欧盟发布《通用人工智能业务守则》初稿介绍

欧盟在人工智能领域的规则生产实在是太详实了，在我们还只能关注消费级生成式人工智能领域时，欧盟已经深入研究了GAI领域的服务商规则，他们正在为不日即将到来的GAI时代做好充足的准备。

2024年11月14日，欧盟首部《通用人工智能业务守则》（初稿）发布，详细说明《人工智能法》对通用人工智能模型和具有系统风险的通用人工智能模型提供商的规定。

以下是关于《通用人工智能业务守则》（初稿）的主要问答内容：‍‍‍‍

为什么我们需要通用人工智能模型的规则？

人工智能有望为我们的经济和社会带来巨大的益处。通用人工智能模型发挥着重要作用在这方面，由于它们可用于执行各种任务，因此构成了一系列在欧洲和世界各地使用的下游人工智能系统。AI 法案旨在确保通用人工智能模型的安全和可信。

为了实现这一目标，通用人工智能模型的提供者必须充分了解其模型在整个人工智能价值链中的作用，以便能够将这些模型集成到下游人工智能系统中，并履行《人工智能法》规定的义务。如下文所述，通用人工智能模型的提供者必须起草并向人工智能办公室和下游提供者提供其模型的技术文件，必须制定版权政策，必须发布培训内容概要。此外，构成系统性风险的通用人工智能模型的提供者（可能是由于其能力很强，也可能是由于其他原因对内部市场有重大影响）必须通知委员会，评估和降低系统性风险，进行模型评估，报告严重事故，并确保其模型有足够的网络安全。

因此，《人工智能法》有助于欧洲安全、可信的创新。

什么是通用人工智能模型？

《人工智能法》将通用人工智能模型定义为 "人工智能模型，包括使用大量数据通过规模化自我监督进行训练的人工智能模型，该模型显示出显著的通用性，能够胜任各种不同的任务，无论该模型以何种方式投放市场，并可集成到各种下游系统或应用中"（第 3(63)条）。

《人工智能法》的序言进一步阐明了哪些模型应被视为具有显著的通用性，能够执行各种不同的任务。

根据 Recital 98，"虽然模型的通用性除其他外也可以由参数的数量来决定，但至少有十亿个参数并使用大量数据进行大规模自我监督训练的模型应被视为显示出显著的通用性，并能胜任各种不同的任务"。

Recital 99 补充说，"大型生成式人工智能模型是通用人工智能模型的典型范例，因为它们可以灵活地生成内容，如文本、音频、图像或视频形式的内容，可以随时适应各种不同的任务"。

需要注意的是，如果模式足够灵活，单个模式（如文本、音频、图像或视频）中的模型也可以实现很强的通用性和胜任各种不同任务的能力。开发、微调或以其他方式修改过的模型也可以实现这一点，这些模型在特定任务中表现尤为出色。

人工智能办公室打算借鉴委员会联合研究中心的见解，进一步澄清什么应被视为通用人工智能模型。

什么是具有系统风险的通用人工智能模型？

系统性风险是指在任何特定时间点最先进（即最先进）的模型或具有同等影响的其他模型造成大规模损害的风险（见第 3(65)条）。例如，这种风险可能表现为降低化学或生物武器开发的门槛、对自主通用人工智能模型的意外控制问题，或有害的大规模歧视或虚假信息（第 110 条）。在任何特定时间点，最先进的模型都可能带来系统性风险，包括新型风险，因为它们正在推动技术发展。与此同时，一些低于反映最新技术水平的阈值的模型也可能构成系统性风险，例如通过覆盖范围、可扩展性或脚手架。

因此，《人工智能法》将通用人工智能模型归类为具有系统性风险的通用人工智能模型，如果它是当时最先进的模型之一或具有同等影响的话（第 51(1)条）。哪些模型被认为是具有系统性风险的通用人工智能模型，可能会随着时间的推移而改变，这反映了不断发展的技术水平和社会对日益先进的模型的潜在适应性。目前，具有系统性风险的通用人工智能模型是由少数几家公司开发的，但这也可能随着时间的推移而改变。

为了捕捉最先进的模型，《人工智能法》最初规定了用于训练模型的 1025 个浮点运算（FLOP）的阈值（第 51(1)(a)和(2)条）。目前估计，训练一个符合这一门槛的模型需要花费数千万欧元（Epoch AI, 2024）。人工智能办公室将持续监测技术和产业发展，委员会可更新阈值，以确保随着技术水平的发展，通过授权法案（第 51(3)条）继续选出最先进的模型。例如，可以调整阈值本身，和/或引入额外的阈值。

为了捕捉影响等同于最先进模型的模型，《人工智能法》授权委员会根据用户数量、可扩展性或工具获取途径等标准，指定其他模型构成系统性风险（第 51(1)(b)条，附件 XIII）。

人工智能办公室打算借鉴委员会联合研究中心的见解，进一步澄清如何将通用人工智能模型归类为具有系统风险的通用人工智能模型。

什么是通用人工智能模型的提供者？

《人工智能法》关于通用人工智能模型的规则适用于在欧盟市场上投放此类模型的提供商，无论这些提供商是在欧盟境内还是第三国设立或位于欧盟境内（第 2(1)(a)条）。

通用人工智能模型的提供者是指开发通用人工智能模型或已开发此类模型并将其投放市场的自然人、法人、公共当局、机构或其他团体，不论其是有偿的还是免费的（第 3(3)条）。

将模型投放市场是指首先在欧盟市场上提供该模型（第 3(9)条），即在商业活动中提供该模型供在欧盟市场上销售或使用，无论是有偿还是免费（第 3(10)条）。请注意，如果通用人工智能模型的提供者将该模型集成到自己的人工智能系统中，并在市场上提供或投入使用，则该模型也被视为投放市场，除非该模型(a)纯粹用于内部流程，对向第三方提供产品或服务并不重要；(b)自然人的权利不受影响；(c)该模型不是具有系统风险的通用人工智能模型（第 97 条）。

通用人工智能模型的提供者有哪些义务？

通用人工智能模型提供者的义务自 2025 年 8 月 2 日起适用（第 113(b)条），在该日期之前投放市场的通用人工智能模型则有特殊规定（第 111(3)条）。

根据《人工智能法》第 53 条，通用人工智能模型的提供者必须记录有关模型的技术信 息，以便应要求向人工智能办公室和国家主管当局提供这些信息（第 53(1)(a)条），并将其 提供给下游提供者（第 53(1)(b)条）。它们还必须制定一项政策，以遵守关于版权和相关权利的欧盟法律（第 53(1)(c)条），并起草和公布一份关于用于培训模型的内容的足够详细的摘要（第 53(1)(d)条）。

《通用人工智能业务守则》应在有关透明度和版权的章节中进一步详细说明这些义务（由第 1 工作组牵头）。

根据《人工智能法》第 55 条，具有系统性风险的通用人工智能模型的提供者有额外的义务。它们必须评估和降低系统风险，特别是通过进行模型评估，跟踪、记录和报告严重事故，并确保模型及其物理基础设施有足够的网络安全保护。

《通用人工智能业务守则》应在系统风险评估、技术风险缓解和治理风险缓解（分别由第 2、第 3 和第 4 工作组负责）等章节中进一步详细说明这些义务。

如果有人将模型开源，他们是否必须遵守通用人工智能模型提供者的义务？

如果模型是在免费和开源许可下发布的，而且其参数，包括权重、模型架构信息和模型使用信息都是公开的，则制定并向人工智能办公室、国家主管当局和下游供应商提供文件的义务（第 53(1)(a)和(b)条）就不适用。该豁免不适用于具有系统性风险的通用人工智能模型（第 53(2)条）。序言 102 和 103 进一步澄清了什么是自由和开源许可，人工智能办公室打算进一步澄清有关开源通用人工智能模型的问题。

相比之下，具有系统性风险的通用人工智能模型的提供者无论其模型是否开源，都必须遵守《人工智能法》规定的义务。开源模型发布后，确保遵守第 53 条和第 55 条义务的必要措施可能更难实施（叙文 112）。因此，具有系统风险的通用人工智能模型的提供者可能需要在发布开源模型之前评估并降低系统风险。

《通用人工智能业务守则》应进一步详细说明第 53 条和第 55 条中的义务对发布通用人工智能模型的不同方式（包括开源）意味着什么。

支撑这一进程的一个重要但棘手的问题是，如何在追求开源高级通用人工智能模型的益处和降低其风险之间找到平衡点：开源高级通用人工智能模型确实可能产生巨大的社会效益，包括通过促进人工智能安全研究；与此同时，当这些模型被开源时，降低风险的措施更容易被规避或消除。

通用人工智能模型提供者的义务是否适用于研发阶段？

第 2(8)条规定，《人工智能法》"不适用于人工智能系统或人工智能模型在投放市场或投入使用之前的任何研究、测试或开发活动"。

与此同时，通用人工智能模型（有系统风险和无系统风险）提供商的许多义务都明确或隐含地涉及模型的研发阶段，但都是在投放市场之前。例如，提供商有义务通知委员会其通用人工智能模型已达到或将达到训练计算阈值（第 51 和 52 条），有义务记录有关训练和测试的信息（第 53 条），有义务评估和降低系统风险（第 55 条）。特别是，第 55 条第(1)款(b)项明确规定，"具有系统风险的通用人工智能模型的提供者应在联盟层面评估和降低可能因开发（......）具有系统风险的通用人工智能模型而产生的系统风险，包括其来源"。

在任何情况下，人工智能办公室都希望与具有系统性风险的通用人工智能模型提供商在开发阶段尽早开始讨论。这符合第 51(2)条规定的通用人工智能模型提供商的义务，即达到培训计算阈值的模型提供商有义务 "毫不拖延地通知委员会，且无论如何应在达到该要求或得知将达到该要求后两周内通知委员会"（第 52(1)条）。事实上，通用人工智能模型的训练需要大量的规划，其中包括计算资源的前期分配，因此通用人工智能模型的提供者能够在训练完成之前知道其模型是否达到训练计算阈值（Recital 112）。

人工智能办公室打算进一步澄清这一问题。

如果有人对模型进行微调或其他修改，他们是否必须遵守通用人工智能模型提供者的义务？

通用人工智能模型可以进一步修改或微调为新模型（第 97 段）。因此，微调或以其他方式修改现有通用人工智能模型的下游实体可能成为新模型的提供者。下游实体在何种具体情况下成为新模型的提供者是一个具有潜在巨大经济影响的难题，因为许多组织和个人都会对另一个实体开发的通用人工智能模型进行微调或以其他方式进行修改。人工智能办公室打算进一步澄清这个问题。

在对现有通用人工智能模型进行修改或微调的情况下，第 53 条中通用人工智能模型提供者的义务应仅限于修改或微调，例如，用有关修改的信息补充现有的技术文件(序言 109)。第 55 条中对具有系统风险的通用人工智能模型提供者的义务也可以用类似的方式加以限制。通用人工智能业务守则可以反映最初开发通用人工智能模型的提供者与微调或以其他方式修改现有模型的提供者之间的差异。

请注意，无论将通用人工智能模型纳入人工智能系统的下游实体是否被视为通用人工智能模型的提供者，该实体都必须遵守《人工智能法》对人工智能系统的相关要求和义务。

什么是《通用人工智能业务守则》？

根据《人工智能法》第 56 条，《通用人工智能业务守则》应详细说明通用人工智能模型和具有系统性风险的通用人工智能模型的提供者如何遵守《人工智能法》规定的义务。人工智能办公室正在推动该业务守则的起草工作，四个工作组由独立专家担任主席，近 1000 名利益相关者、欧盟成员国代表以及欧洲和国际观察员参与其中。

更确切地说，《业务守则》至少应详细说明通用人工智能模型提供者如何遵守第 53 条和第 55 条规定的义务。这意味着《业务守则》可望有两个部分：一部分适用于所有通用人工智能模型的提供者（第 53 条），另一部分仅适用于具有系统风险的通用人工智能模型的提供者（第 55 条）。业务守则》可能涵盖的另一项义务是，对于符合或预期符合第 51 条所列被归类为具有系统性风险的通用人工智能模型的条件的通用人工智能模型提供商，有义务通知委员会（第 52(1)条）。

哪些内容不属于《业务守则》的范围？

除其他外，《业务守则》不应涉及以下问题：界定《人工智能法》中的关键概念和定义（如 "通用人工智能模型"），更新将通用人工智能模型归类为具有系统风险的通用人工智能模型的标准或阈值（第 51 条），概述人工智能办公室将如何执行通用人工智能模型提供者的义务（第九章第 5 节），以及有关罚款、制裁和责任的问题。

这些问题可通过其他方式（决定、授权法案、实施法案、行政和财务办公室的进一步通 报等）加以解决。

尽管如此，《业务守则》仍可包括通用人工智能模型提供者的承诺，即记录和报告更多信息，以及让人工智能办公室和第三方参与整个模型生命周期，只要这被认为是提供者有效履行《人工智能法》规定的义务所必需的。

人工智能系统在《业务守则》中发挥作用吗？

人工智能法》区分了人工智能系统和人工智能模型，对某些人工智能系统提出了要求（第二章至第四章），对通用人工智能模型的提供者规定了义务（第五章）。人工智能法》关于人工智能系统的规定取决于系统的使用环境，而《人工智能法》关于通用人工智能模型的规定则适用于模型本身，无论其最终用途是什么或将会是什么。业务守则应只涉及《人工智能法》中规定的通用人工智能模型提供者的义务。

不过，这两套规则之间也有互动，因为通用人工智能模型通常被集成到人工智能系统中，成为人工智能系统的一部分。如果通用人工智能模型的提供者将通用人工智能模型集成到人工智能系统中，该提供者必须遵守通用人工智能模型提供者的义务，如果人工智能系统属于《人工智能法》的范围，则必须遵守对人工智能系统的要求。如果下游提供商将通用人工智能模型集成到人工智能系统中，通用人工智能模型的提供商必须与人工智能系统的下游提供商合作，以确保后者能够遵守《人工智能法》规定的义务，如果人工智能系统属于《人工智能法》的范围（例如向下游提供商提供某些信息）。

鉴于模型和系统之间以及两者的义务和要求之间的这些相互作用，《业务守则》的一 个重要问题是，哪些措施适合在模型层采取，哪些措施需要在系统层采取。

《业务守则》如何考虑初创企业的需求？

业务守则应列出其目标、措施，并酌情列出关键绩效指标(KPI)，以衡量其目标的实现情况。与适用于所有通用人工智能模型提供者的义务有关的措施和关键绩效指标应适当考虑提供者的规模，并允许中小企业（包括初创企业）以简化的方式遵守，不应造成过高的成本，也不应阻碍此类模型的使用（第 109 段）。此外，与适用于具有系统风险的通用人工智能模型提供商的义务有关的关键绩效指标应反映不同提供商的规模和能力差异（第 56(5)条），同时确保这些指标与风险相称（第 56(2)(d)条）。

《业务守则》何时定稿？

实践准则》初稿发布后，预计在未来几个月内还将进行三轮起草工作。13 位主席和副主席来自计算机科学、人工智能治理和法律等不同领域，他们负责综合多方利益相关者咨询和《实践指南》全体会议讨论中提交的意见，全体会议由大约 1000 名利益相关者组成。这一迭代过程将产生最终的《业务守则》，该守则应反映各种意见，同时确保法律框架得到令人信服的实施。

《业务守则》有哪些法律效力？

如果通过实施法案获得批准，《业务守则》就具有普遍效力，这意味着遵守《业务守则》就成为证明遵守《人工智能法》的一种手段。不过，遵守《人工智能法》也可以通过其他方式来证明。

根据《大&国际法》，《业务守则》的其他法律效力是，大&国际办公室可以强制遵守《业务守则》（第 89(1)条），并应在确定罚款金额时考虑《业务守则》中的承诺（第 101(1)条）。

如何审查和更新《业务守则》？

虽然《业务守则》初稿尚未包含审查和更新的详细内容，但草案的进一步迭代以及为批准 《业务守则》定稿而通过的任何执行法案都有望包含这方面的信息。

人工智能办公室拥有哪些执法权？

除其他任务外，人工智能办公室还将强制执行通用人工智能模型提供者的义务（第 88 条），并支持成员国的管理机构执行对人工智能系统的要求（第 75 条）。人工智能办公室的执法依据是《人工智能法》赋予它的权力，即有权要求提供信息（第 91 条），对通用人工智能模型进行评估（第 92 条），要求提供商采取措施，包括实施风险缓解措施和从市场上召回模型（第 93 条），以及处以最高达全球年营业额 3% 或 1500 万欧元的罚款，以金额较高者为准（第 101 条）。

声明：本文来自互联网法律匠，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。