目录
1、概述
全球首部全面AI监管法,2024年8月1日生效,分阶段实施。
风险分级监管:将AI系统分为四类(不可接受风险、高风险、有限风险、最小风险),高风险系统需遵守最严格义务,,一些具有不可接受风险的系统则被禁止使用。
关键时间点:
2025年8月2日:通用人工智能(GPAI)治理规则生效。
2026年8月:高风险AI系统(如教育、就业、执法领域)全面合规。
对违规行为处以重罚:最高可达3500万欧元或或涉案公司全球总营业额的7%。
2、法案重点内容
2.1 风险等级(三级)
- 带有不可接受风险的系统(禁止):因对基本权利、健康与安全威胁过高,禁止在欧盟市场销售,例如潜意识操控技术、利用人性弱点的系统、实时远程生物识别系统等。禁止的AI实践:
禁止操纵行为(如潜意识诱导、成瘾性设计);
禁止利用弱势群体(儿童、患者)的脆弱性;
禁止社会评分、预测性警务(基于个人特征推断犯罪风险);
禁止无差别抓取面部图像、实时远程生物识别(执法豁免需严格审批)。
- 高风险系统(允许但需合规):需满足特定要求,涵盖生物识别、教育、就业、执法等八大领域。八种高风险应用场景:
- 生物识别及基于生物识别的系统:用于生物识别并对个人特征(包括情绪识别)进行推断的系统。
- 关键基础设施与环境保护系统:包括用于管理污染的系统。
- 教育与职业培训系统:用于评估或影响个人学习过程的系统。
- 影响就业、人才管理与自雇机会的系统:例如招聘或绩效评估系统。
- 影响私人和公共的服务和利益的权限和使用的系统:包括在欧洲理事会主席妥协文本中提到的保险相关系统。
- 执法使用的系统:包括代表执法机构使用的系统。
- 移民、庇护与边境管控系统:包括代表相关公共机构使用的系统。
- 司法与民主程序管理系统:包括代表司法机构使用的系统。
- 低风险系统(无强制义务):此类系统既未被禁止也不属于高风险,例如垃圾邮件过滤器或AI驱动的视频游戏。它们构成了当前市场上使用的大多数系统。这些系统在现有规则下无需履行额外义务,但必须遵守现行法律法规,并可自愿采用行为准则。如垃圾邮件过滤器或AI游戏,仅需遵守现有法律,可自愿采用行为准则。
2.2 高风险系统义务
- 全生命周期风险管理:必须在系统的整个生命周期内建立持续且迭代的风险管理体系。
- 数据治理实践:应确保用于系统训练、验证和测试的数据适合系统的预期用途。
- 技术文档:在系统投放市场前,需编制技术文档。
- 记录保存:系统应具备自动记录事件的能力,以支持记录保存。
- 透明性与信息提供:系统的开发应确保向用户提供适当的透明性和信息。
- 人工监督:系统的设计应允许适当的人工监督,以预防或最小化对健康、安全或基本权利的风险。
- 准确性、稳健性与网络安全:在系统的整个生命周期内应保持适当的准确性、稳健性和网络安全性。
2.3 合规要求
透明度义务:公开训练数据摘要、技术文档;
版权合规:遵守欧盟版权法,披露数据来源;
系统性风险管控:大模型(FLOPs ≥10²³)需额外满足风险评估、网络安全措施。
配套文件:《GPAI行为准则》作为自愿合规工具(2025年7月10日发布)。
3、豁免情况
欧盟《人工智能法案》不适用于某些AI系统和模型,包括:
- 用于研究、测试和开发的AI系统:在投放市场或投入使用前,只要尊重基本权利且未在真实环境中测试,可豁免。
- 第三国公共机构和国际组织:在国际协议框架下运作时,可豁免。
- 专为军事目的开发或使用的AI系统:完全用于军事用途的AI系统不受法案约束。
- 开源许可下的AI组件:以免费和开源许可提供的AI组件可豁免,但高风险AI系统或具有系统性风险的通用人工智能模型(GPAI)除外。
本文参考:独家|欧盟《人工智能法案》解读