欧盟AI法案大限将至：供应商面临不确定性和创新障碍

截至2025年8月2日，在欧盟境内运营的通用人工智能（GPAI）模型提供商必须遵守欧盟《人工智能法案》的关键条款。这些要求包括维护最新的技术文档和训练数据摘要。

欧盟《人工智能法案》旨在确保人工智能在欧盟范围内的安全和道德使用，采用基于风险的方法，根据AI系统对公民的潜在影响进行分类。然而，随着截止日期的临近，AI提供商和法律专家对立法的模糊性表达了严重关切。他们认为，这种模糊性可能导致公司即使有意遵守也面临处罚，并且某些要求可能会阻碍创新，尤其是对科技初创企业而言。

普洛斯考律师事务所技术部门合伙人奥利弗·豪利（Oliver Howley）强调了这些问题。他表示：“理论上，2025年8月2日应该是负责任人工智能的一个里程碑。但在实践中，它正在制造巨大的不确定性，在某些情况下，还导致了真正的商业犹豫。”

立法模糊给AI提供商带来挑战

豪利指出，欧盟的AI模型提供商正在努力应对“留下太多解释空间”的立法。虽然其基本原则可能可以实现，但高层次的起草引入了真正的模糊性。例如，该法案将GPAI模型定义为具有“显著通用性”，但没有给出精确的阈值；并要求提供商发布“足够详细”的训练数据摘要。这种模糊性带来了一个困境：披露过多细节可能面临泄露宝贵知识产权或引发版权纠纷的风险。

某些要求还提出了不切实际的标准。《AI行为准则》（一个旨在帮助公司遵守该法案的自愿框架）建议GPAI模型提供商从其训练数据中过滤掉已选择退出数据挖掘的网站。豪利称这“是一个向前推进都足够困难的标准，更不用说追溯性地执行了。”

此外，该法案在谁承担合规负担方面缺乏明确性。豪利质疑道：“如果你为特定任务微调一个开源模型，你现在是‘提供商’吗？如果你只是托管它或将其封装到下游产品中呢？这很重要，因为它影响到谁来承担合规负担。”

尽管开源GPAI模型的提供商可免除某些透明度义务，但如果它们构成“系统性风险”，则此豁免不适用。在这种情况下，它们将面临更严格的要求，包括安全测试、“红队演练”（模拟攻击以识别漏洞）和部署后监控。然而，开源的性质使得追踪所有下游应用几乎不可能，但原始提供商仍可能对有害结果承担责任。

繁重要求与创新影响

人们越来越担心透明度要求可能会泄露商业秘密并扼杀欧洲的创新。尽管像OpenAI、Anthropic和谷歌这样的主要参与者已承诺遵守自愿的《行为准则》，但谷歌已表达了这些担忧，而Meta则公开拒绝签署该准则以示抗议。

豪利观察到，一些公司已经推迟了产品发布或限制了在欧盟市场的访问，这并非因为不认同该法案的目标，而是因为合规途径不明确且不合规的潜在成本过高。缺乏内部法律支持以进行大量文档工作的初创企业尤其脆弱。

豪利警告说：“对于早期开发商而言，法律风险或功能回滚的风险可能足以将投资完全从欧盟转移出去。”他认为，尽管该法案的目标值得称赞，但其执行可能会无意中减缓其旨在促进的负责任创新。这还具有潜在的地缘政治影响，因为美国政府反对AI监管与欧盟推动监管形成对比，如果美国提供商面临执法行动，可能会使贸易关系紧张。

对偏见和有害内容的关注有限

尽管有显著的透明度要求，但该法案缺乏对准确性、可靠性或实际影响的强制性阈值。豪利指出，即使是系统性风险模型，其监管也不是基于其实际输出，而是基于其文档的稳健性。他表示：“一个模型可能满足所有技术要求……但仍然产生有害或有偏见的内容。”

2025年8月2日生效的关键条款

截至2025年8月2日，GPAI模型提供商必须遵守以下五个关键领域的具体规则：

• 认证机构： 高风险GPAI模型的提供商必须准备与“认证机构”进行符合性评估。高风险AI系统是指对健康、安全或基本权利构成重大威胁的系统。这包括在欧盟受监管产品中用作安全组件的AI，或部署在生物识别、关键基础设施、教育、就业和执法等敏感领域的AI。

• 通用AI模型（GPAI）： 所有GPAI模型提供商必须维护技术文档、训练数据摘要、版权合规政策、下游部署者指南以及概述功能、局限性和预期用途的透明度措施。构成“系统性风险”的GPAI模型——定义为训练期间浮点运算（FLOPs）超过10^25，并由欧盟AI办公室指定（例如OpenAI的ChatGPT、Meta的Llama、谷歌的Gemini）——面临更严格的义务。这包括模型评估、事件报告、风险缓解策略、网络安全保障、能源使用披露和上市后监控。

• 治理： 本节定义了欧盟和国家层面的监管和执法结构。GPAI模型提供商必须与欧盟AI办公室和国家机构等机构合作，以履行合规性、回应监管请求，并参与风险监控和事件报告。

• 保密性： 当局向GPAI模型提供商索取数据的请求必须具备法律依据，安全处理，并受保密保护，特别是针对知识产权、商业秘密和源代码。

• 罚款： 不合规可能导致巨额罚款。违反被禁止的AI实践（例如，操纵人类行为、社会评分、实时公共生物识别）可能面临最高3500万欧元或全球年度总营业额7%的罚款，以较高者为准。其他违规行为，例如与透明度或风险管理相关的违规，可能导致最高1500万欧元或营业额3%的罚款。向当局提供误导性或不完整信息可能导致最高750万欧元或营业额1%的罚款。对于中小企业和初创公司，适用固定金额或百分比中的较低者。罚款会考虑违规的严重性、影响、合作程度和意图。

值得注意的是，尽管这些义务从2025年8月2日开始，但有一个一年的宽限期，这意味着不合规的罚款要到2026年8月2日才开始执行。

欧盟《人工智能法案》的分阶段实施

欧盟《人工智能法案》于2024年7月12日发布，并于2024年8月1日生效，但其条款正在分阶段实施：

• 2025年2月2日： 某些被认为构成不可接受风险的AI系统（例如社会评分、公共场所实时生物识别监控）被禁止。公司还必须确保其员工具备足够的人工智能素养。

• 2026年8月2日： 正式启动执法权。2025年8月2日之后投放市场的GPAI模型必须符合规定。某些列出的高风险AI系统的规则也适用于此日期之后投放市场或此后进行重大修改的系统。

• 2027年8月2日： 2025年8月2日之前投放市场的GPAI模型必须实现完全合规。在欧盟受监管产品中用作安全组件的高风险系统也必须遵守更严格的义务。

• 2030年8月2日： 公共部门组织使用的高风险AI系统必须完全合规。

• 2030年12月31日： 作为特定大型欧盟IT系统组件的AI系统，如果是在2027年8月2日之前投放市场的，必须使其合规。

尽管苹果、谷歌和Meta等科技巨头呼吁将该法案的实施推迟至少两年，但欧盟已拒绝了这一请求。