欧盟人工智能法案：指南

12内容概述、关键概念和实施时间概述关键概念时间线通用人工智能模型通用人工智能模型的背景及相关性术语与通用人工智能价值链通用人工智能模型提供者的义务具有系统性风险的通用人工智能模型实质范围和地域范围实质范围地域范围适用例外与其他监管框架的关系禁止人工智能实践禁止人工智能实践禁令适用主体执行与罚款高风险人工智能系统高风险人工智能系统的类别高风险人工智能系统提供者的义务高风险人工智能系统提供者的协调标准和符合性评估程序高风险人工智能系统部署者的义务15234第一级别法律500强 人工智能 透明度义务一般透明度义务高风险人工智能系统的透明度义务时间和形式国家层面的透明度义务和行为准则与其他监管框架的关系人工智能监管沙盒人工智能监管沙盒人工智能系统的真实世界测试执法和治理上市后义务市场监管机构执法程序基本权利保障机构通用人工智能模型对第三方的救济《人工智能法案》：未来走向《人工智能法案》：未来走向《人工智能法案》的适用期限授权法案执行法案欧盟委员会指引行为准则和实践准则人工智能指南撰稿人 概述处罚治理标准责任789以客户满意度著称 3456 78910 概述、关键概念和实施时间概述欧盟（EU）是人工智能（AI）监管领域的先驱，其积极主动的举措为全球树立了标杆，确保人工智能发展合乎伦理和责任的标准。事实上，我们可能会见证一种新的布鲁塞尔效应（Brussels effect），类似于GDPR（《通用数据保护条例》）的影响力。欧盟的全面而审慎的框架优先强调透明度、问责制和人权。《人工智能法案》（AI Act）的适用具有域外效力——无论提供者是否在欧盟内设立或位于第三国，许多规定都适用。《人工智能法案》适用于任何负责部署人工智能系统的提供者或实体，前提是“该系统产生的输出计划在欧盟使用”。外国供应商必须在欧盟内指定一名授权代表，以确保其遵守该法案的规定。但是，《人工智能法案》不适用于第三国的公共部门或与欧盟签订了警察和司法合作协议的国际组织，也不适用于为军事防御或国家安全目的投放市场的人工智能系统。这一广泛的范围旨在确保对人工智能系统及其使用进行全面监管。您可以从本指南中得到什么•本章提供了整个《人工智能法案》的概述、其关键概念及其条款的适用日期。•第 2 章探讨了《人工智能法案》的地域范围和实质范围。•第 3、4、5 和 6 章讨论了《人工智能法案》对不同类型人工智能的要求——被禁止的实践做法；高风险系统；通用人工智能；以及需要更高透明度的人工智能。•第 7 章解释了《人工智能法案》在监管沙盒中测试人工智能的安排。•第 8 章讨论治理和执行。•第 9 章总结了《人工智能法案》通过后必须采取的众多进一步措施。•最后，第 10 章列出了本指南的所有贡献者。第一章 12345678910基于风险的监管欧盟对人工智能监管的方法以其基于风险的框架为特点。该法规采用技术中立的视角，根据风险等级对人工智能系统进行分类，从低风险到高风险不等。该体系确保高风险的人工智能应用（尤其是那些可能对基本权利产生重大影响的应用）被禁止或受到更严格的要求和监管。欧盟高度重视推动负责任的人工智能的开发和使用。《人工智能法案》规定了严格的数据安全和用户隐私保护措施，确保人工智能系统的设计和部署以这些考虑为先。其中包括对如何处理和保护数据的严格要求，确保用户的个人信息安全。此外，《人工智能法案》要求对人工智能系统进行全面的风险评估。这些评估有助于识别和减轻与人工智能技术相关的潜在风险，强化人工智能提供者之间的透明度和问责制。欧盟通过将这些评估设为强制性要求，确保人工智能开发者能够充分理解并应对其技术的潜在影响。这种积极的做法旨在通过保护用户的权利和福祉来建立公众对人工智能技术的信任。通过优先考虑数据安全、隐私和风险管理，欧盟力求让公众相信人工智能可以安全且符合伦理地使用。这种对负责任发展的关注有助于促进更广泛的社会认同和对人工智能技术的整合，最终惠及整个社会。《人工智能法案》的制定不仅是为人工智能系统制定法律，也旨在建立相应的伦理框架，确保各组织在建立人工智能系统时考虑人工智能系统对人类、其他企业、环境和我们生活的许多其他方面的影响。伦理准则是《人工智能法案》的核心《人工智能法案》明确以欧盟委员会于 2019 年发布的《可信赖人工智能的伦理准则》 （EthicalGuidelines on Trustworthy AI）为基础。尽管这些准则本身不具备约束力，但其诸多原则已被直接纳入《人工智能法案》。其中最典型的例证是，《人工智能法案》在众多条款中直接援引了《欧盟基本权利宪章》（Charter of Fundamental Rights of the EuropeanUnion）所载的基本权利。例如，高风险人工智能系 3 4软件。如果一个计算机程序按照程序员预先定义的规则运行，它就不是人工智能系统；如果一个系统是使用允许程序基于提供给程序的输入数据或数据集自行创建规则的技术构建的，那么它就是人工智能系统。AI系统的定义在委员会于2025年2月6日发布的指南中被进一步讨论。全供应链义务（另见第二章）人工智能法案适用于整个供应链中的所有参与者，从“提供者”开始，还包括系统的“进口商”、“分销商”和“部署者”。大多数责任由提供者承担，其次是部署者。如果进口商、分销商或部署商在高风险人工智能系统上署上自己的名称或商标，他们就可能成为该系统的提供者。如果他们对人工智能系统进行重大修改或修改其预期用途，使其成为高风险系统，他们就可能成为高风险系统的提供者（见第 5 页）。人工智能系统分类的风险方法《人工智能法案》将风险定义为“损害发生的可能性和损害的严重程度的结合”。基于风险的人工智能系统分类是《人工智能法案》的一个基本方面，重点关注人工智能系统可能对健康、安全和基本人权造成的潜在危害。这种方法将人工智能系统分为四个不同的风险等级：1.不可接受的风险：带来如此重大风险的人工智能系统是不可接受的，因此被禁止。2.高风险：高风险的人工智能系统受到严格的监管要求。3.有限风险：此类别的人工智能系统具有有限的风险，但有特定的透明度义务。4.风险极小或无风险：风险极小或无风险的人工智能系统不受《人工智能法案》的监管限制。不可接受的风险：禁止的人工智能行为（另见第 3章）《人工智能法案》列出了禁止的人工智能行为，应理解为禁止将采用任何此类行为的人工智能系统投放市场、投入服务。该清单禁止：•使用潜意识技巧或故意操纵或欺骗性技术，严重扭曲行为，导致重大危害； 12345678910统是指那些对欧盟人民的健康、安全和基本权利产生重大不利影响的系统。在许多情况下，要正确适用《人工智能法案》，就必须对基本权利面临的风险进行分析，这既包括法律问题，也包括伦理问题。因此，可以说伦理问题已被嵌入到《人工智能法案》之中。治理欧盟采取去中心化监管模式，促进与各国当局的合作。《人工智能法案》规定，欧洲人工智能办公室（AI Office）为独立实体，作为欧盟人工智能专业知识的中央主管部门，在实施法律框架中发挥着关键作用。该办公室将鼓励开发可信赖人工智能系统并支持国际合作。欧洲人工智能委员会将由每个成员国的一名代表组成，欧洲数据保护监督员将作为观察员参与。人工智能办公室旨在推动并促进良好实践准则的创建、审查与调整，同时考虑国际上的相关做法。为确保这些准则能够体现最新的技术发展水平并融合多元化的观点，该办公室将与相关的国家机构展开合作，并且可能会咨询民间社会组织、利益相关者以及专家的意见，包括科学领域的专家。关键概念人工智能系统（另见第 2 章）《人工智能法案》的大部分内容适用于“人工智能系统”，该法案将其定义为“一种设计用于以不同自主程度运行的基于机器的系统，该系统在部署后可能会表现出适应性，并且为了明确或隐含的目标，根据其接收到的输入推断如何生成输出，例如预测、内容、建议或决策，这些输出能够影响物理或虚拟环境” 。值得注意的是，《人工智能法案》并未定义“人工智能”，而仅定义了“人工智能系统”一词。人工智能系统的定义有意与经济合作与发展组织（OECD）对人工智能系统的定义保持一致。该定义未提及任何特定技术或目前已知的人工智能系统方法。鉴于人工智能的快速发展特性，这可防止《人工智能法案》因技术发展而过时。人工智能系统的“推理”能力应该是定义中的关键要素，这种能力可以明确区分人工智能系统和传统 5第一类高风险系统同时受到统一立法和人工智能法案的约束。提供者可以选择将《人工智能法案》的要求整合到附件 I 第A部分所列的欧盟统一立法所要求的程序中。此外，只有《人工智能法案》中的部分条款适用于与附件I中B部分列出的欧盟统一立法涵盖的产品（如航空设备）相关的高风险人工智能系统。委员会将不迟于 2026 年 2 月 2 日提供高风险人工智能系统分类方面的实际帮助，包括一份全面的高风险和非高风险人工智能系统案例的综合实例清单。高风险人工智能系统的资格认定例外如果附件 III 所列的高风险人工智能系统不会对自然人的健康、安全或基本权利造成重大损害风险，包括不会对决策结果产生实质性影响，则不会被视为高风险人工智能系统。此类情况仅在人工智能系统旨在实现以下四种情况时才会出现：•执行狭义的程序性任务；•改进先前完成的人类活动的成果；•检测决策模式或与先前决策模式的偏差，而不是为了在未经适当人工审查的情况下取代或影响先前完成的人工评估；或•执行与附件三所列用例目的相关的评估的准备任务。然而，如果人工智能系统对自然人进行特征分析，则它始终被视为高风险人工智能系统，不能属于上述例外情况之一。这项豁免很可能在实践中发挥重要作用，因为它可以避免将高风险人工智能系统投放市场所产生的义务和成本。例如，一个选项是剔除可以利用这种豁免的人工智能系统部分，以限制高风险人工智能系统的范围。然而，即使提供者依赖着这项豁免，其对系统的评估也必须记录在案，并且在系统投放市场或投入使用之前仍必须在欧盟高风险系统数据库中注册。高风险人工智能系统的全面义务高风险人工智能系统提供者必须满足严格的要求。这些要求特别包括需要记录人工智能系统开发的每个阶段，使用高质量数据进行训练，制作系统文档以向用 12345678910•利用自然人或群体由于其特定特征而存在的弱点，造成重大危害；•社会评分系统，即根据自然人或群体的社会行为或个人特征对其进行评估或分类，从而导致不利或不公平的对待；•仅根据个人特征或个人资料来评估某人实施刑事犯罪的可能性；但用于支持基于与犯罪活动相关的客观和可验证的事实进行人为评估的情况除外；•基于从互联网或闭路电视（CCTV）无针对性采集信息面部识别数据库；•在工作场所或教育机构中做情绪推断，但出于医疗或安全原因的情况除外；•生物特征分类系统根据敏感数据对人员进行分类，但不包括标记或过滤合法获取的生物特征数据集（例如执法领域的图像）；•在公共场所用于执法目的的实时远程生物特征识别系统，某些特定情况除外。在某些情况下，《人工智能法案》包含例外条款，允许在某些情况下做出这些“被禁止”的行为。实时生物识别就是一个很好的例子，该法规允许在特殊情况下适用实时生物识别。适用这些例外条款需要通知或事先授权。委员会于2025年2月4日发布了关于禁止性AI实践的指南。高风险人工智能系统（另见第 4 章）对高风险人工智能系统的全面监管构成了《人工智能法案》的主要部分。如果人工智能系统对欧盟内人员的健康、安全和基本权利产生重大不利影响，则被认定为高风险人工智能系统。不同的高风险人工智能系统适用不同的监管方式，具体可分为两类：•拟用作欧盟统一立法所涵盖的产品或产品安全组件的人工智能系统，例如民用航空、车辆安全、船用设备、无线电设备、玩具、电梯、压力设备、医疗设备、个人防护设备（列于《人工智能法案》附件一中）。•附件 III 所列的人工智能系统清单，其中包括用于教育、就业、信用评分、执法、移民、远程生物特征识别系统的人工智能，以及用作关键基础设施安全组件的人工智能系统。该清单可由委员会修订。 12345678910户提供有关系统性质和目的的完整信息，或确保系