标准简介
欧盟人工智能法案(法规 (EU) 2024/1689)是世界上第一个全面的人工智能法律框架,于 2024 年 3 月由欧洲议会通过。该法案建立了基于风险的 AI 监管方法,将 AI 系统分为四个风险级别:不可接受(禁止)、高风险(严格监管)、有限风险(透明度义务)和最低风险(无特定要求)。它适用于在欧盟市场投放 AI 系统的提供者和部署者,无论其设立地点。
该法案禁止被视为不可接受风险的 AI 做法,包括政府的社会评分和公共场所的实时生物识别监控。高风险 AI 系统——用于招聘、信用评分、医疗、教育和关键基础设施——必须满足严格要求,包括风险管理、数据治理、透明度、人工监督和准确性。通用 AI 模型在透明度和版权合规方面有额外义务。违规罚款最高可达 3500 万欧元或全球年营业额的 7%。该法案分阶段实施,从 2025 年 2 月起禁止被禁 AI 做法,2026 年 8 月起适用高风险系统规则。
基于风险的分类
AI 系统被划分为四个风险等级——不可接受(禁止)、高风险(严格规则)、有限风险(透明度要求)及最低风险(无义务)。
禁止性行为
禁止政府社会评分、公共场所的实时远程生物识别(有例外情况),以及操纵或利用弱点的 AI。
透明度要求
AI 生成的内容须予以标注。聊天机器人和深度伪造须清晰标识为 AI。通用 AI 模型须公布训练数据摘要。
list_alt 关键义务
- 禁止性 AI 行为(社会评分、操纵性 AI)
- 高风险 AI 系统的符合性评估
- 高风险 AI 的风险管理体系
- 数据治理与质量要求
- 透明度与人工监督义务
- 通用 AI 模型义务
- 部署者的 AI 素养要求
- 上市后监督与事件报告
谁需要合规?
将 AI 系统投放至欧盟市场或其输出在欧盟境内使用的提供者(开发者)和部署者(用户)。若 AI 系统影响欧盟境内人员,则适用于全球范围内的公司。
关键要求
风险分类
确定您的 AI 系统属于禁止、高风险、有限风险或最低风险类别。高风险类别包括关键基础设施、教育、就业、执法及移民领域的 AI。
符合性评估(高风险)
高风险 AI 系统在投放市场前须完成符合性评估。内容包括风险管理、数据质量检查、技术文件,某些情况下还需第三方审计。
透明度义务
确保用户知悉其在与 AI 互动。标注 AI 生成的内容,包括深度伪造。通用 AI 提供者须发布模型卡片和训练数据摘要。
人工监督
高风险 AI 系统的设计须允许进行有效的人工监督。部署者须指派有能力的人员监控运行并在必要时进行干预。
上市后监督
高风险 AI 的提供者须建立上市后监督系统。严重事件和故障须报告国家主管机构。
实施路线图
范围界定与 AI 系统盘点
梳理你所开发、部署、分发或嵌入的每一个 AI 系统,并确认 EU AI Act 是否通过提供者、部署者、进口商或分销商等角色适用于你。由于该法规具有域外效力,即使你的组织位于欧盟之外,只要其 AI 系统的输出在欧盟境内被使用,也应纳入范围。将每个系统按基于风险的层级(禁止、高风险、有限风险/透明度、最低风险)进行分类,并标记出你构建或集成的任何通用人工智能(GPAI)模型。
对照义务开展差距分析
针对每个已分类的系统,将当前做法与其所处层级所附带的义务进行比对:风险管理、数据治理、技术文档、日志记录、人为监督,以及高风险系统的准确性与稳健性,还有诸如聊天机器人和深度伪造等有限风险用途的透明度义务。在相关情况下评估 GPAI 的文档以及版权/训练数据透明度,并对照分阶段的合规日期记录差距。
落实控制措施与文档
建立所需的各项措施:风险管理体系、质量管理、技术文档、事件日志、人为监督设计,以及针对高风险系统的合格评定,从而实现 CE 标志与欧盟数据库登记。为有限风险系统落实透明度告知,并在达到阈值时使 GPAI 模型符合文档、可接受使用及系统性风险方面的义务。
审计、监测与维护
建立上市后监测、事件报告和定期复审机制,使系统在演进或重新训练时仍保持合规。在发生重大修改后重新开展合格评定,及时更新文档与日志,并随着分阶段义务全面生效而跟踪监管指引与协调标准。指定明确的责任归属,使问责成为持续状态而非一次性项目。
合规检查清单
checklist 治理与分类
checklist 高风险技术要求
checklist 透明度与 GPAI
处罚与执行
禁止性 AI 行为最高可处 3,500 万欧元罚款或全球年营业额的 7%。其他违规最高 1,500 万欧元或营业额的 3%。中小企业和初创企业适用较低比例上限。
常见问题解答
EU AI Act 适用于哪些主体?
expand_more
它主要适用于在欧盟市场上开发或投放 AI 系统的提供者,以及在专业场景中使用这些系统的部署者,同时也适用于进口商和分销商。其效力具有域外性:当欧盟境外的提供者和部署者其 AI 系统的输出在欧盟境内被使用时,也会被涵盖。这意味着许多非欧盟的技术和企业组织即便在欧盟没有设立机构,也会落入适用范围。
EU AI Act 下的风险层级有哪些?
expand_more
该法规采用基于风险的方法,分为四个层级。不可接受风险的做法被禁止,高风险系统面临最详细的义务,有限风险系统承担透明度义务,而最低风险系统基本不受监管。通用人工智能(GPAI)模型则由一套单独的专门规则加以规范。
哪些属于高风险 AI?
expand_more
高风险涵盖用作受监管产品安全组件的 AI,以及附件三所列领域中的系统,例如生物识别、关键基础设施、教育、就业、基本服务、执法、移民和司法行政。这些系统必须满足风险管理、数据治理、文档、日志记录、人为监督以及准确性与稳健性方面的要求。它们在投放市场前还需要进行合格评定并加贴 CE 标志。
对聊天机器人和深度伪造等有限风险系统有哪些透明度义务?
expand_more
必须告知用户其正在与 AI 系统(例如聊天机器人)交互,除非从上下文中已显而易见。AI 生成或经操纵的音频、图像、视频或文本内容,包括深度伪造,必须被清晰标注为人工生成。这些义务旨在防止欺骗,同时施加比高风险制度更轻的义务。
通用人工智能(GPAI)有哪些义务?
expand_more
GPAI 模型的提供者必须维护技术文档、向下游开发者提供信息、遵守欧盟版权法,并公布用于训练的内容摘要。存在系统性风险的模型面临额外义务,例如模型评估、对抗性测试、事件跟踪和网络安全措施。GPAI 义务自 2025 年 8 月起开始适用。
关键的合规日期有哪些?
expand_more
禁止性做法自 2025 年 2 月起适用,GPAI 义务自 2025 年 8 月起适用。大多数高风险义务自 2026 年 8 月起适用,与受监管产品相关的某些高风险系统则适用更晚的 2027 年 8 月这一日期。组织应将每个系统对应到规范它的分阶段生效日期。
可能被处以哪些罚则?
expand_more
罚款按严重程度分级。违反禁止性做法规则的行为最高可达 3500 万欧元或全球年营业额的 7%,以较高者为准。其他违规行为以及提供不正确信息的行为则适用较低的上限,各国主管机关在欧盟范围内执行这些罚则。
EU AI Act 与 GDPR 如何相互作用?
expand_more
这两个框架相互补充并并行适用,而非彼此取代。EU AI Act 规范 AI 系统的设计、测试和部署方式,而 GDPR 继续规范这些系统所依赖的个人数据处理。当 AI 处理个人数据时,你必须同时满足两者,协调文档、风险评估和数据治理控制。