欧盟人工智能法案（AI Act）严管高风险AI应用，违规企业面临巨额罚款及严格合规要求

2024年2月3日，欧盟人工智能法案（AI Act）的首批合规期限正式生效。这意味着，欧盟监管机构现在可以禁止他们认为存在“不可接受风险”或危害的AI系统。该法案是欧盟历经多年制定后，于去年3月获得欧洲议会批准的全面人工智能监管框架，并于8月1日正式生效。

此次生效的是该法案的首批合规要求，主要针对法案第五条所列明的“不可接受风险”的AI应用。这些应用包括：用于社会评分的AI、以潜意识或欺骗性方式操纵个人决定的AI、利用年龄、残疾或社会经济地位等弱点的AI、根据外貌预测犯罪的AI、使用生物识别技术推断个人特征（如性取向）的AI、在公共场所收集“实时”生物识别数据用于执法的AI、试图在工作或学校推断人们情绪的AI，以及通过抓取网络或安全摄像头图像来创建或扩展面部识别数据库的AI。

任何公司，无论总部位于何处，只要在欧盟境内使用上述任何一种AI应用，都将面临罚款，最高可达3500万欧元（约2.64亿元人民币）或上一财年年收入的7%，以较高者为准。

法案实施细节及企业反应

英国律师事务所Slaughter and May的技术主管Rob Sumroy在接受采访时指出，罚款不会立即生效。虽然各组织应在2月2日前完全合规，但下一个重要期限是8月。届时，我们将知道主管机构是谁，罚款和执法条款也将生效。

去年9月，超过100家公司签署了欧盟人工智能契约，自愿承诺在人工智能法案生效前开始应用其原则。签署方包括亚马逊、谷歌和OpenAI，它们承诺识别可能被归类为高风险的AI系统。然而，包括Meta和苹果在内的一些科技巨头并未签署该契约，法国人工智能初创公司Mistral也未签署。

Sumroy表示，鉴于列出的违禁用例的性质，大多数公司无论如何都不会从事这些行为。他强调，各组织主要关心的是，明确的指导方针、标准和行为准则是否能及时出台，以及它们是否能为组织提供合规方面的清晰度。

例外情况与未来展望

该法案对一些禁令规定了例外情况。例如，允许执法部门使用某些在公共场所收集生物识别数据的系统，以帮助进行“有针对性的搜索”，例如寻找绑架受害者，或帮助预防“特定、重大且迫在眉睫的”生命威胁。但这种豁免需要获得相应管理机构的授权，并且该法案强调，执法部门不能仅根据这些系统的输出做出“产生不利法律影响”的决定。

该法案还为在工作场所和学校推断情绪的系统规定了例外情况，如果存在“医疗或安全”理由，例如用于治疗的系统。

欧盟委员会此前表示，在11月与利益相关者协商后，将于“2025年初”发布更多指导方针，但这些指导方针尚未公布。Sumroy表示，目前还不清楚其他现行法律将如何与人工智能法案的禁令和相关规定相互作用。可能要到今年晚些时候，随着执法窗口临近，情况才会变得清晰。

Sumroy强调，各组织必须记住，人工智能监管并非孤立存在。其他法律框架，如GDPR、NIS2和DORA，将与人工智能法案相互作用，造成潜在挑战，尤其是在重叠的事件通知要求方面。了解这些法律如何结合在一起，与理解人工智能法案本身同样至关重要。

本文来源：