走出去智庫（CGGT）觀察

在AI大模型掀起的全球技術浪潮中，國產AI應用出海趨勢顯著增強，在全球市場具有廣泛的滲透與影響。然而，面對國際市場，各國對于AI應用的監管情況各不相同。如美國和英國，采取較為寬松的監管策略，側重于行業自律與分散監管，為AI創新提供相對自由的空間，歐盟則實施更為嚴格的監管模式，旨在確保AI系統的安全性和可靠性。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務所（Bird & Bird）合伙人龔鈺推出AI出海合規系列文章，將對各地區的AI合規法律進行整體的介紹，并對中國AI企業在出海的過程中，所關注的合規重點問題進行總結與分析，以期為AI企業出海提供關于合規管理的基本概覽。

今天，走出去智庫（CGGT）刊發系列文章之二《中歐人工智能立法比較：五大差異與合規需知》，供關注AI監管的讀者參閱。

要點

1、歐盟和中國的人工智能治理都圍繞著風險等級評估展開，并通過法律予以一定的限制以降低風險。然而，二者在風險類別的設定和分類方法上存在顯著差異，這對組織制定合規策略產生了重大影響。

2、歐盟《人工智能法案》針對人工智能供應鏈中的不同主體規定了相應的義務，這些主體在供應鏈中扮演特定角色（即人工智能產品的設計和投放市場過程），并且可以存在于各個行業中（即行業中立）。盡管中國法規中也出現了一些類似的術語，但沒有單一文件對這些角色進行集中描述。

3、歐盟與中國在行政單位之間及各單位內部的職權劃分上存在顯著差異。在實踐中，這將影響組織如何理解并評估其與執法機構的關系。

正文

文/Hunter Dorwart, Harry Qu, James Gong,Tobias Br?utigam

鴻鵠律師事務所

2024 年 7 月 12 日，歐盟在其《歐盟官方公報》（Official Journal of the European Union, OJEU）上正式發布了歐盟《人工智能法案》[1]（Artificial Intelligence Act），旨在全面規范歐人工智能系統在歐盟境內的設計、部署和使用。該法案的主要條款將于未來三年內逐步適用于各組織，具體舉措取決于組織的角色、所提供服務的風險等級及其能力。與此同時，中國的監管機構也將注意力轉向了人工智能，陸續發布了一系列法規和標準，旨在規范特定服務提供商的行為，以符合法律要求。其中，最重要的三項規定包括：《互聯網信息服務算法推薦管理規定》 (2022) [2]、《互聯網信息服務深度合成管理規定》(2023)[3]以及《生成式人工智能服務管理暫行辦法》(2023)[4]。

歐盟和中國在人工智能治理框架方面的演變上存在諸多相似之處。例如，歐盟成員國在 2017-2020 年間陸續發布了全面的 “人工智能戰略”，而與此同時，中國政府也承諾加強對人工智能的監管。兩地的政策制定者都表達了類似的監管目標，涉及道德倫理、數據保護、安全和安保等主題。此外，布魯塞爾與北京的人工智能監管都依托于現有法律框架，涵蓋了包括個人信息處理在內的數據監管。盡管存在諸多相似之處，這兩個治理框架之間仍有明顯差異。本文將探討其中的五大差異，以幫助企業理解這兩個市場的具體要求，為合規做好充分準備。

1. 橫向立法 Vs. 縱向立法

歐盟《人工智能法案》旨在為人工智能系統的開發、市場投放、服務投入及使用建立一個“統一的法律框架”，適用于整個歐盟。該法案補充了其他與數據相關的法律（包括源自歐盟委員會數字戰略的法律），作為一個橫向的監管框架，將各種參與方、組織和技術納入其范圍（見第2-3條）。該框架定義了一系列核心概念，包括“人工智能系統”（

基于機器的系統，設計目的是以不同的自主性水平運行，可能在部署后表現出適應性，并基于輸入信息推斷生成輸出，這些輸出可能是預測、建議或決策，進而影響物理或虛擬環境

在實踐中，這意味著組織不僅需要評估其法律義務是否符合其他法規的要求，還需明確自身是否屬于歐盟《人工智能法案》的規制范圍、以何種方式納入該范圍（即其活動觸發了哪些義務），以及因此需要采取哪些具體措施。當然，出海企業仍需要應對與其他歐盟法律項下交織重疊的復雜法律問題，如AI與數據保護、AI與知識產權、以及AI與縱向的行業立法（汽車、醫療等）。但是，歐盟《人工智能法案》已經構建了基本閉環的完整體系，并且將許多責任集中在這一部法律之下。

相比之下，中國采取了截然不同的縱向立法的方式。與通過單一的綜合性法律進行規范不同，中國的政府部門采取了雙管齊下的策略：（1）制定并實施行業特定的法規（如前述的算法推薦、深度合成以及生成式人工智能相關法規）；（2）發布技術標準并啟動人工智能治理試點項目，以積累最佳實踐和執法經驗。盡管現行法規存在一定重疊，但每項法規的適用范圍都依賴于所提供服務的類型。因此，中國在法規層面尚未對“人工智能”提供權威的定義（盡管在某些技術標準中對此有所界定）。在實踐中，關鍵在于某項服務是否以法規所涵蓋的方式提供服務，而不是其是否符合“人工智能系統”的定義。截至本文寫作時，我們已觀察到中國正在考慮著手制定統一的人工智能法律，這一發展可能對我們目前的分析產生影響。

2. 不同的風險分類方案

歐盟和中國的人工智能治理都圍繞著風險等級評估展開，并通過法律予以一定的限制以降低風險。然而，二者在風險類別的設定和分類方法上存在顯著差異，這對組織制定合規策略產生了重大影響。

風險類別

解釋

歐盟《人工智能法案》下的風險分類

歐盟《人工智能法案》的一個大特點是根據服務的風險類別分配不同的合規要求。該分類系統采用分層結構，風險級別越高，對應的限制也越嚴格。因此，確定人工智能系統所屬風險類別及是否適用例外規定將成為合規過程中的一項重要挑戰。盡管分類框架表面上與行業和技術無關，但某些技術（如生物識別、情感和面部識別）比其他技術受到更多關注。實際上，組織需要時間和具體指導來理解不同風險級別之間的的關系及其相互影響。

被禁止的AI系統

第5條規定了八種被禁止的人工智能系統。這些系統的共同特點在于，它們使組織能夠操控或預測性地控制人的社會和心理行為，從而以有害且不可接受的方式破壞歐盟的核心價值觀并損害人們的利益。需要注意的是，某些例外情況和條件可能會排除特定的人工智能系統歸入這一類別。成員國在授權人工智能系統的特定用途（如“實時”遠程生物識別系統）時具有一定的靈活性，但并不具備為所有列出的技術頒發許可的權力（見下文與中國的對比）。

高風險AI系統

屬于這一類別的人工智能系統在允許使用的前提下需遵守嚴格的合規義務。該類別主要涵蓋那些對個人健康、安全或基本權利構成重大風險的技術，但這些風險尚不足以完全禁止。根據第6條，人工智能系統若符合以下任一條件，則被視為具有高風險：

· 符合附錄1中定義的高風險系統條件；

· 或明確列在附錄3中。

歐盟委員會將通過授權立法和指導文件進一步明確高風險人工智能系統的范圍，并提供包括實際案例在內的詳細實例列表。

具有特定透明義務的AI系統

第50條涵蓋了特定的人工智能系統，包括那些在用戶無法立即辨別其是否在與人工智能系統互動（如聊天機器人）或接收被人工智能系統操控的內容（如合成圖像、音頻、視頻或其他深度偽造內容）時使用的系統。此外，生成或操控文本并用于向公眾傳遞公共利益信息的人工智能系統也包含在內。需要注意的是，此類別與高風險系統并不互斥，二者可同時適用于同一人工智能系統。

中國人工智能法規下的風險分類

中國的人工智能措施同樣基于風險等級構建合規要求，但其實施方式有所不同。現行的人工智能法規中，最嚴格的義務適用于特定服務，某些具備特殊能力的類別則受到更為嚴格的限制。目前，中國尚未建立統一的人工智能風險分類框架來強制執行特定法律義務。中國的政策文件在一般性地對人工智能風險進行分類時，通常以最佳實踐、指導方針和行政戰略文件的形式呈現（例如，科技部發布的《新一代人工智能倫理規范》[5]）。

被禁止的AI系統

中國尚未正式建立類似“禁止”技術清單的規定，盡管在實際操作中，某些技術可能因監管預期而受到限制。有專家建議建立負面許可制度，即制定需事先獲得當局批準的被禁止人工智能系統清單。然而，政策制定者尚未在正式法規或立法中采納這一建議。如果未來采納此類制度，中國政府可能會在經過評估或安全備案后批準某些技術。

具有輿論屬性和社會動員能力

盡管現行中國人工智能法規中未明確設立“高風險”類別，但確實識別出具有“公眾輿論屬性”或“社會動員能力”的服務，并對此類服務施加了特殊限制：

· 公眾輿論屬性：指能夠為公眾意見表達提供平臺或渠道的技術；

· 社會動員能力：針對可以鼓勵公眾參與特定行動的服務。

這一概念源自2018年對新聞信息服務的監管，涉及論壇、博客、聊天室、短視頻、直播網絡、信息共享服務及應用程序。在人工智能應用的語境下，這些屬性經常重合，可能涵蓋聊天機器人、虛擬助手以及使用內容推薦算法的服務。新聞信息服務在中國受到嚴格的許可制度監管。這一概念在數字技術領域的延伸表明，盡管中國的人工智能法規在某些方面與歐盟《人工智能法案》相似（如對操控或扭曲信息的技術特別關注），但行政背景會顯著影響風險分類的實際執行方式及其背后的原因。

3. 人工智能供應鏈中的不同主體

另一個關鍵區別在于受監管的對象及其受到監管的時機。歐盟《人工智能法案》針對人工智能供應鏈中的不同主體規定了相應的義務，這些主體在供應鏈中扮演特定角色（即人工智能產品的設計和投放市場過程），并且可以存在于各個行業中（即行業中立）。盡管中國法規中也出現了一些類似的術語，但沒有單一文件對這些角色進行集中描述。相反，中國的規定通常將“服務提供者”作為監管對象，并將“提供服務”理解為可能涉及多個主體的行為；但在實際操作中，這些主體被解釋為特定的實體類型。

主體

范圍

主要義務

法律

根源

歐盟《人工智能法案》下的主體范圍

（人工智能系統）提供者

開發人工智能系統或通用人工智能模型（或委托開發），并隨后以其自身名稱或商標將其投放市場或投入使用的實體。（第3條第（3）款）

根據風險分類，歐盟《人工智能法案》將大部分合規義務歸于提供者。對于高風險系統，這些義務包括：遵守技術和組織措施（詳見下文）、實施人工智能質量管理、進行市場后監控、采取糾正措施、進行系統注冊及合規性評估等。

第16-22條

（人工智能系統）部署者

在其授權下使用人工智能系統的實體（不包括個人的、非專業使用）。（第3條第（4）款）

注意：部署者可能因某些操作承擔提供者的責任。

部署者需履行特定的部署、數據質量和監控義務。對于高風險系統，這些義務包括確保人工智能系統的實際應用符合其設計要求，并遵循提供者設定的操作規范（如輸入數據控制、系統監控和事故報告等）。

第36條

（人工智能系統）進口商和分銷商

進口商：位于歐盟，在市場上銷售冠以歐盟以外實體名稱或商標的人工智能系統。（第3條第（6）款）分銷商：既非提供者亦非進口商，但其他方式銷售人工智能系統。（第3條第（7）款）

這些實體承擔特殊的驗證義務。

進口商：（針對高風險系統）必須核實是否完成了適當的合規性評估，檢查提供者的技術文檔，并確保CE標記、合規聲明和使用說明到位。

分銷商：（針對高風險系統）在將人工智能系統投放市場之前，需核實關鍵要素，包括CE標記、合規聲明和使用說明。

第23-24

中國人工智能法規下的主要主體

算法推薦服務提供者

使用推薦算法提供基于互聯網的信息服務包括內容的實體或個人。

提供者必須確保內容符合法律規定，明確標識算法生成的內容，建立內部管理系統，保護用戶并避免產生有害影響。此外，提供者還需保護弱勢群體，進行安全評估，并在必要時向網信辦備案算法（如適用）。

《互聯網信息服務算法推薦管理規定》

深度合成服務提供者和技術支持者

提供者：提供深度合成服務的實體或個人。

技術支持者：為深度合成服務提供技術支持的實體或個人。

提供者：必須確保內容合規、透明、用戶保護并進行安全評估和算法備案（如適用）。

技術支持者：技術支持者負責保護個人信息，定期審查和驗證合成算法機制，配合主管機構進行整改，進行安全評估和算法備案。

《互聯網信息服務深度合成管理規定》

生成式人工智能服務提供者

利用生成式人工智能技術提供生成式人工智能服務的實體或個人（包括通過提供可編程接口或其他方式提供此類服務）

生成式人工智能服務提供者必須履行多項義務以保障用戶安全，包括確保內容合規、保持透明性、使用合法的數據集、預防歧視、保護隱私并進行安全評估。此外，提供者還需指導用戶合理使用，監控人工智能技術的應用，標識人工智能生成內容，并向主管部門報告不合規情況，以確保人工智能服務的責任性和安全性。

《生成式人工智能服務管理暫行辦法》

值得注意的是，歐盟《人工智能法案》對通用人工智能模型的處理方式具有獨特之處。法案第3條第（63）款將通用人工智能模型定義為：“一種人工智能模型（包括通過大規模自監督訓練大量數據所生成的模型），展現出顯著的普適性，不論其投放市場的方式如何，能夠勝任多種不同任務，并可集成到各種下游系統或應用中。”通用人工智能模型本身并非一個“人工智能系統”，而是更基礎的存在。《人工智能法案》對這些模型設立了特殊規則（包括對下游使用、數據訓練的透明度、技術文檔和數據安全測試的相關規定），這些內容在法案起草過程中是主要的談判焦點之一。

在中國，監管機構也關注通用人工智能模型的開發和應用，盡管未明確使用此術語。目前，相關規定的具體性不如歐盟明確，主要通過非強制性的技術標準進行監管。例如，標準TC260-003《生成式人工智能服務安全基本要求》對訓練數據的使用、數據處理方式、預期的人類監督水平，以及評估和記錄輸出數據準確性和質量的指標提出了具體要求。盡管人工智能法規中未明確規定這些義務，但許多法規要求在適用時遵守相關標準。

4. 兩個司法轄區合規義務的范圍不同

二者在適用于組織的合規義務類型上也存在顯著差異。首先，歐盟《人工智能法案》具有域外效力，即當境外的人工智能系統提供者在歐盟市場上投放或使用人工智能系統或通用人工智能模型時，或當境外提供者或部署者的人工智能系統產生的輸出在歐盟境內被使用時，該法案同樣適用。相比之下，在中國，只有進入市場的服務才會受到監管，未進入市場的境外人工智能系統或其輸出并不在中國現行法規的監管范圍內。

除了適用范圍外，主要差異還體現在服務的風險分類及組織在提供該服務時所扮演的角色。歐盟《人工智能法案》下的合規要求較為復雜，并通過實施細則和委托法案進一步細化。例如，高風險系統在其生命周期內必須滿足一系列特定的技術和組織措施，包括：

· 風險管理：實施識別、分析和緩解風險的策略；

· 數據治理：符合數據訓練和模型測試的標準；

· 技術文檔和記錄保存：證明合規性、可追溯性并便于市場后監控；

· 透明度：設計人工智能系統以便于理解輸出，并提供使用說明；

· 準確性、穩健性和網絡安全：確保系統的準確性、安全性和韌性；

· 人類監督：根據人工智能系統的風險級別、自主性和使用環境，確保人類參與。

這些要求構成了高風險系統在歐盟市場上的合規框架，涉及到系統的全生命周期管理，以確保技術和運營的穩健性及法律合規性。

值得注意的是，中國的要求也涉及類似的主題，并使用相似的語言進行規范。例如，中國人工智能治理的重要組成部分包括實施全面的風險管理系統、記錄保存以及向下游使用者提供技術指導。此外，歐盟《人工智能法案》第50條的許多要求在中國的人工智能法規中已有所體現（例如對人工智能生成內容打水印的透明度要求、標記含有深度偽造內容，并向公眾披露服務正在使用人工智能）。雖然在文本上二者存在一些相似之處，但在執行和實施上的重疊程度仍有待觀察。實際上，二者監管機構的優先事項可能存在根本差異，以至于比較更多落腳于學術層面。不過，以下關鍵結構性差異值得關注：

a. 符合性評估：將歐盟《人工智能法案》的要求納入相關的歐盟產品安全法下的符合性評估程序，這是目前中國未見的獨特特征。雖然合規評估是中國測試和認證的常規組成部分，但其在人工智能治理中的作用較為有限，主要集中于其他形式的監管審查（如算法備案和安全評估）。符合性評估作為一種概念已在地方性法規中提出，例如上海的人工智能條例。[6]

b. 算法備案： 在中國，符合特定標準的服務必須將其算法向主管機關備案，備案內容需包括備案主體、算法及其相關產品/服務的基本信息。監管機構還專門創建了在線門戶用于備案。盡管歐盟《人工智能法案》也對人工智能系統提出某些注冊要求，但尚未設立中央數據庫以便于此類備案。

c. 安全評估：中國的另一項特色是要求服務提供者進行安全評估，尤其針對具有公共輿論屬性和社會動員能力的算法。安全評估涵蓋多方面內容，如風險防范、用戶保護、內容審核、模型安全和數據安全，且服務提供者必須在備案前完成自評估。歐盟的監管機構雖然會審核合規情況、進行調查并查看合規文件，但未要求服務推出前進行詳盡的安全評估。值得一提的是，歐盟《人工智能法案》要求的合規性評估是一種事前評估，目的在于產品安全，涉及第三方認證機構的認證而非監管機構的許可。此外，歐盟《人工智能法案》要求在某些條件下進行基本風險評估，這在范圍和實質內容上與中國的自我評估程序有所不同（盡管在實踐中會涉及相似主題）。

5. 執法結構體現行政和法律環境的差異

歐盟《人工智能法案》將執法權下放至各成員國指定的國家主管當局，負責監督法案的實施，包括高風險人工智能系統的義務和禁令。目前，尚未明確哪些行政機構將被指定為主管當局，但許多數據保護監管機構已主張應將《人工智能法案》納入其管轄范圍。

為協調各成員國的執法工作，人工智能辦公室將發揮支持作用，對所有27個成員國進行集中監督，并就關鍵問題提供指導和專業知識。該辦公室將協助開展聯合調查、簡化國家主管當局之間的溝通，并創建一個治理體系，包括在歐盟層面建立技術咨詢機構，并為獨立專家科學小組提供支持。此外，人工智能辦公室還負責監督執行法案中關于通用人工智能模型的相關條款，確保在整個歐盟內對這些模型的執法保持一致。最后，人工智能辦公室將協助各主管當局和其他中央機構，發布自愿行為準則，支持起草技術標準及指南、實施和授權法案，以及人工智能監管沙盒的建立。

在中國，多個行政機構參與人工智能的執法工作，涵蓋不同的部委和部門，其核心職責通常按法律領域和行業劃分。這些政府機構在人工智能的關鍵問題上經常協同合作，包括共同起草和通過人工智能相關的法規與指南。例如，盡管國家互聯網信息辦公室是中國主要的人工智能監管機構，但工業和信息化部也在監管電信、物聯網和移動應用行業的人工智能法規制定中發揮了關鍵作用。此外，中國政府利用以往的監管經驗來應對人工智能帶來的新風險。例如，網信辦在人工智能的安全和數據保護監管中發揮主導作用。

然而，歐盟與中國在行政單位之間及各單位內部的職權劃分上存在顯著差異。在實踐中，這將影響組織如何理解并評估其與執法機構的關系。在歐盟《人工智能法案》框架下，各成員國需自行指定執法當局，且可以基于自身需求選擇具體的執法機構。因此，不同成員國可能會指定不同的主管機構，導致組織需根據所在國的不同，適應相應的監管結構。在中國，各部委在省、市級設有地方辦事處，地方機構負責轄區內的具體監管。這意味著無論組織在中國何地運營，都需應對多個對其服務具有管轄權的部委。此外，中國的中央監管由位于北京的中央級部委辦公室主導，這些辦公室制定統一的程序管理規則和政策，要求地方辦事處嚴格執行。這與歐盟的情況相反，在歐盟，中央級機構主要發揮支持性作用，負責發布指導意見，而非直接解釋和執行《人工智能法案》（除某些特定條款外）。

隨著人工智能治理法規在這兩個司法轄區的逐步實施，未來將出現更多具體的跨境合規經驗，有助于組織更好地適應不同的監管環境。

注釋：

1. Artificial Intelligence Act

European Parliament legislative resolution of 13 March 2024 on the proposal for a

regulation of the European Parliament and of the Council on laying down harmonised

rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union

Legislative Acts (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD)), available at: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_EN.pdf

2. 《互聯網信息服務算法推薦管理規定》, available at: https://www.gov.cn/zhengce/zhengceku/2022-01/04/content_5666429.htm

3. 《互聯網信息服務深度合成管理規定》, available at: https://www.gov.cn/zhengce/zhengceku/2022-12/12/content_5731431.htm

4. 《生成式人工智能服務管理暫行辦法》, available at: https://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm

5. 《新一代人工智能管理規范》，available at: https://www.most.gov.cn/kjbgz/202109/t20210926_177063.html

6. 《上海市促進人工智能產業發展條例》，available at: https://www.shanghai.gov.cn/hqcyfz2/20230627/3a1fcfeff9234e8e9e6623eb12b49522.html

專家簡介

龔鈺

走出去智庫（CGGT）特約法律專家

鴻鵠律師事務所（Bird & Bird）合伙人

龔律師領導鴻鵠律師事務所中國的數據保護和網絡安全團隊。他在數據保護、網絡安全以及科技、媒體、電信相關的監管及交易方面經驗非常豐富。他曾為來自多個行業的中國和跨國客戶提供境內外法律服務，擅長解決行業相關的復雜法律問題。龔律師的觀點經常被媒體引用，并且作為業內認可的作者發表TMT及數據相關文章。

龔律師畢業于曼徹斯特大學，并獲得法學學士學位。他擁有中華人民共和國法律職業資格和美國紐約州律師執業資格。他還是國際隱私專業人員協會成員，持有CIPP/E、CIPP/US 和CIPM證書。

業界榮譽：

中國《商法》：

• 2023-24法律精英：律界精銳

• 律師新星，2023

法律500強：

• 中國：數據保護（外資所）新生代合伙人，2024

• 中國：TMT（外資所）新生代合伙人，2022，2024

• 中國：生命科學（外資所）高度推薦律師，2024

• 中國：公司法及并購（外資所）高度推薦律師，2024

• 2023中國法律大獎：提名年度新生代合伙人、TMT年度律師

《亞洲法律雜志》（ALB）：中國十五佳TMT律師，2022

Lexology CMA：TMT - 亞太地區影響力律師（2024Q1、2023 Q1Q2、2022 Q2Q4）

ALM Law.com: 提名年度數據隱私律師, 2024

執業經驗：

為蔚來汽車、小鵬汽車、吉利汽車、北汽福田、比亞迪、石基信息、菜鳥網絡、華為、千尋位置、邁瑞醫療、健世科技、小天才、Vivo、科大訊飛、中銀國際、中國農業銀行、美的、螞蟻金服等眾多企業就數據合規相關問題提供法律服務。

延展閱讀

▌地緣政治風險:

▌出口管制與制裁:

▌跨境數據監管:

▌全球科技競爭:

▌品牌聲譽管理:

《戰略公關洞察｜政策監管和溝通傳播｜月報》

AI（人工智能）等技術推動產業升級，成為中國高科技企業轉型發展的重要工具和手段。

走出去智庫《跨境監管和戰略公關｜洞察月報》團隊，持續服務中國頭部高科技企業，華為、字節跳動、TCL科技等，助力中國企業在復雜的地緣政治背景下，理解跨境監管合規挑戰，支持企業品牌公關部、政府事務部、合規部，進行跨國業務的戰略傳播溝通和風險規避的決策參考，主要內容包括——

- 地緣政策風險、合規風險、海外聲譽風險的前瞻預警

- 針對跨國業務場景的利益相關方溝通傳播議題和策略

- 政治風險、輿情風險演進的法律危機公關實務