§1 生物识别
跨行业- 远程生物识别(非第5条禁止)
- 生物识别分类(排除敏感属性)
- 非禁止情境下的情绪识别
EU AI Act(法规(欧盟)2024/1689)将人工智能系统划分为四个风险等级:禁止、高风险、有限风险和极低风险。高风险类别——由第6条以及附件一和附件三中的清单加以界定——是大多数企业人工智能义务的所在。
附件三包含八类高风险使用场景:生物识别、关键基础设施、教育、就业、基本服务、执法、移民以及司法/民主。如果您的人工智能落入其中任何一类,您将面临完整的合格评定、技术文件、人工监督、上市后监测体系——以及高达1500万欧元或全球营业额3%的处罚。
高风险义务自2026年8月2日起适用。第6条第(3)款规定了一项狭窄的豁免,适用于人工智能仅执行"狭窄的程序性任务"、改进先前已完成的人类活动、在不取代决策模式的情况下检测其偏差,或执行准备性任务的情形。
EU AI Act 是全球首部全面的人工智能横向法规。它适用于将人工智能系统投放欧盟市场的提供者以及在欧盟使用人工智能系统的部署者——包括其输出在欧盟使用的非欧盟公司(第2条)。
与GDPR一样,AI Act 具有域外效力。与GDPR一样,违反它将招致按营业额百分比计算的处罚。与GDPR不同的是,它有明确的禁止使用场景类别,以及针对高风险系统的大量上市前要求。
大多数企业人工智能落入高风险(因人力资源、信贷或生物识别使用场景)或有限风险(因聊天机器人部署)两类之一。
第6条在满足以下任一条件时将人工智能系统归类为高风险:
许多系统同时满足两项测试;附件三路径是大多数产品团队需要理解的。
第6条第(3)款规定了一项狭窄的豁免。附件三所列的人工智能系统,若不对自然人的健康、安全或基本权利构成重大损害风险,包括不实质性影响决策结果,则不属于高风险。第6条第(3)款的条件如下:
若人工智能系统对自然人进行画像,则该豁免不适用。在提供者认定附件三系统不属于高风险的情况下,提供者必须记录该评估(第6条第(4)款)并将该系统在欧盟数据库中注册(第49条)。
高风险义务范围广泛。提供者必须:
部署者——在其权限下使用人工智能系统的自然人或法人——承担较轻但实在的义务:
通常不会。通用聊天机器人在第50条项下属于有限风险——您必须披露用户正在与人工智能互动。但用于评估求职者、信贷申请或庇护申请的聊天机器人,则会在附件三第4、5或7节项下属于高风险。
通用人工智能模型在第51–55条项下有其自身的规则集(技术文件、版权政策、训练数据摘要,以及对具有系统性风险的GPAI更严格的规则)。GPAI义务自2025年8月2日起适用。
部分豁免。第2条第(12)款将免费和开源人工智能排除在许多要求之外——除非该系统属于高风险、被禁止,或须承担第50条的透明度义务。实际效果是:开源模型可自由使用,但处于高风险情境中的部署者仍须承担高风险义务。
二者并行适用。处理个人数据的人工智能必须同时满足GDPR(合法依据、DPIA、第22条项下的自动化决策)和AI Act(合格评定、FRIA、上市后监测)。高风险人工智能提供者通常既需要DPIA,也需要AI Act技术文件。
实际上不能。第2条第(1)款涵盖将人工智能系统投放欧盟市场的提供者、其输出在欧盟使用的第三国提供者,以及欧盟境内的部署者。大多数重要的人工智能供应商都在适用范围内。
RegulatoryBridge 为高风险人工智能系统执行合格评定、FRIA、技术文件和上市后监测——让您的产品团队专注于模型,而非文书工作。