欧盟立法者上周三最终批准了《人工智能法（Artificial Intelligence Act）》（《AI Act》），这一世界领先的规则有望在今年晚些时候生效。在首次提出法规五年后，欧洲议会的立法者以压倒性多数投票支持该法案。对于其他努力应对如何监管快速发展的技术的政府来说，该法案有望成为全球路标。投票前，罗马尼亚议员德拉戈斯·图多拉奇（Dragos Tudorache）表示:“《人工智能法》推动人工智能朝着以人为本的方向发展，在这个方向上，人类控制着技术，技术帮助我们利用新发现、经济增长、社会进步并释放人类潜力。”

（图片说明：世界经济论坛开幕前，一名艺术家男子站在AI生产的花朵图像前）

　　该法案预计将在5月或6月正式成为法律，此前还需要完成一些最后的手续，包括欧盟成员国的批准。规定将开始分阶段生效，各国在立法确定六个月后将取缔相关被禁止的人工智能系统。

　　法案共计13章、113条，包括以下7个方面的内容：（1）人工智能系统（AI System）在欧盟市场上的投放、服务和使用的统一规则；（2）禁止某些人工智能行为；（3）对高风险人工智能系统的具体要求以及此类系统运营商的义务；（4）某些人工智能系统的统一透明度规则；（5）通用人工智能模型投放市场的统一规则；（6）关于市场监测、市场监督治理和执法的规则；（7）支持创新的措施，特别关注包括初创企业在内的中小企业。

　　人工智能法案是如何运作的？

　　按照《AI Act》，“人工智能系统”是指一种基于机器而以不同程度的自主性运行，并且可以为了明确或隐含的目标，产生诸如预测、建议或决定等影响物理或虚拟环境的产出。该定义的关键词在于“自主”，这一关键词将人工智能系统与任何其他通过严格算法预先确定输出的软件明确区分。

　　欧盟《AI ACT》被认为是目前为止最为全面系统的人工智能法案。在此之前，很多国家的管理规范只是侧重于AI在某一行业或领域内的应用，但与当下AI技术应用对社会带来的广泛深入影响相比，其局限性日益显著。欧盟《人工智能法》适用于所有投放于欧盟市场或者在欧盟可使用的AI系统，可以覆盖金融、医疗、媒体、教育、能源、运输、司法等各个行业领域；这显然区别于更加偏好区分行业领域垂直立法的美国立法风格。并且，该法案为整个人工智能产业链上的相关方提供了一个合规义务框架，以规范人工智能的开发和使用。其所确立的法律主体，覆盖了AI产业全生态。其中，主要市场主体包括：

　　（1）提供者（Providers)：是指开发人工智能系统，并以期以自己的名义投放市场或使用的实体（无论是付费还是免费）。它们负责确保其系统符合法案的要求，尤其是在安全性、透明度和尊重基本权利方面。例如：OpenAI，Microsoft，Google，Meta等模型开发者；

　　2.部署者（Deployer）：是指在其授权下，将人工智能系统实际应用于特定环境或场景中的实体。例如政府部门、金融、医疗、教育机构等等，他们将人工智能技术整合到产品、服务或运营流程中。部署者要确保他们使用的人工智能系统符合法定的风险管理和合规要求，对于被分类为高风险的AI系统，部署者还需要遵循更加严格的规定。

　　3.进口商和分销商（Importer ，Distributor）：是指将欧盟之外的人工智能系统投放至欧盟市场，以及在供应链中的市场服务主体。例如：从非欧盟国家进口含有AI技术的电子产品，如智能家居设备、智能穿戴设备等。

　　《人工智能法》几乎360度全景覆盖了AI现有产业生态中各类主体，并为其量身匹配了不同的法定义务。同一个市场主体，在不同场景下，也可以兼具不同的法律身份。例如openAI作为大模型的开发者，是人工智能系统的提供者，同时它也是ChatGPT应用的部署者。

　　基于风险的监管

　　与许多欧盟法规一样，人工智能法案最初旨在作为消费者安全立法，采取“基于风险的方法”使用人工智能的产品或服务。法案基于人工智能系统对用户和社会的潜在影响程度将其分为4类：不可接受风险类、高风险类、有限风险类、最小风险类。每个类别适用不同程度的监管要求。人工智能应用的风险越大，它面临的审查就越多。高风险的人工智能系统须遵守更严格的合规要求，而构成不可接受风险的人工智能系统则被禁止。

　　预计绝大多数人工智能系统（例如内容推荐系统或垃圾邮件过滤器）都是低风险的，但仍可能需要根据法案要求履行相应义务。公司可以选择遵循自愿要求和行为准则。人工智能的高风险应用，例如在医疗设备或水或电网等关键基础设施中的应用，面临着更严格的要求，例如使用高质量的数据和向用户提供清晰的信息。

　　一些人工智能应用被禁止是因为它们被认为会带来不可接受的风险，比如控制人们行为的社交评分系统，在学校和工作场所某些类型的情感识别系统。其他被禁止的用途如公共场所执法部门使用人工智能驱动的远程“生物识别”系统——但绑架或恐怖主义等严重犯罪除外（这一一直是此前的重大争议焦点）。

　　对构成“系统性风险”的最强大的人工智能模型则有额外的审查，其中包括OpenAI的GPT4——这是OpenAI最先进的系统，也包括谷歌的Gemini系统。欧盟表示，他们担心这些强大的人工智能系统可能“导致严重事故或被滥用于影响深远的网络攻击。”他们还担心生成式人工智能会在许多应用程序中传播“有害偏见”，影响许多人。提供这些系统的公司将不得不评估和减轻风险；报告任何严重事故，如导致人员死亡或严重损害健康或财产的故障；落实网络安全措施；并披露他们的模型消耗了多少能源。

　　对于生成式人工智能的态度

　　该法律的早期草案侧重于人工智能系统执行有限的任务，如扫描简历和工作申请。通用人工智能模型（以OpenAI的ChatGPT为例）的惊人发展，让欧盟政策制定者迅速地跟上。按照该法令，免费、开源的模型的确获得了《法案》中的某些豁免。但如果它们被认为构成"系统性风险"，开源并不能成为其免于遵守规定的理由，这表明更强大的开源模型仍将面临监管。

　　欧盟增加了所谓的生成式人工智能模式的条款。通用人工智能模型的开发者——从欧洲初创公司到OpenAI和谷歌——将必须提供文本、图片、视频和其他源于互联网内容的详细摘要，以说明其用于训练系统的数据并遵循欧盟版权法。人工智能生成的深度伪造图片及现活/现存（existing）人物、地点或事件的音视频必须被标记为人为操纵（artificially manipulated）。不过，在现实中可以看到，很多企业选择了“两条腿走路”，即开源其较小的大语言模型，但在最大的和最先进的模型上选择闭源。例如，一直坚持开源的法国人工智能初创公司MistralAI最新发布的Mistral-Large大模型尚未开源。谷歌开源的Gemma也仅为其轻量化的大模型版本，且谷歌仍可制定使用该模型的条款及所有权条款。而被特斯拉首席执行官马斯克起诉的Open AI，在GPT3.0版本之前会通过论文公开其具体的技术细节，但在3.5版本之后，则不再公开。在GPT-4发布时，连最基本的模型参数都没公布。

　　流媒体网点评：

　　AI与大模型在中国与全球范围内快速发酵，其步伐远远超出预计。AI也是去年好莱坞大罢工的一个核心议题。在国内，人工智能相关提案也是两会期间的热点话题，多家电视台相关机构也成立了人工智能相关部门。再如，某彩电厂商上周宣称推出“电视行业最强中文大模型”。但上周欧盟正式推出的《AI Act》无疑吸引了全球目光。

　　与欧盟《通用数据保护条例》（GDPR）一样，欧盟正通过其先发优势，寻求为人工智能监管制定全球标准。这或将又是一个“布鲁塞尔效应”案例。（布鲁塞尔效应指的是，欧盟通过其单方面的市场规制能力，在无需他国家协作的情况下，制定出全球市场遵循的规章制度，并引领了全球商业环境的形成，导致许多全球商业重要方面的“欧洲化”）此前，GDPR推动了全球个人信息保护法的立法浪潮，并成为许多国家制定立法的第一参考，包括英国、巴西、印度、日本、韩国、南非、阿根廷和肯尼亚等等。

　　目前在人工智能方面，美国拜登总统在去年10月签署了一项关于人工智能的全面行政命令，并期望得到立法和全球协议的支持。与此同时，美国至少七个州的立法者正在致力于自己的人工智能立法。而中国习近平主席提出了他的全球人工智能治理倡议，以公平和安全地使用人工智能，监管当局则发布了《生成式人工智能服务管理暂行办法》。同时，从巴西到日本的其他国家，以及像联合国和七国集团这样的全球组织，都在采取行动制定人工智能监管举措。预计，欧盟的《人工智能法案》将加速推动全球人工智能监管与规范的一大波潮流。尤其是对AI的安全风险进行分级管控或将成为全球安全监管的共性。

　　但与GDPR时代相比，过去两年所经历的基于LLM大模型的AI技术突破式发展，人类从未如此接近通用人工智能（AGI)。而在2021年4月，欧委会提出人工智能法草案时，基础模型概念甚至尚未浮现。通过AGI与各场景的结合，人类即将开启人机协作与技术创新的新范式，进而对经济和社会演化带来跃迁式影响。2023年10月，欧盟立法三方就基础模型的监管达成初步一致，但11月来，法国、德国、意大利等至少五个成员国开始提出不应对基础模型施加任何监管的要求，以期对本国正处于发展之中的AI公司（如法国 Mistral ，德国 Aleph Alpha）予以保护。事实上，该法案第七部分也涉及对创新的支持措施。

　　或基于上述，该法令的具体生效还需要一些时间——但其过渡时间远远超过了GDPR。这其中，或许欧盟一些成员国会基于自身特色在该法案基础上作适度调整。对此，清华大学人工智能研究院视觉智能研究中心主任邓志东认为，既不要妨碍AI的探索与创新活力，以期其蓬勃发展加快增进人类福祉，但也必须考虑人类的整体安全利益，处理好各个发展阶段的安全优先级别，在实践中把握好最佳AI风险管控时机。

责任编辑：李楠