作者：云亭數(shù)據(jù)情資合規(guī)工作組｜鄧一鋒

經(jīng)歷數(shù)年艱苦磋商與準(zhǔn)備，歐盟《人工智能法》【(EU) 2024/1689】于北京時(shí)間2024年8月2日正式生效，除少數(shù)條款分階段生效的安排外，大部分條款開始付諸實(shí)施。該法是全球第一部專門規(guī)制人工智能的綜合性法律，包含180段序言、13章113條和13個(gè)附件。法規(guī)基于風(fēng)險(xiǎn)等級(jí)，搭建出自聯(lián)盟層面至成員國(guó)的監(jiān)管組織框架，確立了較為嚴(yán)格的監(jiān)管標(biāo)準(zhǔn)、程序和要求，將有助于塑造人工智能的未來發(fā)展方向，防范潛在的風(fēng)險(xiǎn)，并在全球范圍內(nèi)促進(jìn)對(duì)人工智能的可持續(xù)監(jiān)管。歐盟官員Thierry Breton在其社交媒體上毫不避諱的宣稱“歐洲現(xiàn)在是人工智能領(lǐng)域的全球標(biāo)準(zhǔn)制定者。”作為世界首部正式實(shí)施的人工智能法，新法中有不少值得稱道的亮點(diǎn)，在人工智能的規(guī)范治理方面走在了前列，為其他地區(qū)同類立法樹立了標(biāo)桿?；仡櫋锻ㄓ脭?shù)據(jù)條例》（以下簡(jiǎn)稱GDPR）實(shí)施后對(duì)全球數(shù)據(jù)治理產(chǎn)生的深刻影響，《人工智能法》在對(duì)人工智能領(lǐng)域的標(biāo)準(zhǔn)塑造和對(duì)產(chǎn)業(yè)鏈主體的強(qiáng)化監(jiān)管方面已經(jīng)隱隱產(chǎn)生效果。

為預(yù)防人工智能可能帶來的危害，平衡技術(shù)創(chuàng)新和風(fēng)險(xiǎn)。法規(guī)引入了監(jiān)管沙盒機(jī)制。由監(jiān)管當(dāng)局建立可控和相對(duì)安全的環(huán)境，在該環(huán)境下開發(fā)、訓(xùn)練、驗(yàn)證和實(shí)驗(yàn)創(chuàng)新性AI系統(tǒng)，監(jiān)管者可以通過對(duì)測(cè)試的監(jiān)控及時(shí)了解AI運(yùn)行動(dòng)態(tài)，鑒別出不合時(shí)宜的監(jiān)管規(guī)則，發(fā)現(xiàn)監(jiān)管體制存在的漏洞與缺陷，以便做出及時(shí)的調(diào)整和補(bǔ)充，進(jìn)一步完善監(jiān)管。通過沙盒機(jī)制，一方面可以加速AI產(chǎn)品和服務(wù)的上市速度，另一方面可以為監(jiān)管規(guī)則的制定提供動(dòng)態(tài)檢驗(yàn)機(jī)制，有利于促進(jìn)監(jiān)管與發(fā)展的動(dòng)態(tài)平衡。

●在歐盟領(lǐng)域內(nèi)將人工智能系統(tǒng)投放市場(chǎng)或投入使用或?qū)⑼ㄓ萌斯ぶ悄苣Ｐ屯斗攀袌?chǎng)的提供者，無論是設(shè)立或位于歐盟還是第三國(guó)；

●在歐盟領(lǐng)域內(nèi)設(shè)立或位于歐盟的人工智能系統(tǒng)部署者；

●設(shè)立地或所在地位于第三國(guó)，但其人工智能系統(tǒng)的產(chǎn)出被用于歐盟的系統(tǒng)提供者和部署者；

●人工智能系統(tǒng)的進(jìn)口者和分銷者；

●以自己的名義或商標(biāo)將人工智能系統(tǒng)與其產(chǎn)品一起投放市場(chǎng)或投入使用的產(chǎn)品制造者；

●未在歐盟領(lǐng)域內(nèi)設(shè)立的提供者的授權(quán)代表；

●位于歐盟內(nèi)的受影響者。

概言之，AI系統(tǒng)的提供者、部署者、進(jìn)口者、分銷者、使用AI系統(tǒng)的產(chǎn)品制造者、域外機(jī)構(gòu)在歐盟的代表、歐盟內(nèi)其他受影響人士都受到《人工智能法》的約束。這是法規(guī)的正面適用。

從上述歐盟《人工智能法》的適用范圍可以看出，法規(guī)具有顯著的長(zhǎng)臂管轄特征，特定情境下，即便當(dāng)事主體位于歐盟領(lǐng)域外，仍可能受到法規(guī)的制約乃至因此遭受處罰。在AI系統(tǒng)的開發(fā)、部署和使用環(huán)節(jié)，包括國(guó)家、政府機(jī)關(guān)、企事業(yè)單位和自然人在內(nèi)的各類主體都有可能參與其中。鑒于司法豁免和適用例外，國(guó)家、軍政機(jī)關(guān)、事業(yè)單位幾乎不會(huì)受到新法的影響；自然人則更多以使用者而非AI系統(tǒng)的提供者或部署者的身份出現(xiàn)，商業(yè)化運(yùn)營(yíng)AI系統(tǒng)更是難與自然人產(chǎn)生交集。以上主體受到各種“法寶”護(hù)體，一般可免除歐盟法規(guī)的困擾，而在人工智能產(chǎn)業(yè)鏈中最為活躍，也是受《人工智能法》影響最深的主體非企業(yè)莫屬。一方面，法規(guī)的絕大多數(shù)適用例外都與企業(yè)無緣。另一方面，在網(wǎng)絡(luò)化鏈接和技術(shù)溢出濫觴的今下，企業(yè)的產(chǎn)品、服務(wù)及其結(jié)果日益突破地域國(guó)界的限制，走入其他國(guó)家和地區(qū)。當(dāng)身處歐洲的某人在街邊小店使用移動(dòng)終端通過中國(guó)支付平臺(tái)完成交易，轉(zhuǎn)身進(jìn)入一輛中國(guó)產(chǎn)電動(dòng)車，開啟無人駕駛模式疾馳而去時(shí)，這一切則開始顯得更為具像。

新法為人工智能產(chǎn)業(yè)塑造了新的監(jiān)管組織架構(gòu)和運(yùn)行程序，引入了更多的監(jiān)管措施和義務(wù)群。雖然有規(guī)范產(chǎn)業(yè)，降低技術(shù)風(fēng)險(xiǎn)的正面效力，但也意味著相關(guān)利益方需要付出更大的合規(guī)成本。無可避免的繁復(fù)監(jiān)管環(huán)節(jié)和審查文書使得原本僅由技術(shù)人員即可完成的工作今后需要更多法律專業(yè)人士的加入。對(duì)于中國(guó)企業(yè)而言，這種影響不限于正在開發(fā)人工智能系統(tǒng)或大模型的企業(yè)，還將影響到所有基于這些系統(tǒng)工具的企業(yè)，都需要根據(jù)歐盟法規(guī)進(jìn)行合規(guī)評(píng)估，同時(shí)也將不得不面對(duì)日益嚴(yán)格的審查。如同GDPR實(shí)施后引起的一輪“布魯塞爾效應(yīng)”，包括中國(guó)企業(yè)在內(nèi)的域外企業(yè)妄圖在里程碑式《人工智能法》實(shí)施后片葉不沾身而毫無應(yīng)對(duì)似乎是不智之舉。新法的影響最終都或直接或迂回的傳導(dǎo)到企業(yè)。

1. 直接受《人工智能法》規(guī)制的場(chǎng)景

如字節(jié)跳動(dòng)、騰訊等已經(jīng)在歐盟設(shè)立分支機(jī)構(gòu)并向當(dāng)?shù)靥峁┓?wù)的中企自不必說，新法的沖擊是直接和即時(shí)的，需要遵循歐盟和成員國(guó)的人工智能規(guī)則，全面履行義務(wù)。那些考慮出海歐洲的相關(guān)企業(yè)也需要充分評(píng)估新法帶來的合規(guī)成本。即便是注冊(cè)地和營(yíng)業(yè)地都位于中國(guó)的企業(yè)，也不能放松警惕，新法嚴(yán)格的監(jiān)管規(guī)則迫使企業(yè)也不得不重視這一問題。當(dāng)企業(yè)向歐盟境內(nèi)部署、提供人工智能系統(tǒng)或人工智能模型，或是在歐盟成員國(guó)之外提供或部署人工智能系統(tǒng)，但人工智能輸出結(jié)果被用于歐盟，又或是以自己名義或商標(biāo)向歐盟銷售包含了人工智能系統(tǒng)的產(chǎn)品，同樣得接受歐盟《人工智能法》的直接洗禮。無論是缺少認(rèn)知、不重視，還是存在僥幸心理，企業(yè)若因未事前合規(guī)評(píng)估而觸犯了罰則，歐盟的巨額罰單可能不脛而至。從歐盟數(shù)據(jù)執(zhí)法的履歷看，域外企業(yè)未履行義務(wù)受到處罰的實(shí)例不勝枚舉，其中不乏中國(guó)企業(yè)的身影。截至2024年7月，F(xiàn)acebook的母公司Meta因數(shù)據(jù)違規(guī)被歐盟處罰了7次，累計(jì)罰款達(dá)到25億美元。中資企業(yè)第一次被處罰是在2021年7月，Tiktok因兒童個(gè)人信息處理違規(guī)被荷蘭數(shù)據(jù)保護(hù)局（Autoriteit Persoonsgegevens）罰款75萬歐元；2022年9月又因同一問題被英國(guó)信息專員辦公室（ICO）處罰，處罰額達(dá)到   1270萬英鎊（約合1.087億元人民幣）；2023年9月，愛爾蘭數(shù)據(jù)保護(hù)委員會(huì) (DPC) 向TikTok開出了3.45億歐元（約合27億人民幣）的罰單，理由還是TikTok在處理兒童數(shù)據(jù)方面違反了歐盟《通用數(shù)據(jù)保護(hù)條例》?！度斯ぶ悄芊ā芬?guī)定的最高罰款達(dá)到3500萬歐元/上一財(cái)年全球營(yíng)業(yè)總額的7%（取其高者），直接受影響的中國(guó)企業(yè)必須得好好掂量一下自己錢包的厚度。

2.《人工智能法》影響其他區(qū)域立法和監(jiān)管實(shí)踐，間接約束中國(guó)企業(yè)

歐盟的市場(chǎng)規(guī)模、重要性、相對(duì)嚴(yán)格的標(biāo)準(zhǔn)和監(jiān)管能力賦予其強(qiáng)大的影響力，歐盟標(biāo)準(zhǔn)具有重塑全球規(guī)則的能力，其結(jié)果是歐盟不需要強(qiáng)制要求任何企業(yè)執(zhí)行其標(biāo)準(zhǔn)，隨著企業(yè)自愿推廣歐盟標(biāo)準(zhǔn)以管理其全球業(yè)務(wù)，僅市場(chǎng)力量往往就足以把歐盟標(biāo)準(zhǔn)變成全球標(biāo)準(zhǔn)。在人工智能治理體系的構(gòu)建過程中，歐盟的各項(xiàng)科技法案對(duì)域外公司產(chǎn)生了廣泛的影響，迫使諸如微軟、谷歌、抖音等公司徹底改革了處理用戶數(shù)據(jù)的方式?！度斯ぶ悄芊ò浮返穆氏葘?shí)施進(jìn)一步鞏固了歐盟在科技監(jiān)管領(lǐng)域的地位，其他法域的立法者在起草自己的人工智能法案時(shí)不得不研究歐盟的做法。《人工智能法》所確立的監(jiān)管模式、創(chuàng)新制度會(huì)對(duì)其他區(qū)域的制度構(gòu)建產(chǎn)生影響，并且在監(jiān)管協(xié)同和標(biāo)準(zhǔn)的相互認(rèn)可方面發(fā)生一系列聯(lián)動(dòng)。以GDPR的白名單制度為例，這是一種用于確定數(shù)據(jù)跨境傳輸合規(guī)性的機(jī)制（AI系統(tǒng)運(yùn)行涉及數(shù)據(jù)跨境流動(dòng)也適用這一機(jī)制），該機(jī)制允許歐盟制定并公布一份認(rèn)定清單，列出符合特定要求的國(guó)家或地區(qū)，列入該清單的國(guó)家或地區(qū)被歐盟認(rèn)為能夠提供足夠的數(shù)據(jù)保護(hù)水平，歐盟的數(shù)據(jù)控制者或處理者可以合法地將個(gè)人數(shù)據(jù)傳輸?shù)竭@些位于清單中的國(guó)家或地區(qū)。該機(jī)制簡(jiǎn)化了數(shù)據(jù)跨境傳輸?shù)暮弦?guī)審核流程。截至2024年7月底，歐盟委員會(huì)官網(wǎng)公布的白名單內(nèi)的國(guó)家或地區(qū)共計(jì)15個(gè)：安道爾公國(guó)、阿根廷、加拿大（限于商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國(guó)、瑞士、英國(guó)、烏拉圭、美國(guó)。許多國(guó)家和地區(qū)在制定數(shù)據(jù)保護(hù)法的過程中，直接“移植”了歐盟的白名單機(jī)制。遺憾的是，截至2024年7月底，在已制定白名單的眾多國(guó)家和地區(qū)中，中國(guó)僅在馬來西亞、尼日利亞、俄羅斯3個(gè)國(guó)家榜上有名，大多數(shù)國(guó)家和地區(qū)并未給予中國(guó)豁免。這意味著中國(guó)的企業(yè)進(jìn)入這些市場(chǎng)需要付出更為高昂的代價(jià)?？梢灶A(yù)見，在《人工智能法》的監(jiān)管措施和企業(yè)義務(wù)被歐洲以外國(guó)家地區(qū)立法借鑒后，中國(guó)企業(yè)將面臨更嚴(yán)峻的合規(guī)壓力。

3.《人工智能法》影響中國(guó)同類立法，增加企業(yè)的義務(wù)和成本

2017年，中國(guó)國(guó)務(wù)院發(fā)布了《新一代人工智能發(fā)展規(guī)劃》，是我國(guó)第一個(gè)系統(tǒng)規(guī)定人工智能發(fā)展的總體思路、戰(zhàn)略目標(biāo)、主要任務(wù)和保障措施的指導(dǎo)性文件。科技部、網(wǎng)信辦等部門相繼頒布了多個(gè)規(guī)范人工智能發(fā)展的部門規(guī)章。然而，現(xiàn)有的法律規(guī)范存在諸多問題，如缺乏體系性，更多依靠法律原則、國(guó)家標(biāo)準(zhǔn)、行業(yè)規(guī)范進(jìn)行規(guī)制，缺乏細(xì)化的監(jiān)管措施和鼓勵(lì)創(chuàng)新的制度設(shè)計(jì)，人工智能領(lǐng)域的法律規(guī)制仍待進(jìn)一步完善。中國(guó)關(guān)于人工智能統(tǒng)一立法的工作已經(jīng)啟動(dòng)，根據(jù)2023年6月初國(guó)務(wù)院辦公廳印發(fā)的《國(guó)務(wù)院2023年度立法工作計(jì)劃的通知》，人工智能法草案已經(jīng)預(yù)備提請(qǐng)全國(guó)人大常委會(huì)審議。今年5月9日，國(guó)務(wù)院辦公廳印發(fā)的《國(guó)務(wù)院2024年度立法工作計(jì)劃》中，“人工智能法草案”再次列入預(yù)備提請(qǐng)全國(guó)人大常委會(huì)審議項(xiàng)目。歐盟《人工智能法案》為不同風(fēng)險(xiǎn)程度的人工智能系統(tǒng)施加不同的要求和義務(wù)，其提出的風(fēng)險(xiǎn)分類、負(fù)責(zé)任創(chuàng)新和實(shí)驗(yàn)主義治理理念和監(jiān)管沙盒等監(jiān)管機(jī)制對(duì)我國(guó)人工智能統(tǒng)一立法具有借鑒意義和參考價(jià)值，很可能在中國(guó)統(tǒng)一的人工智能法中或多或少有所體現(xiàn)。

對(duì)我國(guó)而言，“分級(jí)分類”的監(jiān)管原則在《生成式人工智能服務(wù)管理暫行辦法》中已有所體現(xiàn)，但暫行辦法中尚未詳細(xì)展開。歐盟《人工智能法》對(duì)AI系統(tǒng)的風(fēng)險(xiǎn)分級(jí)和分類監(jiān)管措施，為中國(guó)同類立法提供了極好的思路和方向，具備落實(shí)的操作性，法規(guī)中的風(fēng)險(xiǎn)界定、分類標(biāo)準(zhǔn)、企業(yè)義務(wù)，很可能稍加變通后予以引用?！度斯ぶ悄芊ā分凶鳛橹攸c(diǎn)監(jiān)管的高風(fēng)險(xiǎn)人工智能系統(tǒng)及義務(wù)群，也是我們參考的主要目標(biāo)?！度斯ぶ悄芊ā分?，高風(fēng)險(xiǎn)AI系統(tǒng)提供者應(yīng)當(dāng)配有完整的風(fēng)險(xiǎn)管理系統(tǒng)，以及時(shí)識(shí)別高風(fēng)險(xiǎn)系統(tǒng)已知和可預(yù)見的風(fēng)險(xiǎn)，并對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，對(duì)投入市場(chǎng)后產(chǎn)生的數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估等；在訓(xùn)練、驗(yàn)證和測(cè)試數(shù)據(jù)集時(shí)應(yīng)當(dāng)遵循相關(guān)性、代表性、無錯(cuò)誤且完整、接受是否存在可能的歧視的檢查、遵循歐盟相關(guān)法規(guī)；技術(shù)文件應(yīng)當(dāng)在系統(tǒng)投入使用前就制定完整并更新到最新；應(yīng)當(dāng)有能力自動(dòng)記錄系統(tǒng)運(yùn)行日志，以確保系統(tǒng)的運(yùn)行可追溯；應(yīng)當(dāng)確保系統(tǒng)其操作足夠透明，以便用戶理解系統(tǒng)是如何輸出數(shù)據(jù)，并能夠正確使用系統(tǒng)；還應(yīng)當(dāng)設(shè)有人力介入的工具，以便在運(yùn)行使用期間能夠受到自然人的有效監(jiān)督；系統(tǒng)的設(shè)計(jì)和開發(fā)應(yīng)當(dāng)準(zhǔn)確、穩(wěn)健、符合網(wǎng)絡(luò)安全的要求。大量新義務(wù)的實(shí)施，無疑會(huì)加重企業(yè)的合規(guī)負(fù)擔(dān)，企業(yè)不得不更多求助于律師等法律專業(yè)人士。

新法對(duì)人工智能價(jià)值鏈各主體的影響還是很廣泛的，覆蓋了AI模型和AI系統(tǒng)的研發(fā)者、部署者、進(jìn)口方、分銷方，乃至關(guān)聯(lián)產(chǎn)品的商標(biāo)權(quán)利人和銷售方。不同的主體在義務(wù)負(fù)擔(dān)和利益訴求上有所區(qū)別，應(yīng)對(duì)之策也應(yīng)因人而已，但總的來說，首先都需要保持對(duì)歐盟相關(guān)立法的關(guān)注和跟蹤，厘清企業(yè)自身在人工智能產(chǎn)業(yè)鏈中作用和地位，認(rèn)清新法是否以及如何影響自身，在此基礎(chǔ)上作出應(yīng)對(duì)。

1. 跟蹤法律動(dòng)態(tài)

新法的理解和貫徹實(shí)施需要時(shí)間沉淀，也要與歐盟成員國(guó)各自的國(guó)情相匹配和磨合。把握法規(guī)在真實(shí)世界的實(shí)踐軌跡，有助于企業(yè)更好的解讀新法的實(shí)施效力。企業(yè)可以關(guān)注《人工智能法》及相關(guān)的數(shù)據(jù)立法和執(zhí)法動(dòng)態(tài)，關(guān)注本國(guó)人工智能立法和執(zhí)法動(dòng)態(tài)、關(guān)注企業(yè)主要貿(mào)易對(duì)象所在國(guó)家或地區(qū)人工智能立法和執(zhí)法動(dòng)態(tài)，研究法規(guī)的主要內(nèi)容，著重關(guān)注企業(yè)的義務(wù)、監(jiān)管當(dāng)局的檢查措施、需要企業(yè)提交的監(jiān)管文件、違規(guī)的責(zé)任和處罰措施。

2. 合規(guī)檢查與評(píng)估

新法在規(guī)范產(chǎn)業(yè)發(fā)展的同時(shí)，也不可避免的增加了企業(yè)的合規(guī)成本。為避免資源的無效損耗，新法生效后，首先需要做的不是盲目迎合和悶頭調(diào)整，而是分析和評(píng)估現(xiàn)有和未來的產(chǎn)品與業(yè)務(wù)是否及在何種程度上受到新法的影響。完全不受影響或是調(diào)整成本遠(yuǎn)大于風(fēng)險(xiǎn)損失的，自可以以不變應(yīng)萬變。非此境況者，還是建議完成全面的合規(guī)檢查與評(píng)估，查驗(yàn)服務(wù)和產(chǎn)品的應(yīng)用領(lǐng)域和場(chǎng)景、定位本企業(yè)服務(wù)和產(chǎn)品的風(fēng)險(xiǎn)類型、追蹤服務(wù)和產(chǎn)品的部署地域和服務(wù)群體，查明AI系統(tǒng)結(jié)果的流向，分析企業(yè)在人工智能產(chǎn)業(yè)鏈中的角色類型——作為實(shí)體產(chǎn)品生產(chǎn)者，檢查產(chǎn)品中是否包括類AI系統(tǒng)或AI模型以及產(chǎn)品流向，作為系統(tǒng)提供者，不投放被禁止的AI系統(tǒng)，避免投放高風(fēng)險(xiǎn)AI系統(tǒng)；若作為部署者，需保障AI系統(tǒng)在使用過程中的安全可靠；若作為進(jìn)口商或分銷商，需在進(jìn)口或分銷前確保相關(guān)AI系統(tǒng)符合新法的相關(guān)要求。

3. 采取調(diào)整和預(yù)防措施

根據(jù)檢查和評(píng)估結(jié)果，企業(yè)可采取不同的處理策略，直接受到人工智能法影響的企業(yè)立即著手調(diào)整應(yīng)對(duì)，制定相應(yīng)的合規(guī)方案、規(guī)范管理制度和流程、調(diào)整服務(wù)和產(chǎn)品設(shè)計(jì)和業(yè)務(wù)模式、做好義務(wù)履行準(zhǔn)備，以確保符合新法的要求。

間接受到影響的企業(yè)可以與上下游企業(yè)在交易文件中對(duì)可能的風(fēng)險(xiǎn)作出預(yù)先安排，將產(chǎn)品和服務(wù)逐步向歐盟標(biāo)準(zhǔn)靠攏，基于可能的合規(guī)風(fēng)險(xiǎn)制定預(yù)案并加以演練，對(duì)相關(guān)工作人員進(jìn)行教育培訓(xùn)。