【欧盟人工智能法案】理解欧盟人工智能法案

在非常短的时间内，管理人工智能的监管格局正在经历快速而变革性的演变。这种变化速度的加快可归因于多种因素的融合，包括人工智能技术本身的快速进步，人们越来越认识到与人工智能使用相关的道德影响，以及主动缓解人工智能系统部署中固有的潜在风险的必要性。

例如：

• 中国《生成式人工智能管理暂行办法》自2020年8月15日起施行
• 英国发布了一份题为《人工智能监管的支持创新方法》的政策文件，试图平衡监管和人工智能相关创新。2
• 经济合作与发展组织（OECD）于2019年通过了一项关于人工智能的（非约束性）建议9.3

欧盟委员会于2021年4月21日提交了《人工智能法》，目前正在由欧洲议会和欧盟理事会等多个欧盟机构进行修正和讨论。4

欧盟委员会提出的《人工智能法案》被认为是围绕人工智能的基准法规。通过审查该法案的细微细节，IT审计员和其他信息安全专业人员可以更好地了解它可能如何影响他们的未来工作。

人工智能立法：理解人工智能法案

《人工智能法》是一个全面的法律框架，将根据人工智能系统对人类健康、安全和基本权利的风险水平，对欧盟人工智能系统的开发、部署和使用进行监管。5

《人工智能法案》的总体目标是通过为欧盟开发和使用值得信赖的人工智能系统创造条件，确保欧洲单一市场的正常运作。《人工智能法案》还旨在促进人工智能领域的创新和竞争力，同时确保人工智能系统尊重欧盟的价值观和规则。6

《人工智能法案》的总体目标是通过为欧盟开发和使用值得信赖的人工智能系统创造条件，确保欧洲单一市场的正常运作。

基于风险的方法

《人工智能法》提出了一种基于风险的方法和横向监管。它将人工智能系统分为4类风险：禁止、高风险、有限风险和最小风险（图1）。

• 被禁止的人工智能系统。是指那些侵犯人类尊严的系统，例如那些操纵人类行为或利用漏洞的系统。这些系统被禁止在欧盟开发、投放市场或使用。
• 高风险人工智能系统。是指对健康、安全或基本权利构成重大风险的系统，如用于生物识别、招聘、信用评分、教育或医疗保健的系统。高风险人工智能系统必须遵守关于数据质量、透明度、人工监督、准确性、稳健性和安全性的严格规则。在投放市场或投入使用之前，它们还必须经过合格评定。
• 风险有限的人工智能系统。是那些对用户或消费者构成一定风险的系统，例如那些生成或操纵内容或提供聊天机器人服务的系统。风险有限的人工智能系统必须向用户提供关于其性质和用途的明确信息，并允许用户选择不使用这些系统。
• 风险最小的人工智能系统。是指那些不构成或可忽略风险的系统，例如用于娱乐或个人目的的系统。风险最小的人工智能系统受自愿行为准则和最佳实践的约束。

治理结构

《人工智能法》还旨在为其规则的实施和执行建立一个治理结构。这包括一个欧洲人工智能委员会（EAIB），该委员会将就《人工智能法》的各个方面提供指导和建议，如统一标准、行为准则和风险评估方法。

根据立法，“董事会应反映人工智能生态系统的各种利益，并由成员国的代表组成。7

EAIB还将促进国家主管当局之间的合作与协调，这些主管当局将负责监测和监督各自领土内《大赦法》的遵守情况。

注意到对违规行为的制裁和补救措施，如对严重违规行为处以高达全球年营业额6%的罚款或欧盟3000万欧元（以较高者为准）。

《人工智能法案》是一项具有里程碑意义的立法，将对欧盟及其他国家的人工智能系统的开发和使用产生重大影响。

《人工智能法案》是一项具有里程碑意义的立法，将对欧盟及其他国家的人工智能系统的开发和使用产生重大影响。它反映了欧盟成为值得信赖和道德的人工智能全球领导者的雄心，同时也促进了人工智能领域的创新和竞争力。

创新支持

在《欧盟人工智能法案》中，欧盟委员会还提议建立一个监管沙盒（即一个有助于创新人工智能系统开发、测试和验证的受控环境）。8

沙盒环境将允许组织和个人在不满足《欧盟通用数据保护条例》（GDPR）要求的情况下促进人工智能创新。然而，这只允许在有限的时间内进行。

结论

《人工智能法案》与IT审计和信息安全专业人员相关，因为它为人工智能系统的开发、部署和监督制定了规则和标准。《人工智能法》还确立了基于风险的人工智能治理方法，根据人工智能系统对人权、安全和基本价值观的潜在影响，提出了不同级别的要求。

IT审计员和信息安全专业人员应熟悉《人工智能法》的主要条款和要求，并评估它们将如何影响当前和未来涉及人工智能系统的项目。从业者必须跟踪所有人工智能法规的持续发展和讨论，以确保制定符合监管要求的适当控制措施。

Endnotes

¹ Liu, I.; D. Edmondson; “China: New Interim Measures to Regulate Generative AI,” Baker McKenzie, August, 2023
² UK Government Department for Science, Innovation and Technology, A Proinnovation Approach to AI Regulation, UK, 3 August 2023
³  Organisation for Economic Co-operation and Development (OECD), Recommendation of the Council on Artificial Intelligence, France, May 2019
⁴  European Parliament, Artificial Intelligence Act, UK, June 2023
⁵  Edwards, L.; The EU AI Act: A Summary of Its Significance and Scope, Ada Lovelace Institute, UK, April 2022
⁶ European Parliamentary Research Service, “EU Legislation in Progress
⁷ Feingold, S.; “The European Union’s Artificial Intelligence Act—Explained,” World Economic Forum, June 202
⁸ Op cit European Parliament

JAI SISODIA

Is the IT, cyber and privacy audit head at a Global Bank. He is responsible for leading global audit and advisory engagements across several areas including cloud platforms, cybersecurity, data privacy, third party risk, global data centers, IT networks, enterprise resource planning systems and financial audit integration. He previously worked as an advisory consultant for a leading Big 4 consulting firm and as IT audit manager for a global multinational healthcare organization. Sisodia has been an ISACA^® Journal article reviewer and actively contributes to the ISACA Journal and ISACA Now Blog.