思想领袖

欧盟人工智能法案对您的业务产生了多大的影响?

mm
发布于
更新于

随着新规定的实施,以下是公司需要了解的关于合规性的内容

2025年2月2日是欧盟人工智能法案实施的第一个重要里程碑,禁止了禁止的人工智能行为,并要求组织确保员工对人工智能的知识、技能和理解足够。2025年8月2日是另一个重要的时间点,通用人工智能模型的义务已经生效。

人工智能法案适用于在欧盟销售、进口或提供人工智能系统或通用人工智能模型的公司,无论它们是否位于欧盟。它也适用于在欧盟使用人工智能系统或模型的公司。

虽然公司对人工智能合规义务真正关心,但对于大多数企业来说,现实情况不会像规定初看起来那么戏剧化。

作为一家全球公司的负责人,我们在文档管理平台中大量使用人工智能,我不得不亲自应对这一法规。事实是,对于大多数企业来说,人工智能法案比最初看起来更容易管理——就像GDPR从美国的角度看起来令人不知所措,但是一旦理解了原则,就变得可行了。

但与GDPR的单一实施日期不同,人工智能法案分阶段实施。随着罚款高达3500万欧元或全球营业额的7%,以及一个关键的执行浪潮刚刚过去,另一个重大截止日期即将到来,制定正确的合规策略是必不可少的。

我们在时间线上的位置

截至2025年8月,通用人工智能(GPAI)模型的义务已经生效——这影响了比大多数人意识到的更多的公司。如果您在产品中使用GPT-5、Claude或Llama等基础模型,您可能会继承合规义务,即使您认为自己只是“用户”。

义务包括证明遵守版权法的培训数据,进行对抗性测试以发现安全漏洞,实施强大的安全措施,并提供有关模型能力和限制的详细技术文档。

许多SaaS公司假设他们是豁免的,因为他们没有从头开始开发模型。但是,如果您正在微调或以其他方式修改模型,您可能会发现自己受到GPAI义务的约束。人工智能系统的“使用”和“提供”之间的界线在法规中是故意模糊的。

2026年8月2日是下一个重要的时间点。到那时,分类为“高风险”的人工智能系统必须满足全面合规要求。范围比许多企业预期的要广泛,义务也很重大。

高风险分类包括用于招聘和雇佣、信用评分和金融决策、教育评估、医疗诊断、安全关键基础设施和执法应用的系统。如果您的AI工具有助于确定谁被雇佣、谁被批准贷款、谁被录取或被诊断出患有某种疾病,那么您很可能在范围内。

这带来了一个负担。您需要具有持续监控的全面风险管理系统,具有技术文档以证明系统的安全性和可靠性,具有可审计的训练数据完整性证明的数据质量标准,具有自动记录所有系统决策和操作的日志,具有能够实时干预的有意义的人类监督,并具有第三方符合性评估的CE标志。

这不仅仅是添加一个免责声明到您的网站。高风险系统需要通常在医疗器械制造或汽车安全系统中看到的质量管理系统的类型。

理解风险类别

人工智能法案采用四级、基于风险的方法,这比许多人意识到的更细致。

  • 不可接受的风险(禁止):这些人工智能应用程序被完全禁止——社会评分系统、针对弱势群体的操纵性人工智能、公共场所的实时生物识别识别(除执法机构外)和学校或工作场所的情绪识别。
  • 高风险(严格监管,但允许):这就是许多企业被抓到的地方。如上所述,高风险应用程序包括简历筛选和招聘工具、信用评分和贷款审批系统、医疗诊断设备、交通(自动驾驶汽车、交通管理)中的安全系统、教育评估工具、执法应用程序和关键基础设施管理。
  • 有限风险(需要透明度):这些系统主要涉及与人类直接交互或生成可能被误认为是人类创作的内容的人工智能。这些包括聊天机器人、虚拟助手和生成合成媒体(如深度伪造或操纵图像和视频)的人工智能系统。对于这些应用程序,主要的监管要求是透明度——用户必须清楚地知道他们是否正在与人工智能系统而不是人类交互,或者内容是否被人工生成。
  • 最小风险:大多数人工智能应用程序属于最小风险类别,该类别涵盖对基本权利或安全构成很小威胁的系统。这些包括常见的商业工具,如垃圾邮件过滤器、库存管理系统、基本分析平台、内容或产品推荐引擎和自动客户服务路由。对于最小风险系统,人工智能法案除了一般要求(如员工人工智能素养)之外,基本上没有特定的监管义务。

如果您属于“不可接受或高风险”类别,仅仅透明度是不够的。如果您属于其他类别,合规要求是可管理的。

基础模型的涟漪效应

刚刚过去的2025年8月GPAI截止日期值得特别关注,因为它在整个人工智能生态系统中产生了涟漪效应。基础模型提供商,如OpenAI、Anthropic和Meta,已经实施了新的合规措施,这些要求会流向他们的企业客户。

如果您正在使用这些模型构建,您需要了解提供商的合规姿态以及它如何影响您自己的义务。一些模型提供商可能会限制某些用例,其他提供商可能会通过更高的定价或新的服务层来传递合规成本。

如果您尚未这样做,现在是时候审计您的AI供应链了。记录您使用的模型、您如何自定义它们以及通过它们流动的数据。这一库存对于了解您的当前GPAI义务和为2026年高风险系统要求做准备至关重要。

领先于曲线

人工智能法案代表了世界上第一个全面的人工智能法规,我们现在处于其分阶段实施的中间阶段。随着GPAI义务已经生效,2026年高风险系统的重大截止日期即将到来,公司如果认为GDPR是一个负担,就会错失将隐私转化为区别的机会。不要犯同样的错误——不要在人工智能治理上犯同样的错误。

那些在执法加强时被抓到的企业将会挣扎最多。今天负责任地建设的企业将会发现,合规性会增强而不是阻碍他们的人工智能战略。现在仍然有时间领先于曲线——但窗口正在迅速关闭。

mm

斯蒂芬·多泽(Stéphane Donzé)是AODocs的创始人和CEO,这是一家他创立的软件公司,基于这样的理念:企业对合规性和高效流程的需求并不与良好的用户体验相矛盾。在创立AODocs之前,他曾是Exalead的工程副总裁,Exalead是一家领先的企业搜索公司。2010年,Exalead被Dassault Systèmes收购后,他从巴黎搬到加利福尼亚,担任产品战略副总裁。斯蒂芬拥有法国École Polytechnique的软件工程硕士学位(X96)。拥有18年企业软件经验,他对整个组织的用户体验充满热情。