歐盟人工智慧法案簡介重點
1. 法案目標與定位:
歐盟AI法案是
全球首部針對AI的全面性法規,旨在確保在歐盟開發及使用的AI值得信賴、保護基本權利、建立統一AI市場,並為技術投資與創新創造支持性環境。法案已於
2024年8月1日生效。
2. 風險基礎方法:
法案採用
基於風險的方法來監管AI系統,將AI引發的潛在風險劃分為四個主要級別:不可接受風險、高風險、有限風險和最小風險。不同風險級別對應不同的法律義務。
3. 適用對象廣泛:
法案適用於AI供應鏈的各個環節,包括
提供者(開發者)、部署者(使用者)、進口商、經銷商等,以及在歐盟境內受AI系統影響的自然人。無論這些參與者位於歐盟境內或第三國,只要其AI系統或輸出結果應用於歐盟市場,即可能受到規範。
4. 高風險AI系統的嚴格要求:
被歸類為高風險的AI系統(如用於關鍵基礎設施、教育、招聘、執法、醫療器材安全組件等)必須遵守嚴格要求,包括:
建立風險管理系統、使用高品質資料集、保留活動記錄、提供清晰使用者資訊、確保人工監督、達到高水準的準確性與網路安全等(法案第8-15條)。
5. 主要參與者的義務:
提供者需確保系統合規、進行符合性評鑑、備妥技術文件;
歐盟境外的提供者需指定授權代表。進口商和經銷商需驗證提供者已履行義務(如CE標誌、文件)。部署者需依說明使用、監控運作,特定情況下需進行基本權利影響評估。
6. 通用AI(GPAI)模型規範:
法案對
通用AI模型(GPAI)及其提供者設有專門規定,特別是具有
「系統性風險」的GPAI模型(如基於累計運算量超過10^25 FLOPs等標準認定),需履行額外義務,例如模型評估、風險緩解、網路安全防護及事件報告等。
7. 治理架構:
設立了多個機構以確保法案實施:
歐盟AI辦公室(隸屬執委會,負責推動標準、監督GPAI等)、
歐洲人工智慧委員會(由會員國代表組成,協調執行)、
諮詢論壇(提供利害關係人建言)、
獨立專家科學小組(提供科學建議)以及各會員國的
國家主管機關。
8. AI監管沙盒:
鼓勵會員國建立
AI監管沙盒(Sandbox),提供一個受控環境,讓開發者(特別是中小企業和新創)在將AI系統投入市場前,能夠進行測試、驗證和訓練,促進創新同時確保合規。預計於
2026年8月2日前投入運作。
9. 嚴厲的罰款機制:
違反法案規定將面臨高額罰款:違反禁用規定(第5條)最高可處
全球年營業額7%或3500萬歐元;違反高風險AI義務(如第16條等)最高可處
全球年營業額3%或1500萬歐元;提供不正確資訊最高可處
全球年營業額1%或750萬歐元(均取較高者)。
10. 分階段實施時間表:
法案於2024年8月1日生效後,各項規定將分階段適用:
- 禁止的AI行為(第5條):2025年2月2日適用。
- GPAI模型、治理機構、罰款等:2025年8月2日適用。
- 高風險AI系統相關義務:2027年8月2日適用。
- 法案普遍適用於所有受規範對象:2026年8月2日。
歐盟AI法案風險分級詳細說明
| 風險級別 |
定義與描述 |
範例 |
主要義務/要求 |
| 不可接受風險 (Unacceptable) |
對人們的安全、生計和權利構成明顯威脅,違反歐盟價值觀和基本權利。 |
- 操縱人類行為以規避自由意志(如利用語音助理鼓勵未成年人進行危險行為的玩具)。
- 政府或企業進行的「社會評分」系統。
- 利用弱勢群體特徵進行剝削性操縱。
- 執法用途的即時遠端生物識別系統(有嚴格例外)。
- 非即時遠端生物識別(需司法授權)。
- 情緒識別(工作/教育場所禁用)。
- 基於生物特徵進行敏感推論(如種族、政治觀點)。
- 無目標地從網路或監視影像中抓取臉部圖像建立資料庫。
|
原則上禁止 (Banned)(法案第5條)。僅有極少數嚴格界定和規範的例外情況(主要在執法領域且需授權)。 |
| 高風險 (High-Risk) |
可能對健康、安全或基本權利產生不利影響的AI系統。分為兩類:(1) 作為受特定法規(如醫療器材、機械)規範產品的安全組件;(2) 屬於法案附錄三列出的特定領域應用。 |
- 關鍵基礎設施管理(如交通、能源)。
- 教育或職業培訓(如考試評分、錄取評估)。
- 就業與人力資源管理(如招聘篩選、績效評估)。
- 必要公共/私人服務的取用評估(如信用評分、社會福利資格)。
- 執法(如證據評估、犯罪預測)。
- 移民、庇護與邊境管理。
- 司法與民主程序。
- 生物識別(除禁止的應用外)。
|
需遵守嚴格義務(法案第8-15條及其他相關條款),包括:
- 風險管理系統。
- 資料治理與品質。
- 技術文件與紀錄保存。
- 透明度與使用者資訊。
- 人工監督設計。
- 準確性、穩健性與網路安全。
- 上市前符合性評鑑(部分需第三方機構)。
- 上市後監控。
- 向主管機關註冊(部分系統)。
|
| 有限風險 (Limited Risk) |
主要風險來自於缺乏透明度,使用者可能未意識到正在與AI互動或其內容為AI生成。 |
- 聊天機器人 (Chatbots)。
- 深度偽造 (Deepfakes)。
- AI生成內容(文字、圖像、音訊、視訊)。
- 情緒辨識系統(如未被禁止)。
- 生物識別分類系統(如未被禁止)。
|
需履行透明度義務(法案第50條):
- 告知使用者正在與AI系統互動。
- AI生成的內容需標記為人工生成。
- 使用生物識別分類或情緒辨識系統時需告知使用者。
- 深度偽造內容需揭露其為人工生成(有例外)。
|
| 最小風險 (Minimal Risk) |
對權利或安全構成極小或無風險的AI系統。這是絕大多數AI應用的情況。 |
- 支援AI的推薦系統(如電商、影音平台)。
- 垃圾郵件過濾器。
- AI輔助的庫存管理系統。
- 多數的AI電玩。
|
無強制性法律義務。鼓勵自願遵守行為準則(Code of Conduct),以建立信任。 |