2024年8月1日，作为欧盟数字立法重要里程碑之一的《人工智能法》正式生效，这是世界上第一部基于风险分级分类治理的统一AI法律，欧盟意在通过“布鲁塞尔效应”建立负责任AI的全球治理标准，并期望成为世界各国立法效仿的范本。

　　通过建构事前的“产品合规框架”、事中的“全生命周期合规框架”以及事后的“巨额罚款的处罚框架”，欧盟着力解决的难题是如何平衡发展（创新）与安全（权利）之间的紧张关系，这体现在既要促进AI的开发、投放市场、提供服务和使用，又要确保人们免受AI的损害，高水平地保护人们的健康、安全和基本权利，同时还要支持科技的创新。

　　对于有出海欧盟需求的中国企业来说，最好的选择无疑是通过提前履行合规义务，满足欧盟《人工智能法》的技术要求，以防范AI风险及避免巨额处罚，并充分享受AI带来的时代红利。

　　我们建议遵守如下策略：其一，在企业内定义并控制AI模型及系统的边界；其二，在组织内制定详细具体的AI治理计划，实施持续风险防控并构建体系；其三，重点关注AI模型和系统的网络安全、个人信息保护及数据安全，遵循零信任原则；其四，做好AI的风险均衡化和分散化，避免集中式系统设计，以减少影响范围；其五，处理好AI系统全生命周期中的数据合规及数据治理；其六，做好组织内的AI素养教育，尤其是确保用户接受培训；其七，通过持续实施偏见测量等伦理审查，在组织内实现负责任和可信的AI。

　　笔者在最近出版的新书《欧盟人工智能法合规手册》中提出九步合规框架，具体辅导我国出海企业实施落地欧盟《人工智能法》。

　　合规第一步：确认是否涉及AI系统或模型

　　首先，法律界定了AI系统的内涵，强调其应当具有推理能力、基于机器、目标化、自主性、适应性等五大特性，以便与传统软件系统或编程方法以及仅基于自然人定义的规则自动执行系统进行区别。

　　其次，法律还区分了AI系统和AI模型，模型虽然是系统的重要组成部分，但是模型本身并不构成系统，模型需要添加用户界面等更多组件才能成为系统。

　　合规第二步：确认行为主体的法律地位

　　第二步需要从具体场景中确定行为主体的法律地位，包括AI系统的提供者、部署者、进口者、分销者、制造者、欧盟授权代表以及受影响的个人等，重点是区分清楚AI系统的提供者、部署者及其法律责任。

　　合规第三步：确认是否属于《人工智能法》的适用范围

　　首先，需要判断是否涉及上述七种主体类型；其次，需要判断是否涉及第6条第1款确定的高风险AI系统，且与附件一第B节列出的欧盟协调立法所涵盖的产品相关的AI系统。最后，还需要判断是否涉及国家安全条款、执法和司法合作条款、科研和开发条款、非职业行为条款、劳动者权益条款以及免费和开源条款等豁免情形。

　　合规第四步：确认是否属于禁止性AI行为

　　首先，明确禁止性AI行为的具体范围。包括使用潜意识、操纵或欺骗性技术来扭曲行为；利用与年龄、残疾或社会经济状况相关的缺陷来扭曲行为；可能导致有害或不利待遇的社会评分；仅基于用户画像评估犯罪风险；非针对性编制人脸识别数据库；在工作场所或教育机构推断自然人的情绪；推断敏感数据的生物特征分类系统；在公共场所为执法目的使用实时远程生物特征识别系统等。

　　其次，界定在公共场所为执法目的使用实时远程生物特征识别系统的“豁免”条件。豁免范围仅限于：寻找特定犯罪受害者；自然人的生命或人身安全受到特定威胁或受到恐怖袭击；确定刑事犯罪行为人或嫌疑人的位置或身份，且可处以至少四年的监禁等。系统使用目的只能用于确认具体个人的身份，并应仅限于在时间、地理和个人方面绝对必要的情况。

　　合规第五步：确认是否属于高风险AI系统

　　首先，界定高风险AI系统的分类规则及具体范围。其中，正面清单涉及安全组件或附件一涵盖的产品，且需要进行符合性评估；附件三的高风险AI系统包括法律授权的生物特征识别系统，涉及关键基础设施的系统，教育与职业培训相关的系统，就业及劳动者管理等的系统，基本服务及福利的系统，法律授权执法行为的系统，移民、庇护和边境控制管理的系统，以及司法和民主进程的系统等；而负面清单包括仅涉及程序性任务、改进人类活动的结果、检测决策模式或其偏离情况、准备性工作等且不对自然人进行画像的系统。

　　其次，界定高风险AI系统的要求，涉及风险管理体系、数据治理、 技术文件、保存记录、透明度、人工监督，以及准确性、稳健性和网络安全等要求。

　　再次，界定高风险AI系统提供者的义务。除了确保高风险AI系统符合上述要求之外，还得履行质量管理体系、文件保存、自动生成日志、完成符合性评估、作出符合性声明、加贴CE标志、登记以及采取必要纠正措施等义务。

　　最后，特定情况下还需履行基本权利影响评估的义务以及符合性评估的义务。

　　合规第六步：确认是否属于特定AI系统

　　第六步涉及的是特定AI系统的透明度义务，具体涉及生成式AI系统提供者、情感识别系统或生物特征分类系统部署者以及构成深度伪造的AI系统部署者的义务。

　　合规第七步：确认是否属于通用AI模型

　　首先，界定通用AI模型提供者的义务。涉及编制技术文件、编制信息和文档、建立尊重版权的政策以及发布模型训练内容详细摘要的合规义务。

　　其次，界定具有系统风险的通用AI模型提供者的额外义务。包括模型评估、系统性风险评估、跟踪、记录及报告以及确保网络安全等。

　　合规第八步：确认识别主管机关及罚则

　　首先，确定监管架构。其中，欧盟的管理机构包括AI办公室、欧洲AI委员会、咨询论坛、独立专家科学小组等；而成员国的管理机构主要涉及市场监督机关和通知机关等。

　　其次，确定具体罚则：针对禁止性AI行为，最高罚款为3500万欧元或上一年度全球年营收的7%；针对高风险及特定AI系统，最高罚款为1500万欧元或上一年度全球年营收的3%；以错误信息回应主管机关等场景，最高罚款为750万欧元或上一年度全球年营收的1%；针对通用AI模型提供者，最高罚款为1500万欧元或上一年度全球年营收的3%。

　　合规第九步：确认是否适用AI监管沙盒

　　AI的发展、创新需要作为容错机制和弹性框架的AI监管沙盒。具体制度涉及目标制定、罚款责任豁免、实施法案、个人数据的处理方式、真实世界测试的保障条件以及中小企业义务的减免等。

　　（作者系上海交通大学数据法律研究中心执行主任）