一文读懂全球首个AI法案–欧盟AIA:中国跨国企业如何在合规中赢得先机?

5.3 AI & Open-Source Legal Support, Case Study, News /

1. 欧盟AI法案

(1) 欧盟AI法案的重要地位

欧盟AI法案(EU AI Act)是全球首个全面监管人工智能的法律,虽然该法案仅适用于欧盟法律范围内的领域,并提供豁免,例如专门用于军事和国防以及研究目的的系统,但它具有重要的里程碑意义,在全球范围内提供了指引和标准。其核心目标是通过基于风险的方法,确保人工智能技术在欧盟范围内安全、可信赖地发展,同时保护欧盟公民的基本权利。该法案不仅为AI系统设立了详细的分类和监管要求,还强调透明度和问责制,旨在为全球AI监管树立标准。 

(2) 法案时间轴

1. 起草与提议:

   – 欧盟委员会在2021年首次提出了AI法案的草案,经过广泛的讨论,草案结合了对AI技术的潜在风险和机遇的评估。

2. 审议与协商:

   – 草案发布后,欧盟成员国、欧盟理事会和欧洲议会进行了多轮讨论和修订。各方在法案的细节上进行了激烈的商讨,特别是在风险分类、基本权利保护和创新促进等方面。

3. 正式通过:

   – 经过两年的审议,欧盟AI法案于2024年5月正式获得欧洲理事会的批准。该法案的通过标志着欧盟在全球AI监管领域迈出了关键一步,并为其他国家和地区提供了参考和借鉴。

(3) 后续时间节点

  1. 2024年6月-7月——《人工智能法案》将公布在《欧洲联盟官方期刊》上。这标志着新法律的正式发布。
  2. 20天后——《人工智能法案》将在公布于《官方期刊》后的20天内“生效”。自此日起,根据第113条,将有以下里程碑:
  3. 6个月后——第一章和第二章(禁止的AI实践行为)将开始适用。
  4. 12个月后——第三章第四节(通知当局)、第五章(通用人工智能模型)、第七章(治理)、第十二章(保密性和处罚)以及第78条(保密性)将开始适用,除了第101条(对GPAI提供者的罚款)之外。
  5. 24个月后——《人工智能法案》的其余部分将适用,除了以下:
  6. 36个月后——第6条第1款及本法规中的相应义务将适用。
  7. 根据第56条,实践规范指引必须在生效后9个月内准备就绪。

2. 欧盟AI法案概要及影响

(1) AI法案内容概要

1. 基于风险的分类:

   – AI系统被分为低风险、中等风险、高风险和不可接受风险类别。高风险系统必须经过严格的审查和批准,而不可接受风险系统则被完全禁止。

2. 透明度和问责制:

   – 所有高风险AI系统必须进行基本权利影响评估,并在公共数据库中注册。法案还设立了多个监管机构,以确保法律的实施和遵守。

3. 创新促进:

   – 法案通过设立AI监管沙盒,鼓励创新技术的开发和测试,同时确保这些创新在安全和可控的环境中进行。

(2) 哪些人受到AI法案影响

Provider提供者:开发人工智能系统或通用人工智能模型(或已开发人工智能系统或通用人工智能模型)并将其投放市场或以其自己的名称或商标投入使用的自然人或法人、公共当局、机构或其他机构,无论是付费还是免费;

Deployer部署者:在其权力范围内使用人工智能系统的任何自然人或法人、公共当局、机构或其他机构,但用于个人非专业活动的人工智能系统除外;

Distributor分发者:供应链中除提供者或进口者以外的任何将人工智能系统投放到联盟市场的自然人或法人;

Importer进口者:位于或设立在联盟内的任何自然人或法人,将带有在联盟以外设立的自然人或法人的名称或商标的人工智能系统投放市场;

Authorised representative授权代表:位于或设立在联盟内的任何自然人或法人,已收到并接受人工智能系统或通用人工智能模型提供者的书面授权,分别代表其履行和执行本法规规定的义务和程序。

Product manufacturer产品制造商:将人工智能系统与其产品一起以自己的名称或商标投放市场或投入使用;

特别值得注意的是,并非所有这些角色都有相同的义务,同样值得注意的是AI法案具有域外效力。它适用于任何在欧盟内部运营人工智能系统的公司以及位于欧盟以外的公司。

例如您是欧盟域外Provider提供者,但您的系统根据AI法案第5条属于被禁止的类型,但由位于欧盟的下游部署人员使用,如果您属于通用AI模型GPAI,那么根据第53条您仍负有义务如下:

创建并保存 AI 模型的技术文档,并根据要求将其提供给 AI 监督办公室。

为集成 AI 模型的提供者创建并保存文档,平衡透明度和 IP 保护。

制定尊重联盟版权法的政策。

根据 AI 办公室提供的模板发布 AI 模型训练数据的公开摘要。

所以,即便您是中国的企业,如果您是做GPAI即通用AI模型,且属于被禁止的类型,那么一旦被部署到欧盟要注意:

  1. 自己的合规义务
  2. 与部署者的协议条款以及合规要求

但以下不适用AI法案

专为军事目的而开发和使用的人工智能系统

第三国公共当局或国际组织用于执法和司法合作的人工智能系统

人工智能研究和开发活动

将人工智能系统用于纯个人、非专业活动的人

3. 欧盟AI法案的风险分级

(1) AI法案的风险分级

1. 禁止的AI实践:例如“实时”远程生物特征识别系统。

2. 高风险AI系统:包括关键基础设施、教育、就业、人类资源管理、执法、司法等领域的应用。此类系统需满足严格的合规要求。

3. 有限风险AI系统:如聊天机器人,需满足特定的披露义务。

4. 最低风险AI系统:例如视频游戏中的AI,无需额外监管,但若您是提供者或者属于通用AI模型,则仍需满足特定的披露义务

(2) 完全禁止的AI实践行为

您的系统是否执行其中任何一项功能?

  • 超出个人意识的潜意识技术,或有目的地操纵或欺骗技术
  • 利用自然人或特定群体弱点
  • 生物特征分类
  • 社交评分
  • 预测警务
  • 扩大面部识别数据库
  • 情绪识别
  • 实时远程生物特征识别

若是,则属于完全禁止的AI实践行为

(3) 哪些属于高风险AI系统?

1. 关键基础设施的管理(如运输、电力供应等)使用的AI系统。

2. 教育和职业培训中的AI系统(如用于评估考试或考核的系统)。

3. 就业、工人管理和自营职业中的AI系统(如用于招聘或绩效评估的系统)。

4. 公共和私人服务的获取权益中的AI系统(如信用评分系统)。

5. 执法中的AI系统(如用于预测犯罪的系统)。

6. 移民、庇护和边境控制中的AI系统(如用于签证和庇护决定的系统)。

7. 司法系统中的AI系统(如用于法律研究或判决建议的系统)。

(4) 视为高风险的情况

如果您的AI系统或嵌入式AI系统属于以下欧盟协调立法约束范畴,且根据要求需要接受第三方合规评估,系统将被视为高风险:

  • 机械
  • 玩具
  • 娱乐船艇和个人水上交通工具
  • 升降机和升降机安全部件
  • 用于潜在爆炸性环境的设备和防护系统
  • 无线电设备
  • 压力设备
  • 索道设施
  • 个人防护设备
  • 燃烧气体燃料的器具
  • 医疗设备
  • 体外诊断医疗设备

但如果您属于以下欧盟协调立法约束范畴

  • 民航安全
  • 两轮或三轮汽车和四轮车
  • 农林车辆
  • 船舶设备
  • 铁路系统互操作性
  • 机动车及其拖车
  • 民航

那您的系统属于AIA除外规定,仅有112号条文义务适用,但仍需:

  • 遵守欧盟协调立法法规;
  • 密切关注欧盟的新发展并遵守任何新法规。

4. 合规义务

(1) 高风险AI系统的合规义务

根据第 9 条建立和实施风险管理流程。

根据第 10 条,使用高质量的训练、验证和测试数据。

根据第 11 条和第 12 条,建立文档并设计日志记录功能。

根据第 13 条,确保适当的透明度并向用户提供信息。

根据第 14 条,确保人工监督措施已内置于系统中或由用户实施。

根据第 15 条,确保稳健性、准确性和网络安全。

此外,根据身份不同,还有不同合规义务。如对于Provider提供者,需要确保高风险人工智能系统在投放市场或投入使用之前经过第 43 条所述的相关合规评审,并出具欧盟合规声明(10年保存义务),并加贴CE标志等。而作为Distributor分发者,在分发前必须要验证其是否具有所需的 CE 符合性标记、文档和使用说明,以及提供者和进口者是否已履行其义务,若发现不合规,还负有报告义务。

(2) 通用 AI 模型合规义务

通用人工智能模型是指包括使用大规模自我监督训练大量数据后的人工智能模型,FLOPs大于10的25次方,该模型表现出显著的通用性,无论模型以何种方式投放市场,都能够胜任各种不同的任务,并可集成到各种下游系统或应用程序中。

则需要遵守通用人工智能模型合规义务:

  • 创建并保存 AI 模型的技术文档,并根据要求将其提供给 AI 监管办公室。
  • 为集成 AI 模型的提供者创建并保存文档,平衡好披露义务和知识产权保护。
  • 制定尊重联盟版权的法律法规。
  • 根据 AI 监管办公室提供的模板发布 AI 模型训练数据的公开摘要。

此外,仍需要考虑 通用AI模型 是否用作 AI 系统或作为 AI 系统的组成部分。如果是,则根据第 85 条附注,高风险 AI 系统的义务可能直接或间接适用,也就是说企业要随时关注自己的GPAI模型是否被嵌入到其他高风险AI系统中。

(3) 开源人工智能系统需注意

欧盟AI法案不适用于根据免费和开源许可发布的人工智能系统,但若其

作为高风险AI系统或包含完全禁止的AI实践行为或带有与自然人互动的人工智能系统投放市场或投入使用,则仍需要遵守AI法案。

5. 处罚措施

  1. 违反禁止的AI实践规定,将被处以最高 35,000,000 欧元的行政罚款,如果违法者是企业,则最高罚款金额为其上一财年全球年营业额的 7%,以较高者为准。
  • 对违反相关规定的提供者、分发者等,将被处以最高 15,000,000 欧元的行政罚款,如果违法者是企业,则最高罚款金额为其上一财年全球年营业额的 3%,以较高者为准。特别要注意的是,如违反披露义务也会被进行处罚。
  • 对于在回复监管机构时,提供虚假、不完整或误导性信息的,可处以将被处以最高 7,500,000 欧元的行政罚款,如果违法者是企业,则最高罚款金额为其上一财年全球年营业额的 1%,以较高者为准
  • 对于中小企业,以上以较低者为准
  • 对于通用AI模型的提供者,若存在故意或过失导致未能遵守相关义务,或未能提供所要求的文件或信息,或提供虚假、不完整或误导性信息,可处以最高达其上一财年全球总营业额的3%或15,000,000欧元(以较高者为准)的罚款。

6. 促进创新

看似AI法案的监管以及处罚力度非常大,但实际上其也提供了促进创新的制度安排

监管沙盒(Regulatory Sandbox)是一种创新的监管框架,允许企业在受控和监督的环境下测试和试验新技术或新产品。这种机制通常由监管机构提供和管理,旨在在不完全适用现行法规的情况下,让创新技术能够在有限的范围内进行实际测试,从而在确保安全和合规的前提下,促进创新和技术发展。

(1) 监管沙盒的特点

1. 受控环境:

   – 企业在监管沙盒中进行测试时,受到严格的监督和控制,以确保新技术在测试过程中不会对公众和市场造成重大风险。

2. 有限时间和范围:

   – 监管沙盒的测试通常在特定的时间和范围内进行,明确规定了测试的期限和应用场景。

3. 灵活的监管措施:

   – 参与沙盒的企业可以在不完全符合现行法规的情况下,进行创新技术的测试和试验。监管机构可能会根据测试的具体情况,提供灵活的监管措施和指导。

4. 反馈机制:

   – 企业在沙盒中进行测试后,需要向监管机构提供详细的测试结果和反馈,帮助监管机构更好地理解新技术的风险和潜力,从而制定更合理的监管政策。

(2) 全球参考沙盒实例

英国的药品和医疗产品监管机构(MHRA)推出了AI-Airlock项目,这是一种专门为AI医疗设备开发的监管沙盒。该项目为开发者提供了一个监管监控下的虚拟环境,用于生成先进技术的可靠证据,从而加速创新技术的安全部署,并确保这些技术在进入市场前得到充分测试。

英国金融行为监管局(FCA)沙盒专注于金融科技,同时承认金融领域应用的人工智能相关解决方案。

法国数据保护局(CNIL)推出了首个“个人数据沙盒”。沙盒针对的是面临与个人数据监管相关的新问题的组织,该监管沙盒不会免除参与者的GDPR等法规义务,但是它将帮助组织从设计阶段就实施隐私保护。

7. 对中国企业的影响和启示

欧盟AI法案不仅在全球AI监管领域树立了标准,还为其他国家提供了宝贵的经验和借鉴,所以作为中国跨国企业应该持续关注AI法案下的合规问题,并可积极参与和关注标准制定以及监管沙盒的应用。

思考:

您是中国企业,但是您属于通用AI模型,那么您针对欧盟市场的部署的许可协议(License Agreement)是否应该调整呢?是否要区分终端用户许可协议End-User License Agreement呢?

您是中国玩具制造企业,我的产品中AI的结果将会被用在欧盟市场中,那么使用我自己的商标和仅做OEM,欧盟AI法案会对我产生影响吗?我属不属于GPAI对我会产生影响吗?

以上欧盟AI法案法条为2024年4月19日的人工智能法案版本

Related Posts