前沿 | 欧盟人工智能大模型风险规制制度及其对我国的启示

文 | 中国法学会法治研究所研究员 刘金瑞；吉林大学法学院 李孟其

近年来，大模型技术驱动生成式人工智能迅猛发展，掀起了人工智能发展的新浪潮，重新燃起了人类迈向通用人工智能的希望。大模型又称为通用模型或基础模型，是指在大规模数据上进行训练，具有海量模型参数，表现出显著的通用性，能够适应广泛下游任务的模型。我国高度重视大模型技术的研发和应用，目前我国参数规模达到10亿以上大模型数量已超过100个，其中阿里通义千问、深度求索（DeepSeek）等系列大模型的部分开源版本，其性能已达到国际领先水平。这些国产大模型正在赋能千行百业，推动人工智能应用和变革席卷全国。

大模型在驱动人工智能快速发展，对经济发展、社会治理和人民生活产生重大影响的同时，也带来了日益严峻的风险挑战。这既包括传统的人工智能系统安全问题，也包括大模型训练与部署引发的生成有害内容、泄露敏感数据、滥用实施违法活动等新型问题。如何防范和应对大模型技术带来的安全风险，引导生成式人工智能健康发展，已成为人类社会共同面临的挑战。

对此，全球主要国家和地区纷纷积极研究应对之策，我国和欧盟在探索大模型专门立法方面走在了前列。我国于2023年7月发布了《生成式人工智能服务管理暂行办法》（以下简称《暂行办法》），该办法主要规制大模型的部署者，但未对单纯的大模型技术提供者进行规制。欧盟于2024年7月颁布了《人工智能法》，该法第5章提出了较为全面的大模型风险规制方案，并于2025年3月公布了细化该法规则的《通用目的人工智能行为守则（草案第三稿）》（Third Draft of the General-Purpose AI Code of Practice）（以下简称《守则草案》），进一步明确了大模型提供者的义务要求。

在此背景下，本文将对欧盟《人工智能法》第5章以及《守则草案》的规定进行梳理，总结其大模型风险规制的主要制度设计，旨在对我国人工智能立法提供有益的参考。

欧盟委员会于2021年4月通过了《人工智能法》提案，该法将人工智能系统按特定用途风险划分为不可接受、高、有限和最小共四个等级进行分级规制。但是，随着大模型技术的发展，如何规制大模型引发的风险，成为欧盟立法无法回避的问题。2022年12月，欧盟理事会通过了关于《人工智能法》提案的共同立场，提出增加一章“通用目的人工智能系统”，主要内容是授权未来进行专门立法。欧洲议会对此进行了充分讨论，并于2023年6月通过了关于《人工智能法》提案的修正案，提出了以“基础模型”为核心概念的风险规制方案，主要对基础模型提供者和生成式基础模型提供者设定了专门义务，核心义务包括风险管理、数据治理、信息提供、质量管理、防止生成非法内容等。

在欧洲议会修正案的基础上，欧洲议会、欧盟理事会和欧盟委员会进行了长时间的会谈和完善，最终于2024年7月12日公布了欧盟《人工智能法》最终文本。该法第5章规定了“通用目的人工智能模型”及其提供者的一系列义务，取代了欧洲议会的“基础模型”规制方案。考虑到技术的快速发展，相关技术标准短时间难以出台，该章专门规定了“行为守则”作为技术标准出台前的过渡工具，为行业提供合规路径。在统一标准发布前，此类模型提供者可以通过遵守行为守则来证明其履行了《人工智能法》的相关义务。《人工智能法》于2024年8月1日正式生效，该法规定第5章“通用目的人工智能模型”的规则将于2025年8月2日起生效，而行为守则应在2025年5月2日前制定完成。

2024年9月，欧盟人工智能办公室正式启动了行为守则的起草工作，来自通用目的人工智能模型提供者、下游人工智能系统提供者、产业界、民间社会和学术界等方面的近千人参与其中。整个起草团队分为四个工作组，由计算机科学、人工智能治理和法律等领域的知名专家领导，分别负责透明度和版权相关规则、系统性风险评估、系统性风险的技术性缓解措施以及系统性风险的治理性缓解措施等内容的起草工作。经过三轮的起草，2025年3月11日发布了《守则草案》。该草案分为四个文档：文档1为“承诺”部分，概述了适用于通用目的人工智能模型提供者的2项承诺，以及适用于具有系统性风险的通用目的人工智能模型提供者的16项承诺；文档2“透明度”部分和文档3“版权”部分详细列出了落实前2项承诺的9项措施；文档4“安全与安保（safety and security）”部分详细列出了落实后16项承诺的62项措施。在《守则草案》征求意见结束后，起草团队还将再进行一轮修改，并预计于2025年5月发布行为守则的最终版本。

在此之后，欧盟人工智能办公室和欧洲人工智能委员会将根据《人工智能法》的规定，对行为守则的充分性进行评估。如果满足充分性要求，欧盟委员会可以通过实施法案予以批准，使其在欧盟内具有普遍效力。

以下结合欧盟《人工智能法》和《守则草案》的规定，对欧盟大模型风险规制的主要制度设计进行梳理。《人工智能法》将本文所称的大模型定义为“通用目的人工智能模型”，并根据风险程度将其分为通用目的人工智能模型和具有系统性风险的通用目的人工智能模型，对前者的提供者规定了基本义务，对后者的提供者规定了附加义务，构建了双层累进式的义务体系。所谓“系统性风险”是指通用目的人工智能模型由于其高影响能力而特有的风险。认定模型是否具有高影响力有两种方式：一是模型计算量达到法定门槛时推定符合，即模型训练的累积计算量以浮点运算数计大于1025时推定具有高影响力；二是欧盟委员会依职权指定，此时要考虑模型的参数量、商业用户的覆盖范围等因素。

（一）通用目的人工智能模型提供者的基本义务

《人工智能法》第53条明确了通用目的人工智能模型提供者应当遵循的4项基本义务。《守则草案》透明度部分的承诺及其3项措施和版权部分的承诺及其6项措施对这些义务进行了进一步细化，具体分述如下。

1. 编制提供模型技术文档的义务

《人工智能法》要求编制的技术文档涵盖模型训练和测试过程且保持更新，并向人工智能办公室和国家主管机关提供。《守则草案》的细化要求包括：一是编制并保持更新模型文档，其应包含所提供的“模型文档表”模板中的信息，不同版本的文档应保留至模型投放市场后十年。模型文档表要求填写9方面的信息，包括：一般信息，如提供者名称、模型版本、模型依赖关系等；模型属性，如模型架构、模型参数量等；分发方式与许可，如分发渠道、许可链接等；使用，如使用政策、预期用途、模型集成技术手段等；训练过程，如设计规格、决策理由等；训练、测试和验证数据的相关信息，如数据的类型、模态、来源等；计算资源，如训练时间、训练运算量等；能源消耗，如测量方法等；具有系统性风险的通用目的人工智能模型的附加信息，如评估、对抗性测试、模型调适等。二是应人工智能办公室要求提供模型文档表中的信息时，所提供的信息项目应为其履行监管任务所严格必要。三是确保所记录信息的质量、完整性和安全性。

2. 向下游人工智能系统提供者提供信息的义务

《人工智能法》要求，在不影响尊重和保护知识产权、机密商业信息或商业秘密前提下，向打算将通用目的人工智能模型集成到其人工智能系统中的人工智能系统提供者（以下简称“下游提供者”）提供信息和文件，确保该提供者能够充分理解通用目的人工智能模型的能力和局限性，并履行该法规定的义务。《守则草案》的细化要求包括：一是通过其网站或者其他方式公开披露联系信息，以便下游提供者能够请求相关信息。二是根据模型文档表的要求，向下游提供者提供的信息，包括该表中除训练过程、计算资源、能源消耗、附加信息之外的其余五方面信息，必要时还应提供补充信息。三是鼓励将所记录的信息全部或部分披露给公众，促进公共透明度。

3. 遵守版权保护要求的义务

《人工智能法》要求制定遵守欧盟版权和相关权利法律的政策，特别是识别和遵守根据欧盟《单一数字市场版权指令》第4条第3款表达的权利保留。《守则草案》在版权部分的细化要求包括五个方面：一是编制、保持更新并实施版权政策，鼓励公开发布该政策摘要。二是在网络爬取时仅复制和提取合法可访问的受版权保护内容，不规避技术保护措施，并尽力将盗版域名排除在爬取范围之外。三是通过技术手段识别并遵守机器可读的权利保留，包括识别并遵守机器人排除协议以及其他适当的被广泛认可的机器可读协议。四是缓解下游人工智能系统反复生成侵权输出的风险，尽力缓解模型记忆受版权保护的训练内容。五是指定联络点并允许权利人通过电子手段提交不遵守上述措施的投诉。

4. 公开模型训练详细摘要的义务

《人工智能法》要求根据人工智能办公室提供的模板，制定并公开有关用于通用目的人工智能模型训练内容的足够详细的摘要。由于这里的摘要模板将由人工智能办公室另行制定，《守则草案》并未就细化该义务作出规定。

需要指出的是，由于免费开源发布的人工智能模型已经公布了相关信息，《人工智能法》明确前两项义务并不适用这些模型，但同时规定此例外不适用于具有系统性风险的通用目的人工智能模型，《守则草案》也遵循了这些规定。

（二）具有系统性风险的通用目的人工智能模型提供者的附加义务

《人工智能法》第55条明确规定，除上述基本义务外，具有系统性风险的通用目的人工智能模型提供者还应当遵循4项附加义务。《守则草案》在安全与安保部分细化了这些附加义务，其中首项承诺“安全与安保框架”为其他15项承诺及62项措施的总体要求，即提供者应在框架中详细说明将模型引发的系统性风险控制在可接受水平之内所计划采用的系统性风险评估（承诺II.2-II.5）、系统性风险的技术性缓解措施（承诺II.6-II.7）与治理性缓解措施（承诺II.8-II.16）。以下按《人工智能法》确立的4项附加义务分述如下。

1. 模型评估的义务

《人工智能法》要求根据反映现有技术水平的标准化协议和工具进行模型评估，包括对模型进行对抗测试并记录在案，以识别和缓解系统性风险。在《守则草案》中，“模型评估”属于“系统性风险评估”的一部分，细化要求主要包括三个方面：一是使用现有技术水平的适当方法进行模型评估，包括问答集、基于任务的评估、基准测试、对抗性测试、基准模型等。二是确保模型评估具有高度科学性和技术严谨性，如根据模型评估类型，采用与机器学习、自然科学或社会科学中的科学同行评审相当或更高的质量标准。三是确保模型评估采用与评估的系统性风险相适应且成比例的模型引导，以引导出模型的能力、倾向和影响的上限等。

2. 评估与缓解系统性风险的义务

《人工智能法》要求评估与缓解欧盟层面可能存在的系统性风险，这些风险可能来自具有系统性风险的通用目的人工智能模型的开发、投放市场或使用。《守则草案》对该义务进行了细化，分为系统性风险评估和系统性风险缓解两大部分。

针对系统性风险评估的细化，主要包括以下三个方面：首先，要进行系统性风险识别，选择模型引发的足够严重而需要评估与缓解的系统性风险，包括网络攻击，化学、生物、放射和核风险，有害操纵风险以及失控风险等四种系统性风险。其次，对识别的风险进行分析。分析应使用与模型无关的信息和前述的模型评估，同时考虑模型集成到系统的情况、安全初始模型以及模型使用场景等。必要时，应开展探索性研究，鼓励非中小企业共享工具和最佳实践。最后，将风险分析结果与其风险接受水平进行比较，以判定风险的可接受性，并据此决定是否继续下一步行动。

对于系统性风险缓解的细化，分为技术性缓解措施和治理性缓解措施两个方面。除涉及下文附加义务的承诺II.7和承诺II.12留待后文介绍外，以下对这两方面措施做一简要梳理。在技术性缓解措施方面，要求在整个模型生命周期内实施与系统性风险成比例的技术性安全缓解措施，以将这些模型的系统性风险降低至可接受水平。具体措施包括微调模型以拒绝请求、仅限特定用户访问模型等。在治理性缓解措施方面，要求通过“安全与安保模型报告”向人工智能办公室报告守则实施情况，明确并分配组织各个层级的风险管理责任，引入独立的外部风险评估，保护向监管机构报告风险的员工免受报复，以及促进公共透明度等。

3. 确保网络安全的义务

《人工智能法》要求确保对具有系统性风险的通用目的人工智能模型及其物理基础设施提供充分水平的网络安全保护。《守则草案》的措施II.7“安保缓解措施”进一步指出要阻止资源丰富、动机强烈的非国家级对手未经授权访问其模型权重和相关资产，细化要求包括五个方面：一是实施网络安全最佳实践，如身份和访问管理等；二是确保并测试其对对手的安全准备情况，如进行外部安全审查、红队测试等；三是通过加密技术、专用设备和访问控制等手段，保护未发布的模型权重和相关资产；四是筛查和防范内部威胁，如对特定人员进行背景调查、使用沙箱隔离等；五是在公开披露安保措施时进行必要的删减，避免损害这些措施的有效性。

4. 报告严重事件的义务

《人工智能法》要求跟踪、记录并及时向人工智能办公室和国家主管机关报告严重事件的相关信息以及可能采取的纠正措施。《守则草案》的措施II.12“严重事件报告”对这一义务的细化要求包括四个方面：一是使用适合的方法识别和追踪严重事件，如使用水印等溯源技术。二是明确报告的基本内容，包括事件时间、损害情况、受害者、事件链和应对措施等。三是明确报告的时限要求，初步报告应根据事件的严重程度在发现事件后的不同时限内提交，如涉及关键基础设施破坏的为2天，涉及人身严重伤害的为10天，涉及模型权重严重泄露的为5天，中期报告应在初步报告提交后至少每4周提交一份，最终报告应在事件解决后60天内提交。四是明确所有相关记录应自文件形成之日或事件发生之日（以较晚者为准）起保留至少36个月。

总体来看，欧盟基于风险的规制方法应对大模型技术引发的风险挑战，区分了通用目的人工智能模型和集成该种模型的人工智能系统，并根据风险程度将其分为通用目的人工智能模型和具有系统性风险的通用目的人工智能模型，构建了一种基于风险的分层规制体系，并通过制定行为守则等细化合规指引，及时给出了较为全面的规制方案，这种探索值得高度肯定。然而，需要指出的是，尽管这种分层规制方案明确规定不具有系统性风险的模型仅需遵循有限的基本义务，相较于欧洲议会提出的监管方案在一定程度上放松了管制，但对具有系统性风险的模型的提供者却要求有义务评估与缓解模型开发、投放市场或使用可能引发的系统性风险。这种将评估与缓解整个价值链上下游风险的重任仅赋予上游模型提供者的做法，在实践中会面临较大困难，对于应对大模型带来的全链条风险而言并非可行的制度设计。尽管如此，欧盟上述制度设计仍对我国未来的人工智能立法具有一定的借鉴意义。

一是设立专门机构以应对风险。根据《人工智能法》的规定，欧盟人工智能办公室在欧盟委员会委托下负责监督和执行该法第5章“通用目的人工智能模型”，包括监督通用目的人工智能模型提供者履行义务、制定行为守则等；人工智能办公室还拥有要求提供者提供信息和采取风险缓解措施、对通用目的人工智能模型进行评估以及对违法行为进行处罚等权力。建议我国未来设立或指定专门的人工智能监管机构，以全方位监测和应对大模型带来的风险挑战，引导和促进人工智能安全发展。

二是采用基于风险的规制方法。欧盟《人工智能法》根据风险程度就通用目的人工智能模型设定了双层累进式的义务体系，《守则草案》的细化规定要求在整个模型生命周期的适当节点进行系统性风险评估，并采取与系统性风险成比例且处于现有技术水平的风险缓解措施，这些都是坚持了基于风险的规制方法。我国《暂行办法》明确要求“实行包容审慎和分类分级监管”，落实这一原则性规定的关键在于对大模型进行基于风险的分类分级规制，对于大模型的风险分级，应主要根据大模型的实际特定用途的风险程度来确定。

三是实现行业与政府协同治理。面对技术快速发展变化的现实，欧盟通过凝聚行业共识来制定行为守则，为从业者提供合规工具，共同应对风险挑战，实现了行业自律与政府监管的协同发力。《守则草案》的承诺及落实措施中，许多内容来自行业的最佳实践和技术共识。例如，其中的“安全与安保框架”就源自目前领先的人工智能公司在使用的风险管控框架。我国的人工智能监管和立法，也应把行业中的各利益相关者，如模型提供者、研究机构等，作为协同应对大模型风险的合作方，努力构建政府监管、行业自律、社会参与的风险协同治理机制。

四是建立上下游风险共治机制。考虑到通用目的人工智能模型在人工智能价值链中的基础作用，欧盟《人工智能法》要求模型提供者应向下游人工智能系统提供信息。《守则草案》进一步细化了该义务，要求在模型的系统性风险评估中考虑模型集成到系统的情况、安全初始模型以及模型使用场景等，并鼓励模型提供者向下游生态系统参与者共享风险评估与缓解的工具和最佳实践等。未来，我国也应建立类似的上下游风险共治机制，以共同应对大模型引发的全链条风险。

五是平衡好安全与发展的关系。欧盟《人工智能法》和《守则草案》在强调安全监管的同时，也注意引入有利于产业发展的规定。例如，豁免了不具有系统性风险的开源通用目的人工智能模型提供者的部分义务，强调为中小企业包括初创企业提供简化的合规方式等。以《守则草案》措施II.4.5为例，该措施规定，如果中小企业缺乏专业知识或财务资源来实施严谨的模型评估，它们可以与人工智能办公室商定适当的替代履行方式。当然，欧盟的制度设计中也存在仅追求安全而苛以过重义务负担的情况，前述将评估与缓解整个价值链系统性风险的重任仅赋予上游模型提供者的做法就是例证。我国的人工智能立法和监管，应该继续坚持《暂行办法》提出的“发展和安全并重”原则，切实平衡好安全与发展的关系。【本文系中国法学会部级法学研究课题“生成式大模型沿人工智能价值链的风险共治”（CLS（2024）C17）的阶段性成果】

（本文刊登于《中国信息安全》杂志2025年第3期）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号