12-12-2023

欧盟在行动：全球首部AI法案

人工智能法案
欧洲议会和欧盟理事会最近就《人工智能法案》（AI Act，以下简称法案）草案达成了临时协议，该法案最初于 2021 年提出，预计将于 2024 年初获得通过。预计法案将在通过后两年内全面实施。该条例（rugulation）将作为法律框架规范欧盟境内人工智能的销售和使用。法案将通过为成员国的人工智能技术制定一致标准以确保欧盟单一市场的正常运作。作为全球首个针对人工智能的法规，欧盟正在寻求为人工智能行业制定全球标准。

管辖
法规中对人工智能的定义为“在欧盟市场上销售、投入使用或使用的人工智能系统”，这将包括向欧盟境内用户销售或提供其系统的开发商、部署商和全球供应商。但是，该法规不包括专门为军事、国防和国家安全目的开发的人工智能系统，也不包括那些仅用于研究和创新目的的人工智能系统。

法规机制
人工智能系统的监管是基于其对人的健康、安全和基本权利所构成的风险水平。通过一套标准和评估机制，人工智能系统被分为不同的类别。开发商自行确定人工智能系统的风险类别。同样，除了少数例外，开发商可以自我评估和认证其人工智能系统和治理实践是否符合《法案》中描述的要求。他们可以通过采用即将出台的标准，或证明其他技术解决方案的等效性来实现这一点。未能正确分类人工智能系统和/或不遵守相关规定将面临罚款，罚款金额根据违规行为和公司规模的不同，范围从750万欧元或营业额的1.5%到3,500万欧元或全球营业额的7%不等。然而，还有其他适当的行政罚款上限也适用。

分类
不可接受的风险

属于此详尽列表的人工智能系统是被彻底禁止的。其中包括：

使用敏感特征的生物识别分类系统（例如：政治、宗教、哲学信仰、性取向、种族）
从互联网或闭路电视录像中无针对性地抓取面部图像以创建面部识别数据库
工作场所和教育机构中的情绪识别
基于社会行为或个人特征的社会评分
操纵人类行为以规避其自由意志的人工智能系统
利用人们的弱点（由于年龄、残疾、社会或经济状况）的人工智能

豁免：

出于执法目的，在事先获得司法授权的情况下，在公共可访问空间中使用“后”远程生物识别系统（RBI），并且仅限于特定严重刑事犯罪有关。
“实时”RBI 仅限于以下目的：
- 预防具体和当前的恐怖主义威胁
- 有针对性地搜查受害者（绑架、贩运、性剥削）
- 定位或识别涉嫌犯有某一特定犯罪的人员（例如：恐怖主义、贩卖人口、性剥削、谋杀、绑架、强奸、武装抢劫、参与犯罪组织、环境犯罪）

高风险
此类系统将受到严格的监管，需要遵守某些强制性要求和事前基本权利影响评估。要求包括高质量的数据集、建立适当的信息管理以提高可追溯性、为用户提供足够的信息以及充分的以人为中心的控制。人工智能开发者可以根据该领域的最新水平和技术进步来选择满足这些要求的方式；也就是说，他们可以自己进行内部控制，并接受当局的事后监督。

2类：

系统是作为安全组件或系统本身是受现有安全标准和评估约束的产品，例如玩具或医疗设备
系统用于特定的敏感目的。详尽列表包括：
- 生物识别
- 关键基础设施
- 教育和职业培训
- 就业、劳工管理和自雇职业机会
- 获得基本服务
- 执法
- 移民、庇护和边境管制管理
- 司法行政和民主程序

有限且最小的风险
有限风险是指系统的可操纵性受到一定的限制。此类系统需要让人们了解具体情况并披露内容生成过程，包括与自然人交互的任何内容（情绪识别或生物识别分类）。剩余风险都属于“最小风险”，他们没有任何具体的义务和责任，只是委员会提供一些建议来制定行为准则。

通用人工智能系统
大多数生成式人工智能模型（GPAI）都有义务遵守透明度要求并确保其他保护机制。这些要求可能包括对系统内容和机制的详细摘要。此外，对于具有系统风险的高影响力GPAI，它们需要遵守更严格的规定；它们需要进行模型评估和对抗性测试，评估和减轻系统风险，确保网络安全，并报告其能源效率。

治理
专门的人工智能办公室将被设立来监督区域内的人工智能模型。他们将管理培育标准和测试实践，并在欧盟所有成员国执行共同规则。此外，由每个欧盟成员国的代表组成的人工智能委员会将充当作为协调平台和欧盟委员会的咨询机构。最后，个人可以就不遵守法案的行为向相关市场监管机构提出投诉，并由后者根据其对权利的影响做出决定。

作者：Yuma Amano 和 Paul A. Josephus Jitta