法案总体围绕“基于风险的框架”展开，包括不可接受风险（禁止使用），高风险（设定若干法定义务），有限风险（有限的透明性义务）、低风险（豁免适用）。其中，不可接受风险包括社会信用评分、在工作和教育中的情绪识别系统、预测性警务等。在谈判过程中，是否应禁止“在公共场所将实时生物识别系统用于执法”分歧最大。例如，欧盟理事会提出恐怖袭击等部分例外，欧洲议会则强烈反对设置任何例外。

在最终妥协方案中，规定例外情况仅适用于恐怖袭击、搜寻特定情况的受害者等少数情形，且需司法授权并遵循严格的时间地点限制。“高风险”则包括了医疗设备、汽车、招聘、教育、选举、关键基础设施、情绪识别系统等八类场景应用，与此前变化不大

二、从立法意图来看，在抵制中美巨头企业利益攫取和促进本土产业发展间取得艰难平衡

一方面，欧盟延续以往“数字产业落后、法律规则引领”的路径。欧盟发布的《2030数字指南针：欧洲数字十年之路》报告指出，全球只有不到4%的科技企业来自欧盟，90%的欧盟数据由美国企业管理，而欧盟地区制造的芯片只占欧盟市场的10%。因此，欧盟只能凭借其巨大消费市场的吸引力，通过单方面制定法律制度，对全球商业环境和规则体系形成“布鲁塞尔效应”，进而获取谈判资本和再次利益分配。

另一方面，欧盟也面临部分成员国人工智能产业发展强烈诉求。11月，德法意发布联合文件，要求采用“自愿承诺、暂不制裁”的方式为大模型开发“松绑”，以期对本国正处于发展之中的人工智能公司（如法国Mistral，德国Aleph Alpha）予以保护。为此，欧盟不得不在各方争议和妥协中寻求“极为微妙的平衡”。例如，对中小企业提供监管沙箱，酌情减少认证费用，对基础模型进行分层治理等。

三、从新趋势回应来看，将通用人工智能单列于“四级风险”框架外，并区分了宽严两层义务内容

一是明确概念范围。将参数、算力作为重要的判定标准，初步将通用人工智能（GPAI）界定为超过10亿参数，具有显著通用性的人工智能；又将其中每秒浮点运算（FLOP）超过1025，在价值链中大规模传播的高影响力模型界定为具有系统性风险（systemic risk）的通用人工智能，例如，GPT-4、Gemini等。

二是区分义务要求。对于普通GPAI提供者，仅需承担提供技术文件、训练数据、版权信息等有限的透明度义务。对于系统性风险的GPAI提供者，则需额外承担红队测试、严重事故报告、基础设施网络安全保护、能耗报告等更重义务。有关智库指出，欧盟大部分企业不是GPAI提供者，而是部署者，因此加强对上游基础模型的监管，实际上有助于减轻欧洲中小企业的负担。

三是放松对开源模型的监管。2023年6月欧洲议会通过的法案版本中，开源模型需与闭源模型承担同样严格的义务，而此次版本对开源模型进行“松绑”，仅要求具有系统性风险的开源模型承担相应义务。四是组织保障。欧盟将在欧盟委员会内设立人工智能办公室，负责监督GPAI模型风险、制定标准等，并由独立专家组成的科学小组协助评估GPAI能力、选定系统性风险GPAI等。

四、从义务内容来看，将基本权利影响评估、透明度作为核心义务要求，体现浓厚的人权价值诉求

一是基本权利影响评估作为高风险人工智能的首要义务。要求评估人工智能对隐私、平等和言论自由等基本权利的潜在影响，是进入欧盟市场的准入条件。联合国人权事务高级专员就《人工智能法案》致欧盟公开信指出，基本权利影响评估是建立“以人权为本”的人工智能监管的关键部分，将对全球其他人工智能监管框架产生重要影响。欧盟委员会主席冯德莱恩在协议达成后表示，《人工智能法》将欧洲的价值观带入了一个新时代。

二是将透明度作为重要诉求。一方面是对监管部门的透明，例如高风险AI应在欧盟公共数据库登记；另一方面是对用户或公众的透明，例如修订条款要求情感识别系统有义务告诉用户他们在与AI互动，生成式人工智能需对外披露训练数据中的版权信息。

三是规定了高额处罚条款。对于违背相关义务要求的，最高将被处以全球营业额7%或3500万欧元的罚款，对企业具有极强威慑力。

五、从落地实施来看，欧盟将在内外部监管协调中面临较大困境

2024年欧洲大选临近，本届欧洲议会出台《人工智能法案》的机会窗口正在加速关闭，欧盟仓促出台立法，在未来国际治理博弈中谋求先机的意图明显。从欧盟内部来看，《人工智能法案》需要与《通用数据保护条例》（GDPR）、《数字服务法》、《数字市场法》等已有立法进行协调。依据该法成立的欧盟人工智能办公室和成员国AI监管部门，也恐与各国数据保护监管部门、欧盟央行等特定行业部门监管职权产生冲突。从外部协调合作来看，欧盟积极与美国开展治理合作，在基本术语、人权诉求等方面存在一致性，但美国采取由产业自下而上推动的、各行业相对独立的纵向软法模式，将自愿承诺、技术工具输出至其他国家，为企业出海营造有利环境。而欧盟方案总体较为理想化、缺乏实践落地经验。相关智库指出，欧盟坚持“与美国等伙伴进行任何监管协调都将基于欧洲的现有方法”，恐将大大提升未来欧盟与外部协调难度。

《人工智能法案》的内部立法博弈，揭示了欧洲根深蒂固的本土价值诉求，未来恐抑制包括欧盟企业在内的全球人工智能产业创新和落地应用步伐。我国应全面把握欧盟立法背后动因，平衡本土产业发展和安全需求的双重立场，予以选择性吸收借鉴。下一步，在敲定技术细节后，《人工智能法案》预计于2024年上半年正式通过，并开启为期两年的分阶段实施期。