欧盟《人工智能法案》于2024年8月1日生效,在人工智能监管立法领域具有里程碑意义。
作为首部全面监管人工智能领域的法规,《人工智能法案》(以下简称《法案》)旨在确保技术创新兼顾公共安全、透明和道德标准。
在欧盟开展业务的出海中企需要了解并遵守《法案》规定,以降低财务和声誉风险。该法案现已生效,但部分条款将在未来两年内分阶段实施。
本文概述了《人工智能法案》的相关内容,重点关注其对跨国公司的影响。
背景和人工智能风险类别
欧盟《人工智能法案》对人工智能系统进行监管,欧洲议会将其定义为“能够通过分析其过往行为及自主工作的影响,在一定程度上对其行为进行调整”。
该法案适用于各种人工智能应用和行业,但对于以军事、国防或国家安全为目的或专为科学研究而开发使用的人工智能系统除外。
《法案》将人工智能系统的风险分为以下类别:
不可接受风险。
《法案》禁止使用具有此类风险的人工智能系统,包括政府的信用评分、使用语音辅助鼓励危险行为的玩具等。
高风险。
包括在以下领域使用的此类系统。(下一节将讨论相关义务。)
- 关键基础设施,如交通运输
- 教育或职业培训,如考试评分
- 工人雇佣和管理,如用于招聘的简历分类软件
- 基本服务,如信用评分
- 与基本权利相关的执法,如证据评价
- 移民、庇护和边境管理,如签证申请审查
- 司法和民主程序管理,如搜索法院裁决
有限风险。
相比高风险系统,此类人工智能系统只需满足低层级的透明度义务。根据该法案,系统提供商和部署者须明确告知最终用户其正在与人工智能进行交互,如与聊天机器人(而非真人)互动或观看深度伪造视频(并非来自真实事件、未经修改的视频)。此外,为向公众通报公共利益相关事项而发布的人工智能生成内容须添加标识。
低风险。
包括基于人工智能的视频游戏或垃圾邮件过滤器,此类系统不受该法案监管。
高风险系统:系统提供商和用户的义务
《法案》大部分规定都针对高风险系统,多由系统提供商(即开发商)承担。提供商是指位于欧盟或非欧盟国家(即第三国)、拟在欧盟部署或投放高风险系统的企业或个人,包括位于第三国、但其人工智能系统输出在欧盟予以使用的提供商。
根据规定,高风险人工智能系统提供商须持续进行风险管理,记录合规情况,上报合规评估信息,提供使用说明确保用户合规操作,并采取其他措施以确保遵守该法案。
系统提供商须确保人工智能系统的输出以机器可读格式标记,并可检测为“人工智能生成或操作”。
用户是指以专业身份部署人工智能系统的使用者(不同于最终用户或消费者)。在欧盟使用人工智能系统输出时,用户包括位于欧盟和第三国的使用者。
根据该法案,高风险人工智能系统用户承担的义务少于系统提供商。最重要的是,该法案规定,高风险系统用户须按照提供商的使用说明监控系统运作。如果用户有理由相信按照提供商指示使用人工智能系统可能触发该法案规定的风险,则须通知提供商,并停止使用该系统。
如果用户生成或合成深度伪造的图像和其他内容,则须公开披露该等内容属于人工智能生成或合成。
通用人工智能 (GPAI) 和透明度
该法案将通用人工智能模型(如ChatGPT等大型生成式人工智能模型)与其他模型相区分。GPAI模型使用海量数据进行训练,可执行多种任务,并可与其他系统或应用程序相集成。GPAI系统以GPAI模型为基础,可用作或集成至高风险人工智能系统。
为提高透明度,GPAI模型提供商须向下游提供商披露相关信息,还须制定政策,确保在训练模型时遵守版权法的规定。
为防范系统性风险,该法案还对用于训练模型的累计算力设定了阈值。达到阈值的GPAI模型提供商须联系欧盟当局。具有系统性风险的GPAI模型还须接受评估,测算并降低风险,报告严重事件,并实施适当的网络安全控制。
实施时间
欧盟《人工智能法案》于2024年8月1日颁布,并在生效后24个月内全面适用。法案条款将分阶段实施,主要时间节点包括:
禁止使用具有不可接受风险的人工智能系统:颁布之日起6个月后生效。
实践准则:颁布之日起9个月后生效。
GPAI透明度要求:颁布之日起12个月后生效。
附件三中的高风险人工智能系统,如生物识别、教育和就业所用系统:颁布之日起24个月后生效。
附件一中的高风险人工智能系统,涉及机械、玩具和燃气器具等领域:颁布之日起36个月后生效。
违规处罚
欧盟各成员国根据法案规定的阈值自行制定罚则。例如,违反禁令或数据要求将处以最高3,500万欧元或公司上一财年全球营业总额7%(以较高者为准)的罚款。
欧盟委员会还可对GPAI模型提供商处以1,500万欧元或公司上一财年全球营业总额3%的罚款。
跨国公司的跨境合规和其他考虑因素
对于在欧盟内不同国家开展运营的跨国公司来说,确保合规无疑是一项严峻的挑战。《法案》旨在欧盟范围内作统一规定,但各国对规则的解释和执行可能有所不同。在欧盟开展运营的跨国公司须考虑不确定性风险。
例如,6月,由于监管的不确定性,苹果决定推迟在欧盟发布人工智能产品。7月,出于同样的原因,Meta在声明中表示公司不会在欧盟发布人工智能模型。尽管如此,鉴于欧盟市场的规模和重要地位,各大人工智能开发商和用户终须落实相关政策和程序,以遵守《人工智能法案》以及GDPR等其他欧盟法规。
跨国公司还须关注欧盟以外其他国家/地区出台的最新法规。随着人工智能技术的持续快速发展,相关法规的数量势必只增不减。例如,2023年,美国总统拜登签署了一项行政命令,旨在设立安全标准,并要求大型人工智能系统研发人员与政府分享安全测试结果及其他信息。今年,我国也发布了有关人工智能服务安全基本要求的草案。
回到欧盟《人工智能法案》,跨国公司应认识到,该法案项下的系统提供商和用户涉及许多企业,且数量不断增多。如果人工智能开发商在欧盟提供人工智能输出,则须了解并遵守该法案的规定,履行相关义务。同样重要的是,尽管跨国雇主并未直接参与人工智能系统的开发,仍应了解其作为用户(即部署者)在新法规项下的义务。
例如,如果跨国雇主在欧盟使用高风险人工智能系统招聘员工,则须了解并遵循系统提供商的使用说明。如果雇主有理由相信按照提供商指示使用人工智能系统可能触发法案规定的风险,则须通知提供商并停止使用该系统。雇主还须确保对招聘流程进行人工监督。
鉴于《人工智能法案》的复杂性以及其他主要经济体中人工智能相关法规的不断增加,大多数跨国公司希望聘请像Vistra卓佳这样的第三方专家,随时随地获取信息和建议,以降低其在运营所在国家/地区的合规和声誉风险。
凭借遍布全球主要司法管辖区的合规专家网络,Vistra卓佳可以提供全面及一体化的全球监管合规服务,助力出海中企跨越跨境合规的巨大挑战。
作者介绍
Reyna Hu
公司服务业务发展主管
Vistra卓佳大中华区
长按识别二维码或点击「阅读原文」,完善相关信息,我们的专业团队将会尽快联系您。
在Vistra卓佳,我们的宗旨是推动蓬勃发展。作为客户最坚定的盟友,我们为客户消除全球业务的繁琐流程。我们与各类企业和私募基金管理人合作,全程为客户保驾护航。无论是实体管理、财税规划、人力资源还是监管合规,我们致力于解决运营和管理难题,让您无后顾之忧。我们在50多个市场拥有9,000多名专家,凭借这一优势,我们能够加快进展、优化流程、降低风险,助您实现远大目标。
免责声明:本文件的内容仅供参考。文件中的任何内容均不构成法律或其他专业意见。任何人因本文件的内容而采取或不采取任何行动而造成的任何后果或损失,Vistra Holdings S.à r.l.或其任何集团成员公司、子公司或关联公司等均不对该后果或损失承担任何责任。本文件必须与我们的法律和合规声明(包括免责声明)一起阅读,并且受其约束,法律和合规声明可于www.vistra.com/notices获取。© 2024 Vistra Group Holdings S.A.版权所有。
如需转载,请原文转载并注明出处。如欲对本文进行修改,须在发布前获得Vistra卓佳书面同意。