歐盟的人工智能（AI）法：這是同類型的首部法案

概述

歐盟推出了有關人工智能的新立法 --《歐盟人工智能法》（以下簡稱“該法案”），這為歐盟所有行業的人工智能監管和負責任的發展奠定了基礎。該法案於 2024 年 7 月 13 日發佈在《歐盟官方公報》上，並將於 2024 年 8 月 2 日生效。雖然這將是全球範圍內首個生效的此類法案，但美國科羅拉多州似乎也不甘落後 -- 它是美國第一個在近期通過相關全面立法的州。

本文將介紹《歐盟人工智能法》的內容、它是如何對人工智能系統進行分類的、以及該法禁止哪些行為以及哪些行為被視為高風險。雖然該法案與許多行業相關，但本文將簡要考慮該法案對醫療技術行業的一些具體影響，並將介紹該法案與科羅拉多州同等法案的比較。

《歐盟人工智能法》的內容是什麼？

該法案如何對人工智能系統進行分類？

該法案根據風險而對人工智能進行分類：

不可接受的風險：不可接受的風險（如操縱性人工智能和社交評分系統）會被禁止；
高風險：該法案大部分內容涉及高風險人工智能系統，其將被監管；
有限風險：該法案的一小部分涉及有限風險的人工智能系統，對其透明度要求較低（例如，開發者/部署者必須確保最終用戶知道他們正在與人工智能互動）；以及
極小風險：最低風險不受監管（包括視頻遊戲和垃圾郵件過濾器等各種人工智能應用）

哪些系統被禁止使用？

根據該法案（引自 https://artificialintelligenceact.eu/high-level-summary/），以下類型的人工智能系統是被禁止的：

利用潛意識、操縱性或欺騙性技術扭曲行為和損害知情決策，造成重大傷害。
利用與年齡、殘疾或社會經濟狀況有關的弱點來扭曲行為，造成重大傷害。
推斷敏感屬性（種族、政治觀點、工會會員身份、宗教或哲學信仰、性生活或性取向）的生物識別分類系統，但合法獲取的生物識別數據集的標記或過濾或執法部門對生物識別數據進行分類的情況除外。
社會評分，即根據社會行為或個人特徵對個人或群體進行評估或分類，從而對這些人造成不利或不利待遇。
僅根據特徵分析或個性特徵評估個人實施刑事犯罪的風險，除非是根據與犯罪活動直接相關的客觀的、可核實的事實來加強人工評估。
通過無針對性地從互聯網或閉路電視錄像中抓取面部圖像，編制面部識別數據庫。
在工作場所或教育機構推斷情緒，除非是出於醫療或安全原因。
在公共場所為執法部門進行“實時”遠程生物識別（RBI），但以下情況除外：
- 尋找失蹤人員、綁架受害者和被販賣或遭受性剝削的人；
- 防止對生命的重大和緊迫威脅，或可預見的恐怖襲擊；或
- 確定嚴重犯罪（如謀殺、強姦、武裝搶劫、麻醉品和非法武器販運、有組織犯罪和環境犯罪等）的嫌疑人。

哪些系統被視為高風險系統？

如上所述，該法案的大部分內容涉及高風險人工智能系統。根據該法案，高風險系統指的是同時滿足以下兩個條件的系統：

用作安全部件或屬附件 I 所列的歐盟法律涵蓋的產品（見下文）；以及
根據附件 I 的法律，而必須接受第三方合格評估；

其中附件 I 包括醫療器械、機械、休閒水上用具、電梯、玩具安全、潛在爆炸性氣體環境設備、索道裝置、個人防護設備、無線電設備、壓力設備、燃燒氣體燃料的設備、民用航空安全、機動車輛及其拖車、兩輪或三輪車、農業和林業車輛、航海設備、鐵路系統、飛機^[1]。

該法案附件 III 用例（見下文）中，還列出了其他被視為高風險的系統，但以下情況除外：

系統執行的是狹義的程序任務；
其改進先前完成的人類活動的結果；
系統檢測與決策模式有關的信息，且不經人工審查的話不會取代/影響人工評估；或
僅執行與附件 III 用例目的相關的評估的準備任務；

附件三的用例涉及：非禁止的生物識別；關鍵基礎設施；教育和職業培訓；就業、工人管理和自營職業；獲得和享受基本的公共和私人服務；執法；移民、庇護和邊境控制管理；以及司法和民主進程。

最後，任何對個人進行剖析的人工智能系統，即涉及自動處理個人數據以評估個人生活的任何方面（如工作表現、經濟狀況、健康、偏好、興趣、可靠性、行為、位置或移動），也被視為高風險。

誰來負責確保合規？

大部分義務由高風險人工智能系統的提供者（開發者）承擔，即那些打算在歐盟範圍內銷售高風險人工智能系統或將其投入使用的人。高風險人工智能系統的用戶（部署者），即以專業身份部署人工智能系統的自然人/法人（即不是那些受影響的最終用戶）也將承擔一些義務。

該法案還詳細規定了對任何通用人工智能（ GPAI）模型和系統提供商的要求，尤其是在它們會帶來系統性風險的情況下。

對高風險人工智能系統提供商有哪些要求？

高風險人工智能系統的提供商必須：

在人工智能系統的整個生命週期內建立風險管理系統；
準備技術文件以證明合規性，並向相關機構提供能夠評估合規性的信息；
進行數據管理，確保數據集的培訓、驗證和測試具有相關性、足夠代表性且無錯誤；
設計系統，從而：
- 保存記錄，使系統自動記錄可能與識別人工智能系統整個生命週期中的重大修改和國家級風險相關的事件；
- 允許部署者實施人為監督；以及
- 達到適當的準確性、穩健性和網絡安全水平；
向下游部署者提供使用說明，使其能夠遵守規定；以及
建立合適的質量管理系統（QMS）以確保合規。

該法案將如何被實施？

已成立一個人工智能辦公室來監督該法案的實施，該辦公室下設五個部門：監管與合規、安全、人工智能創新與政策協調、機器人與人工智能造福社會、以及人工智能的卓越性。

相關的時間表是什麼？

法案生效後，以下期限將會適用：

對於被禁止的人工智能系統而言：6個月；
對於GPAI而言：12個月；
對於附件 III 所列的高風險人工智能系統（如上所述）而言：24 個月；以及
對於附件I所列的高風險人工智能系統（如上所述）而言： 36 個月。

對違規行為有哪些處罰？

對不遵守該法案有關禁止系統規則的行為，最高可處以 3500 萬歐元或全球年營業額 7% 的行政罰款（以金額較高者為准）。對違反其他各種規定的行為，最高可處以 1,500 萬歐元或全球年營業額 3% 的罰款（以較高者為准）。對於中小型企業來說，上述數字是相同的，但相關的處罰金額是兩個選項中更低的（而不是更高的）。

那麼，這對醫療技術而言意味著什麼？

如上所述，用於醫療設備的人工智能系統屬高風險類別。因此，對於已受《醫療器械管理條例》（MDR）或《體外診斷醫療器械管理條例》（IVDR）監管的人工智能醫療技術而言，遵守該法案的最後期限為 2027 年 8 月 2 日（即該法案生效後 36 個月）。

如上文所述，高風險人工智能系統的提供商必須建立質量管理體系以確保合規。因此，對於符合該法案要求的醫療器械製造商來說，除了作為 MDR 或 IVDR 的一部分而採取的現有措施外，他們還必須建立綜合、一致的 QMS，將人工智能方面納入其中。這是對高風險人工智能系統供應商的其他要求的補充，如上所述。

為了證明產品同時符合該法案和 MDR/IVDR 的要求，該法案確認只需要一個合併的 CE 標誌和一個符合性聲明，這樣就可以在一個流程中處理兩個法案的共同要素。然而，與醫療技術領域重疊的許多其他歐盟法規（如《通用數據保護法》、《數據法》、修訂後的《產品責任指令》、《歐洲健康數據空間法規》（EHDS））給公司和製造商，尤其是資源有限的小公司帶來了更多挑戰，使他們難以駕馭所有要求。因此，儘管距離最後期限還有一段時間，我們仍敦促此類高風險人工智能系統的製造商儘快開始其合規之旅。

科羅拉多州新人工智能法案簡介^[3]

除歐盟外，科羅拉多州是美國第一個通過人工智能全面立法的州。科羅拉多州的人工智能法最近被公佈，並計劃於 2026 年 2 月 1 日生效。

雖然歐盟法案和科羅拉多州人工智能法案都採用基於風險的方法來監管人工智能，並側重于對高風險人工智能系統的監管，但它們對這些系統的分類略有不同。歐盟法案在這方面涉及更廣泛的分類，例如包括生物識別、司法和民主進程以及執法等類別。歐盟法案還對違禁系統、有限風險系統和某些 GPAI 系統進行了額外分類和監管。

在合規責任方面，雖然兩部法案都規定了系統開發者和部署者的義務，但歐盟法案更強調對提供者（而非部署者）的要求。

執法處罰似乎也大相徑庭，《歐盟法案》對違規行為的罰款力度似乎要大得多。看看其他地區會採取什麼方法，將是一件有趣的事情。

Search

Search

歐盟的人工智能（AI）法：這是同類型的首部法案

概述

《歐盟人工智能法》的內容是什麼？

那麼，這對醫療技術而言意味著什麼？

科羅拉多州新人工智能法案簡介^[3]

更多信息

Latest Insights