2024年8月1日，作為歐盟數(shù)字立法重要里程碑之一的《人工智能法》正式生效，這是世界上第一部基于風(fēng)險(xiǎn)分級(jí)分類治理的統(tǒng)一AI法律，歐盟意在通過“布魯塞爾效應(yīng)”建立負(fù)責(zé)任AI的全球治理標(biāo)準(zhǔn)，并期望成為世界各國立法效仿的范本。

通過建構(gòu)事前的“產(chǎn)品合規(guī)框架”、事中的“全生命周期合規(guī)框架”以及事后的“巨額罰款的處罰框架”，歐盟著力解決的難題是如何平衡發(fā)展（創(chuàng)新）與安全（權(quán)利）之間的緊張關(guān)系，這體現(xiàn)在既要促進(jìn)AI的開發(fā)、投放市場、提供服務(wù)和使用，又要確保人們免受AI的損害，高水平地保護(hù)人們的健康、安全和基本權(quán)利，同時(shí)還要支持科技的創(chuàng)新。

對(duì)于有出海歐盟需求的中國企業(yè)來說，最好的選擇無疑是通過提前履行合規(guī)義務(wù)，滿足歐盟《人工智能法》的技術(shù)要求，以防范AI風(fēng)險(xiǎn)及避免巨額處罰，并充分享受AI帶來的時(shí)代紅利。

我們建議遵守如下策略：其一，在企業(yè)內(nèi)定義并控制AI模型及系統(tǒng)的邊界；其二，在組織內(nèi)制定詳細(xì)具體的AI治理計(jì)劃，實(shí)施持續(xù)風(fēng)險(xiǎn)防控并構(gòu)建體系；其三，重點(diǎn)關(guān)注AI模型和系統(tǒng)的網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)及數(shù)據(jù)安全，遵循零信任原則；其四，做好AI的風(fēng)險(xiǎn)均衡化和分散化，避免集中式系統(tǒng)設(shè)計(jì)，以減少影響范圍；其五，處理好AI系統(tǒng)全生命周期中的數(shù)據(jù)合規(guī)及數(shù)據(jù)治理；其六，做好組織內(nèi)的AI素養(yǎng)教育，尤其是確保用戶接受培訓(xùn)；其七，通過持續(xù)實(shí)施偏見測量等倫理審查，在組織內(nèi)實(shí)現(xiàn)負(fù)責(zé)任和可信的AI。

筆者在最近出版的新書《歐盟人工智能法合規(guī)手冊(cè)》中提出九步合規(guī)框架，具體輔導(dǎo)我國出海企業(yè)實(shí)施落地歐盟《人工智能法》。

合規(guī)第一步：確認(rèn)是否涉及AI系統(tǒng)或模型

首先，法律界定了AI系統(tǒng)的內(nèi)涵，強(qiáng)調(diào)其應(yīng)當(dāng)具有推理能力、基于機(jī)器、目標(biāo)化、自主性、適應(yīng)性等五大特性，以便與傳統(tǒng)軟件系統(tǒng)或編程方法以及僅基于自然人定義的規(guī)則自動(dòng)執(zhí)行系統(tǒng)進(jìn)行區(qū)別。

其次，法律還區(qū)分了AI系統(tǒng)和AI模型，模型雖然是系統(tǒng)的重要組成部分，但是模型本身并不構(gòu)成系統(tǒng)，模型需要添加用戶界面等更多組件才能成為系統(tǒng)。

合規(guī)第二步：確認(rèn)行為主體的法律地位

第二步需要從具體場景中確定行為主體的法律地位，包括AI系統(tǒng)的提供者、部署者、進(jìn)口者、分銷者、制造者、歐盟授權(quán)代表以及受影響的個(gè)人等，重點(diǎn)是區(qū)分清楚AI系統(tǒng)的提供者、部署者及其法律責(zé)任。

合規(guī)第三步：確認(rèn)是否屬于《人工智能法》的適用范圍

首先，需要判斷是否涉及上述七種主體類型；其次，需要判斷是否涉及第6條第1款確定的高風(fēng)險(xiǎn)AI系統(tǒng)，且與附件一第B節(jié)列出的歐盟協(xié)調(diào)立法所涵蓋的產(chǎn)品相關(guān)的AI系統(tǒng)。最后，還需要判斷是否涉及國家安全條款、執(zhí)法和司法合作條款、科研和開發(fā)條款、非職業(yè)行為條款、勞動(dòng)者權(quán)益條款以及免費(fèi)和開源條款等豁免情形。

合規(guī)第四步：確認(rèn)是否屬于禁止性AI行為

首先，明確禁止性AI行為的具體范圍。包括使用潛意識(shí)、操縱或欺騙性技術(shù)來扭曲行為；利用與年齡、殘疾或社會(huì)經(jīng)濟(jì)狀況相關(guān)的缺陷來扭曲行為；可能導(dǎo)致有害或不利待遇的社會(huì)評(píng)分；僅基于用戶畫像評(píng)估犯罪風(fēng)險(xiǎn)；非針對(duì)性編制人臉識(shí)別數(shù)據(jù)庫；在工作場所或教育機(jī)構(gòu)推斷自然人的情緒；推斷敏感數(shù)據(jù)的生物特征分類系統(tǒng)；在公共場所為執(zhí)法目的使用實(shí)時(shí)遠(yuǎn)程生物特征識(shí)別系統(tǒng)等。

其次，界定在公共場所為執(zhí)法目的使用實(shí)時(shí)遠(yuǎn)程生物特征識(shí)別系統(tǒng)的“豁免”條件?；砻夥秶鷥H限于：尋找特定犯罪受害者；自然人的生命或人身安全受到特定威脅或受到恐怖襲擊；確定刑事犯罪行為人或嫌疑人的位置或身份，且可處以至少四年的監(jiān)禁等。系統(tǒng)使用目的只能用于確認(rèn)具體個(gè)人的身份，并應(yīng)僅限于在時(shí)間、地理和個(gè)人方面絕對(duì)必要的情況。

合規(guī)第五步：確認(rèn)是否屬于高風(fēng)險(xiǎn)AI系統(tǒng)

首先，界定高風(fēng)險(xiǎn)AI系統(tǒng)的分類規(guī)則及具體范圍。其中，正面清單涉及安全組件或附件一涵蓋的產(chǎn)品，且需要進(jìn)行符合性評(píng)估；附件三的高風(fēng)險(xiǎn)AI系統(tǒng)包括法律授權(quán)的生物特征識(shí)別系統(tǒng)，涉及關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)，教育與職業(yè)培訓(xùn)相關(guān)的系統(tǒng)，就業(yè)及勞動(dòng)者管理等的系統(tǒng)，基本服務(wù)及福利的系統(tǒng)，法律授權(quán)執(zhí)法行為的系統(tǒng)，移民、庇護(hù)和邊境控制管理的系統(tǒng)，以及司法和民主進(jìn)程的系統(tǒng)等；而負(fù)面清單包括僅涉及程序性任務(wù)、改進(jìn)人類活動(dòng)的結(jié)果、檢測決策模式或其偏離情況、準(zhǔn)備性工作等且不對(duì)自然人進(jìn)行畫像的系統(tǒng)。

其次，界定高風(fēng)險(xiǎn)AI系統(tǒng)的要求，涉及風(fēng)險(xiǎn)管理體系、數(shù)據(jù)治理、 技術(shù)文件、保存記錄、透明度、人工監(jiān)督，以及準(zhǔn)確性、穩(wěn)健性和網(wǎng)絡(luò)安全等要求。

再次，界定高風(fēng)險(xiǎn)AI系統(tǒng)提供者的義務(wù)。除了確保高風(fēng)險(xiǎn)AI系統(tǒng)符合上述要求之外，還得履行質(zhì)量管理體系、文件保存、自動(dòng)生成日志、完成符合性評(píng)估、作出符合性聲明、加貼CE標(biāo)志、登記以及采取必要糾正措施等義務(wù)。

最后，特定情況下還需履行基本權(quán)利影響評(píng)估的義務(wù)以及符合性評(píng)估的義務(wù)。

合規(guī)第六步：確認(rèn)是否屬于特定AI系統(tǒng)

第六步涉及的是特定AI系統(tǒng)的透明度義務(wù)，具體涉及生成式AI系統(tǒng)提供者、情感識(shí)別系統(tǒng)或生物特征分類系統(tǒng)部署者以及構(gòu)成深度偽造的AI系統(tǒng)部署者的義務(wù)。

合規(guī)第七步：確認(rèn)是否屬于通用AI模型

首先，界定通用AI模型提供者的義務(wù)。涉及編制技術(shù)文件、編制信息和文檔、建立尊重版權(quán)的政策以及發(fā)布模型訓(xùn)練內(nèi)容詳細(xì)摘要的合規(guī)義務(wù)。

其次，界定具有系統(tǒng)風(fēng)險(xiǎn)的通用AI模型提供者的額外義務(wù)。包括模型評(píng)估、系統(tǒng)性風(fēng)險(xiǎn)評(píng)估、跟蹤、記錄及報(bào)告以及確保網(wǎng)絡(luò)安全等。

合規(guī)第八步：確認(rèn)識(shí)別主管機(jī)關(guān)及罰則

首先，確定監(jiān)管架構(gòu)。其中，歐盟的管理機(jī)構(gòu)包括AI辦公室、歐洲AI委員會(huì)、咨詢論壇、獨(dú)立專家科學(xué)小組等；而成員國的管理機(jī)構(gòu)主要涉及市場監(jiān)督機(jī)關(guān)和通知機(jī)關(guān)等。

其次，確定具體罰則：針對(duì)禁止性AI行為，最高罰款為3500萬歐元或上一年度全球年?duì)I收的7%；針對(duì)高風(fēng)險(xiǎn)及特定AI系統(tǒng)，最高罰款為1500萬歐元或上一年度全球年?duì)I收的3%；以錯(cuò)誤信息回應(yīng)主管機(jī)關(guān)等場景，最高罰款為750萬歐元或上一年度全球年?duì)I收的1%；針對(duì)通用AI模型提供者，最高罰款為1500萬歐元或上一年度全球年?duì)I收的3%。

合規(guī)第九步：確認(rèn)是否適用AI監(jiān)管沙盒

AI的發(fā)展、創(chuàng)新需要作為容錯(cuò)機(jī)制和彈性框架的AI監(jiān)管沙盒。具體制度涉及目標(biāo)制定、罰款責(zé)任豁免、實(shí)施法案、個(gè)人數(shù)據(jù)的處理方式、真實(shí)世界測試的保障條件以及中小企業(yè)義務(wù)的減免等。

（作者系上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任）