近期,人工智能(AI)领域各种产品和服务创新层出不穷,引领社会发展的同时引发了各界对AI治理的担忧。全球各法域都紧密关注AI治理,推行适应本土发展的治理方案,相关AI立法行动正在紧锣密鼓地开展中。欧盟、巴西采用风险分层治理、监管沙盒等形式促进有序发展,美国通过行业自律推动监管,中国则重点对生成式AI进行管理。
本文将对比分析上述主要区域或国家AI立法差异点,希望对企业AI出海合规有所启示。
序号 | 维度 | 中国 | 欧盟 | 美国 | 巴西 |
1 | 综合性AI法律 | × | √ | × | √ |
2 | 垂直领域AI法律 | √ | √ | √ | × |
3 | 区域/地方AI法律 | √ | × | √ | × |
4 | 技术标准 | √ | × | √ | × |
5 | 鼓励AI创新 | √ | √ | √ | √ |
6 | 被禁止的AI | √ | √ | × | √ |
7 | 高风险AI | √ | √ | × | √ |
8 | 透明度义务 | √ | √ | √ | √ |
9 | 反歧视与公平 | √ | √ | √ | √ |
10 | 注册审批 | √(仅限于部分生成式AI) | √(仅限于高风险AI) | √(仅限于部分特定AI) | √(仅限于高风险AI) |
11 | 开发者义务 | √ | √ | × | √ |
12 | AI素养要求 | × | √ | × | √ |
13 | 未成年人防沉迷 | √ | √ *执法案例 | × | × |
14 | 标识义务 | √ | √ | √ *部分州 | × |
15 | 违规处置 | √ | √ | × | √ |
01
立法模式
中国暂无综合性AI法案,垂直领域立法先行,如《生成式人工智能服务管理暂行办法》、《深度合成互联网信息技术管理规定》、《互联网信息服务算法推荐管理规定》等。同时在中央立法的基础上,部分地区出台相关AI条例,旨在促进当地技术创新,如2022年《上海市促进人工智能产业发展条例》、《深圳经济特区人工智能产业促进条例》。
欧盟采取了截然不同的立法模式。欧盟《人工智能法案》作为全球首部综合性的人工智能法规,旨在推动以人为本、值得信赖的人工智能发展,可广泛应用于各个行业和领域。但企业出海仍需处理人工智能与数据保护、知识产权等其他垂直领域立法的关系。该法案可直接适用于欧盟成员国,无需成员国转化立法。除非《人工智能法案》明确授权,否则成员国不得对人工智能系统的开发、营销和使用施加任何限制。
美国联邦层面AI综合法案缺失,各州AI法律分散,如加利福尼亚州2024年发布几项AI法律,涵盖生成式人工智能、深度伪造相关要求。
巴西立法模式与欧盟类似,综合性AI法案已出台,但暂未生效。同时,特定领域法律并行,如《通用数据保护法》,直接影响AI系统的数据使用和处理方式。
02
技术标准
中国信息安全标准化技术委员会(TC260)宣布计划到2026年发布50多项人工智能标准。截至2025年4月,已发布的标准涵盖人工智能安全治理和生成式人工智能安全要求等多个维度。
欧盟《人工智能法案》表示后续会制定技术标准,用于企业证明其人工智能系统的合规性。欧盟委员会已将人工智能标准化请求提交至欧洲标准化委员会(CEN)和欧洲电工标准化委员会(CENELEC),目前标准仍在制定中。
美国商务部下属的国家标准技术研究所(NIST)于2023年发布了自愿性的AI风险管理框架,通过顶层构建治理框架,结合“风险映射-风险衡量-管理措施”实现AI风险管理。该框架已成为业界领先的人工智能治理框架,并与NIST关于生成式人工智能、网络安全和隐私的标准相辅相成。
03
监管态度
中国政府坚持发展和安全并重,促进创新和依法治理相结合。2017年,国务院发布新一代人工智能发展规划,提出“到2030年成为世界主要人工智能创新中心”的战略目标。2000到2023年间,政府引导向AI领域投资超过1800亿美元。立法层面,通过中央和地方出台法规条例,旨在促进人工智能创新和治理的平衡。
欧盟秉持风险预防和人权保障的基本原则,同时鼓励AI创新。《人工智能法案》出台了多项促进创新的鼓励措施,如监管沙盒、中小企业和初创企业的比例政策,以及对企业研发行为的义务豁免。官方层面,欧盟提出一揽子人工智能创新计划,建立AI工厂,为小微企业提供超级计算机和数据存储设施等。
美国坚持创新驱动和市场主导AI发展。政府曾发布行政命令要求制定人工智能行动计划,以维持和增强美国在全球人工智能领域的主导地位。2020年,美国人工智能倡议法案计划通过资金投资巩固加强美国人工智能领域的领导地位。
巴西立足于保障权利的同时推动技术创新,以确保AI安全使用。通过《人工智能法案》为人工智能系统相关方设定了一系列义务;同时设立监管沙盒,为AI企业提供安全可控的实验环境,推动公共数据开放等,体现了政府对技术发展的重视。
04
AI系统风险分级
中国对人工智能系统没有明确规定风险分级,但在AI治理过程中有所区分侧重。如监管禁止制作、发布违背社会主义核心价值观的内容,对于向公众提供的生成式人工智能服务、产生深度合成内容的AI系统要求较为严格。
欧盟《人工智能法案》基于AI系统的功能场景,将人工智能系统归类为禁止性AI系统、高风险AI系统、有限风险AI系统和低风险AI系统,在立法层面实现了人工智能系统的风险分级管理,明确禁止可能对人类产生危害的AI系统,同时为高风险AI系统划定一系列合规义务。
美国没有将AI系统进行风险分级,但明令禁止某些用于非法目的的人工智能服务,如使用人工智能技术实施暴力犯罪。
巴西则与欧盟要求类似,将AI系统区分为“极端风险”和“高风险”。不允许使用极端风险的AI系统,并对高风险AI系统做出严格要求。
05
AI透明度与披露义务
中国《生成式人工智能服务管理暂行办法》规定,企业应采取有效措施提升生成式人工智能服务的透明度,但对于如何落实义务并无细则要求。
欧盟为各类AI系统划定了一系列透明度细则要求,包括高风险AI系统、有限风险AI系统和通用人工智能模型的提供者和部署者都有不同程度的透明度义务。
美国严厉打击不公平和欺骗性的人工智能行为,强调AI模型透明度,要求企业解释其使用AI模型的能力。
巴西《人工智能法案》强调交互透明和AI系统治理措施透明,要求AI系统提供者使用适当、足够清晰的人机界面,以提高交互中的透明度,并且企业在人工智能系统开发和部署中采取的治理措施也需要适时披露。
06
公平与反歧视
各国将反对歧视、保障公平作为原则性要求。
其中,中国在《生成式人工智能服务管理暂行办法》中明确规定,生成式人工智能服务提供者应在算法设计、训练数据、模型优化和提供服务等全生命周期中,采取有效措施防止歧视。
欧盟《人工智能法案》也将反歧视作为基本原则,并对高风险AI系统提出系统要求,如审查训练数据集可能存在的偏差。
美国重点关注算法歧视,已制定《关于打击自动化系统中的歧视和偏见的执法工作的联合声明》,围绕算法歧视解决各领域歧视问题。
巴西新出台的AI法案对人工智能系统提供商和运营商都提出相应要求,要求确保数据经过偏见防控和质量检查。
07
AI系统审批与注册义务
中国关注具备公众属性的AI服务,要求具有舆论属性或社会动员能力的生成式人工智能服务,应当履行算法备案、大模型上线备案义务。
欧盟仅对高风险AI系统提出审批注册要求,高风险AI系统需经过合规性评估,并在高风险AI系统公共数据库注册。
美国NIST自愿性人工智能风险管理框架建议维护人工智能清单,但联邦法律原则上不要求对人工智能系统进行公开注册,特定场景需要人工智能系统批准,例如对人工智能医疗器械的批准。巴西则要求维护更新高风险人工智能系统的清单。
08
AI系统开发要求
中国主要规制生成式人工智能,要求公开发布的生成式人工智能系统必须遵守相关法规和标准中的特定开发要求。
欧洲对高风险AI系统提出严格要求,包括数据治理、风险管理和风险测试、制定维护技术文档、人为监督人工智能系统等。
美国联邦层面立法暂无对于AI系统的开发要求,但NIST人工智能风险管理框架为AI系统的提供者和部署者提供了优秀实践参考。
巴西同样强调高风险AI系统的管理,规定高风险AI系统必须通过严格的算法影响评估,遵循严格的合规治理措施,确保系统安全、透明且无偏见。
09
AI素养教育与培训
中国、欧盟、巴西都存在相应要求,但规制范围不同。
中国关注专业员工的意识培训,要求生成式人工智能技术提供者应当对数据标注人员进行必要培训,提升尊法守法意识,监督指导标注工作。
欧盟强调AI素养教育,要求各组织实施强有力的人工智能素养措施,确保员工和AI系统利益相关者都充分理解AI系统风险、机遇和危害。
巴西新出台法案要求高风险AI系统提供者应当进行算法影响评估,评估报告中需包括针对相关AI风险的培训和宣传活动。
10
未成年人防沉迷
中国法规要求,企业应采取措施,防范未成年用户过度依赖或者沉迷生成式人工智能服务。
欧盟《人工智能法案》暂无未成年防沉迷要求,但《通用数据保护条例》对儿童数据有特殊保护要求,并且当前欧盟存在未成年保护相关负面案例。如OpenAI没有验证用户年龄,防止13岁以下儿童使用聊天机器人,被意大利监管指控并罚款。
美国和巴西人工智能法规暂无儿童保护的特殊要求,但仍需履行对儿童的数据保护义务。
11
标识义务
中国监管规定深度合成内容应当进行相应标识,且《人工智能生成合成内容标识办法》进一步细化了相应要求。
欧盟《人工智能法案》规定,人工智能系统提供者应确保AI系统的输出内容以机器可读的格式进行标记(如通过水印、元数据标识等技术),并且可检测其系人为生成或操纵;部署者在生成或操纵构成深度伪造的图像、音频或视频内容时,应披露该内容是人为生成或操纵的。
美国联邦层面暂无明确立法,但部分州已发布相关要求。如加利福尼亚州2024年出台《数字内容溯源标识法案》,要求在人工智能生成的图像和视频的元数据中嵌入水印。
巴西《人工智能法案》最新版本则删除了关于AI标识的要求。
12
违规处置
中国AI法规要求对人工智能服务生成的违法内容进行处置,规定提供者发现违法内容的,应当及时采取相应处置措施,发现使用者利用生成式AI从事违法活动,应依法采取处置措施,保存相关记录,并向有关主管部门报告。
欧盟则关注高风险AI系统的风险事件,要求发生风险事件时,提供者立即告知部署者,通知当地市场监督管理机关。同时,欧盟还规定,具有系统风险的通用人工智能模型提供者应及时跟踪记录风险事件,及时向监管报告,并采取纠正措施。
巴西违规处理规定与巴西类似,要求AI系统的提供者和部署者必须将严重安全事件的发生通知主管当局。
各国家和地区的AI治理思路与方案存在较大差异,企业出海应持续关注各国立法和执法态势,同时参考行业内其他企业的AI跨境合规经验,有针对性地选择合规方案。
参考文献:
[1] 《欧盟人工智能法案》
[2] 《生成式人工智能服务管理暂行办法》
[3] 《人工智能生成合成内容标识办法》
[4] 《深度合成互联网信息技术管理规定》
[5] 《互联网信息服务算法推荐管理规定》
[6] 巴西《人工智能法案》(2024/12/10参议院通过版本)
[7] 美国《联邦贸易委员会法》
[8] 美国《公平信用报告法》
END
关注我们,了解更多安全内容!
📍发表于:中国 广东
