法规研究|面向未来的治理:全球首个人工智能法案即将生效,你需要知道些什么?
HomepageBlog
法规研究|面向未来的治理:全球首个人工智能法案即将生效,你需要知道些什么?

法规研究|面向未来的治理:全球首个人工智能法案即将生效,你需要知道些什么?

Kaamel Lab
Kaamel Lab

7月12日,欧盟《人工智能法案》(AI Act)正式发布于《欧盟官方公报》(Official Journal of the European Union),标志着欧盟《人工智能法案》正式通过全部立法程序,成为欧盟法律,并将于8月2日正式生效。同时,欧盟《人工智能法案》也是世界范围内首个全面规范人工智能(AI)开发与使用的法律框架,其采用创新的立法技术,保持了欧盟立法一贯的前瞻性,未来也将在全球AI监管中起到引领作用,并推动AI行业的规范化与良性发展。
本文将介绍欧盟《人工智能法案》的主要内容,并分析出海应当如何应对。

主要内容

一、适用范围

1. 适用主体
欧盟《人工智能法案》适用于人工智能系统价值链上的各类主体,包括AI系统的提供者(provider)、部署者(deployer)、进口商(importer)和分销商(distributor),将AI系统与其产品一起投放市场或投入使用的产品制造商(product manufacturer),未在欧盟境内设立场所的提供者的授权代表(authorised representative),以及欧盟境内受影响的个体。
2. 适用地域
欧盟《人工智能法案》的效力不仅及于欧盟境内的主体。如果在欧盟境内将AI系统投放市场或投入使用,或者将通用AI模型(general-purpose AI models)投放欧盟市场,则欧盟境外的提供者也受该法案管辖。如果AI系统的输出结果被用于欧盟,则欧盟境外的提供者和部署者也受该法案管辖。
3. 适用的AI系统
欧盟《人工智能法案》定义的AI系统,是指一种机器系统,其能够以不同程度自主运行、在部署后可能表现出适应性,并且为明确或隐含的目标,根据输入推断如何生成可能影响现实或虚拟环境的输出结果,如预测、内容、建议或决策。
但是,欧盟《人工智能法案》不适用于:(1)专为军事、国防或国家安全目的的AI系统;(2)专为科学研究和开发目的而开发和使用AI系统或模型,包括其输出结果;(3)尚未投放市场或投入使用,仍处于研究、测试或开发阶段的AI系统,但在真实环境(real world conditions)下的测试仍受该法案约束;(4)基于免费开源许可发布的低风险AI系统。

二、AI系统的风险分级

欧盟《人工智能法案》基于风险分级的监管思路,将AI系统的风险划分为四个级别:不可接受的风险、高风险、特定透明度风险和最小风险,风险越大则监管越严格。大多数AI系统属于较低的风险级别,但仍可能需要履行法案规定的特定义务。

(一)具有不可接受风险的AI系统

欧盟《人工智能法案》严格禁止具有不可接受风险的AI系统,主要是侵犯基本人权、违背社会伦理的情形,具体包括:
(1)利用人的潜意识:法案禁止AI系统在无法察觉的情况下利用人的潜意识、或者使用操纵性或欺骗性手段,损害其知情决策能力,从而扭曲其行为、致使其作出本不会作出的决定,并造成或可能造成重大损害。
(2)利用人的弱点:法案禁止AI系统利用人的弱点,如年龄、身心状况或特定社会经济状况,从而扭曲其行为,造成或可能造成重大损害。
(3)基于社会行为和个人特征对人进行评估:法案禁止AI系统基于人的社会行为或者已知、推断或预测的个人特征,对其在一定时期内的表现进行评价,并在与数据收集背景无关的情况下对其进行不利对待,或者对其进行不合理或与其社会行为不成比例的不利对待。
(4)评估自然人的犯罪风险:法案禁止AI系统仅通过个人画像或个人特征评估来预测自然人犯罪的风险,除非已由人工基于与犯罪活动相关的客观事实和可核实事实作出评估、而AI系统仅用于支持其结论。
(5)创建或扩充人脸识别数据库:法案禁止AI系统从互联网或监控录像中非定向地抓取面部图像,用以创建或扩充人脸识别数据库。
(6)分析人的情绪:法案禁止在工作场所或教育机构中使用AI系统推测人的情绪,除非出于医疗或安全目的。
(7)根据生物信息对人进行分类:法案禁止AI系统根据人的生物识别数据对人进行分类,以推断其种族、政治观点、工会成员身份、宗教或哲学信仰、性生活或性取向,除非是在执法领域基于生物特征数据对合法获取的生物特征数据集(如图像)的标记或过滤、或对生物特征数据进行分类。
(8)使用实时远程识别系统进行执法:法案原则上禁止在公共场所为执法目的使用实时远程识别系统,但在寻找失踪人员等情况下则例外地允许。

(二)高风险AI系统

1. 高风险AI系统的认定
欧盟《人工智能法案》认定的高风险AI系统,主要包括可能侵害自然人健康、安全或基本权利的情形。具体可分为两类。
第一类是AI系统作为附件一列出的欧盟法律所规范产品的安全组件或作为产品本身,且根据欧盟立法需接受第三方合格性评估。这些产品包括机械、玩具、电梯、个人防护设备等。
第二类则是由法案附件三确定,包括以下领域的AI系统:
(1)生物识别:未被欧盟或成员国法律所禁止的生物识别系统,包括远程生物识别系统(不包括以确定特定自然人身份为唯一目的的生物识别验证AI系统)、推断敏感或受保护信息并进行生物识别分类的AI系统、用于情感识别的AI系统。
(2)关键基础设施:作为关键数字基础设施、道路交通、供水、供气、供热和供电的管理和运营体系中安全组件的AI系统。
(3)教育和职业培训:用于录取或分配到教育和职业培训机构、评估学习成果、评估教育水平、以及监测考试期间的违规行为的AI系统。
(4)就业:用于招聘程序,特别是用于发布针对性招聘广告、筛选简历和评估候选人的AI系统;能够影响工作条件、晋升或终止雇佣关系,基于个人表现或个人特征分配任务,或者用于监控和评估员工表现的AI系统。
(5)基本福利:用于评估自然人信用状况的AI系统,但检测金融欺诈的除外;用于人寿和健康保险风险评估和定价的AI系统;用于公共当局评估自然人福利资格的AI系统;用于评估紧急呼叫和确定警务、消防、医疗等紧急响应优先级的AI系统。
(6)执法:用于犯罪侦查、测谎等环节的AI系统。
(7)移民、庇护和边境管制:用于评估移民风险等的AI系统。
(8)司法和民主:用于查明事实、解释法律以及影响选举行为的AI系统。
在上述第二类的情况下,如果不会对自然人的健康、安全或基本权利造成显著风险,则不属于高风险AI系统。对此,法案举出四种类型,即当AI系统用于执行狭义的程序任务、用于改进已经完成的人类活动结果、用于检测决策模式或识别与先前决策模式的偏差且不将未经人工审核而取代或改变先前决策、或者用于执行附件三相关评估的准备工作时,则将不被认定为高风险AI系统。但是,如果涉及对自然人的画像(profiling),即便存在前述例外情况,仍将被认定为高风险AI系统。还应注意的是,如果提供者认为存在前述例外情况而认为其AI系统不属于高风险AI系统,其应在该系统投放市场或投入使用前记录其风险评估,并在欧盟数据库中登记。
由于高风险和非高风险AI系统的区分具有一定的模糊性,法案还要求欧盟委员会于2026年2月2日之前提供相关指导方针和示例清单。同时,法案还允许欧盟委员会对高风险AI系统的范围进行适当修改。因此,相关主体还需及时关注欧盟最新立法动态。
2. 高风险AI系统需满足的监管要求
(1)风险管理系统
针对高风险AI系统,需要建立、实施、记录和维护一个贯穿该高风险AI系统生命周期始终的风险管理系统,并保留此记录至该高风险AI系统生命结束后10年。其应包括识别、分析和评估该高风险AI系统在根据预期目的使用时以及在可合理预见的滥用的情况下可能对自然人健康、安全或基本权利造成的风险,根据市场监测收集到的数据评估可能出现的其他风险,以及采取适当措施以应对该高风险AI系统根据预期目的使用时已知和能够合理预见的风险。
高风险AI系统应在开发过程中、以及投放市场或投入使用前进行测试,以确定最适当的风险管理措施。测试可以在真实环境下进行。
(2)数据管理
AI系统通常需要利用数据训练模型。利用数据集进行的训练、验证和测试,受到与该高风险AI系统预期目的相适应的数据管理实践的约束。尤其应当考虑个人数据的收集目的,数据集的可用性与适当性,以及数据集是否具有充分的代表性、并尽可能完整无误。
值得注意的是,还需要审查是否存在偏见(bias),从而可能对自然人健康、安全或基本权利造成负面影响,或者可能导致欧盟法律所禁止的歧视,对于此类偏见必须采取适当措施进行预防和减轻。为确保此类偏见的识别与纠正,该高风险AI系统的提供者可以例外地处理特殊类型的个人数据,前提是:满足《通用数据保护条例》(GDPR)等欧盟有关隐私和数据保护的法律要求并按规定记录数据处理活动(记录中还需说明为何需要通过处理特殊类型的个人数据以识别和纠正此类偏见)、对偏见的识别和纠正无法通过处理其他数据实现、通过技术手段确保该特殊类型的个人数据受到保护、并且偏见得到纠正或保留期限届满后该特殊类型的个人数据即被删除。
(3)技术记录文档
在高风险AI系统投放市场或投入使用前,即应依照法案附件五编制技术文档,并保持更新。
高风险AI系统应建立能够自动生成并涵盖其整个生命周期的日志(log),该日志的保留期间应与该高风险AI系统的预期目的相适应、且不少于6个月。
(4)系统的透明性
提供者应确保高风险AI系统的透明性,以便部署者理解和使用该系统。
提供者应在高风险AI系统上附有能被部署者轻易获取并理解的使用说明,内容应当包括提供者的身份及联系方式、授权代表(如有)的身份和联系方式、高风险AI系统的特性与性能、人工监督措施、所需的计算和硬件资源、系统维护措施等。
(5)人工监督
高风险AI系统必须被设计能够由自然人进行监督,以使高风险AI系统对健康、安全和基本权利造成的风险最小化。
(6)系统的准确性、稳健性与安全性
高风险AI系统应能够达到适当水平的准确性、稳健性与安全性。
(7)提供者的义务
除满足上述要求外,法案第16条还列出了提供者的若干义务,其中应特别注意的有:(i)在高风险AI系统投放市场或投入使用之前,按照第43条的规定完成合格性评估程序,按照第47条的规定制定欧盟合格性声明、在投放市场或投入使用后保存10年以供国家主管部门查阅,并在欧盟数据库中登记。(ii)在高风险AI系统(或包装、随附文件)上标明其名称、注册商标和联系地址。(iii)在高风险AI系统(或包装、随附文件)上贴附CE标识。(iv)按照第17条的规定建立质量管理体系。第17条要求将规则、程序和指令以书面形式系统地记录在案,并规定了诸如合规策略、数据管理系统和程序、所有相关文件和信息的记录保存系统和程序等必须记录的若干事项。相关文件需保存10年。同时,考虑到第17条规定的记录义务对小微企业而言过于繁重,法案允许其按照规定进行适当简化,小微企业应当关注欧盟委员会后续发布的相关指南。
(8)提供者的授权代表
未在欧盟境内设立场所的提供者,应在高风险AI系统投放欧盟市场之前,以书面形式委任在欧盟境内的授权代表。授权代表根据授权书执行指定的任务。
(9)部署者的义务
法案对部署者义务的规定相对少一些,根据第26条,其义务主要有:(i)在工作场景中启用高风险AI系统之前,应通知雇员代表以及受影响的雇员。(ii)按照GDPR第35条等规定进行数据保护影响评估,且在进行评估时应当考虑提供者编写的使用说明中含有的信息。(iii)确保按照提供者编写的使用说明对该高风险AI系统进行使用。(iv)指派合格的人员对该高风险AI系统进行监督。(v)监测该高风险AI系统的运行,并在认为依照使用说明将对自然人健康、安全或基本权利造成风险,或者发现严重事件时,通知提供者等主体以及相关的监管当局。(vi)在其控制的输入数据的范围内,确保输入数据与该高风险AI系统的预期目的相关、且具有充分代表性。(vii)保留该高风险AI系统自动生成的日志,保留期间应与该高风险AI系统的预期目的相适应、且不少于6个月。
此外,法案第27条还规定,如果部署者是受公法管辖的机构、或提供公共服务的私人实体(但不包括关键基础设施领域的机构或私人实体),或者将高风险AI系统用于评估自然人的信用状况、或用于人寿和健康保险的风险评估和定价,则需要在启用该高风险AI系统之前按照要求进行基本权利影响评估、将评估结果通知监管当局,并在该高风险AI系统投入使用后保持更新。
基本权利影响评估与数据保护影响评估具有一定相似性。根据该条,基本权利影响评估应包含:(a)部署者按照预期目的使用该高风险AI系统过程的描述;(b)每个高风险AI系统的预期使用时间周期和频率;(c)可能受影响的自然人和群体的类别;(d)考虑提供者编写的使用说明中含有的信息,可能受影响的自然人和群体所可能面临的风险;(e)人工监督措施的描述;(f)为应对风险发生而采取的措施,包括内部治理和投诉机制。如果已通过数据保护影响评估履行了此义务,则基本权利影响评估应与该数据保护影响评估一起进行。
(10)进口商、分销商的义务
进口商需在高风险AI系统投放市场前根据法案第23条检查其是否符合法案要求,在高风险AI系统及其包装或随附文件上标明自己的名称、注册商号或注册商标、以及联系地址,并在投放市场或投入使用后10年内保留通知机构所颁证书、使用说明、欧盟合格性声明等文件的副本。
分销商需在高风险AI系统投放市场前根据法案第24条检查系统是否附有CE标识、是否附有使用说明及欧盟合格性声明、以及提供者和进口商是否履行了相关义务。
(11)提供者义务的移转以及价值链上其他参与者的义务
以下情况中,由进口商、分销商、部署者或其他第三方承担原本由提供者承担的义务:(a)在已投放市场或投入使用的高风险AI系统上标注自己的名称或商标;(b)其对已投放市场或投入使用的的高风险AI系统进行了实质性修改,且修改后的AI系统仍具高风险;(c)其将已投放市场或投入使用的非高风险AI系统改造为高风险AI系统。此时,最初的提供者无需再承担相关义务,仅提供合理协助即可。
若高风险AI系统作为附件一A部分列出的欧盟法律所规范产品的安全组件,则产品制造商被视为提供者。在该高风险AI系统标注其名称或商标的情况下,产品制造商应承担法案第16条针对提供者规定的义务。
对于为AI系统提供工具、服务、组件或程序的第三方,其虽不具有提供者地位,但提供者应与其通过书面协议约定必要的协助措施,以便提供者依照法案履行自身义务。

(三)具有特定透明度风险的AI系统

对于特定AI系统,为使自然人免于被操纵,欧盟《人工智能法案》规定了提供者和部署者的透明度义务。具体而言,存在以下四种情形:
(1)直接与自然人进行交互的AI系统,需进行相应设计以使相关自然人知晓其正与AI系统互动,除非考虑使用情景、一个理性自然人会认为这是显而易见的。此义务不适用于法律授权用于检测、预防、调查或起诉刑事犯罪的AI系统(前提是对第三方的权利和自由进行了适当保障),除非该AI系统用于公众举报刑事犯罪。
(2)生成合成音频、图像、视频或文本内容的AI系统,应确保其输出结果以机器可读的方式被标记、并能够被识别为人工生成或人为操纵(artificially generated or manipulated)。此义务不适用于辅助进行文本标准化编辑(standard editing)或者对输入内容未进行实质变更的AI系统,以及法律授权用于检测、预防、调查或起诉刑事犯罪的AI系统。
(3)情感识别系统或生物特征分类系统,其部署者应将该系统的操作告知受其影响的自然人,并按照GDPR等欧盟有关隐私和数据保护的法律进行个人数据处理。此义务不适用于法律允许用于检测、预防或调查刑事犯罪的生物识别分类和情感识别的AI系统(前提是对第三方的权利和自由进行了适当保障且不违反欧盟法律)。
(4)生成或操纵构成深度伪造(deep fake)的图像、音频或视频内容的AI系统,其部署者应披露该内容为人工生成或人为操纵。同时,如果该内容是艺术性或类似作品的一部分,则应以适当方式进行披露、而不应对其展示和欣赏造成阻碍。此义务不适用于AI系统生成的内容经人工审查或编辑控制、且自然人或法人对内容的发布承担编辑责任的情况,以及法律授权用于检测、预防、调查或起诉刑事犯罪的AI系统。

(四)最小风险的AI系统

不属于上述类型的AI系统,均被认为具有最小风险,在现行法律框架下可以在欧盟市场上自由使用。不过,这类AI系统仍需遵守有关隐私和数据保护的法规以及消费者保护法规。
还需注意的是,欧盟《人工智能法案》规定了针对所有适用该法案的AI系统的人工智能素养(AI literacy)的要求,即AI系统的提供者和部署者应确保其员工以及其他代表其处理和使用AI系统的人员具备充分的人工智能素养。

三、通用AI模型

欧盟《人工智能法案》定义的通用AI模型,是指一种AI模型,其使用大量数据进行大规模自监督训练,具有显著的普遍性、能够广泛胜任不同任务,且可以集成到各类下游系统和应用程序中。但是,用于研发或原型设计(prototyping)且未投放市场的AI模型,不属于法案定义的通用AI模型。
1. 通用AI模型提供者的一般义务
法案第53条规定了通用AI模型提供者的一般义务,主要有:(1)编制并不断更新该模型的技术文档,包括训练和测试过程以及评估结果,以便应要求向欧盟AI办公室和国家主管部门提供;(2)按照规定将相关信息和文档提供给意图将该模型整合到其AI系统中的AI系统提供者,并不断更新;(3)根据欧盟AI办公室提供的模板,制定并公布一份足够详细的关于模型训练使用内容的摘要;(4)制定并执行关于遵守欧盟版权法的措施。
未在欧盟境内设立场所的通用AI模型提供者,应在通用AI模型投放欧盟市场之前,以书面形式委任在欧盟境内的授权代表。授权代表根据授权书执行指定的任务。
2. 具有系统性风险的通用AI模型提供者的额外义务
如果通用AI模型具有高度影响能力(high impact capabilities)或者被欧盟委员会认定为具有高度影响能力,则其属于具有系统性风险的通用AI模型。
法案第55条规定了上述一般义务之外,具有系统性风险的通用AI模型提供者还应遵守的额外义务,主要有:(1)使用反映最新技术水平的标准化协议和工具对模型进行评估,包括实施对抗性测试并进行记录,以识别并降低系统性风险;(2)评估并减轻欧盟层面可能存在的系统性风险,包括开发、投放市场以及使用中的风险;(3)追踪、记录并及时向欧盟AI办公室报告严重事件及可能的补救措施,并酌情向国家主管部门报告;(4)确保对模型及其物理基础设施提供适当的网络安全保护。

四、AI监管沙盒(AI regulatory sandbox)

为鼓励技术创新,欧盟《人工智能法案》引入了监管沙盒,其旨在提供一个受控的环境用于AI系统投放市场或投入使用前一段时间内的开发、培训、测试和验证,沙盒中还可以进行真实环境下的测试。
法案要求每个成员国至少在国家层面建立一个AI监管沙盒。在沙盒中,只要提供者遵守沙盒的具体计划和参与条件、并真诚地遵循国家主管部门的指导,就可以避免因违反法案规定而产生的罚款。法案还规定了沙盒对中小企业(SMEs)的优惠措施,如中小企业原则上免费使用、具有进入沙盒的优先权等。
值得注意的是,数据保护机构也可能涉及沙盒的监管,因此沙盒参与者仍需关注其应当履行的数据保护相关义务。此外,法案第59条还规定,在满足如下条件时,可以将为其他目的合法收集的个人数据用于在监管沙盒中开发、训练和测试特定AI系统:(a)AI系统是为重大公共利益而开发,涉及公共安全和卫生、环境保护、能源可持续性、运输系统安全性、关键基础设施安全性、网络安全、以及公共行政与公共服务的效率和质量;(b)处理数据对于满足法案第三章第二节(对高风险AI系统的要求)的规定是必要的,且无法通过匿名化等方式有效满足;(c)存在有效的监控和响应机制,能够识别并降低沙盒实验中可能出现的威胁数据主体权利和自由的高风险;(d)数据处理行为在提供者控制的、功能上独立、隔离并受保护的环境中进行,且只有经授权的人员可以访问这些数据;(e)提供者仅能根据欧盟数据保护相关法规进一步共享最初收集的数据,且在沙盒内创建的个人数据不得在沙盒外共享;(f)在沙盒中进行的任何数据处理行为都不将影响数据主体的措施或决定,也不将影响其行使欧盟数据保护相关法规项下权利;(g) 在沙盒中处理的任何个人数据均通过适当措施加以保护,且在退出沙盒或个人数据保留期限届满后立即删除;(h)除非另有规定,在沙盒中处理个人数据的日志应在参与沙盒期间保存;(i) 作为技术文档的一部分,应保留有关AI系统训练、测试和验证过程及其原理的详细描述、以及测试结果;(j) 在主管机构的网站上发布关于在沙盒中开发的AI项目、目标与预期结果的简短摘要。
不过,目前AI监管沙盒具体如何运行尚不清晰,还需等待欧盟委员会以及各成员国作出更加详细的安排。

五、处罚

根据法案规定:
(1)违反法案有关禁止的AI系统的要求,将被处以最高3500万欧元或上年度全球营业额7%的罚款,以数额较高者为准;
(2)违反法案的其他合规要求,将被处以最高1500万欧元或上年度全球营业额3%的罚款,以数额较高者为准;
(3)向监管机构提供不正确、不完整或误导性信息的,将被处以最高750万欧元或上年度全球营业额1%的罚款,以数额较高者为准。

六、法案的生效与实施

欧盟《人工智能法案》将于2024年8月2日正式生效,并于2026年8月2日起实施。但以下情况除外:
(1)法案第一章(总则)、第二章(禁止的AI实践)于2025年2月2日起实施;
(2)法案第三章第四节(通知机关和通知机构)、第五章(通用AI模型)、第七章(治理)、第十二章(罚款)以及第78条(保密)于2025年8月2日起实施,但第101条(针对通用AI模型提供者的罚款)除外;
(3)法案第六条第一款及相关条款(有关特定高风险AI系统的分类及相应义务的规定)于2027年8月2日实施。

常见问题解答

Q: 欧盟《人工智能法案》出台后,AI活动还需要遵循GDPR吗?
A: 需要。《人工智能法案》与GDPR并不冲突,AI活动需要同时满足两者的合规要求。
Q: 谁是欧盟《人工智能法案》中提到的“负责机构”?
A: 法案第28条要求各成员国成立一个负责该法案相关事宜的机构,但目前尚无确定的机构。
Q: 欧盟《人工智能法案》是否全面禁止用于人脸识别的AI系统?
A: 法案原则上禁止以执法为目的在公共区域进行实时远距离人脸识别,对于并非出于执法目的的人脸识别AI系统则并不被禁止。不过,用于人脸识别的AI系统属于高风险AI系统,应根据法案第二章、第三章的规定履行建立风险管理系统、数据管理、编制技术记录文档等义务。
Q: 欧盟《人工智能法案》是否存在有关数据跨境的要求?
A: 法案没有对数据跨境提出相关要求,当前数据跨境的合规仍基于GDPR。

法规分析

欧盟《人工智能法案》采用风险分级的监管思路,对AI价值链上不同角色的参与者规定不同的义务要求,并授权欧盟委员会及各成员国在一定范围内作出修改或细化规定,以实现监管和创新之间的动态平衡。
考虑到该法案广泛的适用范围与严厉的处罚,存在出海意愿的企业必须对《人工智能法案》给予高度关注、并严格按照其规定履行相应义务。
企业在考虑该法案的合规问题时,首先需要明确其在AI价值链上的角色,这就需要结合其业务模式进行具体分析。例如,开发AI系统投放于欧盟市场供其他企业使用,则可能构成AI系统的提供者;汽车、电商、金融等领域的企业,若使用自研的AI系统则可能构成AI系统的提供者,若使用他人开发的AI系统且开发者显名则可能构成部署者,但若使用他人开发的AI系统并标注自己的名称或商标则构成提供者。其次还需判断相应AI系统的风险级别,从而适用不同的监管要求。虽然大多数AI系统均属于最小风险的类型,但是教育、就业、金融、保险以及医疗等领域的企业应当格外注意其使用的AI系统是否满足该法案认定为高风险AI系统的条件。
法案要求,AI系统的提供者不得投放被禁止的AI系统,如果投放高风险AI系统则需谨慎地对待法案规定的诸如建立并维护风险管理系统、数据管理、编制技术记录文档、完成合格性评估、制定欧盟合格性声明等义务;部署者需要严格监测和控制高风险AI系统的使用,以降低侵害自然人健康、安全或基本权利的风险;作为进口商和分销商,需要检查高风险AI系统是否符合法案要求;提供者之外的主体,也可能在特定情况下承担提供者的义务。法案对AI系统监管是全流程的,从系统的早期研发、到上市准备、再到投入使用、甚至系统生命周期结束,均有可能受到欧盟监管。
值得注意的是,该法案与GDPR并不冲突,企业的AI活动仍需要考虑GDPR规定的隐私合规要求。并且,法案中也多次提到相关主体应遵守GDPR的要求对个人数据进行处理、以及进行数据保护影响评估等。Kaamel作为专业的隐私合规企业,顺利帮助多个企业完成数据保护影响评估等隐私合规工作,助力企业出海过程中更加有效地应对监管要求和用户需求,降低隐私风险与合规隐患。
目前距离法案开始实施仍有一段时间,不过由于法案规定的严密性,企业可能需要投入大量精力和资源来满足合规要求,建议企业及时采取行动、制定相应的合规方案、在法案正式实施前做好充分准备。此外,企业还需要密切关注欧盟立法和执法机构动态,欧盟委员会和各成员国都将出台更加细化的规定,企业必须及时了解这些内容。Kaamel也将持续跟踪该法案的动态和进展,向您提供最新的法律资讯。