歐盟 AI 法案使用基於風險的框架。不可接受的風險(禁止):社會信用評分、公共場所即時生物辨識監控(有例外)。高風險(嚴格要求):用於招聘、教育、執法、關鍵基礎設施的 AI——這些需要合規性評估、資料治理、人類監督和文件記錄。有限風險(透明度義務):聊天機器人必須揭示它們是 AI,深偽內容必須標記。最低風險(無要求):垃圾郵件過濾器、電子遊戲 AI。
歐盟 AI 法案特別針對基礎模型(稱為「通用 AI 模型」)。提供者必須發布訓練資料摘要、遵守著作權法,並實施安全評估。被認定構成「系統性風險」的模型(大致上:具有大量計算預算的前沿模型)面臨額外義務,包括對抗性測試、事件報告和網路安全措施。這直接影響 Anthropic、OpenAI、Google 和 Meta 等公司。
AI 監管在全球範圍內發展不均。歐盟以全面立法領先。美國依賴行政命令、NIST 框架和特定部門機構(FDA 管理醫療 AI、FTC 管理消費者保護)。中國要求演算法透明度、內容標記和面向公眾的生成式 AI 需政府批准。這種拼圖式的格局對必須在不同市場遵循不同規則的全球 AI 公司構成合規挑戰。