AI Watch:全球监管跟踪器 – 欧盟
快速阅读: 据《JD Supra》称,欧盟推出《人工智能法案》,规范AI系统风险分类及合规要求,设禁令与惩罚机制,推动可信AI发展,保障公共利益与创新平衡。
欧盟出台开创性《欧盟人工智能法案》,旨在成为以人类为中心、可信赖的人工智能的全球中心。《欧盟人工智能法案》是欧盟主要的人工智能监管法律框架,针对人工智能的法律法规(“人工智能法规”)进行了直接规范。
2025年2月,由于核心问题未能达成共识,欧洲委员会撤回了《人工智能责任指令》草案。然而,2024年8月1日,委员会更新了《欧盟人工智能法案》的问答文件,详细介绍了多项条款,包括关键合规要求和执行机制。2025年2月11日,委员会主席乌尔苏拉·冯德莱恩推出了“InvestAI”,一项动员2000亿欧元投资于人工智能的倡议,其中包括新的200亿欧元欧洲基金用于人工智能超级工厂的投资,以推动欧洲成为人工智能大陆。
2025年3月11日,人工智能办公室发布了《通用人工智能行为准则》(“准则”)的第三稿。该准则旨在协助通用人工智能模型的提供方履行《欧盟人工智能法案》下的义务,明确了与透明度、版权相关规则、系统性风险评估及风险缓解策略等相关的“承诺”和“措施”。最终版本的准则计划在2025年5月发布,供利益相关者反馈后确定。
2025年3月14日,委员会发布了专门针对《欧盟人工智能法案》下通用人工智能模型的单独问答文件,进一步阐明并指导源自《欧盟人工智能法案》第五章规定的义务。2025年4月9日,委员会发布了《人工智能大陆行动计划》(“计划”),旨在通过推动五大关键领域的举措提升欧盟的AI能力:建设大规模人工智能计算基础设施、增加高质量数据的获取渠道、推动战略领域的人工智能发展、强化人工智能技能与人才培养以及简化《欧盟人工智能法案》的实施。作为上述措施的一部分,该计划宣布将在人工智能办公室设立“人工智能法案服务中心”,作为利益相关者寻求指导和支持的中央枢纽。
《欧盟人工智能法案》于2024年7月12日发布于欧盟官方公报,是欧盟首个全面覆盖的人工智能监管横向法律框架。该法案于2024年8月1日生效,并自2026年8月2日起全面施行,但第113条中列出的特定条款除外。2024年9月5日,《欧洲理事会人工智能框架公约》由安道尔、格鲁吉亚、冰岛、挪威、摩尔多瓦、圣马力诺、英国、以色列、美国以及欧盟共同签署。该条约将在五个签署国,包括至少三个欧洲理事会成员国批准后的第一个月的第一天生效。世界各国均有资格加入并承诺遵守其规定。
在欧盟适用的诸多法律可能影响人工智能在欧盟的发展或应用,例如欧盟通用数据保护条例(EU)2016/679、产品责任指令、2023/988/EU号一般产品安全条例以及欧盟各成员国国内的各类知识产权法律。
《欧盟人工智能法案》用以下术语定义“人工智能”:“人工智能系统”是指“一种基于机器的系统,设计为以不同级别的自主性运行,并且在部署后可能表现出适应性……”“通用人工智能模型”是指“一种人工智能模型,包括这种模型通过大规模自监督训练大量数据时……”“通用人工智能系统”是指“一种基于通用人工智能模型且具备多种用途能力的人工智能系统……”
2025年2月6日,委员会发布了《欧盟人工智能法案》下“人工智能系统”定义的非约束性指南。指南将“人工智能系统”的定义细化为七个核心组成部分,并明确指出,一个AI系统无需在整个生命周期中始终满足全部七个要素即可被视为《欧盟人工智能法案》下的“人工智能系统”。如果在AI系统的开发或使用过程中的任一阶段存在一个要素,则足以构成“人工智能系统”。
《欧盟人工智能法案》适用于以下情形:任何在欧盟市场提供或以其他方式投入使用的AI系统或通用人工智能模型的提供者,无论其是否在欧盟或第三方国家设立或位于其中。任何呈现“不可接受”风险的AI系统均被禁止。任何其AI系统的输出旨在用于欧盟的、在第三国设立或位于第三国的AI系统提供者或部署者,以及任何在欧盟市场提供或以其他方式投入使用的AI系统或通用人工智能模型的提供者,无论其是否在欧盟或第三方国家设立或位于其中。
《欧盟人工智能法案》并非针对特定行业,而是适用于所有行业。根据法案,任何开发AI系统或通用AI模型的人,或者任何自然人、法人、公共机构、机构或其他实体开发了AI系统或通用AI模型并将其投放到欧盟市场上的,都是《AI法案》下的“提供者”。供应链中任何不是提供者或进口商的自然人或法人,并且将AI系统投放到欧盟市场的,是《AI法案》下的“分销商”。任何位于或设立在联盟内的自然人或法人,在市场上投放带有第三国自然人或法人姓名或商标的AI系统的,是《AI法案》下的“进口商”。任何自然人、法人、公共机构、机构或其他实体使用AI系统(但AI系统不用于个人非职业活动时),是《AI法案》下的“部署者”。任何提供者、产品制造商、部署者、进口商、分销商或授权代表都是《AI法案》下的“经营者”。
《欧盟人工智能法案》旨在促进以人为本和可信赖的AI的采用,同时确保对健康、安全、基本权利、民主和法治的高水平保护,防止AI系统带来的有害影响,同时支持创新和内部市场的运作。
法案根据不同的风险水平对AI系统进行分类并施加要求:任何呈现“不可接受”风险的AI系统均被禁止;呈现“高”风险的AI系统受《欧盟人工智能法案》最详细的合规义务约束,包括两类AI系统:(i)作为产品安全组件使用的AI系统(或受欧盟健康和安全协调立法约束的其他情况);或(ii)部署在八个特定领域的AI系统,其中包括(但不限于)教育、就业、获取基本公共服务、执法、移民和司法管理;呈现“有限”风险的AI系统包括直接与自然人互动的系统(例如聊天机器人)、情感识别系统、生物特征分类系统以及生成“深度伪造”的AI系统(即看似真实的音频或视觉内容,尽管是由AI系统生成的),这些系统必须披露内容是人为生成或操纵的事实;未被上述分类涵盖的AI系统均为低或最小风险。
合规义务主要由相关AI系统的风险水平决定。呈现不可接受风险的AI系统无需满足合规要求,且不得投放市场或投入使用;高风险AI系统及其提供者(如适用,授权代表)在投放欧盟市场或投入使用前,必须在欧盟数据库中注册,并遵守广泛的数据训练和数据治理、技术文档、记录保存、技术稳健性、透明度、人工监督和网络安全要求;某些AI系统及其提供者的部署者需遵守透明度义务;AI系统在《欧盟人工智能法案》下没有具体义务或要求;所有通用AI模型的提供者均需遵守特定的技术文档和透明度义务,并需配合委员会和国家主管当局,同时尊重国家关于版权及相关权利的法律;可通过遵循批准的行为准则来证明合规性;具有系统性风险的通用AI模型提供者需承担额外义务,包括执行标准化模型评估、评估和缓解系统性风险、跟踪和报告事件以及确保网络安全保护。
《欧盟人工智能法案》还规定制定AI系统行为准则,委员会希望所有AI系统提供者都能自愿应用这些准则。
《欧盟人工智能法案》的执行涉及多种机构。欧盟成员国将建立或指定至少一个通知机构和至少一个市场监管机构(统称为“国家主管机构”),并确保国家主管机构具备足够的技术、财务和人力资源及基础设施(知识足够丰富),以履行其在《欧盟人工智能法案》下的任务。通知机构负责依据《欧盟人工智能法案》的要求,客观公正地开展评估和指定工作;对于高风险AI系统、受欧盟金融法规约束的金融机构使用的AI系统以及其他欧盟机构、组织和实体使用的AI系统,市场监管机构可能有所不同;市场监管机构主要负责国家层面的执法工作;如果人工智能系统不符合规定,市场监督机构可以行使以下所述的执法权力;市场监督机构需每年向委员会及相关国家竞争机构提交年度报告;此外,委员会内部的人工智能办公室将负责在全欧盟范围内统一执行相关规定;执法将得到一个由独立专家组成的科学小组的支持;由成员国代表构成的人工智能委员会将为委员会及成员国提供咨询建议与协助,以确保《人工智能法》的一致和有效实施;最后,利益相关者咨询论坛将为人工智能委员会及委员会提供技术支持。
执法权力与处罚如果市场监督机构发现存在:(i)违反欧盟人工智能法案义务的情况;或(ii)高风险人工智能系统虽已遵守欧盟人工智能法案的义务,但仍对人的健康和安全、基本权利或其他公共利益保护方面构成风险,则相关市场监督机构可采取以下措施:(a)要求相关运营方采取所有适当的纠正措施(在(ii)情况下,确保相关人工智能系统不再构成此类风险)或撤回/召回人工智能系统;或(b)如运营方未能采取相应措施,相关机构应禁止/限制该人工智能系统在其国家市场上投放或投入使用,或从市场上撤回/召回产品或独立的人工智能系统。处罚范围从(i)对于违反禁止的人工智能行为的处罚,最高可达3500万欧元或公司全球年营业额的7%,到(ii)对于向指定机构和国家主管部门提供不准确、不完整或误导性的信息的处罚,最高可达750万欧元或公司全球年营业额的1%。
《人工智能责任指令》通过创建对被告的可反驳因果关系推定,增加了索赔人成功索赔的可能性。实际上,新规则意味着,如果受害者能证明某人因未履行与自身损害相关的特定义务而存在过错,并且人工智能表现与损害之间存在合理的因果关联,法院可以推定这种不合规导致了损害。《人工智能责任指令》还赋予国家法院责令披露涉及高风险人工智能系统造成损害嫌疑的相关证据的权力,以帮助受害者获取相关证据来确定可能承担责任的人员。
(以上内容均由Ai生成)
