夜雨聆风
2026年初,爱尔兰发布了《人工智能监管法案》总方案(General Scheme of the Regulation of Artificial Intelligence Bill),明确了《欧盟AI法案》在实际操作中的具体实施方式。
该法案将决定企业在招聘、客户服务、合规、制造、医疗和金融服务等职能中如何构建、采购、部署和监督人工智能系统。关键问题不再是法规的原则性规定,而是人工智能将如何在实地得到监督、执行和治理。
这一立法旨在落实《欧盟AI法案》中需要各国监督和执法的部分,并确认爱尔兰将采用分布式执法模式,以现有的行业监管机构为基础,并由一个新的中央协调机构——Ireland AI Office提供支持。
这对跨国公司而言意义重大,因为许多跨国公司将其爱尔兰业务作为欧洲产品、监管、信托、法律、运营及EMEA(欧洲、中东和非洲)领导职能的基地。随着《欧盟AI法案》分阶段实施,这些团队需要将宽泛的欧盟法规转化为具体的控制措施、治理流程和内部问责机制。
理解《欧盟AI法案》
首先,《欧盟AI法案》是一项直接适用的欧盟法规。它于2024年8月2日生效,将在36个月内分阶段实施。其目标是在欧盟范围内建立统一的人工智能框架,同时保护健康、安全和基本权利。
该法案并非对所有人工智能应用实行一刀切的法律,而是采用基于风险的方法,对可能对个人或社会造成更大风险的人工智能系统施加更严格的要求。
对企业而言,关键在于该法案适用于各个行业,不仅涉及构建人工智能系统的公司,也涉及在运营中使用第三方工具的公司。普华永道指出,该法规本质上是横向的,涵盖各个行业,包括在欧盟市场内运行或影响欧盟公民的系统,无论提供商位于何处。
风险类别
《欧盟AI法案》围绕四级风险结构构建,这对公司如何评估其风险敞口至关重要。
最高级别是不可接受风险。这些是彻底被禁止的人工智能实践。例如社会信用评分、无针对性地抓取面部图像、工作场所和学校中的情绪识别,以及执法部门在某些情况下使用实时远程生物识别技术。
下一个类别是高风险。这包括两大群体:第一类是与产品相关的人工智能,属于某些欧盟产品安全制度(如机械或玩具)的范畴;第二类是附件III中列出的特定高风险用途,包括人工智能可能显著影响人们安全或基本权利的领域,如关键基础设施、教育、就业和基本服务获取等。高风险系统需承担最重的义务,包括治理、网络安全、文档记录和监督等方面的要求。
接下来是有限风险,此时透明度义务适用。例如,使用聊天机器人的企业可能需要明确告知用户他们正在与人工智能交互。
最后,最小风险涵盖了大多数日常人工智能应用。这些通常被允许,且没有同等程度的监管负担。
《欧盟AI法案》时间表
该法案分阶段实施,但几个重要节点已经过去。
2024年11月2日,成员国必须确定负责监督与某些高风险人工智能系统相关的基本权利的公共机构。2025年2月2日,关于被禁止的人工智能实践的规定生效,同时提供商和部署者也有责任确保相关员工具备足够的人工智能素养。
下一个重要截止日期是2025年8月2日,成员国必须指定主管当局并立法规定处罚措施。2025年9月,爱尔兰指定了15个国家主管当局,并在企业、旅游和就业部内设立了国家单一联络点。
展望未来,2026年8月2日是下一阶段的关键日期。届时,成员国必须有一个运行中的人工智能监管沙盒,且附件III中高风险系统的规则将生效。爱尔兰还计划届时设立Ireland AI Office作为中央协调机构。附件I中与产品相关的高风险人工智能系统的截止日期较晚,为2027年8月2日。
爱尔兰执法模式的含义
爱尔兰的模式独特之处在于它采用了分布式执法模式,利用现有的行业主管当局。与依赖独立的人工智能监管机构不同,爱尔兰授权了15个主管当局在其领域内监督人工智能系统,包括:
Central Bank of Ireland
Coimisiún na Meán
Commission for Communications Regulation
Commission for Railway Regulation
Commission for Regulation of Utilities
Competition and Consumer Protection Commission
Data Protection Commission
Health and Safety Authority
Health Products Regulatory Authority
Health Services Executive
Marine Survey Office of the Department of Transport
Minister for Enterprise, Tourism and Employment
Minister for Transport
National Transport Authority
Workplace Relations Commission
根据William Fry律师事务所的一份报告,对在爱尔兰的企业而言,这种模式具有实际影响。跨行业运营的公司可能需要根据其人工智能用例与多个主管当局打交道。金融服务公司、医疗技术企业或在劳动力环境中使用人工智能的雇主,都可能面临不同的监督触点。
拟议中的Ireland AI Office旨在通过协调执法、作为单一联络点以及运营国家人工智能监管沙盒来减少碎片化。
根据KPMG的报告,证明遵守《欧盟AI法案》和爱尔兰的执法期望将日益成为市场准入、采购资格和合作伙伴信任的条件。报告还补充说,组织应嵌入人工智能风险管理、人工监督和治理结构,使产品设计与基本权利和透明度义务保持一致,并积极参与新兴的AI Office指导和沙盒机会。
违规处罚
《欧盟AI法案》规定了巨额经济处罚。对于违规行为,最高罚款可达3500万欧元或上一财政年度全球年营业额的7%(以较高者为准),适用于被禁止的实践或某些与数据相关的违规行为;其他不合规行为最高可罚款1500万欧元或全球年营业额的3%;向监管机构提供不正确、不完整或误导性信息最高可罚款750万欧元或全球年营业额的1.5%。对于中小企业适用较低的门槛,而较大公司则适用较高的门槛。
