一、法案核心内容，基于风险的金字塔监管框架

欧盟AI法案的核心逻辑是根据AI系统对个人和社会造成的风险级别进行分级监管，风险越高,监管越严格。

1. 不可接受的风险： 全面禁止

   • 应用举例： 对社会进行“信用评分”的政府社交评分系统、公共场所无差别的实时远程生物识别（如人脸识别）、利用人性弱点诱导行为（特别是针对儿童）、从互联网或监控录像无目标地抓取人脸图像创建数据库等。
   • 实施状态： 这些禁止性条款将在法案生效后6个月开始适用。

2. 高风险： 严格合规与事前评估

   • 领域： 涉及关键基础设施、教育、就业、基本公共服务（福利、医疗）、执法、移民和司法民主的重大影响。
   • 核心要求：
     • 建立风险管理系统。
     • 使用高质量数据集以减少偏见。
     • 保存活动日志确保可追溯性。
     • 提供清晰的用户信息和人工监督。
     • 确保高水平的鲁棒性、准确性和网络安全。
     • 在投放市场前进行合格评估（自我评估或第三方评估）。
   • 实施状态： 高风险AI系统的规则将在法案生效后36个月（3年） 开始适用。

3. 有限风险： 透明度义务

   • 主要针对生成式AI和深度伪造。
   • 核心要求： 用户必须被明确告知正在与AI交互（聊天机器人），或内容是由AI生成/ manipulated（深度伪造视频、AI生成图像），这保障了用户的知情权。
   • 实施状态： 透明度义务在生效后6个月适用。

4. 最小风险： 自愿遵守准则

   绝大多数当前AI应用属于此类（如AI驱动的电子游戏、垃圾邮件过滤器等），法案鼓励行业自愿制定行为准则,不施加强制性法律要求。

对通用人工智能模型（基础模型）的特殊规定

这是法案谈判的焦点和最大创新点之一，针对像GPT-4、Gemini这样的强大基础模型。

• 两级体系：
  • 所有基础模型： 需满足基本的透明度要求（如提供技术文档、遵守欧盟版权法、公开训练数据的摘要）。
  • 具有“系统性风险”的尖端模型： 指在行业领先的基准测试中表现卓越、拥有巨大算力（以每秒浮点运算次数FLOPs为衡量）的模型，它们需要承担更严格的义务，包括：
    • 进行模型评估,识别和减轻系统性风险。
    • 记录并报告严重事件。
    • 确保网络安全。

关键时间线与实施步骤

1. 最终通过： 欧洲议会和欧盟理事会已于2024年3月和5月正式批准法案文本。
2. 法案生效： 预计在2024年7月或8月，在《欧盟官方公报》上公布20天后生效。
3. 分阶段实施（从生效日起算）：
   • 6个月后： 禁止条款（不可接受的风险）和透明度义务（有限风险）开始适用。
   • 12个月后： 通用人工智能模型（基础模型）的规则开始适用。
   • 24个月后： 所有高风险AI系统规则开始适用（通常被视为“全面实施”的关键节点）。
   • 36个月后： 对植入现有产品中的高风险AI系统的规则也开始适用。

深远影响与挑战

• 布鲁塞尔效应： 如同GDPR一样，由于欧盟市场的巨大吸引力，该法案很可能成为全球事实上的AI监管标准，非欧盟公司若想在欧洲市场运营，也必须遵守规定,从而推动全球AI治理规则的趋同。
• 创新与监管的平衡： 批评者认为严厉的合规要求（尤其是对高风险AI）可能增加初创企业成本，抑制欧洲本土的创新，支持者则认为明确的规则能建立信任,从长期看有利于AI的健康发展。
• 执法与合规成本： 各成员国需建立国家级的监管机构，如何统一执法尺度是一大挑战，企业，特别是中小企业,将面临显著的合规成本和调整压力。
• 对全球科技巨头的影响： 在美国和中国主导的AI竞赛中，欧盟选择了“规则制定者”的道路，主要AI开发商（如OpenAI、Google、Meta等）必须根据法案调整其在欧洲的产品策略和开发流程。

欧盟AI法案的实施，不仅仅是法律条文的生效，更是为全球人工智能的发展划定了明确的伦理与法律边界，它强调“以人为本、安全可信、透明可控”的AI发展路径。

对于企业而言,现在就需要开始：

1. 分类评估： 识别自己的AI产品属于哪个风险类别。
2. 差距分析： 对照法案要求，检查在数据治理、透明度、文档记录、风险管理等方面是否存在差距。
3. 规划合规路径： 特别是高风险AI系统的开发商，应尽快启动合规流程，为2026/2027年的全面实施做好准备。

欧盟正试图通过这部开创性的法律，在引领技术治理的同时，保护其公民的基本权利和价值,其成败将对全球产生深远影响。

标签： 基于风险 金字塔监管框架