国产激情一区二区三区-国产精品人人做人人爽人人添-国产欧美精品一区二区色综合-国产一区二区三区成人欧美日韩在线观看

中文
英文 日文

歐盟AI法合規首問:我是“高風險”嗎?

作者:廖理琳 國浩律師事務所 發布日期:2025-12-17 瀏覽量:


編者按

歐盟的人工智能應用市場廣闊,是AI企業出海的重要目的地;歐盟已率先出臺全球首部全面規范人工智能的法律框架[注1]——人工智能法案(Artificial Intelligence Act,下稱“AIA”[注2]),AI企業必須準確把握AIA的核心監管框架——一套以風險為基礎的分級監管法(risk-based approach),并在該框架下準確理解并判定自身產品的風險等級,進而適用相應的合規要求。

12月13日,第六屆國浩法治論壇在海口圓滿舉行,“人工智能與數字經濟”專題對話環聚焦行業前沿,奏響數智時代法治護航的先聲。在該環節,國浩數字經濟業務委員會暨法律研究中心秘書長、國浩北京合伙人廖理琳圍繞“如何準確完成高風險分類并應對潛在問題”展開,通過各類典型場景示例,剖析風險評估的模糊地帶及其應對建議,為讀者形成可操作的分類決策框架與合規策略。

今日分享廖理琳律師的精彩演講,以饗讀者。

目 錄

一、AIA項下的風險分類

(一) 高風險AI的“場景清單”:按圖索驥的風險分類與例外

(二) 融入NLF:產品安全視角下的高風險AI

二、結語

1

AIA項下的風險分類

在AIA的監管框架下,并非所有人工智能(下稱AI)系統[注3]都被一視同仁,而是按照“風險”程度劃為四類:不可接受風險(Unacceptable risk)、高風險(High-risk)、有限風險(Limited risk)和最小風險(Minimal or no risk),再依“風險越高,監管越嚴格”的原則,選擇和設計監管工具。[注4]

本文將關注點放在“高風險(High risk)”的AI系統,因其處于“可進入市場但受嚴格監管”的關鍵區間,且會觸發最完整的合規義務(包括但不限于風險管理與數據治理、技術文檔與日志留存、準確性/穩健性/網絡安全、符合性評估與CE標識、歐盟數據庫登記,以及投放后監測與嚴重事件報告等[注5] ),對企業的產品設計、上線與運營產生最大合規影響,因此,AI產品出海歐盟時,首問便是我是“高風險”嗎?

圍繞“高風險”的認定,AIA采用“雙路徑”分類,包括:作為/包含產品安全組件的系統(AIA第6(1)條),以及以特定使用場景為標準分類的系統(AIA第6(2)條及Annex III)。下文將分別介紹,并首先聚焦第6(2)條。

(一)高風險AI的“場景清單”:按圖索驥的風險分類與例外

1.“場景清單”:AIA第6(2)條

就AIA第6(2)條而言,其分類邏輯相對直接——被收錄于附件III的AI系統一律認定為高風險,而附件III則按具體應用場景作出列舉與說明,概述整理可見下表;對被列為高風險的AI系統,其原因、依據則在AIA的序言進行了一一說明;而根據AIA序言第48條,其將AI系統劃分為高風險類別的核心標準,即其對《歐盟基本權利憲章》(Charter of Fundamental Rights of the European Union,下稱《憲章》)所保護的基本權利造成的負面影響程度。據此,下表將高風險AI系統、AIA“序言”闡釋的歸類依據、可能危及的基本權利(依據《憲章》)一一對應整理如下:

表1:AIA附件III高風險AI系統、歸類依據及權利風險映射表

2.高風險分類的“出口”:豁免條件與評估機制

(1)高風險分類的豁免機制

AIA立法過程中也意識到[注6],即便列在附件III高風險情景中的AI系統,若其僅提供純粹輔助性作用的、僅對人類行動或決策產生輕微影響(例如用于信息翻譯或文檔管理的AI系統),其實并不對法律權益構成重大風險。在此背景下,AIA在第6(3)條規定了第6(2)條的例外,即以下四種不屬于高風險的情況:

表2:AIA第6(3)條高風險豁免情形一覽表

(2)自然人畫像:絕對高風險AI

但是,只要涉及到“自然人畫像分析(profiling of natural persons)”功能的AI系統,始終應被視為高風險。[注8]

AIA中的“畫像(Profiling)”是直接引用的《通用數據保護條例》(General Data Protection Regulation, (EU) 2016/679) 第4(4)條的一個概念,是指“對個人信息進行的任何形式的自動化處理,該處理利用個人信息來評估與某一自然人相關的特定個人特征,尤其是分析或預測與該自然人在工作表現、經濟狀況、健康狀況、個人偏好、興趣愛好、可靠性、行為、位置或動向等方面的情況”;

“個人畫像”之所以必須被視為高風險場景,是因為它被認為是一種能夠同時、系統性地沖擊和危害《憲章》中多項重要權利的AI應用,它會深度挖掘海量個人信息,從而威脅到隱私和數據保護權(第7條和第8條),它通過將人簡化為數據標簽來限制其發展和選擇自由,它損害了人的尊嚴(第1條)和職業選擇自由(第15條)等自主權利,它可能依賴存在偏見的數據來延續和放大歧視,違反了非歧視原則(第21條);最后,其自動化處理導致不透明的“黑箱”特性,使得個人無法理解決策原因,從而剝奪了他們在權利受損時獲得有效救濟的權利(第47條)。

歐盟司法實踐中一個典型的判例,是歐盟法院(CJEU)于2023年12月7日針對SCHUFA Holding案(案件號:C-634/21)[注9]。SCHUFA是德國主要的私營征信機構,它通過算法自動為個人計算信用評分(一種典型的畫像分析),并將其提供給銀行等第三方機構。在本案中,一名德國公民因其較低的SCHUFA評分而被銀行拒絕了貸款申請,但SCHUFA以商業秘密為由,拒絕向其披露評分的具體計算方法和所涉個人數據。歐盟法院于2023年12月7日裁定,SCHUFA生成的信用評分本身即構成“自動化個體決策”,并對數據主體產生法律或同等重大影響,因而適用GDPR第22條的禁止及例外情形,SCHUFA作為評分提供者須遵守透明度、可解釋性和申訴權等嚴格要求,從而明確了信貸評分機構在“個人畫像”場景下的數據處理者責任,為各類AI驅動的自動化決策系統合規設定了重要先例。

3.風險如何量化?情景分類方法的理論基礎與合規實踐

當人工智能相關風險將被用作政府監管的依據,因而須建立評估和分類這些風險的統一方法。監管機構、標準組織及其他利益相關方多年來一直致力于開發風險評估框架和科學方法論。然而,許多損害要么完全不可量化,要么在可量化問題中摻雜了隱性的政策選擇。[注10]

(1)分類的基石:當“風險”遇見“權利”

第一個政策選擇便是將AIA的風險防范理念深植于《憲章》的權利保護框架,然而,當法律試圖用“權利”這把尺子去度量“風險”這個復雜概念時,一系列關于合理性與精確性的問題便浮出水面。要理解AIA情景分類的潛在局限,我們必須首先審視“風險”與“權利”之間錯綜復雜的關系。


a.風險與權利的關系

“風險”并非嚴格的法律概念,從廣義上講,“風險”意味著帶來不利影響的未確定因素[注1]。前人研究已用實例論證過在法律語境下對“風險”進行準確界定充滿困難[注12],部分原因在于“風險”的內涵跨越統計、經濟[注13]和政治科學[注14]等學科,同時還因為人們對風險的認知難以做到足夠理性,往往會夸大低概率但高沖擊事件的風險(如恐怖襲擊或飛機事故),而低估高概率的日常風險(如肥胖或慢性病)[注15]

在哲學與法律層面,“風險”不僅關乎概率。Judith Jarvis Thomson曾通過一系列“風險暴露”思想實驗(例如“打開爐灶是否可能致使鄰居死亡”)探討[注16]:在何種情況下,對他人施加風險在道德和法律上可被接受,何時構成侵權或須承擔責任。她指出,某些行為即使未造成實際損害或發生概率極低,仍可能侵犯他人權利。例如,露天焊接可能引發火災,即使未發生事故,鄰居仍可因潛在危險要求中止該行為。相反,在某些情形中,即便發生損害,行為也可能不被追責。例如駕駛員遵守交規正常行駛,若因動物突然竄出導致事故,其行為通常不被視為違法,責任有限。

由此,將風險定義為“某一危害發生的概率”與“其后果嚴重程度”(很大程度取決于其可能危害的“權利”)的結合[注17]——這也正是AIA所采納的“風險”定義[注18]

但就是由此定義出發,要對某項風險類型及其嚴重程度達成共識,也是困難重重。在關于AIA的立法談判中,關于在歐盟應禁止哪些人工智能行為、又應將哪些AI系統劃為“高風險”的問題展開了熱烈的辯論。[注19]


b.難以評估的“風險”

正如學者們指出的[注20],AIA目前并未確立判定AI何時對社會與個人構成“高風險”的標準,而是由歐委會[注21]提供一份清單來確定某一特定AI系統歸屬的風險類別。與GDPR立法前長期積累的數據保護案例、規則、各國法律等基礎不同,由于AI技術近年來的迅速發展,人工智能應用在短時間內積累的真實案例還不足以支撐其一套完善、精密、經得住時間考驗的監管體系的構建,連歐委員也不得不承認“由于缺乏數據和監測人工智能這一新興技術的手段,關于人工智能使用所造成危害的可靠且具有代表性的證據十分匱乏”[注22],因此,其在制定法案時只能過度地依賴公開咨詢意見[注23]。而在咨詢過程中,采用的封閉式問題和預設答案的方式,引發了對所收集數據的準確性和代表性的質疑[注24]。此外,咨詢結果與最終法案之間也存在差異,在某些方面,法案內容甚至偏離了受訪者所表達的共識[注25]。因而有觀點認為,該法案所謂的“風險”導向的方法既沒有建立在實證依據之上,也未能通過外部可驗證的標準加以證明,而是高度依賴基于基本權利的路徑(rights-based approach),及AI系統運用的場景,[注26]是特定時期政治妥協的結果,因此在很大程度上具有隨意性[注7]

對商業實踐更不友好的是,AIA目前的監管框架僅關注到新技術的潛在風險并進而施加了合規成本[注28],卻并未認可新技術的潛在獲益更別提相應的支持政策[注29],若無法通過比例性評估減輕監管負擔,將抑制創新,并喪失AI技術可為AIA旨在保護的價值觀帶來的益處;為此,有研究建議根據比例法以半量化的方式更加精準地評估風險。[注30]

從企業實務角度,需要關注監管框架發展、完善走向,更需要在產品設計階段前瞻性地融入合規考量。具體而言,企業應建立跨部門的AI治理機制,將法務、技術、產品團隊緊密協作,在系統開發初期就評估其可能觸發的風險分類,避免后期成本高昂的合規改造。同時,鑒于AIA風險分類標準的演進性,企業還需建立持續監測機制,跟蹤歐委會對AIA附件III的動態調整,以及各成員國執法實踐的差異化趨勢,確保產品合規策略與監管環境保持同步。


c.從規則到實務:高風險分類的模糊地帶

盡管AIA設立高風險系統清單(附件III)及4類例外(第6(3)條)的分類“救濟”框架,但是,實踐中該框架仍難完全排除劃定“高風險”時所存在的不確定性,而難點就藏在多項難以量化的、高度情境化的事實判斷:

? 情景一(是否適用第6(3)條的例外):具體AI系統的輸出是否對后續決定構成“實質性影響”,還是僅執行狹窄的程序性任務、前置性準備,或僅用于檢測決策模式偏差、且保留充分的人類復核步驟;

? 情景二(是否落入第6(3)條但書):是否涉及對自然人進行“畫像(profiling)”。

? 情景三:是否造成對健康、安全或基本權利的“顯著風險”;

例如,一個AI驅動的“技能匹配與工作機會推薦”系統,即使企業聲稱該系統提供建議,最終的職業發展決策完全由員工和管理者自主做出,但如果絕大多數員工都傾向于接受AI推薦的機會,而忽略其他選擇,那是否會被認為事實上“實質性影響”了員工的職業發展,進而應將其歸類為“高風險”?同樣,該系統的訓練數據中女性在管理崗位的代表性不足,AI可能會較少向女性推薦管理職位,從而間接造成歧視,即便企業采取措施減輕偏見,但其是否對基本權利產生“顯著風險”則是難以量化的。

這些判斷取決于具體AI系統的用途、部署流程與組織治理設計,難以按照抽象規則一刀切。在實際市場中,不少AI產品游走于高風險邊緣,以Microsoft Viva Insights這類辦公“協作與行為指標”工具為例,官方將其定位為提升效率的數據洞察平臺產品[注31],其“會議與通信負荷分析”功能在去標識并基于團隊層級展示數據時,能被視為低風險。然而,若該功能下鉆至個人層級并用于績效評估,便可能轉為高風險,顯示出同一產品風險歸類因功能用途有所不同。因此,監管機構對Microsoft 365等生產力工具在監控效應及數據處理中的潛在風險保持高度關注[注32]

實際上,歐委會也在立法中意識到從規則到實務之間存在模糊地帶,所以在技術上亦有意保留“事后+情境化”的裁量空間,在AIA第6(5)條項下要求在2026年2月2日內發布“操作性指南”與“高風險實例清單”[注33]

(2)應對建議:擁抱動態合規,構筑風險管理多重防線

在目前監管口徑尚未完全明確的背景下,謹慎的合規路徑是:在產品投放市場或投入使用前,依AIA第6(4)條形成“非高風險”自我評估,形成書面記錄并按規定在歐盟數據庫登記。

在設計與部署中盡量避免對自然人進行畫像,或確保畫像不被用于直接影響個體權利義務的決定;對任何涉人事等高風險屬性的輸出中設置實質性、可追責的人類復核,并完善技術與流程留痕以支撐“非實質性影響/僅前置準備/偏差檢測+人工復核”的主張。

同時,亦需持續跟蹤第6(5)條項下即將發布的指南及實例對分類邊界的細化,必要時主動比照高風險要求“向上對齊”,或主動調整部分功能以確保不落入高風險范疇,以在不確定期降低執法與合規風險。

(二)融入NLF:產品安全視角下的高風險AI

除了AIA第6(2)條項下較為直觀的“應用場景”歸類法,AIA通過嫁接歐盟現有的“新立法框架”(NLF)[注34],對作為/包含安全組件的AI系統,按照AIA第6(1)條進行高風險劃分。所謂“新立法框架”(New Legislative Framework,下稱“NLF”),即歐盟內部通行的一套高度協調統一的產品安全監管體系,其核心在于以歐盟范圍的統一協調立法(Harmonisation Legislation,下稱《協調立法》[注35])規定產品的基本健康與安全要求,輔以統一標準(Harmonised Standards)和嚴格的第三方符合性評估程序(Conformity Assessment),確保產品可加貼CE標志(CE Marking),在全歐盟范圍內自由流通。而AIA第6(1)條所聚焦的“安全組件(Safety Component)”則是指產品或AI系統中用于實現該產品或AI系統安全功能的部件,其故障或失效會危及人員健康與安全或財產安全[注36]

1.嫁接于產品法的高風險AI分類

AIA第6(1)條規定,只要AI系統滿足以下兩個條件,即應被視為高風險系統:

? 條件一:(i)AI系統作為產品的安全組件,或(ii)AI系統本身即為產品;在前述任一情形下,相應的最終產品需接受附件I《協調立法》的規制;并且

? 條件二:條件一中的最終產品根據《協調立法》的規定,在投放市場或投入使用前,必須經過第三方機構的符合性評估(third-party conformity assessment,下稱“TCA”)

梳理條款規定,可按下圖流程做出AIA第6(1)條下是否屬于高風險AI系統的判定:

圖1:AIA第6(1)條高風險評估流程圖

從上述第6(1)條的內容可見,AIA對高風險的分類,部分仍脫胎于原有的產品責任法律框架(NLF)。實際上,在AIA立法初期,歐委會就曾考量并論證AI系統產品是否可以通過既有的產品責任法律框架來監管;[注37]但考慮到AI系統是具有自主智能系統,特別是其足以區分于其他傳統“產品”的高度的自動化特征和極強的學習能力,立法者才最終決定對其單獨立法;但為了確保及促進其和其他傳統產品一樣能安全、合規地在歐盟內部市場的自由流通,AIA設立第6(1)條項下的高風險分類機制,將AI系統相關的新概念(例如“AI系統”“安全組件”),嫁接在歐盟現有且成熟的NLF產品質量管理之上。

這帶來兩個直接問題:(1)原有監管體系下的風險分級標準是否仍然適用于AI系統;(2)AI新概念能否對接并適用于原有監管體系。

2.現有產品安全法規框架是否適用于AI產品

(1)基于產品安全法規的“風險過濾”機制

AIA第6(1)條并不自行確定產品的風險等級,而是利用一個現成的 “風險過濾器”,即《協調立法》項下的強制性TCA。如果一個AI系統被用于一個已經因為其自身固有風險而被《協調立法》強制要求進行TCA的產品上,那么這個AI系統就自動“繼承”了這種高風險定性,被認定為高風險AI系統。

這是借鑒了歐盟現有的《醫療器械法規》(Medical Devices Regulation,(EU)2017/745,下稱“MDR”)和《體外診斷醫療器械法規》(In Vitro Diagnostic Medical Devices Regulation,(EU)2017/746,下稱“IVDR”)將設備分為不同風險等級,并要求高風險設備進行TCA的監管框架[注38]。例如MDR就按照器械的預期用途(intended purpose)及其給人體帶來的潛在風險將醫療器械分為I類、IIa類、IIb類和III類[注39],風險最高的III、IIb、IIa類器械均需公告機構第三方符合性評估[注40]

(2)現有機制的局限性與適用例外

但是,該框架并不適用于所有《協調立法》項下的產品,例如無線電設備產品,在其監管法令《無線電設備指令》(Radio Equipment Directive,2014/53/EU,下稱“RED”)項下就沒有明確的產品風險分類,更無法按照風險等級施行TCA。進一步梳理AIA附件I《協調立法》項下多個法規[注41],對沒有明確風險分類的產品,強制要求進行TCA的情境往往是相關產品無法完全依賴現有“協調標準(harmonised standards)”(下稱“協調標準”),例如產品未采用或僅部分采用協調標準、或尚無相關協調標準可用。

那么,對某一AI產品而言,是否協調標準缺位(或不完全適用)而導致的強制TCA就該是其被劃為高風險的充分理由呢?這需要進一步了解什么是“協調標準”及其制定的流程及條件。

(3)“協調標準”缺失與高風險認定的悖論

根據AIA第3(27)條及歐洲標準化的第1025/2012號,“協調標準”是指基于歐委會為適用《協調立法》而請求受認可的標準制定機構(recognised standardisation body)[注42]制定的歐洲標準技術規范,可重復或持續使用,但并不強制遵守[注43]。制定和采用協調標準對于供應商來說使得不同主體的創新方案能夠協同工作,從而促進新產品、服務和流程的銜接和發展[注44],而對于產品受眾來說有利于其高效地信賴和接受創新的產品[注45]

但并非所有新產品都能及時配備適用的協調標準,一套協調標準的制定始于歐委會的標準化請求,經相關機構開發并通過合規性評估后方能發布[注46]。在歐盟當前的標準化環境中,協調標準制定滯后主要因技術發展過快、領域復雜性和經濟驅動不足(如某些無線電設備市場需求低),而標準制定本身又需大量協調工作(如GSM成功依賴多方合作[注47])。特別考慮到歐洲標準化組織(CEN/CENELEC/ETSI)成員廣泛,利益相關者在新技術上常難達成共識。上述技術性困難導致某產品的協調標準難產,卻在AIA項下成為該產品劃為“高風險”的原因,顯得依據不足。

3.AI新概念能否融入現有法律框架?

AIA引入的涉AI概念對原有NFL而言,很大程度是獨立的、特定的內容,其是否能夠與所有《協調立法》無縫對接、良好運作其實也存在挑戰。

以AIA項下的“安全組件”概念為例,其在AI語境下并未包含保障網絡安全(cybersecurity)的組件[注48],但是,對《協調立法》之一的RED項下的“安全組件”來說,2021年的《RED授權條例》[注49]已將其涉及的安全內容擴大到了網絡安全方面[注50]。這使得RED項下安全組件所需保障的內容,超出了AIA項下對應部分的保障范圍(即僅保護“人員健康與安全或財產安全”)。以智能手機中的無線電模塊嵌入的AI異常檢測系統為例,該AI系統可監測數據流、識別并阻止未經授權的數據傳輸或隱私泄露,該AI系統符合RED第3(3)(e)條對保護用戶隱私安全的要求,可被列為RED項下的網絡“安全組件”,但可能因其失效不直接導致物理傷害、亦并不直接保護“人員健康與安全或財產安全”,所以在AIA項下不屬于“安全組件”,不被放到高風險的分類,以至于該等AI系統間接衍生的數據安全風險、個人隱私泄露的風險乃至因此造成的銀行賬戶被盜等財產風險可能缺少有效的監管。

同時,關于概念界定上,在關鍵數字基礎設施(critical digital infrastructure)領域,什么是“安全組件”還依賴AIA序言第55條的進一步說明,該條款強調安全組件必須"直接"(directly)保護基礎設施物理完整性或人身財產安全,且明確排除僅以網絡安全(cybersecurity)為目的的組件。然而,該解釋中對"直接性"的要求在現實中邊界不清,"直接"是否限于物理損害的即時因果鏈(如電磁輻射傷害),抑或包含一定程度的間接衍生風險?例如就智能電網負荷分配AI系統,雖非專門為人員、財產安全而設置的系統,但若其遭遇網絡攻擊,導致AI錯誤分配電力以致區域電網過載熔斷,其間接后果仍可能非常嚴重[注51]

同時,還需注意到,關鍵數字基礎設施若將AI系統作為其管理與操作中的安全組件,該AI系統根據AIA附件III(2)也會被歸為高風險。而當關鍵數字基礎設施(例如6G網絡)由無線電設備構成或依賴其作為組成部分時,就有可能帶來重復評估的情況。例如,當AI系統作為天線的安全組件時,其在投放市場或投入運行之際即需接受評估;若該天線隨后被集成至6G網絡,且該天線的AI系統進而成為網絡的安全組件,則該AI系統作為6G網絡的一部分必須再次接受評估。因此,同一要素可能因是否已集成于網絡而接受兩次、且標準不同的評估:無線電設備中安全組件的合規評定須由第三方執行,而關鍵數字基礎設施的合規評定則由AI提供者自行完成。


2

結 語

在探討AIA高風險分類框架的過程中,我們從風險分層邏輯入手,深入剖析了雙路徑機制的運作細節、附件III情境的豁免例外、分類模糊地帶的判斷挑戰,以及NLF框架下標準缺位與概念對接的實際難題,這些內容不僅揭示了監管的嚴謹性,也暴露了其在AI動態環境中的適應性考驗。

AIA對高風險的雙路徑分類體現了歐盟以基本權利為導向、疊加成熟產品安全框架的監管路線,在實務上提供了可執行的入口標準,但也不可避免地引入了三類不確定性——一是情境依賴與證據驅動的邊界判斷(如“實質性影響”“顯著風險”“畫像”),二是將“是否需TCA”作為高風險代理指標在協調標準缺位時可能失真,三是AI概念與部門立法(尤其網絡安全范圍)的錯位與重復評估。

基于此,企業應當將“先分類、再設計與投放”落到可審計的流程上:在市場投放前完成并保存第6(4)條項下的“非高風險”自我評估與登記;通過用途限定與系統設計盡量落入第6(3)條豁免(狹窄程序性任務/結果改進/模式檢測/前置準備),避免或隔離畫像功能;對涉人事與權利影響的輸出設置實質性、可追責的人類復核與日志留痕;緊跟第6(5)條的操作性指南與高風險/非高風險實例清單,必要時對關鍵控制“向上對齊”至高風險要求以降低過渡期監管風險;同時做好與部門產品法規的接口管理(梳理是否觸發TCA等),通過模塊化架構與技術文檔映射,減少重復評估與標準錯配帶來的負擔。如此,企業不僅能在現階段的規則與標準不完善中穩妥合規,也能把合規轉化為可復用的工程化能力,加速進入并服務歐盟市場。


(本文根據國浩北京合伙人廖理琳在第六屆國浩法治論壇中的發言整理。)


注釋及參考文獻

上下滑動查看全部

[1]歐盟委員會(European Commission). (n.d.). 人工智能的卓越與信任(Excellence and trust in artificial intelligence). 檢索于2025年10月12日, 來自 https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/excellence-and-trust-artificial-intelligence_en。

[2]歐盟議會與理事會(European Parliament and the Council). (2024). 第2024/1689號歐盟法規:關于人工智能的統一規則(Artificial Intelligence Act)[Regulation (EU) 2024/1689, of 13 June 2024]. 歐盟官方公報(Official Journal of the European Union), OJ L, 2024/1689, 12.7.2024 (人工智能法案)。

[3]根據歐盟委員會(European Commission). (2025年7月29日). 委員會關于由AIA確立的“人工智能系統”定義之指南 [Commission Guidelines on the definition of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act)] (C(2025) 5053 final),“AI系統(AI system)”是指“基于機器的系統,設計目的為以不同程度的自主性運行,并在部署后可能表現出適應性;為實現顯性目標或隱性目標,它能夠根據所接收的輸入推斷如何生成諸如預測、內容、推薦或決策等輸出,進而影響物理或虛擬環境”。

[4]見AIA序言第26條。

[5]見AIA第3章。

[6]見歐盟理事會(Council of the European Union). (2022年12月6日). 人工智能法案:理事會呼吁推動安全且尊重基本權利的人工智能(Artificial Intelligence Act: Council calls for promoting safe AI that respects fundamental rights). 檢索于2025年10月13日, 來自 https://www.consilium.europa.eu/en/press/press-releases/2022/12/06/artificial-intelligence-act-council-calls-for-promoting-safe-ai-that-respects-fundamental-rights/

[7]AIA序言第53條 說明了為何列出這四項例外。

[8]見AIA第6(3)條的但書。

[9]歐盟法院(Court of Justice of the European Union). (2023年12月7日). 判決(大審判庭):C 634/21(Judgment of the Court (Grand Chamber) in Case C 634/21, OQ v Land Hessen). 檢索于2025年10月14日, 來自 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62021CJ0634。

[10]瑪格特·卡明斯基(Margot Kaminski). (2023). 規制人工智能的風險(Regulating the Risks of AI). 波士頓大學法律評論(Boston University Law Review) 103:1347. 檢索于2025年10月17日, 來自 https://ssrn.com/abstract=4195066

[11]Chamberlain, J., 與 Kotsios, A. (2023). 界定風險并促進對人工智能系統的信任(Defining Risk and Promoting Trust in AI Systems). 載于 Bergstr?m, M., 與 Mitsilegas, V.(編), 歐盟法在數字時代(EU Law in the Digital Age), 瑞典歐洲法研究(Swedish Studies in European Law). 倫敦:Hart/Bloomsbury Publishing。該文總體介紹了“risk”在法律背景下的界定和含義,及該等概念在法律領域存在的問題。

[12]朱迪思·賈維斯·湯姆森(Judith Jarvis Thomson). (1986). 權利、救濟與風險:道德理論論文集(Rights, Restitution, & Risk: Essays in Moral Theory). 哈佛大學出版社,反對將“風險”僅理解為抽象概率,風險本身就是對他人權利結構的考驗,需在權利與補救框架下判斷可否與如何施加風險(imposing risk)。

[13]例如F. Hyneman Knight的《Risk, Uncertainty and Profit》(1921)系統區分了“風險”(risk)和“不確定性”(uncertainty),將“風險”定義為一種可測量的隨機性,即概率已知且可通過保險等方式應對的情況,與之相對,“不確定性”則指概率未知、不可預測的隨機性,無法通過統計方法量化。這為后續的風險經濟學奠定了框架

[14]巴魯赫·菲施霍夫(Baruch Fischhoff)、莎拉·沃森(Sarah Watson)和克里斯·霍普(Chris Hope). (1984). 風險的定義(Defining risk). Policy Sciences, 17, 123–139. 檢索于2025年10月13日, 來自 https://doi.org/10.1007/BF00146924。

[15]卡斯·桑斯坦(Cass Sunstein). (2002). 風險與理性:安全、法律與環境(Risk and Reason: Safety, Law, and the Environment). 劍橋大學出版社(Cambridge University Press),認為風險感知往往受人類非理性影響,他主張通過理性工具(如成本-收益分析)糾正這些偏差,以制定更有效的法律與環境政策,避免情緒驅動的過度反應。

[16]同上朱迪思·賈維斯·湯姆森(Judith Jarvis Thomson). (1986)中“施加風險”(“Imposing Risks”)一文。

[17]Gellert. (2020). 基于風險的數據保護方法(The Risk-Based Approach to Data Protection). 牛津大學出版社(Oxford University Press), 第27頁。

[18]見AIA第3(2)條。

[19]盧卡·貝爾圖齊(Luca Bertuzzi). (2023). 人工智能法案:歐洲議會在高風險分類與禁止性做法上的關鍵時刻(AI Act: EU Parliament’s crunch time on high-risk categorisation, prohibited practices). 檢索于2025年10月13日, 來自 https://www.euractiv.com/section/artificial-intelligence/news/ai-act-eu-parliaments-crunch-time-on-high-risk-categorisation-prohibited-practices/

[20]莉蓮·愛德華茲(Lilian Edwards). (2022年3月). 歐洲人工智能監管:四個問題與四個解決方案(Regulating AI in Europe: Four Problems and Four Solutions). 檢索于2025年10月17日, 來自 https://www.adalovelaceinstitute.org/wp-content/uploads/2022/03/Expert-opinion-Lilian-Edwards-Regulating-AI-in-Europe.pdf

[21]參見AIA第7條,當然根據AIA第6條第(3)-(4)款,附件III所列系統的提供者有機會證明(并記錄)其AI系統不屬于高風險類別。

[22]歐委會. (2021). 關于提議的歐盟議會和理事會法規的影響評估:制定人工智能的統一規則(人工智能法)并修訂某些歐盟立法法規(SWD(2021) 84 final)。歐盟出版辦公室。檢索于2025年10月17日, 來自 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021SC0084。

[23]Ljupcho Grozdanovski 和 Jerome De Cooman. (2023). 忘記事實,直指權利!——論在界定歐盟人工智能監管的風險/權利本位方法時經驗性知識的過時性. 羅格斯計算機與技術法律期刊(Rutgers Computer & Technology Law Journal), 49(2), 207–330。

[24]同上第239頁.

[25]同上第240頁.

[26]即如AIA序言第52條所述:"......根據其預期用途,若運用在本法列明的特定領域的AI系統,考慮到其可能造成傷害的嚴重性、發生概率,這些系統對人員的健康安全或基本權利構成高風險,則宜將其歸類為高風險系統[...]"。又見歐盟委員會(European Commission). (2021年4月21日). 委員會致歐洲議會、理事會、歐洲經濟與社會委員會及區域委員會的通報:促進歐洲人工智能方法(Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions: Fostering a European approach to Artificial Intelligence)(COM(2021) 205 final). 檢索于2025年10月13日, 來自 https://eur-lex.europa.eu/resource.html?uri=cellar:01ff45fa-a375-11eb-9585-01aa75ed71a1.0001.02/DOC_1&format=PDF

[27]同上注釋20。

[28]Khanna, V. S. (2021). 合規的成本與收益(Compliance as costs and benefits). 在 B. van Rooij & D. D. Sokol(Eds.), 劍橋合規手冊(The Cambridge Handbook of Compliance)(pp. 13–26),檢索于2025年10月12日, 來自 https://doi.org/10.1017/9781108759458.002

[29]馬丁·埃伯斯(Martin Ebers). (2024). 真正基于風險的人工智能監管:如何實施歐盟《人工智能法》(Truly Risk-Based Regulation of Artificial Intelligence: How to Implement the EU’s AI Act). 檢索于2025年10月17日, 來自 https://www.cambridge.org/core/journals/european-journal-of-risk-regulation/article/truly-riskbased-regulation-of-artificial-intelligence-how-to-implement-the-eus-ai-act/E526C1D0D7368F9691082220609D60F4 。

[30]Novelli, C., Casolari, F., Rotolo, A., Taddeo, M., & Floridi, L. (2023年7月). 如何評估人工智能風險:一種基于比例性的《人工智能法》風險模型(How to evaluate the risks of Artificial Intelligence: a proportionality-based, risk model for the AI Act). 預印本(Preprint). SSRN. 檢索于2025年10月13日, 來自 https://ssrn.com/abstract=4464783

[31]Viva Insights是微軟Viva員工體驗平臺的一部分,它是一款通過提供數據驅動的、受隱私保護的洞察和建議,幫助個人和企業提高生產力和福祉的應用程序。它整合了通訊、知識、學習等功能,并能提供個人、團隊和組織層面的分析。 詳見:https://learn.microsoft.com/zh-cn/viva/insights/introduction

[32]歐洲數據保護監督官(European Data Protection Supervisor, EDPS). (2024年3月8日). 對歐洲委員會(European Commission)使用 Microsoft 365 的調查:決定(Case 2021-0518)(EDPS investigation into use of Microsoft 365 by the European Commission: Decision). 檢索于2025年10月13日, 來自 https://www.edps.europa.eu/system/files/2024-03/24-03-08-edps-investigation-ec-microsoft365_en.pdf

[33]見AIA第6(5)條,需出臺“guidelines specifying the practical implementation”以及一份“list of practical examples of use cases of AI systems that are high-risk and not high-risk”。

[34]參見歐盟委員會(European Commission). (2018). 為社會經濟變革做準備(Preparing for socio-economic changes). 檢索于2025年10月13日, 來自 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52018DC0237

[35]則指對產品投放歐盟市場的條件進行協調統一的歐盟立法,在AIA項下具體指附件I所列歐盟立法。

[36]見AIA第3條第(14)項。

[37]歐盟委員會(European Commission). (2018年4月25日). 《新興數字技術的責任》(Liability for emerging digital technologies):委員會工作人員工作文件(Commission staff working document)(SWD(2018) 137 final). 歐盟出版辦公室(Publications Office of the European Union). 檢索于2025年10月13日, 來自 EUR-Lex。

[38]見AIA序言第51條。

[39]見MDR第51條。

[40]見MDR第52條。

[41]例如見Directive on Machinery (2006/42/EC)的第12條,Directive on the safety of toys (2009/48/EC)的第19條,《電梯指令及電梯安全組件指令》(Directive 2014/33/EU)第15條,《娛樂船只及個人水上摩托車指令》(Directive 2013/53/EU)第19條等等。

[42]根據歐洲標準化的第1025/2012號規定,目前受認可的標準制定機構有CEN(European Committee for Standardization歐洲標準化委員會)、CENELEC(European Committee for Electrotechnical Standardization中文翻譯:歐洲電氣標準化委員會)、ETSI(European Telecommunications Standards Institute歐洲電信標準協會。

[43]歐盟議會與理事會(European Parliament and the Council). (2012). 關于歐洲標準化的第1025/2012號法規,修訂了第89/686/EEC和第93/15/EEC號理事會指令及第94/9/EC、94/25/EC、95/16/EC、97/23/EC、98/34/EC、2004/22/EC、2007/23/EC、2009/23/EC和2009/105/EC號指令,并廢止了第87/95/EEC號理事會決議和第1673/2006/EC號理事會決議的法規(Regulation (EU) No 1025/2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC, and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC)(下稱“《歐洲標準化法規》”). 官方公報. 檢索于2025年10月13日, 來自 https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:316:0012:0033:EN:PDF。

[44]Staudenmayer, N., Tripsas, M., 和 Tucci, C. L. (2005). 企業間模塊化及其對產品開發的影響(Interfirm modularity and its implications for product development). 產品創新管理期刊(Journal of Product Innovation Management), 22(4), 第303–321頁。

[45]E. Viardot. (2017年3月). 創新采納中的信任與標準化(Trust and standardisation in the adoption of innovation). IEEE 通信雜志(IEEE Communications Magazine), 1(1), 第31–35頁。

[46]制定流程見《歐洲標準化法規》第10條、第11條。

[47]Bekkers, R., Verspagen, B., & Smits, J. (2002). 知識產權與標準化:以 GSM 為例(Intellectual property rights and standardization: The case of GSM). 電信政策(Telecommunications Policy), 26(3–4), 171–188。

[48]見AIA序言第54、55條。

[49]根據歐委會于 2021 年通過第 2022/30 號授權條例(Commission Delegated Regulation (EU) 2022/30,下稱“《RED授權條例》”)Commission Delegated Regulation (EU) 2022/30 of 29 October 2021 supplementing Directive 2014/53/EU of the European Parliament and of the Council with regard to the application of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive, OJ L 7, 12.01.2022. 《RED授權條例》適用于“連接互聯網的無線電設備”,即能夠直接或通過其他設備在互聯網上進行通信的無線電設備。

[50]《RED授權條例》要求連接互聯網的無線電設備不得損害網絡,亦不得濫用網絡資源導致不可接受的服務降級,并須內置保障措施確保用戶的個人數據得到保護。

[51]實際上,歐洲電力市場監管機構歐洲電力傳輸系統運作商網絡(ENTSO-E)近日確認其IT網絡遭到黑客攻擊,幸虧官方聲明稱此數據泄露僅限于辦公室網絡,并未影響關鍵電力系統,但這次泄露的可能性仍引發各方關注(見:https://cyberscoop.com/europe-grid-pupy-rat/)。

作者簡介

廖理琳

國浩數字經濟業務委員會暨法律研究中心秘書長、國浩北京合伙人

業務領域:科技、電信與互聯網,投資與并購、建設工程與房地產

郵箱:liaolilin@grandall.com.cn


【 特別聲明:本篇文章所闡述和說明的觀點僅代表作者本人意見,僅供參考和交流,不代表本所或其律師出具的任何形式之法律意見或建議。】