本文聚焦欧盟《人工智能法案》，拆解关键概念和规制脉络，为AI公司出海欧盟提供参考。

作者丨李瑞 徐晨

自Open AI掀起人工智能的狂潮以来，人工智能大模型在全球范围内都呈现爆发式的增长趋势，应用场景迅速从问答扩散到图片生成、视频生成、医疗诊断等各个领域。中国的诸多AI产品也在短短时间内完成了产品迭代、推广和优化，出海成为产业发展可预见的下一步计划，实际上已有不少中国原生的AI产品和服务已在海外投放运营。就全球范围内的重要出海市场而言，我们也注意到出现了不少针对AI产品和/或服务的执法调查及司法案件，例如欧洲数据保护委员会对于ChatGPT的专项调查，美国艺术家起诉Stability、DevianArt及Midjourney等。因此，有效厘清海外对于AI的监管框架与态势，避免调查、处罚等对于产品投放运营造成负面影响是顺利出海的重中之重。

有鉴于此，AI公司出海系列文章将聚焦出海热门目的地法律法规的AI监管重点问题，提供持续追踪与建议。本文是系列文章的第一篇，将着眼于在全球范围内出台第一个全面人工智能监管法案的欧盟地区，拆解应对欧盟《人工智能法案》（Artificial Intelligence Act, 下称“欧盟AI法案”或“法案”）中需关注的角色划分、AI大模型风险等级认定、供应链安全等重点问题及应采取的措施。

欧盟在科技监管领域的立法速度及执法力度向来处于全球前列，如违反欧盟AI法案，最高可能被处以3,500万欧元（约2.7亿人民币）罚款，或上一财年全球年营业总额的7%（以数额较高者为准），对企业经营而言有着重大的影响。在本文中，我们通过脉络梳理及关键要点问答的形式，以期为AI公司出海欧盟提供商业模式可行性及合规方案准备的有益参考。

欧盟AI法案的立法思路可归纳为“客体风险分级，主体角色划分”的思路，即针对法案规制客体—“人工智能”，依据其功能性、应用场景等因素可划分为4大不同风险等级，部分人工智能则属于不受管辖的例外情形。对于规制的主体（即承担合规义务的主体），法案则采取了角色划分的模式，公司还需结合自身商业模式判断自身在产业链中的角色，从而确定合规义务。在此基础之上，法案还提出了“通用人工智能模型”的概念，并对于这一特定类型的人工智能模型提出了额外的合规义务。

有鉴于此，在判断公司AI产品出海欧盟是否受到欧盟AI法案规制及具体触发什么合规义务时，可采取分步判断合规义务的方式：

1.首先明确自身产品是否属于法案规制的人工智能系统，是否可能属于例外情形。

2.其次，公司应聚焦规制客体，即人工智能系统本身，明确其风险等级及是否可能属于通用人工智能模型。

3.再次，公司应结合自身出海计划明确自身角色（例如：提供者、使用者等），从而综合确定触发的合规义务。

我们也将这一方法论总结为下图，判断流程中的关键问题可总结为5个方面，具体请见下文第二章的分析：

图1：合规义务识别流程图

Q1、本公司开发的人工智能是否受到管辖？哪些是不受规制的例外情况？

法案第3条（1）中对人工智能系统进行了描述型定义，即人工智能是一个基于机器的系统，该系统能够进行不同程度的自主运行且在部署后可能表现出适应性，并且为了明确或隐含的目标，能从其接收的输入中推断如何生成可影响物理或虚拟环境的输出，例如生成预测、内容、建议或决定。

一般而言，符合上述定义的人工智能则受到管辖，需进一步结合其自身的风险等级明确合规义务（具体可结合下文第4个关键问题探析判断），但法案第2条中明确的以下5种不受欧盟AI法案管辖的情形除外：

1)专门用于军事目的、服务于国家安全的人工智能模型；

2)仅为科学研究和开发目的使用的人工智能模型；

3)在投放市场或提供服务前，对人工智能模型的研究、测试和开发活动；

4)仅出于个人目的，在非职业活动中使用人工智能系统的自然人使用者；

5)根据免费且开源许可发布的AI系统原则上不受法案规制，但这一豁免不适用于被认定为高风险、不可接受风险及法案第50条所提及的的人工智能系统。

Q2、公司开发运营的AI产品和/或服务是否属于“通用人工智能模型”？是的话，需额外注意什么？

提出“通用人工智能模型”（General-purpose AI Model）这一概念是欧盟AI法案规制体系的另一重要特点。依据法案第3条（63）的定义，通用人工智能模型指的是在使用大量数据进行大规模自我监督训练时，无论该模型以何种方式投放市场，都显示出显著的通用性，能够胜任各种不同的任务，并可集成到各种下游系统或应用中的人工智能模型。法案对于通用人工智能模型设定了特殊监管要求，例如保密义务、开展系统性风险评估、网络安全保障、报告义务等。

法案第51条对通用人工智能模型进行了进一步分类，即分为具有系统风险的通用人工智能模型和其他通用人工智能模型，具有系统性风险的通用人工智能模型则比其他通用人工智能模型承担更多的合规义务。从法案设定的判断标准而言，满足以下任何一项的，将被归类为具有系统性风险的通用人工智能模型：

（1）根据适当的技术手段和方法，包括指标和基准，对其影响能力进行评估；当一个通用人工智能模型用于训练的累计计算量，以浮点运算计大于10^25时，应推定该模型具有高影响能力。

（2）根据委员会依职权做出的决定，或在科学小组提出有保留的警告后，考虑附件13设定的准则，认为通用人工智能模型具有与上述推算方式计算结果相同的能力或影响。

Q3、在现行AI出海业务模式下，公司属于受到欧盟AI法案管辖的哪一类主体？

人工智能的产业链有多个不同的角色，欧盟立法参考欧盟数据立法的思路，对于合规义务主体采取角色划分的方式，不同的角色就其所需承担义务有所区分。

（1）主要义务主体角色认定

欧盟AI法案第2条主要明确了以下5类合规义务主体：

1)提供者（Provider）

提供者指的是开发人工智能系统或通用人工智能模型，或已开发人工智能系统或通用人工智能模型并将其投放市场或以自己的名义或商标提供有偿或无偿服务的自然人或法人、公共机关、机构或其他团体。无论其是否设立于或位于欧盟，若在欧盟将人工智能系统投放市场或提供服务都适用该法案。

2)授权代表(Authorised Representative)

根据法案第22条，在欧盟外设立的提供者需要在欧盟境内指定一名授权代表（Authorised Representatives），这与GDPR中所提出设立欧盟代表（EU Representative）的概念一致。授权代表应是位于或设立在欧盟的任何自然人或法人，其在接受了提供者的书面授权后，应代表其履行和执行本条例规定的义务和程序，受到法案的规制。

3)使用者(Deployer)

使用者指的是使用人工智能系统的任何自然人或法人、公共机关、机构或其他团体，但如第2条中的例外情形所述，个人在非职业活动中使用人工智能系统的情况除外。只要相关人工智能系统输出用于欧盟市场，那么无论使用者是否设立于欧盟境内都需遵循法案的要求。

4)进口者(importer)

位于或设立于欧盟的任何自然人或法人，将带有在欧盟以外设立的自然人或法人的名称或商标的人工智能系统投放市场。

5)分销者(distributor)

供应链中除提供者或进口者之外，在欧盟市场上提供人工智能系统的任何自然人或法人。

法案还提及了制造者（manufacturers）及位于欧盟境内的受影响者（affected person），但这两类角色的适用范围较窄，因此在此不做展开。

（2）什么情形下会发生角色转移？

需要特别注意的是，在特定情况下提供者角色的认定会发生拓展及转移，因此其他角色的主体可能也需承担提供者的合规义务。依据法案第25条，如分销者、进口者、使用者或其他第三方开展了以下活动的，将承担提供者义务，而原先的提供者也将不再被视为特定情形下的提供者：

1)将自身品牌标识（名称或商标）冠于已投放和已开展服务的高风险人工智能系统，那么无论合同如何约定，均会产生角色和合规义务的转移；

2)对于已投放和已开展服务的高风险人工智能系统进行实质性修改，但修改后仍构成高风险人工智能系统的；

3)对未被归类为高风险且已投放市场或投入使用的人工智能系统（包括通用人工智能系统）的预期用途进行修改，以至于该人工智能系统构成高风险人工智能系统的。

Q4、如何判断所运营的AI产品和/或服务的风险等级？

欧盟AI法案基于人工智能系统对用户和社会的潜在影响程度将其分为4个等级：不可接受风险、高风险、有限风险、最小风险。我们将每一风险等级人工智能的具体内涵、评判方式及规制力度总结如下：

（1）不可接受风险人工智能系统

不可接受风险的人工智能模型指的是与欧盟价值观和基本权利不相容的人工智能系统，因而被禁止使用的类型。法案第5条明确了8种不可接受风险的人工智能系统，包括开展社会评分的人工智能系统，针对并滥用个人弱点的人工智能系统等。

（2）高风险人工智能系统

高风险类型的人工智能模型是受到法案监管最严格的系统，这些系统可能会对人们的健康和安全、基本权利或环境产生负面影响。法案第6条对高风险人工智能模型进行了定义，主要包括以下两类：

1)该人工智能系统是某个产品的安全组件，或者人工智能系统本身是法案附件1所列的欧盟统一立法所涵盖的产品。该类系统必须接受第三方合格性评估，才能将该产品投放市场或提供服务；以及

2)法案附件3中列举的，应用于8个特定领域且可能对自然人的健康、安全、权利等造成重大损害的人工智能系统，例如欧盟法案所允许的生物类应用，例如远程生物识别系统（但仅用于身份验证的生物识别系统除外），情绪识别系统等；作为关键基础设施安全组件的部分，例如道路交通控制系统，供水供电系统等。需要特别注意的是，法案第6条第3款还说明了虽然符合法案附件3的应用领域但不构成高风险人工智能系统的情况，包括人工智能系统旨在执行“狭义的程序性任务”，例如检查申请文件的完整性等，因此在进行风险评估时还需综合考虑具体场景。

（3）有限风险人工智能系统

有限风险通常指的是在使用人工智能时由于缺乏透明度而带来的风险，此类的人工智能系统包括与用户交互的系统，生成合成内容的人工智能系统，生成深度伪造内容的人工智能系统等。为了解决这一问题，欧盟AI法案规定了一系列具体的透明度要求。

（4）最小风险的人工智能系统

最小风险包括其他所有未被列入更高风险级别的AI系统，典型代表如电子邮件的垃圾信息过滤器。处于最小风险级别的AI系统在开发和使用上主要遵循现有法律法规，无需承担额外的法律义务。

Q5、不同风险等级的AI产品和/或服务需要采取什么措施？

如前文所介绍的，欧盟AI法案主要对高风险人工智能系统及有限风险人工智能系统设置了合规义务，且高风险人工智能系统的合规义务较为全面而体系化，而有限风险人工智能系统主要需遵循透明度义务。

（1）高风险人工智能系统

就高风险人工智能而言，欧盟AI法案主要在第三章规定了其需遵循的“事前-事中-事后”全生命周期链条模式的合规义务，包含非常多的细节要求。因篇幅所限，在此我们不展开介绍全链条合规具体合规义务的细节内容。

除了全链条合规外，高风险人工智能合规义务也充分体现了法案分角色治理特点。就“事前-事中-事后”的不同阶段，不同角色的主体（有关主体角色识别请见上文第2问）在不同阶段会需要履行不同的合规义务。需要特别说明的是，不同于一般的合规义务履行模式，欧盟AI法案将部分角色需履行的特定义务设置为需核实自身在部署、进口或分销的高风险人工智能模型的提供者是否已履行特定义务，也就是对于上游合规情况尽到勤勉核查义务。

（2）有限风险人工智能模型

有限风险的模型需要承担几项透明度义务则主要规定于法案第50条，主要包括告知用户正在与AI系统互动，特定情况下对于生成合成内容的标注义务等。

AI公司出海欧盟可能采取多样的形式和架构，判断自身的商业模式与计划是否属于欧盟AI法案的规制范围，及需履行哪些合规义务，是厘清出海欧盟风险的关键问题。整体而言，如我们在上文中分析的，欧盟AI法案具有广泛的域外效力，且基于目前中国人工智能大模型的技术与发展阶段，极有可能直接构成合规义务最为广泛的提供者角色，因此在出海前应做好合规义务甄别，准备相应风险控制方案，提前部署，以无后顾之忧。

在准确识别和了解欧盟AI法案规定的框架性要求的基础上，由于欧盟数据保护合规执法活跃且严格，因此在人工智能模型和产品出海欧盟时，企业还需关注欧盟的数据保护法律法规要求。在我们的AI公司出海系列文章的第二篇中，将着重介绍AI公司出海欧盟所需重点关注的数据合规问题。

特别声明

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。