背景
- 2021年4月,欧盟委员会提出了《人工智能法案》草案,和与欧盟成员国共同制定的新协调计划,旨在保障人们和企业的安全与基本权利,同时加强欧盟各国的投资和创新。
- 2023年12月,欧盟各立法者就《人工智能法案》临时协议,法案预计将于2024年7月底生效。
- 2024年8月1日,欧盟《人工智能法案》正式生效。
随着欧盟《人工智能法案》(EU Artificial Intelligence Act, 简称AI Act)的通过,开发、部署或使用AI系统的企业,将首次面临一个有组织且可执行的监管框架,因为欧盟《人工智能法案》的合规要求不仅适用于总部位于欧盟的企业,也适用于其AI系统与欧盟市场相关的企业。
因此,相关企业应充分了解新的合规措施,并在2026年期间制定相应的合理规划。
本文将以问答的形式,就《人工智能法案》的运作方式、哪些AI系统受到影响,以及企业当前需要采取哪些行动来保持合规、降低监管风险等重点事项,做出解读。
《人工智能法案》对企业的合规要求是什么?
《人工智能法案》对合规要求是,要求企业基于AI系统对基本权利、安全和公共利益构成的风险水平,对其施加具有法律约束力的义务。而企业的具体义务,取决于其在AI价值链中的角色,例如提供者(provider)、部署者(deployer)、进口商(importer)和分销商(distributor),以及其AI系统的风险等级。
法案中对企业的合规要求范围广泛,从针对有限风险系统的透明度披露,到针对高风险AI系统的全面治理、记录和监测义务而不等。若未能合规,那么企业除遭受声誉损失外,还可能受到罚款和产品禁令。
为何《人工智能法案》对全球企业至关重要?
《人工智能法案》的实际实施效力,其实超越欧盟成员国国界。因为根据法案要求,任何将AI系统投放欧盟市场或在欧盟境内使用AI输出的企业,无论其设立于何地,都必须遵守该法案。因此,该法案对于跨国技术提供商、SaaS平台、使用AI赋能组件的制造商,以及内部部署AI用于决策的企业,均具有高度相关性。
该法案也与现有的欧盟产品安全、数据保护和消费者保护框架相协调。这意味着AI合规不再仅仅是技术问题,而是应被纳入产品治理和风险管理流程。
该法案对于AI产品的风险分类是什么?
基于风险的方法是《人工智能法案》对企业合规要求的核心特征。据此,AI系统被划分为四个主要组别:
不可接受风险AI(Unacceptable-risk AI):直接被禁止。
高风险AI(High-risk AI):允许使用,但须遵守严格的合规义务。
有限风险AI(Limited-risk AI):需采取透明度措施。
极小风险AI(Minimal-risk AI):基本上不受监管。
这意味着,AI系统必须被正确分类,这是合规的基础,因为它决定了应适用的要求以及监管机构可能采取的执法行动。
企业必须避免哪些被禁止的AI实践?
基于欧盟的基本价值观和权利,《人工智能法案》禁止某些AI实践,例如以有害方式操纵人类行为的AI系统、利用特定群体弱点的AI系统,或允许公共机构进行社会评价的AI系统。
企业必须确保其任何AI赋能功能、分析工具或决策系统都不属于这些被禁止的类别。即使是对被禁止用途的间接支持,例如供应使其得以实现的组件,也可能使企业面临制裁风险。
高风险AI系统有哪些核心合规要求?
《人工智能法案》为高风险AI系统规定了严格的合规措施。被定义为“高风险AI系统”的产品,通常涉及受监管或敏感的领域,例如就业、信用评估、生物特征识别、医疗保健、教育以及安全相关的产品功能。针对高风险AI,企业的合规义务包括:
实施风险管理系统。
确保高质量且具有代表性的训练数据。
建立人工监督机制(human oversight mechanisms)。
保存详细的技术文档。
在整个AI系统生命周期内证明其准确性、稳健性和网络安全性是强制要求。高风险AI系统在商业化之前通常需要经过合规评估。因此,企业应为上市后监督做好准备,并在出现风险时采取纠正措施。
法案对AI系统的透明度义务提出了什么要求
即使AI系统未被归类为高风险,企业仍可能负有透明度义务。法案要求,当用户与AI系统交互时、当内容由AI生成或操纵时、或当涉及生物特征分类时,用户需要被告知相关信息。
这些要求与AI产品的用户界面、标签、产品文档和客户沟通等环节直接相关。因此企业需要确保将透明且一致的措施纳入产品设计,而非事后补救。
生成式AI与通用人工智能的合规要求是什么?
《人工智能法案》对提供通用目的人工智能模型(General-Purpose AI,下简称GPAI)和生成式AI的企业或者相关方施加了特定义务。虽然此类系统未被归类为高风险,但产品的卖方须遵守透明度要求、版权保护措施和风险缓解规定。
如果企业使用或集成生成式AI,则必须进行后续风险评估。即使模型提供者(provider)承担了某些义务,部署者(deployer)仍需对AI结果的使用方式负责。因此,合同清晰度和供应商尽职调查便成为了合规的关键组成部分。
《人工智能法案》2026年将执行的要求是什么?
企业需要注意的是,欧盟AI合规正在分阶段实施。对构成不可接受风险的AI的禁令将首先适用,随后是治理和透明度义务。作为最后一步,高风险AI要求的全面实施将生效。
在2026年期间,企业将面临重大合规义务的生效。相关监管机构可能依据该法案对不合规的产品和企业处以罚款、限制市场准入,并要求对产品进行召回。因此,企业是否能提前规划对于避免监管压力的负面影响至关重要。
对于不合规产品和行为,法规规定的处罚与企业商业风险有哪些?
未能遵守《人工智能法案》可能导致最高3500万欧元或企业全球年营业额一定百分比的行政罚款,具体取决于侵权的严重程度。除经济处罚外,企业还可能面临运营中断、产品发布延迟、进口禁令以及客户声誉损害。
因此,AI监管机构、数据保护机构和市场监管机构之间的协调正在加强。执法行动可能具有高可见度并对企业声誉造成损害。所以,实现合规应被企业视为风险管理的战略重点。
依据《人工智能法案》,对想实现合规的企业有哪些建议?
对企业而言,欧盟AI合规需要建立一个结构化的、有文件记录的计划,因此建议:
首先,建立所有已开发、采购或部署的AI系统的全面清单,包括其用例和地理覆盖范围。
针对每个AI系统,根据欧盟《人工智能法案》风险类别确定适用的相应义务。
评估任何AI功能是否可能被视为被禁止,并重新设计或停止这些用途。
针对高风险AI系统,实施正规的风险管理流程、数据治理控制措施、人工监督程序和技术文档框架。
将透明度义务整合到产品界面和沟通中。
确保供应商和合同管理流程清晰明确。
将AI合规职责合理分配的在整个价值链的相关方和缓解中。
建立上市后监测、事件报告和内部培训计划,以确保随着系统演进持续保持合规。
那么企业应如何开始准备?
对欧盟《人工智能法案》的合规准备工作应早在生效日期之前就开始。对于企业而言,让法务、合规、产品和工程团队围绕对AI风险和监管期望的共同理解保持一致至关重要。
因此,通过制定内部AI治理政策、开展差距评估以及将合规纳入产品开发周期,可以显著降低企业被制裁或者处罚的风险。随着全球AI监管的持续演进,对监管指南进行持续、可扩展的监测以及落实合规流程变得至关重要。
更多关于AI Act的前期报道,欢迎访问:
