2024年8月1日，欧盟新出台的《人工智能法案》开始正式生效。该法案是全球首部全面的人工智能和机器学习的重点法律，体现了欧盟旨在成为“世界级人工智能中心”的数字战略。 然而，人工智能技术的发展主要由总部位于欧盟以外的公司主导，特别是中国和美国的公司。毫无疑问，欧盟《人工智能法案》具有域外效力，将对包括在欧盟以外运营、开发和使用 AI 系统或模型的企业产生重大影响。但鉴于人工智能相关市场的特殊性，欧盟内部的法律文书是否能够对人工智能治理产生全球影响——即产生“布鲁塞尔效应”？这其中存在一些争论。 相关公司的董事会、高管和管理人员，在制定和实施人工智能合规计划时，应当从更深层理念和趋势来理解这一法案的意义和影响。 一、欧盟《人工智能法案》的监管局限性1、“产品安全”框架难以解决价值观问题欧盟的人工智能监管具有双重目标：第一，为人工智能创造一个“单一市场”，并为市场参与者提供在欧盟内开展业务所需的“法律确定性”；第二，它是欧盟的一种价值观导向的工具，将进入欧盟单一市场的机会限制在符合其价值观的“值得信赖的”人工智能系统范围。 《人工智能法案》的文本，基本上反映了这两个目标之间的平衡。作为促进市场一体化的工具，《人工智能法案》确定了“产品安全”这一特定的监管框架，因此将大部分实质性条款用于处理那些被认为对健康、安全和基本权利构成高风险的AI产品。 在此，必须注意，欧盟《人工智能法案》框架中的基本权利目标，与用于实现这些目标的产品安全工具之间存在一些本质性的矛盾。因为在产品安全立法中，用于衡量和解决健康、安全风险的机制和计算方式，基本上没办法适用在“基本权利”面临的风险上。例如，“隐私”就是不适合用产品安全的计算来量化风险。 这就意味着，在公司制定合规计划时，仅仅依赖于《人工智能法案》文本本身，是不够的。欧盟在具体执法中，很可能将引用其他标准和文本来解决人工智能的伦理和声誉风险。也就是说，公司仍旧面临某些“法律上的不确定性”。 2、抽象的监管规则如何具体化欧盟《人工智能法案》对“高风险人工智能”的规定非常广泛，但这些规定也非常抽象。因此，人工智能的提供商面临着一个巨大的技术挑战：如何将抽象的法律要求表达为具体的代码和软件。 首先，这涉及到大量的解释性工作，这对任何一个公司及其合规团队来说，都是一个艰巨的任务； 其次，修改代码以应对法律的变化不仅是一个缓慢的过程，而且是公司与技术标准和认证机构博弈和试错的过程，特别是在审议的技术语言很少向公众开放的情况下。 二、欧盟《人工智能法案》能够成为全球标准？“布鲁塞尔效应”是一种以市场为基础的监管输出机制，最初被表述为一种事实上的现象，即欧盟以外的企业因为经济因素被迫遵守欧盟标准，而更重要的是，欧盟在规则塑造方面的独特能力，其他司法管辖区纷纷效仿欧盟的监管方式。 目前欧盟监管研究已经确定了，如果《人工智能法案》要产生“布鲁塞尔效应”必须满足的五个条件。 1、市场规模 目前看，欧盟很可能成为人工智能系统的庞大市场，大型在线平台或人工智能公司不太可能放弃欧盟成员国数百万的用户。 2、监管能力 监管能力，包含了人工智能的专业知识和机构执行的能力。相对来说，欧盟比其他司法辖区更具备相关用于人工智能监管的技术和机构能力。 3、标准更严格 对于低风险人工智能系统，都可能出现超出欧盟规范的第三国立法；而对于高风险、被禁止的人工智能、具有系统性风险的通用人工智能系统，《人工智能法案》更有可能出现布“鲁塞尔效应”。 4、监管目标不具有弹性 这里的“弹性”是指，法案的监管范围是否具有某种“可解释性”。综合来说，AI提供商只要还不放弃欧盟市场，就不能整体规避欧盟《人工智能法案》；但如果提供商声明其特定系统不会对《人工智能法案》保护的价值构成高风险，则在一定程度上可以避免适用于高风险人工智能系统的规则。 5、监管对象的不可分割性 如果要分拆大部分人工智能所依赖的机器学习系统、定制化一个欧盟版本并长期维护，很可能会有成本过高的问题，因此《人工智能法案》的监管对象在技术上基本造成了其不可分割性，更有可能发挥法案的“布鲁塞尔效应”。 综上所述，因为管理人工智能在技术上具有相当的复杂性，因此，准确判断欧盟《人工智能法案》是否及在何种程度上具有“布鲁塞尔效应”难度很大——在某些标准上，欧盟标准很可能影响全球，但在某些情况下，这种“布鲁塞尔效应”却受到限制。但以上分析，可以为相关企业提供一些合规计划的线索。 三、企业当如何做AI合规计划——管理层面欧盟的《人工智能法案》并非完美，公司都会对其合规要求有所抱怨。然而不可否认，这是一项强有力的法规，它必须成为所有参与人工智能研发和实施的企业的优先事项，这也是企业保护自己品牌和底线的一种方式。 创建人工智能法案合规计划是一项全企业范围的努力。因此，董事会、高管和管理人员在项目的设计、实施、扩展和维护方面都有不同的责任，以及应该小心避免的常见陷阱。 1、董事会需要做什么摆在董事会面前的主要问题，是决定要制定特定于欧盟《人工智能法案》的合规计划，还是更普遍的人工智能伦理风险的人工智能计划。 在理想情况下，选择后者是一种更全面的策略，可以更长远地保护公司品牌的可信度；但在大多情况下资源有限，这就意味着仅仅遵守法案监管更加合适。但即使选择后者，董事会应意识到，仅仅根据《人工智能法案》文本来制定合规计划可能无法达到欧盟的监管目标要求，实践中可能仍然存在一定合规风险。 在面对这个问题时，要尽量避免董事会犯两种错误： （1）董事会认为这些问题太复杂或“太技术化”，以至于他们无法更无需做出这类决策。 但是，考虑到所涉及的风险的严重性和规模，例如巨额罚款的问题，处理好这些问题绝对是董事会的责任。 （2）董事会往往认为，只要本公司及产品没有违反欧盟《人工智能法案》，就足以证明他们的产品是安全的。 但实际上，并购、新型人工智能及其增强的工作流程、新的供应商等都为违反道德规范带来了新的、充足的机会。 当然，这并不意味着董事会要成为专家，而是知道该问什么问题，例如： 高管层中谁负责AI项目的合规和监督?在根据欧盟《人工智能法案》评估人工智能模型是否属于禁止或高风险人工智能类别时，本公司团队和市场标准是否具有一致性?本公司使用什么指标来跟踪他们负责设计和实施的项目的合规性？ 2、高管们需要做什么高管层将在设计和监督AI合规项目中发挥最大的作用，其主要任务是确定哪些现有资源是可用的，以使合规计划实施得更高效。即高管层必须做出的关键决策包括，当一种新型人工智能正在试点，模型属于《人工智能法案》的高风险类别，或者几种风险缓解策略失败时，应该通知公司的哪些部门或团队。 高管层应该避免的决策错误包括： （1）简单地购买“解决方案”或“自动化平台”来帮助自动化风险识别。 自动化解决方案并非不合理，但它不应该成为公司早期的关注焦点。公司最初需要找到适合本公司的合规框架，并以此建立相应的人员、流程和技术，而且这些框架应该根据《人工智能法案》的监管实践做动态调整。 （2）将高管层应作出的上述决策下放到某个单功能的业务部门中，例如，仅仅依赖于法律团队或数据/技术的团队。 项目的掌控权应掌握在某一位高管手中，并建议组建一个跨职能团队来协助高管持续监督管理人员和其他一线人员，以确保产品质量和改进流程运作良好。 3、管理者需要做什么如前分析，欧盟《人工智能法案》的抽象性意味着大量的“法律原则转化具体操作”需要由公司自己完成。对管理者的最大的挑战是，如何以一种不破坏常规业务核心目的的方式，将这些合规需求融入现有工作流程。 管理人员应该特别注意根据各种因素定制人工智能合规的工作流，包括正在设计、构建、测试、采购和部署的人工智能类型，以及工作流带来的风险级别。 在这其中，最容易出现的错误是：在整个人工智能生命周期中，管理人员没有意识到工作流风险水平的“变化”。例如，用于某种用途的AI，可能会在之前没有想象到的环境中使用，如果没有相应的风险管理，可能会产生严重的后果。 因此，管理人员应当对AI风险的变化有所预期，自己也须进行大量人工智能伦理或法规的学习，对人工智能可能会导致各种道德和监管问题做持续性的评估，并制定相应的风险记录和管理流程。