5月7日,欧盟理事会和欧洲议会谈判代表就AI法案简化方案达成临时协议,这是继2024年AI法案正式生效后,欧盟首次对规则进行大规模”松绑”。距离原定8月2日的高风险AI系统合规截止日只剩三个月,很多企业还没摸清门道,欧盟干脆把期限往后推了。
宽松在哪里
最直观的变化是截止日期——独立类高风险AI系统的合规期限从今年8月推到了2027年12月2日,嵌入医疗设备等受监管产品的高风险AI更是延至2028年8月2日。中间还有4个月的”水印义务宽限期”,今年8月2日前投放市场的生成式AI,可以等到12月2日再完成水印标注合规。
受监管范围也在收窄。工业机械内置的AI系统,如果已经受欧盟《机械法规》覆盖,直接被剔除出AI法案监管范围。医疗设备、玩具、电梯等产品中内置的AI”安全组件”,只需要遵守对应行业的安全法规,不用再重复履行AI法案的义务。
“安全组件”的定义被收窄了——只有当AI功能失效会直接造成健康或安全风险时,才会被认定为高风险AI的”安全组件”。那些只是用来辅助用户、优化性能的AI功能,不会再被自动划为高风险范畴。
中小企业也受惠
原来只有小微企业(SME)才能享受的简化合规政策,现在扩展到了员工不超过750人、年营收不超过1.5亿欧元的中型企业。这意味着一大批成长型AI公司可以享用简化合规指南、更低的罚款标准,以及监管沙盒的准入资格。
还有一个挺有意思的放宽:企业现在可以使用GDPR定义下的特殊类别个人数据(健康信息、生物特征数据、种族、性取向等)来检测和缓解AI模型的偏见,不需要再走此前那套严苛的特殊数据审批流程。
红线还在
放宽不等于放任。”nudifier”类AI应用——也就是用来生成未经同意的亲密内容、儿童性虐待材料的系统——被新增为禁止项,今年12月2日起生效,违反禁止性规定的最高罚款是3500万欧元,或全球年营业额的7%,取高者。
透明度义务(聊天机器人披露、深伪内容水印等)依然在8月2日生效,只是水印部分给了4个月宽限。罚款标准是不超过1500万欧元或全球年营业额的3%。
企业该怎么应对
宽限期多出来的这几个月的用处,是让企业把合规框架搭好,而不是继续拖。欧盟委员会到现在还没发布高风险AI系统的协调标准,等标准出来的时候,留给企业调整的时间可能还是不够。提前把风险分类、数据治理、技术文档这些基础工作做扎实,比临时抱佛脚要靠谱得多。
还有一个现实问题:欧盟数据保护机构已经在AI领域开展GDPR执法了,已经有企业因为违规被罚款、相关AI应用被禁用。AI法案和GDPR是两套并行规则,合规的时候不能只盯着一个看。