Connect with us

思想领袖

欧盟人工智能法案实际上会对您的业务产生多大的影响?

mm
Published
Updated

随着新规定的实施,以下是公司关于合规性真正需要知道的内容

2025年2月2日标志着欧盟人工智能法案实施的第一个重要里程碑,该法案禁止了禁止的AI做法,并要求组织确保其员工具备足够的知识、技能和对人工智能的工作原理、风险和益处的理解(AI素养)。现在,2025年8月2日代表着另一个重要的转折点,因为通用人工智能模型的义务已经生效。

人工智能法案适用于在欧盟销售、进口或提供人工智能系统或通用人工智能模型的公司,无论它们是否位于欧盟。它也适用于位于欧盟的使用人工智能系统或模型的公司。

虽然公司对人工智能合规义务真正感到担忧,但对于大多数企业来说,现实情况将比规定初看起来要平淡得多。

作为一家在文档管理平台中大量使用人工智能的全球公司的负责人,我不得不亲自应对这一法规。事实是,对于绝大多数企业来说,人工智能法案比最初看起来要容易管理得多——就像GDPR从美国的角度看似乎令人不知所措,但是一旦你理解了原则,就会发现它是可行的。

但是,与GDPR的单一实施日期不同,人工智能法案分阶段实施。由于罚款高达3500万欧元或全球营业额的7%,并且刚刚过去了一个关键的执行浪潮,另一个重要的截止日期即将到来,制定正确的合规策略是必不可少的。

我们在时间表中的位置

截至2025年8月,通用人工智能(GPAI)模型的义务现在生效——这影响了比大多数人意识到的更多的公司。如果您在产品中使用GPT-5、Claude或Llama等基础模型,即使您认为自己只是“用户”,您也可能继承合规义务。

义务包括证明遵守训练数据的版权法,进行对抗性测试以发现安全漏洞,实施强大的安全措施,并提供有关模型能力和局限性的详细技术文档。

许多SaaS公司假设他们是豁免的,因为他们没有从头开始开发模型。但是,如果您正在对模型进行特定调整或以其他方式修改它们,您可能会发现自己受到GPAI义务的约束。法规中“使用”和“提供”人工智能系统之间的界线是故意模糊的。

2026年8月2日是值得关注的重要里程碑。到这一日期,分类为“高风险”的人工智能系统必须满足全面合规要求。范围比许多企业预期的要广泛,义务也很重大。

高风险分类包括用于招聘和聘用的系统,信用评分和金融决策,教育评估,医疗诊断,安全关键基础设施和执法应用。如果您的AI工具有助于确定谁被聘用,谁被批准贷款,谁被录取到项目或被诊断出患有某种疾病,那么您很可能在范围内。

这带来了一个负担。您需要具有持续监控的全面风险管理系统,证明系统安全性和可靠性的技术文档,具有可审计的训练数据完整性证明的数据质量标准,所有系统决策和操作的自动日志记录,具有实时干预能力的有意义的人类监督,以及具有第三方符合性评估的CE标志。

这不仅仅是添加网站上的免责声明。高风险系统需要与医疗设备制造或汽车安全系统中通常看到的质量管理系统相同的类型。

了解风险类别

人工智能法案采用更为细致入微的四级、基于风险的方法。

  • 不可接受的风险(禁止):这些人工智能应用程序被彻底禁止——社会评分系统,针对弱势群体的操纵性人工智能,公共场所的实时生物识别识别(除执法机构外),以及在工作场所或学校的情感识别。
  • 高风险(严格监管,但允许):这就是很多企业被措手不及的地方。如上所述,高风险应用程序包括简历筛选和招聘工具,信用评分和贷款审批系统,医疗诊断设备,交通运输中的安全系统(自动驾驶汽车,交通管理),教育评估工具,执法应用程序和关键基础设施管理。
  • 有限风险(需要透明度):这些系统主要涉及与人类直接交互或生成可能被误认为是人类创作的内容的人工智能。这些包括聊天机器人,虚拟助手和生成合成媒体(如深度伪造或操纵图像和视频)的人工智能系统。对于这些应用程序,主要的监管要求是透明度——用户必须清楚地被告知他们何时与人工智能系统而不是人类交互,或者何时内容被人工生成。
  • 最小风险:大多数人工智能应用程序属于最小风险类别,涵盖对基本权利或安全构成很小威胁的系统。这些包括常见的商业工具,如垃圾邮件过滤器,库存管理系统,基本分析平台,内容或产品推荐引擎和自动客户服务路由。对于最小风险系统,人工智能法案除了一般要求(如员工的AI素养)之外,基本上没有特定的监管义务。

如果您属于“不可接受或高风险”类别,仅仅透明度是不够的。如果您属于其他类别,合规要求是可管理的。

基础模型的涟漪效应

刚刚过去的2025年8月GPAI截止日期值得特别关注,因为它在整个人工智能生态系统中产生了涟漪效应。基础模型提供商,如OpenAI,Anthropic和Meta,已经实施了新的合规措施,而这些要求会流向他们的企业客户。

如果您正在构建这些模型之上,您需要了解提供商的合规状况以及它如何影响您自己的义务。一些模型提供商可能会限制某些用例,其他提供商可能会以更高的价格或新的服务层级来转嫁合规成本。

如果您尚未这样做,请现在审计您的AI供应链。记录您正在使用哪些模型,您如何自定义它们,以及哪些数据流经它们。这个库存对于了解您当前的GPAI义务和为2026年高风险系统要求做准备至关重要。

领先于曲线

人工智能法案代表着世界上第一部全面的人工智能法规,我们现在处于其分阶段实施的中间阶段。随着GPAI义务的生效和2026年高风险系统的重大截止日期即将到来,曾将GDPR视为负担的公司错过了将隐私转变为区别的机会。不要犯同样的错误——人工智能治理。

那些最终会苦苦挣扎的企业是那些在执法加强时措手不及的企业。今天负责任地建设的人工智能将会发现,合规性会增强他们的人工智能战略,而不是阻碍它。现在仍然有时间领先于曲线——但窗口正在迅速关闭。

Related Topics:
mm

Stéphan Donzé 是 AODocs 的创始人和 CEO,这是一家他创立的软件公司,基于这样的理念:企业对合规性和高效流程的需求并不与良好的用户体验相矛盾。在创立 AODocs 之前,他曾是 Exalead 的工程副总裁,Exalead 是一家领先的企业搜索公司。2010 年 Exalead 被 Dassault Systèmes 收购后,他从巴黎搬到加利福尼亚,担任产品战略副总裁。Stéphane 拥有法国 Ecole Polytechnique 的软件工程硕士学位(X96)。凭借 18 年的企业软件经验,他对整个组织中的用户体验充满热情。