《欧洲人工智能法》最终官方文本发布

2024年7月12日，《欧盟官方公报》正式印发了具有里程碑意义的《欧洲人工智能法》的最终文本。该法案采取了分阶段生效和基于风险等级差异的治理策略。

2024 年 11 月 2 日之前，各成员国指定人工智能监管机构

每个成员国应指定一个承担高风险人工智能系统监管职责的公共机构，并公布其名单。各成员国应将该名单通知委员会和其他成员国，并应不断更新该名单。

2025年2月2日开始，禁止使用人工智能的清单将在法律生效六个月后适用

被禁止（或“不可接受的风险”）的人工智能用例将很快成为非法，包括会信用评分;通过无针对性地抓取互联网或闭路电视来编译人脸识别数据库;执法部门在公共场所使用实时远程生物识别技术，除非有几种例外情况之一，例如在寻找失踪或被绑架人员期间。

2025年5月2日之前，欧洲人工智能办公室应当发布业务守则

人工智能办公室应鼓励和促进在欧盟一级制定业务守则，以便在考虑到国际做法的情况下，促进《欧洲人工智能法》的正确实施。业务守则最迟应在2025年5月2日之前准备完毕。人工智能办公室应采取必要步骤，包括根据第7款邀请提供者【人工智能办公室可邀请所有通用人工智能模型提供者遵守业务守则。对于不构成系统性风险的通用人工智能模型的提供者来说，这种遵守可能仅限于第53条规定的义务，除非其明确宣布有意加入完整的守则。】

如果到2025年8月2日，业务守则仍不能最终确定，或者如果在根据本条第6款进行评估后认为业务守则不够充分，欧盟委员会可以通过执行法案的方式，以履行第53条和第55条规定的义务提供通用规范。这些执行法案应根据第98条第2款规定的审查程序通过。

2025年8月2日开始，通用人工智能相关的规定将开始适用

因为与治理和符合性评估系统相关的基础设施应在2026年8月2日之前运行，因此关于通知机构和治理结构的规定应从2025年8月2日起适用。鉴于技术进步的快速步伐和通用人工智能模型的采用，通用人工智能模型提供者的义务应从2025年8月2日起适用。为了使提供者能够及时证明合规，欧盟人工智能办公室应在2025年5月2日之前准备好《通用人工智能模型的行为准则》。人工智能办公室应确保分类规则和程序根据技术发展保持最新。此外，成员国应制定并向欧盟委员会通报有关处罚的规定，包括行政罚款，并确保在本规定适用之日之前正确有效地实施这些规定。因此，关于处罚的规定应从2025年8月2日起适用。

成员国应向欧盟委员会通报通知机构和市场监督机构的身份、这些机构的任务以及随后的任何变动。成员国应在2025 年 8 月 2 日之前，通过电子通信手段公布有关如何与主管机构和单一联络点取得联系的信息。成员国应指定一个市场监督机构作为本条例的单一联络点，并应将单一联络点的身份通知欧盟委员会。欧盟委员会应公布单一联络点名单。

2025 年8月2日之前，以及此后每两年一次，成员国应向欧盟委员会报告国家主管机关的财政和人力资源状况，并评估其是否充足。欧盟委员会应将这些信息转交欧洲人工智能委员会讨论并提出可能的建议。

在收到与第3条第49款第c项所述严重事件有关的通知后，相关市场监督机构应通知第77条第1款所述国家公共机构或机构。欧盟委员会应制定专门的指南，以促进本条第1款规定的义务的履行。该指南2025年8月2日之前发布，并应定期评估。

2026年2月2日之前，欧盟委员会需要提出建立后市场监测计划模板，并列出计划所列要素清单

后市场监测系统应以后市场监测计划为基础。后市场监测计划应成为附件四所提及的技术文件的一部分。欧盟委员会应在2026年2月2日之前通过一项执行法案，详细规定建立后市场监测计划模板，并列出计划所列要素清单。该执行法案应根据第98条第2款规定的审查程序通过。

欧洲委员会应在咨询欧洲人工智能委员会后，不迟于2026年2月2日，提供指南，具体说明根据第96条实际实施本条，以及高风险和非高风险人工智能系统用例的综合实例清单。

2026年8月2日之前，与治理和符合性评估系统相关的基础设施应在2026年8月2日之前运行

成员国应在国家一级至少建立一个人工智能监管沙盒，该沙盒最迟应在2026 年 8 月 2 日投入使用。该沙盒也可以与其他一个或多个成员国主管机构联合建立。欧盟委员会可为人工智能监管沙盒的建立和运行提供技术支持、建议和工具。该义务也可通过参加现有的沙盒来履行，只要这种参与能为为参与的成员国提供同等水平的国家层面的覆盖。

2027年8月2日之前，

在2025年8月2日之前已投放市场的通用人工智能模型的提供者应采取必要步骤，以便在2027年8月2日之前遵守本条例规定的义务

在不影响第113条第3款a项所述第5条的适用的情况下，本条例适用于在2026年8月2日之前已投放市场或投入使用的高风险人工智能系统（本条第1款所述系统除外）的经营者，但仅限于自该日起这些系统的设计发生重大变化的情况。对于拟由公共机构使用的高风险人工智能系统，此类系统的提供者和部署者应采取必要步骤，在2030年8月2日之前遵守本条例的要求。

2028年11月之前，欧洲委员会应当就监管权力下放问题起草一份报告

欧洲委员会自2024年8月1日起，对委员会第6条第6款和第7款、第7条第1款和第3款、第11条第3款、第43条第5款、第43条第5款、第51条第3款、第52条第4款以及第53条第5款和第（6）款所确定的特别变通授权，有效期为五年。欧盟委员会应在五年期结束前的九个月内起草一份有关授权的报告。除非欧洲议会或欧盟理事会在每一期限结束前三个月内反对延长，否则授权期限将被默许延长至相同期限。

2030年12月21日之前，大型信息技术系统组成部分的人工智能系统

在不影响第113条第3款第a项所述第5条的适用的情况下，作为附件十所列法案所建立的大型信息技术系统组成部分的人工智能系统，如果在2027年8月2日之前已经投放市场或投入使用，则应在2030年12月31日之前使其符合本条例的规定。

在对附件十所列法案建立的每个大型人工智能系统进行评估时，应考虑本条例中规定的要求根据这些法案的规定，以及在这些法案被取代或修订的情况下，对这些法案进行评估。

风险分级治理路径

《欧洲人工智能法》对 AI 开发人员施加了不同的义务，具体取决于具体场景和感知到的风险。大部分人工智能用途将不受监管，因为它们被认为是低风险的，但法律也禁止了少数人工智能的潜在应用场景。

例如，禁止基于自然人的生物特征数据，例如个人的脸部或指纹，来推断或推断个人的政治观点、工会会员身份、宗教或哲学信仰、种族、性生活或性取向的生物特征识别分类系统。这一禁令不应包括根据生物特征数据对按照欧盟或国家法律获取的生物特征数据集进行合法的标记、过滤或分类，例如根据头发颜色或眼睛颜色对图像进行分类，这些数据可用于执法领域。

由公共或私人行为者提供的提供自然人社会评分的人工智能系统可能会导致歧视性结果和对某些群体的排斥。它们可能会侵犯尊严和不受歧视的权利以及平等和公正的价值观。这类人工智能系统根据与自然人或其群体在多种背景下的社会行为或已知、推断或预测的个人或个性特征有关的多个数据点（data points），对其进行评估或分类。从这类人工智能系统中获得的社会评分可能会导致自然人或其整个群体在社会环境中受到不利或不利待遇，而这些评分与最初生成或收集数据的环境无关，或与其社会行为的严重程度不相称或不合理的不利待遇无关。因此，应禁止人工智能系统采用这种不可接受的评分做法，并导致这种有害或不利的结果。这一禁令不应影响根据欧盟和国家法律为特定目的而对自然人进行的合法评估。

以执法为目的，在公开场所使用人工智能系统“实时”远程生物特征识别自然人，被视为对有关人员的权利和自由的特别侵犯，在某种程度上，它可能影响很大一部分民众的私人生活，使他们处于不断受到监视的感觉，间接阻止民众行使集会自由和其他基本权利。用于对自然人进行远程生物特征识别的人工智能系统在技术上的不准确性可能会导致有偏差的结果并产生歧视性影响。在年龄、民族、种族、性别或残疾方面，这种可能的偏差结果和歧视性影响尤为重要。此外，影响的即时性以及与使用“实时”操作的这种系统有关的进一步检查或纠正的机会有限，给执法活动所涉及的人员的权利和自由带来了更大的风险。因此，《欧洲人工智能法》禁止以执法为目的使用这些系统，除非在详尽列出和狭义界定的情况下，其使用以实现重大公共利益为必要，其重要性超过了风险影响。这些情况包括寻找某些犯罪受害者，包括失踪人员；自然人的生命或人身安全受到某些威胁或受到恐怖袭击。

高风险人工智能系统只有在符合某些强制性要求的情况下才应投放到欧盟市场或投入使用或使用。这些要求应确保欧盟可用或其投放到欧盟使用的高风险人工智能系统不会对欧盟法律认可和保护的重要欧盟公共利益构成不可接受的风险。被确定为高风险的人工智能系统应限于那些对欧盟内人员的健康、安全和基本权利有重大有害影响的系统，且这种限制应最大限度地减少对国际贸易的任何潜在限制。根据本条例将人工智能系统划分为高风险，并不一定意味着其作为产品的安全组件或本身作为产品的这一产品根据相关欧盟统一立法中规定的标准被视为高风险。尤其对于欧盟第2017/745号条例和欧盟第2017/746号条例，其中为中风险和高风险产品提供了第三方合格评定。

关于独立的人工智能系统，即非安全部件或本身为产品的高风险人工智能系统，如果根据其预期目的，考虑到可能造成伤害的严重性及其发生的概率，它们对人的健康和安全或基本权利造成伤害的风险很高，而且它们用于本条例具体规定的一些预先确定的领域，则将它们归类为高风险系统是适当的。确定这些系统所依据的方法和标准与欧盟委员会今后有权通过授权法案对高风险人工智能系统清单进行修订时所设想的方法和标准相同，以考虑到技术的快速发展以及人工智能系统使用方面的潜在变化。

通用人工智能系统本身可用作高风险人工智能系统，也可作为其他高风险人工智能系统的组成部分。因此，由于其特殊性，并为了确保在人工智能价值链上公平分担责任，此类系统的提供者应与相关高风险人工智能系统的提供者密切合作，使其能够遵守本条例规定的相关义务，并与根据本条例设立的主管机构合作，而不论其他提供者是将其用作高风险人工智能系统本身，还是将其用作高风险人工智能系统的组件，除非本条例另有规定。

向公众提供除通用人工智能模型之外的工具、服务、流程或人工智能组件的第三方，如果这些工具、服务、流程或人工智能组件是在免费和开放许可下提供的，则不应被强制要求遵守针对人工智能价值链责任的要求，特别是对使用或集成这些工具、服务、流程或人工智能组件的提供者的责任。除通用人工智能模型外，应鼓励免费开源工具、服务、流程或人工智能组件的开发者实施广泛采用的文档做法，如模型卡和数据表，以此加快人工智能价值链上的信息共享，从而在欧盟推广值得信赖的人工智能系统。

欧盟委员会可制定并推荐高风险人工智能系统提供者与提供高风险人工智能系统所使用或集成的工具、服务、组件或流程的第三方之间的自愿示范合同条款，以促进价值链上的合作。在制定自愿示范合同条款时，欧盟委员会还应考虑到适用于特定部门或商业案例的可能合同要求。

来源：清华大学智能法治研究院综合整理、编译，点击“阅读原文”可以查阅法案官方原文。