8月1日，歐盟《人工智能法案》（下稱《AI法案》）將在歐盟范圍內正式生效，并將在未來三年分階段實施。這是全球第一部全面監(jiān)管人工智能的法案，影響力不可低估。

與人工智能企業(yè)切身利益相關的是，《AI法案》對多類在歐盟區(qū)域開展業(yè)務的海外公司有所約束，影響波及域外地區(qū)。這部法案已經引起法律界和業(yè)界廣泛重視，大家都在等待歐盟對一些條例提供進一步的詳細說明和配套設施。

以數(shù)據合規(guī)相關內容為例，全球機器學習和增長營銷解決方案公司 Moloco亞太區(qū)產品總監(jiān)劉連波告訴第一財經，“隱私政策這件事情并不是針對某個一家公司，是對所有參與其中的partner（合作方）或者所有的player（玩家）都是相關的。這個行業(yè)大家面對的挑戰(zhàn)總是一樣的，我不認為會對出海生意的趨勢有本質的影響，因為這個行業(yè)會共享這個挑戰(zhàn)?！彼J為首先重要的是合規(guī)，其次是正確收集數(shù)據而不濫用，這最終也會促使我們調整算法模型來進行應對?！拔覀儠屑毟櫤脱芯吭摲ò笇ξ覀兂龊？蛻舻木唧w挑戰(zhàn)，然后我們會和客戶一起去研究落實解決方案。”

“國內出海至歐盟的企業(yè)最需要關注的是高風險系統(tǒng)AI系統(tǒng)。如果不符合規(guī)定，企業(yè)將面臨高額罰款和法律風險。” 墾?。◤V州）律師事務所創(chuàng)始合伙人、主任律師，W&W國際法律團隊創(chuàng)始人王捷告訴第一財經記者，參考國內科技企業(yè)在歐盟地區(qū)開展業(yè)務的情況，主要受影響的行業(yè)包括醫(yī)療健康、人力資源、公共安全和交通運輸?shù)取?/p>

另有業(yè)界人士告訴記者，對于《AI法案》中的一些規(guī)定，企業(yè)要遵守并不容易，且做到合規(guī)預計將帶來企業(yè)成本上升。

罰款可達3500萬歐元

ChatGPT 2022年年底意外爆火帶來了人工智能立法的急迫性。在歐盟緊鑼密鼓的籌備下，《AI法案》今年3月在歐洲議會通過，并于今年5月獲得歐盟理事會批準。今年8月1日該法案正式生效。

《AI法案》在全球范圍內的影響力不可小覷，一定程度上是因為，《AI法案》的管轄范圍包括一些在歐盟區(qū)域外設立的相關公司。6個月后，總則和關于不可接受風險AI系統(tǒng)的禁令將適用；12個月后，高風險AI系統(tǒng)的部分章節(jié)、通用人工智能模型等章節(jié)將適用；24個月后，除高風險AI系統(tǒng)分類規(guī)則等部分內容外，其余部分適用；36個月后，高風險AI系統(tǒng)分類規(guī)則等部分內容也適用。

該法案規(guī)定，條例適用于將AI系統(tǒng)投放到歐盟市場或為歐盟提供AI系統(tǒng)服務的提供商，或是將通用人工智能模型投放到歐盟市場的提供商，無論這些提供商設立地或所在地是在歐盟還是在第三國。也適用于設立地或所在地在歐盟的AI系統(tǒng)部署商，以及AI系統(tǒng)進口商和分銷商、以自己名義或商標將AI系統(tǒng)與產品一起投放市場或投入使用的產品制造商、位于歐盟的受影響人員等。

這意味著，只要海外AI相關公司將AI系統(tǒng)投放到歐盟市場，或帶上了自己的商標，或影響到歐盟地區(qū)的人員，便可能在該法案規(guī)制范圍內。違反規(guī)定的企業(yè)最高將被處以3500萬歐元或最高年收入7%的行政罰款（以較高者為準）。

關于該法案的價值和后續(xù)影響，法律界和學界多有討論。

此前歐盟發(fā)布的《通用數(shù)據保護條例》（GDPR）已顯現(xiàn)“布魯塞爾效應”，意即歐盟通過單方面市場規(guī)制能力將其法律制度推廣至境外，讓受監(jiān)管實體在歐盟之外也遵守歐盟法律。這種效應能否在《AI法案》上再次體現(xiàn)，出現(xiàn)了不同的聲音。

“《AI法案》是一個‘石破天驚’的法案，在權利、義務、責任之外，它往前探了一步，抓住‘風險’這個牛鼻子。以往立法從來沒有提出對新技術的整套規(guī)制方法?！蓖瑵髮W法學院副教授陳吉棟告訴記者，歐盟通過大量問卷調查和報告來支撐法案中幾個簡單的條文，投入巨大的立法成本，前期研究十分透徹。在AI發(fā)展優(yōu)先和監(jiān)管優(yōu)先兩端之間，歐盟希望在中間做平衡，監(jiān)管并沒有太早。這部法案并非一勞永逸的完美法案，還會根據AI發(fā)展改進?！禔I法案》在國內已被學習參考。美國則體現(xiàn)了實用主義者的選擇，采取動態(tài)監(jiān)管方案。

在金杜律師事務所合伙人趙新華看來，《AI法案》非常全面，在全球性問題治理上，歐盟立法走在前面。結合2018年的GDPR以及近年的數(shù)字服務法、數(shù)字市場法等，歐盟為進入數(shù)字經濟時代做了多年鋪墊。該法案積極的一面是對AI監(jiān)管起到很好的示范，“就像GDPR出臺后，全球監(jiān)管框架基本上都在借鑒GDPR，《AI法案》出臺也必定會對全球AI治理提供有益的借鑒和參考?！?/p>

北京師范大學法學院副教授、中國互聯(lián)網協(xié)會研究中心副主任吳沈括認為，這會對跨國企業(yè)帶來非常重大的影響，影響業(yè)務研發(fā)模式、合規(guī)流程設計、市場運營策略，其優(yōu)點在于明確的規(guī)則和細化的制度設計。

另有聲音認為，《AI法案》推出可能過早過嚴，而全球不同地區(qū)對AI產業(yè)發(fā)展的態(tài)度并不相同。

吳沈括也認為，短期來看《AI法案》存在阻礙當?shù)谹I布局的這個可能性。這是監(jiān)管和產業(yè)企業(yè)之間互動博弈的過程，需要一個相互增強認知的過程。中長期看，如果在確定性和監(jiān)管力度上有所平衡的話，可能存在反彈機會。

AI初創(chuàng)企業(yè)波形智能計劃出海歐洲，創(chuàng)始人姜昱辰曾在瑞士攻讀人工智能博士學位。她認為，歐盟嚴監(jiān)管不是一個新問題，歐洲向來在數(shù)據隱私方面較嚴?！斑@次只是針對AI出了相應的隱私條款，但隱私條款本身嚴格這件事情不這么新，是歐洲市場一直存在的固有挑戰(zhàn)?！?/p>

至于《AI法案》對市場的影響，姜昱辰認為會有一些，但對私有化部署的影響較小，對大模型公司影響可能更大，“尤其大模型公司提供閉源的API有較大風險，但給企業(yè)做私有化部署或做保障的軟件，這個市場反倒更大?！碑旊[私監(jiān)管較強時，隱私保障較好的產品及公司會獲益。

高風險系統(tǒng)劃分引關注

《AI法案》對企業(yè)的影響細化在“風險分級”監(jiān)管中。

具體看，《AI法案》采取“風險分級”監(jiān)管模式，將AI系統(tǒng)分為四個風險級別，分別為被禁止的、高風險、有限風險和最低風險，每個級別都有相應合規(guī)要求。法案規(guī)定，不可接受風險的AI系統(tǒng)被徹底禁止投入市場，高風險AI系統(tǒng)只有在符合某些強制性要求的情況下才能投放歐盟市場、投入服務或使用，有限風險AI系統(tǒng)的規(guī)制較少。

一些法律界人士認為，AI企業(yè)進入歐盟市場最應關注的是高風險AI系統(tǒng)的劃定和要求。

美國奧睿律師事務所巴黎辦公室合伙人Julia Apostle告訴記者，根據《AI法案》規(guī)定，高風險AI系統(tǒng)開發(fā)者有最重的合規(guī)負擔，包括需要證明符合法律的要求。任何在歐洲開發(fā)或投放AI系統(tǒng)的公司都應該審查其AI系統(tǒng)是否為高風險。從AI實際應用看，開發(fā)可能影響個人權利、安全和自主權的AI系統(tǒng)公司，受該法案影響較大。

“高風險AI系統(tǒng)涉及關鍵領域，如教育和職業(yè)培訓、就業(yè)、重要的私人和公共服務（如醫(yī)療保健、銀行業(yè)）等，這些領域受到嚴格監(jiān)管和合規(guī)要求。而醫(yī)療健康、人力資源、公共安全和交通運輸?shù)刃袠I(yè)使用的AI系統(tǒng)大多屬于高風險類別?！蓖踅荼硎?。

據歐盟推動制定《AI法案》之初的預計，高風險AI系統(tǒng)占AI系統(tǒng)的比例約5%~15%。王捷判斷，不直接影響人身安全、健康或基本權利的應用場景相對影響較小，如聊天機器人、個性化內容推薦等，一般不會被認為是高風險系統(tǒng)。Julia Apostle認為，多數(shù)AI系統(tǒng)不會受該法案太大影響，而對高敏感領域，如醫(yī)療保健、職業(yè)場景，將會有進一步的立法關注。

但陳吉棟判斷，高風險AI系統(tǒng)涉及廣泛，現(xiàn)在歐盟把大多數(shù)AI系統(tǒng)都納入高風險系統(tǒng)中。例如自動駕駛汽車、人臉識別都可能涉及高風險。

值得注意的是，《AI法案》明確了AI系統(tǒng)相關的多類主體，包括AI系統(tǒng)提供者、部署者、授權代表、進口商和產品制造商。據上海段和段律師事務所律師團隊近期發(fā)布的一篇文章，AI系統(tǒng)提供者的義務要求最繁多，大約涉及29條條例，這些義務涉及系統(tǒng)設計、開發(fā)、測試、部署、監(jiān)控等多環(huán)節(jié)，明顯多于部署者、授權代表、進口商涉及的條例。

王捷表示，AI系統(tǒng)提供者負責開發(fā)人工智能系統(tǒng)或通用人工智能模型并將其投放市場，這意味著需要投入更多資源來確保合規(guī)性。AI系統(tǒng)提供者需承擔最多義務、也承擔較高合規(guī)成本。

此外，《AI法案》也對通用人工智能系統(tǒng)施以頗大關注。該法案稱，具有至少10億個參數(shù)并使用大規(guī)模自我監(jiān)督用大量數(shù)據訓練的模型應被視為具有顯著通用性。而當通用人工智能模型用于訓練的累積計算量大于10的25次方每秒浮點運算次數(shù)FLOPs時，將被認為具有高影響能力，進而可能被認定為具有“系統(tǒng)性風險”，需滿足一些額外要求。

大模型合規(guī)成本或超出17%

對人工智能相關企業(yè)而言，要滿足這樣一部全面且復雜的法案的要求，隨之而來的可能是合規(guī)成本上升。

海外智庫Center for Data Innovation在2021年歐盟推動《AI法案》制定之初便預計，該法案將使未來五年內歐盟經濟損失310億歐元。一家部署高風險AI系統(tǒng)的歐洲中小企業(yè)將承擔高達40萬歐元的合規(guī)成本。《AI法案》將導致所有人工智能支出額外17%的開銷。

CEPS（歐洲政策研究中心）同年澄清，超300億歐元損失的估計被夸大，支出17% 額外開銷僅適用于未滿足任何監(jiān)管要求的公司。在CEPS的研究中，要建立一個全新的質量管理體系（QMS）的成本可能在19.3萬歐元至33萬歐元之間，每年的維護費用估計為7.14萬歐元，一旦QMS建立起來，成本會降低，且QMS只是針對高風險AI系統(tǒng)提供者的要求。

以上關于合規(guī)成本的討論發(fā)生在兩三年前，當時大模型還未成為主流，如今情況可能發(fā)生了改變。

Julia Apostle認為，提出的17%這個數(shù)字，是基于非常低的AI系統(tǒng)基礎成本的估計，未反映訓練一個基礎模型的成本。“合規(guī)成本還無法完全估算，因為還不知道全部細節(jié)。高風險AI系統(tǒng)和通用人工智能模型的提供者的成本將是最大的。法律依賴于對技術標準的采納，由公司實施這些標準，實施過程須經過認證。而這些標準內容尚未正式確定，但肯定涉及政策、程序和具體產品要求的采納?！盝ulia Apostle表示，由于該法案對AI的監(jiān)管不止于歐盟，企業(yè)因該法案而離開歐盟似乎不太可能。

王捷認為，對該法案，國內大模型廠商若要在短期內快速且低成本實現(xiàn)合規(guī)可能有難度，特別是對于數(shù)據復雜的大模型。大模型廠商的挑戰(zhàn)可能是適應歐盟對于數(shù)據管理、模型透明度和可解釋性的高標準要求。

吳沈括認為，對于風險的分類、分級，特別是關于AI研發(fā)的披露度問題，是比較大的合規(guī)挑戰(zhàn)，這與人工智能算法一定的黑箱屬性具有較強烈和明顯的沖突。趙新華則認為，《AI法案》涉及一些更高的合規(guī)標準和要求，企業(yè)進入歐盟市場前要考慮能不能接受合規(guī)成本，以及可能面臨的不合規(guī)責任。

“如果說歐盟完全不在乎對經濟的限制，也不準確?！壁w新華表示，從《AI法案》規(guī)定范圍、內容看，歐盟也在試圖消除規(guī)定對創(chuàng)新的影響，如對一些較少風險AI系統(tǒng)的管理相對寬松。例如支持創(chuàng)新的措施中專門設了人工智能監(jiān)管沙盒，供企業(yè)測試創(chuàng)新性產品、服務、商業(yè)模式和交付機制，避免企業(yè)因從事相關活動而立即招致監(jiān)管后果，這是針對技術創(chuàng)新的柔性監(jiān)管制度，給了小企業(yè)較多發(fā)展空間。該法案有較大靈活性，風險管控循序漸進、逐步匹配，預計對經濟造成負面的沖擊較小。

具體條例看，業(yè)界和法律界仍在關注哪些具體要求可能增加合規(guī)成本。

《AI法案》對高風險AI系統(tǒng)的要求非常細致，涉及風險管理系統(tǒng)、數(shù)據和數(shù)據治理、技術文件、記錄保存、透明度和向部署商提供信息、人為監(jiān)督、準確性、穩(wěn)健性及網絡安全。具體要求包括但不限于建立、實施、記錄和維護與高風險AI系統(tǒng)相關的風險管理系統(tǒng)；擬定技術文件并向國家主管部門和認證機構提供必要的信息；訓練、驗證和測試數(shù)據集的數(shù)據準備處理工作包括各種注釋、清理、更新等，并采取措施發(fā)現(xiàn)、預防和減輕可能發(fā)生的某些偏差。

《AI法案》對通用人工智能模型提供商的要求則包括擬定并隨時更新技術文件、向擬集成該模型的AI系統(tǒng)提供商更新信息和文檔、制定遵守歐盟版權法的政策、起草并公開一份關于通用人工智能培訓內容的足夠詳細的摘要。被認定為具有“系統(tǒng)性風險”的通用人工智能模型需額外履行一些義務。

一名國內互聯(lián)網大廠研發(fā)負責人向記者表示，對高風險AI系統(tǒng)的要求中，較可能導致成本增加的是對數(shù)據進行處理、預防某些偏差，因為涉及專門做數(shù)據處理并微調模型來避免模型輸出不合法內容。國內大模型在這方面肯定做過工作，但各地標準不同，要符合新標準需重新做工作。

趙新華則表示，高風險AI系統(tǒng)提供者是指AI系統(tǒng)由某個企業(yè)提供并投入歐盟市場，法案專章列出提供者的義務，包括編制相應技術文件、證明符合法案要求，并對符合歐盟的相關規(guī)定做符合性聲明，還要增加CE合格證認證。高風險AI系統(tǒng)投放市場前需完成合格性評估程序。

“這些規(guī)定非常具體，對提供者、部署者、進口商和分銷主體設定不同的義務?！壁w新華表示，如果大模型公司在歐盟市場提供服務，除了需要請律師在合規(guī)層面及法律方面做評估和建議外，還涉及通過第三方進行合格性評估程序等，有些企業(yè)加CE標志也需找第三方認證機構。此外，《AI法案》還要求將AI系統(tǒng)算法的主要技術數(shù)據做摘要，這可能涉及公司內部商業(yè)、技術團隊，及外部第三方主體。

成本之外，人工智能企業(yè)是否愿意為了進入歐盟市場而滿足《AI法案》的要求也是問題。

《AI法案》對通用人工智能模型在預訓練和訓練中使用數(shù)據的透明度提出要求，模型提供商應起草并公開用于訓練通用人工智能模型內容的足夠詳細的摘要。在適當考慮保護商業(yè)秘密和機密商業(yè)信息必要性的同時，摘要內容應總體全面。

”現(xiàn)在公開的大模型技術文件對預訓練數(shù)據方面大多一筆帶過，但其實這部分內容應該最多?！币幻麌鴥阮^部大模型研發(fā)人員告訴記者，大模型效果如何，80%跟訓練數(shù)據有關。之所以不公開訓練數(shù)據的細節(jié)，是因為訓練數(shù)據在一定程度上是企業(yè)核心機密。同時，很多大模型的訓練數(shù)據來自網上各種渠道，如果不披露可能不會有人發(fā)現(xiàn)數(shù)據來源，一旦披露則可能暴露版權問題。

以上技術人員告訴記者，需向外提交的技術文檔如果有詳細的要求，大模型公司也不一定愿意提供，這并非成本的問題，而是因為公司可能希望對技術保密。

《AI法案》還將分階段實施，目前也有不少模糊或需厘清的問題。陳吉棟告訴記者，要劃定高風險系統(tǒng)還是比較難，企業(yè)面對高風險AI系統(tǒng)需承擔的諸多義務時，會傾向于不把自身劃定在高風險范圍內。歐盟或相關方還需要提供一套后臺配套基礎設施來支撐法律順利運行。

吳沈括認為，從可能的缺點來看，該法案對于產業(yè)研發(fā)和應用的邏輯是否有足夠強的匹配性，還需要進一步的觀察。

“模糊和爭議點主要集中在定義和具體合規(guī)要求上，如高風險AI系統(tǒng)精確界限、基礎模型和應用模型的區(qū)分等。如何有效評估和監(jiān)控AI系統(tǒng)透明度和公平性也存在不確定性?！蓖踅菡J為。

“我認為國內有些大企業(yè)已經做好了合規(guī)的準備，但大部分還沒做系統(tǒng)準備，維持觀望態(tài)度。是否做好合規(guī)準備，更多取決于戰(zhàn)略認知。企業(yè)要從本質上認識到人類已進入人工智能高風險時代，對其風險進行管控已成為共識?！标惣獥澅硎?。