概述
2024年3月13日,欧洲议会以523票赞成、46票反对通过了**《欧盟人工智能法案》**——全球首部综合性、具有约束力的AI系统法律框架。经过三年谈判和多轮修订(ChatGPT在2022年底的出现戏剧性地加速了这一进程),该法案建立了一套基于风险分级的监管架构,适用于在欧盟境内运营或向欧盟市场销售的任何AI系统。
该法案于2024年8月1日生效,大多数条款将在24至36个月的分阶段实施期内陆续适用。
风险分级架构
欧盟AI法案将AI系统分为四个风险级别:
不可接受的风险(禁止)
对基本权利构成明显威胁的系统被完全禁止:
- 公共场所的实时远程生物特征监控(执法用途有极窄例外)
- 政府的AI社会信用评分
- 针对弱势群体的潜意识操控
- 仅基于画像的预测性执法
高风险(受监管)
用于关键基础设施、教育、就业、基本服务、执法、边境管控和司法的AI系统,必须:
- 在部署前通过合规评估
- 维护详细的技术文档
- 在欧盟数据库中登记
- 允许人工监督和纠正
- 向受影响的个人提供透明度
示例:简历筛选工具、信用评分、医疗设备AI、刑事司法决策AI。
有限风险(透明度义务)
聊天机器人和生成式AI必须披露其AI身份。深度伪造内容必须标注。
最低风险(无义务)
AI垃圾邮件过滤器、视频游戏、推荐系统——可自由部署。
基础模型/通用人工智能(GPAI)
ChatGPT的出现迫使监管者在立法过程中增加了新类别。通用AI模型(如GPT-4、Claude、Gemini)面临:
- 模型卡:训练数据、能力、局限性的文档
- 版权透明度:必须披露训练数据来源
- 系统性风险评估:超过计算量阈值(约10²³次浮点运算)的模型需接受额外安全评估、对抗测试和事故报告要求
计算量阈值——有时称为"前沿阈值"——适用于GPT-4规模及以上的模型。
全球影响:布鲁塞尔效应
欧盟AI法案不仅是欧洲法律,更通过监管学者所称的"布鲁塞尔效应"成为事实上的全球标准:面向全球市场的企业发现,与其维护差异化版本,不如在全球统一遵守最严格的适用标准,效率更高。
这一规律此前已在GDPR(数据隐私)、化学品法规(REACH)和产品安全标准中得到验证。欧盟AI法案预计将在全球范围内——包括美国和中国——塑造AI开发实践,尽管其技术上仅适用于欧盟境内。
意义
欧盟AI法案代表了一种根本性哲学立场:AI是治理问题,而非仅是技术问题。它主张,民主社会有权利和责任去塑造AI部署的条件,无论这给创新带来什么代价。
批评者认为这将把AI开发赶往监管更宽松的司法管辖区;支持者认为,大规模未受监管的AI部署将产生无法事后弥补的危害。该法案至少是任何政府将阿西洛马以来抽象辩论的原则加以落实的最认真尝试。