李诘:欧盟《人工智能法案》及其对中国企业运营和投资的影响_贸法通
EN

专家观点

李诘:欧盟《人工智能法案》及其对中国企业运营和投资的影响

发布日期:2024-07-01
字体:
分享到:
文章二维码

微信扫一扫

2024年3月13日,欧洲议会通过了一项重要立法——《欧盟人工智能法案》,由于该《法案》具有广泛的域外适用效力,将不仅对在欧盟内运营的企业,而且对其他国家和地区的相关企业,产生重大影响。本文旨在全面介绍该《法案》、其主要条款、实施时间表,以及对中国相关企业在欧盟的运营和投资的潜在影响。

背景

2021年4月21日,欧盟委员会发布了“欧洲议会和理事会关于制定人工智能统一规则(人工智能法案)并修改某些欧盟法律的条例”草案,但在其中并未进一步解释该项法案的立法目的,仅提及人工智能的风险与益处,强调应保持二者之间的“平衡”关系。

2023年下半年,由于欧洲议会和部长理事会的意见与欧盟委员会的提案存在分歧,于是三方代表通过非公开谈判的方式达成了妥协,并于2023年12月就人工智能立法草案达成一致。

2024年3月13日,该草案得到了欧洲议会的批准,5月21日,部长理事会也正式批准了《欧盟人工智能法案》(Artificial Intelligence Act)(以下称“《法案》”),《法案》是全球首个全面规范人工智能产业的法律文件,其目的是为人工智能治理提供“硬法”支撑,为人工智能产品和服务的开发、投放欧盟市场和使用制定了统一的法律框架,促进安全、可信赖人工智能技术的开发与应用,降低技术使用的风险,确保人工智能系统尊重欧盟的基本权利和价值观。

一、主要条款:基于风险等级的治理模式(Risk-based Approach)

《法案》试图在激励人工智能技术创新和加强法律监管两种立法目的之间寻求平衡,采取了基于风险等级进行分类的监管方式,将人工智能系统分为四种不同的风险类别,并规定了相应的合规义务和法律责任:

(一)不可接受风险:对公民基础性权利产生明确威胁的人工智能系统将被禁止使用,包括:

  • 使用有害的操纵性“潜意识技术”的人工智能系统。
  • 利用特定弱势群体(身体或精神残疾)的人工智能系统。
  • 由公共机构或代表公共机构用于社会评分目的的人工智能系统。
  • 为执法目的在公共场所使用的“实时”远程生物识别系统(少数情况除外)。

违反规定的后果:根据《法案》第99条第3款的规定,违反此类规定的行为将受到高达3500万欧元或全球年营业额7%的行政罚款,以较高者为准。

(二)高风险:对生命、健康、安全、基本权利、环境、民主及法治制度可能产生实质潜在危害的人工智能系统需要遵守严格的合规义务。主要包括以下领域的人工智能系统:

  • 用作产品安全组件或符合欧盟健康和安全协调立法的系统(如玩具、航空、汽车、医疗设备、电梯)。
  • 关键基础设施(如交通管控)。
  • 教育领域(如试卷评分)。
  • 就业领域(如简历筛选)。
  • 基本福利的享受(如信用评分以决定是否可以获得贷款)。
  • 刑事追诉(如刑事侦查活动中对证据的分析)。
  • 移民、庇护和边境管制(如签证申请的自动化审查)。
  • 民主与司法程序(如案例检索对比)。

 上述高风险人工智能系统的合规要求包括但不限于:

  • 风险管理系统:风险管理体系应贯穿整个人工智能系统生命周期,包括“建立、实施、记录和维护”的全过程,定期进行潜在风险评估进行识别和分析,制定和实施适当的风险缓解措施,从而最大限度地降低风险(第9条)。
  • 数据治理和管理:适用高质量的数据集进行训练,制定和遵循严格的数据处理协议,确保数据的收集、储存、处理和删除符合相关法律法规,持续监控数据质量与使用情况,定期更新和验证数据集(第10条)。
  • 技术文档:提供关于人工智能系统的详细概述,描述系统的设计和开发方法(包括使用的算法和技术),以及提供系统的使用说明和操作手册,确保用户能够正确使用系统(第11条)。
  • 透明度和提供信息:高风险人工智能系统必须附有“使用说明”,向用户提供系统功能、预期用途和使用限制的详细信息,确保系统的决策过程是可解释的(第13条)。
  • 人类监督:高风险系统的设计必须能被自然人有效监督,以排除或至少减少人工智能对健康、安全和基本权利的威胁。受托进行监督的人员必须充分了解系统的能力和局限性,还必须能够识别异常、故障和意外性能并消除其诱因(第14条)。
  • 合规性评估:在系统投放市场之前,进行严格的合规性评估,确保系统符合所有相关的法律法规和技术标准;投入市场之后,应定期进行合规性审查,确保系统在整个生命周期内持续符合合规要求(第16条)。

违反规定的后果:根据《法案》第99条第4款的规定,未履行上述义务将受到高达1500万欧元或全球年营业额3%的行政罚款,以较高者为准。

(三)有限风险:主要包括因缺乏透明度而存在风险的AI系统,这些系统的义务较少,主要集中在确保用户被告知他们在与人工智能系统互动,提高系统的透明度,防止用户被误导。

  • 人机交互系统:任何与个人交互的人工智能系统(如聊天机器人)需要向用户明确告知他们正在与人工智能系统交互。
  • 情感识别和生物识别分类系统:必须向用户披露其功能和用途。
  • 生成或操纵内容的系统:如生成合成内容或创建“深度伪造”的系统,必须向用户明确标示内容是人工生成或被操控的,除非在非常有限的情况下(例如,用于防止犯罪时)可以例外。

违反规定的后果:尽管有限风险AI系统的违规处罚较低,但仍可能包括罚款和潜在的声誉损害。

(四)最低风险:最低风险的AI系统可以自由使用,不承担额外的合规义务。

违反规定的后果:通常不涉及具体罚款,遵循一般产品安全法的相关规定。

此外,《法案》专门设置了一个章节对通用人工智能模型(general-purpose AI model, GPAI)进行规制。《法案》首先将GPAI区分为两种形式:① 基础形式的GPAI模型;② 具有系统性风险的GPAI模型。其中,后者的评估标准规定于《法案》第51条,即“具有使用适当的技术工具和方法评估的高影响能力”,而通常如果“用于训练的累计计算量(以FLOPs计)大于10^25”即可推定其满足上述条件,具有“系统性风险”。二者的合规义务也不相同:

 1、普通 GPAI 模型的义务(第53条):

(1)提供技术文件:模型提供者必须提供详细的技术文件。

(2)信息共享:向其他人工智能企业提供模型纳入其系统所需的信息和文件。

(3)著作权合规:记录遵守欧盟著作权法规的策略。

(4)内容总结:基于人工智能办公室提供的模板,提供详细的训练内容总结。

(5)第三国提供者的规定(第54条):需根据第22条委托授权代表。

 2、具有系统性风险的 GPAI 模型的额外义务(第55条):

(1)模型评估:在投放市场前确保模型符合先进技术水平,并考虑可能存在的系统性风险。

(2)事故记录和报告:记录“严重事故”和补救措施,立即告知欧盟委员会及相关国家机构。

(3)网络安全:确保人工智能模型具有足够的网络安全措施。

(4)行为准则:可以将《法案》第56条制定的行为准则作为指导。

 违反规定的后果:与高风险人工智能系统类似,在GPAI方面违反相关规定也会招致重大罚款,不合规可能导致市场准入受限。

二、实施时间表

《法案》在欧盟官方公报公布20天后生效,并在生效2年后全面实施。《法案》为不同风险类型的人工智能系统预留了不同的过渡整改期,不同的条款将分阶段实施,例如:

  • 普通GPAI模型的提供者义务:自《法案》生效后12个月内,企业需开始提供技术文件并遵守信息共享要求。
  • 具有系统性风险的GPAI模型额外义务:自《法案》生效后18个月内,具有系统性风险的GPAI提供者需开始进行模型评估并记录事故和补救措施。
  • 具有“不可接受风险”而被禁止实施的人工智能相关条款:自《法案》生效后6个月内必须被逐步淘汰。

 三、对中国客户的重大影响

 《法案》的通过将对中国企业产生以下影响:

 (一)合规成本增加

中国企业需要投入大量资源以确保其人工智能系统符合欧盟法规要求,例如:企业需要详细记录其人工智能系统的技术规范、训练数据来源、模型评估方法等;针对高风险人工智能系统和GPAI模型企业需要进行合规评估,并在进入市场前通过验证,必要时需要聘请第三方机构;企业需要建立完善的风险管理体系,确保人工智能系统在运行中不会对健康、安全或基本权利带来重大风险。

 (二)运营措施调整

企业需要提供详细的技术文档和透明度信息,包括:①详细说明用于训练AI模型的数据来源和质量;②证明模型评估方法的安全性与有效性。

 (三)市场准入门槛提高

针对企业所推出不符合当下欧盟标准的人工智能产品,进入欧盟市场的难度将显著增加,这意味着企业需要重新调整产品设计、进行技术升级以符合最新的合规要求,这对中小型企业而言尤其具有挑战性。

 (四)创新与研发影响

《法案》通过设定明确的指南来鼓励企业进行更多的创新与研发,企业可以通过提高技术水平,促进其在欧盟市场上AI技术的接受度,从而有机会在国际市场中确立技术领先地位。 

四、风险管理与建议

为了降低与《法案》相关的风险,我们建议采取以下步骤:

 (一)制定全面的合规策略

评估当前的人工智能系统和实践,识别需要改进的领域。在高风险人工智能系统中实施严格的信息披露和风险管理措施;在有限风险人工智能系统中确保透明度和标记要求;对最低风险人工智能系统,制定自愿行为规范,鼓励遵守高标准的合规要求。

(二)加强数据治理

建立全面的数据治理框架,包括数据分类和管理、数据质量控制、数据访问权限管理和合规管理,确保数据处理的准确性、完整性和合法性。实施数据追踪和审计机制,记录数据的处理过程,定期进行内部和外部审计,并制定数据泄露应急响应计划。

(三)内部审计和合规检查

建立定期的内部审计机制,对所有人工智能系统进行合规检查,确保透明度和风险管理义务得到有效执行。设立内部合规报告机制,及时发现和报告任何潜在的违规情况。

(四)加强人类监督

建立多层次的人类监督机制,明确监督职责,在关键决策点引入人类审查和干预。为监督人员提供持续的培训和技术支持,提升监督能力,并通过反馈机制持续改进监督流程,确保人工智能系统运行的合规性、透明度和可靠性。

(五)与法律和监管专家合作

聘请熟悉欧盟法律的专业顾问,提供关于《法案》合规的持续咨询服务。定期进行法律和合规风险评估,特别关注《法案》的更新与变化。 

五、结论 

《欧盟人工智能法案》标志着人工智能技术监管领域的重大转变,尽管带来了挑战,但也同时为相关企业提供了创新和发展的机会。中国企业需要主动应对这些合规要求,通过加强内部合规管理和与欧盟企业合作,确保其再欧盟市场的成功运营。《法案》对中国企业提出了更高的合规和透明度要求,同时也增加了提升品牌声誉和市场竞争力的机会。只有通过全面了解和严格执行《法案》,中国企业才能有效地预防法律风险,提升国际市场信誉度和竞争力,确保其在快速发展的人工智能领域保持领先地位。

来源:北京卓纬律师事务所

作者:李诘,合伙人;业务领域:跨境投资与并购、政府事务与合规、数据安全与隐私保护、知识产权;联系电话:8621 6859 0516;电子邮箱:joseph.j.li@chancebridge.com

特别声明:本文仅供交流之用,不代表北京卓纬律师事务所或其律师的正式法律意见或建议。

免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询