AI治理科普:欧盟《人工智能法案》的妥协与博弈之路
规则博弈:
欧盟《人工智能法案》的妥协与博弈
张扬、李芒指导AI治理小组
张扬
中国人民大学国际关系学院讲师
人工智能治理研究院研究员
李芒
中国电子技术标准化研究院工程师
AI治理小组成员
林逸航,哲学院2023级博士生
潘玥,商学院2025级硕士生
盛月秋,国际关系学院2024级硕士生
王淏媛,外国语学院2023级硕士生
徐嘉扬,哲学院2022级本科生
甄凯,哲学院2022级本科生
如今,人工智能(AI)正快速改变着世界。从医疗诊断、招聘流程,到城市规划和商业决策,AI几乎无处不在。但与此同时,新科技也带来了众多潜在风险。如何在激励技术创新的同时,保障民众权益?这成为各国普遍面临的挑战。数据直观显示了这种紧迫感:2016年,全球仅1项AI相关法律通过;到2022年,这一数字飙升至39项。仅在2023年,全球立法机构在讨论中提及“人工智能”的次数高达2175次,较前一年几乎翻倍。
在此全球热潮中,欧洲率先给出答案——2024年,具有里程碑意义的欧盟《人工智能法案》正式通过。这部法案的诞生过程充满波折,在欧盟制度框架下,不同管理理念、利益诉求和战略考量在起草过程中激烈交锋。本文将带您回顾欧盟《人工智能法案》完整的立法历程,揭示条文背后隐藏的博弈故事。
欧盟为何急于立法?
欧盟的人工智能治理体系并非从零起步。2018年实施的《通用数据保护条例》(General Data Protection Regulation),已对自动化决策做出了初步规定,确立了数据保护作为基本权利的地位。2019年发布的《可信人工智能伦理准则》(Ethics Guidelines for Trustworthy AI),系统阐述了人类自主权与监督、技术稳健、隐私保护、透明度、公平性、社会福祉及问责机制七大核心原则。2020年出台的《人工智能白皮书》(White Paper on Artificial Intelligence),进一步明确了基于风险分级的监管思路。此次立法显示了从伦理倡导向法律约束的战略演进路径,实现了从软法引领到硬法规范的跃升。
与此同时,人脸识别算法暴露的种族偏见、自动化决策导致的歧视性后果、深度伪造技术引起的信息扭曲等问题频繁曝光,人工智能也从实验室技术转变为备受关注的公共议题。这些事件引发了广泛的社会焦虑,公众迫切要求政府介入监管,构建可信的技术发展环境。2020年欧盟委员会围绕人工智能白皮书展开的公众咨询,收到了1215份意见,反映了政府、行业及民间社会等多元化利益相关者的诉求,这一结果足以表明,人工智能的监管需求已超出产业边界,成为社会各界的普遍期待。
人工智能白皮书公众咨询问卷
虽然欧盟在人工智能核心技术研发与商业应用上已落后于美国和中国,但其选择以差异化方式参与全球竞争。欧盟依托制度优势和规范能力,通过建立全球最高伦理法律框架,致力于将“可信人工智能”打造为国际标杆。这不仅是掌握数字治理话语权的关键举措,也是增强“数字主权”、弥补技术领导力短板的长期战略布局。该战略转向由欧盟委员会主席牵头推动,被纳入欧盟数字时代核心政治议程。
二、三年诞生记
欧盟立法程序的设计初衷,始终在效率与民主之间寻求平衡。依据《欧盟运行条约》(Treaty on the Functioning of the European Union),普通立法程序主要涉及三方机构:欧盟委员会、欧盟理事会、欧洲议会,需经提案、一读、二读、三读等多重环节,整个过程往往耗时数年。《人工智能法案》的立法周期同样如此。自2021年4月欧盟委员会正式提出提案,至2024年6月正式签署,全程耗时三年多时间。
欧盟常规立法流程
目前,约90%的欧盟立法在“三方会谈”阶段完成。按照常规流程,欧洲议会与欧盟理事会完成各自一读后,若立场存在分歧,需正式进入二读程序交锋,必要时还需召集调解委员会协调,就争议条款进行协商并制定统一文本。该文本需通过双重审批程序:理事会代表团需以合格多数通过,欧洲议会代表团则需以简单多数通过。若调解委员会在六周内未能达成协议,法案将被视为被否决。“三方会谈”则是欧洲议会与欧盟理事会双方在一读阶段明确立场后,并未启动二读程序,而是直接与提案方欧盟委员会开启多轮闭门谈判以协调立场。本次立法中,“三方会谈”的周期远超普通数字政策立法时间。2023年6月至12月,三方共举行五轮会谈,对争议条款逐一磋商敲定。同年12月达成政治协议后,文本经技术法律专家梳理完善,于2024年3月提交欧洲议会全体会议表决通过,顺利完成全部立法程序。
三、三大核心争议
首先,基础模型的监管范围,成为此次立法中争议最激烈的焦点。2021年法案提案时,以ChatGPT为代表的生成式人工智能尚未兴起,最初提案对此类技术几乎没有规定。2023年,欧洲议会率先提出修正案,要求对具有系统性影响的基础模型实施分层监管,明确高计算量模型需履行透明度披露、风险评估和登记备案等义务。然而,2023年末,这一主张遭到法国、德国、意大利三国联合反对,三国提交非正式文件,主张以强制性自我监管替代外部硬性规制。其核心考量是为Mistral AI、Aleph Alpha等本土新兴人工智能企业保留发展空间。2023年11月,这场分歧几乎导致整部法案“胎死腹中”。最终,通过五轮三方会谈,各方达成的妥协方案是采用双层监管架构:所有通用人工智能模型都必须履行训练数据记录、版权合规审查等基础义务;仅对计算量超过特定阈值的高影响力模型,额外附加系统性风险监测与缓解的专项要求。
这一争议背后实质是创新发展与合规如何平衡的问题。部分欧盟成员国担忧,过于严苛的监管会进一步拉大欧盟与中美之间的人工智能技术差距;产业界则特别强调,中小企业正面临沉重的合规成本压力。针对这一现实诉求,法案确立了基于风险程度的分类监管体系,将人工智能应用由重到轻划分为不可接受、高风险、有限风险及最小风险四个层级;优化高风险系统的定义标准,提升界定精度,减少企业面临的法律不确定性;引入监管沙盒机制,为创新企业提供受控技术测试环境;针对小型企业设置差异化合规义务,切实降低其行政负担。
另外,议会与理事会之间的一大分歧关乎公共安全与隐私权问题。欧洲议会立足基本权利保障的核心立场,提出全面禁止在公共场所使用实时远程生物识别技术,严防大规模监控行为的发生。欧盟理事会则从国家安全维护与执法效能提升的角度出发,坚持为反恐、搜寻失踪人员等紧急场景保留该技术的适用例外。法案在最终文本第5条第2款中制定了高度条件性的例外条款:实时定位追踪系统(RBI)仅限用于公共场所,且必须针对恐怖主义等严重犯罪案件或危及生命的儿童失踪案件等特定时限性行动。任何部署行动均需事先获得司法机关或独立行政机构的批准,但“紧急必要”情况除外——此类情况下须在事后48小时内申请批准。此外,执法机构在启用系统前必须进行强制性基本权利影响评估(FRIA),明确评估该措施的合理性、必要性及可能引发歧视性后果的风险。设计这些相互制约的保障机制时,如何在操作可行性与基本权利之间取得平衡的技术复杂性,使该议题成为三方对话进程中最后才得以解决的难题之一。
四、制度意义及实施情况
《人工智能法案》作为全球首部基于风险分级的综合性人工智能立法,其制度意义首先体现在全球规范输出层面。跨国企业为进入欧盟4.5亿消费者的单一市场,倾向于将全球运营标准统一对齐法案要求,由此形成“市场驱动的规则输出”——即通常所说的“布鲁塞尔效应”向人工智能监管领域的延伸。值得注意的是,这一效应并非凭空而来,而是建立在上述漫长博弈与精细妥协之上:正是因为法案最终文本在风险分级、例外条款与合规义务上实现了相对精准的利益平衡,才使其具备了被其他司法管辖区参照乃至效仿的制度可信度。
在权利保护层面,法案完成了欧盟人工智能治理从软法到硬法的范式跃迁。2019年《可信人工智能伦理准则》属于自愿性软法,2020年《人工智能白皮书》停留于政策建议,而本法案作为具有直接适用效力的欧盟条例,首次将人类尊严、禁止歧视性监控等原则转化为可强制执行的法律规则。其中,基本权利影响评估(FRIA)制度与RBI部署的司法授权机制,将原属行政裁量的权力纳入司法监督轨道,在欧洲人权框架内构建了对国家权力的实质性约束,具有独立的制度价值。
在产业利益的差异化保护层面,妥协文本兼顾了大型科技平台与中小企业的不同处境。对基础模型实施“分层规制”——仅对算力门槛超过10^25 FLOPs的高影响力模型设置额外合规义务——是法国、德国、意大利“保护本土科技冠军”诉求的直接成果,一定程度上为欧洲初创企业留出了生存空间。与此同时,监管沙盒机制和有限风险系统的轻量透明度要求,进一步降低了中小企业的合规门槛,避免高合规成本形成“只有科技巨头才能负担”的市场准入壁垒。
欧盟《人工智能法案》自2024年8月生效以来,已按分阶段模式逐步落地:2025年2月禁止不可接受风险AI系统及社会评分等应用,通用AI模型透明度义务于同年8月生效。为应对标准制定滞后与企业合规压力,欧盟委员会于2025年11月提出《数字综合法案——AI篇》(Digital Omnibus on AI Regulation Proposal),建议将高风险AI规则适用推迟至2027年底并扩大中小企业豁免。执法层面以合规引导为主,尚无重大处罚,但OpenAI、Google等主要提供商已签署《通用人工智能实践守则》(General-Purpose AI Code of Practice),显示“布鲁塞尔效应”初显。成员国进展则明显分化:西班牙、意大利已通过国内立法并启动监管沙盒,而约12至14个成员国仍未完全履行指定国家主管机构的义务。
在制度架构上,法案确立双层执法体系,欧盟AI办公室专责通用AI模型监管,成员国机构负责其他AI系统,违规最高可处3500万欧元或全球年营业额7%的罚款。截至2026年4月,西班牙AESIA沙盒已聚焦医疗AI运营,意大利新增深度伪造刑事罪名,法国数据保护机构(CNIL)、德国联邦网络局等亦被指定为主导机构。尽管高风险AI全面合规原定于2026年8月生效,但受协调标准缺位影响,其实际执行已与标准化进度挂钩,最迟或延至2027年12月,反映出监管与创新的平衡仍在动态调整中。