AI观察｜欧盟新人工智能法案的10个关键事项【走出去智库】_风闻

走出去智库（CGGT）观察

1月10日，世界经济论坛发布《2024年全球风险报告》称，虚假和误导性信息在尖端人工智能（AI）的加持下，是全球经济面临的首要直接风险。目前，各国及相关国际组织都在加强对AI的监管，欧洲议会、欧盟理事会已于2023年12月8日达成了全球第一部关于人工智能领域的全面监管法规——《人工智能法案》的政治协议。

走出去智库（CGGT）特约法律专家、大成律师事务所上海办公室合伙人曲晓琨认为，欧盟对《人工智能法案》的定位奇高，意在续写《通用数据保护条例》（GDPR）的传奇，引领全球人工智能监管标准。相关企业应正确识别和减轻风险，确保在人工智能系统生命周期内进行充分的监测和监督。对此，企业应采取系列措施，相关措施可与组织现有的风险管理流程融合，特别是数据保护风险评估、供应商尽职调查和审计等等。

欧盟《人工智能法案》有哪些要点？今天，走出去智库（CGGT）刊发大成律师事务所曲晓琨等人的文章，供关注AI监管****的读者参阅。

要点

****1、****法案已经过多年谈判，但直到最后一刻，有关对通用型人工智能和基础模型进行监管的辩论，以及立法是否会过度阻碍创新的分歧一直存在。

****2、****法案确立了一种基于风险的方法：风险越高，规则越严。

****3、法案鼓励由国家当局建立的“监管沙盒”和“真实世界测试”，用于在投放市场之前开发和训练创新的人工智能。

正文

2023年，人工智能风起云涌。法律监管层面，国内《生成式人工智能服务管理暂行办法》适时出台，成为全球首部专门针对生成式人工智能的立法；与此同时，国外人工智能立法、执法（例如意大利个人数据保护机构针对ChatGPT的调查）亦动作频频。尤其是近来欧盟立法者已就《人工智能法案》（以下简称“法案”）达成初步政治协议，并预计于2024年初正式出台。欧盟对法案的定位奇高，意在续写GDPR传奇，引领全球人工智能监管标准。鉴于法案的域外效力（适用于欧盟境外的开发者、部署者，如果其人工智能系统投放到欧盟或其使用会影响到欧盟境内的人），对于出海欧盟的中国人工智能企业而言，需注意法案合规要求并着手应对。通过联合Dentons欧洲团队，我们对欧盟人工智能法案的10个关键事项（The New EU AI Act – the 10 key things you need to know now）进行编译，以供国内业界参考。

1、引领全球人工智能监管

2023 年 12 月 8 日，欧盟立法者就世界上第一部关于人工智能的综合性法律：新《人工智能法案》达成了临时政治协议。

法案已经过多年谈判，但直到最后一刻，有关对通用型人工智能和基础模型进行监管的辩论，以及立法是否会过度阻碍创新的分歧一直存在。

政治协议的达成意味着，尽管法案最终文本尚待定稿，但后续主要为法案原草案的清理工作。最终文本预计将于2024年初由议会和理事会正式通过成为欧盟法律。

下文总结了为达成政治协议而进行的长达37小时的马拉松式谈判所解决的主要问题，同时还就企业如何应对法案落地提供了建议。

2、规制对象：“人工智能系统”

历经争辩，法案最终采纳了OECD对人工智能的定义，回应了对哪些类型的系统应被作为“人工智能”进行监管的全球共识。

OECD对人工智能的定义是：“人工智能系统是一个基于机器的系统，对于显性或隐性目标，它从收到的输入中推断出如何生成输出，例如预测、内容、建议或决策，这些输出[能]影响物理或虚拟环境。不同的人工智能系统在部署后的自主性和适应性水平各不相同。[1]”

上述定义较为宽泛。其中，用以生成输出的输入可以由机器（例如自动驾驶汽车的传感器）提供，也可以由人类（例如聊天机器人的提示）提供，进而，将“内容”作为输出则进一步明确了生成式人工智能将落入规制范围。

3、基于风险的分级监管方法

法案确立了一种基于风险的方法：风险越高，规则越严。法案根据人工智能的潜在风险和对个人以及社会的影响程度，规定了人工智能的义务。相应地，人工智能系统分为最小风险系统、有限风险系统和高风险系统，以及被禁止的人工智能系统（详见下文第5项）。

具有最小风险的人工智能系统，其受欧盟现有立法规制而无需遵守额外的法律义务。

有限风险的人工智能系统将受到透明度要求的约束。例如，用户应该被告知其在与人工智能系统进行交互。

对于被归类为高风险的人工智能系统（由于它们对健康、安全、基本权利、环境、民主和法治的重大潜在危害），将适用严格的义务，包括：强制性的“基本权利影响评估”，以及符合性评定、数据治理要求、在欧盟数据库中登记、风险管理和质量管理体系、透明度、人工监督、准确性、稳健性以及网络安全等。此类系统的例子包括但不限于：

·关键基础设施管理，例如供水、供气、供热、供电等；

·教育和职业培训，例如评估学习结果、指导学习过程、监督作弊等；

·招聘和用工管理，例如定向职位广告、分析和筛选求职申请、对求职者进行评估等；

·获取基本的私营和公共服务和福利（例如医疗）、自然人信用评估、人寿健康保险风险评估和定价；

·用于执法、边境管制、司法等的特定系统；

·生物识别、分类，以及情绪识别系统（禁止分类以外的）。

有鉴于此，高风险的人工智能系统将需要广泛的治理来确保合规性。

4、通用型人工智能系统和基础模型

这是最后谈判的一个关键领域。

通用型人工智能系统（general-purpose AI systems, GPAI）将受到专门规制，包括起草技术文档、遵守欧盟版权法以及提供用于模型训练的内容的详细摘要（提高透明度）。

对于可能产生系统性风险的高影响力GPAI模型，还将适用额外的义务，例如模型评估、系统性风险评估和缓解、对抗性测试、向欧盟委员会报告严重事件、网络安全和能效报告（在统一的欧盟标准发布之前，具有系统性风险的GPAI可以依靠实践守则来满足法案要求）。

5、被禁止的人工智能系统

某些被认为对人类基本权利构成明显威胁的高风险人工智能系统将被禁止，例如：

·基于敏感特征（如政治、宗教和哲学信仰、性取向、种族）的生物分类系统；

·从互联网或闭路电视录像中无针对性地抓取面部图像以创建面部识别数据库；

·工作场所和教育机构中的情绪识别；

·基于社会行为或个人特征的社会评分；

·操纵人类行为以规避其自由意志的人工智能系统；

·利用人们的脆弱性（由于他们的年龄、残疾、社会或经济状况）的人工智能；

·预测性警务应用，即基于分析过去的犯罪行为评估自然人犯罪或再犯罪的风险；和

·执法时在公共场所使用实时生物识别（特定情况除外）。

执法机构将人工智能系统用于其机构性目的将受到特定保障措施的约束。

6、鼓励创新

法案鼓励由国家当局建立的“监管沙盒”和“真实世界测试”，用于在投放市场之前开发和训练创新的人工智能。这被视为政治团体的一个关键“胜利”，这些团体在欧盟寻求为人工智能的发展提供一个有利于创新的和支持性的监管框架。

7、新的人工智能监管机构

欧盟立法机构同意建立新的监管机构，包括：

·人工智能办公室（AI Office），设在欧盟委员会内，负责监督最先进的人工智能模型，促进制定新的标准和测试实践，并在所有欧盟成员国执行共同规则。该机构可能类似近来英国和美国宣布建立的人工智能安全机构；

·独立专家组成的科学小组（scientific panel of independent experts），将就GPAI模型和高影响力GPAI模型向人工智能办公室提供建议，帮助制定评估基础模型能力的方法，并监测与基础模型相关的潜在重要安全风险；

·人工智能委员会（AI Board），由欧盟成员国代表组成，将作为欧盟委员会的协调平台和咨询机构，同时促进法案的实施（例如设计实践守则）；和

·面向利益相关方的咨询论坛（advisory forum），为人工智能委员会提供专业技术支持。

上述外部利益相关方参与的独立专家和咨询论坛亦可以为私营部门的人工智能治理模式树立榜样。

然而，各个成员国将采取哪种方式来建立各国的人工智能监管机构，是授权现有机构（例如数据保护机构），亦或选择其他选项（例如新的独立机构），有待观察。

8、违法处罚是什么？

不遵守法案将招致，从750万欧元或全球营业额的1.5%到3,500万欧元或全球营业额的7%范围内的罚款，取决于公司的具体违规行为和公司规模（中小企业从轻处罚、大型公司从重处罚）。

9、法案何时生效？

法案的最终文本可能会在2024年初于欧盟官方公报上公布，并于公布后第20天生效。

法案生效至全面施行将有两年过渡期。而在此之前，应在法案生效后六个月内淘汰被禁止的人工智能系统，有关GPAI治理的规定将在法案生效后12个月内施行。

10、企业现在如何为法案生效做准备？

在等待法案正式通过并完全生效的同时，使用或计划使用人工智能系统的企业应开始通过流程映射，并评估其人工智能系统与新法案的合规差距来应对新法案的影响。

作为起点，建议组织实施人工智能治理策略。我们认为，稳健的治理策略必须与业务目标保持一致，人工智能治理还需与旨在管理个人和非个人数据资产的举措协调，并遵守现有立法。

除此之外，还应考虑实施相关政策和流程框架，以确保只能引入合规的系统开发者，且只能开发和部署合规的人工智能系统。同时，应正确识别和减轻风险，确保在人工智能系统生命周期内进行充分的监测和监督。对此，应采取系列措施，相关措施可与组织现有的风险管理流程融合，特别是数据保护风险评估、供应商尽职调查和审计等等。

还建议企业仔细审视支持人工智能治理活动所需的内部和外部资源，这一里程碑可能成为人工智能治理专家人才竞赛的“发令枪”。

最后，建议企业进行全球性考量。尽管欧盟人工智能法案的领先性，企业在遵从法案合规要求时，还需关注、适配其他司法辖区关于人工智能的监管要求。

来源：大成上海办公室

注释：

[1]OECD‘s definition of AI: “An AI system is a machine-based system that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that [can] influence physical or virtual environments. Different AI systems vary in their levels of autonomy and adaptiveness after deployment.”