适用场景
本指南适用于所有计划或已在欧盟市场提供AI产品或服务的中国AI企业,无论其商业模式是开发、部署、分销还是使用AI系统,尤其是在产品设计、市场进入及持续运营阶段。
核心要点
1. AI系统定义与豁免情形
欧盟AI法案对AI系统有明确的描述性定义,但针对军事、国家安全、纯科学研究、个人非职业活动以及特定条件下的免费开源AI系统,法案规定了相应的豁免条款。
2. 主体角色划分与责任转移
法案将合规主体分为提供者、授权代表、使用者、进口者和分销者等,并明确了各自的义务。需特别注意,分销者、进口者或使用者在特定情况下(如贴牌、实质性修改或改变预期用途)可能被视为提供者,承担更广泛的合规责任。
3. AI系统风险等级分类
AI系统根据对用户和社会潜在影响分为不可接受风险(禁止)、高风险、有限风险和最小风险四级。高风险AI系统面临最严格的监管要求,包括作为安全组件的产品或特定应用领域(如生物识别、关键基础设施)。
4. 通用AI模型(GPAI)的特殊规制
法案对通用AI模型(GPAI)设定了额外要求,特别是那些具有系统性风险的GPAI(如训练计算量超过10^25浮点运算的模型),需承担更严格的系统性风险评估、网络安全保障和报告义务。
5. 不同风险等级的合规义务
高风险AI系统需遵循覆盖全生命周期的“事前-事中-事后”体系化合规义务;有限风险AI系统主要需履行透明度义务,如告知用户与AI互动、标注合成内容等。
实务建议
- 在产品设计和市场进入前,全面评估AI系统是否受法案管辖、风险等级及自身在产业链中的角色。
- 对于非欧盟设立的提供者,务必在欧盟境内指定一名授权代表,以履行法案规定的义务和程序。
- 若涉及高风险AI系统,需建立覆盖设计、开发、部署、运营的全生命周期合规体系,并对上游提供者的合规情况进行勤勉核查。
- 对于有限风险AI系统,确保履行用户告知、内容标注等透明度要求,避免因信息不对称引发风险。
- 若开发或使用通用AI模型,需额外关注其是否具有系统性风险,并提前部署系统性风险评估、网络安全保障和报告义务。
- 密切关注欧盟AI法案的最新实施细则和指南,并与数据保护(如GDPR)等其他欧盟法规协同考虑合规方案。
风险提示
- 违反欧盟AI法案可能面临最高3500万欧元或上一财年全球年营业总额7%(以较高者为准)的巨额罚款。
- 法案具有广泛的域外效力,无论公司是否在欧盟设立,只要AI产品或服务面向欧盟市场,即受法案管辖。
- 分销商、进口商或使用者在特定情况下可能被视为提供者,承担更重的合规责任,需警惕角色转移风险。
- 具有系统性风险的通用AI模型将面临更严格的监管和合规要求,需投入更多资源进行风险管理和技术保障。
- 欧盟AI法案与GDPR等数据保护法规存在交叉,企业需综合考虑数据合规,避免重复或遗漏。