欧盟人工智能法案首批合规期限生效 高风险AI系统或面临禁令

2023年2月2日，欧盟人工智能法案（AI Act）首批合规要求正式生效，标志着欧盟在人工智能领域监管的重大进展。根据这一法案，欧盟各国的监管机构现在拥有权力，能够禁止那些被认为存在“不可接受风险”或可能对公众安全与福祉造成威胁的高级风险AI系统。这一法案自去年3月获得欧洲议会的批准，经过多年的讨论与修订，最终于2022年8月1日向公众发布。

首批合规要求涵盖了一系列潜在风险极高的AI应用。这些应用包括但不限于用于社会评分的AI、以潜意识或欺骗手段操控个人决策的AI、利用个体弱点（如年龄、残疾或经济背景）进行操控的AI、以外貌数据预测犯罪的AI、使用生物识别技术推断个人特征（如性取向）的AI、在公共场所收集“实时”生物识别数据用于执法的AI等。还有涉及情绪识别的AI系统，这些系统试图通过感知情感状态来监测工作或学习环境。

此次法案的执行不仅提升了对高风险AI产品的监管效率，对于那些在欧盟市场运作的公司而言，合规问题也将成为一个重要的话题。无论公司总部位于何处，只要其 AI 应用涉及上述任何一种形态，均将面临严厉的罚款，金额以较高者为准。英国律师事务所Slaughter and May的技术主管Rob Sumroy在接受采访时表示，尽管各组织需要在2月2日之前完成合规，真正的责任和惩罚执行会在今年8月才会进入关键阶段。到了那时，监管机构的确定及罚款、执法条款的生效将对企业产生直接影响。

回顾去年的情况，超过100家公司在欧盟人工智能契约上签字，这些企业自愿承诺在法案正式生效前，提前实施法案中的原则，其中包括亚马逊、谷歌和OpenAI等科技龙头。签署方承诺尽职调查，识别潜在的高风险AI系统。不过，也有诸如Meta和苹果等企业未加入此契约，法国 AI 初创公司 Mistral 也选择不参与。

Sumroy的观点强调，许多标记为高风险的应用确实是不被允许的，这使得大多数公司在实际操作中不太可能主动触犯法案所列的禁令。他指出，组织们普遍关注的是相关的指导方针、标准与行为准则能否及时出台，以及这些能否有效帮助企业在合规上获得清晰的方向。

值得一提的是，法案中允许执法部门使用某些特定的生物识别技术来帮助追踪绑架受害者或者处理特定的紧急生命威胁。这种豁免需要得到相关管理机构的授权，并且法案中特别指出，执法决策不可仅依据这些系统的输出结果。对于尝试在工作场所和学校中推断情感状况的AI系统，如果相关操作具有“医疗或安全”的必要性，法律上也有规定可以作为例外情况。

欧盟委员会曾表示，将在11月与各利益相关者协商后，于2025年初发布更多的说明和指导。但目前为止，这些具体的指导方针尚未展开争论。Sumroy提到，目前尚无法预见现有法律如何在实践中与人工智能法案的禁令和相关规定产生交互。随着执法工作的临近，可以预计到在今年晚些时候，这方面的情况将逐渐清晰。

，Sumroy强调，企业在考虑人工智能法案的同时，也应考虑其与其他法律框架的相互关系，如GDPR、NIS2指令和DORA等。这些法律之间的关系会形成潜在的挑战，特别是在重叠的事件通知要求方面。了解各种法律如何交织在一起，与理解人工智能法案中的条款同样重要。

面对人工智能技术的广泛应用，欧盟在立法上采取审慎而严格的态度，目的是为了在技术创新与社会伦理之间找到平衡。这不仅关乎技术的安全与透明，更关乎整个社会的未来发展。各方势必需要密切关注这一法规的进展及其对产业行为的长远影响。