欧盟人工智能法的十大运营影响——治理篇（二）：成员国层面的利益相关方

原文作者:

Laura Pliauskaite, European Operations Coordinator @IAPP

Isabelle Roccia, Managing Director, Europe CIPP/E@IAPP

翻译整理：

梦轶

林奕, CIPM, CIPP/E, CIPP/CN, CIPT @BSI

哪些相关方负责人工智能法在成员国层面的治理？

成员国必须在人工智能法生效后12 个月内指定国家层面主管机关，并确保它们拥有充足的资源、足够的能力和适当的基础设施。

成员国还负责制定有关《人工智能法》法律执行措施的规则，例如处罚和行政罚款，以及警告和其他非罚金类规制措施。这些规则必须符合人工智能法本身规定的要求，以及人工智能办公室关于此问题的指南。

在一些限制下，成员国还有权制定相关法律，为执法目的授权在公共场所全部或部分使用实时生物识别系统。它们还可以对实时远程生物识别系统和事后远程生物识别系统（post-remote biometric identification systems）的使用制定限制性更强的法律。

National competent authorities

国家主管机关

成员国必须指定至少一个市场监督机关和一个通知机关，并选择一个市场监督机关作为与人工智能法案相关事务的唯一联络单位。根据具体需要，各成员国可指定一个以上的机构。（译者注：机构数量可能取决于某些欧盟成员国自身的政治体制和制度）

目前，围绕成员国设立主管机关，几种方式正在成型：丹麦任命了其数字政府机构，意大利国家数据保护机关表示有兴趣承担这一职责，西班牙选择新成立一个名为Agencia Española de Supervisión de la Inteligencia Artificial 的新机构。无论采用哪种方式，都需要进行大规模的能力建设，以让有关机构在人员配备、预算或专业知识方面胜任新的职责。例如，数据保护机关将需要获取其典型工作领域以外，类似于产品安全监督和执法的新能力。

成员国主管机关在监督《人工智能法》实施的同时，也促进法律的实施。它们必须单独或以与其他成员国的主管机关联合的方式，建立新的人工智能监管沙盒或参与现有的人工智能监管沙盒，监督沙盒的使用情况并向人工智能办公室和人工智能委员会报告。中小企业必须优先能进入此类人工智能监管沙盒。在发挥促进作用时，国家主管机构还必须就《人工智能法》的实施提供指导，特别是向中小型企业提供指导，并协助起草行为守则。成员国主管机关在执行任务时必须确保独立性和公正性。

Market surveillance authorities

市场监督机关

市场监督机关监视并调查人工智能系统的合规性，包括将人工智能系统归类为非高风险。他们可以要求提供者和部署者提供可能与他们开展的调查相关的任何信息。他们可以与其他成员国市场监督机关联合开展相关调查和其他活动，特别是在存在严重风险的高风险人工智能系统相关的跨境案件中，或者在涉及通用人工智能或高风险人工智能的某些案件中与人工智能办公室配合开展相关活动。他们还须在必要时与行业市场监督机构合作并协调参与他们的活动。然而，不同机构之间的关系尚不明确，这可能会在职责交叉的情况下产生问题。

如果出现违规行为，市场监督机关会采取措施，包括采取纠正措施以及限制或禁止人工智能系统进入欧盟市场。在第二种情况下，应将此类违规行为以及所采取的措施通知人工智能办公室和其他成员国机关。而当违规行为不仅限定在市场监督机构所属的欧盟成员国境内时，也是如此。如果人工智能办公室或其他成员国机关反对所采取的措施，牵头的市场监督机关必须征询人工智能办公室和涉事的运营者。如果人工智能办公室随后认为所采取的措施适当，则其他成员国机关必须采纳，如果不合适，则须要求市场监督机关撤销这些措施。

如果发现高风险人工智能系统虽然合规，但对人们的健康或安全、基本权利或公共利益保护的其他方面构成威胁，则市场监督机关应要求其通过适当措施消除该风险。市场监督机关必须将涉事的高风险人工智能系统、其带来的风险以及所采取的措施通知人工智能办公室和其他成员国。它必须与人工智能办公室以及有关成员国和人工智能运营者进行磋商，人工智能办公室而后可以根据具体情况要求采取不同的措施。

市场监督机关不仅须跟踪市场主体的合规性，还必须处理他们从公司和个人接到的投诉。具体程序由机构自行决定。此外，它们还必须收集高风险人工智能系统提供者的严重事故报告，并根据具体情况，将此类事故通报给欧盟基本权利机构（FRA）。

除了监督人工智能系统是否符合人工智能法外，市场监管机构还可以因特殊情况，例如公共安全，授权部署未经事先符合性评估的高风险人工智能系统，并在完成所需符合性评估程序的同时，限制其使用期限。在这种情况下，它们必须通知人工智能办公室和其他成员国，如收到异议，与人工智能办公室进行协商。如果被认为不合理，人工智能办公室可以要求市场监管机构撤销其作出的授权。

此外，市场监管机关还负责监督人工智能系统在真实世界条件下的测试，处理在人工智能监管沙盒之外的真实世界条件下测试高风险人工智能系统的申请，并在必要时对测试进行监督。

最后，市场监督机关必须与人工智能办公室，和例如竞争监管机构的其他相关利益相关方共享关于其行动的任何有关的调查结果，并向人工智能办公室报告实时生物特征识别系统的使用情况。

鉴于《人工智能法》赋予了其如此关键的职责，可以坦诚地说，欧盟成员国的市场监督机关将会是协调欧盟人工智能系统有关各方的核心关键。

Notifying authorities

通知机关

通知机关负责评估、指定、通知和监督符合性评估机构。它们与其他成员国的通知机关共同制定此类活动的程序，共同协调其活动并开展合作，包括交流最佳做法。它们还必须确保由其通知的机构参加公告机构的行业组群，，以加强协调与合作。

如有疑问，通知机构会调查公告机构的资质，并采取必要措施，包括暂停或撤销先前发布的通知。它们必须向人工智能办公室和其他成员国通报所有作出的通知以及任何变更。

通知机关和符合性评估机构之间不应存在利益冲突。通知机关必须遵守保密义务，客观公正地履行职责，例如让不同的人进行评估和通知活动。

Notified bodies

公告机构

公告机构是经过认可，开展符合性评估活动的机构，例如测试、检测和认证高风险人工智能系统。他们还决定进行相关活动的程序。他们必须以参与公告机构行业组群的方式与其他公告机构合作并协同。

公告机构可全部，或通过分包商或子公司部分执行符合性评估程序，这些分包商或子公司应遵守适用于它们的相同要求。在这类情况下，公告机构必须公开信息，并报送至通知机关。

一个组织要获得通知机关所作出的公告机构认可，必须满足特定要求。

例如，它必须：

在欧盟成员国成立。在某些情况下，第三国企业也能被授权执行公告机构的活动。
独立于接受符合性评估的人工智能系统提供者及其竞争对手。
不直接参与设计、开发、营销或使用高风险人工智能系统，也不代表涉及这些活动的主体。
确保其活动的专业知识、公正性、客观性、保密性和独立性，并以成文的程序加以保障。
向其设立国的通知机关提供确认其活动和能力的所有相关文件。
了解当前的相关标准，例如通过直接参与或代表参与欧洲标准化组织。

National authorities protecting fundamental rights

成员国基本权利保护机构

在人工智能法下，保护基本权利至关重要，因此负责这些权利保护的成员国公共机构也将在法律执行中发挥作用。当这样的机构怀疑附录III中确定的高风险人工智能系统的使用可能违反保护欧盟基本权利义务时，它可以请求并获取“运营者”根据《人工智能法》创建或维护的任何文件，以确定是否存在此类违规，同时确保遵守保密义务。如果提出请求，保护基本权利的机关必须通知相关的市场监管机关。如果获得的文件不足以识别违规，它可以要求市场监管机关对所涉及的人工智能系统进行技术性测试。

成员国必须公布并维护一份保护基本权利的公共机关的名单。

Data Protection Authorities

数据保护机关

虽然欧盟成员国可自行指定数据保护机关作为负责实施和执行《人工智能法》的国家主管机关，但数据保护机关已被指定为某些高风险人工智能系统（包括附录 III 第 6、7 和 8 点所列明的系统）的市场监管机关。此外，当处理个人数据的人工智能系统使用人工智能监管沙盒时，数据保护机构也会参与沙盒的运行和监督。

DPA还必须收集有关实时和事后远程生物特征识别系统使用情况的信息，并每年向人工智能办公室报告其使用情况。

Law enforcement or civil protection authorities

执法机构或应急管理机构【1】

只有在成员国法律允许的特定和有限情况下，执法机构或应急管理机构才有权在公共场所使用实时远程生物识别系统。此外，还必须满足某些要求：

在此类使用之前，必须完成基本权利影响评估。
除非涉及紧急情况，否则在使用前必须得到司法或独立行政机关的预先授权。
实时远程生物识别系统必须在欧盟数据库中注册。
每次使用该系统都必须通知相关市场监督机关和数据保护机关。

人工智能办公室审查此类授权，并有权认定它们是否不合理。若被认定为不合理，则必须停止系统的使用，并立即删除由此输出的结果。

此外，《人工智能法》允许执法机构或应急管理机构在未经市场监督机关事先授权的情况下部署特定的高风险人工智能系统。不过，只有在包括威胁公共安全或个人人身安全的特殊情况下才允许这样做。即使满足了这些条件，有关机构必须在做出申请时不得无故拖延，而如果申请被拒，则应立即停止使用该系统，并删除由此输出的结果。

Judicial authorities or independent administrative bodies

司法机关或独立行政机构

司法机关或独立行政机构只有在相关成员国法律允许的情况下，才能授权在公共场所部署实时远程生物特征识别系统，以便在特定和有限的情况下开展执法。

我们刊载的关于欧盟人工智能法【2】的内容还包括：

IAPP
之一

https://civil-protection-humanitarian-aid.ec.europa.eu/what/civil-protection/eu-civil-protection-mechanism_en
在AI Act正式通过后，不应再译作“法案”，作为一部直接在欧盟及欧洲经济区适用的条例(regulation)，应译作欧盟《人工智能法》。在全系列完成后我们将对之前的失误做统一修订。