跳到主要内容

AI 法规与合规

EU AI Act(欧盟人工智能法案)

EU AI Act 于 2024 年 8 月正式生效,是全球首部综合性 AI 监管法律,对全球 AI 产业影响深远。

风险分层体系

EU AI Act 采用四层风险分类:

禁止类 AI(Unacceptable Risk)

这类 AI 系统被完全禁止,包括:

  • 利用潜意识技术操纵用户行为的 AI
  • 利用弱势群体(儿童、残障人士)漏洞的 AI
  • 政府的社会信用评分系统
  • 公共场所实时远程生物识别系统(部分例外:恐怖袭击预防)

高风险 AI(High Risk)

需要进行合规评估和注册,涵盖:

  • 关键基础设施(能源、交通、水务)管理
  • 教育考核和学生评估
  • 招聘和工作人员管理(简历筛选、绩效评估)
  • 信贷评分和保险定价
  • 执法(犯罪风险评估、证据可信度评估)
  • 移民和庇护申请评估
  • 司法决策辅助

有限风险 AI(Limited Risk)

需要满足透明度义务:

  • Chatbot 必须告知用户正在与 AI 交互
  • AI 生成内容(深度伪造)必须标注

最小风险 AI(Minimal Risk)

垃圾邮件过滤、AI 游戏等,无特殊要求。

高风险 AI 的合规义务

高风险 AI 系统的运营者必须:

  • 建立风险管理系统
  • 确保训练数据的质量和代表性
  • 保留技术文档和日志(10年)
  • 提供必要的透明度和用户信息
  • 确保人工监督能力
  • 实现足够的准确性、鲁棒性和网络安全性

美国 AI 行政令(2023)

拜登政府于 2023 年 10 月签署了《关于安全、可靠和可信 AI 的行政令》:

主要内容

  • 安全测试:要求开发者在发布"双重用途基础模型"前向政府报告安全测试结果
  • 标准制定:NIST 负责制定 AI 安全测试标准
  • 联邦机构指引:各联邦机构在180天内制定 AI 使用指南
  • 公平与反歧视:要求联邦合同中的 AI 系统满足公平性要求

局限性

  • 行政令不具有国会立法的强制力
  • 2024 年特朗普上台后撤销了部分 AI 相关行政令
  • 美国至今没有联邦层面的综合性 AI 立法

中国 AI 法规

中国已形成多层次的 AI 监管体系,但仍以行政法规为主,尚无统一的 AI 基本法。

生成式 AI 管理暂行办法(2023)

2023 年 8 月生效,是全球首个专门规范生成式 AI 的国家级法规:

  • 备案要求:具有"舆论属性或社会动员能力"的生成式 AI 服务须向国家互联网信息办公室备案
  • 内容合规:不得生成违反宪法、危害社会主义核心价值观、恐怖主义等内容
  • 数据要求:训练数据来源合法,不得侵犯知识产权,不包含个人信息违规使用
  • 水印要求:生成内容应有可溯源的标识(隐水印或显水印)
  • 用户实名制:须对用户进行真实身份认证

算法推荐管理规定(2022)

规范推荐算法(如信息流、内容分发):

  • 禁止利用算法推送违法内容
  • 禁止"大数据杀熟"(对老用户定价高于新用户)
  • 要求向用户提供"关闭算法推荐"的选项
  • 重要互联网平台须定期向监管部门报备算法

深度合成管理规定(2022)

规范深度伪造(Deepfake)技术:

  • 深度合成内容须有显著标识
  • 不得利用深度合成技术制作虚假新闻
  • 服务提供者须验证用户身份
  • 任何人不得用他人肖像/声音制作深度合成内容(未经授权)

企业合规义务

透明度义务

企业在以下方面需保持透明:

  • 用户交互的 AI 使用情况(Chatbot 标注)
  • AI 生成内容的标识
  • 数据收集和使用方式(隐私政策)
  • 重大算法变更的通知

数据保护义务

  • 训练数据的合法获取和使用授权
  • 个人数据的最小化使用原则
  • 数据主体权利(访问、更正、删除)的技术实现
  • 数据安全措施(加密、访问控制)

人工审核义务

  • 高风险决策(信贷、招聘)的 AI 决策必须有人工审核渠道
  • 用户应能要求人工审核 AI 决策
  • 审核人员必须具备足够的权限和能力进行实质性审查

ISO/IEC 42001 AI 管理体系标准

ISO/IEC 42001(2023 年发布)是全球首个 AI 管理体系国际标准,类似于 ISO 27001(信息安全管理体系)。

标准框架

  • 上下文分析:理解组织使用 AI 的场景、利益相关方和风险
  • 领导力:高管对 AI 治理的承诺和责任
  • 规划:AI 风险评估和目标设定
  • 支持:资源配置、人员能力、文档管理
  • 运营:AI 系统的开发、采购和运营控制
  • 评估:监控、审计和管理评审
  • 改进:持续改进机制

认证价值

  • 向客户、监管机构和合作伙伴证明组织对 AI 负责任使用的承诺
  • 为 EU AI Act 合规提供参考框架
  • 帮助企业建立系统性的 AI 治理能力

合规成本与竞争影响

合规成本构成

  • 技术成本:日志系统、透明度机制、测试基础设施
  • 人员成本:合规官员、AI 伦理委员会、审计人员
  • 流程成本:AI 系统上线前的合规评估流程
  • 持续成本:定期审计、监管报告、员工培训

对竞争格局的影响

  • 大企业 vs 小企业:合规成本对大企业的相对负担更小,可能形成规模壁垒
  • 欧美 vs 亚洲:EU AI Act 的严格要求可能使欧洲 AI 创业生态受到更多限制
  • 开源模型:EU AI Act 对开源基础模型有豁免条款,利好开源生态
  • 合规服务市场:AI 审计、合规咨询、测试工具成为新兴市场