2024年8月1日，作為歐盟數字立法重要里程碑之一的《人工智慧法》正式生效，這是世界上第一部基於風險分級分類治理的統一AI法律，歐盟意在透過“布魯塞爾效應”建立負責任AI的全球治理標準，並期望成為世界各國立法效仿的範本。

透過建構事前的“產品合規框架”、事中的“全生命週期合規框架”以及事後的“鉅額罰款的處罰框架”，歐盟著力解決的難題是如何平衡發展（創新）與安全（權利）之間的緊張關係，這體現在既要促進AI的開發、投放市場、提供服務和使用，又要確保人們免受AI的損害，高水平地保護人們的健康、安全和基本權利，同時還要支援科技的創新。

對於有出海歐盟需求的中國企業來說，最好的選擇無疑是透過提前履行合規義務，滿足歐盟《人工智慧法》的技術要求，以防範AI風險及避免鉅額處罰，並充分享受AI帶來的時代紅利。

我們建議遵守如下策略：其一，在企業內定義並控制AI模型及系統的邊界；其二，在組織內製定詳細具體的AI治理計劃，實施持續風險防控並構建體系；其三，重點關注AI模型和系統的網路安全、個人資訊保護及資料安全，遵循零信任原則；其四，做好AI的風險均衡化和分散化，避免集中式系統設計，以減少影響範圍；其五，處理好AI系統全生命週期中的資料合規及資料治理；其六，做好組織內的AI素養教育，尤其是確保使用者接受培訓；其七，透過持續實施偏見測量等倫理審查，在組織內實現負責任和可信的AI。

筆者在最近出版的新書《歐盟人工智慧法合規手冊》中獨創性提出九步合規框架，具體輔導我國出海企業實施落地歐盟《人工智慧法》。

首先，法律界定了AI系統的內涵，強調其應當具有推理能力、基於機器、目標化、自主性、適應性等五大特性，以便與傳統軟體系統或程式設計方法以及僅基於自然人定義的規則自動執行系統進行區別。

其次，法律還區分了AI系統和AI模型，模型雖然是系統的重要組成部分，但是模型本身並不構成系統，模型需要新增使用者介面等更多元件才能成為系統。

第二步需要從具體場景中確定行為主體的法律地位，包括AI系統的提供者、部署者、進口者、分銷者、製造者、歐盟授權代表以及受影響的個人等，重點是區分清楚AI系統的提供者、部署者及其法律責任。

首先，需要判斷是否涉及上述七種主體型別；其次，需要判斷是否涉及第6條第1款確定的高風險AI系統，且與附件一第B節列出的歐盟協調立法所涵蓋的產品相關的AI系統。最後，還需要判斷是否涉及國家安全條款、執法和司法合作條款、科研和開發條款、非職業行為條款、勞動者權益條款以及免費和開源條款等豁免情形。

首先，明確禁止性AI行為的具體範圍。包括使用潛意識、操縱或欺騙性技術來扭曲行為；利用與年齡、殘疾或社會經濟狀況相關的缺陷來扭曲行為；可能導致有害或不利待遇的社會評分；僅基於使用者畫像評估犯罪風險；非針對性編制人臉識別資料庫；在工作場所或教育機構推斷自然人的情緒；推斷敏感資料的生物特徵分類系統；在公共場所為執法目的使用即時遠端生物特徵識別系統等。

其次，界定在公共場所為執法目的使用即時遠端生物特徵識別系統的“豁免”條件。豁免範圍僅限於：尋找特定犯罪受害者；自然人的生命或人身安全受到特定威脅或受到恐怖襲擊；確定刑事犯罪行為人或嫌疑人的位置或身份，且可處以至少四年的監禁等。系統使用目的只能用於確認具體個人的身份，並應僅限於在時間、地理和個人方面絕對必要的情況。

首先，界定高風險AI系統的分類規則及具體範圍。其中，正面清單涉及安全元件或附件一涵蓋的產品，且需要進行符合性評估；附件三的高風險AI系統包括法律授權的生物特徵識別系統，涉及關鍵基礎設施的系統，教育與職業培訓相關的系統，就業及勞動者管理等的系統，基本服務及福利的系統，法律授權執法行為的系統，移民、庇護和邊境控制管理的系統，以及司法和民主程序的系統等；而負面清單包括僅涉及程式性任務、改進人類活動的結果、檢測決策模式或其偏離情況、準備性工作等且不對自然人進行畫像的系統。

其次，界定高風險AI系統的要求，涉及風險管理體系、資料治理、 技術檔案、儲存記錄、透明度、人工監督，以及準確性、穩健性和網路安全等要求。

再次，界定高風險AI系統提供者的義務。除了確保高風險AI系統符合上述要求之外，還得履行質量管理體系、檔案儲存、自動生成日誌、完成符合性評估、作出符合性宣告、加貼CE標誌、登記以及採取必要糾正措施等義務。

最後，特定情況下還需履行基本權利影響評估的義務以及符合性評估的義務。

第六步涉及的是特定AI系統的透明度義務，具體涉及生成式AI系統提供者、情感識別系統或生物特徵分類系統部署者以及構成深度偽造的AI系統部署者的義務。

首先，界定通用AI模型提供者的義務。涉及編制技術檔案、編制資訊和文件、建立尊重版權的政策以及釋出模型訓練內容詳細摘要的合規義務。

其次，界定具有系統風險的通用AI模型提供者的額外義務。包括模型評估、系統性風險評估、跟蹤、記錄及報告以及確保網路安全等。

首先，確定監管架構。其中，歐盟的管理機構包括AI辦公室、歐洲AI委員會、諮詢論壇、獨立專家科學小組等；而成員國的管理機構主要涉及市場監督機關和通知機關等。

其次，確定具體罰則：針對禁止性AI行為，最高罰款為3500萬歐元或上一年度全球年營收的7%；針對高風險及特定AI系統，最高罰款為1500萬歐元或上一年度全球年營收的3%；以錯誤資訊回應主管機關等場景，最高罰款為750萬歐元或上一年度全球年營收的1%；針對通用AI模型提供者，最高罰款為1500萬歐元或上一年度全球年營收的3%。

AI的發展、創新需要作為容錯機制和彈性框架的AI監管沙盒。具體制度涉及目標制定、罰款責任豁免、實施法案、個人資料的處理方式、真實世界測試的保障條件以及中小企業義務的減免等。