欧盟人工智能法案:2025年修订解读

Avatar
Lisa Ernst · 02.12.2025 · 技术 · 10分钟

企业热衷于人工智能试点项目,却常常忽视不断变化的法律框架。有关高风险人工智能系统或基础模型报告义务的问题,随后才出现。本文重点介绍了欧盟人工智能法案和澳大利亚等国家人工智能计划的调整,以提供指导。

欧盟人工智能法案:基础与修订

欧盟人工智能法案自2024年生效,并将逐步于2027年8月前生效。其基于风险模型,分为四个风险等级,并为通用人工智能模型(GPAI),也称为基础模型,增设了一个单独的类别。 人工智能法案服务台, ECNL

2025年,该框架将进一步完善。欧盟将发布通用人工智能的指导方针和行为准则。同时,在“数字综合法案”框架下,建议将高风险系统的最后期限从2026年8月延长至2027年底。 欧洲数字战略, 欧洲数字战略, Reuters, OneTrust

对于企业而言,这意味着人工智能合规是一项战略性任务,尤其是在金融服务、医疗保健或公共管理等行业,许多用例都属于“高风险人工智能系统”类别。 人工智能法案欧盟, 人工智能法案服务台

理解2025年欧盟人工智能法案的修订

欧盟人工智能法案基于风险等级对人工智能进行监管:不可接受、高、有限和最小风险,并为通用人工智能模型增设了一个单独的类别。 ECNL

欧盟委员会的官方实施时间表包含四个主要阶段:

2025年,焦点将转向通用人工智能以及高风险义务实际执行的速度问题。

欧盟人工智能法案的重要里程碑和最后期限,说明了该法规直至2027年的逐步实施。

来源: mindfoundry.ai

欧盟人工智能法案的重要里程碑和最后期限,说明了该法规直至2027年的逐步实施。

通用人工智能的指导方针和行为准则

2025年7月,欧盟委员会将发布三个关键工具来规范基础模型:GPAI提供商的指导方针、GPAI行为准则以及更多解释性援助。 欧洲数字战略

GPAI指导方针和官方常见问题解答(FAQ)明确了何时一个模型被视为通用人工智能(具有广泛的通用性、大量训练工作、多功能性),以及何时对其进行修改会引发提供商的义务。 欧洲数字战略

GPAI行为准则是一个自愿性工具,为提供商提供有关文档组织、透明度和版权流程的具体建议,以准备满足法律要求。 欧洲数字战略

委员会承认,该行为准则的完成晚于计划(2025年底而非5月)。这延长了基础模型提供商的不确定性,也是大型科技公司呼吁“暂停”人工智能法案的原因之一。 Reuters, Reuters

数字综合法案:高风险系统的推迟最后期限

2025年11月,委员会将提出一项名为“数字综合法案”的议案。核心内容是将高风险义务的应用最后期限从2026年8月推迟至2027年底。 Reuters, euronews, OneTrust

这将影响诸如公共场所的生物识别、用于求职和考试的人工智能、能源和交通网络中的人工智能、信用评分,以及医疗保健和执法中的人工智能辅助决策等应用。 Reuters, 人工智能法案服务台

提议的延迟是一种推迟,目的是完成标准、指导方针和监督结构,而不是撤销监管。尽管如此,非政府组织和一些议员却称之为数字保护机制的“倒退”,因为同时也在讨论放松数据保护和Cookie规则。 The Guardian

企业应利用这段时间建立治理结构。这一点也得到了Nemko或Compliance & Risks等合规分析的强调。 digital.nemko.com, complianceandrisks.com

国家人工智能计划

与此同时,澳大利亚采取了不同的方法:通过国家人工智能计划,集中投资于数据中心、数据基础设施和培训。人工智能将主要通过现有法律进行监管,并辅以2026年起设立的人工智能安全研究所。 行业页面, ABC, Reuters

澳大利亚国家人工智能计划:基础设施、数据、人才

当欧盟完善其人工智能法案时,澳大利亚通过其2025年国家人工智能计划,将重点放在不同的方面:减少新的禁令,转而协调基础设施、数据访问和能力的扩展。 行业页面

该计划有三个主要方向:

澳大利亚政府强调,目前将主要依靠现有法律,如数据保护、竞争法和消费者保护法,而不是创建自己的人工智能法案。 ABC, The Guardian

对于在多个司法管辖区运营的企业而言,这形成了一种对比:在欧盟,人工智能合规与一个专门的框架(欧盟人工智能法案)相关联,而澳大利亚则更多地依赖于部门监管机构和现有的法律工具,并辅以国家投资和资格计划。

企业人工智能合规

这场辩论归结于一个问题:如何建立一套既能解决欧盟人工智能法案又能解决国家人工智能计划的人工智能合规策略?一个务实的起点是将人工智能视为现有治理结构的扩展,类似于“设计中合规”的方法。 complianceandrisks.com

在欧盟,“高风险人工智能系统”具体意味着什么?

许多项目的核心问题是:“高风险人工智能系统欧盟意味着什么?这是否适用于我们的项目?”

人工智能法案通过两种方式定义高风险系统:第一,人工智能作为已受监管产品(如医疗器械、车辆)的组成部分或安全组件。第二,附件三列出的特定敏感应用领域中的人工智能系统。 人工智能法案欧盟, 人工智能法案欧盟

附件三包括:生物识别(如公共场所的远程面部识别)、关键基础设施(能源、交通、水)、教育(录取、考试监督)、就业和人力资源(应聘者选择和评估)、基本服务(如贷款、保险)的获取、执法、移民和司法。 人工智能法案欧盟, 人工智能法案服务台

实际案例:

法律上的关键是,一个系统是否会产生对健康、安全或基本权利的重大风险。人工智能法案允许为某些附件三的案例提供例外,如果不存在“重大风险”,例如在有限的欺诈检测场景中。 Al Act, dpo-consulting.com

对于高风险人工智能系统,规定了严格的义务:有记录的风险管理、稳健的数据治理、技术文档、日志记录、人工监督概念以及对准确性、鲁棒性和网络安全的要求。 人工智能法案欧盟

在该领域使用人工智能的企业应及早分析哪些项目属于高风险类别,并开始记录。

欧盟人工智能法案下人工智能系统的风险分类,从最小风险到不可接受风险。

来源: ctol.digital

欧盟人工智能法案下人工智能系统的风险分类,从最小风险到不可接受风险。

通用人工智能模型:针对基础模型的新欧盟指导方针

第二个主要关注点是通用人工智能模型(GPAI),通常称为基础模型。人工智能法案将“通用人工智能模型”定义为使用大量数据训练,表现出广泛的通用性,并能够胜任多种不同任务的模型。 人工智能法案欧盟

例如GPT-4、DALL·E或BERT等模型,它们只有通过集成到具体系统中才能变得领域特定。 Taylor Wessing

自2025年8月2日起,通用人工智能模型提供商将承担特殊的义务:

具有系统性风险的模型将根据技术阈值(计算能力)、潜在影响等进行分类。 人工智能法案欧盟, Stibbe

GPAI框架对企业中有两类人具有实际意义:

数字综合法案中提议的延期主要影响高风险要求,而不是普遍的GPAI义务,后者将于2025年8月生效。 OneTrust

今天已经使用基础模型自动化内部决策流程的企业,应该检查其自身设置是否被视为GPAI提供商、高风险系统或两者兼有。

人工智能合规策略的三个实践观察

  1. 没有清单就没有策略: 早期创建人工智能地图的企业——了解系统在何处使用、使用什么数据以及影响哪些决策——可以更快地识别哪些用例可能属于附件三或涉及基础模型。 eyreACT, dpo-consulting.com
  2. 明确风险等级+角色: 风险等级(高风险vs.有限风险)与角色(提供商vs.部署者)的结合决定了义务。例如,在欧盟银行业使用美国基础模型,可能同时是高风险系统的部署者和GPAI模型的“下游用户”——承担不同的、重叠的义务。 人工智能法案欧盟
  3. 将合规视为产品功能: 特别是在受监管的行业中,人工智能合规成为一个销售论点。一家已建立符合欧盟人工智能法案的人工智能风险管理的公司,在B2B客户那里会更容易获得支持。结构化的影响评估(例如人权或基本权利影响评估)可以揭示风险。 arXiv, arXiv

利用高风险系统至2027年的较长最后期限来建立这些流程的企业,将在正式监管收紧时处于更有利的位置,并更早地获得信任优势。

重要定义

一幅图展示了七项人工智能使用原则,以圆形排列并配有文字描述。

来源: user-added

一幅图展示了七项人工智能使用原则,以圆形排列并配有文字描述。

资源与展望

对于那些喜欢通过讲解来理解主题的人来说,一些视频很合适——始终作为原始文本的补充。:

各国正在收紧人工智能规则——但并非在所有地方都以相同的方式。在欧洲,欧盟人工智能法案正在完善,并在某些方面拉长了时间,但并未放弃其严格的基于风险的监管的基本逻辑。在澳大利亚,有一个关注基础设施、技能和安全且更侧重于现有法律和部门监管的国家人工智能计划。 人工智能法案服务台, 行业页面

这对企业意味着:不要在创新和监管之间选择,而是要建立一个能够同时支持两者的自身人工智能战略。识别高风险人工智能系统,清晰界定基础模型,并将人工智能治理确立为产品和流程开发的核心组成部分的企业,将能够抓住当前的“监管转变”带来的机遇。

分享我们的文章!