摘要:在AI大模型掀起的全球技术浪潮中,国产AI应用出海趋势显著增强,在全球市场具有广泛的渗透与影响。然而,面对国际市场,各国对于AI应用的监管情况各不相同。如美国和英国,采取较为宽松的监管策略,侧重于行业自律与分散监管,为AI创新提供相对自由的空间,欧盟则实施更为
走出去智库(CGGT)观察
在AI大模型掀起的全球技术浪潮中,国产AI应用出海趋势显著增强,在全球市场具有广泛的渗透与影响。然而,面对国际市场,各国对于AI应用的监管情况各不相同。如美国和英国,采取较为宽松的监管策略,侧重于行业自律与分散监管,为AI创新提供相对自由的空间,欧盟则实施更为严格的监管模式,旨在确保AI系统的安全性和可靠性。
走出去智库(CGGT)特约法律专家、鸿鹄律师事务所(Bird & Bird)合伙人龚钰推出AI出海合规系列文章,将对各地区的AI合规法律进行整体的介绍,并对中国AI企业在出海的过程中,所关注的合规重点问题进行总结与分析,以期为AI企业出海提供关于合规管理的基本概览。
今天,走出去智库(CGGT)刊发系列文章之三《欧盟人工智能监管与企业出海:法律义务与合规策略》,供关注AI监管的读者参阅。
要点
1、即使出海企业并未在欧盟设立任何实体,只要其提供的AI产品或服务面向欧盟市场,就可能受到法案的约束。
2、企业还应当注意的是,在特定情况下开发者角色的认定会发生拓展及转移,因此其他角色的主体可能也需承担开发者的合规义务。
3、如果平台使用AI系统,则可能涉及《数字服务法》项下的有关防止有害信息传播相关的义务。
正文
欧盟《人工智能法案》(EU AI Act)已经于2024年8月正式出台,相关义务将在未来三年内陆续生效。作为全球首部人工智能领域的法案,《人工智能法案》为AI技术的发展提供了法律框架,确保其在促进社会进步的同时,也能保护公民的基本权利。对于中国出海企业而言,随着全球化战略的不断推进,了解并遵守目标市场的法律法规对于企业的合规经营至关重要。
作为鸿鹄与走出去智库合作的欧盟AI监管系列第三篇文章,我们将分析《人工智能法案》对中国企业的影响,并提出合规策略。
一、 欧盟《人工智能法案》对中国出海企业的影响
1. 出海企业应当重视欧盟人工智能合规要求
随着中国企业“走出去”的步伐日益加快,合规性已成为企业国际化战略中的重要议题。《人工智能法案》不仅为AI技术的合规使用设立了标杆,更通过其广泛的域外效力以及严重的违法后果对全球市场产生了深远影响。因此,如果企业希望能够在国际舞台上稳健发展,应当重视《人工智能法案》的合规要求。
此外,与数据保护法类似,作为全球人工智能立法的先驱,我们预期《人工智能法案》可能同样拥有与欧盟《通用数据保护条例》类似的“布鲁塞尔效应”,被全球企业和市场自愿采纳,并作为其日常运营合规的重要关注点。因此,为了保证企业在全球范围内安全保障与服务标准的一致性,出海企业同样应当关注《人工智能法案》。
2. 合规时间线
《人工智能法案》将在其生效日(2024年8月1日)的两年后(即2026年8月2日)开始适用,且对其中不同条款的适用时间还作出了区分:
二、 中国出海企业AI法案合规方案
中国出海企业可以参考以下四步走的模式落实《人工智能法案》的合规:
1. 确认管辖范围
出海企业首先需要确定自身是否受到《人工智能法案》的域内或域外效力管辖。鉴于该法案的广泛的域外效力,即使出海企业并未在欧盟设立任何实体,只要其提供的AI产品或服务面向欧盟市场,就可能受到法案的约束。
2. AI系统/GPAI模型的风险等级评估
《人工智能法案》对人工智能(AI)系统以及通用人工智能(GPAI)模型规定了不同的合规义务。
《人工智能法案》从风险角度将AI系统分为从高到低的四个等级,即:
· 不可接受风险AI系统;
· 高风险AI系统;
· 有限风险AI系统;
· 最低风险AI系统。
其中,最高风险的第一类不可接受风险AI系统(包括任何试图操纵人类行为、利用人性弱点或支持政府社会评分的AI系统)被划分为禁止使用,最低风险的第四类最低风险AI系统(包括人工智能电子游戏或垃圾邮件过滤器等应用)则没有额外限制。对处于中间的两类AI系统,《人工智能法案》分别提出了对应的合规要求。
《人工智能法案》还将GPAI模型分为不具有系统性风险的GPAI模型和具有系统性风险的GPAI模型两大类。如果GPAI模型具备以下条件之一,则被视为具有系统性风险(systemic risk):
· 情形一:根据适当的技术工具和方法认定具有高度影响能力(high impact capabilities):特别地,当GPAI模型用于训练的累计计算量(以FLOPs计)大于10的25次方时,应推定具有高度影响能力。
· 情形二:被欧盟委员会认定为具有高度影响能力。
因此,企业应首先对其AI系统进行风险等级评估,识别其GPAI模型所属的类型,以确定其产品/服务在《人工智能法案》中所属的AI系统风险层级、GPAI模型的风险类型。
3. 确认主体身份
《人工智能法案》对AI产品/系统生态链上的不同参与主体拟定了不同的角色定位和对应的合规义务,其中,主要角色包括以下四类:
· 开发者(provider)是指开发AI系统或GPAI模型,或拥有AI系统或GPAI模型,并以自己的名义或商标在欧盟市场(首次)投放或在欧盟市场提供服务的主体,不论AI系统是否收费。值得注意的是,对于设立在欧盟境外的开发者,其需要在欧盟境内指定一名授权代表(Authorised Representative),这一要求也与欧盟GDPR中所提出设立欧盟代表(EU Representative)的要求相似。
· 部署者(deployer)是指在其权限下使用AI系统的自然人或法人、公共机关、机构或其他组织,但将人工智能系统用于个人非职业活动的除外。
· 进口商(importer)是指在欧盟设立或位于欧盟,将标有欧盟境外主体名称或商标的AI系统投放欧盟市场的主体。
· 分销商(distributor)是指在AI产业链中除了开发者和进口商以外,其他在欧盟市场提供AI系统的主体。
因此,企业需明确其在《人工智能法案》下的身份,无论是作为AI系统的开发者(provider)、部署者(deployer)、进口商(importer)还是分销商(distributor)。
法案对这些不同主体规定了特定的合规义务,企业需要根据自身的角色,结合其AI系统的风险等级,识别并承担相应的责任。
企业还应当注意的是,在特定情况下开发者角色的认定会发生拓展及转移,因此其他角色的主体可能也需承担开发者的合规义务。
例如,在下述特定情形下,部署者、进口商和分销商将被视为高风险AI系统的开发者:(1)在已投放市场或提供服务的高风险AI系统上冠以自己的名称或商标;(2)对已投放市场或提供服务的高风险AI系统进行实质性修改;(3)修改未被归类为高风险AI系统的预期目的,导致该AI系统被归类为高风险AI系统。
4. 结合AI系统风险等级和主体身份拟定合规策略
针对不可接受风险的AI系统,原则上欧盟禁止任何企业或个人部署或投放至欧盟市场。被归类为最小风险的AI系统则可以根据现有立法进行开发和使用,无需承担额外的法律义务。总结来说,《人工智能法案》项下合规义务主要面向高风险AI系统和有限风险AI系统。
就提供高风险AI系统而言,开发者、部署者、进口商和分销商面临着不同的合规义务。
(1) 高风险AI系统的开发者的主要合规义务
高风险AI系统的开发者的合规义务最为全面,主要包括:
No.主要义务说明2
符合性评估
高风险AI系统在投放市场前必须开展符合性评估(Conformity Assessments),以证明该AI系统符合《人工智能法案》的各项要求。符合性评估可以通过内部评估或第三方评估两种方式开展,分别适用于一般开发者和未被禁止的生物识别系统的开发者。
3CE标志开发者应在高风险AI系统上附上CE标志(CE Marking)。只要按照要求完成符合性评估和附加符合性声明,确保产品符合所有相关的欧盟规定,无需特殊许可即可加贴CE标志。4基本权利影响评估企业部署涉及信用评分和被保险人风险评估等高风险AI系统,部署者应评估对基本权利产生的影响,涉及预期使用目的、预期期限和频率、特定情况下对于自然人的影响类别及具体危害风险、人为监督措施、风险响应措施及投诉机制。5
风险管理系统
应针对高风险AI系统建立和完善风险管理系统,实现对于风险的识别、消弭、记录,其中涉及识别、分析和评估高风险AI系统在按照其预期目的使用时的风险,根据上市后监测系统收集的数据的分析,持续评估可能产生的其他风险,并采取适当和有针对性的风险管理措施,以应对识别出来的风险。
6
数据质量要求
采纳适用于高风险AI系统预期目的的数据治理和管理程序,其中包括设计选择、数据收集过程和数据来源、相关数据准备流程以及对所需数据集的可用性、数量和适用性、引发歧视性偏见的事先检测评估和纠正。训练数据集必须具有相关性和足够的代表性,并尽最大可能做到无错误和完整。
7
技术文档起草和保存
应在高风险AI系统投放市场或投入使用之前制定该系统的技术文档,并及时更新。该文件应由开发者自投放市场或投入使用起保留至少10年,以备监管机关核查。技术文件应当包含AI系统的一般描述、要素及开发过程、监控运行和控制机制、AI系统的性能指标和风险管理体系等内容。
8日志记录保存为了确保高风险AI系统的功能具有与该系统预期目的相适应的可追溯性,日志记录功能应保存至少6个月,并记录可能导致高风险AI系统出现风险或重大改动的情况、促进高风险AI系统的上市后监测和监测高风险AI系统的运行。对于远程生物特征识别系统,日志记录功能应至少包括记录每次使用系统的时间段,系统对输入数据进行核对的参考数据库,与搜索结果匹配的输入数据和参与核查结果的自然人的身份。9透明度(使用说明)高风险AI系统的设计和开发应确保其操作足够透明,使部署者能够解释系统的输出并正确使用。高风险AI系统应向用户提供使用说明,需要包含开发者及其授权代表的身份和联系方式、高风险AI系统的特征功能和性能限制、开发者在初始符合性评估时预先确定的高风险人工智能系统及其性能的变更、所采取的人为监督措施、所需的计算和硬件资源、高风险AI系统的预期寿命以及任何必要的维护和保养措施。此外,还应当对高风险AI系统中包含的日志收集机制进行描述。10
人为监督
高风险AI系统应当指派一名自然人对高风险AI系统作出的决策进行监督,其可以决定不使用高风险AI系统,或以其他方式忽视、覆盖或逆转高风险AI系统的输出。除此之外,其还可以干预AI系统的操作或中断AI系统,使系统在安全状态下停止运行。对于远程生物识别的高风险AI系统,必须指派至少两名经过培训和具备能力的自然人进行监督,否则不得基于该系统产生的识别结果采取任何行动或决策。
11准确性、鲁棒性与网络安全高风险AI系统的设计和开发应实现确保其达到适当的准确性、鲁棒性(robust)和网络安全水平,并在其整个生命周期中在这些方面保持一致。因此,开发者需要在系统的设计、开发、测试和初步合规性,确保高风险AI系统在面世前已经符合安全和法律标准。
(2) 高风险AI系统的部署者的主要合规义务
高风险AI系统部署者的合规义务则主要集中在系统的实际使用、持续监控和操作合规,确保系统在运行过程中保持安全、透明和合规。因此,部署者在实际使用高风险AI系统时需要满足基本权利影响评估、数据质量要求、日志记录保存、风险事故通知、人为监督和透明度要求。
(3) 高风险AI系统的进口商、分销商的主要合规义务
进口商、分销商在将高风险AI系统投放市场之前应当核准确认系统附有符合性声明与CE标志,标明名称、商标、地址。进口商还需要确认欧盟授权代表并配合监管机构执法活动。分销商需要履行透明度义务,如提供使用说明等。但请注意,前述对于高风险AI系统进口商和分销商的义务描述仅限于一般情况下,如果在某些特定情况下进口商和分销商同时构成高风险AI系统的开发者,如在已投放市场或提供服务的高风险AI系统上冠以自己的名称或商标,或对已投放市场或提供服务的高风险AI系统进行实质性修改等,则需要同时满足开发者的义务如进行符合性评估等。
(4) 有限风险AI系统的提供者、部署者的主要合规义务
就提供有限风险AI系统而言,《人工智能法案》未对进口商和分销商提供明确具体义务,但对提供者、部署者明确了其应当承担的透明度义务。
具体而言,提供者一般需要履行告知义务、标记义务和技术要求义务。告知义务要求提供者确保与自然人直接互动的人工智能系统设计和开发方式,使自然人知晓他们正在与人工智能系统互动,除非这一点显而易见。标记义务则要求生成合成音频、图像、视频或文本内容的人工智能系统输出应以机器可读格式标记,并可检测为人工生成或操纵的。技术要求则要求提供者确保技术解决方案在技术上可行的范围内是有效的、可互操作的、稳健的和可靠的。而对于部署者而言,其一般应履行告知义务、披露义务、文本披露义务。其中告知义务要求部署者告知接触到情感识别系统或生物特征分类系统的自然人系统的运行情况,并根据相关法规处理个人数据。披露义务要求生成或操纵构成深度伪造的图像、音频或视频内容的人工智能系统,应披露该内容是人工生成或操纵的。同时,文本披露义务要求生成或操纵文本并以向公众提供公共利益事项信息为目的的人工智能系统,应披露该文本是人工生成或操纵的。
下图我们总结了开发者、部署者、进口商和分销商就提供不同风险等级的AI系统所承担的主要责任。
(5) GPAI模型开发者的主要合规义务
除了上述四类AI系统外,企业还需判定其是否构成了GPAI模型开发者继而需要遵守《人工智能法案》就GPAI模型开发者设定的特定合规要求。
《人工智能法案》项下不具有系统性风险的GPAI模型开发者负有如下义务:
• 编制并不断更新该模型的技术文件文档以便应要求向监管机构提供;
• 为打算将GPAI模型纳入其AI系统的开发者编制、不断更新和提供信息和文件;
• 制定内部政策以遵守欧盟版权法;
• 根据欧盟AI办公室提供的模板,就GPAI模型训练起草并公开AI模型训练摘要;
• 对于落入域外效力范围的境外企业,在将GPAI模型投放到欧盟市场之前,应通过书面授权指定在欧盟授权代表。
对于具有系统性风险的GPAI模型的开发者而言,除了上述针对不具有系统性风险的GPAI模型开发者的义务外,还需额外遵守下述义务:
• 根据反映最先进技术水平的标准化协议和工具进行模型评估,包括对模型进行对抗测试并记录在案,以识别和降低系统性风险;
• 评估并降低欧盟层面可能存在的系统性风险,包括因开发、投放市场、或使用具有系统性风险的GPAI模型而产生的系统性风险的来源;
• 跟踪、记录并及时向欧盟AI办公室(并酌情向国家主管机构)报告严重事故的相关信息以及纠正措施;
• 确保具有系统风险的GPAI模型和模型的物理基础设施得到适当水平的网络安全保护。
综上所述,基于对GPAI以及AI系统风险等级的评估结果,企业应制定和执行相应的合规策略。尤其是对于被分类为高风险的AI系统,企业需要特别注意法案中对信息标识、质量管理、登记注册、合格性评估等方面的具体要求。
三、同步关注其他领域合规义务
除了《人工智能法案》外,如果出海企业需要向欧洲提供AI服务,其他领域的法律法规依然需要注意。例如:
· 知识产权:目前就人工智能生成物的版权以及数据库权利保护已经成为热点问题。在全球范围内均出现了多起与AI和知识产权相关的诉讼,如英国法院于2023年受理的Getty v. Stability案。
· 内容治理:如果平台使用AI系统,则可能涉及《数字服务法》项下的有关防止有害信息传播相关的义务。类似地,英国英国通信管理局近期也发布公开信,明确其《在线安全法》(Online Safety Act 2023) 适用于AI场景。如果“守门人”等大型平台使用AI进行市场活动(如监控市场价格并实时定价等),则还需要考虑《数字市场法》等法规要求。
· 产品责任:布鲁塞尔近两年在试图推动《人工智能责任指令》(AI Liability Directive)的出台和《产品责任指令》(Directive of the European Parliament and of the council on liability for defective products)的修订,前者确定了针对AI所致损害的适用规则,而后者作为产品责任的主要监管法规,试图将其适用范围扩展到涉及AI系统作为组件的各类产品。
· 非个人数据保护:考虑到AI在IoT、云服务中的广泛应用,在欧盟提供此类产品还需要考虑《数据法案》(Data Act)的相关规则。
· 个人数据保护:个人数据保护与AI监管的重叠程度很高。欧盟数据保护机构(DPA)已经开始关注AI企业在数据保护方面的合规性,如意大利个人数据保护局就ChatGPT开展监管并发表声明。此后,有关如何进行告知、使用何种合法性基础进行数据处理(尤其是数据训练),以及如何开展数据保护影响评估等问题便一直被广泛讨论,多个国家的DPA就相关议题发布了指引。近期,EDPB还就 AI 模型与数据保护合规问题举办了利益相关者活动,鸿鹄律师在会中参与讨论。
这些法律法规共同构成了一个复杂的合规环境,出海企业在向欧洲提供AI服务时需要全面了解并遵守这些规定,以确保业务的合法合规和可持续发展。
因此,中国企业在出海提供AI服务时,除了《人工智能法案》外,还需要深入研究并理解欧盟的其他相关法律法规,包括但不限于《数字服务法》、《数据法案》以及《通用数据保护条例》。其次,企业应建立健全的合规管理体系,确保在知识产权、内容治理、产品责任、数据保护等方面的合规性。此外,企业还需关注反垄断法、消费者保护法和劳动法等领域的要求,制定相应的内部政策和操作流程,以应对可能的法律风险。
通过全面的合规管理,我们相信中国企业能够在欧洲市场稳健发展,提升国际竞争力。
来源:走出去智库
