人工智能法案是由歐盟引入的地標性法規,用以監管人工智能技術的開發和使用。
目錄
甚麼是歐盟人工智能法案(EU AI Act)?
歐盟人工智能法案是一個全面的監管框架,管理人工智能系統在歐盟內的開發、市場部署及使用。它適用於人工智能供應商和部署者,並根據人工智能系統如何影響個人、社會和基本權利而建立明確的法律義務。該法案透過在整個人工智能生命週期中設定透明度、風險管理、人為監督、數據管治及網絡保安的要求,在保護健康、安全及基本權利的同時促進創新。
歐盟人工智能法案風險類別
歐盟人工智能法案採用風險為基方法,即人工智能系統根據個人和社會的風險級別而受到監管。潛在風險越高,對供應商及部署商施加的義務越嚴格。
- 禁止的做法
直接禁制構成不可接受風險的人工智能系統。這些包括認知行為操縱、公共機構的社會評分、無差別抓取臉容影像,以及利用生物特徵推斷政治信仰或性取向等敏感屬性。 - 高風險人工智能系統
高風險系統是指在敏感或受監管的領域使用,例如關鍵基礎設施、就業及人力資源、信用評估、教育、醫療保健、執法、邊境管制及司法管理。這些系統必須符合嚴格的要求,包括風險管理程序、優質培訓數據、技術文件、人為監督、網絡安全保障及 CE 認證,方才進入市場。 - 通用人工智能模型 (GPAI)
此類別包括大型模型,例如大型語言模型。供應商必須履行透明度義務、尊重版權規則、文件培訓實務,並採取措施應對系統性風險,尤其是對於更有能力或廣泛部署的模型。 - 有限風險人工智能系統
這些系統主要受透明度義務約束。除例外情況外,用戶在與人工智能生成內容互動時必須獲得通知,例如聊天機器人或深偽。 - 最少或無風險的人工智能系統
幾乎沒有風險的人工智能應用程式,例如支援人工智能的電子遊戲或垃圾郵件過濾器,在很大程度上不受人工智能法案規管。
違反人工智能法案可導致最高 3500 萬歐元或佔全球年度營業額 7% 的罰款,以較高者為準。
歐盟人工智能法案及人工智能素養
自 2025 年 2 月 2 日起,供應商及部署人員必須確保員工具備足夠的人工智能知識。培訓是一個建議的動作,但並非強制性。
主要考慮因素包括在公司的職位、對人工智能的了解、相關風險,以及基於技術知識和背景而度身訂造的認知措施。
在公司實施
實施歐盟人工智能法案的機構需要將監管義務轉化為營運管控。審計部在過程中扮演著關鍵角色,協助公司了解人工智能系統的使用方式、風險存在的地方,以及需要採取哪些合規措施。
這些審計旨在:
- 根據法案的風險類別辨識及分類人工智能系統
- 確定機構是否擔任供應商、部署者或兩者兼有的角色
- 評估人工智能系統如何處理數據及生成產物
- 識別透明度、人為監督、網絡保安及風險管理方面的落差
- 提供合規所需的補救計劃、管治架構及內部管控
實際上,這些評估是人工智能管治計劃的基礎,讓機構能夠根據風險和監管披露,優先考慮合規工作。
歐盟人工智能法案時間表
歐盟人工智能法案根據時間表分階段實施,讓機構有時間調整人工智能管治、風險管理及合規計劃。關鍵里程碑包括法規何時生效、具體義務何時適用及何時需要完全遵守。
歐盟人工智能法案主要日期
日期
里程碑
2024 年 8 月 1 日
歐盟人工智能法案生效,正式成為歐盟法律。
2025 年 2 月 2 日
禁制不被容許人工智能行為的法令生效。委任負責執法的國家機關。
2025 年 8 月 2 日
通用人工智能(GPAI)模型及相關管治義務的規則開始應用。
2026 年 8 月 2 日
人工智能法案完全實施。合規義務適用於所有人工智能風險類別,包括高風險系統。
2027 年 8 月 2 日
嵌入受監管產品的高風險人工智能系統必須完全符合歐盟人工智能法案的要求。
這種分階段方法旨在平衡創新與法律確定性,讓機構可以根據人工智能風險逐步實施管治、技術保障及監督機制。
什麼是人工智能?
人工智能是電腦科學的一個領域,透過識別及分類輸入數據來模仿人類認知能力。此智能可以基於編程的工作流程或由機器學習創建。
在機器學習中,培訓數據用於教導人工智能辨識模式及作出預測。人工智能法案將人工智能系統定義為以機器為基礎的系統,以不同程度的自主性運作,並產生預測、內容、建議或決策等產物。
人工智能法案下的人工智能系統例子包括情感識別、面容識別、申請人選擇、司法執行、醫療保健(例如症狀分析)、客戶服務、聊天機械人及生成式人工智能。
例如 ChatGPT 等生成式人工智能是指人工智能系統利用機器學習及大型語言模型自動根據輸入數據產生結果。這些系統可能會犯錯,並導致產生幻覺——作出有可能性但不準確的陳述。
人工智能版權影響是甚麼?
人工智能系統的輸入及產物均有版權問題,而使用受保護的內容都會受法律審查。
人工智能創作的作品在現行法律下缺乏版權保護,因為它們並非人類創作,這意味著此類創作產物會在公共領域公開。
歐盟人工智能法案適用於誰?
歐盟人工智能法案廣泛適用於參與開發、分銷或使用歐盟市場人工智能系統的機構,無論機構總部位於何處。
責任方包括:
- 人工智能供應商,例如在歐盟市場開發或部署人工智能系統或通用人工智能模型的公司
- 人工智能部署商,包括在業務營運、決策或面向客戶的服務中使用人工智能系統的機構
- 將人工智能系統帶入歐盟供應鏈的進口商及分銷商
- 將人工智能整合到受監管產品或服務中的產品製造商
在機構內,責任通常涉及:
- 負責管治及風險監督的行政領導層
- 法律及合規團隊管理監管義務
- 負責實施、監控及防護的資訊科技、保安及數據團隊
該法案要求各方透過執法機制負責,包括罰款、市場限制及因人工智能系統不合規或造成傷害的責任承擔。
歐盟人工智能法案是否適用於英國?
由於英國不再屬於歐盟,因此歐盟人工智能法案不適用於英國。然而,英國機構如果開發、銷售或部署在歐盟境內使用的人工智能系統或影響歐盟人士,仍可能受到影響。
在這種情況下,英國公司可能需要遵守歐盟人工智能法案作為域外法律。這符合歐盟人工智能法案有關國際營運或服務歐盟市場的英國機構的要求,尤其是在受監管或高風險的使用情況下。
人工智能系統使用條款中應查看哪些內容?
公司必須審查第三方人工智能系統條款,重點關注:
適用法律及司法管轄權
儲存及使用產物作培訓
產物所有權
版權申索賠償
保證及責任限制
公司應遵循哪些歐盟人工智能法合規指引?
內部人工智能指引有助監管員工使用人工智能系統。這可能包括:
人工智能系統的描述及授權
輸入和產物處理指示
保密性及資料保護合規
網絡保安措施及透明度義務
歐盟人工智能法案摘要
歐盟人工智能法案主要在 2026 年 8 月 2 日開始應用,並必須由使用人工智能的公司實施。它以風險為本的方式監管人工智能供應商及部署者:對社會傷害風險越高,規則越嚴格。
使用人工智能系統處理個人資料時,必須遵守歐盟通用資料保護法規。
人工智能系統必須防範未經授權的存取及網絡攻擊。
使用人工智能系統時,必須保護商業秘密。
輸入內容及產物的版權問題均受到法律審查。
公司須對人工智能導致的產品和服務缺陷負責。
第三方人工智能系統的使用條款必須仔細審查。
員工之間的人工智能知識應透過內部指引推廣。
趨勢科技如何支援符合人工智能法案的要求?
遵守歐盟人工智能法案不僅意味著要了解規則,還需要在您的人工智能系統進行積極管治、風險監控及明確問責制。從版權和責任到使用條款和內部指引,機構必須確保人工智能部署的各個方面都符合不斷變化的法律標準。
為支援此方案,企業可利用進階工具來簡化合規程序及減低網絡風險,其平台專為協助識別漏洞、管理人工智能相關風險及在數碼營運中維持信任而設計。
Fernando Cardoso 是趨勢科技產品管理副總裁,專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始,並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能,而他對這些領域依然煥發了無比熱情。
常見問題
甚麼是歐盟人工智能法案?
歐盟人工智能法案是管理人工智能系統的法規,旨在確保安全、透明及基本權利保護。
歐盟人工智能法案何時生效?
歐盟人工智能法案於 2024 年生效,預計 2026 年將全面應用於所有歐盟成員國。
歐盟人工智能法案適用於誰人?
歐盟人工智能法案適用於在歐盟市場內或在歐盟市場運作人工智能系統的供應商、用戶及進口商。
歐盟人工智能法案何時通過?
歐盟人工智能法案於 2024 年獲歐洲議會通過,經過廣泛的談判及持份者諮詢。
如何遵守歐盟人工智能法案?
為符合要求,機構必須按風險對人工智能系統進行分類、確保透明度、進行合規評估及備存文件。
不遵守歐盟人工智能法案會有哪些處罰?
- 不遵守歐盟人工智能法案可導致最高 3500 萬歐元或全球營業額 7% 的罰款。