2024年8月1日,作为欧盟数字立法重要里程碑之一的《人工智能法》正式生效,这是世界上第一部基于风险分级分类治理的统一AI法律,欧盟意在通过“布鲁塞尔效应”建立负责任AI的全球治理标准,并期望成为世界各国立法效仿的范本。
通过建构事前的“产品合规框架”、事中的“全生命周期合规框架”以及事后的“巨额罚款的处罚框架”,欧盟着力解决的难题是如何平衡发展(创新)与安全(权利)之间的紧张关系,这体现在既要促进AI的开发、投放市场、提供服务和使用,又要确保人们免受AI的损害,高水平地保护人们的健康、安全和基本权利,同时还要支持科技的创新。
笔者在最近出版的新书《欧盟人工智能法合规手册》中提出九步合规框架,具体辅导我国出海企业实施落地欧盟《人工智能法》。
合规第一步:确认是否涉及AI系统或模型
首先,法律界定了AI系统的内涵,强调其应当具有推理能力、基于机器、目标化、自主性、适应性等五大特性,以便与传统软件系统或编程方法以及仅基于自然人定义的规则自动执行系统进行区别。
其次,法律还区分了AI系统和AI模型,模型虽然是系统的重要组成部分,但是模型本身并不构成系统,模型需要添加用户界面等更多组件才能成为系统。
合规第二步:确认行为主体的法律地位
合规第三步:确认是否属于《人工智能法》的适用范围
合规第四步:确认是否属于禁止性AI行为
合规第五步:确认是否属于高风险AI系统
其次,界定高风险AI系统的要求,涉及风险管理体系、数据治理、技术文件、保存记录、透明度、人工监督,以及准确性、稳健性和网络安全等要求。
最后,特定情况下还需履行基本权利影响评估的义务以及符合性评估的义务。
合规第六步:确认是否属于特定AI系统
第六步涉及的是特定AI系统的透明度义务,具体涉及生成式AI系统提供者、情感识别系统或生物特征分类系统部署者以及构成深度伪造的AI系统部署者的义务。
合规第七步:确认是否属于通用AI模型
其次,界定具有系统风险的通用AI模型提供者的额外义务。包括模型评估、系统性风险评估、跟踪、记录及报告以及确保网络安全等。
合规第八步:确认识别主管机关及罚则
首先,确定监管架构。其中,欧盟的管理机构包括AI办公室、欧洲AI委员会、咨询论坛、独立专家科学小组等;而成员国的管理机构主要涉及市场监督机关和通知机关等。
其次,确定具体罚则:针对禁止性AI行为,最高罚款为3500万欧元或上一年度全球年营收的7%;针对高风险及特定AI系统,最高罚款为1500万欧元或上一年度全球年营收的3%;以错误信息回应主管机关等场景,最高罚款为750万欧元或上一年度全球年营收的1%;针对通用AI模型提供者,最高罚款为1500万欧元或上一年度全球年营收的3%。
合规第九步:确认是否适用AI监管沙盒
AI的发展、创新需要作为容错机制和弹性框架的AI监管沙盒。具体制度涉及目标制定、罚款责任豁免、实施法案、个人数据的处理方式、真实世界测试的保障条件以及中小企业义务的减免等。