前言:2024年3月,欧盟 27 个成员国通过了《人工智能法》(Artificial Intelligence Act,以下简称“法案”)。该法案作为全球首个规范人工智能的法律,实际上对整个世界的人工智能法律规范有一定引导性作用,其影响力不局限于欧盟范围内。中国的AI企业该如何应对,是一个非常重要的课题。
一、被直接影响的中国AI企业范围
根据法案第2条,可以从以下几个判断标准考虑中国AI企业是否被法案直接影响:
(一) 判断标准
A. 提供者:
1. “首次投放市场”判断标准:向欧盟市场首次投放人工智能系统或模型的中国企业,即使未在欧盟注册实体;
2. “输出使用端”判断标准:中国企业作为人工智能系统的部署方,最终该人工智能系统输出并使用于欧盟;
B. 使用者
1. “设立”判断标准:中国企业已在欧盟设立机构或实体的用于部署使用人工智能系统,该实体或机构受到法案约束;
2. “输出使用端”判断标准:中国企业作为人工智能系统的部署方,最终该人工智能系统输出并使用于欧盟;
C. 进口商、分销商
3. “销售端”判断标准:中国企业作为工智能系统的进口于欧盟的进口商或分销商;
D. 产品制造商
“制造商”+“名称或商标使用”标准:中国企业是人工智能系统的制造商,虽然没有在欧盟境内进行任何市场投放、产出使用或进口分销,但是在产品上使用了自己的名称或商标的。
E. 不在欧盟设立的人工智能系统提供商的授权代表;
F. 位于欧盟的受影响人士
(二) 不被法案约束的情形
1. 军事、国防或国家安全例外:如果中国企业向欧盟投放的人工智能系统或模型被用于军事、国防或国家安全领域的,是不适用该法案。
2. 中介方例外:如中国企业仅仅是人工智能系统使用于欧盟境内交易链中的中介服务提供方,则不受该法案约束。
3. 科研开发例外:
(1) 如中国企业仅仅是仅为科学研究和开发目的而专门开发和投入使用的人工智能系统或人工智能模型的,不适用该法案,包括其输出结果也同样不适用。
(2) 如中国企业所准备投入欧盟的人工智能系统或模型,在投放市场或投入使用之前的任何研究、测试或开发活动,都不受约束。但是在真实世界条件下进行的测试(或可理解为在欧盟范围内的测试)不在排除之列。
二、风险分级及合规方式
法案基于AI系统潜在风险和影响程度将人工智能系统分为四个风险类别,适用不同程度的监管:
(一) 禁止类人工智能:终止项目或寻找其他替代方案
如果中国企业所研发并准备投入欧盟市场的人工智能产品设计该法案第3条列入被禁止的领域,则需立即考虑终止投入欧盟市场的风险及成本,或寻找其他替代方案。例如:
A. 禁止类包含:
1. 将实质性扭曲人的行为的人工智能操纵技术
在鉴于条款第(49)款中对此情形进行了举例:机器大脑界面或虚拟现实可能会助长这种情况,因为它们允许对呈现给人的刺激进行更高程度的控制,只要这些刺激可能以明显有害的方式实质性地扭曲人的行为,就应当被禁止。对于经营AI虚拟视觉系统(比如AI眼镜等)的中国企业就需要考虑被禁止的风险。
2. 利用特定群体弱点的人工智能
3. 对人群进行评分分类并会造成潜在歧视人工智能
4. 对刑事犯罪可能性进行评估的人工智能
5. 通过互联网或闭路电视系统,仅为无针对性地获取面部图像来建立或扩大面部识别数据库
6. 根据生物数据对人进行分类,以推测人的种族、政治观点、工会成员身份、宗教或哲学信仰、性生活或性取向
7. 在非特定必要场景下,在公众场所出于执法目的使用实时远程生物识别人工智能系统
B.违反禁止类的人工智能的处罚
最高处 35,000,000欧罚款,或上一财年全球年营业总额的7%,以数额较高者为准。
(二) 高风险类人工智能:履行合规义务
对于可能严重威胁健康、安全、基本权利和法治的人工智能系统,法案提出了特别要求,并规定了多数基本义务。中国AI企业需识别自身产品是否属于高风险类别,如属于则需要符合相应的合规义务。
A. 高风险系统识别
1. 由欧盟法律明确规定属于高风险的产品、产品安全组件或包含人工智能系统安全组件的产品(法案第6条第一款、鉴于条款第(50)款)
2. 用于生物识别的人工智能系统(鉴于条款第(54)款)
3. 用于关键基础设施的管理和运营的人工智能系统(鉴于条款第(55)款)
4. 用于教育和职业培训的人工智能系统(鉴于条款第(56)款)
5. 用于就业、劳动者管理和自雇职业的人工智能系统(鉴于条款第(57)款)
6. 用于评估自然人信用分数或信用度的人工智能系统(鉴于条款第(58)款)
7. 用于对自然人的紧急呼叫进行评估分类的人工智能系统,或用于紧急第一反应服务(包括警察、消防员和医疗救功)调度或确定调度优先级的人工智能系统,以及紧急医疗保健病人分流系统(鉴于条款第(58)款)
8. 用于公民获得和享受基本的私人服务或者公共服务的人工智能系统(鉴于条款第(58)款)
9. 用于执法领域的人工智能系统(鉴于条款第(59)款)
10. 用于移民、庇护和边境管制管理的人工智能系统(鉴于条款第(60)款)
11. 用于司法和民主进程的人工智能系统(鉴于条款第(61)款)
……
对于合规的识别也需要注意排除的情形,以免造成不必要的合规成本增加。法案也列举了不属于高风险的示例,例如,欧盟法律规定的用于检测提供金融服务过程中的欺诈行为以及用于计算信贷机构和保险企业资本要求的审慎目的的人工智能系统不应被视为高风险。(鉴于条款第(58)款)。又例如,关于保护个人数据、关于使用测谎仪和类似工具或其他系统检测自然人情绪状态的法律,使用该系统是合法的(鉴于条款第(63)款)。
B. 高风险合规义务
对于高风险人工智能系统,法案对其合规义务的要求最高,包括上市前的准备、登记等,以及上市后的检测、保存记录、报告及通知等义务。内容较多,简要列举如下:
1.建立风险管理系统(第9条)
2.建立数据和数据管理系统(第10条)
3.投入市场前制定符合附件IV要求的高风险人工智能系统技术文件(第11条)
4. 保持记录,建立上市后检测体系(第12条).高风险人工智能系统的部署者应保存该高风险人工智能系统自动生成的日志,保存期限应与高风险人工智能系统的预期目的相适应,至少为六个月。
5. 满足透明度要求,附有使用说明(第13条)
6. 人力监督,至少有两名自然人对高风险人工智能系统进行人工核查(第14条)
7. 带有CE标志,以表明符合法案要求
8. 部署者应当制作:高风险人工智能系统基本权利影响评估(第27条)
……
C. 违反合规义务的处罚
1. 违反法案的其他合规要求:最高处 15,000,000欧罚款,或上一财年全球年营业总额的3%,以数额较高者为准。
2. 向监管机构提供不正确、不完整或误导性信息:最高处 7.500.000欧罚款,或上一财年全球年营业总额的 1%,以数额较高者为准。
(三)有限风险类人工智能
此类人工智能系统虽然风险相对较低,但缺乏透明度是其主要问题。因此,法案特别强调了这类系统的透明度义务。
(四)低风险类人工智能
包括人工智能电子游戏、垃圾邮件过滤器等在内的系统,由于其对公共安全和用户权利的影响较小,法案通常允许自由使用,并仅设置了最低的透明度义务。
三、主管机关
(一) 欧盟层面:
1. 2024年1月24 日欧盟委员会决定设立的欧洲人工智能办公室履行的促进人工智能系统和人工智能治理的实施、监测和监督的职能。
2. 欧洲人工智能委员会:由成员国代表组成,将作为协调平台,向欧盟委员会提供专业建议。
(二) 成员国层面:
鉴于条款第(138)款写明成员国应确保其国家主管当局在国家一级建立至少一个人工智能监管沙盒,以促进在严格的监管监督下开发和测试创新的人工智能系统,然后再将这些系统投放市场或以其他方式投入使用。
四、 是否有过渡期?
根据鉴于条款第(179)款:
1. 有关总则、禁止性人工智能系统的规定(法案第一、二章):法案生效后6个月内开始适用。
2. 行为守则:法案生效后9个月内准备就绪。
3. 有关通知机构和被通知机构、治理、通用人工智能模型、处罚的规定(法案第三章第四节,第五、七、十二章,除第101条):法案生效后12个月内开始适用。
所以,中国的AI企业在上述过渡期内还有一定的时间对合规要求做好必要的准备。建议咨询专业律师,以针对企业的具体情况和具体产品作出风险分析及应对合规方案。
来源:观韬中茂律师事务所
作者:周晚宁,观韬中茂杭州办公室合伙人、国际投资委员会副主任,中国及美国加利福尼亚州执业律师;擅长国际投融资、国际贸易及商事争议解决等业务领域。Email: zhouwn@guantao.com
特别声明:本文仅为我们对相关法律、法规及政策的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。