標準簡介
歐盟人工智慧法案(法規 (EU) 2024/1689)是世界上第一個全面的人工智慧法律框架,於 2024 年 3 月由歐洲議會通過。該法案建立了基於風險的 AI 監管方法,將 AI 系統分為四個風險級別:不可接受(禁止)、高風險(嚴格監管)、有限風險(透明度義務)和最低風險(無特定要求)。它適用於在歐盟市場投放 AI 系統的提供者和部署者,無論其設立地點。
該法案禁止被視為不可接受風險的 AI 做法,包括政府的社會評分和公共場所的即時生物辨識監控。高風險 AI 系統——用於招聘、信用評分、醫療、教育和關鍵基礎設施——必須滿足嚴格要求,包括風險管理、資料治理、透明度、人工監督和準確性。通用 AI 模型在透明度和版權合規方面有額外義務。違規罰款最高可達 3500 萬歐元或全球年營業額的 7%。該法案分階段實施,從 2025 年 2 月起禁止被禁 AI 做法,2026 年 8 月起適用高風險系統規則。
基於風險的分類
AI 系統被劃分為四個風險等級——不可接受(禁止)、高風險(嚴格規則)、有限風險(透明度要求)及最低風險(無義務)。
禁止性行為
禁止政府社會評分、公共場所的即時遠端生物識別(有例外情況),以及操縱或利用弱點的 AI。
透明度要求
AI 生成的內容須予以標示。聊天機器人和深度偽造須清晰標示為 AI。通用 AI 模型須公布訓練資料摘要。
list_alt 關鍵義務
- 禁止性 AI 行為(社會評分、操縱性 AI)
- 高風險 AI 系統的符合性評估
- 高風險 AI 的風險管理體系
- 資料治理與品質要求
- 透明度與人工監督義務
- 通用 AI 模型義務
- 部署者的 AI 素養要求
- 上市後監督與事件通報
誰需要合規?
將 AI 系統投放至歐盟市場或其輸出在歐盟境內使用的提供者(開發者)及部署者(使用者)。若 AI 系統影響歐盟境內人員,則適用於全球範圍內的公司。
關鍵要求
風險分類
判定您的 AI 系統屬於禁止、高風險、有限風險或最低風險類別。高風險類別包括關鍵基礎設施、教育、就業、執法及移民領域的 AI。
符合性評估(高風險)
高風險 AI 系統在投放市場前須完成符合性評估。內容包括風險管理、資料品質檢查、技術文件,某些情況下還需第三方稽核。
透明度義務
確保使用者知悉其正在與 AI 互動。標示 AI 生成的內容,包括深度偽造。通用 AI 提供者須發布模型卡片和訓練資料摘要。
人工監督
高風險 AI 系統的設計須允許進行有效的人工監督。部署者須指派有能力的人員監控運行並在必要時介入。
上市後監督
高風險 AI 的提供者須建立上市後監督系統。嚴重事件及故障須通報國家主管機關。
實施路線圖
範圍界定與 AI 系統盤點
梳理你所開發、部署、分發或嵌入的每一個 AI 系統,並確認 EU AI Act 是否透過提供者、部署者、進口商或分銷商等角色適用於你。由於該法規具有域外效力,即使你的組織位於歐盟之外,只要其 AI 系統的輸出在歐盟境內被使用,也應納入範圍。將每個系統按基於風險的層級(禁止、高風險、有限風險/透明度、最低風險)進行分類,並標記出你構建或整合的任何通用人工智慧(GPAI)模型。
對照義務開展差距分析
針對每個已分類的系統,將當前做法與其所處層級所附帶的義務進行比對:風險管理、資料治理、技術文件、日誌記錄、人為監督,以及高風險系統的準確性與穩健性,還有諸如聊天機器人和深度偽造等有限風險用途的透明度義務。在相關情況下評估 GPAI 的文件以及版權/訓練資料透明度,並對照分階段的合規日期記錄差距。
落實控制措施與文件
建立所需的各項措施:風險管理體系、品質管理、技術文件、事件日誌、人為監督設計,以及針對高風險系統的合格評定,從而實現 CE 標誌與歐盟資料庫登記。為有限風險系統落實透明度告知,並在達到門檻時使 GPAI 模型符合文件、可接受使用及系統性風險方面的義務。
稽核、監測與維護
建立上市後監測、事件報告和定期複審機制,使系統在演進或重新訓練時仍保持合規。在發生重大修改後重新開展合格評定,及時更新文件與日誌,並隨著分階段義務全面生效而追蹤監管指引與協調標準。指定明確的責任歸屬,使問責成為持續狀態而非一次性專案。
合規檢查清單
checklist 治理與分類
checklist 高風險技術要求
checklist 透明度與 GPAI
處罰與執行
禁止性 AI 行為最高可處 3,500 萬歐元罰款或全球年營業額的 7%。其他違規最高 1,500 萬歐元或營業額的 3%。中小企業和新創企業適用較低比例上限。
常見問題解答
EU AI Act 適用於哪些主體?
expand_more
它主要適用於在歐盟市場上開發或投放 AI 系統的提供者,以及在專業場景中使用這些系統的部署者,同時也適用於進口商和分銷商。其效力具有域外性:當歐盟境外的提供者和部署者其 AI 系統的輸出在歐盟境內被使用時,也會被涵蓋。這意味著許多非歐盟的技術和企業組織即便在歐盟沒有設立機構,也會落入適用範圍。
EU AI Act 下的風險層級有哪些?
expand_more
該法規採用基於風險的方法,分為四個層級。不可接受風險的做法被禁止,高風險系統面臨最詳細的義務,有限風險系統承擔透明度義務,而最低風險系統基本不受監管。通用人工智慧(GPAI)模型則由一套單獨的專門規則加以規範。
哪些屬於高風險 AI?
expand_more
高風險涵蓋用作受監管產品安全組件的 AI,以及附件三所列領域中的系統,例如生物辨識、關鍵基礎設施、教育、就業、基本服務、執法、移民和司法行政。這些系統必須滿足風險管理、資料治理、文件、日誌記錄、人為監督以及準確性與穩健性方面的要求。它們在投放市場前還需要進行合格評定並加貼 CE 標誌。
對聊天機器人和深度偽造等有限風險系統有哪些透明度義務?
expand_more
必須告知使用者其正在與 AI 系統(例如聊天機器人)互動,除非從上下文中已顯而易見。AI 生成或經操縱的音訊、影像、視訊或文字內容,包括深度偽造,必須被清晰標註為人工生成。這些義務旨在防止欺騙,同時施加比高風險制度更輕的義務。
通用人工智慧(GPAI)有哪些義務?
expand_more
GPAI 模型的提供者必須維護技術文件、向下游開發者提供資訊、遵守歐盟版權法,並公布用於訓練的內容摘要。存在系統性風險的模型面臨額外義務,例如模型評估、對抗性測試、事件追蹤和網路安全措施。GPAI 義務自 2025 年 8 月起開始適用。
關鍵的合規日期有哪些?
expand_more
禁止性做法自 2025 年 2 月起適用,GPAI 義務自 2025 年 8 月起適用。大多數高風險義務自 2026 年 8 月起適用,與受監管產品相關的某些高風險系統則適用更晚的 2027 年 8 月這一日期。組織應將每個系統對應到規範它的分階段生效日期。
可能被處以哪些罰則?
expand_more
罰款按嚴重程度分級。違反禁止性做法規則的行為最高可達 3500 萬歐元或全球年營業額的 7%,以較高者為準。其他違規行為以及提供不正確資訊的行為則適用較低的上限,各國主管機關在歐盟範圍內執行這些罰則。
EU AI Act 與 GDPR 如何相互作用?
expand_more
這兩個框架相互補充並並行適用,而非彼此取代。EU AI Act 規範 AI 系統的設計、測試和部署方式,而 GDPR 繼續規範這些系統所依賴的個人資料處理。當 AI 處理個人資料時,你必須同時滿足兩者,協調文件、風險評估和資料治理控制。