主要观点总结
本文为你解读欧盟《人工智能法案》。该法案通过基于风险的方法监管欧盟市场上的人工智能系统,高风险系统需遵守最严格义务,一些具有不可接受风险的系统则被禁止使用。文章还介绍了欧盟《人工智能法案》的核心内容、风险等级、义务、禁止行为、实施时间、违规处罚等相关内容。
关键观点总结
关键观点1: 欧盟《人工智能法案》的目标和主要特点
该法案旨在保护欧盟公民的基本权利、健康与安全免受人工智能技术的威胁,通过基于风险的方法监管欧盟市场上的人工智能系统。
关键观点2: 风险等级
根据风险等级,欧盟《人工智能法案》对文档、审计、透明度和义务提出了相应的要求。风险等级包括带有不可接受风险的系统、高风险系统以及低风险系统。
关键观点3: 高风险系统
高风险系统包括生物识别、教育、就业、执法等八大领域的应用。这些系统的运营者需承担最严格的义务,包括全生命周期风险管理、数据治理实践、技术文档等。
关键观点4: 通用人工智能模型的义务
通用人工智能模型需提供技术文档,并遵守欧盟版权政策。高影响力的模型还需履行额外的义务,如模型评估。
关键观点5: 禁止行为
欧盟《人工智能法案》禁止的行为包括部署潜意识操控技术的AI系统、利用个人或特定群体弱点的AI系统、生物识别分类系统等。
关键观点6: 实施时间和违规处罚
该法案于2024年8月1日正式生效,分阶段实施。违规行为将面临高达3500万欧元或企业全球营业额7%的巨额罚款。
正文
作者:Airlie Hilliard、Ayesha Gulley
核心要点
:
-
欧盟《人工智能法案》(EU AI Act)通过基于风险的方法监管欧盟市场上可用的人工智能(AI)。
-
高风险系统需遵守最严格义务,一些具有不可接受风险的系统则被禁止使用。
-
通用人工智能模型(general purpose AI models, GPAI)需履行独立义务,具有系统性风险的模型需履行额外义务。
-
对违规行为处以重罚:最高可达3500万欧元或或涉案公司全球总营业额的7%。
什么是欧盟《人工智能法案》?
欧盟《人工智能法案》是一部综合性法律框架,旨在通过基于风险的方法监管欧盟市场上可用的人工智能系统。
作为产品安全立法,其目标是保护欧盟公民的基本权利、健康与安全免受人工智能技术的威胁。法案明确禁止违背欧洲价值观且对基本权利、健康与安全构成过高风险的人工智能实践,同时要求高风险系统履行严格的合规义务。
在欧盟《人工智能法案》的“基于风险”方法下,AI系统的义务与其风险水平成正比,同时考虑其设计和预期用途等因素。根据风险等级,欧盟《人工智能法案》对文档、审计、
透明度
和义务提出了相应的要求。对应的要求将风险划分为三个明确等级:
-
带有不可接受风险的系统(第5条禁止):
因对基本权利、健康与安全威胁过高,禁止在欧盟市场销售,例如潜意识操控技术、利用人性弱点的系统、实时远程生物识别系统等。
-
高风险系统(允许但需合规):
需满足特定要求,涵盖生物识别、教育、就业、执法等八大领域(附件III)。
-
低风险系统(无强制义务):
此类系统既未被禁止也不属于高风险,例如垃圾邮件过滤器或AI驱动的视频游戏。它们构成了当前市场上使用的大多数系统。这些系统在现有规则下无需履行额外义务,但必须遵守现行法律法规,并可自愿采用行为准则。如垃圾邮件过滤器或AI游戏,仅需遵守现有法律,可自愿采用行为准则。
除了上述三个明确的风险等级外,如果某些系统未被禁止,它们可能还具有带有有限风险或透明度风险的AI系统。透明度风险系统是指与终端用户交互的AI系统。用户必须被告知他们正在与AI系统交互,AI系统将用于推断其特征或情绪,或者他们交互的内容是由AI生成的。典型的例子包括聊天机器人和深度伪造(deepfakes)技术。
法案还为通用人工智能模型(GPAI)及其相关义务提供了单独的风险分类。
欧盟《人工智能法案》附件III规定了八种高风险应用场景:
-
生物识别及基于生物识别的系统:
用于生物识别并对个人特征(包括情绪识别)进行推断的系统。
-
关键基础设施与环境保护系统:
包括用于管理污染的系统。
-
教育与职业培训系统:
用于评估或影响个人学习过程的系统。
-
影响就业、人才管理与自雇机会的系统:
例如招聘或绩效评估系统。
-
影响私人和公共的服务和利益的权限和使用的系统:
包括在欧洲理事会主席妥协文本中提到的保险相关系统。
-
-
移民、庇护与边境管控系统:
包括代表相关公共机构使用的系统。
-
司法与民主程序管理系统:
包括代表司法机构使用的系统。
当AI系统属于上述任一应用场景时,它将被自动视为高风险系统。然而,如果该系统对健康、安全或基本权利不构成重大危害风险,则不会被归类为高风险。例如,AI系统仅用于执行狭窄的程序性任务或改进人类已完成活动的结果时,可能不属于高风险。
此外,如果AI系统旨在作为产品的安全组件,或属于附件I中欧盟协调立法清单所列产品,并且需要进行与健康和安全风险相关的第三方合格评定,该系统也将被视为高风险。
高风险系统的运营者根据其角色承担不同的义务。其中,
高风险AI系统的提供者
需履行最严格的义务,确保系统满足以下技术要求:
-
全生命周期风险管理(第9条):必须在系统的整个生命周期内建立持续且迭代的
风险管理体系
。
-
数据治理实践
(第10条):应确保用于系统训练、验证和测试的数据适合系统的预期用途。
-
技术文档(
第11条):在系统投放市场前,需编制技术文档。
-
记录保存
(第12条):系统应具备自动记录事件的能力,以支持记录保存。
-
透明性与信息提供(第13条):系统的开发应确保
向用户提供适当的透明性和信息
。
-
人工监督(第14条):系统的设计应允许适当的
人工监督
,以预防或最小化对健康、安全或基本权利的风险。
-
准确性、稳健性与网络安全(第15条):在系统的整个生命周期内应保持适当的
准确性、稳健性和网络安全性
。
这些义务旨在确保高风险AI系统在安全性、透明性和合规性方面达到最高标准,从而保护用户的基本权利和公共利益。
供应商还需履行操作义务,包括进行合格评定、起草合格声明以及建立上市后监测系统。为确保合规,必须进行合规性评估。系统需在欧盟数据库中注册,并标注CE标志以表明其符合性,之后才能投放市场。另一方面,开发者的义务包括进行基本权利影响评估,以确定高风险AI系统部署的潜在影响及其后果。
通用人工智能模型的义务包括编制技术文档并提供欧盟版权政策(Union copyright policy)。
此外,如果某些模型在训练过程中使用的算力超过1025 FLOP(浮点运算次数),则可能被认为具有高影响力,从而导致系统性风险。对于这些模型,还需履行额外的义务,例如进行模型评估。
-
部署潜意识操控技术的AI系统的使用:
利用超出意识范围的潜意识技术,或故意使用操纵性或欺骗性技术,旨在实质性扭曲行为并削弱其做出知情决策的能力,从而从而造成重大伤害。
-
利用个人或特定群体弱点的AI系统:
利用基于人格特征、社会经济地位、年龄、身体残疾或心理能力等群体弱点,旨在扭曲行为并造成重大危害。
-
生物识别分类系统:
根据敏感或受保护的属性或其推断对个人进行分类的生物识别分类系统。
-
用于社会评分的系统:
基于社会行为或个人特征进行评估或分类,导致在数据收集背景之外对个人或群体进行负面对待,或处理方式与社会行为不成比例的系统。
-
评估(再)犯罪风险的系统:
使用人格特征、个人特质或过去犯罪行为评估再犯风险或刑事或行政犯罪风险的系统。
-
无差别、无目标的生物数据的抓取:
从互联网(包括社交媒体)或闭路电视录像中无差别抓取生物识别数据,以创建或扩大面部识别数据库。
-
实时远程生物识别:
用于执法目的的在公共场所进行实时远程生物识别的系统。
是否禁止某一AI系统需根据具体情况进行评估。欧盟委员会于2025年2月4日发布了关于禁止AI实践的指南,可用于指导此类评估。
欧盟《人工智能法案》对多方主体施加了义务,包括进口商、分销商、部署者和运营商,但该法案主要适用于AI系统提供者和通用人工智能模型(GPAI)提供者。法案管辖欧盟市场,这意味着任何在欧盟市场投放系统或模型,或在欧盟境内提供服务的主体,无论其是否位于欧盟境内,都必须遵守该法案。
该法案于2024年7月12日发布于《欧盟官方公报》,并于2024年8月1日正式生效。法案将分阶段实施:
-
2025年2月2日:
禁止
条款和
AI素养(literacy)
条款开始适用,同时法案的主题、范围和定义部分生效。
-
2025年8月2日:
通知机构与指定机构、通用人工智能模型、治理、处罚和保密性
相关条款开始适用。
-
2026年8月2日:法案全面生效,包括大多数
高风险系统
的相关条款。
-
2027年8月2日:作为
附件I
中欧盟协调立法所列产品的安全组件的高风险系统,需进行合格评定的相关条款开始适用。
违规行为将面临严厉处罚:
对于使用违禁系统的违规行为,将处以高达3500万欧元或涉案
企业全球营业额7%的巨额罚款
,以金额较高者为准。
罚款的严重程度将取决于违规行为的严重程度,提供虚假信息罚款数额最高可达
750万欧元或涉案营业额的1%
。
欧盟《人工智能法案》不适用于某些AI系统和模型,包括:
-
用于研究、测试和开发的AI系统:在投放市场或投入使用前,只要尊重基本权利且未在真实环境中测试,可豁免。
-
第三国公共机构和国际组织:在国际协议框架下运作时,可豁免。
-
专为军事目的开发或使用的AI系统:完全用于军事用途的AI系统不受法案约束。
-
开源许可下的AI组件:以免费和开源许可提供的AI组件可豁免,但高风险AI系统或具有系统性风险的通用人工智能模型(GPAI)除外。
欧盟《人工智能法案》是一项具有里程碑意义的法规,旨在通过其跨行业适用性成为
全球AI监管的黄金标准
。这将有助于确保AI监管标准的一致性。法案根据系统风险水平施加相应义务,确保潜在有害系统不会在欧盟部署,而低风险或无风险系统则可自由使用。高风险系统将受到相应约束,同时不会阻碍创新和发展的机会。
该法案将产生深远影响,影响到所有与欧盟市场互动的实体,即便它们的总部设在欧盟以外。特别是对于高风险的人工智能系统来说,有相当多的义务需要遵守,理解法案文本并非易事。尽早准备是确保合规和履行义务的最佳途径。
免责声明:本博客文章仅供参考。本文对应的英文原文和翻译文本无意也不会提供法律建议或法律意见,同时并非解决法律问题或处理诉讼的自助指南。本文不能替代经验丰富的法律顾问,且不针对任何具体情况或雇主提供法律建议。
赵茹萱
,东南大学法律硕士,现就职于北京市京都律师事务所,喜欢浏览“数据圈儿”,分享数据资讯的法律人。愿与我派一起,继续探索未知,保持热爱。
工作内容:
需要一颗细致的心,将选取好的外文文章翻译成流畅的中文。如果你是数据科学/统计学/计算机类的留学生,或在海外从事相关工作,或对自己外语水平有信心的朋友欢迎加入翻译小组。
你能得到:
定期的翻译培训提高志愿者的翻译水平,提高对于数据科学前沿的认知,海外的朋友可以和国内技术应用发展保持联系,THU数据派产学研的背景为志愿者带来好的发展机遇。
其他福利:
来自于名企的数据科学工作者,北大清华以及海外等名校学生他们都将成为你在翻译小组的伙伴。
