为合规做准备等。
前期关于《AI法案》2026合规要点的报道,欢迎访问:
欧盟合规指南:《人工智能法案》(AI Act)2026合规要点
为何AI治理现已成为法律要求?
过去,AI治理在很大程度上是自愿进行,遵循伦理框架或内部最佳实践。欧盟《AI法案》的治理和风险分级要求引入了适用于所有部门和行业的具有约束力的法律义务,改变了这一情况。
根据该法规,企业必须证明其能够:
识别和评估AI风险
将具体问责具体到整个组织内的不同部门
在系统部署和使用过程中保持监督
因此,AI治理不再仅限于开发团队。法务、合规、产品和风控部门都应为确保AI系统满足监管期望方面发挥关键作用。
不同风险等级的AI产品,合规要求分别是什么?
欧盟《AI法案》主要的监管措施是基于风险的方法,其决定了适用于AI系统的监管控制水平。每个使用AI的组织都必须评估其系统在此背景下的程度,且企治理和风险分级要求是强制性的,构成了合规的基础。
被禁止的AI实践
某些AI实践如果呈现不可接受的风险,则被完全禁止,具体比如,操纵行为或允许某些形式的生物特征监控的系统等。部署被禁止的AI系统可能导致立即的惩罚性措施,因此企业一定要彻底规避此类行为。
高风险AI系统
高风险AI系统被允许使用,但需进行严格监管。此类产品的定义是被用于敏感领域,包括但不限于:
就业和员工管理
教育和培训
信用评估和服务获取
受监管产品的安全组件
根据欧盟《AI法案》的治理和风险分级指南,高风险AI系统必须满足涵盖数据治理、风险管理、人工监督和记录在内的全面要求。
有限风险AI系统
对于法案定义的低风险AI系统,主要受透明度义务的约束,包括但不限于,此类产品和服务应在使用AI或内容由AI生成时告知用户。
极小风险AI系统
根据定义被归于此类的大多数AI应用,收到的监管干预最少,总体的管理原则是鼓励企业自愿遵守行为准则。
AI生命周期中的治理义务有哪些?
根据欧盟发布的监管要求,其实施的一项基本原则是,对于AI的治理和合规管理要求适用于其整个生命周期,而不仅仅是开发阶段。因此,公司需要开展合规管理的产品阶段包括:
设计和开发
数据收集和训练
部署和运营使用
上市后监控和更新
需要注意的是,开发者/企业每次对AI系统进行的更新或者变更,比如:多次重新训练模型或扩展功能等,都需要重新评估其风险等级和合规义务。同样的责任也落在使用第三方AI的组织身上。进口商、分销商和实施者可能根据其角色承担法律义务。
高风险AI系统的记录和可追溯性要求
想实现《AI法案》合规,对产品/系统进行透明、合理且有条理的记录是一个必要方面。具体来说,相关企业和组织需要保存的信息包括:
解释系统目的和设计的技术文档
用于训练和测试数据集的数据治理记录
证明缓解措施的风险管理文档
实现AI输出可追溯性的日志和记录
上述记录必须保持最新,并在主管单位要求时提供。即使AI系统运行正常,而不能满足此类存档和追随性要求,仍可能被认定为不合规。
作为核心合规原则的人工监督
《AI法案》的治理和风险分级要求,还强调AI系统必须保持在有意义的人工控制之下。因此,对于高风险AI系统,公司必须确保以下事项:
人类能够解读AI输出
存在明确的干预或推翻机制
监督AI系统的人员经过适当培训
这一要求具有重要影响,特别是对于高度自动化的决策系统。它要求组织重新评估授予AI工具的自主程度。
组织准备与AI治理结构要求
《AI法案》的治理和风险分级实际上要求组织围绕AI使其内部治理结构更加成熟,根据其具体治理和风险分级要求,AI合规的实现无法通过某一个部门孤立地解决,因此实现合规要点是,企业要保证其团队具备:
统一集中的AI系统清单
明确的所有权和问责制
AI治理与企业风险管理之间的整合
合规活动应尽早开展
尽管法规要求的一些企业义务还在逐步实施,但欧盟方面已经形成加强监管的趋势。监管机构会优先关注的,就是高风险AI系统和敏感用例。因此企业应尽早准备,将过渡期视为准备窗口,对于其管理合规风险至关重要。总的来说,公司需要保证其能够:
识别可能需要重新设计的AI系统
处理供应链合规依赖问题
避免在执法截止日期临近时匆忙补救
更多关于《AI法案》的前期报道,欢迎访问:
