AI Act对中小企业的影响与合规指南

AI Act对中小企业的影响

AI Act（《人工智能法案》）是欧盟于2024年7月12日批准和发布的新法规，其主要目标是对基于人工智能的数字工具和技术的使用进行监管，并应用道德和安全原则。

这实际上是全球首个旨在规范AI的法规，因此不能指望文本精确、详尽并划定清晰明确的界限。实际上，企业应用该法规的初始环境非常模糊，甚至可以说是含糊不清。

该法规并未明确区分适用对象和非适用对象，而是根据对该技术的使用情况进行解释，基本分为两大类主体：

根据AI Act第3条，提供商被定义为开发和/或修改GPAI模型以从中获利的主体。

关于此定义可能存在多种解释，但我们期望在政府技术委员会讨论中、预计于2025年9月发布的实施法令中能有更清晰的说明。

无论如何，AI提供商必须从8月2日开始，并在2027年8月2日前提供：

8月2日的日期也为所有主体（提供商和使用GPAI模型的企业）设定了一个关键分水岭，基本义务必须在2026年2月2日前采纳，主要有两项：

扫盲和培训：这可能是所有企业（大型、中型中小企业和微型企业）必须优先关注的活动。必须向企业中任何使用GPAI模型的人员提供最低限度的知识，以确保正确且无风险地使用人工智能。此外，重要的是这种培训不能是通用的、对所有用户相同的，而应根据使用者（例如，商业部门、行政部门、市场营销、技术办公室等）进行区分和个性化；
透明度：从8月2日起，企业必须声明是否使用GPAI模型，因此不仅仅是开发者。例如，如果使用借助人工智能生成的文件、演示文稿、报告或邮件，必须告知接收者，例如在免责声明或通知中，说明其正在与由AI生成的文件交互，并提供关于如何将数据用于AI自身训练、数据来源的详细信息，以及这些数据是否可能被第三方知悉，是否存在版权问题。

如果一个简单的使用者实质性修改了一个AI模型并将其提供给他人使用，则可能归入提供商类别，承担更广泛和严格的义务。

此外，必须特别注意“高风险系统”（例如可能产生危险行为的系统，如健康评估等），对于这些系统，现在就必须开始准备。

为了避免不必要地浪费精力和资源，至关重要的一点是，在启动培训之前，先从企业内部开始分析对AI工具的实际需求，确定部门、职能、用户、用户组及其相应责任，以及最适合满足分析所出现需求的平台和供应商（无论是合规性/安全性水平，还是成本和性能）。

同样非常重要的是，以映射高风险AI模型的方式构建分析，这些模型在法规中列出并分为6类：禁止、高风险、受限、GPAI、零风险。

另一项为达到合规而必须实施的战略活动，无疑是制定一个行动计划，除了初步分析外，还包括一系列治理和监控活动，旨在掌控一切，例如：测试和审计、文档和程序，通过采用类似于GDPR要求的设计和默认方法保持持续更新。

至此，我们多次遇到一个缩写词，但从未给出准确定义。但了解它很重要，因为它可能是我们将要使用和处理的最常见的AI工具类型：GPAI。

AI Act将GPAI系统或通用人工智能定义为：“一种可用于广泛任务的人工智能模型，并非专门设计或限于特定应用。”

GPAI是一种基础AI工具，最终用户可以直接使用（按原样）来创建文本、图像、视频、报告、演示文稿、翻译等。

一个例子是由ChatGPT、CoPilot或其他AI平台处理的典型邮件文本，目的是对其进行纠正、改进、补充、丰富等，添加更多的技术、历史或统计信息等。

或者，同一个GPAI模型可能由开发人员（即提供商）进行定制或个性化，以便在特定领域（市场营销、金融、行政管理、医学、体育等）中使用。

AI正在普及并且将越来越广泛，这涉及到深刻的反思和影响，波及所有领域，包括工作和私人生活，特别是无限制使用这种极其强大的技术可能带来的风险，无论是在安全层面还是道德层面。

因此，欢迎旨在设定界限的法规，以免成为技术的受害者，而是能够在不违反成文和不成文法律的情况下引导和管理它。

这第一个法规组成部分是一个里程碑，我们所有人都应该与之关联。

不能以是小公司为借口，并犯下大错，认为其不会遭受或引发与人工智能相关的风险。

AI Act没有设定任何规模或行业限制，因此中小企业和微型企业也将不得不，无论愿意与否，平静地面对合规之路，这显然将根据AI对企业业务的实际影响按比例调整。

我们首先建议实施的事项无疑是面向员工和管理人员（包括董事会）的培训，不要低估任何岗位：即使是简单的仓库管理员也可能想请ChatGPT帮忙撰写邮件文本，其中可能包含对公司重要且关键的数据。

至关重要的是，所有员工，即使是最低程度的，都应接收信息、接受指导，并意识到人工智能的风险以及最佳使用方式，以免损害公司业务和他人权利。