《欧盟人工智能法》(人工智能法)于2024年8月1日正式生效,该法是欧盟在人工智能(AI)监管领域的里程碑式立法,将对在欧盟及其他地区开发或使用AI的组织产生重大影响。
基于风险和技术,人工智能法对在欧盟开发、使用、分销或进口AI系统的组织施加相应的义务,违规者可能面临最高达3500万欧元或全球年营业额7%的罚款。
人工智能法的适用范围
人工智能法的具体适用取决于所涉及的AI技术、使用场景及经营者的角色。风险分级如下图所示。简而言之:
用于特定目的的AI系统将被禁止。
部分AI系统将被指定为“高风险人工智能系统”(HRAIS)并受制于更广泛的义务(尤其针对系统提供者)。
通用目的人工智能(GPAI)模型将适用一系列特别规定,不论其具体使用场景。
其他系统将被视为低风险,仅在与自然人互动的情形下受到有限的透明度义务的约束。
人工智能法的实施阶段
人工智能法的大多数规定将在生效两年后(2026年8月1日)正式实施。相应的合规指引及标准等辅助性文件将在这两年间出台,以协助企业实施合规整改。例外情形包括:
关于特定AI系统的禁止规定以及针对AI素养的规定将在法律生效6个月后实施(2025年2月1日);
针对GPAI的规定将在法律生效12个月后实施(2025年8月1日)。
AI系统的定义
人工智能法的大部分义务都与AI系统相关,该法为AI系统赋予了宽泛的定义:“基于机器的系统,被设计为以不同程度的自主方式运行且可在部署后表现出适应性;该系统可为明确或隐含的目标,从其接收到的输入中推断出如何生成可影响物理或虚拟环境的输出结果,例如预测、内容、建议或决策。”
人工智能法还针对部分可支撑多种AI系统的GPAI模型提出了单独的义务。
被禁止的AI系统
人工智能法禁止使用特定类型的AI系统,包括但不限于:
用于生物特征分类和识别的特定AI系统,包括那些从互联网上无针对性地抓取面部数据的系统。
采用潜意识技术、利用漏洞或操纵人类行为以规避基本权利或造成身心伤害的AI系统。
在执法、边境管理、工作场所和教育中用于情绪识别的AI系统。
根据自然人个人或群体在一段时间内的社会行为,对其进行社会评分评估或分类的AI系统。
高风险AI系统(HRAIS)
在人工智能法项下,HRAIS将承担最严格的合规义务,这包括欧盟现有产品安全立法所覆盖领域的AI系统,以及将用于特定目的(特别是在以下领域)的AI系统:
在供水、供气和供电等重要公共基础设施的管理和运行中用作安全组件的AI系统。
用于决定教育机构入学资格或学生评估的AI系统,例如用于考试评分的AI系统。
用于招聘和就业的AI系统,例如发布招聘广告、求职者评分、审查求职申请、作出晋升或解雇决策,或审查工作的AI系统。
用于移民、避难和边境管理,或其他各种执法和司法领域的AI系统。
用于影响民主程序的结果或选民投票行为的AI系统。
在保险和银行业中使用的AI系统。
需要注意的是,HRAIS清单并不是封闭的,未来可能随着其他高风险AI用途的出现而相应扩充。
下文总结的HRAIS的合规义务主要适用于AI系统的提供者,即自主或委托他人开发AI系统,并以自己的名义或商标将其投放市场或投入使用的个人或组织。
其他经营者(包括部属者、分销商和进口商)所承担的合规义务相对较轻,但在特定情形下,其他经营者也可能被视为AI系统的提供者,例如当他们对HRAIS系统作出了重大修改,或以自己的名义将系统投入使用。
提供者须承担的义务包括:
风险管理体系:实施贯穿HRAIS全生命周期的流程,以识别、分析及降低风险。
数据及数据治理措施:按照严格的数据治理措施对HRAIS进行训练和测试。
技术文档:为HRAIS起草一份全面的“手册”,其中包含具体的最低限度信息。
记录保存:HRAIS的设计须确保自动记录事件,包括使用时间、输入数据等,且提供者须在规定的期限内保存这些记录。
透明度:HRAIS须附有使用说明,包括关于其特点、功能及限制的详细信息。
人工监督:HRAIS的设计须使其能够被符合要求的自然人监督,相关要求包括了解HRAIS(即具有AI素养)以及可以停止HRAIS系统的使用。
准确性、稳健性及网络安全:HRAIS必须准确(使用说明中应包含准确性指标),能抵御错误或不一致(例如通过故障安全计划)并能抵御网络攻击。
质量管理系统:HRAIS提供者必须建立全面的质量管理系统。
上市后监测:提供者必须提供记录系统,以收集和分析用户在HRAIS生命周期中提供的关于其性能的数据。
此外,在将HRAIS系统投放市场之前,提供者还需承担程序性义务:
CE标识:提供者必须确保HRAIS在投放市场前经过合格性评估程序,并在其文件附上加贴CE标识。
欧盟数据库注册:HRAIS的提供者及使用系统的公共机构必须在欧盟的AI系统数据库注册相关HRAIS。
报告义务:提供者必须在HRAIS出现严重事件或故障的15天内向相关监管机构报告。
其他HRAIS经营者的义务包括完成基础权利影响评估、确保按使用说明使用HRAIS系统、监测系统的运行,及保存在他们控制下的HRAIS生成的日志记录。
通用目的AI(GPAI)
除了被禁止的AI和HRAIS,人工智能法还对GPAI提出了比较严格的要求,主要集中在透明度方面。所有GPAI模型(包括基础模型和生成式AI模型)都须发布技术文档、遵守欧盟版权法,并提供模型训练数据的摘要。
基于部分GPAI模型可能对价值链带来的潜在系统性风险,人工智能法还对在大量数据集上训练并表现出优越性能的GPAI提出了额外的要求(具有系统性风险的GPAI),包括:
严格的模型评估,包括对抗性测试/红队测试(模拟对抗性攻击的测试,以评估和提高系统的安全性)。
评估并减轻可能因使用GPAI而产生的系统风险。
更为严格的向监管机构报告的义务,尤其是当发生严重事件时。
确保对具有系统性风险的GPAI采取足够的网络安全保护。
报告GPAI的能效。
其他AI系统
除上述内容及两种特定的豁免情形(军事或国防、研究和创新)外,对其他AI系统的唯一约束性要求是有限的透明度义务:提供者在设计和开发旨在与自然人互动的AI系统时,应确保自然人可意识到他们正在与AI系统互动。
但同时,所有AI系统的部署者和提供者都有一项普遍义务,即确保其负责操作和使用AI系统的工作人员具备足够的AI素养。AI素养的适当水平取决于工作人员的教育程度、专业技能和技术知识,以及相关AI系统的使用场景。
违规处罚
人工智能法针对违规行为规定了严厉的处罚。根据违规类型和公司规模,罚款上限可达750万欧元(或前一财年全球营业额的1%)至3500万欧元(或前一财年全球年度营业额的7%)。企业应提前做好合规审查及采取相应的措施,避免违规风险和损失。
联系人
特别声明
西盟斯律师事务所版权所有。以上信息(包括通过本文访问的任何网站链接)仅供一般性参考,不应视为针对特定事务的法律意见或依据。在因本文内容而采取任何行动之前,应获得专业法律意见。
本文系西盟斯律师事务所原创,如需转载,请联系我们。
