2024年8月1日，作為歐盟數字立法重要里程碑之一的《人工智能法》正式生效，這是世界上第一部基于風險分級分類治理的統一AI法律，歐盟意在通過“布魯塞爾效應”建立負責任AI的全球治理標準，并期望成為世界各國立法效仿的范本。

通過建構事前的“產品合規框架”、事中的“全生命周期合規框架”以及事后的“巨額罰款的處罰框架”，歐盟著力解決的難題是如何平衡發展（創新）與安全（權利）之間的緊張關系，這體現在既要促進AI的開發、投放市場、提供服務和使用，又要確保人們免受AI的損害，高水平地保護人們的健康、安全和基本權利，同時還要支持科技的創新。

對于有出海歐盟需求的中國企業來說，最好的選擇無疑是通過提前履行合規義務，滿足歐盟《人工智能法》的技術要求，以防范AI風險及避免巨額處罰，并充分享受AI帶來的時代紅利。

我們建議遵守如下策略：其一，在企業內定義并控制AI模型及系統的邊界；其二，在組織內制定詳細具體的AI治理計劃，實施持續風險防控并構建體系；其三，重點關注AI模型和系統的網絡安全、個人信息保護及數據安全，遵循零信任原則；其四，做好AI的風險均衡化和分散化，避免集中式系統設計，以減少影響范圍；其五，處理好AI系統全生命周期中的數據合規及數據治理；其六，做好組織內的AI素養教育，尤其是確保用戶接受培訓；其七，通過持續實施偏見測量等倫理審查，在組織內實現負責任和可信的AI。

筆者在最近出版的新書《歐盟人工智能法合規手冊》中提出九步合規框架，具體輔導我國出海企業實施落地歐盟《人工智能法》。

合規第一步：確認是否涉及AI系統或模型

首先，法律界定了AI系統的內涵，強調其應當具有推理能力、基于機器、目標化、自主性、適應性等五大特性，以便與傳統軟件系統或編程方法以及僅基于自然人定義的規則自動執行系統進行區別。

其次，法律還區分了AI系統和AI模型，模型雖然是系統的重要組成部分，但是模型本身并不構成系統，模型需要添加用戶界面等更多組件才能成為系統。

合規第二步：確認行為主體的法律地位

第二步需要從具體場景中確定行為主體的法律地位，包括AI系統的提供者、部署者、進口者、分銷者、制造者、歐盟授權代表以及受影響的個人等，重點是區分清楚AI系統的提供者、部署者及其法律責任。

合規第三步：確認是否屬于《人工智能法》的適用范圍

首先，需要判斷是否涉及上述七種主體類型；其次，需要判斷是否涉及第6條第1款確定的高風險AI系統，且與附件一第B節列出的歐盟協調立法所涵蓋的產品相關的AI系統。最后，還需要判斷是否涉及國家安全條款、執法和司法合作條款、科研和開發條款、非職業行為條款、勞動者權益條款以及免費和開源條款等豁免情形。

合規第四步：確認是否屬于禁止性AI行為

首先，明確禁止性AI行為的具體范圍。包括使用潛意識、操縱或欺騙性技術來扭曲行為；利用與年齡、殘疾或社會經濟狀況相關的缺陷來扭曲行為；可能導致有害或不利待遇的社會評分；僅基于用戶畫像評估犯罪風險；非針對性編制人臉識別數據庫；在工作場所或教育機構推斷自然人的情緒；推斷敏感數據的生物特征分類系統；在公共場所為執法目的使用實時遠程生物特征識別系統等。

其次，界定在公共場所為執法目的使用實時遠程生物特征識別系統的“豁免”條件。豁免范圍僅限于：尋找特定犯罪受害者；自然人的生命或人身安全受到特定威脅或受到恐怖襲擊；確定刑事犯罪行為人或嫌疑人的位置或身份，且可處以至少四年的監禁等。系統使用目的只能用于確認具體個人的身份，并應僅限于在時間、地理和個人方面絕對必要的情況。

合規第五步：確認是否屬于高風險AI系統

首先，界定高風險AI系統的分類規則及具體范圍。其中，正面清單涉及安全組件或附件一涵蓋的產品，且需要進行符合性評估；附件三的高風險AI系統包括法律授權的生物特征識別系統，涉及關鍵基礎設施的系統，教育與職業培訓相關的系統，就業及勞動者管理等的系統，基本服務及福利的系統，法律授權執法行為的系統，移民、庇護和邊境控制管理的系統，以及司法和民主進程的系統等；而負面清單包括僅涉及程序性任務、改進人類活動的結果、檢測決策模式或其偏離情況、準備性工作等且不對自然人進行畫像的系統。

其次，界定高風險AI系統的要求，涉及風險管理體系、數據治理、 技術文件、保存記錄、透明度、人工監督，以及準確性、穩健性和網絡安全等要求。

再次，界定高風險AI系統提供者的義務。除了確保高風險AI系統符合上述要求之外，還得履行質量管理體系、文件保存、自動生成日志、完成符合性評估、作出符合性聲明、加貼CE標志、登記以及采取必要糾正措施等義務。

最后，特定情況下還需履行基本權利影響評估的義務以及符合性評估的義務。

合規第六步：確認是否屬于特定AI系統

第六步涉及的是特定AI系統的透明度義務，具體涉及生成式AI系統提供者、情感識別系統或生物特征分類系統部署者以及構成深度偽造的AI系統部署者的義務。

合規第七步：確認是否屬于通用AI模型

首先，界定通用AI模型提供者的義務。涉及編制技術文件、編制信息和文檔、建立尊重版權的政策以及發布模型訓練內容詳細摘要的合規義務。

其次，界定具有系統風險的通用AI模型提供者的額外義務。包括模型評估、系統性風險評估、跟蹤、記錄及報告以及確保網絡安全等。

合規第八步：確認識別主管機關及罰則

首先，確定監管架構。其中，歐盟的管理機構包括AI辦公室、歐洲AI委員會、咨詢論壇、獨立專家科學小組等；而成員國的管理機構主要涉及市場監督機關和通知機關等。

其次，確定具體罰則：針對禁止性AI行為，最高罰款為3500萬歐元或上一年度全球年營收的7%；針對高風險及特定AI系統，最高罰款為1500萬歐元或上一年度全球年營收的3%；以錯誤信息回應主管機關等場景，最高罰款為750萬歐元或上一年度全球年營收的1%；針對通用AI模型提供者，最高罰款為1500萬歐元或上一年度全球年營收的3%。

合規第九步：確認是否適用AI監管沙盒

AI的發展、創新需要作為容錯機制和彈性框架的AI監管沙盒。具體制度涉及目標制定、罰款責任豁免、實施法案、個人數據的處理方式、真實世界測試的保障條件以及中小企業義務的減免等。

（作者系上海交通大學數據法律研究中心執行主任）