欧盟人工智能法概述40_第1页
欧盟人工智能法概述40_第2页
欧盟人工智能法概述40_第3页
欧盟人工智能法概述40_第4页
欧盟人工智能法概述40_第5页
已阅读5页,还剩38页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

欧盟人工智能法概述2025年9月1欧盟

人工智能法律(什么是法案?欧盟委员会将于2021年4月公布人工智能法案。经过联合立法机构(欧盟理事会和欧洲议会)的审议和谈判,该法案将于2024年5月颁布,并于2024年8月1日生效。○全面实施将于2026年8月2日开始(有规定可在六个月、一年或三年后开始实施)。其目的是促进以人为本、值得信赖的人工智能(AI)的采用,确保健康、安全、民主、法治和环境保护等基本权利得到高标准的保护,免受人工智能系统的有害影响,并支持创新。基于风险的方法,设立了四个风险等级,并根据每个风险等级设定了相应的要求和法规,同时还规定了通用人工智能模型的规则,这些模型能够学习和执行各种任务,并能集成到其他人工智能系统中。此外,该法案还对实施者和提供商提出了要求。○这也适用于在欧盟境内提供人工智能系统的非欧盟公司。违规者将被处以最高3500万欧元或全球年营业额7%的罚款。○提供一个“人工智能监管沙箱”,作为创新人工智能系统在投放市场之前进行开发、测试和验证的环境。2审议过程欧盟委员会欧洲议会欧盟理事会三方非正式谈判(三部曲)欧洲议会欧盟理事会已确立的适用的[2021年4月]提案[2021年4月]提案欧盟政府机构欧盟联合立法机构之一当时有705个座位欧盟联合立法机构之一27个成员国的部长[2023年6月]修正案通过[2022年12月]修正案通过政治协议正式批准已达成一致的修正案执行之日起两年(2024年8月)(有例外情况)(执法原则上由各成员国负责,部分由欧盟委员会负责)[2023年12月]政治协议[2024年3月]正式批准[2024年5月]正式批准[2024年5月]成立3适用范围①(第二条)目标受众欧盟境内投放人工智能系统或运营人工智能系统的供应商,无论其注册地是在欧盟境内还是在第三国境内。位于欧盟境内的AI系统部署者。如果人工智能系统的输出在欧盟境内使用,则位于第三国的人工智能系统提供商和实施者也应承担责任。人工智能系统进口商和分销商。以自有名称或商标销售或运营人工智能系统的制造商。欧盟设立机构的供应商的授权代表。受影响人员位于欧盟境内。4适用范围②(第二条)免于申请以下个别法律(列于附件一B节)仅适用于第6条第1款(高风险人工智能系统的定义)、第102条至第109条(相关法律法规的修订)和第112条(审查规定)。关于民用航空安全的(EC)300/2008号条例关于农业和林业车辆的(欧盟)第167/2013号法规关于两轮、三轮和四轮车辆的(欧盟)第168/2013号条例船舶设备指令(指令2014/90/EU)关于铁路网络互操作性的指令(欧盟)2016/797关于机动车辆及其部件的(欧盟)2018/858号条例关于机动车辆型式认证的(欧盟)2019/2144号条例关于民用航空领域共同规则的(欧盟)2018/1139号条例专门为军事、国防或国家安全目的而销售、运营或使用的AI系统。未投放市场或投入运营,但其输出仅用于军事、国防或国家安全目的的人工智能系统。第三国的公共机构和国际组织,在与欧盟或其成员国开展国际合作或签署执法和司法合作协议的框架内使用人工智能系统,并且该第三国或国际组织提供适当的保障措施,以保护个人的基本权利和自由。人工智能系统和人工智能模型及其输出,完全是为了科学研究和开发的目的而开发和运行的。人工智能系统或人工智能模型投放市场或投入运营之前,对其进行研究、测试或开发。在纯粹个人、非专业活动中使用人工智能系统的自然人。根据自由开源许可证发布的AI系统,但作为高风险AI系统、禁止的AI系统(第5条)或受透明度义务约束的AI系统(第50条)投放市场或投入使用的AI系统除外。5定义(第3条)学期定义人工智能系统(人工智能系统)一种基于机器的系统,设计用于以不同程度的自主性运行,并在部署后可能具有适应性,它根据接收到的输入推断如何生成输出,例如预测、内容、建议或决策,这些输出可以出于明确或隐含的目的影响物理或虚拟环境。通用人工智能模型(通用人工智能模型)AI模型,包括能够大规模地对大量数据进行自监督的AI模型,无论以何种方式推向市场,都能胜任各种不同的任务,并且可以集成到各种下游系统或应用程序中,但不包括用于市场前研究、开发和原型设计的AI模型。通用人工智能系统(通用人工智能系统)一种基于通用人工智能模型的人工智能系统,既可直接使用,也可集成到其他人工智能系统中,从而服务于多种用途。提供商(提供者)开发人工智能系统或通用人工智能模型,或委托开发人工智能系统或通用人工智能模型,然后以自己的名称或商标进行销售或运营的自然人或法人、公共机构、代理机构或其他组织,无论是否收费。引言(部署者)任何自然人或法人、公共机构、机关或其他团体,在其授权下使用人工智能系统,但用于个人、非专业活动的人工智能系统除外。下游提供商(下游提供商)提供集成人工智能模型的人工智能系统(包括通用人工智能系统)的供应商,无论人工智能模型是内部提供并垂直整合,还是由其他企业根据合同关系提供。预期用途(预期用途)人工智能系统的预期用途,包括具体的使用背景和条件,如提供商在使用说明、宣传材料和技术文档中提供的信息中所述。6基于风险的方法部分内容改编自欧盟委员会网站等资料。)不可接受的风险(不可接受的风险)高风险(高风险)有限风险(有限风险)风险极低(风险极低)《人工智能法》采用基于风险的方法,设定了四个风险等级,并根据每个风险等级制定了相应的法规。此外,还有关于通用人工智能的法规。潜意识技术、社交评分、工作场所或教育机构中的情绪预测系统、公共场所执法部门使用的实时远程生物识别认证系统等。原则上禁止机械、医疗设备、生物识别技术、关键基础设施、教育、就业、执法、移民管制等。对供应商、进口商、分销商和实施者的严格规定包括风险管理、数据治理、技术文档、人工监控措施、合格评定程序和日志存储。生成式人工智能、与人类互动的人工智能、情感识别系统等。透明度义务有限,例如仅需标记内容由人工智能生成,并公布人工智能的使用情况。除上述内容外免费提供(建议自愿遵守行为准则)基于风险的方法通用人工智能模型提供商的义务通用人工智能模型具有系统性风险的通用人工智能模型创建和更新技术文档通用人工智能模型集成到人工智能系统中的供应商创建、更新和提供信息和文档实施一项遵守版权法的政策通用人工智能模型的内容的足够详细的摘要任命区域代表(除上述内容外)进行模型评估欧盟层面的系统性风险向人工智能办公室报告严重事件及其纠正措施适当的网络安全保护7人工智能素养(第4条)人工智能系统的提供者和实施者必须采取措施,尽其所能确保其员工以及负责代表其操作和使用人工智能系统的人员具备足够的人工智能素养,同时考虑到他们的技术知识、经验、教育和培训,以及人工智能系统将要使用的背景,并考虑到人工智能系统将要使用的受众或受众群体。8禁止的人工智能系统①(第5条)使用潜意识技术的AI系统:营销、运营或使用

引入人类意识之外的潜意识技术或故意操纵或欺骗技术的AI系统,其目的或效果是通过严重损害人类做出明智决策的能力来严重扭曲人类行为。利用人类弱点的人工智能系统

营销、运营或使用利用自然人或特定群体因年龄、残疾或特定社会或经济状况而产生的弱点的人工智能系统,其目的或效果是严重扭曲人类行为,从而造成或极有可能对人们造成重大伤害。社会评分:指利用

人工智能系统,根据社会行为或已知、推断或

预测的个人或人格特征,对自然人或群体进行评估或分类,并根据社会评分,对自然人或群体进行营销、运营或使用,从而导致:(1)在与数据最初生成或收集的背景无关的社会背景下,对特定自然人或群体造成不利或不公平待遇;或

(2)对特定自然人或群体造成不合理或与其社会行为或行为严重程度不成比例的不利或不公平待遇。犯罪预测:将

人工智能系统投放市场、用于特定目的的运营或使用,以对自然人进行画像或风险评估,从而仅基于对其人格特征的评估来判断或预测其犯罪风险。但是,本禁令不适用于用于辅助人类评估某人是否参与犯罪活动的人工智能系统,前提是该评估基于与犯罪活动直接相关的客观且可验证的事实。面部图像抓取:指将

人工智能系统从互联网或监控摄像头录像中抓取无限量的面部图像,以创建或扩展面部识别数据库,并以此作为特定目的进行营销、运营或使用。在工作场所和教育机构中使用情感推理人工智能系统:将人工智能

系统投放市场、用于此特定目的或使用人工智能系统来推断工作场所和教育机构中自然人的情感,但用于医疗或安全原因的情况除外。生物识别分类系统:

指将基于生物识别数据对自然人进行分类,以推断或推断其种族、政治观点、工会成员身份、宗教或哲学信仰、性生活或性取向的生物识别分类系统投放市场、为此特定目的运营或使用。但是,本禁令不涵盖对合法获取的生物识别数据集(例如图像)进行生物识别标记或过滤,也不涵盖执法领域中对生物识别数据的分类。9禁止使用的AI系统②(第5条)除以下情况外,禁止

在公共场所出于执法目的使用实时远程生物识别系统:(1)有针对性地搜寻绑架、人口贩运或性剥削的受害者,或搜寻失踪人员;

(2)防止对自然人生命或人身安全构成具体、重大且迫在眉睫的威胁,或防止真实、当前或真实且可预见的恐怖袭击威胁;

(3)为刑事调查、起诉或执行附件二所述犯罪的刑事处罚而定位或识别嫌疑人,该犯罪在相关成员国可判处至少四年监禁

或拘留令。*除某些紧急情况外,使用此类系统须事先获得司法或独立行政机关的授权。<附件二所列罪行清单>恐怖主义人口贩运儿童性剥削、儿童色情制品-贩运麻醉品或精神药物-非法贩运武器、弹药和爆炸物谋杀,重伤非法贩运人体器官或组织非法贩运核材料或放射性材料绑架、非法拘禁或劫持人质-国际刑事法院管辖范围内的犯罪非法扣押飞机或船舶强奸环境犯罪的或武装抢劫破坏-参与从事上述任何犯罪活动的犯罪组织10高风险人工智能①(第6条、附件一和附件三)满足以下两个条件的AI系统:(1)人工智能系统

拟用作附件一所列法规所涵盖的产品中的安全组件,或者本身就是一件产品。(2)以人工智能系统作为安全组件的产品,或者以人工智能系统本身作为产品的产品,

须遵守附件一所列法律法规规定的第三方合格评定义务。附件一A部分机械指令(指令2006/42/EC)玩具安全指令(指令2009/48/EC)休闲和个人水上交通工具指令(指令2013/53/EU)关于电梯及其部件的2014/33/EU号指令关于爆炸性环境防护系统的2014/34/EU指令无线电设备指令(指令2014/53/EU)压力设备指令(指令2014/68/EU)索道设施条例(欧盟)2016/424个人防护装备条例(欧盟)2016/425燃气器具法规(欧盟法规2016/426)医疗器械法规(欧盟)2017/745体外诊断医疗器械法规((EU)2017/746号法规)*附件二B部分列出了与产品相关的法律法规,其中仅适用第112条(审查规定)等(见第3页)。○高风险人工智能分为两类,分别与附件一和附件三相关。高风险人工智能(第一类)11高风险人工智能②(第6条、附件一和附件三)高风险人工智能(第二类)原则附件三中描述的人工智能系统。例外对决策结果产生重大影响,则不会被视为高风险。(a)人工智能系统旨在执行有限的程序性任务。(b)人工智能系统旨在改进先前完成的人类活动的结果。(c)人工智能系统旨在检测决策模式或与先前决策模式的偏差,并不旨在取代或影响先前完成的人工评估,而没有适当的人工审查。(d)人工智能系统旨在对附件三中列出的用例目标进行初步评估。例外中的例外但是,如果附件三中描述的人工智能系统对自然人进行画像,则应始终将其视为高风险系统。附件三所列人工智能系统提供商如果认为自己的系统风险不高,则必须在将系统投放市场或投入运营之前记录其评估结果,并应当局要求提交此类文件,但前提是他们仍然必须注册其人工智能系统。欧盟委员会将在生效后的18个月内制定指导方针,其中将列出高风险和非高风险案例的具体示例。上述(a)至(d)项清单可由欧盟委员会通过授权法案进行添加或删除。12高风险人工智能③(第6条、附件一和附件三)附件三1.生物特征认证(1)远程生物特征认证系统(不包括一对一验证),(2)基于敏感特征和属性的生物特征分类,以及(3)情绪识别。2.关键基础设施关键数字基础设施、道路交通、水、燃气、供暖和电力供应的管理和运行中的安全组件3.教育/职业培训(1)确定进入教育和职业培训机构的资格或分配;(2)评估学习成果;(3)评估个人接受的教育水平;以及(4)在考试期间监测和发现违禁活动。4.获得就业机会、劳动者控制权和自雇机会(1)招聘和甄选(特别是招聘广告、求职申请分析和候选人评估);(2)影响雇佣条款和条件、晋升、终止雇佣、任务分配和绩效评估的决定。5.获得基本私人和公共服务的机会(1)评估自然人获得、授予、减少、撤销或收回公共援助福利和服务的资格;(2)信用评分(用于检测金融欺诈除外);(3)人寿和健康保险的风险评估和定价;以及(4)评估和分类紧急呼叫,并调度或优先安排紧急救援人员服务(例如警察、消防员、医务人员和紧急病人分诊系统)。6.执法部门(1)评估自然人成为犯罪受害者的风险;(2)测谎;(3)评估刑事侦查和起诉过程中证据的可靠性;(4)评估自然人犯罪或再犯的风险,或评估人格特征或过去的犯罪行为,而不仅仅依赖于犯罪侧写;(5)在犯罪识别、侦查和起诉过程中进行犯罪侧写。7.移民、庇护和边境管制(1)测谎,(2)评估入境者的安全风险、非法移民风险或健康风险,(3)审查庇护、签证和居留许可申请及相关投诉,以及(4)检测、识别和辨认自然人(不包括验证旅行证件的真实性)。8.司法行政和民主进程(1)协助司法机关调查、解释和适用法律以及进行争议解决程序,以及用于类似目的;(2)影响选举或全民公投的结果或投票行为(不包括选举活动的组织和管理等)。*欧盟委员会可以通过授权法案增加、修改或删除条款。13高风险人工智能系统提供商的义务①(第16至25条、第48至51条、第62条)高风险人工智能系统符合该法案的要求(见下一页)。高风险人工智能系统、其包装或随附文件中显示名称、注册商号或商标和地址。必须建立并记录

质量管理体系,其中应包括以下内容:以下文件必须在产品投放市场或投入使用后10年内向主管机关提供:

技术文件、质量管理体系相关文件、经合格评定机构批准的变更相关文件

以及合格评定机构出具的文件。欧盟合格声明。如果由您控制,则应将自动生成的日志存储

一段与预期用途和适用的法律义务相适应的时间,但至少要存储六个月。在投放市场前,需经过相关的合格评定程序。欧盟符合性声明并粘贴CE标志。欧盟数据库中注册(适用于提供商和人工智能系统)。1监管合规策略,包括遵守合格评定程序和高风险人工智能系统修改管理程序。7建立、实施和维护上市后监测系统

2设计、设计控制、设计验证、开发、质量控制和质量保证中使用的技术、程序和系统措施8严重事件报告程序3在开发之前、期间和之后需要执行的审查、测试和验证程序及其频率9负责与有关部门、客户和其他相关方的沟通4技术规范,包括适用标准10相关文件和信息的记录保存系统和程序5数据管理系统和程序11资源管理,包括确保供应安全的措施6风险管理系统12一个问责框架,明确了管理人员和其他员工对每个项目的责任。14高风险人工智能系统提供商的义务②(第16至25条、第48至51条、第62条)高风险人工智能系统不符合本法的要求,则采取必要的纠正措施(包括召回)。高风险人工智能系统对自然人的健康、安全或基本人权构成风险,他们将立即调查原因,并将不合规的性质以及他们已采取的任何纠正措施通知有关当局和合格评定机构。应有关当局要求,证明符合该法案的要求,提供信息和文件,并提供查阅存档日志的权限。符合欧盟无障碍指令(指令2016/2102和指令2019/882)。在该国境内指定一名授权代表,该代表必须被授权执行以下任务:-确认已编制欧盟合格声明和技术文件,并已实施适当的合格评定程序。在产品投放市场或投入使用后的10年内,向有关部门提供供应商的联系方式以及欧盟符合性声明、技术文件和符合性证书的副本。-向有关当局证明符合该法案的要求,提供信息和文件,并提供对存档日志的访问权限。-与其他部门合作开展行动。-确保欧盟数据库中注册信息或注册内容的准确性。15高风险人工智能系统必须满足的要求①(第8至15条)要求内容风险管理系统建立、实施、记录和维护风险管理体系。应是一个迭代且持续的过程,贯穿人工智能系统的整个生命周期,包括:识别和分析已知和可预见的健康、安全或基本人权风险对产品按照其预期用途使用或遭受合理可预见的误用时可能出现的风险进行评估和评价

基于上市后监测的风险评估采取适当和有针对性的风险管理措施,以应对上文第i点中确定的风险。风险管理措施:必须判断剩余风险在可接受范围内。制定措施时,应确保以下几点:必须将剩余风险告知用户。通过适当的设计和开发,尽可能消除或降低风险。对于无法消除的风险,采取适当的缓解和控制措施。向收养者提供适当的信息和培训测试:测试在开发过程中进行,最迟在产品上市前进行,以确定适当的风险管理措施。数据治理开发必须基于符合以下质量标准的训练、验证和测试数据集:适当的数据治理和管理实践的前提下,并考虑其预期用途。与其预期目的相符,具有充分的代表性,尽可能做到无误且完整。在必要范围内,应考虑人工智能系统预期使用的特定地理、环境、行为或功能环境的特征或因素。*如果高风险人工智能系统经过训练和测试所用的数据能够反映其预期使用的特定地理、背景、行为或功能环境,则推定其符合此要求。16高风险人工智能系统必须满足的要求②(第8至15条)要求内容技术文档技术文档必须在发布前准备好,并保持更新。高风险人工智能系统符合其必须符合的要求,并向主管机构和合格评定机构提供评估是否符合这些要求所需的信息。至少包括附件四的内容。高风险人工智能类别1(受其他法律法规监管),应为一份包含其他法律法规要求内容的单一技术文件。记录保存在其整个生命周期内应具备自动日志记录功能。透明度和对领养者的信息确保透明度,以便用户能够解读和适当使用人工智能系统的输出结果。使用说明应包含相关、易于获取、易于理解、简洁、完整、准确和清晰的信息,供采用者参考,包括以下信息:捐赠者身份和联系方式人工智能系统的特性、能力和性能限制

;其预期用途

;其准确性、鲁棒性和网络安全级别

;可能导致健康和安全或基本权利风险的情况;

以及数据集信息等。从初始合格评定之时起就计划进行的性能变更人员监控措施必要的计算和硬件资源、预期使用寿命以及确保正常运行所需的维护和保养措施17高风险人工智能系统必须满足的要求③(第8至15条)要求内容人员监控措施人工智能系统时,应允许在整个使用过程中进行有效的人工监督,包括通过适当的人机界面。人工监督措施应与人工智能系统的风险、自主程度及其使用环境相称,并应通过以下一项或两项措施来确保:系统推向市场或投入运营之前,必须确定并将其纳入人工智能系统的措施。提供商在人工智能系统启动或投入运行之前确定的、适合实施者实施的措施。监督人员的方式向实施者提供高风险人工智能系统:人工智能系统的能力和局限性,并适当监控其运行情况,以便发现和解决异常、故障和意外性能的迹象。自动依赖或过度依赖人工智能系统生成的输出的潜在倾向(“自动化偏见”)。正确解读人工智能系统的输出结果。在某些情况下,决定不使用人工智能系统,或者忽略、覆盖或撤销人工智能系统的输出。人工智能系统的运行,或者使用“停止”按钮或类似程序中断其运行,以安全地将其关闭。18高风险人工智能系统必须满足的要求④(第8至15条)要求内容准确性、稳健性和网络安全设计和开发以达到适当的准确性、稳健性和网络安全水平,并在整个生命周期内提供一致的性能。委员会应鼓励与利益相关方和计量及基准机构等组织合作,制定基准和测量方法。AI系统的准确度水平及相关指标将在随附的使用说明中予以说明。它必须能够应对可能出现的错误、故障或不一致情况。技术冗余解决方案,包括备份或故障安全计划,可以实现稳健性。人工智能系统投入市场或投入运行后仍能继续学习,其开发方式必须尽可能消除或减少有偏见的输出可能影响未来运行的输入(“反馈回路”)的可能性,并且必须通过适当的缓解措施妥善解决反馈回路。高风险人工智能系统必须能够抵御第三方利用系统漏洞篡改其使用、输出或性能的企图。针对人工智能特定漏洞的技术解决方案必须酌情包括以下措施,以预防、检测、响应、解决和控制以下攻击:试图操纵训练数据集的攻击(“数据投毒”)试图操纵用于训练的已训练组件的攻击(“模型投毒”)旨在使人工智能模型犯错的输入(“对抗样本”或“模型规避”)保密性攻击模型缺陷*根据《网络安全法》的认证方案(如果将来建立这样的方案)获得认证的高风险人工智能系统将被推定为符合本条规定的网络安全要求。19高风险人工智能系统的合格评定程序(第40至44条)[前提]涵盖本法要求的欧洲标准的高风险人工智能系统和通用人工智能模型,推定符合本法的要求。在缺乏欧洲标准的情况下,欧盟委员会可以制定通用规范。符合涵盖本法案所列要求的通用规范的高风险人工智能系统和通用人工智能模型,推定符合本法案所列要求。目标人工智能系统合格评定程序生物特征认证(远程生物特征认证系统、基于敏感特征和属性的生物特征分类、情绪识别)如果采用欧洲标准或通用规范,则可采用以下两种方式之一:基于附件六的自我评估;或

基于附件七的由合格评定机构进行的第三方认证

。采用欧洲标准也不采用通用规范(包括不存在通用规范的情况)

→由合格评定机构按照附件七进行第三方认证。高风险人工智能(第一类)(受其他法律法规约束)按照其他法律法规的规定实施其他的根据附件六进行自我评估*欧盟委员会可通过授权法案强制要求第三方认证。*如果高风险人工智能系统发生重大变化,则需要新的符合性评估程序。*对于启动或投入运行后仍持续学习的高风险人工智能系统,提供商在首次符合性评估时已确定并包含在技术文档中的变更不被视为“实质性变更”。(在其他情况下,即使学习过程导致重大变更,也必须重新进行符合性评估。)*合格证书的有效期为①第一类产品最长五年(受其他法律法规约束)和②第二类产品最长四年(附件三)。续期需要进行与合格评定程序类似的重新评估。20上市后监测系统(第72条)高风险人工智能系统提供商必须建立并记录上市后监测系统。主动、系统地收集、记录和分析高风险人工智能系统在其整个生命周期内的性能相关数据,这些数据由实施者提供或通过其他来源收集。使供应商能够评估其人工智能系统是否继续符合本法案的要求。上市后监测系统是根据上市后监测计划实施的,该计划是技术文档的一部分。欧盟委员会将在本条例生效后的18个月内制定实施细则,明确上市后监测计划的模板及其应包含的要素。第一类高风险人工智能系统(受其他法律法规约束),如果已经根据其他法律法规制定了上市后监测系统和计划,则将根据这些法规制定的上市后监测要素整合到这些系统和计划中。<相关法规>21向市场监管机构报告的义务(第73条)高风险人工智能系统的提供商必须向事件发生所在成员国的市场监管机构报告任何严重事件。您可以先提交一份不完整的初始报告,然后再提交一份完整的报告。报告发出后,服务提供商必须立即对严重事件和人工智能系统进行必要的调查,包括对事件进行风险评估以及采取任何纠正措施。委员会将在该条例生效后的12个月内发布关于此项报告义务的指导意见。市场监管机构将在收到报告后七日内采取相应措施。“严重事件”的定义:人工智能系统发生的事故或故障,直接或间接导致以下任何一种情况:(a)导致死亡或对人身健康造成严重伤害(b)对关键基础设施的管理或运营造成重大且不可逆转的干扰。(c)违反旨在保护基本权利的联邦法律规定的义务(d)对财产或环境造成严重损害分类报告截止日期原则提供商确定人工智能系统与严重事件之间存在因果关系或存在合理概率的因果关系之后,并且无论如何,在提供商或实施者知悉严重事件后的15天内,应立即采取行动。大范围违规事件(b)提供者或执行者在知悉事件发生后应立即采取行动,但最迟不得超过两天。有人死亡提供者或实施者证实或怀疑高风险人工智能系统与严重事故之间存在因果关系后,最迟不得超过提供者或实施者知悉严重事故之日起10天。22高风险人工智能系统进口商和分销商的义务(第23条和第24条)高风险人工智能系统投放市场之前,必须确保:・供应商

已进行

适当的合格评定程序;・供应商已准备

技术文件;・附有

CE标志、欧盟合格声明和使用说明;・已指定欧盟代表。高风险人工智能系统不符合本条例,是伪造的,或者附有伪造的文件,则不得将其投放市场。必须注明进口商名称、注册商号或注册商标及联系地址。高风险人工智能系统投放市场或投入使用后,合格证书、使用说明和欧盟合格声明的副本必须保存10年。进口商的义务高风险人工智能系统在商业销售前,必须确认以下事项:

-已附上

CE标志、欧盟符合性声明和使用说明。-供应商已履行标明名称等义务,并已履行建立质量控制体系的义务。-

进口商已履行标明名称等义务。高风险人工智能系统不符合相关法规,则不得上市销售。其投放市场的高风险人工智能系统不符合本条例,则必须采取任何必要的纠正措施,撤回或召回该系统,或确保提供商、进口商或其他相关企业采取纠正措施。卖方义务23高风险人工智能系统实施者的义务(第26条)采取技术和组织措施,确保产品按照使用说明使用。具备必要能力、培训、权限和必要支持的自然人进行人工监督。人工智能系统的预期用途相关且具有足够的代表性。根据人工智能系统的指令,监控其运行情况。如果有理由相信人工智能系统可能对健康、安全或基本人权构成风险,则应通知提供商或分销商和市场监管机构,并暂停使用该人工智能系统。发现严重事件,首先通知供应商,然后通知进口商或分销商和市场监管机构。根据设备的预期用途,自动生成的日志必须保存一段适当的时间,

至少六个月。在工作场所操作或使用高风险人工智能系统之前,雇主必须通知工人代表和受影响的工人,他们将受到高风险人工智能系统的使用影响。仅当介绍人是公共机构时:需要预先注册。只有在针对犯罪嫌疑人或已定罪罪犯进行有针对性的搜查的框架内,实施高风险事后远程生物识别人工智能系统的实施者,才应在事前或最迟在事后48小时内,寻求具有约束力且受司法管辖的司法机关或行政机关的授权。自然人做出或协助做出决定的高风险人工智能类别2(附件三)的实施者:通知这些自然人,他们正在使用高风险人工智能系统。24基本权利影响评估(第27条)附件

在实施第三部分所述的高风险人工智能系统之前,实施者必须评估使用该人工智能系统可能对基本权利产生的影响,

但以下高风险人工智能系统和实施者除外:基本权利影响评估包括:影响评估适用于高风险人工智能系统的首次部署。在类似情况下,可以参考之前的评估结果。如果实施人员认为上述任何因素在使用过程中发生变化或过时,则必须更新相关信息。在进行基本权利影响评估后,必须将结果通知市场监管机构。人工智能办公室将制定一份问卷模板。1用于关键基础设施的高风险人工智能系统4信用评分评估2公法组织5人寿和健康保险中的风险评估和定价3提供公共服务的私营机构1高风险人工智能系统按照其预期用途使用的流程进行描述。4考虑到提供者提供的信息,预计会对第3点中确定的类别造成特定伤害风险。2高风险人工智能系统将使用多长时间以及使用频率的描述5根据使用说明实施人员监控措施的说明3在特定情况下,可能受此使用影响的自然人和群体类别。6这些风险成为现实,我们将采取以下措施,包括我们的内部治理和申诉机制。25人工智能价值链中的责任(第2.5条)分销商、进口商、实施商或其他第三方符合以下任何一项条件,则被视为高风险人工智能系统的“提供商”,并须承担提供商的义务:在这种情况下,最初将人工智能系统投放市场或使其投入运营的提供商不再是提供商。将您的名称或商标应用于已上市或正在运行的高风险人工智能系统,而不影响任何其他分配义务的协议。对已上市或正在运行的高风险人工智能系统进行重大更改时。已上市或正在运行且未被归类为高风险人工智能系统的AI系统(包括通用人工智能系统)发生改变,从而变成高风险人工智能系统时。在这种情况下,原提供者必须向新提供者提供必要的合作和信息,以使其遵守本条例,除非原提供者明确规定人工智能系统不得转变为高风险人工智能系统。属于产品安全组件的第一类高风险人工智能(受其他法规约束),如果符合以下任一条件,则该产品的制造商将被视为高风险人工智能系统的提供商:高风险人工智能系统以制造商的名称或商标投放市场时。高风险人工智能系统在投放市场后,会以制造商的名称或商标运营。某人被认定为“提供者”的情况供应商和供货商合作高风险人工智能系统的提供者和任何提供人工智能系统、工具、服务、组件或流程的第三方(无论该人工智能系统、工具、服务、组件或流程是否用于或集成到高风险人工智能系统中)应签订书面协议,明确规定必要的信息、能力、技术访问权限和其他协助,以使高风险人工智能系统的提供者能够完全遵守本条例规定的义务。但是,这并不适用于根据自由开源许可公开发布工具、服务、流程或组件(不包括通用人工智能模型)的第三方。人工智能办公室将制定并推荐示范合同条款。26透明度义务(有限风险、通用人工智能模型)①(第50条)目标人工智能系统目标受众责任能够直接与人类互动的AI系统提供商人工智能系统,使其能够意识到是真人与它们进行交互。*除非对于一个具有合理知识、观察力和谨慎的自然人来说,考虑到使用情况和背景,这是显而易见的。能够生成合成语音、图像、视频或文本内容的AI系统(包括通用AI系统)提供商确保人工智能系统的输出能够被机器可读地标记,并能被检测出是人工生成或操纵的。在技术可行的范围内,确保技术解决方案有效、可互操作、稳健可靠。*不适用于以下人工智能系统:用于执行标准编辑的辅助功能。不会实质性地改变实施者提供的输入数据或其语义。在法律允许的范围内,为了侦查、预防、调查或起诉犯罪。情绪识别系统/生物特征分类系统引言向目标受众介绍系统的操作方法。*这不适用于法律授权的为侦查、预防和调查犯罪而进行的处理,前提是采取适当措施保障第三方的权利和自由。27透明度义务(有限风险、通用人工智能模型)②(第50条)目标人工智能系统目标受众责任深度伪造生成人工智能系统引言披露内容系人为生成或经人为篡改。内容明显构成艺术、创意、讽刺、虚构或类似作品或节目的一部分,则只需以合理的方式披露此类生成或篡改内容的存在,而不会干扰作品的观看或欣赏。*但如果法律授权用于侦查、预防、调查或起诉犯罪,则不适用本规定。人工智能系统生成或操纵文本,并发布这些文本以向公众通报公共利益相关事项。引言该文本系人为生成或篡改。*以下情况不适用:在法律允许的范围内,为了侦查、预防、调查或起诉犯罪。人工智能生成的内容经过了人工审核或编辑控制,自然人或法人对内容的发布负有编辑责任。最迟在第一次交换信息时,以清晰可辨的方式向各方提供需要披露的信息。人工智能办公室将鼓励和促进欧盟层面制定行为准则,以促进有效履行有关检测和标记人工生成或操纵内容的义务。28通用人工智能模型提供者的义务(第53条和第54条)制作并保存最新的模型技术文档,包括训练和测试过程以及评估结果,其中至少包含附件十一中规定的信息,并应要求提供给人工智能办公室和成员国当局。制作、更新并向拟采用通用人工智能模型的人工智能系统提供商提供信息和文档,但不得妨碍遵守和保护知识产权、商业机密信息或商业秘密的必要性。这些信息和文档必须:

-使人工智能系统提供商能够充分了解通用人工智能模型的功能和局限性,并履行其在本条例项下的义务;-

至少包含附件十二所列的要素。欧盟供应商:指定当地代表。

欧盟关于版权及相关权利的法律,特别是识别并遵守根据《数字单一市场版权指令》(2019/790)第4条第3款表达的权利保留,包括对文本和数据挖掘(包括与尖端技术相关的挖掘)的权利限制的保留。人工智能办公室提供的模板,准备并公开披露用于训练通用人工智能模型的内容的足够详细的摘要。例外上述第1至3条规定的义务不适用于根据自由开源许可证发布的AI模型提供商,该许可证允许访问、使用、修改和分发模型,并且其参数(包括权重)、模型结构信息和模型使用信息)是公开可用的。例外中的例外然而,这一例外不适用于构成系统性风险的通用人工智能模型。涵盖本法案要求的欧洲标准的通用人工智能模型,推定符合本法案的要求。在欧洲标准制定之前,供应商可以依靠行为准则来证明其履行了义务。29构成系统性风险的通用人工智能模型(第51条和第52条)通用人工智能模型符合“高影响”条件,提供商必须立即通知欧盟委员会,最迟不得超过两周,即在满足该条件或明确将满足该条件后两周内。如果欧盟委员会意识到通用人工智能模型构成系统性风险,也可以将其列为系统性风险对象。提供商可以连同其通知一起提交充分的论据,以证明其通用人工智能模型由于其特性,不会构成系统性风险,因此不应被归类为具有系统性风险的通用人工智能模型。委员会可根据附件十三所列标准,自行或根据科学小组的合格警告,将通用人工智能模型指定为构成系统性风险。指定决定作出六个月后,提供商可以请求欧盟委员会重新评估通用人工智能模型是否构成系统性风险,并提供自指定决定作出以来出现的客观、详细和新的理由。委员会将确保公布并更新构成系统性风险的通用人工智能模型清单。哪些通用人工智能模型会带来系统性风险?满足下列任何条件的通用人工智能模型将被归类为构成系统性风险的通用人工智能模型。根据适当的技术工具和方法(包括指标和基准)评估,具备高影响力能力。

*如果训练中使用的累计计算量(以浮点运算次数(FLOPs)衡量)大于10^25,则该技术被认为具有“高影响力”能力。根据附件十三所列标准,委员会依职权或科学小组发出合格警告后作出的决定,具有与上文第i点同等的能力或影响;委员会将制定授权法案,修改上述阈值,并补充基准和指标。指定程序30人工智能模型提供商的义务,这些模型构成系统性风险(第55条和第56条)通用人工智能模型具有系统性风险的通用人工智能模型创建和更新技术文档通用人工智能模型集成到人工智能系统中的供应商创建、更新和提供信息和文档实施一项遵守版权法的政策通用人工智能模型的内容的足够详细的摘要任命区域代表(除上述内容外)进行模型评估欧盟层面的系统性风险向人工智能办公室报告严重事件及其纠正措施适当的网络安全保护提供构成系统性风险的通用人工智能模型的供应商的义务通用人工智能模型提供商的义务外,还适用以下义务:根据反映最新技术的标准化协议和工具进行模型评估,包括进行和记录模型对抗性测试,以识别和减轻系统性风险。人工智能模型在开发、营销和使用过程中可能产生的系统性风险,包括其来源,从而评估和减轻欧盟层面的系统性风险。,应立即记录、存档并报告给人工智能办公室和成员国当局。构成系统性风险的通用人工智能模型及其物理基础设施提供适当的网络安全保护。(参考)通用人工智能模型提供商的义务清单31人工智能模型行为准则(第56条)人工智能办公室将鼓励和促进欧盟层面制定实践准则,以促进本条例的适当实施,并借鉴国际惯例。这些实践准则至少应涵盖与通用人工智能模型相关的义务,包括:确保通用人工智能模型提供商必须准备的技术文档和人工智能系统提供商的信息始终根据市场和技术发展保持最新状态。摘要中对研究内容的描述应达到适当的详细程度。识别欧盟层面的系统性风险的类型和性质,包括其来源。欧盟层面评估和管理系统性风险的措施、程序和手续,包括其文件编制。人工智能办公室可邀请所有通用人工智能模型提供商和相关成员国主管部门参与行为准则的制定。民间社会组织、行业、学术界和其他相关利益攸关方,例如下游提供商和独立专家,可以为这一过程提供支持。人工智能办公室将致力于确保《行为准则》的参与者定期向其报告承诺的履行情况、采取的行动及其成果,包括与关键绩效指标(KPI)的对比情况。关键绩效指标和报告承诺将根据参与者的规模和能力差异进行调整。人工智能办公室和欧洲人工智能委员会将定期监测和评估参与者对实现《守则》目标和正确实施《条例》所作出的贡献。欧盟委员会可以通过实施法案批准行为准则,并使其在整个欧盟范围内普遍生效。人工智能办公室可以要求所有通用人工智能模型提供商遵守行为准则。行为准则必须在本条例生效之日起九个月内制定完成。如果行为准则在12个月内未能完成,或者人工智能办公室认为其不完善,委员会可以以实施细则的形式制定通用规则,以规范通用人工智能模型相关义务的履行。行为准则(由27方签署)与通用人工智能模型的规定于2025年8月开始实施同时发布。(参考)https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai32人工智能监管沙盒①(第57至59条)创新型人工智能系统发布和投入运行之前的有限时间内对其进行开发、训练、测试和验证。欧盟成员国至少将设立一个数据保护机构,由该成员国主管部门负责设立(该机构可与其他成员国联合设立;对于欧盟机构,则由欧洲数据保护监管机构(EDPS)设立)。该机构将在本条例生效之日起24个月内开始运作。在沙盒环境中,参与者将能够获得主管部门关于规章制度及相关法律的指导,并能够收到主管部门关于其在沙盒环境中活动结果的报告。此外,如果符合法律条件,出于其他目的收集的个人数据也可用于开发和测试创新型人工智能系统。该机构将在人工智能监管沙盒内提供指导、监督和支持,以识别对基本权利、健康和安全的风险,并评估测试、风险缓解措施及其有效性,确保其符合本条例及其他相关欧盟和成员国法律的义务和要求。如果人工智能系统涉及个人数据处理,成员国将确保数据保护机构的参与。监管机构将向参与者提供监管预期以及如何履行本条例规定的要求和义务的指导。应提供商的要求,监管机构将提供:(i)在沙盒中成功开展活动的证明;(ii)详细说明在沙盒中开展的活动、相关结果和经验教训的最终报告。参与者可使用这些文件,通过合格评定程序或相关的市场监管活动来证明其符合本条例。人工智能办公室将发布和更新人工智能监管沙盒列表,欧盟委员会将开发一个包含所有相关信息的专用界面,供利益相关者与人工智能监管沙盒进行交互。每年将向人工智能办公室提交一份年度报告并予以公开。人工智能监管沙箱?当局的作用33人工智能监管沙盒②(第57至59条)参与者职责人工智能系统开发和测试过程中发现的任何对健康、安全或基本权利的重大风险,将采取适当的缓解措施;如果无法采取缓解措施,当局有权暂时或永久中止参与测试过程或沙箱。参与者须对因在沙盒内进行的实验而对第三方造成的任何损害承担责任。但是,如果潜在提供商遵守具体的参与计划和条款,并认真遵循监管机构的指导,则监管机构不会因违反本条例而处以罚款。此外,如果对其他欧盟和国家法律具有管辖权的机构积极参与沙盒内人工智能系统的监管,并提供合规指导,则不会就这些法律处以罚款。章程委员会将通过一项实施细则,详细规定人工智能监管沙盒的建立、发展、实施、运行和监督安排。该实施细则应包含以下问题的共同原则:人工智能监管沙盒参与资格和遴选标准申请、参与、监控、退出和终止人工智能监管沙盒的程序,包括沙盒计划和结业报告。适用于参与者的条款和条件上述实施细则将满足以下要求:透明、公平的遴选标准,当局在申请后三个月内作出决定,对中小企业和初创企业免费,以及中小企业和初创企业易于理解的简单程序。34人工智能监管沙盒③(第57至59条)个人数据的非预期使用人工智能监管沙盒允许在沙盒内处理为其他目的合法收集的个人数据,用于开发、训练和测试特定的人工智能系统,前提是满足以下所有条件:处理的数据是遵守高风险人工智能系统法规要求所必需的,而匿名化、合成或其他非个人数据无法有效满足这些要求。有有效的监控机制来识别在沙盒实验期间是否可能出现对数据主体权利和自由的高风险,以及应对机制来迅速减轻这些风险,并在必要时停止处理。保存在功能上独立、隔离和受保护的数据处理环境中,由提供数据的人控制,只有授权人员才能访问此类数据。任何个人数据的共享都必须符合欧盟数据保护法。在沙盒内创建的个人数据不得在沙盒外共享。处理个人数据不会导致任何影响数据主体的措施或决定,也不会影响欧盟数据保护法规定的权利的适用。个人数据将通过适当的技术和组织措施进行保护,并在终止参与沙盒或个人数据保留期限到期时删除。在您参与沙盒测试期间,保留个人数据处理日志。人工智能系统的训练、测试和验证过程及理论的完整详细描述,以及测试结果,将作为技术文档的一部分保存。该机构的网站上将发布一份简要概述,介绍在沙盒中开发的AI项目、其目标和预期结果。1公共安全和公共卫生,包括疾病的检测、诊断、预防、管理和治疗,以及医疗保健系统改进4交通运输系统、出行、关键基础设施和网络的安全性和韧性2高标准的环境保护和质量改进、生物多样性保护、污染防治、绿色转型措施、气候变化减缓和适应措施5行政和公共服务的效率和质量3能源可持续性[目标:为保护以下任何领域的公共利益而开发的AI系统]35对中小企业和初创企业的支持措施(第62条)成员国采取的措施只要符合资格和遴选标准,在欧盟设有注册办事处或分支机构的中小型企业(包括初创企业)将优先获得人工智能监管沙盒的使用权。根据中小企业(包括初创企业、采用者和地方政府)的需求,开展有关法规应用的具体宣传和培训活动。利用现有专用渠道或建立新的渠道与中小企业(包括初创企业、采用者、其他创新者和地方政府)沟通,提供建议并处理有关法规实施的问询。促进中小企业和其他利益相关者参与标准化制定过程。人工智能办公室采取的措施提供本规则涵盖领域的标准模板。开发并维护一个单一的信息平台,为欧盟所有企业提供与该法规相关的易用信息。开展适当的宣传活动,提高公众对本条例义务的认识。评估并促进与人工智能系统相关的公共采购程序最佳实践的融合。其他的在制定合格评定费用时,必须考虑到中小企业(包括初创企业)的利益和需求,并且必须根据企业规模、市场规模和其他相关指标按比例降低此类费用。36治理(第64至70条)欧盟委员会人工智能办公室欧洲人工智能委员会(EAIB:欧洲人工智能委员会)秘书处职能咨询建议和支持欧盟成员国主管机构

(欧盟主管机构为欧洲数据保护监管局(EDPS))参与建议和支持新加坡市场监管局(市场监管机构)合格评定SG(合格评定机构指定机构)作品-成员国当局(其中一人是主席国)・观察员:EDPS・秘书处:人工智能办公室(无投票权)主营业务-协调成员国当局之间的工作,促进统一的行政执法,并就执法事宜提供建议和支持-收集和分享技术和监管方面的专业知识和最佳实践・意见和建议(与行为准则、指南、法规修订、欧洲标准、通用规范等相关)-就国际关系向欧盟委员会提供建议咨询论坛(咨询论坛)・向欧盟委员会和欧洲投资银行提供专业知识和建议。由产业界、初创企业、中小企业、民间社会团体和学术界组成欧洲基本权利机构、ENISA、CEN/CENELEC和ETSI也参与其中科学小组(独立专家科学小组)・由独立于人工智能系统提供商的专家组成,他们拥有人工智能领域的最新科学知识人工智能办公室执行有关通用人工智能的规则提供建议和协助-应成员国要求,在其执法活动中与其合作・本法的适用和执行(不包括通用人工智能模型)-合格评定机构和市场监管机构(将在本条例实施后12个月内任命并公布)・本法的适用和执行(仅限通用人工智能模型)・制定下级法律法规及指导方针建议合作企业经营者导演导演37执行①(第74、75、79、82、85、86条)​​​​​​​市场监管条例((EU)2019/1020号条例)也适用于人工智能系统。

该条例要求设立欧盟代表处并与市场监管机构合作,

并授予市场监管机构命令提交文件和信息、进行现场检查以及发布纠正措施命令(包括召回)的权力。人工智能系统基于通用人工智能模型,并且该模型和系统由同一提供商开发,则人工智能办公室有权监控和监督该人工智能系统。市场监管机构有充分理由相信人工智能系统构成风险,则必须对该人工智能系统是否符合本条例的要求和义务进行评估。发现人工智能系统不符合本条例的要求和义务,市场监管机构应立即要求相关经营者采取一切适当的纠正措施,使人工智能系统符合规定,或在监管机构确定的期限内(最迟不超过15个工作日,或在相关法律法规规定的期限内,以较短者为准)将该人工智能系统从市场上撤下或召回。企业未在该期限内采取适当的纠正措施,市场监管机构应采取任何适当的临时措施,并应立即通知委员会和其他成员国。市场监管机构发现高风险人工智能系统虽然符合相关规定,但对人们的健康、安全、基本权利或其他公共利益方面构成风险,则将要求相关企业经营者采取适当措施,确保不会构成此类风险。市场监管38执行②(第74、75、79、82、85、86条)​​​​​​​市场监管机构将通过

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论