原标题：欧盟《人工智能法案》获批，哪些关键因素将影响人工智能发展

北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括

文 | 钱丽娜 石丹

ID | BMR2004

2024年3月13日，欧洲议会以523票赞成、46票反对、49票弃权正式批准通过了欧盟《人工智能法案》（EU AI Act），由此走出了完成立法程序最重要的一步。

《人工智能法案》文本的草案最早是欧盟委员会在2021年4月提出，内容包括将严格禁止“对人类安全造成不可接受风险的人工智能系统”，包括有目的地操纵技术、利用人性弱点或根据行为、社会地位和个人特征等进行评价的系统等。

北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括在接受《商学院》记者采访时表示，作为全球范围内首部关于人工智能治理的综合性法律，欧盟《人工智能法案》提出了世界上第一个全面的、有约束力的可信任人工智能规范框架，使欧盟在对人工智能这一战略性技术与应用的法律规制方面走在了世界前列，也为西方未来的人工智能规则走向和监管生态定下了锚定点。

01

欧盟《人工智能法案》是关于人工智能的首部综合性法律

《人工智能法案》是世界上第一部全面综合的人工智能法案。作为欧盟数字战略的一部分，欧盟希望规范人工智能（AI），以确保为这一创新技术的开发和使用提供更好的条件。人工智能可以创造许多好处，比如更好的医疗保健，更安全、更清洁的交通，更高效的制造，以及更便宜、更可持续的能源。

2021年4月，欧盟委员会提出了首个欧盟人工智能监管框架。欧盟表示，可用于不同应用程序的人工智能系统将根据其对用户构成的风险进行分析和分类。不同的风险水平将意味着不同层级的监管。

欧盟议会的首要任务是确保欧盟使用的人工智能系统是安全、透明、可追溯、非歧视性和环境友好的。人工智能系统应该由人监督，而不是仅仅通过自动化的模式，以防止有害结果的产生。议会还希望为人工智能建立一个技术中立的、统一的定义，可以应用于未来的人工智能系统。

02

针对不同风险级别的规则设定

《人工智能法案》根据人工智能造成的风险水平，为提供者和用户规定了义务。尽管许多人工智能系统只能构成微小风险，但它们依然需要进行评估。为此法案将人工智能风险分为四个等级，分别是不可接受风险、高风险、有限风险、风险极小或无风险。

不可接受风险

拥有不可接受风险的人工智能系统被认为是对人类的威胁，并将被禁止。它们包括：

1.对人或特定弱势群体的认知行为操纵：例如，鼓励儿童有危险行为的声音激活玩具；

2.社会评分：根据行为、社会经济地位或个人特征对人进行分类；

3.人的生物特征识别和分类；

4.实时和远程生物识别系统，如面部识别。

出于执法目的，可以允许有一些例外情况。“实时”远程生物识别系统将被允许在有限数量的重大案件中，而“后”远程生物识别系统（“post” remote biometric identification systems），即在事件发生后有明显的延迟的识别行为，只有在法院批准后才被允许用于起诉严重罪行。

这项史无前例的法案将禁止某些“威胁公民权利”的AI应用，包括基于敏感特征的生物识别分类系统，以及从互联网或闭路电视录像中无目标地抓取面部图像，以创建面部识别数据库。操纵人类行为或利用人类弱点的AI也将被禁止。

执法部门在使用生物识别系统时也将受到限制，可合法使用的方面包括有针对性地搜索失踪人员或防止恐怖袭击等，且在刑事案件方面，在使用前需要得到司法授权。

高风险

对安全或基本权利产生负面影响的人工智能系统将被视为高风险系统，并将被分为两类：

1.在欧盟产品安全法规规定的产品中使用人工智能，包括玩具、航空设备、汽车、医疗设备和电梯。

2.人工智能系统属于特定领域，必须在欧盟数据库中注册：

• 关键基础设施的管理和运行
• 教育和职业培训
• 就业、工人管理和获得自主创业的机会
• 获得和享受基本的私人服务和公共服务和福利
• 执法部门
• 移民、庇护和边境控制管理
• 协助法律解释和适用法律。

所有高风险的人工智能系统在上市前和其整个生命周期中都将进行评估，同时人们将有权向指定管辖的国家监管部门或主管部门投诉该系统。

透明度要求

生成式人工智能，如ChatGPT，将不会被归类为高风险，但将必须遵守透明度要求和欧盟版权法：

• 由人工智能生成的内容需要进行披露
• 设计模型以防止其生成非法内容
• 发布用于培训的受版权保护的数据摘要

可能构成系统性风险的具有高影响力的通用人工智能模型，如更先进的人工智能模型GPT-4，将必须进行彻底的评估，任何严重事件都必须向欧盟委员会报告。

在人工智能的帮助下生成或修改的内容——图像、音频或视频文件（例如深度伪造）——需要被清楚地标记为人工智能生成，以便用户在遇到这些内容时能够有清醒的意识。

微软、OpenAI等AI模型公司也将受到披露要求的约束。它还要求所有AI生成的内容(图像、音频或视频等)都要有明确的标签，以解决人们对虚假信息和干预选举的担忧。

支持创新

《人工智能法案》旨在为初创企业和中小企业提供在人工智能模型发布之前开发和培训它们的机会。这就是为什么它要求国家当局为公司提供一个测试环境，以模拟接近真实世界的条件。

有限风险

有限风险是指与人工智能使用缺乏透明度相关的风险。《人工智能法案》引入了具体的透明度义务，以确保人类在必要时了解情况，从而培养信任。例如，当使用聊天机器人等人工智能系统时，应该让人类意识到他们正在与机器交互，以便他们能够做出继续或后退的明智决定。提供商还必须确保人工智能生成的内容是可识别的。此外，为了向公众通报公共利益问题而发布的人工智能生成文本必须被标记为人工生成。这也适用于构成深度造假的音频和视频内容。

风险极小或无风险

《人工智能法案》允许免费使用风险最小的人工智能。这包括人工智能视频游戏或垃圾邮件过滤器等应用程序。目前欧盟使用的绝大多数人工智能系统都属于这一类。

03

《人工智能法案》中的关键点及启示

欧盟《人工智能法案》将AI技术分为四个风险类别，从“不可接受”到高、中和低四个级别，此法案根据不同的风险等级对AI的不同用途进行监管，违规者最高将面临其全球营收7%的罚款。吴沈括针对法案中的一些要点给予了阐释。

首先，该法案风险划分的原则主要是基于系统的技术逻辑、应用场景和与此相伴生的风险等级做出的。人工智能技术风险划分的依据主要是基于人身权利、民主、自由、法治以及环境等欧洲传统的价值观，以此来划定高风险的系统范围。该法案基于AI伦理的基本要求，将具有共识性的关键要素上升至法律规则的层面，以此来设定相应的制度设计。

为此，中国企业的AI研发和创新应用，需要注意到以欧盟为代表的这种风险导向的监管思路，根据不同的风险等级做出研发的相关要求，包括应用的监管要求，比如模型评估、安全评估等等。企业需要特别注意技术的安全性以及技术研发过程中和应用过程中的透明度披露。

“与中国相关的法案相比，欧盟突出的是一种风险的分类监管思路，我国强调的是一种综合治理的思路。所以从这个意义上来讲，未来的中国人工智能立法或许也有可能受到欧盟立法思路的影响，强化对于人工智能不同的风险类型的识别、提炼和区分化的规则配置。” 吴沈括表示。

其次，该法案要求的透明度，其特点是在研发层面要求建立相关的透明度档案，是一种主动披露的方式。一方面避免了对于源代码等商业秘密事项的触及，另一方面，通过外部的信息披露，最大限度地提高企业研发和应用过程中的透明水平。要特别注意的是法案的透明度要求在研发和应用层面有不同程度的配置。

第三，在该法案中，以ChatGPT为代表的AIGC没有被必然地划入到高风险，在很大的程度上与它应用范围的广泛性有密切关联，所以不能以 “一刀切”的方式来管制，而是通过提高透明度的要求来强化对它的外部监督。同时欧盟也通过版权法来强化AIGC等技术应用过程中的知识产权保护，特别是对于数据库的应用，这些都是立法中比较突出的特点。

总之，欧盟《人工智能法案》的思路还是基于欧盟在多方面的传统价值观，围绕着技术研发和创新的具体场景，以及各自的风险类型与等级做出的一揽子系统的规则设定。这是它的体系化的反映，与欧盟整体数字立法的逻辑是一以贯之的，也是欧盟数字法治、数字治理的一个突出特点。