欧盟人工智能法案(欧盟法规 2024/1689)为任何投放欧洲市场或其产出到达欧盟用户的人工智能系统制定了具有法律约束力的规则,使其成为全球首部横向的、基于风险的人工智能法律。无论您是构建模型、集成第三方工具,还是仅仅部署聊天机器人来服务客户,该法案都规定了新的义务,并使您每次违规都面临高达全球营业额 7% 的巨额罚款。该法案于 1 年 2024 月 2025 日生效;合规义务将于 2027 年 XNUMX 月至 XNUMX 年 XNUMX 月分阶段实施,这意味着准备时间有限。
本实用指南深入浅出地讲解了法律术语,并精准阐释了您需要了解的内容:该法案的范围和关键定义、四级风险分类、时间表和执行机制、供应商、用户、进口商和分销商的具体义务,以及不合规的处罚。我们还将该法规与 GDPR、NIS2、产品安全规则和行业特定要求进行了对比,并为您提供了一份循序渐进的合规性检查清单,方便工程、法务和领导团队立即采取行动。让我们帮助您做好准备——在审计人员上门之前。
一览:欧盟人工智能法案究竟是什么
欧盟第2024/1689号条例(更广为人知的是《欧盟人工智能法》)是一项直接适用的欧盟法规,而非指令。这意味着其条款在每个成员国自动生效,无需在国内进行转换,就像 《通用数据保护条例》(GDPR) 2018年就已实施。该法案的目标有两个:保障基本权利和安全,同时赋予企业法律确定性,使其能够负责任地利用人工智能进行创新。为了实现这一目标,该法案引入了一套横向的、基于风险的工具包,涵盖从金融到医疗保健等各个领域,将系统风险从“最低”到“不可接受”进行分级,并规定相应的法律责任。
您需要了解的范围和定义
在制定合规计划之前,掌握核心词汇:
- 人工智能系统:“一种基于机器的系统,旨在以不同程度的自主性运行,并且为了明确或隐含的目标,从输入数据中推断如何生成可以影响物理或虚拟环境的输出(例如预测、内容、建议或决策)。”
- 通用人工智能 (GPAI):一种能够执行各种不同任务的人工智能系统,无论其随后如何进行微调或部署。
- 提供者:开发或已经开发人工智能系统,以期以其名称或商标将其投放市场或投入使用的任何自然人或法人。
- 用户(通常称为“部署者”):在其权限范围内使用人工智能系统的个人或实体,不包括私人、非专业用途。
- 进口商:在欧盟市场上投放带有欧盟以外实体名称或商标的人工智能系统的欧盟境内机构。
- 分销商:供应链中的参与者(除供应商或进口商之外),他们无需修改即可提供人工智能系统。
该法案的地域范围广泛:任何投放欧盟市场或其产品在欧盟使用的系统,无论开发者位于何处,均受该法案管辖。纯军事或国家安全用途、尚未上市的研发原型以及个人爱好项目除外。
该法案中的关键原则
该法规将长期存在的道德观念融入可执行的法律中:
- 人力资源和监督
- 技术稳健性和安全性
- 隐私和数据治理
- 透明度和可解释性
- 多样性、非歧视和公平
- 社会和环境福祉
这些反映了经合组织的人工智能原则和欧盟早先的“人工智能伦理指南”。 值得信赖的AI”,但现在却带有监管力度。
监管与现有软法指南
直到2024年,欧洲的人工智能治理依赖于《欧盟人工智能公约》或企业道德准则等自愿框架。《人工智能法案》改变了这一局面:合规是强制性的、可审计的,并由……支持 罚款高达35万欧元 或占全球收入的7%。换句话说,仅仅宣称“符合道德的人工智能”已经不够了——组织必须提供合格评定、CE标志和可验证日志,否则将面临被禁止进入欧盟市场的风险。
时间表、法律地位和执行阶段
欧盟《人工智能法案》从提案到最终生效仅用了三年多的时间——以布鲁塞尔的标准来看,这堪称光速。由于该法案是一项法规,大多数条款无需在各国之间转换即可自动在整个欧盟范围内适用。随着时间的推移,哪些义务会先生效会发生变化。下方的时间表列出了促成该法案的政治里程碑,并为贵组织现在必须分阶段履行的合规义务奠定了基础。
| 日期 | 里程碑 | 意义 |
|---|---|---|
| 21年四月2021日 | 委员会发布人工智能法案草案 | 立法程序正式启动 |
| 9 Dec 2023 | 议会与理事会达成政治协议 | 核心文本大部分已锁定 |
| 13 Mar 2024 | 欧洲议会最终投票(523-46) | 获得民主党批准 |
| 21日 2024月 XNUMX年 | 欧盟理事会通过 | 最后一道立法障碍已清除 |
| 10 Jul 2024 | 文本发表于《官方公报》 | 法律倒计时开始 |
| 1 Aug 2024 | (欧盟)2024/1689号法规生效 | 所有未来截止日期的“第 0 天” |
该标准的生效日期将触发一系列为期三年的交错申请日期。这种设计为供应商、用户、进口商和分销商提供了构建合规流程、升级模型和培训员工的空间,同时也意味着审计人员将期望在2027年之前就能看到显著的进展。
执法路线图:何时适用
- 6个月 | 1年2025月XNUMX日
- 禁止的人工智能实践(第 5 条)必须退出市场——没有任何借口。
- 12个月 | 1年2025月XNUMX日
- 深度伪造、聊天机器人和情绪识别的透明度义务开始生效。
- 预计通用人工智能 (GPAI) 的行为准则;自愿但强烈推荐。
- 24个月 | 1年2026月XNUMX日
- 高风险系统要求开始:风险管理、数据治理、技术文档、人工监督和 CE 标志准备。
- 供应商必须在新的欧盟数据库中注册高风险系统。
- 36个月 | 1年2027月XNUMX日
- 适用全面制度,包括生物特征识别系统、公告机构合格评定以及所有高风险人工智能的强制性欧盟合格声明。
- 市场监督机构 获得命令召回或撤回不合规产品的权力。
过渡条款允许2026年XNUMX月前已合法使用的高风险系统继续在市场上销售,直至进行“重大修改”。升级计划需谨慎进行,以免意外重置合规时钟。
机构和监督机构
《欧盟人工智能法》受到三层监督:
- 欧盟人工智能办公室(欧盟委员会) – 协调指导,维护 GPAI 注册表,并可对系统模型提供商处以罚款。
- 国家主管部门 – 每个成员国一个;负责处理检查、投诉和日常市场监督。
- 公告机构 – 在 CE 标志颁发之前,由独立的合格评定机构对高风险系统进行审核。
这些参与者通过 欧洲人工智能委员会(EAIB),该机构发布了统一的解释性说明——可以将其视为人工智能领域的 GDPR 的 EDPB。请密切关注他们的指导意见;它将决定您的技术文件和风险评估在实践中的评判方式。
四级风险分类框架
欧盟《人工智能法案》(AI法案)的核心是一个红绿灯模型,它决定了规则的严格程度:对人们权利和安全的风险越高,合规负担就越重。每个人工智能系统都必须被划分到四个等级之一——不可接受、高、受限或最低。分类决定了其他所有方面:文档深度、测试严谨性、监管,以及最终的市场准入。
| 风险等级 | 典型例子 | 核心法律后果 | 首次申请日期* |
|---|---|---|---|
| 劣 | 社交评分、公共场所的实时生物识别、操纵性的“助推”引擎 | 全面禁止;撤销并处以最高 35 万欧元/7% 的罚款 | 1年二月2025日 |
| 高 | 简历筛选工具、医疗诊断软件、信用评分、自动驾驶模块 | 合格评定、CE标志、注册登记、上市后监控 | 1 年 2026 月 1 日(生物识别:2027 年 XNUMX 月 XNUMX 日) |
| 有限 | 聊天机器人、深度伪造生成器、情绪分析小部件 | 透明度通知和基本用户控制 | 1 Aug 2025 |
| 最小 | 人工智能垃圾邮件过滤器、视频游戏 NPC | 没有强制性规定;只有自愿性准则 | 已经生效 |
* 从 1 年 2024 月 XNUMX 日生效日起计算。
该框架是动态的:如果您添加新功能或更改目标用户,您的系统可能会跳过一个层级,触发新的职责。
不可接受的风险:禁止人工智能实践
第五条对欧盟认为本质上与基本权利不相容的行为划定了红线。这些行为包括:
- 潜意识技巧会严重扭曲行为
- 利用未成年人或残疾人的弱点
- 无差别实时 生物识别 在公共场所(适用狭义的执法豁免)
- 公共当局的社会评分
- 仅基于分析或位置数据的预测性警务
此类系统绝不能进入欧盟市场。各国主管部门可下令立即召回,并处以最高级别的罚款。
高风险人工智能系统:附件三类别
如果系统符合以下任一情况,则属于高风险类别:
一旦被归类为高风险,供应商必须运行质量管理体系,执行风险管理周期,并通过合规性评估(有时需要通过外部认证机构)。用户(部署者)将承担日志记录、监督和事件报告的职责。
有限风险:透明度义务
有限风险工具并非无害,但欧盟认为,用户意识可以减轻大多数风险。聊天机器人、生成式人工智能艺术引擎或合成语音服务的制造商必须:
- 告知用户他们正在与人工智能互动(“此图像是由人工智能生成的”)
- 使用机器可读的水印公开深度伪造内容
- 避免秘密收集超出绝对必要范围的个人数据
如果未能提供通知,系统将直接降级为不合规状态,并会受到行政罚款。
最小/可忽略的风险:无强制规则
垃圾邮件过滤器、电子邮件中的预测文本或优化暖通空调能耗的人工智能通常属于此类。欧盟《人工智能法案》(AI Act)并未规定任何硬性义务,但积极鼓励自愿性规范、监管沙盒以及遵守ISO/IEC 42001等国际标准。保留少量文档和基本的偏见测试仍然是明智之举——如果出现损害证据,监管机构可以对边缘案件进行重新分类。
提供商、部署者和其他参与者的核心义务
欧盟《人工智能法案》将合规义务扩展到整个供应链。由于责任取决于职能而非公司规模,因此您首先必须确定自身的角色——提供商、用户(部署者)、进口商还是分销商——然后再逐层添加任何特定于风险的要求。缺少正确的分类是审计中常见的发现,因此请将映射练习视为程序的零步骤。
高风险系统提供商
供应商承担着最重的负担,因为他们掌控着设计决策。关键任务:
- 建立涵盖数据治理、风险管理、变更控制和网络安全的记录质量管理体系 (QMS)。
- 进行事前合格评定。大多数附件三系统可以进行自我评估,但生物识别、医疗设备和其他安全关键用例则需要获得公告机构的认证。
- 编制技术文档:模型架构、训练数据沿袭、评估指标、稳健性测试、人工监督机制和上市后监测计划。
- 在首次部署之前,起草一份欧盟符合性声明,加贴 CE 标志,并在公共 AI 数据库中注册该系统。
- 建立持续的上市后监控:记录严重事件,在超过漂移阈值时重新培训,并在 15 天内通知主管部门。
忽视任何步骤都可能招致高达 15 万欧元或全球营业额 3% 的罚款——即使没有造成损害。
高风险系统的用户/部署者
部署人员将代码转化为现实世界的影响,因此该法案为他们提供了自己的清单:
- 严格按照提供商的说明和记录的用例操作系统。
- 当用户是公共机构或人工智能影响住房或信贷等基本服务的获取时,进行基本权利影响评估 (FRIA)。
- 确保合格的人力监督:工作人员必须接受培训,有权推翻输出,并能够向受影响的个人解释决定。
- 保留至少六年的日志,包括输入数据、输出、人为干预和性能异常。
- 向服务提供者和国家主管部门报告严重事件,不得“过度拖延”,通常为 72 小时。
进口商和分销商
在欧盟引入或传播人工智能系统的行为者负有守门义务:
- 验证 CE 标志、欧盟符合性声明和说明是否存在并与市场功能相符。
- 如果他们知道或应该知道该产品不合规,则不要提供该产品;而是通知供应商和主管部门。
- 保存投诉和召回记录,以便在有关部门需要时提供。
- 配合采取纠正措施,包括产品召回或软件补丁。
通用人工智能(基础模型)义务
该法案为可嵌入任何地方的 GPAI 或基础模型的创建者增加了定制规则:
- 提供全面的技术文档和所用数据集的摘要,包括许可证状态和地理来源。
- 发表声明 版权合规性 并在可行的情况下,对受保护的作品实施退出机制。
- 如果模型超过附件 XI 中的计算阈值(例如 10^25 FLOP),则进行并记录系统性风险测试。“系统性 GPAI” 需承担额外职责,例如提供参考实现并与欧盟人工智能办公室合作。
- 开源模型享有较轻的接触义务,但仍必须对生成的内容进行水印处理并提供详细说明可预见的限制的使用说明。
通过将您的内部控制与上述特定角色的清单相结合,您可以在 2026 年 2027 月和 XNUMX 年执行期限到来之前弥补最明显的合规差距。
实现合规的技术和组织要求
欧盟《人工智能法案》并未规定一刀切的蓝图。相反,它定义了以结果为导向的“基本要求”,并让您自由选择能够证明这些要求的控制措施。关键在于将工程最佳实践与监管规范相结合,以便每次模型更新或数据刷新都能自动进入可重复的合规流程。以下五个构建模块将法案的法律条款转化为您的产品、数据和法律团队可以承担的具体任务。
数据治理与管理
不良数据等于监管的氪石。第十条强制要求高风险人工智能提供商记录并证明进入管道的每一个字节。
- 整理数据集 相关、有代表性、无错误且最新 针对目标人群。
- 为每个语料库维护一份“数据表”:来源、收集日期、许可条款、预处理步骤、偏见检查和保留期。
- 在版本控制存储库中跟踪谱系,以便在权威机构要求更正时可以回滚。
- 使用统计上合理的方法进行偏差和不平衡测试(
χ²,KS-test或与模型无关的公平性指标)并记录缓解措施。
保持完整的记录——原始数据、脚本、测试结果——可供 10 年;该法案的回顾期很长。
风险管理框架
第 9 条要求 持续且记录的过程 与 ISO 31000 和 ISO/IEC 23894 草案相似。
- 识别危险:误用场景、对抗性攻击、数据漂移。
- 分析影响和可能性;按照通用标准对它们进行评分(例如,
risk = probability × severity). - 决定控制措施:技术保障、人工监督、合同限制。
- 每次重大更新后验证控制;将发现反馈到下一个冲刺中。
将所有内容存储在动态风险登记册中;监管机构希望看到时间戳、所有者和关闭证据。
人工监督和设计透明度
第 14 条和第 52 条将“人在回路中”的讨论转化为强制性的设计任务。
- 定义监督模式: 在环 (手动批准), 在环路中 (实时警报),或 循环之上 (事后审计)。
- 嵌入可解释层:显著图、反事实示例、简化的决策规则。
- 提供覆盖和后备选项 技术上可行 和 组织授权.
- 提供通俗易懂的用户通知(“您正在与人工智能系统交互”),并在可行的情况下公开置信度分数。
稳健性、准确性和网络安全
根据第 15 条,模型必须保持在声明的错误率范围内,并能抵抗恶意干扰。
- 建立最低性能阈值;监控生产中的准确度、精确度、召回率和校准漂移。
- 每次发布之前运行对抗性弹性测试(FGSM、PGD、数据中毒)。
- 根据 NIS2 和 ETSI EN 303 645 强化基础设施:安全 API、基于角色的访问、加密模型检查点。
- 当性能低于容忍范围时,准备后备计划——安全模式默认值、人工审查升级。
记录保存、日志记录和 CE 文档
如果没有写下来,就永远不会发生——这一口号在第 11 条和第 19 条中成为法律。
| 文件 | 重点内容 | 保留 |
|---|---|---|
| 技术文件 | 模型架构、训练数据摘要、评估指标、网络安全控制 | 生命周期+10年 |
| 日志 | 输入、输出、覆盖事件、性能统计、事故 | ≥6岁 |
| 欧盟符合性声明 | 符合性声明、适用标准、提供商详细信息 | 公开可用 |
| 上市后监测计划 | 关键绩效指标 (KPI)、报告渠道、触发阈值 | 不断更新 |
尽可能自动捕获日志;使用不可变存储或仅追加式账本,以便证据能够经受住法医审查。档案完成后,请附上 CE标志 并将系统提交给欧盟数据库——只有这样它才能进入市场。
通过将这些技术和组织控制硬连线到您的开发生命周期中,您可以将合规性从最后一刻的混乱转变为审计员将认可和奖励的始终在线的能力。
处罚、补救措施和诉讼风险
欧盟《人工智能法案》并非依靠礼貌的劝说,而是挥舞着足以让高管们畏缩不前的巨棒。金融制裁的规模与《GDPR》不相上下,但该法案还授权当局 下架产品、删除订单数据或强制模型重新训练 如果风险得不到缓解,罚款将不予退还。罚款上限为两者中较高者——绝对欧元金额或前一年全球营业额的一定百分比——因此,即使是早期初创企业也应避免掉以轻心。下表总结了受处罚的级别:
| 违规类型 | 最高固定罚款 | 全球营业额的最大百分比 | 典型的触发因素 |
|---|---|---|---|
| 禁止行为(第5条) | 35 亿欧元 | 7 % | 社会评分、非法生物识别大规模监控 |
| 高风险义务(第8-15条) | 15 亿欧元 | 3 % | 缺乏一致性评估,数据治理存在缺陷 |
| 信息和注册失败 | 7.5 亿欧元 | 1 % | 技术文档不准确,事件报告延迟 |
| 常规不合规通知 | 500 万欧元 | 不适用 | 警告后仍发生轻微违规行为 |
监管机构可以采取按日罚款的方式,加快整改进度。仍存在“严重风险”的产品将面临强制 召回或撤出市场—这是任何公关计划都无法掩盖的声誉损失。
行政处罚与民事责任
监管罚款并非故事的结束。即将出台的《人工智能责任指令》(AILD)和修订版《产品责任指令》(PLD)为……开辟了平行的道路。 私人损害索赔因人工智能决策而受到伤害的受害者将享受:
- A 可反驳的因果关系推定 当提供商违反《人工智能法案》义务时,减轻举证责任。
- 扩大披露权利,允许原告请求通常保留在内部的日志和风险评估。
- 各成员国之间制定了协调一致的规则,但国家侵权法可能仍会提供更严格的标准(例如,荷兰的不法行为理论)。
因此,公司可能面临双重打击:数百万欧元的行政罚款以及随后的民事集体诉讼,尤其是在拒绝信贷或歧视性招聘等领域。
补救机制和举报人保护
个人和非政府组织可以直接向其 国家主管部门 或欧盟反垄断办公室。当局必须在“合理期限”内进行调查,并可采取临时措施,包括暂停令。受影响的人员还可以采取司法救济措施,例如禁令、赔偿诉讼以及针对监管决定的上诉。
- 对于拥有 50 名以上员工的公司来说,必须有保密的报告渠道。
- 明确禁止报复行为(解雇、降职、恐吓)。
- 如果内部途径失败,举报人可能会向外部监管机构或媒体举报。
因此,建立一条广为宣传的匿名举报热线既是法律要求,也是预警系统,可以避免日后更昂贵的执法成本。
将《人工智能法案》与 GDPR、NIS2、产品安全和行业规则进行映射
欧盟《人工智能法案》(AI法案)并非一座孤岛。它融入了拥挤的合规海洋,其中已经涵盖了数据保护、网络安全和垂直安全框架。忽视这些交叉潮流风险巨大:一个符合所有AI法案要求的AI系统仍然可能违反GDPR或NIS2,反之亦然。下文我们将重点介绍关键接触点,以便您的法律、安全和产品团队能够构建单一、集成的控制图,而无需处理四个独立的清单。
与GDPR和ePrivacy重叠
- 合法依据和目的限制:高风险模型中的个人数据处理必须满足至少一个 GDPR 依据(通常是合法利益或同意)。
- 自动化决策限制:GDPR 第 22 条限制具有法律或重大影响的完全自动化决策;人工智能法案的人为监督要求通常充当解锁第 22(2)(b) 或 (c) 条豁免的技术保障。
- 联合控制器场景:当部署者对供应商提供的 GPAI 进行微调时,两者都可能变得 联合控制人GDPR 下的——相应地规划数据处理协议。
- 透明度义务双重要求:《人工智能法案》强制要求用户披露(“人工智能生成”)信息,而《GDPR》第12-14条则要求提供隐私声明,详细说明数据流、保留和权利。请起草一份涵盖两者的分层声明。
网络安全与NIS2协同作用
NIS2 要求对“必要”和“重要”实体进行风险评估、事件响应和供应链安全。《人工智能法案》也体现了这一点,要求在 15 天内进行稳健性测试、漏洞监控和漏洞报告。利用统一的 SOC 工作流程:
- 在《人工智能法案》一致性评估期间运行对抗性鲁棒性测试。
- 将结果输入到NIS2风险登记册中。
- 对两种制度使用相同的 72 小时事件报告手册。
与现有产品法规的整合
如果您的人工智能是受管制产品(医疗设备、机械、玩具、升降机、汽车系统)的安全组件,您必须执行 单 合格评定涵盖:
- 行业法律规定的一般安全或性能要求;以及
- 人工智能法案要点(风险管理、数据治理、人工监督)。
新立法框架下的协调标准将很快参考这两套要求,允许一份技术文件和一个 CE 标志。
特定行业示例
- 金融服务:将《人工智能法案》记录与 EBA 反洗钱指南相结合,以证明模型的公平性和可解释性。
- 能源电网管理:将 AI 法案风险控制与 SCADA 系统的 ENTSO-E 网络安全要求相结合。
- 汽车:联合国欧洲经济委员会 WP.29 要求软件更新治理;将这些更新日志集成到您的《人工智能法案》上市后监控中。
- 医疗保健:将 ISO 13485 QMS 工件与 AI 法案的数据集文档配对,以避免重复审核。
国际比较
全球企业必须使欧盟人工智能法案(AI法案)与其他地方的新兴规则相协调:
| 管辖权 | 关键仪器 | 显著的分歧 |
|---|---|---|
| US | 行政命令和 NIST AI RMF | 自愿但可能成为联邦采购基准 |
| 中国 | 临时通用人工智能措施 | 强制实名注册和内容过滤 |
| UK | 支持创新的框架 | 监管机构的具体指导,尚无横向法律 |
通过尽早绘制重叠区域,跨国团队可以设计出首先满足最严格规则集的控制框架,然后在当地法律较宽松的地方逐步放松。
实用合规清单和最佳实践
将欧盟《人工智能法案》(AI Act)的条款和细则转化为日常实践可能会令人望而生畏。诀窍在于将整个过程分解成法律、产品和安全团队都能掌控的细小行动。将下方的 12 步路线图作为实际的项目计划,并在 2027 年 XNUMX 月之前的每次冲刺演示和董事会会议上进行回顾。
- 盘点生产和研发中的每个人工智能或算法组件。
- 对每个系统的风险等级和参与者角色(提供商、用户、进口商、分销商)进行分类。
- 绘制适用法律(GDPR、NIS2、行业规则)并识别重叠部分。
- 根据《人工智能法案》的基本要求进行差距分析。
- 设计或更新您的质量管理体系 (QMS)。
- 建立多学科治理结构。
- 起草技术文档模板并开始填充它们。
- 构建数据治理和偏见测试管道。
- 进行初步符合性评估或模拟审核。
- 培训员工——工程师、风险所有者和客户支持。
- 启动上市后监测和事件报告工作流程。
- 安排定期审查和持续改进循环。
准备情况评估和差距分析
首先使用电子表格或工单板列出以下信息:系统名称、用途、训练数据源、风险等级、现有控制措施以及未解决的漏洞。为每个漏洞指定负责人和截止日期。每次关闭漏洞后,重新评估剩余风险;监管机构乐于看到这种迭代改进的轨迹。
建立正确的治理结构
不仅要制定政策,更要以人为本:
- AI合规官:单喉咙扼杀。
- 跨职能道德委员会:产品、法律、安全、人力资源。
- 外部审查员或公告机构联络员。
- 与您的 DPO 和 CISO 紧密联系,以避免孤立的决策。
记录会议节奏、决策权和升级路径。
文档和工具
标准化工件,以便工程师不必重复做事:
| 版型 | 目的 | 推荐格式 |
|---|---|---|
| 模型卡 | 能力、限制、指标 | Markdown + JSON |
| 数据表 | 来源、许可、偏见测试 | 电子表格 |
| 透明度报告 | 面向用户的披露 | HTML / PDF |
| 基本权利 IA | 公共部门部署者 | 基于表单的工具 |
开源帮助:欧盟人工智能工具包、ISO/IEC 42001 草案清单以及偏见指标的 GitHub 存储库。
供应商和供应链管理
流程 AI 法案职责下游:
- 添加合规性评估保证和审计权 合同的.
- 要求供应商共享模型卡、稳健性测试结果和事件日志。
- 设置共享的 Slack 或票证队列以便快速披露漏洞。
持续监控和模型生命周期更新
部署前、使用中和部署后监控应使用相同的遥测堆栈。在以下情况下触发重新评估:
- 输入数据分布偏移(
KL divergence> 预设阈值)。 - 准确度低于声明的最低值。
- 记录严重事故或险情。
通过季度治理审查和年度外部审计来形成闭环——证明合规性不是一次性项目,而是一项常设能力。
常见问题解答:常见问题的快速解答
欧盟人工智能法案已经生效了吗?
是的。(EU) 2024/1689 条例于 1 年 2024 月 2025 日生效。然而,大多数具体义务的实施时间较晚:禁止行为将于 2025 年 2026 月取消,透明度规则将于 2027 年 XNUMX 月开始实施,高风险关税将于 XNUMX 年 XNUMX 月开始实施(生物识别技术将于 XNUMX 年 XNUMX 月开始实施)。因此,尽管全面实施仍在进行中,但时间紧迫。
四个风险等级是什么?
欧盟《人工智能法案》将系统分为以下几类:(1) 不可接受的风险——完全禁止;(2) 高风险——仅在通过合格评定和 CE 标志后才允许;(3) 有限风险——主要涉及透明度义务(例如聊天机器人、深度伪造);以及 (4) 最低风险——没有硬性规定,但鼓励自愿遵守准则。你的首要任务是将每个模型映射到这些层级之一。
该法案是否取代了国家人工智能战略?
不。成员国可以保留或创建国家战略、沙盒和资助计划。该法案只是协调 监管 要求,以便企业在整个欧盟范围内遵守统一的规则。地方举措不得与《条例》的风险框架相抵触,也不得破坏其执行机制。
初创企业有豁免吗?
并非如此。这些规则无论公司规模大小都适用,因为驱动义务的是风险,而不是收入。即便如此,沙盒、某些GPAI模型的简化文档以及委员会资助的指导旨在减少中小企业的行政摩擦。因为“规模小”而忽视合规性是一个危险的误解。
《人工智能法案》如何对待开源模型?
公开发布模型权重并不意味着您就免责。您仍然必须提供训练数据摘要、水印生成的内容,并发布使用说明。与封闭的商业模型相比,这些义务要轻一些,但如果您的开源系统成为“系统性 GPAI”,则需要承担额外的测试和报告义务。
该法案是指令吗?
不是。它是一项法规,直接适用于所有成员国,无需在各国之间进行转换。可以将其视为《通用数据保护条例》(GDPR):一旦生效,其法律义务将在整个欧盟范围内适用,只有实际的执法指南可以根据具体情况进行调整。
如果我的供应商在欧盟以外会怎样?
领土范围如下 产量而非总部。如果海外供应商的系统在欧盟销售或其成果在欧盟使用,则供应商必须符合欧盟《人工智能法案》的要求,并指定一名驻欧盟的法律代表。欧盟内部的部署者仍需承担用户义务,因此请谨慎选择供应商。
关键精华
还在浏览吗?这里有一份小抄:
- 欧盟人工智能法案(AI法案)不再是草案——它已经 自1年2024月XNUMX日起生效 并带来了第一部横向的、基于风险的人工智能法律。
- 风险分层驱动一切: 不可接受的系统被禁止, 高风险系统需要 CE 标志和注册而有限风险和最小风险工具面临的关税较轻,但不是零。
- 不遵守规定代价高昂:高达 35万欧元,占全球营业额的7% 因禁止行为而可能承担民事责任,此外还可能根据即将出台的欧盟指令而承担民事责任。
- 义务贯穿整个供应链:供应商、用户、进口商和分销商各自都有特定的清单,通用模型现在有定制的规则。
- 该法案不会取代 GDPR、NIS2 或产品安全法;您必须将所有框架整合到一个综合治理计划中。
需要帮助将法律文本转化为可执行的代码、政策和合同吗?技术和隐私律师 Law & More 可以在审计员来敲门之前,快速执行人工智能法案准备情况扫描,起草所需文件,并指导您完成合格性评估。
