欧盟《人工智能法》合规指南(非欧盟企业适用):义务、风险分级与执法机制
面向非欧盟企业的欧盟《人工智能法》(《欧盟条例(EU)2024/1689》)合规实务指南,适用于在欧洲市场使用、部署或销售人工智能系统的境外企业。涵盖风险分级、提供商与部署方义务、合规评估、禁止性行为及欧盟人工智能办公室执法机制——为首席法律官、首席技术官及首席合规官提供可操作指引。
Morvantine Legal Editorial Team
20 October 2025
欧盟《人工智能法》合规指南(非欧盟企业适用):义务、风险分级与执法机制
《欧盟条例(EU)2024/1689》——即欧盟《人工智能法》(AI Act)——于2024年8月1日生效,此后按滚动时间表分阶段适用。2025年2月2日起,禁止不可接受风险人工智能行为的规定开始强制执行。2025年8月2日起,通用人工智能(GPAI)模型监管框架及欧盟人工智能办公室制度架构正式运行。附件三所列高风险人工智能系统的相关义务自2026年8月2日起生效。任何在欧盟市场开发、部署或销售人工智能产品的组织,其首席法律官或首席合规官均不得再将《人工智能法》视为前瞻性立法——这是现行有效的法律,执法机制已经运转。
《人工智能法》最重要的制度特征——也是非欧盟企业最易忽视的一点——是其域外效力。与第一代欧盟产品监管不同,后者主要通过市场准入条件实现域外效力,而《人工智能法》则明确对欧盟境外设立的主体课加义务。本文从实务角度系统分析上述义务、决定其适用范围的风险分级制度、提供商与部署方各异的合规要求、合规评估程序,以及欧盟人工智能办公室现行执法机制。
域外效力:谁受约束及其依据
《人工智能法》的地域适用范围由第2条第1款界定,该款规定了四项独立的管辖权连接点。本条例适用于:
(a) 在欧盟境内投放市场或投入使用人工智能系统的提供商,无论其是否在欧盟境内设立;
(b) 在欧盟境内设立的人工智能系统提供商和部署方;
(c) 在第三国设立、但其人工智能系统输出结果在欧盟境内使用的提供商;以及
(d) 在第三国设立、但其人工智能系统输出结果在欧盟境内使用的部署方。
对于提供人工智能驱动人力资源筛选平台的美国科技公司、销售机器视觉质量控制系统的日本制造商,或向欧洲金融机构提供人工智能信贷决策的加拿大金融科技企业而言,其法律后果完全相同:只要人工智能系统的输出结果在欧盟境内被使用,该企业即纳入《人工智能法》的监管范围——无论其注册地在何处、服务器位于何地,或是否在欧盟设有机构。
这一制度设计并非简单移植GDPR第3条第2款的"定向"标准。某些方面甚至更为宽泛:《人工智能法》不要求主动面向欧盟用户开展活动。决定性标准是输出结果在欧盟境内的使用。一套在第三国开发运营、销售给欧盟企业、其输出结果由欧盟员工或欧盟居民客户使用的系统,即便该境外供应商从未将欧盟视为主要市场,亦触发域外适用条款。
第2条框架还对进口商(第23条)——在欧盟境内设立、将贴有欧盟境外主体名称或商标的人工智能系统投放欧盟市场的实体——以及分销商(第24条)课加义务。对非欧盟提供商而言,进口商须承担原本属于提供商的大量合规义务,包括核实提供商已完成必要的合规评估、人工智能系统在有要求时加贴CE标志,以及第11条所要求的技术文件已备妥。这在供应链中形成了合规依存关系:希望维持欧盟进口商作为可行分销伙伴的非欧盟提供商,必须交付合规的系统和文件。
《人工智能法》第2条第2款为专门用于军事、国家安全或国防目的而投放市场、投入使用或用于的人工智能系统设置了有限豁免。依据第2条第6款,科学研究与开发活动在特定条件下亦予豁免。上述豁免范围严格,须经主动证明方可适用,不适用于兼具民用和国防应用的两用人工智能系统。
风险分级制度:义务体系的架构
《人工智能法》的合规义务并非千篇一律,而是依据四级风险分类体系加以校准,该体系决定哪些义务适用、适用强度如何以及相应的处罚后果。分级依据为系统的预期用途及部署使用场景,而非技术本身或商业描述。
风险分级框架
| 风险等级 | 监管处理 | 示例 | 主要适用条款 |
|---|---|---|---|
| 不可接受风险(禁止) | 绝对禁止——投放市场、投入使用及使用均被禁止 | 公共场所实时远程生物特征识别(有限例外);公共机构实施社会评分;潜意识操控;利用特定群体弱点;纯基于画像的预测性警务;将生物特征数据用于执法目的以推断敏感属性的人工智能 | 第5条;处罚上限为3500万欧元或全球年营业额的7% |
| 高风险(附件一——产品安全) | 完整合规评估;CE标志;特定类别须强制引入公告机构 | 作为安全部件嵌入:医疗器械(《欧盟条例(EU)2017/745》);体外诊断医疗器械(《欧盟条例(EU)2017/746》);航空(《欧盟条例(EU)2018/1139》);机械(《欧盟条例(EU)2023/1230》);汽车(ECE法规) | 第8—25条;第三编第一章;附件一 |
| 高风险(附件三——使用场景) | 合规评估(主要为内部评估,部分须第三方评估);欧盟数据库注册;上市后监测 | 生物特征识别系统;关键基础设施管理中的人工智能;教育与职业培训评估;就业、人力资源与劳动者管理;基本服务获取(信贷、保险、公共福利);执法;移民/庇护/边境管控;司法行政;民主进程 | 第8—25条;第三编第二章;附件三 |
| 通用人工智能(GPAI)模型 | 技术文件;版权合规;透明度;计算量≥10²⁵ FLOPs模型的系统性风险措施 | 大型语言模型、多模态基础模型(GPT系列、Gemini、Claude、Llama、Mistral) | 第51—56条;第八编第二章 |
| 有限风险(透明度) | 仅须履行信息披露义务 | 聊天机器人;情绪识别系统;生物特征分类;深度伪造及合成媒体 | 第50条 |
| 最小风险 | 无强制义务(鼓励自愿行为准则) | 人工智能垃圾邮件过滤器、游戏中的人工智能、对决策无实质影响的基础推荐系统 | 第95条(自愿措施) |
附件三:影响大多数非欧盟企业的使用场景
附件三清单是大多数非欧盟科技企业合规实践的重点。该清单涵盖八大领域,各领域内的特定使用场景被认定为高风险:
1. 生物特征识别与分类 ——用于对自然人进行远程生物特征识别的人工智能系统,但自然人本人确认身份的验证除外。这涵盖用于客户身份核验的人脸识别系统、金融服务中的身份验证,以及门禁控制。
2. 关键基础设施 ——用于关键数字基础设施、道路交通及能源、水、天然气和供暖系统运营管理的安全部件人工智能系统。为欧盟基本服务运营商提供人工智能管理基础设施服务的云服务提供商属于该类别。
3. 教育与职业培训 ——用于决定教育机构入学或分班、评估学习成果,以及在考试期间监控学生的人工智能系统。拥有欧盟机构客户的教育科技企业须将其评估和考场监控人工智能定级为高风险。
4. 就业、劳动者管理及自雇机会 ——用于招聘与遴选、绩效和行为评估、晋升决策,以及基于个人行为或人格特征分配任务的人工智能系统。人力资源人工智能平台——具备AI评分的申请人追踪系统、绩效管理工具、劳动力排班人工智能——直接纳入适用范围。该类别在2025—2026年产生了最多的执法关注。
5. 基本私人服务与福利获取 ——信贷机构、保险企业及公共福利机构使用的、用于评估信用状况、评估保险风险、决定公共福利和紧急服务获取资格的人工智能系统。人工智能信用评分是该类别中商业价值最为显著的应用。
6. 执法 ——用于个人风险评估、测谎、证据可靠性评估、累犯风险评估和犯罪画像的人工智能。在多数成员国中限于公共机构使用,但向欧盟执法机构提供此类系统的供应商须承担提供商义务。
7. 移民、庇护与边境管控 ——用于处理移民申请、评估安全或健康威胁、签证处理自动决策及欧盟边境监控的人工智能。
8. 司法行政与民主进程 ——用于协助法院、将法律适用于事实,以及影响选举结果的人工智能。在欧盟法院或欧盟司法程序中部署的人工智能法律研究工具属于适用范围。
提供商义务与部署方义务:结构性区分
《人工智能法》在提供商——开发人工智能系统并将其投放市场或投入使用的主体——与部署方——以自身权限将人工智能系统用于专业目的的主体——之间建立了根本性监管区分。对非欧盟企业而言,理解在各供应链环节中适用何种角色至关重要,因为两者的合规负担存在实质性差异。
提供商义务(第8—25条)
高风险人工智能系统的提供商须承担《人工智能法》规定的首要且最为严苛的义务。对非欧盟提供商而言,上述义务依据第2条第1款第(a)、(c)项发生,不得以合同方式转移给欧盟境内的部署方(但进口商依第23条分担特定义务)。
主要提供商义务包括:
风险管理体系(第9条): 持续、迭代的风险管理流程,须识别对健康、安全和基本权利的合理可预见风险,对该等风险进行估计和评估,采取风险缓解措施,并记录残余风险。这不是一次性风险评估,而是须在人工智能系统整个生命周期内保持有效的运营体系。
数据及数据治理(第10条): 使用训练数据的高风险人工智能系统,须以符合相关性、代表性、无错误及完整性等质量标准的数据进行训练、验证和测试。《人工智能法》的数据治理要求明确规定须检查训练数据是否存在潜在偏见。对于以包含欧盟居民个人数据的数据集进行训练的人工智能系统,其与GDPR第35条数据保护影响评估要求的交叉适用需要协调一致的合规框架。
技术文件(第11条及附件四): 提供商须在高风险人工智能系统投放市场前编制并维护技术文件。附件四规定了必须包含的内容:系统描述和预期用途;构成要素和架构;开发过程和训练方法;性能指标和阈值;已知风险;准确性、稳健性和网络安全措施;上市后监测计划。对于向欧盟进口商供货的非欧盟提供商,上述文件须可依国家市场监督机构和欧盟人工智能办公室的要求提供。
自动日志记录(第12条): 高风险人工智能系统须设计为能自动生成运行日志——至少记录每次使用的时段、输入数据及任何决策输出——在技术可行的范围内。上述日志是部署后监测及执法调查的主要审计追踪记录。
向部署方的透明度和信息告知(第13条): 高风险人工智能系统须设计为使其运行对部署方充分透明,以便部署方能够解读系统输出并适当使用。须随附每套高风险人工智能系统的使用说明,须包含关于系统预期用途、性能水平、可预见滥用场景、可供部署方使用的技术措施以及所需人工监督措施的具体信息。
人工监督(第14条): 高风险人工智能系统须设计为在使用期间能够由自然人进行有效的人工监督。这是具有实质内容的设计要求:系统须设计为使负责监督的人员能够理解系统的能力和局限性、检测异常和故障,并能干预以推翻、中断或停止系统。《人工智能法》项下的人工监督要求与GDPR第22条第3款关于自动化决策中人工干预的要求相互交叉但并不完全相同——对于对自然人产生法律效力或类似重大影响的人工智能系统,两者须同时满足。
准确性、稳健性和网络安全(第15条): 高风险人工智能系统在其整个生命周期内须达到适当的准确性、稳健性和网络安全水平。准确性指标和阈值须在技术文件中声明。《人工智能法》要求系统在面对输入数据的可预见变化时保持稳定性能,并能抵御对抗性攻击。
质量管理体系(第17条): 提供商须建立覆盖高风险人工智能系统完整生命周期的质量管理体系:开发、测试、合规评估、上市后监测,以及不合规情形的处理。该体系须与提供商的规模和性质相称;对于提供多套高风险人工智能系统的提供商,《人工智能法》鼓励建立统一的质量管理体系框架。
合规评估(第43条): 高风险人工智能系统在投放欧盟市场或投入使用前,提供商须完成合规评估,证明系统符合第8—15条的要求。对附件三项下的大多数系统,这是基于提供商自身程序的内部合规评估;生物特征识别系统(有限例外)及附件一立法项下的受监管产品安全部件,须经公告机构进行第三方评估。评估完成后,提供商须依第47条出具欧盟合规声明,并依第48条加贴CE标志。
在欧盟人工智能数据库中登记(第49条): 附件三所列高风险人工智能系统的提供商须在将系统投放市场前,于欧盟维护的公共人工智能数据库中完成登记。该数据库记录系统的预期用途、准确性和性能指标、所采用的合规评估程序及上市后监测计划。
部署方义务(第26条)
高风险人工智能系统的部署方须承担实质上较轻但不可忽视的义务。对于部署——而非开发——人工智能系统以用于面向欧盟的专业用途的非欧盟企业,第26条界定了合规底线:
- 按提供商提供的使用说明使用人工智能系统(第26条第1款)。
- 确保负责人工监督的自然人具备有效履行监督职责所需的能力、培训和授权(第26条第2款)。
- 依据使用说明监测人工智能系统的运行,并向提供商及相关国家主管机构报告严重事故(第26条第5款)。
- 在涉及执法、移民、司法行政、基本私人服务和就业等使用场景部署高风险人工智能系统前,开展基本权利影响评估(第27条,适用于受公法规范的机构及特定私营部署方)。
- 在就业和劳动者管理场景部署人工智能系统前,告知工人代表及受影响工人(第26条第7款)。
部署方报告严重事故的义务在供应链中形成了重要依存关系:非欧盟部署方须维持必要的运营能力,以在相关成员国国家主管机构规定的期限内识别、评估和报告涉及欧盟居民用户或面向欧盟业务的事故。
提供商与部署方界限的转移
《人工智能法》包含一项关键条款——第25条第1款——当部署方出现以下情形时,其在监管意义上转变为提供商:
- 以自身名称或商标将高风险人工智能系统投放市场;
- 对现有高风险人工智能系统作出足以改变其预期用途的实质性修改;或
- 对非高风险人工智能系统作出修改,使其成为高风险系统。
对于以白标方式销售人工智能系统、以专有数据对基础模型进行微调以用于特定欧盟场景、或将人工智能组件整合入以自身品牌在欧盟销售的产品的非欧盟企业而言,第25条第1款构成重新分级的陷阱。义务分析不遵循供应链的公司结构,而遵循"谁在实质上塑造了到达欧盟市场的人工智能系统"这一问题。
合规评估:程序与实务影响
合规评估程序是《人工智能法》合规架构的程序核心。其目的在于在部署前确认高风险人工智能系统符合第8—15条的实质性要求。程序因系统属于附件一还是附件三而存在实质差异。
附件三系统(大多数商业人工智能): 默认合规评估程序为内部评估——提供商依据自身记录在案的程序开展评估。法律依据为第43条第2款及附件六。提供商须:对照第8—15条各项要求审查技术文件;记录评估方法和结果;出具列明适用要求并证明合规的欧盟合规声明;并将技术文件和合规评估记录自投放市场之日起保存十年。
内部评估默认程序的例外适用于用于自然人生物特征识别的人工智能系统。依据第43条第1款及附件七,此类系统须经经认可的公告机构进行第三方合规评估。《人工智能法》项下的公告机构是依据《欧盟条例(EC)No 765/2008》指定的国家级认可机构。欧盟委员会维护公告机构的NANDO数据库;截至2026年初,《人工智能法》项下公告机构的国家级基础设施仍在建设中。
附件一系统(作为安全部件的人工智能): 此类人工智能系统须遵循受监管产品获得认证所依据的产品安全法律规定的合规评估程序。对于嵌入人工智能诊断组件的医疗器械,合规评估遵循《医疗器械条例》(《欧盟条例(EU)2017/745》)附件九或附件十的程序。《人工智能法》要求通过一般安全和性能要求纳入现有的行业特定合规评估。
实质性修改: 当提供商对高风险人工智能系统作出第83条第5款意义上的"实质性修改"——即以可能损害合规性的方式影响系统预期用途或性能的修改——须对修改后的系统重新进行合规评估。这对通过持续学习、微调或重新训练进行更新的人工智能系统具有重要影响:每个更新周期均须依据实质性修改阈值进行评估。
对于在欧盟没有工作人员的非欧盟提供商而言,管理合规评估、以欧盟可获取的格式维护技术文件、以及回应国家机构信息请求的实操挑战,促使大多数合规顾问建议依据第22条任命欧盟授权代表。该主体——须在欧盟境内设立、获得书面授权,并与系统一同在欧盟人工智能数据库中登记——作为与国家主管机构及欧盟人工智能办公室联络的法定联络点,并在提供商未采取行动时承担残余合规责任。
禁止性行为:自2025年2月起生效的红线
《人工智能法》第5条列举了绝对禁止的人工智能行为——不是附条件的高风险,而是无例外的绝对禁止。上述条款自2025年2月2日起生效,是所有在欧盟市场有活跃人工智能部署的企业最直接相关的义务。
禁止的行为包括:
潜意识操控(第5条第1款第(a)项): 以超出人的意识觉察的潜意识技术或明显具有操控性或欺骗性的技术,以实质性扭曲行为并造成危害的方式运行的人工智能系统。该禁令不限于纯粹的潜意识技术,还涵盖具有欺骗性或利用心理弱点的人工智能驱动的说服架构。
利用弱点(第5条第1款第(b)项): 利用特定群体——残障人士、儿童、老年人——弱点,以扭曲其行为并造成危害的方式运行的人工智能系统。该条款与在社交媒体、游戏、消费金融和数字健康领域部署、针对上述类别用户使用个性化和行为干预技术的人工智能系统直接相关。
社会评分(第5条第1款第(c)项): 由公共机构或代表公共机构使用的、在一段时间内依据自然人的社会行为或已知、推断或预测的个人或人格特征对自然人进行评价或分级,并导致与数据生成背景不相关的不利对待的人工智能系统。该禁令针对在国际人权话语中引发关注的政府社会评分系统,但其范围延及在公共机构授权下运营的私营主体。
公共场所实时远程生物特征识别(RTRBI)(第5条第1款第(d)项): 这是最可能影响商业技术部署的禁令。在公众可进入的空间以执法为目的进行实时远程生物特征识别——主要是人脸识别——的人工智能系统被禁止,但有三项有限例外:搜寻特定失踪人员和人口拐卖受害者;预防对生命的具体、重大且迫在眉睫的威胁;识别严重犯罪的犯罪嫌疑人。在上述执法例外之外,公共场所的RTRBI被完全禁止。在公众可进入的零售场所、交通枢纽或娱乐场所商业部署人脸识别,完全属于该禁令范围。
纯基于画像的预测性警务(第5条第1款第(e)项): 执法机构使用、以纯粹依据画像或人格特征评估预测某人犯罪可能性为目的开展个人风险评估的人工智能系统。
用于人脸识别数据库的非定向网络爬取(第5条第1款第(f)项): 通过从互联网或闭路电视录像中进行非定向爬取来创建或扩充人脸识别数据库的人工智能系统。该条款直接针对Clearview AI利用爬取图像构建生物特征数据库的商业模式。
工作场所和教育机构中的情绪识别(第5条第1款第(g)项): 在工作场所和教育机构背景下用于推断自然人情绪的人工智能系统。该禁令涵盖在就业或教育环境中通过面部表情、声音模式或生理信号推断情绪状态的人工智能参与度监控工具。
基于敏感属性的生物特征分类(第5条第1款第(h)项): 依据生物特征数据对自然人进行个别分类,以推断或推导种族、政治观点、工会成员资格、宗教或哲学信仰、性生活或性取向的人工智能系统。该禁令适用于利用面部分析或其他生物特征信号推断上述属性的人工智能系统——包括将此类推断用作营销信号的人工智能系统。
任何属于上述禁令的人工智能系统,无论其开发时间或向欧盟客户交付的条款如何,均须立即从欧盟市场及面向欧盟的服务中退出。合规审查一旦识别出禁止性行为,须立即暂停运营,而非制定整改时间表。
欧盟人工智能办公室执法:制度架构
欧盟人工智能办公室——依据《欧盟委员会决定(EU)2024/1143》在欧盟委员会内部设立——是GPAI模型义务的中央执法机构,也是更广泛的《人工智能法》执法生态系统的协调者。其在高风险人工智能系统方面的职能主要是对国家机构的监督,而非直接执法;但对GPAI模型提供商而言,人工智能办公室是主要监管机构。
市场监督机构(MSA): 对高风险人工智能系统,主要执法职能由各成员国依第74条指定的国家市场监督机构承担。成员国须在2025年8月2日前完成MSA指定。大多数主要欧盟经济体已指定现有监管机构:德国为联邦网络局及相关行业机构;法国由CNIL和竞争管理局与新设立的DNUM(数字局)结构共同承担MSA职能;爱尔兰的MSA职能在ComReg和DCCAE框架下的人工智能专项指定机构之间分担;西班牙专门为执行《人工智能法》设立了AESIA(西班牙人工智能监管局),已于2024年底投入运作。
调查权(第74条及以下): 国家MSA拥有广泛的调查权:访问人工智能系统、训练数据、文件和源代码(须有保密保障措施);要求测试人工智能系统及检查基础数据集;采取纠正措施;以及处以行政罚款。
处罚(第99条): 《人工智能法》的处罚结构为阶梯式:
- 违反第5条禁令:最高处3500万欧元或全球年营业额的7%,以较高者为准。
- 违反适用于高风险人工智能系统提供商、进口商、分销商及部署方的第8—15条、第25—27条义务及登记和文件要求:最高处1500万欧元或全球年营业额的3%,以较高者为准。
- 向公告机构或主管机构提供不正确、不完整或误导性信息:最高处750万欧元或全球年营业额的1%,以较高者为准。
对中小企业和初创企业,罚款上限取绝对上限和百分比上限中的较低者。对大型跨国科技企业而言,通常适用百分比上限——对于年收入超过约170亿欧元的任何企业,全球年营业额7%的罚款金额将超过迄今为止最大的GDPR罚款。
依据第88—94条,人工智能办公室对GPAI模型提供商拥有额外执法管辖权,包括开展模型评估、发布具有约束力的纠正措施的权力,以及因不遵守GPAI义务处以最高1500万欧元或全球年营业额3%罚款的权力。
对企业法律顾问的实务建议
1. 立即针对第5条禁令(而非仅针对高风险分级)开展人工智能系统盘查。
禁止性行为自2025年2月2日起可被强制执行。贵方投资组合中任何涉及欧盟用户的人工智能系统,须在继续运营前逐一对照第5条八项禁令进行审查。需特别关注:用于人力资源或面向客户场景的情绪识别工具;用于欧盟公众可进入的零售场所、交通枢纽或娱乐场所的人脸识别或生物特征分类系统;以及针对弱势群体使用说服性设计技术的人工智能系统。应组建跨职能团队(法务、技术、产品)开展评估——法律分析取决于理解人工智能系统在技术层面的实际功能,而非产品描述所称的功能。
2. 梳理人工智能供应链,确定在各欧盟场景中是提供商、部署方,还是两者兼有。
提供商与部署方的监管义务存在实质差异,当第25条第1款的重新分级触发条件适用时还会发生转变。对于贵方在面向欧盟的业务中开发、供应或使用的每套人工智能系统,须记录:谁进行了训练、谁持有技术文件;谁将其投放欧盟市场或投入使用;供应链任何一方的微调、整合或白标是否构成实质性修改;以及各层级谁承担义务。每当系统更新或分销模式变更时,须刷新上述梳理。
3. 如贵方是非欧盟高风险人工智能系统提供商,须指定欧盟授权代表。
第22条要求非欧盟高风险人工智能系统提供商在将系统投放欧盟市场前指定欧盟授权代表。授权代表须在欧盟境内设立、获得书面授权,并与系统一同在欧盟人工智能数据库中登记。授权代表与提供商就《人工智能法》合规承担连带责任。选择适当代表——须具备在短时间内回应国家机构询问的运营能力,以及管理合规文件的法律专业能力——须以对待欧盟GDPR代表选聘同等的严谨态度对待。
4. 将GDPR与《人工智能法》合规的交叉适用整合进单一的统一治理框架。
处理个人数据的高风险人工智能系统同时受《人工智能法》和GDPR约束,两者义务相互交叉但并不完全相同。GDPR第35条要求的、针对可能导致高风险的自动化处理所开展的数据保护影响评估,须与《人工智能法》第9条的风险管理体系、第11条的技术文件,以及部署方在《人工智能法》第27条项下的基本权利影响评估相互协调。分别开展上述工作会产生重复和不一致风险。法务团队应设计同时涵盖两套框架的统一人工智能治理规程,对各项义务明确分配所有权,并建立供数据保护影响评估和《人工智能法》文件要求共同使用的数据流梳理方法。
5. 以具体时间表和责任体系应对2026年8月2日附件三执法浪潮。
附件三使用场景的高风险人工智能义务自2026年8月2日起生效。对于尚未完成合规评估、编制技术文件、在欧盟人工智能数据库中登记系统,并实施第17条所要求的质量管理体系的组织,紧迫性已是当下。在法律或合规部门内为《人工智能法》合规指定具名项目负责人,制定各交付成果均有明确截止日期的时间表,并为第三方技术文件审查及(如有必要的)公告机构评估提供充足预算。合规评估项目的成本远低于监管调查的成本——欧盟各地的人工智能MSA已明确表示将积极执法应对附件三浪潮。
结语
《人工智能法》对任何——无论注册地在何处——参与开发、供应或部署其输出到达欧盟市场的人工智能系统的组织,课加了完整的合规架构。对非欧盟企业而言,第2条的域外条款消除了监管距离这一选项。第5条的禁止性行为已经生效,第51—56条的GPAI义务自2025年8月起已运行,附件三项下高风险人工智能系统的全部义务现已可被强制执行。
合规路径在技术层面要求较高,但结构上清晰明确:依据风险等级对各人工智能系统进行分类,确定各分销链中的提供商/部署方角色,在部署前完成所要求的合规评估,在系统整个生命周期内维护技术文件,并建立治理架构——风险管理、质量管理、上市后监测——以证明持续合规而非一时性认证。
欧盟人工智能办公室和国家市场监督机构拥有调查工具、法律依据和已声明的制度承诺,可对非欧盟主体适用上述义务。以全球年营业额百分比为基准的处罚结构确保规模不赋予监管豁免权。对于为跨国董事会提供建议的首席法律官或首席合规官而言,《人工智能法》不是未来的项目,而是当下的合规义务。
法律免责声明:本文仅供参考和教育目的。本文不构成法律意见,亦不产生委托关系。本文分析反映截至发布日期的《欧盟条例(EU)2024/1689》文本、实施措施及公开指引。将《人工智能法》适用于特定事实和系统,需要具备欧盟人工智能监管专业知识的合格法律顾问提供指导。读者在获取针对其具体情况的独立专业建议前,不应依据本文采取行动。
需要为您的企业提供专业的《人工智能法》合规咨询?联系我们的团队。
Need expert advice on this topic?
Our team at Morvantine specializes in exactly these issues. Get in touch for a consultation.
Get in Touch