欧洲《人工智能法案》“阳谋” 对我国立法及企业有何启示？

本报记者 曲忠芳 北京报道

备受关注的《人工智能法案》（AI Act）在历时近2年的立法程序后终于迈出了关键性的一步。当地时间3月13日，欧洲议会正式投票通过并批准欧盟《人工智能法案》，成为人类历史上第一部针对人工智能技术的法案。

欧盟在官方网站明确写道：“欧盟是世界上第一个尝试制定人工智能法律的立法者。作为此类立法提案中的第一个，它可以为其他司法管辖区的人工智能监管制定全球标准，就像GDPR（《通用数据保护条例》）对数据隐私所做的那样，从而在世界舞台推广欧洲的技术监管方式。”

北京高勤律师事务所合伙人、律师王源向《中国经营报》记者指出，欧盟“玩的是阳谋”，在美国整体技术领先、中国商业模式比较先进的情况下，欧洲在立法上抢先占领高地，在GDPR成功的基础上，欧洲希望在人工智能领域延续其一直以来的“布鲁塞尔效应”，即欧盟通过单方面的市场规则能力，在无需其他国家、国家机构协作的情况下，制定出全球市场遵循的规章制度，从而引领全球商业环境的形成，甚至推动全球商业重要方面的“欧洲化”。

对我国立法的参考与借鉴

根据欧盟理事会官方发布的立法机构示意图，可以清晰地看出，在《人工智能法案》生效后，欧盟将增设一个“欧盟人工智能委员会”，由欧盟27个国家各派一名代表组成，从而协助欧盟委员会的工作。在欧盟人工智能委员会之下设立市场监督机构，以及欧洲数据保护专员公署（EDPS）和欧洲数据保护委员会（EDPB）。除此之外，在“欧盟委员会”之下新设一个“人工智能办公室”，该办公室还会设立“独立科学小组”和“咨询论坛”，相当于两个咨询机构。

王源指出，《人工智能法案》最早是由欧盟在2021年4月21日提出，进入2023年后随着新一轮生成式人工智能热潮汹涌，立法推进的节奏明显加快。今年3月13日由欧洲议会通过后，还会有几个程序性的环节，但整体结构和内容基本不会再变了。《人工智能法案》共180项条款，8万字，将分阶段实施，最早在《欧洲联盟公报》上公布后的第20天起施行，而最晚生效后3年之内全部适用。

从适用主体来看，《人工智能法案》明确标出了66类主体及第三方主体，统一称为“Operator”（经营者/运营者），涵盖开发AI系统或通用AI模型的提供商、部署者、产品制造商、授权代表、分销商、进口商等。在王源看来，《人工智能法案》从人工智能责任链方面，将人工智能的提供者、进口商、分销商、部署者等整个价值链的各自责任分别列举，尤其是对使用人工智能的部署者也规定了遵守使用说明这些详细的义务。从地域来看，无论是否位于欧盟境内，只要在欧盟销售或使用人工智能产品均要遵守该法律。例如，在欧盟境外的AI模型被进口到欧盟在当地市场投入或部署，同样要遵守这一法律。

欧盟官网显示，《人工智能法案》将与人工智能特定用途相关的风险划分成了4个级别，包括“不可接受的”“高风险”“中等风险”“最小风险”，并相应地制定了不同的规则。王源认为，这体现出“抓大放小”的立法考量，对于挖掘潜意识的操纵和欺骗性技术、歧视性、生物特征识别技术等一些人工智能行业绝对禁止的行为，将通行的国家投资和贸易规制手段引入到人工智能领域。

毫无疑问，《人工智能法案》的出台在全球范围内对全行业产生一定的影响。针对我国在人工智能领域的立法工作，王源表示，欧盟《人工智能法案》至少在两个方面可以提供借鉴意义：一是该法案的细致程度是可圈可点、环环相扣的，在立法之外还会出台相应的行为守则和标准等配套指南，也就是说“有了法律之后，还要告诉应该怎么做”；二是值得指出的一点是，欧盟在《人工智能法案》中专门规定了“支持创新的措施”，其中提到政府主导的人工智能监管“沙盒”，可以由中小企业参与。目前，我国中小企业在各项政策中处于较弱势地位，从技术及商业创新的角度，建议给中小企业提供更多的机会。

对我国出海企业的影响与提示

记者观察到，近几年来，随着全球各个国家和地区在个人信息保护、数据网络安全等方面的立法进程普遍加快，大型科技企业以及中小型企业内部越来越重视安全与合规问题，尤其是在“出海”和业务向全球化拓展的过程中，安全合规更是第一道考验。

王源提醒，越来越多的国家已然意识到对人工智能立法监管的重要性，这将成为未来的大趋势。《人工智能法案》尽管距离全部生效实施还有一个时间差，但它对于各个行业的企业来说都会产生直接或间接的影响。对于AI系统、通用模型技术厂商，可能从产品设计之初就须将人工智能合规考虑进去。使用AI系统、通用模型服务出海拓展市场的企业，要使用国内的模型系统，还是使用当地的服务，都会成为出海发展中要考虑的因素。

“要注意，《人工智能法案》有一个前提是适用于高风险的系统、有风险的系统模型，以及生成式人工智能系统，对于一般的人工智能模型并不怎么管。”王源举例解释，有些企业在招聘员工、筛选简历面试过程中会通过AI视觉识别技术或模型来探测面试者的情绪，那它很有可能是违法的。《人工智能法案》对于利用人工智能去探测人类潜意识或者对人群进行分类方面有禁止性规定，只有在医疗场景可以使用。对于教培类的公司来说，如果其产品面向学校，用AI技术去分析学生的行为，哪些是可分析的，哪些是不可分析的，都应当格外慎重。总之，实时远程生物识别技术是明确被禁止的，这意味着公司不能利用AI技术在欧盟境内的公共场合进行人脸识别。

假如一个企业属于高风险AI的提供商，那么《人工智能法案》明确提出了在欧盟境内必须履行的义务，涉及使用明显、清晰的数字CE标识，建立质量管理体系，文件保存10年、自动生成日志至少保存6个月，纠正和召回不合规的高风险AI系统，配合监管调查，等等。同样，对于通用AI模型提供者，法案中也明确了涵盖技术文件、版权、摘要等方面的义务。在违法处罚方面，罚款金额与公司营业额挂钩，对公司的最高罚款额可达到其上一财年全球市场的年营业总额。

（编辑：吴清 校对：刘军）