欧盟人工智能法案的十大运营影响——高风险人工智能系统非提供者【1】的义务（一）

[1]译者注：“non-providers指提供者以外的其他角色，并非法律的概念，而是原作者限于系列文章的体例安排，将人工智能价值链上除提供者以外的主体归集到了一起。我们译介时将原文拆分为三个部分，此篇讨论高风险人工智能部署者的义务。

如果您不是，但正在使用或处理高风险人工智能系统，您应该怎么做？对部署者、进口商、分销商和受权代表施加了一整套义务，以确保高风险人工智能系统在欧盟境内得到安全合规的使用。

这些利益相关方必须共同努力，坚持透明度、安全性和问责制的原则，以促进对人工智能生态系统的信任和创新。他们通过严格遵守这些法规可以减轻与人工智能相关的潜在风险，确保实现人工智能的好处，同时保护个人的基本权利和安全。法案对部署者、进口商、分销商和受权代表施加的义务见第二章第三节。

部署者的义务

部署者有普遍的义务采取适当的技术和组织措施，以确保他们按照随高风险人工智能系统所附的使用说明来使用此类系统。除了《人工智能法案》规定的义务外，部署者还需要遵守欧盟或成员国法律规定的其他义务。

人工智能素养

第4 条没有被放在法案第二章第二节中，而是出现在第一章的末尾，要求部署者有义务确保其员工、和处理人工智能系统操作与使用的其他人员具有足够的人工智能素养。部署者应考虑（其自身的）技术知识、经验、教育和培训，人工智能系统的使用环境，以及使用人工智能系统的个人。

根据法案第3条，人工智能素养的目标是使部署者和其他各方能够就人工智能系统及其部署做出明智的决策，并让他们了解人工智能可能造就的机遇，和可能造成的风险和危害。这些概念可能会因使用人工智能的环境而异，因此部署者必须调整他们的培训内容，使培训对员工具有实际意义，以便员工能够获得有关他们正在部署的人工智能的必要技能和知识。

对于部署者来说，人工智能素养还包括理解技术要素在人工智能系统开发阶段的正确应用、使用过程中要采取的措施，或解释人工智能系统输出的适当方法。

欧盟人工智能委员会被要求支持欧盟委员会推广人工智能素养的工具包，以及提高公众对于使用人工智能系统有关的收益、风险、保障措施、权利和义务的认知和理解。

尽职调查

与高风险人工智能系统的进口商和分销商不同，部署者通常不受尽职调查要求的约束。

但是，当公共机关和欧盟机构、实体、办公室或机构作为人工智能的部署者时，则必须首先核实他们意图使用的高风险人工智能系统是否已根据法案第49条在欧盟数据库中完成了注册。他们还必须避免使用未经注册的人工智能系统。

合规和监视

部署者需要根据他们从提供者处收到的使用说明来监视高风险人工智能系统的运行情况。他们必须向提供者提供相关的反馈，以便后者能够遵守系统的投放市场后的监视义务。

如果部署者有任何理由认为，其按照使用说明使用高风险人工智能系统可能会对个人的健康、安全和基本权利产生风险（见法案第79条第（1）款），则部署者必须立即通知提供者或分销商以及相关的市场监督机构，并暂停使用该系统。

而当金融机构作为部署者，在已经遵守了欧盟法律中适用于金融行业的内部治理、安排、流程和机制的规定时，即视为其已履行监视义务。

当欧盟《通用数据保护条例》第35条要求部署者进行数据保护影响评估时，他们可以根据提供者提供的使用说明来进行评估。

人类监督

部署者必须将人工监督的任务分配给具有必要能力、培训、权限和支持的自然人，以监督高风险人工智能系统的使用。部署者可自行组织自身的资源和活动来实施提供者指示的人工监督措施。

在部署者对输入数据有控制权的范围内，它必须确保输入数据与高风险人工智能系统的预期目的相关，且具有足够的代表性。

事件报告

如果部署者发现严重事件，则必须立即通知提供者，然后通知进口商或分销商以及相关的市场监督机构。

透明度和信息

在工作场所将高风险人工智能系统投入服务或使用这类系统之前，作为雇主的部署者应按欧盟或成员国法律规定的规则和程序，把雇员会受到高风险人工智能系统的影响，告知受影响的劳动者及其代表。

而附件三中提到的高风险人工智能系统（涉及基本权利而非产品安全的系统）的部署者，不论适用于某种类型人工智能系统，例如聊天机器人、生成式人工智能、深度伪造或情感识别系统的透明度的具体规定是什么样的，在其做出或协助做出与自然人有关的决定时，必须告知个人高风险人工智能系统的使用情况。

记录保存

高风险人工智能系统处理个人数据时，部署者必须保证高风险人工智能系统自动生成的日志保存至与系统的预期目的相适应的、至少为六个月的期限。当适用的欧盟法，特别是GDPR，或本国法律另有规定的，从其规定。

当金融机构作为部署者时，则必须根据与金融行业相关的欧盟法律的要求保留文件记录。

配合主管机关

部署者必须配合相关主管机关为实施人工智能法案对高风险人工智能系统采取的任何行动。事后远程生物识别系统【2】的部署者还必须向相关市场监督机构和数据保护机关提交年度报告。具体的附加义务也适用于事后远程生物识别系统的部署者。

【2】译者注：“post-remote biometrics identification system.” 参见法案序言第95条的说明、第3条第43款的定义、及文本第26条第10款的要求。

基本权利影响评估

法案第27条要求高风险人工智能系统的部署者进行基本权利影响评估，以评估和减轻对基本权利的潜在不利影响。但是，与开展高风险处理活动的任何控制者都需要进行的数据保护影响评估不同，基本权利影响评估的要求仅限于某类高风险人工智能系统和部分的部署者。特别值得注意的是，提供者并不会因为部署者决定将人工智能系统用于特定的具体目的，导致其需要开展基本权利影响评估。

基本权利影响评估仅适用于《人工智能法案》第6.2条所规定的高风险人工智能系统。欧盟统一立法和《人工智能法案》第6.1条规定的，旨在用作产品安全组件或本身就是产品的高风险人工智能系统的部署者无需执行基本权利影响评估——因为第6.1条所规定的高风险人工智能系统在投放市场或投入使用之前已经接受了第三方的符合性评估。

并且，当作为安全组件用于关键数字基础设施的管理与运营、道路交通、供水、供气、供热、供电的高风险人工智能系统的部署者也被免除了开展基本权利影响评估的义务。

• 公法所管辖的实体（译者注：公共部门）；

• 提供公共服务（如教育、医疗保健、社会服务、住房和服务管理）的私营企业；

• 例如银行和保险公司）部署人工智能系统用来评估信用度、建立信用评分以及评估人寿和健康保险的风险和定价的其他私营企业，例如银行和保险公司。

这意味着，在实践中，许多使用高风险人工智能系统的部署者不需要执行基本权利影响评估，尽管他们可能仍需要执行数据保护影响评估。

基本权利影响评估(FRIA)必须包含以下信息：

• 部署者根据高风险人工智能系统的预期目的使用系统的程序的说明；

• 每个高风险人工智能系统的使用时长和使用频率的说明；

• 在具体使用的情形中，可能受这个系统影响的自然人和群体的类别；

• 基于提供者根据法案第13条提供的信息，即使用说明，可能会对根据前项确定的人群或群体产生影响的特定损害的风险；

• 根据使用说明实施人类监督措施的说明；

• 当这些风险成为现实时应采取的措施，包括内部治理和投诉机制的安排。

部署者只需在首次使用高风险人工智能系统时执行基本权利影响评估。他们可以依赖之前完成的基本权利影响评估，或由提供者完成的现成的影响评估。当已经履行了反映基本权利影响评估义务的数据保护影响评估(DPIA)，他们也可以根据该评估来进行判断。部署者有义务使其基本权利影响评估保持最新状态。在评估完成后，部署者必须以提交一份由欧盟人工智能办公室发布的模版问卷的方式，将结果告知市场监督机构。

通过履行基本权利影响评估，部署者可以确保他们对高风险人工智能系统的使用符合法律标准，并符合为了保护与促进基本人权的更为广泛的道德义务，从而进一步促进公众对人工智能技术的信任和接受程度。

点击“阅读原文”访问官网。

• 
  

• IAPP 
• 
  
• 之一

• ...