欧盟《人工智能法案》深度解析 ——不同风险级别下人工智能系统的监管要求
发布时间:2025-04-16 20:20:07
欧盟《人工智能法案》深度解析
——不同风险级别下人工智能系统的监管要求
数据来源 | 欧盟《人工智能法案》正文(AI Act-1)及附件(AI Act ANNEX)
前 言
在2025年2月结束的巴黎人工智能行动峰会上,包括中国在内的61个国家签署《巴黎人工智能宣言》(以下简称“宣言”),美国和英国未签署宣言。宣言提出“开放”“包容”和“道德”三大核心原则,呼吁加强全球人工智能治理的协调,倡导“全球对话”,避免“市场集中”,以提升AI技术的可及性。《宣言》强调人工智能技术的发展应符合伦理道德标准,将AI能源消耗纳入监管范畴,着重强调技术在应对气候变化方面的责任,确保人工智能技术的开发与应用不会损害人类的根本利益。
宣言中提及的人工智能全球治理以及符合伦理道德标准的内容,实际早在2024年欧盟《人工智能法案》(以下简称“法案”)中已有详细的说明,该法案于2024年3月13日正式通过,标志着全球首部全面AI监管法规的诞生。法案以“风险分级”为核心逻辑,将AI系统划分为禁止类、高风险类、有限风险类、最小风险类四个级别,并设定差异化监管要求。有关这份法案的框架内容笔者已经在《欧盟人工智能方案》风险分级框架的文章中进行了详细介绍,本文将欧盟《人工智能法案》中不同级别AI系统风险的监管要求进行详细介绍。
本文基于法案原文及附件,为AI领域从业者提供逐条解析与合规指引,重点关注以下问题:
-
如何判断AI系统的风险级别?
-
不同风险级别对应的具体合规义务是什么?
-
可以准备的合规行动有哪些?
风险分级框架与监管逻辑
欧盟根据AI系统对人类健康、安全、基本权利及社会公共利益的潜在影响划分风险级别:
禁止类AI系统的法案要求(法案第5条)
(1) 明令禁止的AI实践
以下AI系统无论风险级别均不得在欧盟开发、部署或使用:
- 潜意识操纵技术:通过潜意识手段显著损害个人自主决策能力的系统(例如利用神经科学操纵消费者行为);
- 利用特定弱势群体:针对残障人士、儿童等弱势群体进行剥削或行为诱导的AI系统;
- 社会评分系统:基于个人行为/特征进行社会信用评估,导致系统性歧视或权利限制的系统;
- 实时远程生物识别:执法机构在公共场所进行实时生物识别(法案第5(1)(d)条,仅允许有限例外)。
(2)法律后果
- 刑事处罚:违反禁令的企业最高可处全球营业额7%的罚款;
- 产品下架:已投放市场的系统需立即撤回并销毁。
高风险类AI系统的监管要求(法案第6-51条)
(1)定义与分类(附件III清单)
高风险AI系统需同时满足以下两个条件:
- 属于法案附件III列明的8大领域;
- 在对应领域内执行特定功能。
(完整清单详见法案附件<AI Act ANNEX>III,共22类场景)
(2)核心合规义务(法案第8-15条)
(3)合格评定与市场准入(法案第16-29条)
- 第三方评估:远程生物识别、执法系统等特定高风险AI需由欧盟指定机构进行合规性评估;
- 自我声明+CE标志:其他高风险系统可通过内部评估+技术文档提交获得CE认证;
- 进口商责任:非欧盟企业需指定欧盟境内法律代表,承担连带责任。
(4)持续合规与处罚(法案第63-71条)
- 市场后监控:建立用户反馈机制,每年提交系统性能与风险报告;
- 重大事故报告:因AI系统导致人身伤害或权利侵害时,72小时内向监管机构报告;
- 处罚标准:不合规企业最高处全球营业额3%罚款,提供虚假信息最高处2%罚款。
有限风险类AI系统的监管要求(法案第52条)
(1)定义与范围
需履行透明度义务的AI系统包括:
- 交互式AI:与用户实时交互的系统(如聊天机器人、虚拟助手);
- 情感识别/生物识别分类:通过语音、面部、生理信号识别情绪或属性的系统;
- 生成/操纵内容:生成或修改图像、音频、视频内容的AI(如Deepfake、AI换脸工具)。
(2)核心合规义务
- 显著标识义务:确保用户明确知晓其在与AI交互(例如聊天机器人需标注“此为AI对话系统”);
- 内容生成披露:AI生成的文本、图像、视频需标注“由人工智能生成”(法案第52(3)条);
- 数据保护合规:涉及个人数据的系统需符合GDPR要求(例如生物识别数据需单独授权)。
最小风险类AI系统的法案要求
(1)定义与范围
法案未对最小风险系统设定强制义务,但鼓励行业自律,典型场景包括:
- 垃圾邮件过滤、智能推荐算法(非个性化广告)、游戏AI、工业流程优化工具等。
(2)建议性措施
- 自愿性认证:可申请欧盟AI质量标签(非强制);
- 伦理准则:参考《可信AI伦理指南》设计系统(例如避免性别/种族偏见)。
拓展信息:企业可以准备的合规行动有哪些
(1)确定和管理AI系统风险
法案未对最小风险系统设定强制义务,但鼓励行业自律,典型场景包括:
- 确定当前AI系统的风险级别;
- 基于法案监管要求进行彻底的差距分析,以确定不合规领域,并制定行动计划来解决这些差距;
- 持续关注并管理第三方服务供方打算如何遵守欧盟人工智能法案,确定他们需要提供哪些技术文档,以使企业能够管理第三方服务供方所提供的产品及服务可能对企业自己产生的影响。
(2)对AI系统采取适宜的治理行动
- 明确对AI系统进行合规治理的方针政策,在企业内部建立一套人工智能系统开发、部署和维护的合规管理体系,以符合欧盟人工智能法案的要求和监管标准;
- 应积极与包括客户和合作伙伴在内的所有利益相关方透明地沟通合规方针和政策,以确保符合法案对企业和所有利益相关者的合规要求;
- 应在企业内部实施和维护一个适宜的数据治理框架,以确保AI系统数据的质量、安全和隐私;该框架应遵照敏捷原则,以不断适应未来的技术和法规变化;
- 应基于欧盟人工智能法案要求对AI系统涉及的技术文件和记录进行适宜和有效的管理,以确保AI系统的合规管理有据可查;
- 应对企业员工进行AI道德和合规性培训,以确保员工能够有充分的心理预期并做好尽到合规义务的准备。
声明:本文内容均基于欧盟《人工智能法案》官方文本(AI Act-1及附件)解读,不构成法律意见。
