引言

當地時間2024年3月13日，歐洲議會在法國斯特拉斯堡以523票贊成、46票反對和49票棄權的壓倒性多數通過了世界上第一個全面的人工智能法律框架——歐盟《人工智能法案》（下稱“法案”）。法案預計將在今年5月生效，相關條款分階段實施。法案不僅對在歐盟運營的公司至關重要，而且由于該法案的域外效力，對非歐盟公司也將產生深遠影響。

一、法案的立法目的

法案由歐盟委員會于2021年4月21日正式提出，歷時近3年終于通過，旨在改善歐盟內部市場，促進以人為本、值得信賴的人工智能的應用，同時高度保護健康、安全、以及《歐盟基本權利憲章》規定的基本權利（包括民主、法治和環境保護），使其免受人工智能帶來的不利影響，并支持創新。

法案為整個人工智能產業鏈上的相關方提供了一個合規義務框架，以規范人工智能的開發和使用。與歐盟《通用數據保護條例》（GDPR）一樣，歐盟正通過其先發優勢，尋求為人工智能監管制定全球標準。

二、法案的主要內容

法案共計13章、113條，包括以下7個方面的內容：（1）人工智能系統（AI System）在歐盟市場上的投放、服務和使用的統一規則；（2）禁止某些人工智能行為；（3）對高風險人工智能系統的具體要求以及此類系統運營商的義務；（4）某些人工智能系統的統一透明度規則；（5）通用人工智能模型投放市場的統一規則；（6）關于市場監測、市場監督治理和執法的規則；（7）支持創新的措施，特別關注包括初創企業在內的中小企業。

我們將針對法案的適用范圍、人工智能系統風險分級管理、通用人工智能模型管理、執法與處罰、法案的生效與實施5項重要內容進行詳細闡述。

歐盟《人工智能法案》的章節目錄

（一）法案的適用范圍

法案適用主體廣泛，旨在規范整個人工智能產業鏈的主體，包括與歐盟市場有連接點的人工智能系統提供商（providers）、使用商（deployers）、進口商（importers）、分銷商（distributors）和產品制造商（product manufacturers）。

“人工智能系統”是指一種基于機器而以不同程度的自主性運行、在使用后可能表現出適應性的系統，且基于明確或隱含的目標，該系統從其接收的輸入中推斷出如何生成可能會影響物理或虛擬環境的輸出，如預測、內容、建議或決策。該定義的關鍵詞在于“推斷”和“自主”，這兩個關鍵詞將人工智能系統與任何其他通過嚴格算法預先確定輸出的軟件明確區分。這一定義遵循了經濟合作與發展組織（OECD）的相關定義，以確保其適用范圍不僅足以預見未來的技術進步，而且還能確保進行簡單自動計算的傳統軟件不在該法案的規制范疇。

歐盟《人工智能法案》的適用主體

當然，法案也規定了一些適用的例外情形，包括但不限于（1）法案不適用于僅為科學研究和開發目的而專門開發和投入使用的人工智能系統或人工智能模型及其輸出；（2）法案不適用于在純粹個人非專業活動中使用人工智能系統的自然人；（3）法案不適用于專門為軍事、國防或國家安全目的而投放市場、投入使用的人工智能系統，無論開展這些活動的實體屬于何種類型。

法案具有廣泛的域外適用效力，因此，不少中國企業也在其適用范圍之內，應予以關注。

（二）人工智能系統風險分級管理

法案基于人工智能系統對用戶和社會的潛在影響程度將其分為4類：不可接受風險類、高風險類、有限風險類、最小風險類。[1]每個類別適用不同程度的監管要求。高風險的人工智能系統須遵守更嚴格的合規要求，而構成不可接受風險的人工智能系統則被禁止。多數人工智能系統屬于風險較低的類別，但仍可能需要根據法案要求履行相應義務。

歐盟《人工智能法案》劃分的人工智能系統風險等級

1. 不可接受風險類人工智能系統

法案嚴格禁止某些人工智能行為。從廣義上講，該法案禁止任何試圖操縱人類行為、利用人性弱點或支持政府社會評分的人工智能系統。具體而言，以下人工智能系統將被禁止：

（1）使用潛意識的、操縱性的、或欺騙性的手段來扭曲行為，損害知情決策的能力，造成重大傷害；

（2）利用與年齡、殘疾或社會經濟狀況有關的弱點來扭曲行為，造成重大傷害；

（3）推斷敏感屬性（種族、政治觀點、工會會員身份、宗教或哲學信仰、性生活或性取向）的生物識別分類系統，但合法獲取的生物識別數據集的標記或過濾，以及執法部門對生物識別數據進行分類的情況除外；

（4）社會評分，即根據社會行為或個人特征對個人或群體進行評估或分類，從而對這些人造成不利或不利待遇；

（5）僅根據特征分析或個性特征評估個人實施刑事犯罪的風險，除非是根據與犯罪活動直接相關的客觀的、可核實的事實來加強人工評估；

（6）通過無針對性地從互聯網或閉路電視錄像中抓取面部圖像來編制面部識別數據庫；

（7）在工作場所或教育機構進行情緒識別，除非出于醫療或安全原因；

（8）在公共場所為執法部門進行“實時”遠程生物識別（RBI），但以下情況除外：

• 尋找失蹤人員、綁架受害者和被販賣或遭受性剝削的人；

• 防止對生命的重大和緊迫威脅，或可預見的恐怖襲擊；或

• 識別嚴重犯罪（如謀殺、強奸、武裝搶劫、毒品和非法武器販運、有組織犯罪和環境犯罪等）的嫌疑人。

2. 高風險類人工智能系統

高風險類的人工智能系統被認為對健康、安全、基本權利和法治構成重大威脅。法案規定的大部分義務適用于高風險的人工智能系統。這類系統可以進一步分為兩類。一類是人工智能系統作為安全部件的產品或人工智能系統本身作為產品，受歐盟安全立法規范，且需要根據此類法律進行第三方符合性評估。另一類是法案附件III（Annex III）明確指定為高風險的人工智能系統，包括用于以下領域的人工智能系統：

（1）用于未被禁止的生物識別系統，包括推斷受保護特征的系統、情感識別系統和遠程生物識別系統（不包括對個人的生物識別驗證）；

（2）用于管理關鍵基礎設施；

（3）用于教育和職業培訓；

（4）用于就業、員工管理和自營職業機會；

（5）用于獲得和享受基本私人服務以及基本公共服務和福利，如醫療保健或信貸（但用于金融檢測欺詐的除外）；

（6）用于執法；

（7）用于移民、庇護和邊境管制管理；

（8）用于司法和民主進程。

如果人工智能系統不會對自然人的健康、安全或基本權利造成重大損害風險，包括不會對決策結果產生實質性影響，則不會被視為高風險系統。在將屬于附件III但被視為非高風險的人工智能系統投放市場之前，提供商必須將其風險評估記錄在案，并在歐盟數據庫中注冊該系統。前述評估應考慮到可能造成傷害的嚴重性及其發生的概率。如果人工智能系統符合某些情況，例如，如果該系統只是為了執行狹義的程序任務或改善先前完成的人類活動的結果，則該系統可能不會被認定為高風險系統。然而，如果人工智能系統會對自然人進行特征分析，則該系統始終會被認定為高風險系統。

所有使用高風險人工智能系統的企業都必須履行廣泛的義務，包括滿足有關透明度、數據質量、記錄保存、人工監督和穩健性的具體要求。在進入市場之前，它們還必須接受符合性評估（Conformity Assessments），以證明它們滿足法案的要求。公民將有權提交有關人工智能系統的投訴，并獲得對基于高風險人工智能系統、影響其權利的決定的解釋。

高風險人工智能系統投放市場應履行的步驟

3. 有限風險類人工智能系統

有限風險類人工智能系統被認為不會構成任何嚴重威脅，與其相關的主要風險是缺乏透明度。法案對有限風險類人工智能系統施加了一定的透明度義務，以確保所有人類用戶在與人工智能系統互動時都能充分了解相關情況。例如，在使用聊天機器人等人工智能系統時，應讓人類意識到他們正在與一臺機器進行交互，以便他們在知情的情況下決定是否繼續。提供商還必須確保人工智能生成的內容是可識別的。此外，人工智能生成的文本在發布時必須標明是人工生成的，這也適用于構成深度偽造的音頻和視頻內容。

4. 最小風險類人工智能系統

法案允許自由使用最小風險類的人工智能系統，包括人工智能電子游戲或垃圾郵件過濾器等應用。歐盟目前使用的絕大多數人工智能系統都屬于這一類。

（三）通用人工智能模型的管理

根據法案，通用人工智能模型是一個包括使用大量數據進行大規模自我監督訓練的人工智能模型。該模型具有顯著的通用性，無論以何種方式投放市場，都能勝任各種不同的任務，并可集成到各種下游系統或應用中，但在投放市場前用于研究、開發或原型設計活動的人工智能模型除外。法案將通用人工智能模型分為不具有系統性風險的通用人工智能模型和具有系統性風險的通用人工智能模型。如果通用人工智能模型具有高度影響能力或被歐盟委員會認定為具有高度影響能力，則被視為構成系統性風險。當一個通用人工智能模型用于訓練的累計計算量（以FLOPs計）大于10^25時，應推定其具有高度影響能力。

1. 不具有系統性風險的通用人工智能模型

越來越多的通用人工智能模型正在成為人工智能系統的組成部分，這些模型可以執行和適應無數不同的任務。雖然通用人工智能模型可以實現更好、更強大的人工智能解決方案，但人類很難監控其所有能力。因此，法案為所有通用人工智能模型引入了透明度義務，以便更好地了解這些模型。

具體而言，不具有系統性風險的通用人工智能模型提供商應履行的義務包括但不限于：

（1）編制并不斷更新該模型的技術文件，包括其訓練和測試過程以及評估結果，以便應要求向歐盟人工智能辦公室和國家主管當局提供；

（2）為打算將通用人工智能模型納入其人工智能系統的提供商編制、不斷更新和提供信息和文件；

（3）制定遵守歐盟版權法的政策；

（4）根據歐盟人工智能辦公室提供的模板，就通用人工智能模型訓練所使用的內容起草并公布一份足夠詳細的摘要。

2. 具有系統性風險的通用人工智能模型

除應履行上述義務外，具有系統性風險的通用人工智能模型的提供商應履行額外的風險管理義務，包括但不限于：

（1）根據反映最新技術的標準化協議和工具進行模型評估，包括對模型進行對抗測試并記錄在案，以識別和降低系統性風險；

（2）評估并降低歐盟層面可能存在的系統性風險，包括因開發、投放市場、或使用具有系統性風險的通用人工智能模型而產生的系統性風險的來源；

（3）跟蹤、記錄并及時向歐盟人工智能辦公室報告，并酌情向國家主管機構報告嚴重事故的相關信息以及為解決這些問題可能采取的糾正措施；

（4）確保對具有系統風險的通用人工智能模型和模型的物理基礎設施提供適當水平的網絡安全保護。

（四）執法與處罰

歐盟人工智能辦公室成立于2024年2月，隸屬于歐盟委員會，負責監督法案在各成員國的執行和實施情況。由成員國代表組成的歐洲人工智能委員會將作為協調平臺，向歐盟委員會提供專業建議。法案將主要通過各成員國的主管機構來執行。成員國有義務在法案實施1年內向歐盟委員會提名相關國家主管機構，以便在每個成員國執行法案。

違反法案的處罰結果將取決于人工智能系統的類型、公司的規模和違法行為的嚴重程度，具體處罰規定如下：

（五）法案的生效和實施

法案將在歐盟官方公報公布20天后生效，并在生效2年后全面實施，但以下情況除外：

1. 有關總則、禁止性人工智能系統的規定（法案第一、二章），在法案生效之日起6個月實施；

2. 有關通知機構和被通知機構、治理、通用人工智能模型、處罰的規定（法案第三章第四節，第五、七、十二章，除第101條），在法案生效之日起12個月實施；

3. 有關某些高風險人工智能系統分類及相應義務的規定（法案第六條），在法案生效之日起36個月實施。

三、結語

在人工智能蓬勃發展的當下，越來越多的人開始意識到自動化算法將直接影響他們的生活。在人工智能帶給人類極大便利的同時，人們也在思考如何更合理地利用人工智能造福人類，并不斷探尋規范使用和發展人工智能之道。歐盟《人工智能法案》樹立了人類規范人工智能的典范，在人工智能發展史上具有里程碑意義。可以預見，在不久的將來，我們將迎來全球人工智能立法的熱潮、執法的趨嚴，中國企業需要把握全球人工智能監管的脈搏，未雨綢繆，迎接新的人工智能時代。