歐盟AI法案解讀：要求和實踐指南C00新興技術2歐盟AI法案解讀：要求和實踐指南目錄4導言4歐盟AI法案的關鍵義務5/定義與適用范圍6/AI法案的例外情況6/受禁系統7/高風險Al系統7/風險管理8/質量管理體系9/數據和數據治理9/準確性、穩健性和網絡安全10/技術文檔、記錄保存和透明度10/上市后監測11/符合性評估11/人工監督12/注冊12/報告嚴重事件12/高風險系統部署者的義務14/透明度要求14/通用AI模型15/創新考量15/罰款15實踐者的下一步15/時間表16/隱私輸入17/AI庫存和第三方管理17/記錄AI系統獲取和使用流程18結論3歐盟AI法案解讀：要求和實踐指南摘要隨著人工智能(Al)技術，尤其是生成式AI(GenAI)的迅速發展，這些技術所帶來的多種益處推動了其廣泛應用。然而，為了追求效率，一些企業在采用AI時忽略了潛在的風險和可能造成的損害。歐盟AI法案對在歐盟使用的某些AI系統設定了具體要求，并禁止了一些特定的AI使用。本白皮書探討了AI法案的適用范圍和風險分類方法，概述了法規中的主要要求，并為希望符合法案要求的實踐者提供了下一步行動建議。4歐盟AI法案解讀：要求和實踐指南導言近年來，AI技術的應用呈爆炸性增長。2019年，有58%的機構在至少一個業務環節中使用了AI技術；而到2024年，這一比例上升到了72%。1從2023年到2024年，生成式AI的使用率幾乎翻了一番，從33%增長到了65%。2雖然引入AI有助于提升企業的運營效率，但它也帶來了顯著的風險。由于涉嫌版權侵權，多家生成式AI公司已面臨多起訴訟。3若AI系統出現故障或被濫用，則可能引發安全問題，比如被非法篡改的自動駕駛汽車就可能導致人員傷亡。如果AI系統是基于有偏差的數據進行訓練的，那么它們也可能產生有偏差的結果。關于AI的責任歸屬問題目前仍不明晰，往往難以確定誰應當為AI產生的不良后果負責。歐盟AI法案已于2024年3月13日獲得歐洲議會的通過，并在同年5月21日得到了歐盟理事會的認可。此法案旨在減少與AI相關的風險，幫助企業在確保安全、遵循倫理和承擔社會責任的前提下利用AI技術，并增強公眾對AI系統的信任。該法案被認為是全球首部全面的AI法律。4考慮到這部法案的廣度和深度，未來其他國家和地區制定AI相關法律法規時，很可能會參考歐盟AI法案，就如同先前歐盟的《通用數據保護條例》(GDPR)那樣。歐盟AI法案已于2024年3月13日獲得歐洲議會的通過，并在同年5月21日得到了歐盟理事會的認可。此法案旨在減少與AI相關的風險，幫助企業在確保安全、遵循倫理和承擔社會責任的前提下利用AI技術，并增強公眾對Al系統的信任。雖然并非全球每個企業都需要遵守歐盟AI法案，但了解該法案的主要要求依然很有價值。法案中規定的風險分類標準能夠幫助企業更好地審視自身使用的AI產品，并深刻理解這些產品可能帶來的風險。歐盟AI法案的關鍵義務歐盟AI法案涉及多層次的合規要求，包括AI應用場景、模型、系統、項目和企業層面。這些要求依據企業的角色(如提供者、部署者、進口商或分銷商)以及AI系統風險級別的不同(高風險、有限風險、通用AI模型或多種類型的組合)而有所差異。以下是歐盟AI法案部分核心要求的簡要概述。1Mckinsey&Company,“ThestateofAlinEarly2024:GenAIAdoptionspikesandstartstoGeneratevalue,”30May2024/capabilities/quantumblack/our-insights/the-state-of-ai2Mckinsey,“stateofAlinEarly2024”3Lutkevich,B.;"AILawsuitsExplained:who,sGettingsued?"TechTarget,25June2024,/whatisfeature/Al-lawsuits-explained-whos-getting-sued4Europeanparliament,“EUAIAct:FirstRegulationonArtificialIntelligence,”8June2023,https://www.europarl.europa.eu/topicsen/article/20230601ST093804/eu-ai-act-first-regulation-on-artificial-intelligence#:~:text=The%20use%20of%20artificial%20intelligence,world,s%20first%20comprehensive%20Al%20law.5歐盟AI法案解讀：要求和實踐指南定義與適用范圍法案詳盡地定義了哪些可以被認定為Al系統。圖1列出了歐盟AI法案框架下AI系統的一些主要特性。5圖1:AI系統的特性AIAI系統通過輸入來推斷如何生成輸出，例如預測、內容、推薦或決策。AI系統是以機器為基礎的。AI系統可以以不同的自主程度運行。AI法案將風險定義為發生危害的可能性與危害嚴重程度的結合。理解法案中定義的各種角色至關重要(見提供者自然人或法人、公共機構、機關或其他組織，開發或已開發出投放到歐盟市場的AI系統或通用AI模型。這包括免費和付費的AI系統。產品制造商生產集成AI系統產品的實體。部署者使用Al系統的自然人或法人、公共機構、機關或其他組織，但個人非進口商位于或設立在歐盟內的自然人或法人，將由第三國自然人或法人命名或注冊商標的AI系統投放到歐盟市場。分銷商供應鏈中的自然人或法人(除提供者或進口商外),在歐盟市場上銷售AI系統。請注意，企業可能根據具體的應用場景擔任不同的角色。例如，一家企業在使用第三方客戶服務聊天機器人時可能是部署者，而在提供AI驅動的圖像編輯器時則可能成為提供者。根據具體的應用場景確定適用的角色非常重要，因為提供者、部署者和分銷商的要求可能不同。5OficialJournaloftheEuropeanUnion,"REGULATION(EU)2024/1689oftheEuropeanparliamentandofthecouncilof13June2024layingdownharmonisedrulesonartificialintelligenceandamendingRegulations(Ec)No300/2008,(EU)No167/2013,(EU)No168/2013,(EU)2018/858,(EU)2018/1139,and(EU)2019/2144andDirectives2014/90/EU,(EU)2016/797,and(EU)2020/1828(ArtificialIntelligenceAct)”Article2andArticle3,12July2024,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ%3AL-2024016896歐盟AI法案解讀：要求和實踐指南歐盟AI法案規定了在歐盟市場投放的AI系統所需滿足的要求。法案將“投放市場”定義為AI系統或通用AI模型首次在歐盟市場上市。AI系統上市是指通過商業活動(無論是付費還是免費)在歐盟市場內分銷或使用AI系統或通用AI模型。將AI系統投入使用則是指首次將AI系統直接提供給部署者，用于在歐盟內按照預定目的使用。6AI系統上市是指通過商業活動(無論是付費還是免費)在歐盟市場內分銷或使用AI系統或通用AI模型。將AI系統投入使用則是指首次將AI系統直接提供給部署者，用于在歐盟內按照預定目的使用。·在歐盟市場投放AI系統的提供者·設立或位于歐盟內的Al系統部署者·將產品與AI系統一并在歐盟市場投放或投入使用的制造商在歐盟外部，該法案同樣適用于：·無論提供者位于何處，只要在歐盟市場投放AI系統的提供者·位于歐盟外部但其AI輸出在歐盟內使用的提供者和部署者由于該法案的適用范圍非常廣泛，即使企業不在歐盟境內，也可能受到AI法案的約束。鑒于該法規具有域外效力，所有企業都必須確定該法案的要求是否適用于自己。AI法案的例外情況歐盟AI法案并不適用于所有在歐盟市場上的AI系統。旨在用于軍事、國防或國家安全活動的AI系統被排除在外，即使這些系統由私營實體使用亦然。但如果這些系統即使是暫時用于其他目的，也將受該法規的約束。AI法案也不適用于僅用于科學研究和開發的AI系統，但對于需要在實際條件下測試的AI系統或模型，仍有相應的要求。8受禁系統AI法案禁止某些被認為風險過高的AI實踐。圖3列出了這些被禁止的實踐。受禁系統是指那些可能對個人造成重大傷害的系統，這些實踐可能導致隱私侵犯、歧視和個人自由的限制。除非有特定的狹義例外情況，否則用于圖3所列目的的AI系統不得在歐盟市場投放或使用。96Europeanunion,“ArtificialIntelligenceAct,”Article37Europeanunion,“ArtificialIntelligenceAct,”Article28Europeanunion,“ArtificialIntelligenceAct,”Article29Europeanunion,"ArtificialIntelligenceAct,"Article57歐盟AI法案解讀：要求和實踐指南使用潛意識或故意操縱/欺騙手段影響個人或群體的行為，削弱其做出知情決定的能力，導致他們做出原本不會做出的決定，或可能對自己或他人造成重大傷害的AI系統利用個人或群體的弱點(如年齡或殘疾)扭曲其行為，可能導致該個人或他人遭受重大傷害的AI系統基于個人的社會行為或個性提供社會評分，導致對個人不利或不利待遇的AI系統通過用戶畫像預測個人犯罪風險的Al系統從閉路電視或互聯網抓取數據以構建面部識別數據庫的AI系統旨在檢測工作場所或教育機構中個人情緒的AI系統宗教或哲學信仰、性生活或性取向在公共場所用于執法目的的實時生物特征識別AI系統(某些特殊情況除外，如尋找被綁架的受害者、預防對生命的即時威脅等)高風險AI系統歐盟AI法案的很大一部分內容集中在高風險AI系統的義務上。與被禁止的AI系統不同，高風險AI系統在滿足一定條件的情況下可以在歐盟市場投放。高風險系統的義務適用于以下情況：10·作為產品安全組件的AI系統·生物特征識別系統當系統不會對個人的健康、安全或基本權利造成重大危害，或不會影響個人的決策時，這些系統不被視為高風險。以下是高風險AI系統提供者的關鍵義務。風險管理高風險AI系統需要建立風險管理機制。風險管理過程應貫穿AI系統的整個生命周期，并且必須是迭代的，必要時進行更新。圖4展示了歐盟AI法案要求的風險管理步驟。風險管理機制還必須考慮任何風險是否會影響18歲以下的人群或其他弱勢群體。1110EuropeanUnion,“ArtificialIntelligenceAct,”Article6andAnnexIII11EuropeanUnion,“ArtificialIntelligenceAct,”Article98歐盟AI法案解讀：要求和實踐指南圖4:風險管理步驟識別高風險AI系統可能帶來的健康、安全和基本權利方面的系統相關的風險因素。評估可能發生的其他風險，并利用上市后選擇適當的風險管理措施來應對已識別的高風險AI系統的設計和測試應驗證其合規性，并幫助確定最佳的風險管理措施。這應該是一個迭代過程，因為AI系統可能會發展變化，其使用方式也可能改變，因此驗證合規性和重新評估風險管理措施不能是一次性的活動。質量管理體系根據AI法案，高風險AI系統的提供者必須建立質量管理體系，以確保合規。該體系應包括書面政策、程序和指導。具體來說，質量管理體系應涵蓋以下內容：12·高風險系統的修改程序·高風險AI系統的設計、開發、質量控制和質量保證的程序和技術·高風險AI系統整個生命周期中的測試和驗證程序·數據管理系統和程序·風險管理體系·記錄保存系統和流程·明確相關職責和責任的框架12Europeanunion,“ArtificialIntelligenceAct,”Article179歐盟AI法案解讀：要求和實踐指南數據和數據治理鑒于高質量數據是有效和符合倫理的AI模型的前提，歐盟AI法案對高風險AI系統的數據和數據治理提出了多項要求。數據集應包含準確的信息，潛在的偏差必須盡可能被識別和緩解。這些要求適用于訓練數據、驗證數據和測試數據。13圖5展示了數據質量管理中應考慮的幾個方面。數據術語衡量準確性數據是否忠實于原始意圖?是否精確?完整性所有必需的數據屬性是否都被捕獲?覆蓋范圍所需的數據記錄是否可用?符合性數據是否符合所需的標準?統一性數據是否遵循任何內部或外部規定的模式?是否統一?重復性數據記錄或屬性是否有冗余?關聯完整性數據關系(如父級和子級鏈接)是否準確?及時性數據是否最新并在需要時可用?唯一性數據是否唯一，還是存在重復?來源：ISACA,AppliedDataManagementforprivacy,securityandDigitalTrust,2023雖然保持數據質量非常重要，但歐盟AI法案也強調了需要對數據收集和數據準備處理操作(如標注、標簽、清洗、豐富和聚合)進行明確定義和詳細記錄，這些操作涵蓋了數據生命周期的不同階段。準確性、穩健性和網絡安全歐盟AI法案要求高風險AI系統具備準確性、穩健性和網絡安全措施。必須采取技術和組織措施以確保系統的韌性。備份、冗余解決方案和故障安全計劃可以用來提高系統的穩健性。高風險AI系統在投入使用后不斷學習，旨在減少或消除可能影響未來操作的偏差輸出風險。這可能包括開源AI系統、利用人類反饋的強化學習系統或使用檢索增強生成的系統。應采取緩解措施來解決反饋回路問題。高風險AI系統在投入使用后不斷學習，旨在減少或消除可能影響未來操作的偏差輸出風險。此外，該法案要求系統具備抵御未經授權的試圖改變系統使用、輸出或性能的能力。必須有適當的技術解決方案來確保高風險AI系統的網絡安全。這應包括防止、檢測、響應、解決和控制數據投毒、模型投毒、模型規避和對抗性攻擊的措施。1413EuropeanUnion,“ArtificialIntelligenceAct,”Article1014EuropeanUnion,“ArtificialIntelligenceAct,”Article1510歐盟AI法案解讀：要求和實踐指南技術文檔、記錄保存和透明度根據歐盟AI法案，高風險AI系統必須在投放市場或投入使用前提供技術文檔以證明合規性。15這些技術文檔可以幫助解釋某些AI系統的黑箱性質，并幫助企業應對AI系統未按預期運行的情況。技術文檔·AI系統的描述，例如其預期用途、如何與硬件和軟件交互，以及供部署者使用的說明·AI系統各組成部分及其開發過程的詳細解釋，例如系統的設計、測試和網絡安全措施·AI系統所使用數據的詳細解釋，例如數據要求及其性質、限制或其他因素；使用的訓練數據集及其來源、范圍和主要特征；數據獲取和選擇的方法；標簽(如監督學習中的標簽);數據清洗方法，包括異常值檢測除了技術文檔外，高風險AI系統在整個生命周期中還必須有自動日志記錄。這些記錄有助于確保AI系統的可追溯性，并協助上市后監測活動。記錄必須包括每次使用的開始和結束日期及時間、輸入數據和參考數據庫，以及參與結果驗證的人員的識別信息。17技術文檔和記錄保存最終有助于提高高風險AI系統運作的透明度及其影響。歐盟AI法案的一項透明度要求是，提供者必須包括安全使用高風險AI系統的說明。這應包括對人工監督措施的概述、系統可能需要的維護，以及系統的預期使用壽命。技術文檔和記錄保存最終有助于提高高風險Al系統運作的透明度及其影響。上市后監測鑒于許多AI系統在投放市場后仍會不斷演進，因此在部署后對其進行監測至關重要，以確保持續合規。歐盟AI法案要求高風險AI系統的提供者使用上市后監測系統，收集和審查與AI系統性能相關的信息，以便及時發現并采取糾正或預防措施。他們還必須確保有流程報告任何嚴重事件給相關當局。上市后監測還應考慮高風險AI系統與其他AI系統互動的情況。1815Europeanunion,“ArtificialIntelligenceAct,”Article1116Europeanunion,“ArtificialIntelligenceAct,”AnnexIV17Europeanunion,"ArtificialIntelligenceAct,"Article1218Europeanunion,“ArtificialIntelligenceAct,”Recital155andArticle7211歐盟AI法案解讀：要求和實踐指南符合性評估符合性評估證明高風險AI系統符合相關法規。這些評估將檢查質量管理體系和技術文檔。符合性評估是高風險AI系統的強制要求，且在系統進行重大修改后必須重新進行評估。19滿足符合性評估要求的高風險AI系統將獲得CE標志——物理產品帶有物理標志，純數字產品帶有數字標志。獲得CE標志的高風險AI系統可以投放到歐盟市場。人工監督考慮到高風險AI系統可能造成的潛在危害，歐盟AI法案要求對這些系統進行人工監督。人工監督的目的是減少因使用高風險AI系統而可能對健康、安全或基本權利造成的風險。所需監督的性質可能因風險程度、系統自主程度和使用環境的不同而有所差異。考慮到高風險AI系統可能造成的潛在危害，歐盟Al法案要求對這些系統進行人工監督。人工監督的目的是減少因使用高風險AI系統而可能對健康、安全或基本權利造成的風險。人工監督應：20·幫助部署者了解高風險AI系統的能力和局限性·提醒注意避免過度依賴高風險AI系統的輸出，特別是那些提供信息或決策建議的系統·允許正確解讀系統的輸出·允許選擇忽略、否決或逆轉系統的輸出·允許人工干預或停止系統的運行AI素養為了最大化AI的價值并最小化潛在的危害，提升AI素養是至關重要的。AI素養指的是有效使用、交互和批判性評估AI系統所需的知識和理解。這包括對AI的基本理解、技術技能、倫理和法律意識、批判性思維和實際應用。AI素養在AI生命周期的所有階段都是至關重要的。歐盟AI法案要求AI系統的提供者和部署者(無論風險水平如何)確保任何代表他們操作和使用AI系統的人士都具備足夠的AI素養。21AI素養最終有助于實現對AI系統的有效人工監督。AI素養指的是有效使用、互動和批判性評估AI系統所需的知識和理解。19EuropeanUnion,“ArtificialIntelligenceAct,”Article43EuropeanUnion,“ArtificialIntelligenceAct,”ArticleEuropeanUnion,"ArtificialIntelligenceAct,"Article412歐盟AI法案解讀：要求和實踐指南注冊在投放市場或投入使用前，高風險系統必須在歐盟高風險AI系統數據庫中注冊。22該數據庫將包含可訪問且公開的信息。數據庫中的信息必須用戶友好且機器可讀。報告嚴重事件歐盟AI法案要求高風險AI系統的提供者在發生嚴重事件時進行報告。法案定義的嚴重事件包括：Al系統故障或事件導致人員死亡或健康受損，關鍵基礎設施的重大且不可逆的中斷，未能履行保護基本權利的義務，或對財產或環境造成嚴重損害。統故障或事件導致人員死亡或健康受損，關鍵基礎設施的重大且不可逆的中斷，未能履行保護基本權利此類報告應提交給事件發生地的歐盟成員國市場監管機構。必須在知道事件發生后的15天內報告，但根據事件影響的嚴重程度，報告時間可能更短。事件報告后，提供者必須對事件進行調查，包括進行風險評估，并采取適當的糾正措施。23高風險系統部署者的義務根據歐盟AI法案，部署高風險AI系統、模型或服務的企業有特定的義務。24在選擇Al系統提供者時，盡職調查至關重要，因為部署者可能對提供者的不足承擔責任。圖6概述了高風險AI系統部署者的義務。在選擇Al系統提供者時，盡職調查至關重要，因為部署者可能對提供者的不足承擔責任。22Europeanunion,“ArtificialIntelligenceAct,”Article49,Article71Europeanunion,“ArtificialIntelligenceAct,”ArticleEuropeanunion,“ArtificialIntelligenceAct,”Article13歐盟AI法案解讀：要求和實踐指南圖6:高風險AI系統部署者的義務使用說明：高風險AI系統的部署者必須按照適用的使用說明來使用這數據保護影響評估：高風險AI系統的部署者可能需要進行數據保護影記錄保存：高風險AI系統自動生成的日志應由部署者保存。需要注意14歐盟AI法案解讀：要求和實踐指南透明度要求歐盟AI法案對某些類型AI系統的提供者和部署者提出了透明度要求。這些要求不僅限于高風險AI系統。AI使用的透明度對于確保人們信任AI至關重要，它還會影響人們與AI的互動方式。根據歐盟AI法案，與AI系統互動的人必須被告知他們正在與AI互動。例如，尋求客戶服務支持的人如果被鼓勵與聊天機器人交談，必須被告知他們不是在與真人交談。AI使用的透明度對于確保人們信任AI至關重要，它還會影響人們與AI的互動方式。此外，創建合成內容的Al系統提供者必須確保輸出被標記為人工生成或操縱。提供者需考慮這種標記的技術限制和能力，并了解該領域的最新技術是非常重要的。25對AI生成或操縱的內容進行水印處理可以幫助減輕深度偽造帶來的危害，限制錯誤信息和虛假信息的傳播。有限風險AI系統(具有情感識別或生物特征分類功能)的部署者也有透明度要求；這些部署者必須通知受這些系統影響的人們其操作情況。需要注意的是，這類敏感個人數據也可能受其他歐盟法規的約束，通用AI模型歐盟AI法案將通用AI模型定義為能夠執行多種不同任務并表現出一般性的AI模型。這些模型通過自我監督、無監督或強化學習，在大量數據上進行訓練。通用AI模型可以被細化和修改成新的模型。歐盟AI法案對通用AI模型的提供者提出了許多義務。他們必須創建和維護模型的技術文檔，包括訓練和測試過程，并將這些信息提供給計劃將通用AI模型集成到其AI系統中的AI系統提供者。模型提供者還必須創建一個詳細的訓練內容摘要，并將這些信息公開展示。26歐盟AI法案還規定了對具有系統性風險的通用AI模型提供者的額外義務。具有系統性風險的通用AI模型是指根據法案中定義的各種指標和基準，具備高影響力能力的模型。27系統性風險是指可能影響公共健康、安全、安保、基本權利或整個社會，并且可以在價值鏈上大規模傳播的風險。由于在模型投放市場并被更多使用后，更容易全面了解其能力，所以被視為具有系統性風險的AI模型的門檻不是一個固定點。因此，提供者可能需要定期重新評估其通用AI模型。2825EuropeanUnion,“ArtificialIntelligenceAct,”Article5026EuropeanUnion,“ArtificialIntelligenceAct,”Article5327EuropeanUnion,“ArtificialIntelligenceAct,”Article5128EuropeanUnion,“ArtificialIntelligenceAct,”Article5515歐盟AI法案解讀：要求和實踐指南具有系統性風險的通用AI模型提供者必須滿足上述所有通用AI模型提供者的義務。此外，提供具有系統性風險的通用AI模型的提供者還必須評估模型并進行對抗性測試，以識別和緩解與之相關的系統性風險；向AI辦公室(在歐盟層面設立的機構)報告任何嚴重事件及其相應的補救措施；并為模型提供充分的網絡安全保護。創新考量許多AI應用場景是新的，AI系統的能力也在迅速發展。該法案認識到，其所包含的法規可能會受到批評，認為會抑制創新。為了解決這一問題，法案要求每個成員國創建一個AI監管沙盒，以促進創新，并在這些先進的AI系統投放市場前進行開發、測試和驗證。29罰款違反歐盟AI法案的后果根據違規性質而有所不同。對于禁止的AI實踐的違規行為，罰款最高可達3500萬歐元或公司全球年營業額的7%,取較高者。對于法案其他條款的違規行為，罰款最高可達1500萬歐元或全球年營業額的3%,取較高者。對于中小企業，罰款較輕，罰款金額為上述百分比或金額中的較低者。罰款最高可達3500萬歐元或公司全球年營業額的7%,取較高者。企業必須根據需要向相關當局提供準確和最新的信息。提供不準確、不完整或誤導性的信息將面臨最高750萬歐元或全球年營業額1%的罰款，取較高者。自然人或法人可以就法案的違規行為向適當的市場監管機構提出投訴。30實踐者的下一步歐盟AI法案對企業提出了多項要求。鑒于不合規的嚴重后果，受影響的企業應立即開始著手合規工作。時間表歐盟AI法案于2024年8月1日生效，大部分條款將于2026年8月2日開始實施。圖7顯示了AI法案的時間表。3129EuropeanUnion,“ArtificialIntelligenceAct,”Article5730EuropeanUnion,"ArtificialIntelligenceAct,"Article9931EuropeanUnion,“ArtificialIntelligenceAct,”Article11316歐盟AI法案解讀：要求和實踐指南高風險系統(作為產品安全組件的一部分或受其他歐盟法律法規要求進行第三方符2025年2月2日：2025年8月2日：禁止的實踐行為開通用AI模型提供者機械、玩具、醫療器械)始適用的義務開始適用。的義務開始適用。2024年8月1日：2030年12月31日：之前已投放市場或投入使用的大型IT系統中的AI系統必須達到合規要求。2025年5月2日：行為準則應準備就緒，以幫助提供者證明其合規性。2026年8月2日：大多數其他條款開始適用。隱私輸入由于隱私法規和AI相關法規有許多相似之處，企業的隱私官員以及法律和合規團隊能夠判斷歐盟AI法案是否適用于該企業，以及如何影響AI的開發和/或部署。如果適用，開發AI的團隊應與隱私、法律和合規同事密切合作，了解他們在歐盟AI法案下的義務。法案中的許多要求已經在《通用數據保護條例》(GDPR)中有類似規定，因此企業在風險管理、數據治理、記錄保存、準確性與穩健性、人工監督和透明度等方面可以從隱私官員那里獲得重要指導。隱私職能部門習慣于處理透明度、倫理、風險評估和問責制等問題，其中信任是關鍵。此外，AI系統需要數據，包括個人數據，這意味著《通用數據保護條例》將與歐盟AI法案同時適用。另外，個人數據和非個人數據往往難以區分。因此，確保用于AI模型的數據的合法使用是關鍵。特別是，使用個人數據需要有合法依據(例如，正式同意或其他類型的許可),在這方面，隱私官員將是引導企業遵守歐盟AI法案的關鍵人物。需要注意的是，定期與關鍵利益相關者(如采購、風險、業務、安全、人力資源和技術團隊)合作是必不可少的，因為執法行動可能會影響AI系統的使用或部署方式。法律和合規團隊可以幫助核實外部溝通要求是否得到滿足。與用戶體驗人員合作開發這些通知，可以向消費者提供透明且易于理解的AI使用信息。17歐盟AI法案解讀：要求和實踐指南即使不受AI法案約束的企業也可以提前實施部分條款，以應對更廣泛的全球AI相關立法。32法案中的風險分類方案可以幫助企業對其使用的或創建的AI系統進行風險分類。確保AI系統不會造成傷害，有助于建立更加可信的AI,這是所有企業的值得追求的目標，而不僅僅是受歐盟AI法案約束的企業。AI庫存和第三方管理為了符合歐盟AI法案的要求，實踐者需確定企業使用的、創建的和部署的AI系統。識別這些系統可以降低影子IT的風險。為了符合歐盟AI法案的要求，實踐者需確定企業使用的、創建的和部署的AI系統。識別這些系統可以需要注意的是，并非所有的AI使用都會受到歐盟AI法案的管轄，或者在法案下以相如前所述，一家企業在一個場景中可能是AI提供者，而在另一個場景中則是部署者。無論哪種情況，企業都應確保自己以及與其合作的任何第三方在適當的情況下符合歐盟AI法案的要求。例如，如果營銷團比如通過驗證AI生成的圖像是否有水印。許多企業可能已經對其組織內的AI系統進行了風險評估。重要的是要記住，企業定義的高風險可能與歐盟AI法案的定義不同。受法案約束的企業應進行與法案分類方案一致的風險評估活動。記錄AI系統獲取和使用流程建立AI系統的獲取和適當使用流程非常重要。如果AI已經在使用中，必須采取措施確保其符合要求；企業不應僅基于現有的AI系統和已實施的用例來制定要求。服務水平協議和供應商合同應明確說明AI的使用方式和范圍。在每種情況下，都必須考慮AI風險，特別是在采購AI軟件或服務時。還必須有書面流程，說明第三方如何通知客戶AI相關的事件和中斷。無論是否需要遵守歐盟AI法案，企業都應建立全公司的政策，明確何時可以使用AI、何時不能使用AI,以及需要上報處理的情況。為了解決上報事項并確保AI使用的整體性，企業應考慮成立一個AI治理委員會，成員來自企業各個部門，負責監督組織內的AI使用。·信任但驗證：鑒于AI系統的運作方式，其輸出結果未必總是正確。應驗證輸出的準確性并檢查潛在·考慮現有合規要求：Al系統和模型可能使用個人數據，這意味著適用的隱私法規(如《通用數據保護條例》)將與歐盟AI法案同時適用。·修訂現有政策：AI系統可以執行多種任務，但并非所有用例都符合相關法律法規或在企業的風險承受范圍內。利用并更新現有的可接受使用政策，或設計新的政策(如果不存在的話)。32ThissituationmaybesimilartowhathappenedwiththeGDPR,wheretheEuropeanUnionseemedtoleadthechargefordataprivacy,followedbymanyothercountries.33isACA,ThepromiseandperiloftheAIRevolution:ManagingRisk,12september2023,/resources/whitepapers/2023/the-promise-and-peril-of-the-ai-revolution18歐盟AI法案解讀：要求和實踐指南·適應現有的網絡安全和隱私政策及項目：在AI系統開發中推廣“設計時考慮安全”和“默認隱私”的理念。在與第三方AI提供商合作前，考慮安全性和隱私問題，可以幫助預防后續的網絡風險和隱私風險，并有助于滿足合規要求。·提高AI素養：培訓和教育員工關于AI技術和風險。例如，在某些情況下，為特定崗位提供部門級的AI適當使用培訓可能很有價值，如通知人力資源部門，根據歐盟AI法案，他們不得使用AI工具監測員工滿意度。·指定AI負責人：應指派專人負責跟蹤使用的AI工具及企業對AI的整體方法。AI負責人應與企業內的其他相關人員緊密合作，包括網絡安全、隱私、法律、采購、風險和審計人員。·進行成本分析：評估實施AI系統的成本以及這些系統可能帶來的成本節約。建立審計和可追溯性：鑒于歐盟AI法案中的透明度和符合性評估要求，企業必須確保了解其創建或使用的任何AI模型的功能。用于訓練AI模型的數據源應被理解，以幫助限制操控并減少偏見。審計可以提供關于Al系統如何工作的洞察，幫助企業滿足透明度要求。制定AI倫理指南：某些AI使用方式可能被認為不符合企業的倫理標準。例如，利用生成式AI創建客戶需付費的內容可能不被允許。企業的AI使用倫理指南必須記錄并全公司共享。需要注意的是，隨著AI使用的演變以及責任和版權法的變化，這些指南可能需要調整。考慮社會影響：企業使用AI的方式可能對社會產生重大影響。例如，關于失業和崗位轉移的擔憂是可以理解的。深度偽造也變得極具說服力，人們需要學會識別AI驅動的錯誤信息和虛假信息。面對這些挑戰，企業應考慮其AI使用對社會的廣泛影響，例如，考慮如果每個組織都以某種方式使用AI技術，會產生什么影響。結論AI系統提供的益處必須與其帶來的風險相平衡。歐盟AI法案的全面風險管理方法可以幫助企業以安全、透明和可信的方式開發和部署AI。即使不受該法案約束的企業也可以將其部分內容作為最佳實踐實施，并為其他司法管轄區未來可能出臺的立法做好準備。AI系統的能力及其相關法律法規正在迅速發展，AI系統和法律之間存在許多未知數，例如，如果AI系統造成損害，責任如何劃分。開發和使用合規且可信的AI是一個持續迭代的過程，而不是一次性的活動。了解AI、其應用方式及其潛在后果對于最大化其價值和減少其危害至關重要。致謝ISACA謹向以下人員表示誠摯謝意：校審專家AIGP,CIPM,CIPP/E,FIP,NYSBCISM,CRISC,CDPSE,AIGP,CCISO,CEH,CIPM,CSSLP董事會成員JohnDeSantis,ChairFormerChairmanandChiefExecutiveOfficer,HyTrust,Inc.,USAChiefInformationSecurityOfficerandDataProtectionOffice