要闻资讯

• 在欧盟市场上提供人工智能系统或通用人工智能（GPAI）模型；

• 或生成的人工智能系统输出将在欧盟境内使用（或计划在欧盟境内使用）。

确定组织所使用或提供的是否为一种基于机器的系统，且该系统：

• 设计上具有不同程度的自主性；

• 在部署后可能表现出适应性；

• 为了明示或暗示的目标，能从其接收的输入中推断出如何生成诸如以下输出：

确定《欧盟人工智能法案》是否不适用于组织的人工智能系统，因为其用途仅限于以下情况：

• 军事、国防或国家安全目的（无论执行这些活动的实体为何）；

• 第三国公共当局或国际组织为遵守国际协议、与欧盟或成员国的执法或司法合作（需遵守特定保障措施）；

• 上市前的科学研究与开发或测试（在真实世界条件下的测试除外）；

• 自然人出于纯粹个人非职业活动而使用人工智能系统；

• 或免费和开源许可下的系统，除非其被用作高风险人工智能系统、构成被禁止的实践，或用于与人类直接交互的人工智能系统中。

• （参见《欧盟人工智能法案》第2条第3至12款。）

a. 确定组织是否为GPAI模型运营者

需理解，一个AI模型如果满足以下条件，即为GPAI模型：

• 使用大量数据并通过大规模自监督方式进行训练；

• 展现出显著的通用性；

• 能够胜任多种不同的任务；

• 且可以集成到各种下游系统或应用程序中。

• （参见《欧盟人工智能法案》第3条）

b. 确定组织是否为GPAI系统运营者

需考虑，一个AI系统如果满足以下条件，即为GPAI系统：

• 基于GPAI模型；

• 且能够用于多种目的，既可直接使用，也可集成到其他AI系统中。

c. 确定模型是否属于具有系统风险的GPAI模型

• 模型的参数量；

• 数据集的质量或规模；

• 训练所用的计算量；

• 输入和输出数据类型（例如：生物序列）；

• 输入和输出模态；

• 模型能力基准，包括：

• 市场影响力；

• 注册终端用户数量。

若《欧盟人工智能法案》适用，请确定组织在以下任一角色中运作：

a. 提供方：

• 开发或委托开发AI系统或GPAI模型；

• 并以自身名义或商标，首次将其投放欧盟市场或在欧盟投入使用（无论有偿或免费）。

b. 部署方：

• 在专业活动中使用AI系统的实体。

c. 分销商：

• 在欧盟市场供应AI系统；

• 且非提供方或进口方的实体。

d. 进口方：

• 位于或设立于欧盟境内；

• 并在欧盟市场供应带有非欧盟实体商标的AI系统的实体。

e. 产品制造商：

• 负责生产最终产品的实体（参见《欧盟人工智能法案》序言第87段）。

确定组织或下游的部署方、分销商或进口方是否可能对AI系统进行修改，例如：

• 在已投放或使用于欧盟市场的高风险AI系统上标注其名称或商标；

• 进行实质性修改，即对系统功能进行超出提供方初始合格评估预期范围的变更；

• 或以导致其成为高风险AI系统的方式，修改该AI系统的预定用途。

• 高风险AI系统的提供方；

• 或GPAI模型的提供方。

需考虑，在适用授权代表要求的情况下，组织必须：

• 在将AI系统或GPAI模型投放欧盟市场之前，完成对授权代表的任命；

• 且确保该授权代表设立于开展相关适用活动的欧盟成员国内。

需考虑，组织必须授权该代表，使其有权力核实组织是否遵守了以下要求：

• 技术文档要求；
  

• 和合格评估要求。

• 部署潜意识、操纵性或欺骗性技术，通过损害知情决策或自主性，从而在合理可能造成重大伤害的方式下实质性扭曲个人行为；

• 利用个人或群体的脆弱性（例如：年龄、残疾或经济状况），在合理可能造成重大伤害的方式下实质性扭曲其行为；

• 基于人们的社会行为或人格特征对其进行评估或分类，以创建导致不利待遇的社会评分；

• 仅基于特征分析或评估人格特质与特征，来评估或预测个人实施刑事犯罪的风险；

• 无差别地进行网络爬取以创建或增强面部识别数据库；

• 在工作场所或教育机构中启用情绪识别；

• 基于生物特征数据对人进行分类，以推断其某些特征，包括种族、政治观点或宗教信仰；

• 或在可公开访问的空间中为执法目的使用实时生物特征识别。

• 其本身是，或构成了现有欧盟产品安全立法所涵盖产品的安全组件；

• 并且必须根据该产品安全立法接受第三方合格评估（例如，玩具和医疗器械）。

• 生物识别技术；
  

• 关键基础设施；

• 教育和职业培训；

• 就业；

• 获取基本公共服务；

• 执法；

• 移民、庇护和边境管制；

• 或行政或司法与民主进程。

• 与欧盟境内的个人直接交互（例如，聊天机器人）；

• 生成合成音频、图像、视频或文本内容（包括GPAI）；

• 用于情绪识别或生物特征分类；

• 生成或操纵图像、音频或视频内容（如深度伪造）；

• 或生成或操纵为告知公众公共利益事项而发布的文本。

• 执行简单的自动化任务，且不直接与人类交互（例如，电子邮件垃圾邮件过滤器）；

• 并且不属于其他任何风险类别。

• 一个持续运行且定期审查的风险管理系统；
  

• 用于训练、验证和测试数据集的数据治理与管理实践；

• 最新的技术文档；

• 自动记录日志；

• 提供给部署方的信息和使用说明；

• 人力直接监督；

• 以及准确性、稳健性和网络安全。

• 向个人提供特定信息，且必须：

• 满足人工智能素养要求。

• 创建并维护模型的最新技术文档。

• 创建并维护足够且最新的信息，以使下游供应链成员能够遵守其在《欧盟人工智能法案》下的义务，这些信息包括：

• 制定一项政策，以确保尊重欧盟版权作品。

• 发布一份训练数据摘要。

• 考虑高风险系统义务是否同样适用。

• 任命一名授权代表。

• 履行所有针对GPAI模型的特定义务。

• 在达到系统风险阈值或确知即将达到该阈值的两周内，向欧盟委员会进行通知。

• 使用最先进的工具对模型进行评估和测试，以识别和减轻系统风险。

• 评估并减轻在欧盟层面可能出现的系统风险。

• 记录任何严重事件及可能的纠正措施，并立即向欧盟人工智能办公室及国家主管机构报告。

• 确保模型（包括其物理基础设施）拥有足够的网络安全防护。

• 与个人直接交互；

• 或生成供个人观看的内容。

• 该AI系统告知个人其正在与AI系统交互；

• 并且透明度信息清晰且易于识别。

如果AI系统生成合成内容，需确保：

• 将AI系统输出标注为人工智能生成或操纵；

• 透明度信息清晰且易于识别；

• 并且考虑到技术水平和实施成本，用于标注的技术解决方案应尽可能有效、可互操作、稳健且可靠。

• 需依据相关数据保护法处理个人数据；

• 向相关主体个人提供披露信息；

• 并且确保透明度信息清晰且易于识别。

如果AI系统生成或操纵深度伪造内容：

• 需披露该内容是人工智能生成或操纵的；

• 并且确保透明度信息清晰且易于识别。

如果AI系统发布关于公共利益事项的合成文本：

• 需披露该文本是人工智能生成或操纵的，除非适用例外情况；

• 并且确保透明度信息清晰且易于识别。

• 评估数据隐私和网络安全风险的程序；

• 数据映射和记录保存实践；

• 现有的风险评估，包括数据保护影响评估（DPIAs）；

• 以及技术文档。

b. 确定高风险AI系统提供方应如何进行合格评估：

• 内部评估（例如，大多数高风险AI系统，包括那些符合《欧盟人工智能法案》统一标准的系统）；

• 或通过一个被称为公告机构的授权第三方进行外部评估（例如，当AI系统受现有产品安全或其他要求公告第三方评估的欧盟法律监管时）（参见《欧盟人工智能法案》第29条）。

c. 如果提供方进行内部合格评估，则需：

• 验证其质量管理体系符合《欧盟人工智能法案》第17条；

• 确认技术文档合规；

• 以及确认AI系统的设计和开发过程及其上市后监控与技术文档保持一致。

d. 如果由外部公告机构进行合格评估，则需向该机构提供：

• 技术文档；
  

• 对提供方场所的访问权限；

• 更新的信息，包括对AI系统或质量管理体系的任何拟议变更；

• 进行定期审核和测试的机会；

• 以及在有限情况下，访问AI系统的训练数据和训练好的模型。

• AI系统的名称、型号及其他用于识别和追溯的唯一性参考信息；

• 提供方或授权代表的名称和地址；

• 声明本声明由提供方全权负责签发；

• 确认该AI系统符合《欧盟人工智能法案》；

• 如果AI系统处理个人数据，则需确认该系统符合欧盟数据保护法规；

• 相关的统一标准或其他通用规范；

• 如适用，公告机构信息、合格评估流程以及合格证书；

• 授权签署人的姓名；

• 以及签署日期和地点。

• 识别范围内的高风险AI系统；

• 识别并协调内外部利益相关者；

• 以及获取并审阅AI系统的技术文档和使用说明。

• 描述提供方或部署方将使用该高风险AI系统的流程；

• 说明提供方或部署方计划使用该高风险AI系统的时间段和频率；

• 识别可能受该高风险AI系统影响的自然人及群体的类别；

• 界定可能影响上述人员或群体类别的具体风险；

• 以及描述人类监督措施及其他风险缓解措施。

• 被禁止的AI实践，自 2025年2月2日起 完全禁止；

• AI素养义务，自 2025年2月2日起 适用；

• GPAI模型规则，自 2025年8月2日起 适用；

• 以及处罚规定，自 2025年8月2日起 适用，但适用于GPAI模型提供方的处罚则从 2026年8月2日 开始。