《AI法案》正式生效对我出海企业的影响及建议
【慧聪通信网】7月12日,欧盟公布了《AI法案》(以下简称“法案”)最终版,并宣布将于8月1日正式生效。鉴于我国企业在AI、新能源汽车、跨境电商、生物医药、通信等多领域积极进军欧洲市场,法案生效将对我企业的海外战略布局产生深远影响。本文选取了三类代表企业:受法案直接影响的AI企业,最快实施法案的通信企业,及具有代表性的新能源汽车企业。结合法案具体条款,评估其对我出海企业的影响,提出相应的海外战略布局建议,以帮助企业适应新的法规环境。
《AI法案》内容分析
《AI法案》是一项内容覆盖广泛的创新性立法,其篇幅长达400余页,涵盖113项条款及13个附件。该法案具有域外效力,体现了所谓的“长臂管辖”原则,能够超越欧盟边界,对全球范围内的AI活动产生影响。
在立法框架上,它并未取代现有的欧盟法律体系,而是作为对数据保护、消费者权益、劳动法以及产品安全等现有法律的补充。值得注意的是,法案对特定用途的系统(如军事、国防及研究领域)提供了豁免规定,并增加了部分排除条款降低合规难度。
在立法内容上,通过建立分级分类监管体系,实现了公民权益保障与行业发展的平衡。法案强调监管机构与市场主体合作制定具有法律效力的“行为守则”,尽可能覆盖各类风险。同时,法案设置监管沙盒等机制,激励创新,为AI领域的研发和应用提供支持。
图1 《AI法案》主要内容
图2 《AI法案》风险分级分类
在适用范围上,法案对AI应用的全链条参与者施加了法律约束,包括提供商、部署者、进口商、分销商及产品制造商。这表明,所有涉及AI系统开发、使用、引进、分配或制造的主体均可能面临相应的法律责任,进而确保了对企业进行全面、一致的监管。
图3 《AI法案》适用范围
在实施计划上,法案将在8月1日生效,并在生效后24个月内全面适用,除了禁止的应用(生效后6个月内生效);实践准则(生效后9个月);通用AI要求含治理(生效后12个月);以及高风险系统的义务(生效后36个月)。
在处罚条款上,当不符合法案要求的AI系统进入市场或被使用,欧盟各成员国必须制定有效、适当和劝阻性的处罚措施,包括对侵权行为采取行政罚款,并向欧盟委员会通报。法案针对违反监管要求的情况,规定了有梯度的罚则。
图4 《AI法案》的罚则
《AI法案》对我出海企业的影响
因《AI法案》的广泛适用性及域外效力,我出海企业必须高度关注法案内容和适用范围,并深度分析其合规要求及、对企业运营产生的影响与挑战。
AI企业面临着角色界定多维、风险评估复杂、多头监管和合规成本跃升的挑战。一是在法案监管框架下,AI企业需依据不同场景、不同业务类型,不断进行自身的再定位,并根据不同角色调整需要履行的责任与义务。例如法案序言第83条中的示例提到,AI企业很可能同时担任分销商和进口商,在此情况下,AI企业应累计履行与这些角色相关的所有义务。二是AI企业所提供的服务在不同应用场景中,其风险评估结果也可能不一致。例如序言第29、44条,基于情绪识别的AI系统,应用于心理健康问题的干预则属于有限风险,而应用于教室检测学生是否分心或困惑则属于不可接受风险。三是应用于行业中AI系统,不仅需要符合《AI法案》的监管要求,也需要时刻接受行业监管机构、各成员国相关监督机关的监管。例如法案序言第158条明确了对金融行业的监管部门,其中包含AI办公室、负责监督和执行金融服务立法的主管机关、欧洲议会和欧盟理事会指定主管机构、成员国的市场监督管理机关等多部门。四是法案对AI企业提出了全面且复杂的监管要求,意味着在AI系统部署中所涉及的合规成本提升。全球智库Center for Data Innovation在2021年便预计,该法案将使欧洲经济损失310 亿欧元,并使AI投资减少近20%。智库列举了一家部署高风险人工智能系统的欧洲中小企业,将产生高达40万欧元的合规成本,导致利润下降40%1。
通信企业面临着合规时间窗口期短、创新与监管间的博弈升级和责任归属模糊的挑战。一是通信行业即将成为《AI法案》的首个实施领域,企业开展自身合规审查时间有限。2024年7月,专注欧盟新闻政策的Euractiv网站披露,欧盟已初步完成《无线电设备指令(RED)与AI法案的冲突化解(INTERPLAY BETWEEN THE RADIO EQUIPMENT DIRECTIVE AND THE ARTIFICIAL INTELLIGENCE ACT)》文件。2通信行业将率先实现法案与专业领域的融合,成为监管口径细化的“急先锋”,通信企业自身的合规审查窗口期极短。二是法案将通信行业锚定在高风险,或将加重合规成本并忽视创新。成本方面,爱立信在《AI商业潜力》报告中指出,AI可降低IT和网络运营成本,运营商使用后投资回报率在5%到10%之间。3而法案对高风险系统提出了极为严格的合规要求,意味着合规成本支出加大,甚至可能出现合规高于AI节省的费用。创新方面,欧盟电子通信管制机构BEREC指出,对于5G和6G,AI将发挥着重要的推动力,高风险的合规要求或将阻碍通信领域创新。4三是在网络中部署中使用AI技术将涉及AI价值链中的多个角色,在发生意外或错误结果时,各方的责任和义务存在不确定性。尽管服务等级协议(SLA)中可以包括相关条款,但由AI系统做出的决策,通信行业尚难界定事故最终的责任方。
为协调现有法规,法案高风险AI系统相关的监管要求尚未直接适用于汽车,但不排除欧盟汽车相关法规可能引入这一要求。我国新能源汽车企业出海仍需预见AI+的复合型人才缺口、供应链管理难度加大、准入门槛抬升的问题。一是法案对AI技术的理解及运用设立了更高标准,加之AI技术的复杂性,意味着新能源汽车企业技术文档编制等相关合规能力面临挑战,“AI+”的复合型人才缺口或被凸显。二是车企复杂交错的供应链特性,将加剧透明度披露的难度。法案第13条规定了高风险系统的透明度,意味着新能源车企在出海时需要供应链管理穿透全链条,准确掌握涉及到AI技术的每一个环节。三是受到地缘政治及监管压力双重影响,车企出海门槛将进一步抬升。无论是在欧盟本地设置实体,或中欧业务全面隔离,新能源汽车企业都将持续面临严苛的合规监管要求和较高的合规门槛,且欧盟监管机构具有一定的自由裁量权,这都对车企的海外策略提出了极高的要求。
我出海企业对策建议
随着《AI法案》的正式实施,我出海企业应加快自身合规建设,主动采取行动为海外市场拓展赢取合规空间和时间,为AI治理贡献中国企业智慧与实践经验。
AI企业应加强企业合规建设,积极共享中国企业智慧和方案。在法案理解层面,尽快审慎评估企业AI系统及产品的风险等级,明确需承担的义务,缩小与法案要求的差距。在合规建设层面,加快建立企业自身的数据及算法治理框架,确保符合法案的可解释性和披露要求,定期进行内部与外部审计,并制定风险应急预案。在经验共享层面,欧美头部AI企业已试图将治理经验融入法案(如,参与起草法案后续的行为守则文件),我AI企业也应积极效仿,快速响应《AI协议(AI PACT)》(该协议旨在帮助企业理解法案、支持合规行动及共享合规知识,超550个企业、组织和国家已响应)、广泛参与监管沙盒的应用。
通信企业亟需跟进后续立法与执法细节,加快前沿技术的标准布局。法案仍需通过后续立法和执法实践,通信企业应重点关注法案中附件三后续出台的监管指南相关文件,跟进《无线电设备指令(RED)与AI法案的冲突化解》等文件的执法情况及监管口径,及时调整企业合规策略。加快6G等前沿领域中AI相关标准布局,推动我国主导的核心标志性技术进入国际标准体系,以标准化的方式引导通信领域AI技术的发展与应用,在国际标准框架下为法案的完善奠定坚实的基础。
新能源汽车企业应强化AI工具使用,广泛吸纳全球人才实现法案合规要求。加快AI治理工具学习及使用,包括可提供文档化的风险管理系统工具AIRO(AI Risk Ontology),以及提供面向人类和机器两种可读模式的AI风险预警工具AI Cards等。广泛吸纳全球人才,发挥人才语言及文化背景优势,减少对法案的误解及误判,提升相关监管文件编制能力。