2024年8月1日，作為歐盟數(shù)字立法重要里程碑之一的《人工智能法》正式生效，這是世界上第一部基于風險分級分類治理的統(tǒng)一AI法律，歐盟意在通過“布魯塞爾效應”建立負責任AI的全球治理標準，并期望成為世界各國立法效仿的范本。

通過建構事前的“產(chǎn)品合規(guī)框架”、事中的“全生命周期合規(guī)框架”以及事后的“巨額罰款的處罰框架”，歐盟著力解決的難題是如何平衡發(fā)展（創(chuàng)新）與安全（權利）之間的緊張關系，這體現(xiàn)在既要促進AI的開發(fā)、投放市場、提供服務和使用，又要確保人們免受AI的損害，高水平地保護人們的健康、安全和基本權利，同時還要支持科技的創(chuàng)新。

對于有出海歐盟需求的中國企業(yè)來說，最好的選擇無疑是通過提前履行合規(guī)義務，滿足歐盟《人工智能法》的技術要求，以防范AI風險及避免巨額處罰，并充分享受AI帶來的時代紅利。

我們建議遵守如下策略：其一，在企業(yè)內(nèi)定義并控制AI模型及系統(tǒng)的邊界；其二，在組織內(nèi)制定詳細具體的AI治理計劃，實施持續(xù)風險防控并構建體系；其三，重點關注AI模型和系統(tǒng)的網(wǎng)絡安全、個人信息保護及數(shù)據(jù)安全，遵循零信任原則；其四，做好AI的風險均衡化和分散化，避免集中式系統(tǒng)設計，以減少影響范圍；其五，處理好AI系統(tǒng)全生命周期中的數(shù)據(jù)合規(guī)及數(shù)據(jù)治理；其六，做好組織內(nèi)的AI素養(yǎng)教育，尤其是確保用戶接受培訓；其七，通過持續(xù)實施偏見測量等倫理審查，在組織內(nèi)實現(xiàn)負責任和可信的AI。

筆者在最近出版的新書《歐盟人工智能法合規(guī)手冊》中提出九步合規(guī)框架，具體輔導我國出海企業(yè)實施落地歐盟《人工智能法》。

合規(guī)第一步：確認是否涉及AI系統(tǒng)或模型

首先，法律界定了AI系統(tǒng)的內(nèi)涵，強調(diào)其應當具有推理能力、基于機器、目標化、自主性、適應性等五大特性，以便與傳統(tǒng)軟件系統(tǒng)或編程方法以及僅基于自然人定義的規(guī)則自動執(zhí)行系統(tǒng)進行區(qū)別。

其次，法律還區(qū)分了AI系統(tǒng)和AI模型，模型雖然是系統(tǒng)的重要組成部分，但是模型本身并不構成系統(tǒng)，模型需要添加用戶界面等更多組件才能成為系統(tǒng)。

合規(guī)第二步：確認行為主體的法律地位

第二步需要從具體場景中確定行為主體的法律地位，包括AI系統(tǒng)的提供者、部署者、進口者、分銷者、制造者、歐盟授權代表以及受影響的個人等，重點是區(qū)分清楚AI系統(tǒng)的提供者、部署者及其法律責任。

合規(guī)第三步：確認是否屬于《人工智能法》的適用范圍

首先，需要判斷是否涉及上述七種主體類型；其次，需要判斷是否涉及第6條第1款確定的高風險AI系統(tǒng)，且與附件一第B節(jié)列出的歐盟協(xié)調(diào)立法所涵蓋的產(chǎn)品相關的AI系統(tǒng)。最后，還需要判斷是否涉及國家安全條款、執(zhí)法和司法合作條款、科研和開發(fā)條款、非職業(yè)行為條款、勞動者權益條款以及免費和開源條款等豁免情形。

合規(guī)第四步：確認是否屬于禁止性AI行為

首先，明確禁止性AI行為的具體范圍。包括使用潛意識、操縱或欺騙性技術來扭曲行為；利用與年齡、殘疾或社會經(jīng)濟狀況相關的缺陷來扭曲行為；可能導致有害或不利待遇的社會評分；僅基于用戶畫像評估犯罪風險；非針對性編制人臉識別數(shù)據(jù)庫；在工作場所或教育機構推斷自然人的情緒；推斷敏感數(shù)據(jù)的生物特征分類系統(tǒng)；在公共場所為執(zhí)法目的使用實時遠程生物特征識別系統(tǒng)等。

其次，界定在公共場所為執(zhí)法目的使用實時遠程生物特征識別系統(tǒng)的“豁免”條件?；砻夥秶鷥H限于：尋找特定犯罪受害者；自然人的生命或人身安全受到特定威脅或受到恐怖襲擊；確定刑事犯罪行為人或嫌疑人的位置或身份，且可處以至少四年的監(jiān)禁等。系統(tǒng)使用目的只能用于確認具體個人的身份，并應僅限于在時間、地理和個人方面絕對必要的情況。

合規(guī)第五步：確認是否屬于高風險AI系統(tǒng)

首先，界定高風險AI系統(tǒng)的分類規(guī)則及具體范圍。其中，正面清單涉及安全組件或附件一涵蓋的產(chǎn)品，且需要進行符合性評估；附件三的高風險AI系統(tǒng)包括法律授權的生物特征識別系統(tǒng)，涉及關鍵基礎設施的系統(tǒng)，教育與職業(yè)培訓相關的系統(tǒng)，就業(yè)及勞動者管理等的系統(tǒng)，基本服務及福利的系統(tǒng)，法律授權執(zhí)法行為的系統(tǒng)，移民、庇護和邊境控制管理的系統(tǒng)，以及司法和民主進程的系統(tǒng)等；而負面清單包括僅涉及程序性任務、改進人類活動的結果、檢測決策模式或其偏離情況、準備性工作等且不對自然人進行畫像的系統(tǒng)。

其次，界定高風險AI系統(tǒng)的要求，涉及風險管理體系、數(shù)據(jù)治理、 技術文件、保存記錄、透明度、人工監(jiān)督，以及準確性、穩(wěn)健性和網(wǎng)絡安全等要求。

再次，界定高風險AI系統(tǒng)提供者的義務。除了確保高風險AI系統(tǒng)符合上述要求之外，還得履行質(zhì)量管理體系、文件保存、自動生成日志、完成符合性評估、作出符合性聲明、加貼CE標志、登記以及采取必要糾正措施等義務。

最后，特定情況下還需履行基本權利影響評估的義務以及符合性評估的義務。

合規(guī)第六步：確認是否屬于特定AI系統(tǒng)

第六步涉及的是特定AI系統(tǒng)的透明度義務，具體涉及生成式AI系統(tǒng)提供者、情感識別系統(tǒng)或生物特征分類系統(tǒng)部署者以及構成深度偽造的AI系統(tǒng)部署者的義務。

合規(guī)第七步：確認是否屬于通用AI模型

首先，界定通用AI模型提供者的義務。涉及編制技術文件、編制信息和文檔、建立尊重版權的政策以及發(fā)布模型訓練內(nèi)容詳細摘要的合規(guī)義務。

其次，界定具有系統(tǒng)風險的通用AI模型提供者的額外義務。包括模型評估、系統(tǒng)性風險評估、跟蹤、記錄及報告以及確保網(wǎng)絡安全等。

合規(guī)第八步：確認識別主管機關及罰則

首先，確定監(jiān)管架構。其中，歐盟的管理機構包括AI辦公室、歐洲AI委員會、咨詢論壇、獨立專家科學小組等；而成員國的管理機構主要涉及市場監(jiān)督機關和通知機關等。

其次，確定具體罰則：針對禁止性AI行為，最高罰款為3500萬歐元或上一年度全球年營收的7%；針對高風險及特定AI系統(tǒng)，最高罰款為1500萬歐元或上一年度全球年營收的3%；以錯誤信息回應主管機關等場景，最高罰款為750萬歐元或上一年度全球年營收的1%；針對通用AI模型提供者，最高罰款為1500萬歐元或上一年度全球年營收的3%。

合規(guī)第九步：確認是否適用AI監(jiān)管沙盒

AI的發(fā)展、創(chuàng)新需要作為容錯機制和彈性框架的AI監(jiān)管沙盒。具體制度涉及目標制定、罰款責任豁免、實施法案、個人數(shù)據(jù)的處理方式、真實世界測試的保障條件以及中小企業(yè)義務的減免等。

（作者系上海交通大學數(shù)據(jù)法律研究中心執(zhí)行主任）