欧盟绘制了人工智能监管的悠长画卷｜iLaw

欧盟人工智能立法 – 一条精心设计的“规则进化”之路

1. 伦理先行期（2018-2020）

2018年4月：欧盟发布《欧洲人工智能战略》，首次提出“以人为本”的人工智能发展理念，强调伦理框架的必要性，并将人工智能定位为提升经济竞争力和维护社会价值观的关键技术。

2019年4月：人工智能高级别专家组（AI HLEG）发布《可信赖人工智能伦理指南》，提出公平性、透明性、可解释性、隐私保护四大支柱，成为后续立法的伦理基础。

2020年2月：欧盟委员会发布《人工智能白皮书》，首次提出“风险分级”监管思路，明确禁止“不可接受风险”应用（如社会评分系统），并要求高风险人工智能系统（如医疗诊断工具）履行透明度义务。该文件与《通用数据保护条例》（GDPR）形成联动，强调训练数据需合法获取并去标识化。

2. 立法成型期（2021-2024）

2021年4月：欧盟委员会正式提交《人工智能法案》（AI Act，以下简称AIA）提案，首次定义“人工智能（AI）系统”概念，提出四层风险分类框架，并设立域外管辖权。

2022年6月：欧洲议会通过修订草案，新增对生成式人工智能的透明度要求，要求披露人工智能生成内容，并限制深度伪造技术滥用。

2023年12月：欧盟达成历史性协议，引入通用人工智能（GPAI）模型分类，对算力超10²⁵ FLOPs的模型实施系统性风险评估，并允许成员国对实时生物识别系统设置例外条款。

2024年8月：AIA正式生效，分阶段实施：关于人工智能素养和禁止类人工智能应用的规定于2025年2月生效，GPAI模型的合规义务于2025年11月启动，高风险人工智能系统监管于2026年8月全面执行。

3. 执法深化期（2025-未来

GDPR衔接机制：欧盟数据保护委员会（EDPB）发布第28/2024号意见，明确人工智能训练数据需符合GDPR第6条（合法依据）和第9条（特殊类别数据），要求高风险人工智能系统证明数据无偏见，并与GDPR“公平处理”原则联动。

成员国指引落地：日前，比利时数据保护局率先发布合规指引，要求实时人脸识别系统需同时满足AIA禁令和GDPR的“明确同意”要求，形成双重合规标准。近日西班牙批准了《人工智能治理法案》，将AIA法律要求和监管逻辑引入西班牙法律体系，旨在确保在西班牙境内使用人工智能符合本国的治理要求。

AIA的核心框架与规则体系

1. 风险分级监管框架

下列表格展示AIA规定的四个风险等级、典型应用的AI系统和AIA对应的核心要求：

2. 关于通用人工智能（GPAI）模型的特别规则

GPAI模型需遵守透明度要求，并在具备系统性风险时进行风险评估和缓解。

基础模型：训练算力超过10²⁵ FLOPs的模型需提交技术文档，说明训练数据来源及版权合规性。

系统性风险模型：需实施红队测试（模拟攻击检测漏洞）、部署安全监控系统，并向欧盟人工智能办公室提交年度风险评估报告。

监管模式：GPAI模型受欧盟委员会的集中执法，欧盟委员会可能会对不遵守AIA的 GPAI 模型提供商处以最高 1500 万欧元或全球年营业额 3% 的罚款。

3. AIA域外管辖与处罚机制

长臂管辖原则：AIA适用于向欧盟市场提供人工智能服务的境外企业，包括免费应用分发、跨境数据回流等场景。

阶梯式罚款：违反AIA的禁止性人工智能规定的最高罚款全球营业额7%（约3500万欧元上限），数据隐私违法情形最高处4%营业额罚款，与GDPR形成叠加效应，而GPAI违法处罚为最高模型提供商3%全球年营业额罚款。

欧盟与中国：人工智能技术监管上的深层逻辑性差异

1. 立法模式：统一框架 vs 分散立法

欧盟：采用横向统一立法，AIA覆盖所有人工智能应用场景，与《通用数据保护条例》《数字服务法案》《数据法案》《网络弹性法案》构成协同监管的密网。

中国：实施纵向分散立法，针对算法推荐（2022）、深度合成（2023）、生成式人工智能（2023）和人工智能内容标识（2025）等细分领域出台专门法规，形成聚焦风控锚点的监管特色。

2. 监管焦点：人权保护 vs 内容安全

欧盟：以人的基本权利保护为核心，禁止人工智能系统影响人类尊严、选举自由等核心价值，例如要求用于招聘的人工智能系统需通过偏差测试防止性别歧视。

中国：强调内容安全与可控创新，例如要求生成式人工智能系统设置违禁词过滤（如屏蔽涉政敏感词），深度合成内容需嵌入可追溯数字水印。

3. 治理路径：预防性监管 vs 沙盒试验

欧盟：推行伦理先导的预防性监管，例如高风险人工智能系统需通过CE认证（类似医疗器械上市审批），禁止未经评估的技术商用。

中国：采用安全与创新平衡策略，例如设立自动驾驶测试区等监管沙盒，允许企业在受控环境试错迭代。

4. 域外效力：全球标准输出 vs 境内治理优先

欧盟：始终试图扮演“数字规则制定者”的角色，随着欧盟数字经济监管框架三驾马车《通用数据保护条例》（GDPR）、《网络弹性法案》（CRA）和《人工智能法案》（AIA）的落地，欧盟的监管逐步发展成“数据+硬件+算法”的“布鲁塞尔标准”，其通过领先制定标准规则的全球化要求境外企业为欧盟市场单独开发合规版本，倒逼全球供应链调整（如美国某大厂为其产品在欧盟合规而移除实时人脸识别功能）。

中国：聚焦主权数据控制和治理新技术发展带来的国家社会安全风险，不急于制定统一的人工智能法，而是采用应时制宜的策略局部构建聚焦于本国境内的监管元素，例如要求用于人工智能系统训练的数据境内存储，生成内容纳入网络生态治理，法律效力限于境内服务提供者。

立法价值核心的不同权重带来的不同风景

沿袭GDPR一脉相承的价值核心，AIA重申“人权优先的技术秩序”的优先性，通过对高风险人工智能系统施加事前认证，对通用人工智能模型施加透明度义务等，试图在数字时代重塑欧洲价值观的话语权。然而，AIA阶段性生效后对于从事人工智能技术开发和应用的企业影响巨大，企业合规成本预估增加15%-30%，虽然中小型企业可获罚款减免，但基础模型开发商需额外投入200-500万欧元/年用于第三方审计。严苛合规要求可能延缓创新速度，2023年50多家大公司联名反对草案反映出产业的集体担忧。

中国则以“鼓励风险可控的技术创新”为主线，在确保意识形态安全的前提下释放技术红利，人工智能产业发展活跃，截至2025年3月12日累计公布的深度合成算法备案总数已达395个；截至2024年12月31日共有302款生成式AI服务完成备案，通过API调用已备案模型的105款应用或功能完成登记，如此蓬勃的备案数据反映出中国是全球最活跃的人工智能应用市场。但分散立法可能产生监管重叠，比如如何协调AI监管四规则的适用关系仍需探索。

未来，两种模式或将持续碰撞：欧盟的伦理框架可能影响全球标准制定，而中国的场景化治理经验或为发展中国家提供参考。当技术迭代速度超越立法周期时，如何实现动态平衡将成为共同课题。

笔者感言

中欧在人工智能立法逻辑的差异，犹如两条奔涌的大河，一条源自文艺复兴时期对人性尊严的千年叩问，另一条根植于东方文明"大道至简"的实践智慧。

欧盟立法者是手持天平的法学家，将"人的价值"刻入每一个法典，AIA创新设立的价值观符合性评估机制，将欧洲人权公约的思想自由、表达自由等原则转化为可量化的算法审核指标。他们在AIA中执拗地划出生物识别监控的禁区，试图一遍遍用法律条文编织一张守护人性的金丝网。而中国的立法者更似持笔作画的哲学家，在局部立法的渲染手法中既勾勒数据安全的边界，又在留白处题写"鼓励创新"的批注，允许新技术在可控的宣纸上自由晕染。

这种差异在风险治理中尤为动人。欧盟将医疗诊断人工智能技术比作手术刀，要求开发者像医生考取行医资格般通过第三方认证，连训练数据的偏差率都要精确到小数点后三位，算法模型都需要经历理性的验证。而中国则把人工智能系统和服务视为孩童手中的风筝，牵系着那根"数字水印"的细线，既防止技术飘向不可知的云端，又默许它在春风里翻飞起舞。

如同之前在AIGC讲座中所提，制度没有绝对的优劣，优秀的制度在文化的土壤上生根发言，中欧关于AI立法及监管的种种差异，是不同文化不同价值在面临新的技术挑战时的绵延反映。AIA严苛的规则，像是给每个算法装上带锁的日记本，防范滥用技术来窥探人心的私语。而中国当前实施的AI监管四法规，既构建了绵延的技术治理屏障，又开凿出鼓励技术创新的通道，恰似我们文化里的古老智慧——守护不禁锢，规范更滋养。

END.

免责. 本文及其内容并不代表iLaw对有关问题的法律意见，同时我们并不保证将会在载明日期之后继续对有关内容进行更新，我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策，因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见，我们建议您向具有相关资格的专业人士寻求专业帮助。

文末福利

iLaw团队精心准备了《EU Artificial intelligence ambition》《Understanding the EU AIAct: Requirements and NextSteps》内容详实充分，如有需要，欢迎扫描下方二维码添加iLaw小助理，发送本文链接进行领取～～👇👇