AI合规观察｜历时三年，欧盟《人工智能法案》通过欧洲议会表决【走出去智库】

走出去智库（CGGT）观察

当地时间3月13日，欧洲议会通过了首个全面监管人工智能的法规——《人工智能法案》。接下来该法案还需要得到欧盟理事会的批准，距离最终生效仅一步之遥。

走出去智库(CGGT)特约法律专家、金杜律师事务所合伙人宁宣凤认为，欧盟《人工智能法案》一经生效，将对适用企业，尤其是提供不可接受风险、高风险人工智能系统的企业产生重大的实质影响。尽管存在诸多争议且落地可操作性有待观察，但作为全球首部综合性人工智能立法，《人工智能法案》有潜力凭借其广泛适用性取得事实层面和法律层面的“布鲁塞尔效应”。位于欧盟境外的组织应审慎评估其人工智能业务是否可能受到《人工智能法案》的辐射，以确认是否需开展相关合规工作。

如何做好AI合规？今天，走出去智库（CGGT）刊发金杜律师事务所宁宣凤、吴涵等律师的文章，供关注AI合规的读者参考。

要点

1、《人工智能法案》第2条规定，无论是欧盟境内还是欧盟境外的实体，只要其在欧盟境内将人工智能系统或通用人工智能模型投入市场或投入使用，均将受到《人工智能法案》的规制。

2、高风险人工智能系统投放市场或投入使用时，其提供者应当开展基本权利影响评估与符合性评估、制定欧盟符合性声明、加贴CE标识，并在欧盟委员会维护的欧盟数据库中对高风险人工智能系统进行备案。

3、考虑到《基本要求》基本涵盖了大模型备案过程中要求生成式人工智能服务提供者开展安全评估的具体评估指标例如训练语料来源、标注人员情况等，相关服务者在实际开展大模型备案工作时，也宜遵照《基本要求》的相关合规要求自行或委托第三方机构开展安全评估，以提高备案效率。

正文

引言

2024年3月13日，欧洲议会以523票赞成、46票反对和49票弃权的表决结果通过了《人工智能法案》（Artificial Intelligence Act）。

历时三年，经过成员国与欧盟理事会、欧盟议会等欧盟层面机构的多次磋商、讨论，面临欧盟、美国等国家/地区科技巨头企业的担忧与疑虑，欧盟人工智能监管立法终于迎来重大进展。

01、《人工智能法案》制定历程

欧盟始终期待打造可信任的人工智能生态环境，为实现这一愿景，欧盟陆续发布《欧盟机器人民事法律规则》《欧盟人工智能》《人工智能白皮书——追求卓越和信任的欧洲方案》等一系列人工智能政策，以期推动欧盟的人工智能产业发展，并形成健康、可持续的人工智能监管机制。

基于前述愿景，2021年4月，欧盟首次发布《人工智能法案》提案，以“风险为进路”，基于人工智能系统的应用场景等因素，将人工智能系统划分为不可接受的风险、高风险、有限风险和极低风险四类，并对每类风险的人工智能系统提出差异化的监管要求。2022年12月6日，欧盟理事会通过了关于《人工智能法案》的共同立场。2023年6月14日，欧洲议会对《人工智能法案》草案进行表决，并以499票赞成、28票反对和93票弃权的压倒性结果通过了其妥协立场。此后，欧盟成员国、欧盟理事会及议会就《人工智能法案》的具体条款组织“三方会谈”，进行多次谈判，并于2023年12月9日达成有关《人工智能法案》的临时协议。

达成临时协议并不代表欧盟本次人工智能立法程序的结束，而仍有待欧洲议会的最终表决。随着立法程序的进一步更新，2024年2月13日，欧盟议会内部市场和消费者保护委员会与公民自由、司法和内政事务委员会以71票赞成、8票反对和7票弃权的投票结果通过了与各成员国就《人工智能法案》达成的谈判草案。2024年3月13日，欧洲议会正式批准了《人工智能法案》，扫清了欧盟人工智能监管立法的前置障碍。

未来，《人工智能法案》还将进行条款勘误，并预计在4月交由欧盟理事会批准以使得《人工智能法案》正式成为欧盟法律。

02、《人工智能法案》适用范围

《人工智能法案》的立法宗旨之一在于维护公平的人工智能竞争环境并有效保护欧盟个人的自由等基本权利。为了实现前述目标，《人工智能法案》确立了较为广泛的适用范围且具备域外效力：一方面，尽管某企业并非欧盟实体，只要其将人工智能系统在欧盟境内投入市场或投入使用，也需适用《人工智能法案》。另一方面，人工智能系统最终在市场发挥作用，除人工智能系统提供者外，离不开部署者、分销者等利益相关主体的参与。因此，人工智能系统价值责任链的相关主体均可能成为《人工智能法案》的规制对象。

图1：《人工智能法案》适用范围

1. 适用于在欧盟境内将人工智能系统投入市场或投入使用的人工智能系统提供者

《人工智能法案》第2条规定，无论是欧盟境内还是欧盟境外的实体，只要其在欧盟境内将人工智能系统或通用人工智能模型投入市场或投入使用，均将受到《人工智能法案》的规制。场所位于欧盟境外的人工智能系统提供者，如其系统产生的产出将用于欧盟，相关主体也需适用《人工智能法案》。

此外，如提供者在欧盟境内尚未设立实体，根据《人工智能法案》的规定，其应指派一个位于或设立于欧盟的授权代表，代提供者履行相关合规义务。

2. 适用于人工智能系统价值责任链上的多方主体

鉴于人工智能系统价值链的复杂性，人工智能系统的提供者、部署者、进口者、分销者或其他第三方均需履行其角色项下的合规义务。

具体而言，根据《人工智能法案》的相关规定，除了人工智能系统提供者，如下主要类型的主体也将受到欧盟人工智能立法的监管：

·部署者：部署者指经授权使用人工智能系统的公共机构、法人和自然人（自然人在非职业活动中使用人工智能系统除外），包含在欧盟内设立场所或位于欧盟的人工智能系统部署者，以及其人工智能系统产生的产出将用于欧盟的部署者；

·进口者：将带有欧盟境外自然人或法人的名称、商标的人工智能系统投放欧盟市场、且位于或设立于欧盟的法人、自然人；

·分销者：除人工智能系统提供者、进口者以外，在欧盟市场上提供人工智能系统的主体；

·产品制造者：以自己的名称或商标将人工智能系统与其产品一同投入欧盟市场或投入使用的产品制造者。

一方面，高风险人工智能系统的进口者、分销者等主体需履行《人工智能法案》第23条、第24条等相关规定对其施加的相关合规义务。另一方面，满足特定情形时，部署者、进口者等还将被视为高风险人工智能系统的提供者，履行提供者的相关义务。例如，相关主体对已投入市场或投入使用的高风险人工智能系统进行实质性调整，且调整后的人工智能系统也属于高风险人工智能系统，相关主体则需履行高风险人工智能系统提供者的义务。

03、《人工智能法案》主要内容

1. 以风险为进路，对不同风险等级的人工智能系统实施差异化监管

图2：以风险为进路

最新通过的《人工智能法案》延续了自《人工智能法案》提案起即确立的人工智能系统四级监管机制，即将人工智能系统的风险等级划分为不可接受的风险、高风险、有限的风险和轻微的风险四类，并对每类人工智能系统施以不同的监管要求。

具体而言，《人工智能法案》禁止具有不可接受风险的人工智能系统投入市场或投入使用；有限风险的人工智能系统的提供者、部署者应履行特定的透明度义务；轻微风险的人工智能系统的使用不受限制；高风险人工智能系统则是《人工智能法案》的重点关注对象。

就高风险人工智能系统而言，《人工智能法案》构建了涵盖事前、事中和事后的全生命周期监管体系：

·高风险人工智能系统投放市场或投入使用前，其提供者应确保人工智能系统具有相应的风险管理体系、使用符合《人工智能法案》第10条规定的质量标准的训练、验证和测试数据集、附有证明该人工智能系统符合《人工智能法案》合规要求的技术文档、具有自动记录日志的能力、设置人为监督措施等。同时，高风险人工智能系统提供者还应建立质量管理体系，以确保其自身能够遵循《人工智能法案》对其施加的合规要求。

·高风险人工智能系统投放市场或投入使用时，其提供者应当开展基本权利影响评估与符合性评估、制定欧盟符合性声明、加贴CE标识，并在欧盟委员会维护的欧盟数据库中对高风险人工智能系统进行备案。

·高风险人工智能系统投放市场或投入使用后，其提供者应持续监测人工智能系统的风险活动，以便评估其系统在上市后是否持续符合《人工智能法案》的相关要求；采取纠正措施例如召回、停用，以应对人工智能系统已不符合监管要求而带来的风险；如发生严重事件，提供者还应向严重事件发生地的成员国市场监管管理机关进行报告。此外，成员国的国家市场监督管理机关、欧盟设立的人工智能办公室等机构有权依据《人工智能法案》履行相应的职责，因此，高风险人工智能系统提供者等市场主体还负有配合主管机关执法的义务。

2. 新增对通用人工智能模型及系统的监管要求

图3：通用人工智能模型分类

随着ChatGPT等AI应用在世界范围内掀起热议，欧盟理事会于2022年12月6日就《人工智能法案》达成共同立场时即新增了有关通用型AI模型（General Purpose AI Models）的合规要求。最新通过的《人工智能法案》也顺应了对通用人工智能模型及其系统进行规制的趋势，并延续了“以风险为进路”的思路，将通用人工智能模型进一步区分为是否存在系统性风险（Systemic Risk），并对具有系统性风险的通用人工智能模型提供者提出更高水平的监管要求。

简而言之，通用人工智能模型提供者均应履行《人工智能法案》第53条规定的透明性义务，包括编制技术文档、提供相关信息至通用人工智能模型的下游人工智能系统提供者等。如果相关通用人工智能模型被认定为存在系统性风险，其提供者还应遵循《人工智能法案》第55条等相关要求，按照标准化协议和工具对模型进行评估从而识别和减轻存在的系统性风险、报告事件等。

3. 确立人工智能监管沙盒制度，激励人工智能创新，保护中小企业发展

一方面，人工智能的技术革新是数字社会发展的必然趋势，基于维护个人的安全、健康、民主等基本权利之目的而对人工智能进行监管不应过分扼制人工智能产业的发展。另一方面，新生的人工智能监管要求可能在短时间内拉高了企业的合规成本，尤其是对于小微企业（Small and Medium Enterprises, SMEs）而言，高昂的合规成本可能影响其参与人工智能市场的竞争。基于此，欧盟建立人工智能监管沙盒（AI Regulatory Sandboxes）制度，以推动人工智能生态系统的发展，促进和加快人工智能系统、特别是小微企业的人工智能系统进入市场。

《人工智能法案》第57条规定，欧盟各成员国应至少建立一个国家级别的人工智能监管沙盒，使得潜在的高风险人工智能系统提供者可以在可控的环境内进行研发、培训和测试，接受相关主管机关提供的指导与便利。企业可申请参与人工智能监管沙盒，且主管机关设置的申请、选拔流程应当便于小微企业参与；如企业是小微企业，还可免费进入监管沙盒。

此外，为了保护中小企业的利益，《人工智能法案》第62条还规定了针对中小企业的保护措施。例如，在合适的情形下，当地主管机关还应针对小微企业开展有关《人工智能法案》的培训，提高相关企业对人工智能监管要求的认识，并促进小微企业参与人工智能系统相关标准化规则的制定。

（对于《人工智能法案》更为详细的监管规则，我们曾撰文分析，请见“路未央，花已遍芳——欧盟《人工智能法案》主要监管及激励措施评述”与“全球人工智能治理大变局之欧盟人工智能治理监管框架评述及启示”。）

04、《人工智能法案》时代的企业合规方向

可以预见，《人工智能法案》一经生效，将对适用企业，尤其是提供不可接受风险、高风险人工智能系统的企业产生重大的实质影响。尽管存在诸多争议且落地可操作性有待观察，但作为全球首部综合性人工智能立法，《人工智能法案》有潜力凭借其广泛适用性取得事实层面和法律层面的“布鲁塞尔效应”。

1. 尽快评估自身法律适用性并留意配合法案的分阶段实施时间框架

按计划，《人工智能法案》将于在官方公报上公布20天后生效，并在生效24个月后完全适用。但考虑到市场主体对于超前监管规则抑制产业发展等广泛担忧，《人工智能法案》的不同规则将分阶段实施，并预计于2027年全面实施。

具体而言，不可接受风险的人工智能系统应在《人工智能法案》生效6个月后完全禁止；通用人工智能模型的治理规则将在《人工智能法案》生效12个月后执行；高风险人工智能系统的合规要求则预留了36个月的合规整改期限。因此，位于欧盟境外的组织应审慎评估其人工智能业务是否可能受到《人工智能法案》的辐射，以确认是否需开展相关合规工作。

2. 面对高额罚则，审慎、加快开展落实合规方案

如此后相关企业需遵循《人工智能法案》开展业务，则应尽快开展合规工作，避免未来自身因违反法案规定而被处以最高达3500万欧元或全球年营业收入7%数额的罚款。

来源：金杜研究院