欧盟AI法案使用基于风险的框架。不可接受的风险(禁止):社会信用评分、公共场所的实时生物识别监控(有例外)。高风险(严格要求):招聘、教育、执法、关键基础设施中的AI——这些需要合规评估、数据治理、人类监督和文档记录。有限风险(透明度义务):聊天机器人必须披露它们是AI,深度伪造必须标注。最低风险(无要求):垃圾邮件过滤器、视频游戏AI。
欧盟AI法案专门针对基础模型(称为“通用AI模型”)。提供商必须发布训练数据摘要、遵守版权法并实施安全评估。被认为具有“系统性风险”(大致为:具有大量计算预算的前沿模型)的模型面临额外义务,包括对抗性测试、事件报告和网络安全措施。这直接影响Anthropic、OpenAI、Google和Meta等公司。
AI监管在全球范围内发展不均衡。欧盟以全面立法领先。美国依靠行政命令、NIST框架和特定行业机构(FDA负责医疗AI,FTC负责消费者保护)。中国要求算法透明度、内容标注和公共面向的生成式AI须经政府批准。这种拼凑式的格局为必须在不同市场遵守不同规则的全球AI公司带来了合规挑战。