附法案┃专家速评：全球首部人工智能法获批准，将带来哪些影响？

　　作者：橙子 知产财经

　　5月21日，欧盟理事会正式批准《人工智能法》（AI Act）。该法案在经欧洲议会和欧洲理事会主席签署后，将于欧盟官方公报上公布，并在公布20天后生效。

　　今年3月13日，欧洲议会以523票赞成、46票反对和49票弃权的表决结果通过了该法案。《人工智能法》旨在促进私营和公共机构在欧盟单一市场上开发和采用安全可信的人工智能系统，同时还旨在确保尊重欧盟公民的基本权利，并刺激欧洲在人工智能方面的投资和创新。

　　欧盟《人工智能法》适用范围涵盖哪些？法案有哪些特色？欧盟《人工智能法》的实施将对中国的AI企业带来哪些方面影响？对我国涉人工智能相关法律是否有借鉴意义？法案的实施将面临哪些挑战？又有哪些有效的应对措施？基于此，知产财经第一时间连线行业专家学者，尝试厘清行业之难，为我国人工智能立法与政策制定提供借鉴与建议。

　　欧盟《人工智能法》适用范围

　　知产财经了解到，欧盟《人工智能法》长达400多页，包含113条规定和13个附件，内容及覆盖范围非常广泛。“就其覆盖范围而言，欧盟《人工智能法》是一项具有域外效力的创新性立法，具有‘长臂管辖’的特征。法案立法框架并不影响欧盟现有法律，特别是关于数据保护、消费者保护、基本权利、就业和工人保护以及产品安全的法律，而是对这些法律的补充，同时，法案就部分系统规定了豁免，例如专门用于军事、国防目的以及研究目的的系统。内容上来看，法案重点涉及人工智能系统的风险划分、特定人工智能系统提供者和部署者的义务设置、通用人工智能（GPAI）的界定与分层治理、监管沙盒等创新支持措施以及配套管理机构设置。”中国人工智能产业发展联盟（AIIA）政策法规工作组组长、联合国高级别人工智能咨询机构成员、中国政法大学张凌寒教授指出，“毋庸置疑，欧盟《人工智能法》是一部旨在协调人工智能规则的开创性法律，法案的一大亮点在于构建了人工智能系统的分级分类监管体系，在公民权益保障与人工智能行业发展间作出了有效平衡，法案要求监管者与市场主体协商制定具有合规效力的‘行为守则’，试图在保持实用性和动态性的同时尽可能涵盖各种风险。此外，法案着力于创新激励，通过监管沙盒和实时测试场景等措施为企业和公民提供支持，为欧洲人工智能行业发展提供创新、研发的良好环境。”

　　中伦律师事务所高级顾问张鹏律师同样认可欧盟《人工智能法》覆盖范围的广泛性。他表示：“欧盟《人工智能法》适用于所有位于欧盟境内的AI使用者，一旦AI系统在欧盟境内输出使用，即便位于非欧盟成员国的第三国家，同样适用于位于欧盟外的AI系统提供商和部署者，或其位于欧盟境内的授权方。该法案适用于不同层级的AI应用参与者，具体包括：提供商、部署者、进口商、分销商和产品制造商。这意味着参与AI系统的开发、使用、进口、分销或制造的所有各方都可能承担相应责任。”张鹏律师告诉知产财经，欧盟《人工智能法》的内容涵盖人工智能规管的全链条。该法案内容主要包括7个方面，分别为（1）人工智能系统在欧盟市场上的投放、服务和使用的统一规则；（2）禁止某些人工智能行为；（3）对高风险人工智能系统的具体要求以及此类系统运营商的义务；（4）某些人工智能系统的统一透明度规则；（5）通用人工智能模型投放市场的统一规则；（6）关于市场监测、市场监督治理和执法的规则；（7）支持创新的措施，特别关注包括初创企业在内的中小企业。

　　在生成式人工智能治理高峰对话中，清华大学法学院教授智能法治研究院院长申卫星教授表示，可以从两个方面考虑《人工智能法》的适用范围。“首先是人工智能的定义。欧洲的定义相对较宽泛，这可能导致欧盟《人工智能法》的覆盖范围过大。尽管欧盟《人工智能法》的一个显著特点是分级管理，但如果将人工智能本身的定义设定得包容万象，可能仍会造成过度管制，从而阻碍产业发展。其次是欧盟《人工智能法》的长臂管辖。当《通用数据保护条例》（General Data Protection Regulation，简称GDPR）规定其具有域外效力时，许多人感到惊讶。然而，由于欧洲的经济规模和市场需求，美国和中国的企业都在实践中遵守GDPR。因此，GDPR式的长臂管辖开始流行。这种管辖的生命力不仅取决于一个国家的实力，也不仅仅是谁能率先立法，更重要的是法律本身是否满足特定需求。各国都会从比较法的角度借鉴其他国家的经验，但所有的借鉴都是以自身为主导，以他山之石攻玉，而非简单的‘拿来主义’。欧盟《人工智能法》也规定了域外效力，但其在世界范围内产生影响力的程度取决于是否满足各国对价值共识、产业发展、技术进步以及包括消费者在内的社会公共需求。如果一部欧盟法能够满足这些需求，就不存在所谓的‘布鲁塞尔效应’，而是找到了最具辐射力的共识。此外，尚未投入市场或仅用于纯科学研究的人工智能模型或系统不适用于欧盟《人工智能法》的管制，这一点上中国和欧洲的立法立场是一致的。”

　　《人工智能法》亮点：基于风险的治理框架

　　值得关注的是，欧盟《人工智能法》法案基于AI系统对用户和社会的健康安全以及基本权益的潜在风险程度，将其分为禁用风险类、高风险类、有限风险类、最小风险类。风险有限的人工智能系统只需履行很轻的透明度义务；而高风险的人工智能系统将获得授权，但必须满足一系列要求和义务才能进入欧盟市场；认知行为操纵和社交评分等类型的人工智能系统则因其风险的不可接受性被禁止进入欧盟市场。

　　“欧盟《人工智能法》下的分级分类体系是欧盟在保障公民基本权利与激励欧洲人工智能的投资与创新双重需求下的产物，其立法精神的核心在于规范技术的有害使用，而非技术本身，这体现了立法者在利益权衡下的立法智慧。该法依据一系列风险指标，基于‘产品’和‘风险’的概念，判定‘不可接受风险’和‘高风险’的人工智能系统应用，对前者直接予以禁止，对后者在进入市场前后要求进行合规评估。在通用人工智能方面，其采用10^25次浮点算力为门槛划定具有系统性风险的GPAI模型，体现了欧盟立法者在帮助中小企业、初创企业以较低成本达到合规要求方面的考量。”张凌寒教授表示，“欧盟《人工智能法》对人工智能系统分级治理的管理思路表明了欧盟立场，重点着眼于对超高风险人工智能系统的禁令以及部分执法豁免条款，其管理思路对世界各国人工智能有关立法的出台具有一定的借鉴意义。”

　　张鹏律师认为，从企业实务建议的角度，实际上，大部分AI均属于有限风险及最小风险类。禁用AI以及高风险AI主要依据AI的特定用途的风险等级进行限定，例如，仅当生物识别AI被用于教育、雇佣、执法、移民等用途时，才落入高风险等级。介于法案中大部分强制性义务均仅适用于高风险AI，且这部分规定将自法案生效起两年后适用，企业可利用该期限对相关AI系统的最终用途以及技术模型进行合规性审查。

　　从基本理论研讨的角度，这一风险分类的监管方式被称为“risk-based approach”，实际上，在欧盟的其他法规（例如GDPR，Article 24关于accountability原则）中可见其适用。这一立法方式存在理论争议。例如，（1）风险分类原则和方法不透明、风险衡量标准较为模糊：由于风险分级过程取决于欧盟内部决策，涉及政治以及利益衡量，相关风险计算过程以及具体标准从未被公开，风险等级以及衡量标准存在模糊性，并非完全科学透明；（2）风险分类等级欠缺全面性，可能难以有效规制AI的系统性风险：法案实际上仅针对特定用途的AI进行小范围监管，绝大部分AI系统并不被适用，这一做法难以实际对AI的系统性风险进行有效规制。总体而言，选择基于风险的立法方式，欧盟意图在AI技术发展演变的背景下，在法律监管以及AI技术创新激励这两项政策性目的之间寻求平衡，以及，在法案并未对“AI”系统这一适用客体进行明确限定的情况下，限缩法案的适用范围，确保监管措施的比例性和适度性。

　　全国审判业务专家宋健认为，《人工智能法》尤其值得关注的，一是分级分类监管。《法案》采取了基于风险的分级监管方法，即风险越大，监管越严格。这就为人工智能在欧盟的发展制定了标准并划定红线。二是透明度的要求。例如，强调生成合成音频、图像、视频或文本内容的AI系统，包括通用AI系统的提供者应确保AI系统的输出以机器可读的格式进行标注，并可检测其系人为生成或操纵。生成或操纵构成深度伪造的图像、音频或视频内容的AI系统部署者应当披露该内容是人为生成或操纵。法案针对高风险AI系统亦设立了透明度要求，设计和开发者应确保其操作具有足够的透明度，使部署者能够解释系统的输出并加以适当使用。这些管制措施，一方面体现了欧盟《人工智能法》的立法目的在于确保欧盟价值观的实现，即“促进以人为本和值得信赖的人工智能的应用”“促进对个人、企业、民主和法治以及环境的保护，同时促进创新和就业，并且使得欧盟成为采用可信人工智能的领导者。”另一方面，也体现出欧盟内部对于人工智能进化迭代速度过快而必然产生的担忧，强调了监管的必要性。当然，法案在强调监管的同时，也通过采取“沙盒监管”措施，赋予监管措施的灵活性，即规定欧盟成员国应建立至少一个人工智能监管沙盒，即由政府部门主导建立一个安全空间，使企业可以在避免监管后果的前提下测试创新性的产品、服务、商业模式和提供机制。同时，该法案规定欧盟内的中小企业可优先进入人工智能监管沙盒。

　　融力天闻律师事务所合伙人邱政谈律师则表示，以风险为导向进行分级的管理体系虽然对人工智能系统的风险进行了定义划分，似乎有助于监管者更好地管理和规范不同风险水平的人工智能技术。但由于对于相关概念的内涵外延定义的模糊性，还需要更多的实践去细化，同时也增加了企业进行合规的理解以及监管成本。不过，通过区分不同级别的风险，可以采取相应措施来确保高风险或者不可接受的人工智能系统使用时被有效监管和限制，同时给予低风险系统更多灵活性，促进人工智能产业的发展，这种思路也可以促进社会、企业和政府对人工智能系统进行更加深入、综合和公正的评估。分级管理是率先立法的稳妥以及无奈之举，后续仍需要跟随产业发展和监管实践去调整。由于不同领域内人工智能产业发展也是不均衡的，采取风险分级的管理思路仍是恰当的。

　　《人工智能法》对国内AI企业的影响

　　2023年6月，国务院办公厅印发《国务院2023年度立法工作计划》，明确提出“预备提请全国人大常委会审议人工智能法草案”。2023年8月15日，我国发布了《生成式人工智能服务管理暂行办法》，较为系统地对国内的生成式人工智能服务提出了合规义务。并在后续推出了《生成式人工智能服务内容标识方法》《生成式人工智能服务安全基本要求》等一系列具体规定，逐步推进我国人工智能合规体系的搭建。作为全球首个以立法方式对AI进行监管的法律，欧盟《人工智能法》一方面对中国涉AI相关法律具有宝贵的借鉴意义，另一方面也对中国的AI企业提出了新的挑战和机遇。

　　“目前，我国只是针对较为狭窄的生成式人工智能领域的政策探索。因为人工智能产业AIGC仅是非常狭窄的一个方向，而《人工智能法》里的内容可以给到我们更为全面的监管视角，不论是对人工智能系统的分级、还是GPAI。”邱政谈律师告诉知产财经，“当前我国理论、司法实务对于人工智能领域的探索还大多局限于生成式人工智能，也是因为AIGC可以直接套用知识产权、数据合规的法律框架的原因。但AIGC并不会成为人工智能产业的主旋律，它大概率只是一个排头兵更早地被大家看到了，而真正能够引领产业变革的是更为基础的人工智能领域，诸如工业人工智能、具身人工智能（包括FSD全自动驾驶、机器人）乃至AGI（当然还很远）等，也应该受到更多关注。而欧盟《人工智能法》的监管视角较为广阔，这是值得我们借鉴的。同时，我们还关注到国内学者发布的《人工智能法（学者建议稿）》，其对于人工智能监管体系思考已初具雏形，后续我们还可以借鉴欧盟，在系统分级、创新鼓励、市场监督、治理组织架构等方向上作更多的细化。”

　　张凌寒教授指出，在欧盟开展业务的中国AI企业需要关注欧盟《人工智能法》。此外，该法案在域外效力方面的独特之处在于其著作权条款，即使人工智能模型在北京进行训练，但在欧盟部署或使用时仍必须遵守欧盟TDM豁免及其退出机制（即作者有权反对将其受版权保护的材料用于人工智能训练），这可能与我们熟悉的著作权属地原则存在偏差，需要引起我国有关企业的关注。欧盟《人工智能法》为世界各国人工智能领域立法都提供了一定的立法经验，但我国的人工智能立法应当保持扎根本土的理性，兼具国际视野，适应我国生态位需求和产业发展特点，体现人工智能治理领域的中国智慧与中国方案。人工智能的分类分级工作在我国同样在扎实推进，中欧治理思路可能存在差异，例如中国《人工智能法（学者建议稿）》中并未采用欧盟“高风险人工智能系统”的表述，而是使用了“关键人工智能系统”和“特殊应用场景人工智能系统”的概念，事实上，我们希望避免事先进行价值预判或负面评价，将动态评估引入高风险人工智能的治理中。

　　张鹏律师表示，虽然《人工智能法》具体规定全面适用仍有较久的时间，但因其适用范围较广，且对相关企业创设了较高的合规义务，企业应尽快深入了解该法案的适用规则，评估自身是否落入该法案的适用范围，例如，包括是否正在使用或开发可应用于欧盟地区的人工智能系统，或存在第三方供应商提供此类系统。尽快将相关系统进行模型化管理，准备下一步结合该法案内容进行合规性评估、整治以及可持续性治理的实质措施。在我国目前已长期布局人工智能领域监管政策的背景之下，可借鉴欧盟经验，加快针对人工智能的立法进程，但同时也要注重相关规则设置与国内行业发展的平衡。另外，可参考欧盟经验，通过设置诸如人工智能监管沙盒机制促进中小企业创新。中小企业可通过沙盒机制参与技术风险测试以明晰自身相关技术实施风险。最后，加快制定人工智能领域相关标准，例如人工智能基础共性、算法模型、技术平台、行业应用、信息安全、隐私保护等技术标准。

　　“正如不少观察者的分析，欧盟《人工智能法》作为全球首个规范人工智能的法律，可以预见，未来各国人工智能立法如何根据本国国情对人工智能风险进行分类分级，以及如何确定监管的强度，极有可能会将欧盟《人工智能法》作为一定的参照，从而对各国人工智能法律规范的制订产生不可忽视的影响。”全国审判业务专家宋健告诉知产财经，“需要关注的是，欧盟《人工智能法》赋予了欧盟对人工智能监管一定的域外长臂管辖权，即《法案》不仅适用于欧盟境内的人工智能系统的提供者、部署者等主体，还适用于位于欧盟境外第三国的相关主体。因此，全球所有希望在欧盟开展业务的企业都需要遵守该法案的要求。对于中国人工智能企业而言，这种影响不限于正在开发人工智能大模型的企业，还将影响到所有基于这些大模型工具的企业，都首先要根据欧盟法案进行合规检查，同时也将不得不面对日益严格的审查。欧盟《人工智能法》规定的监管措施目前还是立法层面的，还需要制订具体的落地措施，未来这些落地措施是否可实施，还需要观察。”

　　《人工智能法》实施的挑战与应对

　　《人工智能法》将于欧盟官方公报上公布20天后正式生效，提及《人工智能法》实施将面临的挑战，各位专家学者不约而同将关注点聚焦在《人工智能法》基于风险的治理框架中。

　　“基于风险的治理框架是此次欧盟《人工智能法》的亮点。虽然这一治理框架具备众多优势，并且中国目前也已提出构建针对人工智能及相关制度的风险分级分类治理框架，但以风险为导向的治理需要有效的风险评估作为前提，风险评估结果直接影响义务承担。欧盟《人工智能法》对AI技术的风险划分较大程度考量道德、政策和文化等因素，关注对基本权利的侵犯与否，这些标准自身的模糊性会给法案的适用带来较大的不确定性。因此未来我国在制定人工智能相关法律时，可将技术性因素纳入考量以增强法律的确定性及可执行性。”张鹏律师指出，“此外，该法案对人工智能系统提供者附加的合规评估义务仅涉及内部程序，缺乏外部监管，主要由提供者的自我评估来证明高风险的人工智能系统遵守了法案，这使该规则的有效性和可执行性受到不少质疑。因此，未来我国的AI立法应该注重企业合规自治与外部监管措施的有效平衡，使AI法案切实有效促进AI行业的良性发展。”

　　邱政谈律师认为，首先是风险等级的界定，欧盟《人工智能法》对不同类型的人工智能进行了风险划分，并枚举了大量例子，但由于人工智能系统往往涉及复杂的算法和技术，这些系统的行为可能难以预测和解释，评估一个系统的潜在风险需要深入理解其工作原理和技术细节，并要与多样的应用场景相结合，在执行中需要如何解释各个等级的定义，并在实践中确保法规的指向具有明确清晰性，会是欧盟《人工智能法》在未来实践中可能遇到的难题。其次是技术发展速度，人工智能技术迭代更新非常快，可能在法规制定和修订的周期内就出现重大的技术突破或变化，随着研究的深入，可能会出现全新的人工智能技术和应用，这些新兴技术可能会突破现有的风险评估框架。同时，需要监管机构需要不断更新其专业知识和技能，以理解和评估新技术的风险，我们整个社会仍需要适应快速发展变化中的技术领域并持续完善及调整人工智能相关的法律法规。针对以上挑战，我们认为，通过制定更加细化的评估指南、对监管人员持续进行培训和教育，保持市场监测与接受市场主体反馈、并分级建立更加弹性的机制等方式进行应对。

　　张凌寒教授认为，尽管欧盟《人工智能法》确立的治理框架具有诸多优势，例如治理时点前移、降低监管及合规成本等，但可能忽略了数据风险治理与人工智能风险治理存在的差异。其一，以风险为导向的治理需要有效的风险评估作为前提，法案第三条精确地将风险界定为发生损害的概率和该损害严重程度的结合，但由于AI的应用和发展时间较短，进行风险评估时所依据的数据质量和数量可能不足。其二，法案中技术因素在AI风险评估中的重要性逐渐降低，道德、政策、文化等因素占比逐渐增加，这可能导致标准具有较大的弹性和模糊性。其三，欧盟所列举的受禁或受限人工智能应用，其实更多是关乎重要性而非风险程度，应用场景重要并不一定意味着风险程度很高，例如，一些重要领域的人工智能系统可能随着应用的增多，风险有所降低，比如就业评估和无人驾驶汽车等，高风险的标签可能阻碍此类行业的发展。为了应对上述问题，可以考虑构建一套应用场景与风险程度相分离的分类分级体系，尽可能避免单一依赖事先的价值预判或负面评价，采用动态评估的监管思路，建立人工智能动态监测、预警、响应机制，以应对技术飞速发展所带来的不确定性。

　　除此之外，开源人工智能的治理问题同样值得关注。申卫星教授表示，关于开源治理，欧盟《人工智能法》的立场变得相对宽松。首先，该法明确规定开源可免除某些义务，这是正确的。开源有助于科学研究和技术创新。权利义务的界定应当旨在推动社会进步，赋权加重本身不是目的。值得注意的是，开源免责也分情况。欧盟《人工智能法》对于高风险及以上的应用场景，即使是免费的开源模型，一旦导致损害，仍需承担责任。中国《人工智能法（学者建议稿）》也提到，如果模型是开源免费提供的，那么责任应予以适当减轻，除非存在故意或重大过失。“故意或重大过失”与欧盟《人工智能法》中的风险等级对应。总之，若提供模型的行为本身就可能带来较大的社会风险，无论是否免费开源，都需要承担相应责任。

扫码获取《人工智能法》原文

扫码获取议会通过版译文