欧洲《人工智能法》草案解构

2021年欧盟《AI统一规则条例（提案）》发布，2023年欧洲《人工智能法案》草案（《法案》）发布，在诸如数据和个人信息保护、人工智能等领域，欧洲堪称立法先驱，进行着“足以称为当前世界范围内最为系统的人工智能立法探索”。
《法案》提出了适用于人工智能系统的一般原则，对各方主体及其义务、高风险人工智能系统基本权利影响评估、评估的程序方式要素、人工智能相关治理等进行了丰富的阐述。《法案》结构庞大内容繁杂，本文将摘录其中部分条款进行评析。

一、人工智能风险等级及相应监管

各风险等级详解

禁止类：主要包括“实质性地扭曲人类行为，从而有可能发生身份或心里伤害”为目的的人工智能系统；根据已知或推断的敏感或受保护的特征将自然人归入特定类别的人工智能系统，其中“特征”包括性别、性别认同、种族、民族血统、移民或公民身份、政治取向、性取向、宗教、残疾等；为一般目的提供自然人社会评分的人工智能系统，从这种人工智能系统获得的评分可能导致与其社会行为的严重性不成比例或不合理的不利待遇；根据自然人的画像或者个性特征和特点的数据分析，预测实际或潜在的刑事犯罪或其他社会危害行为的人工智能，包括欺诈预测系统；不加区分地地从社交媒体或闭路电视录像中爬取生物识别数据的人工智能系统等。但同时禁止类的人工智能还能系统中，也有特例存在，即附条件的使用：在非公众可进入的区域，或在执法过程中，事先获得司法授权且在与已经发生的特定严重刑事犯罪有关的目标搜索严格需要的情况下，可使用人工智能系统对自然人进行远程生物识别。

高风险类：高风险的人工智能系统并未被禁止，但其开发和使用受到严重限制，并只允许在进行了“符合性”评估户才能进行。欧洲议会、理事会、委员会的认定范围会有一些不同。《法案》附件中列出了高风险领域和使用情况清单，同时指出这个清单应定期评估、长期审查。这些高风险AI系统主要包括关键基础设施的管理和运营、教育和职业培训就业，工人管理和自营职业的准入、移民庇护边境管理等。

二、高风险人工智能提供者、使用者的义务

作为提供者的自然人或法人应对高风险人工智能系统的投放市场或投入使用负责，而无论该自然人或法人是否是涉及或者开发该系统的人。

在人工智能系统的整个声明周期中，应建立、实施、记录和维护与高风险人工智能系统有关的风险管理系统。

实施适当的数据治理和管理以确保高质量的训练、验证和测试数据集，确保高风险的人工智能系统按预期安全地运行。

保证隐私权和保护个人数据的权利，这些措施不仅包括匿名化和加密，还包括数据传输、数据复制等的限制。

对高风险人工智能系统保持记录并提供技术文件，其中包括评估人工智能系统是否符合相关要求的必要信息、能源消耗信息。其中所有人工智能类产品均应在开发、训练和部署阶段进行能源和资源消耗方面的记录。

遵守无障碍要求，确保残疾人与其他人一样获得信息和通信技术，并确保尊重残疾人的隐私。

信息明示（包括标示名称、商标、地址、联系信息等，加贴CE标志）、完成合格评估等。

除此之外，《法案》还要求高风险人工智能系统提供者建立质量管理制度、制定纠正措施等。

三、监管沙盒

1、什么是“监管沙盒”

有关监管沙盒的条款见于《法案》第五章“支持创新的措施”中。每个成员国均应在国家层面至少设立一个监管沙盒，其向所有符合资格的人工智能系统潜在申请者开放，主要用于为AI系统提供一个受控的环境，在有限的时间内促进创新人工智能系统的开发、测试和验证。其设立目的是通过官方资源保证对AI系统的指导、促进和监管，保证AI系统符合《法案》及成员国相关规定。

值得注意的是，AI沙盒中的潜在AI提供者虽需对因在沙盒中进行实验而对第三方造成的损害承担责任，但只要该潜在提供者尊重相关条款和条件并善意地遵循当局指导，监管当局将不会对违反本条例的行为进行罚款。

2、监管沙盒的局域性

监管沙盒使得人工智能系统开发者在一个“密闭”的环境中对产品进行部署和测试。沙盒背景下处理的任何个人数据都在一个功能独立、隔离和受保护的数据处理环境中，由潜在的供应者控制，并且只有特定授权的人才能接触到这些数据；沙盒背景下对个人数据的处理并不会影响数据主体的措施和决定，也不会影响他们在欧盟法律中的个人信息权利。

结语

除以上内容外，认证、处罚、监管机构及其职责等也是AI法律研究者关注的热点，因篇幅有限，此次不做详细介绍。