歐盟《人工智能法案》的域外效力研究

摘要：人工智能技術的廣泛應用對社會、經濟、法律等領域產生了深遠影響，引發了一系列亟待解決的法律問題。歐盟在《通用數據保護條例》成功實施的基礎上，推出《人工智能法案》，旨在擴大其域外效力。該法案域外效力可以解構為“投放地標準”和“效果原則”：前者根據歐盟境內的活動程度設定監管義務，后者則基于在歐盟內產生的實質性影響及受影響者位置拓展管轄范圍。然而，長臂管轄的實施面臨著挑戰，需平衡各國法律差異，尊重他國主權，同時緊跟技術發展步伐，確保既促進創新又有效管理風險。為此，歐盟需加強國際合作，通過對話協商與標準互認，共同構建適應人工智能時代的國際法律秩序。這將有助于促進全球科技治理的完善，確保人工智能技術的健康發展。

關鍵詞：人工智能法案；歐盟；域外管轄權；域外效力

一、從《通用數據保護條例》到《人工智能法案》

（一）歐盟《人工智能法案》的立法背景

近年來，人工智能技術取得了顯著進展，尤其是在深度學習、自然語言處理等領域，大語言模型如GPT系列的出現更是引發了廣泛關注。這些技術的廣泛應用對社會、經濟、法律等多個領域產生了深遠影響，德國勞工部長海爾（Hubertus Heil）預測，最遲到2035年，世界上將沒有與人工智能應用無關的工作。與此同時，人工智能技術的普及也暴露出一系列潛在風險，如侵犯個人隱私、影響就業、加劇社會不平等，甚至威脅公共安全和國家安全。因此，為應對人工智能的機遇與挑戰，制定和完善針對人工智能技術的監管措施已成為必要之舉。

為促進人工智能安全發展，世界各國都在積極推進相關監管立法。歐盟《人工智能法案》的立法進程并非一蹴而就。2021年4月，歐盟委員會（Europe Commission）提出了《關于制定人工智能的協調規則并修改相關聯盟立法的歐洲議會和歐盟理事會條例的提議》，該提議先后經歐盟理事會和歐洲議會談判審議，于2024年2月2日獲得27個成員國代表一致通過，形成了歐盟《人工智能法案》（EU AI Act，以下簡稱《法案》）。 2024年3月12日，《人工智能法案》（Artificial Intelligence Act， Regulation[EU]2024/1689）正式推出，《法案》為歐盟區域性國際公約，對歐盟內所有成員國具有規范效力。2024年8月1日，該法正式生效，總則條款、包括法案的范圍、定義等基礎條款將在法案生效6個月后開始正式實施。

歐盟長期致力于構建全面的數字法律體系，包括《通用數據保護條例》（以下簡稱GDPR）、《數字市場法》《數字服務法》等一系列法律法規。其中GDPR是對20世紀90年代以來數據隱私立法的強化和現代化。GDPR通過嚴格的數據保護標準，賦予個體更多對個人數據的控制權，以應對數字經濟帶來的隱私挑戰。該法不僅在歐盟境內產生影響，還在全球范圍內提高了數據保護標準，促使企業在數據透明度和用戶權利管理方面進行深度改革，引發了“布魯塞爾效應”。而《法案》正是歐盟數字法律框架下的重要補充。

《法案》聚焦于管理人工智能技術的風險與發展，旨在保護個人和社會免受人工智能技術的潛在威脅，同時促進技術創新。通過對人工智能應用進行風險分類及設立嚴格的責任和透明性標準，歐盟希望在保障安全與倫理之下，推動負責任的人工智能技術發展，從而繼續在全球科技治理中發揮引領作用。

（二）從GDPR到《人工智能法案》域外效力的演進

GDPR是在數字經濟重塑人類生活的大背景下歐盟數據治理改革的重要立法成果，也是迄今為止全球范圍內最具影響力的個人數據保護立法之一。該法適用于全球范圍內處理歐盟數據主體個人數據的公司，不僅提高了全球的數據保護標準，也促使企業在數據透明度和用戶權利管理方面進行深度改革。

自2018年實施以來，GDPR引起的“布魯塞爾效應”受到理論和實務界的廣泛關注，歐盟在該法中制定了備受爭議的“目標指向”標準，以“數據主體”與本國的聯系擴張GDPR的保護范疇及實效，防范他國政府和個人對區域內個人數據的不當獲取和處理。隨著人工智能的崛起，歐盟意識到僅關注數據保護已不足以應對人工智能技術帶來的復雜倫理和社會挑戰，因此制定了《法案》。《法案》在繼承GDPR域外效力的基礎上，進一步擴展了適用范圍。《法案》第2條適用范圍條款指出，在歐盟市場中開發、投放或使用人工智能系統，無論這些系統是由歐盟內還是歐盟外的開發者創建的，都適用本法。由此可見，《法案》采用了類似于GDPR在全球范圍內的應用模式。為確保其法律影響力跨越國界，《法案》不僅強調了其對歐盟內企業的約束力，也明確規定，只要人工智能系統的輸出影響了歐盟市場或用戶，該系統的開發者就必須遵守歐盟的法律和規定，即使該主體位于歐盟之外。

歐盟通過對個人數據權利的嚴格保護，形成了對人工智能的源頭規制模式，而《法案》所涉范圍更廣。《法案》關注從人工智能系統開發到部署的整個生命周期，這包括風險分類思路、產品規制路徑、負責任創新和實驗主義治理理念等，旨在應對突出的算法黑箱問題，確保投放到歐盟市場的人工智能系統及其使用的安全性。這一演變反映出，歐盟不僅將數據視作個人隱私載體而重點關注，還著眼于人工智能技術本身的潛在風險和影響，強調技術創新與社會責任之間的平衡。這些要求不僅適用于歐盟境內的企業，也適用于那些向歐盟市場提供人工智能產品或服務的非歐盟企業。因此，《法案》的域外效力在承接GDPR的基礎上，更加強調了全球人工智能企業風險管理和合規要求的重要性。

總的來說，人工智能法案繼承了GDPR域外效力的基本框架，并結合人工智能技術的特殊性和風險性進行擴展和完善，體現了歐盟在數據保護和人工智能監管方面的持續努力和創新。

二、《人工智能法案》的域外管轄效力

（一）域外效力問題的提出

如前文所述，《法案》的域外效力并非憑空設計，而是基于GDPR立法上的經驗和借鑒。但需要明確的是，《法案》的域外效力并不僅僅局限于傳統的數據保護或算法歧視等領域，還涉及更為復雜的法律問題，如大數據殺熟、個人信息保護、訓練數據使用以及著作專利權屬認定等，其影響力遠遠超出了單一國家的邊界，對全球治理體系提出了新的挑戰。這些問題的解決，不僅需要專屬管轄和管轄權的明確，更需要對人工智能法案域外效力的深入研究。

在全球化背景下，人工智能法案的域外效力研究不能孤立進行，而應結合具體的法律問題和語境，與其他部門法相互參照，以實現更加全面和深入的理解。通過對《法案》的域外效力條款進行詳細解讀，具體分析其地域范圍的適用標準和規制思路，以評估《法案》域外效力的實施效果和可行性，并反思設立域外效力的合理性、適用性和潛在影響。本研究不僅對歐盟內部的法律實踐具有重要意義，也為全球范圍內人工智能的法律規制提供了參考和啟示。

（二）域外效力分析路徑

《法案》第2（1）條界定了該法的適用條款（scope），其中（a），（c），（g）項涉及非歐盟地域內的域外效力條款。這些條款明確指出了哪些人工智能系統相關主體的市場行為將落入《法案》的適用范圍，也是本文展開具體闡釋的對象。

基于國際法中的管轄原則和歐盟內部市場一體化的需求，可將《法案》所涉及的域外效力分為以下兩大標準：其一，根據“投放地”標準，即根據人工智能系統相關主體的“投放地”來確定歐盟是否對此擁有管轄權。只要“投放市場地（placing on the market）/投入運行地（putting into service）”位于歐盟境內，無論其實際經營設立場所在何處，均適用本條例。其二，依據“效果原則”，無論人工智能系統所涉主體是否位于歐盟境內，只要其系統“產生的產出（produced output）”作用于歐盟范圍內；又或者根據（g）條款，若在歐盟境內存在受影響的主體（affected person），則該人工智能系統同樣受《法案》的管轄。

需要指出的是，“投放地”標準中，有學者將“putting into service”譯為“提供服務地”，筆者認為該譯法可能會引起歧義。原因在于，此處譯為“提供服務地”無法明確該“提供服務”是否特指人工智能“服務型”產品，抑或是為歐盟境內人工智能用戶提供的“某種服務”？“服務”一詞的范圍又應如何界定？為了澄清這一問題，本研究回顧了《法案》的德語譯本，德語譯本中的用語為“in Betrieb nehmen”，該詞在德語中為功能性動詞，表達的含義為“把某物投入生產，開始使用某物”，可以譯為“投入運行”。同時參考了法語版本為“ou mettent en service”，進而發現，英文和法文的service含有“（機器）的使用”一意。因此為了避免對原文意的曲解，本文建議將“putting into service”翻譯為“將人工智能投放市場或投入運行”。在后續的討論中，將采用這一翻譯，并在此基礎上進一步探討“投放市場”及“投入運行”的具體含義。

本文根據分析的標準及其所涉域外管轄元素、對應條款制作下表1，以便讀者查閱對照。

三、投放地標準的域外效力

（一）受監管者的范圍

歐盟在GDPR中主要對兩類角色施加合規義務：數據控制者（data controllers）和數據處理者（data processors）。而《法案》的適用主體不僅涵蓋了人工智能系統的開發者和使用者，還包括了所有可能對人工智能系統產生影響或受到其影響的實體。這包括從產品開發、設計到最終使用的所有階段，但如前文所述，2（1）（a）及2（1）（c）兩條具有明確域外效力的條款主要涉及“提供者”（provider）及“部署者”（deployer）兩個法律主體。鑒于《法案》對“提供者”和“部署者”施加了不同程度的監管義務，且對于“提供者”和“部署者”的劃分采用事實認定的方式，因此，對于“提供者”和“部署者”的準確識別和區分至關重要，這要求我們首先明確兩者之間的區別與聯系。

根據《法案》第3（3）條，“提供者”是指“開發人工智能系統或通用人工智能模型，或已開發人工智能系統或通用人工智能模型，并將其投放市場或以自己的名義或商標提供服務的自然人或法人、公共機關、機構或其他團體，無論有償還是無償”；而“部署者”根據《法案》序言第13條可解釋為“在授權之下使用人工智能系統的任何自然人或法人，包括公共機關、機構或其他團體，但在個人的非職業活動中使用人工智能系統的情況除外”。簡而言之，兩者之間的區別在于：“提供者”一般直接參與到人工智能的委托創造和設計中；“部署者”主要對“提供者”提供的人工智能系統或者模型進行整合管理，或在其業務范圍內使用人工智能系統。

但該主體的區分可能在實踐中存在界限不清或者認定困難的問題。鑒于《法案》側重于監管“提供者”的義務，對“部署者”施加的義務較輕，企業可能會通過外包設計等策略試圖規避作為“提供者”的法律責任，但實踐中，對于“提供者”“部署者”的認定是基于事實行為，而非基于合同的約定。舉例來說，如果一家公司對其“投放市場”或僅“以其名義”投入使用的人工智能系統進行大量定制化開發，即使開發活動完全外包，該實體也可能被認定為“提供者”。因為即使開發活動被外包，原始品牌持有者或市場推動者仍需對其產品的質量和安全性負責。同樣，如果一家人工智能“部署者”企業在收到他人提供的人工智能產品后又進行了實質上的修改，導致其最終向客戶提供的人工智能系統與原始系統存在實質性差異，那么該“部署者”也可能被認定為是“提供者”。換句話說，對于角色的認定更多的是基于對產品最終形態的實質性影響，而非僅僅基于產品的最初來源，而這種認定原則有助于實現《法案》對人工智能產品來源合規性和安全性控制的目的。

除此之外，還有幾類主體也將受到《法案》的監管：進口商，指任何位于或在歐盟成立的組織，將帶有歐盟境外實體名稱的人工智能系統投放市場；分銷商，指除了“提供者”或“進口商”之外，任何為“在歐盟市場分銷或使用”而提供人工智能系統或通用人工智能模型的組織。分銷商不需要是人工智能價值鏈中首次向歐盟市場發布人工智能系統或通用人工智能模型的組織。對于產品制造商的概念，《法案》沒有明確定義，而是在《法案》附件I中通過引用歐盟協調立法來進行定義。產品制造商指的是以自己的名稱或者商標，與其產品一起在歐盟市場提供、分銷或使用人工智能系統的主體。授權代表，作為歐盟境外提供者與歐盟當局和消費者之間的中介，是任何接受提供者書面授權的歐盟組織，代替提供者履行《法案》所規定的相關義務。

在司法實踐中，對于法律主體資格的確定，不應僅僅依賴于合同的約定，而應基于實際行為和事實進行認定，這在處理涉及歐盟市場的跨境企業時顯得尤為重要。域外企業在進入歐盟市場時，必須對其自身的法律地位和角色有明確的認識，并在人工智能系統或模型的開發、部署以及商業化過程中，對其商業行為進行準確的法律定性。

（二）“投放地”標準的域外效力

根據2（1）（a）條款，只要是在歐盟境內將人工智能系統投放市場或提供服務或將通用人工智能模型投放市場的提供者，無論這些提供者是設立于還是位于歐盟境內或者第三國，均受到《法案》管轄。在屬地管轄原則的視角下，可以認為“投放市場地/投入運行地”構成了一個主張管轄權的連接因素，簡述為“投放地”標準。

1.“人工智能系統”和“通用人工智能模型”的區別

首先需要明確的是，“投放地”標準主要適用于“提供者”，而不包含“部署者”。其次，對于“提供者”，《法案》規定了以下兩種情形：其一是將人工智能系統（AI-system）投放市場或投入運行的提供者；其二是將通用人工智能模型（GPAI）投放市場的提供者。可以看到，除了對適用主體的區分外，《法案》還對“人工智能系統”和“通用人工智能模型”這兩種不同類型的人工智能產品施加了不同程度的監管義務。因此，在進一步闡釋何為“投放地”標準，何為“投放市場”和“投入運行”前，有必要先明確人工智能系統和通用人工智能模型的區別，這對于理解《法案》為何對兩種產品在投入運行這一行為上采取不同程度的監管措施至關重要。

根據《法案》定義，人工智能系統（AI-system）是“一種基于機器的系統，設計為以不同程度的自主性運行，在部署后可能表現出適應性，并且為了明確或隱含的目標，從其接收的輸入中推斷如何生成可影響物理或虛擬環境的輸出，如預測、內容、建議或決定”。通用人工智能模型是指“這樣一個人工智能模型，包括在使用大量數據進行大規模自我監督訓練時，無論該模型以何種方式投放市場，都顯示出顯著的通用性，能夠勝任各種不同的任務，并可集成到各種下游系統或應用中”。結合以上定義和實踐中的運用可以看出，人工智能系統通常指的是一個綜合性的系統，它不僅包括人工智能模型，還可能包含用戶界面、軟件和硬件組件等，旨在實現特定的功能或服務。例如，Amazon的算法推薦系統和Siri虛擬助手便是人工智能系統的典型代表；而“通用人工智能模型”更強調其通用性，通用模型并非專為單一或特定的應用場景設計，而是能夠被應用于多種不同的環境和任務中。通用模型可以被不同的用戶在下游重復使用和調整，用戶可以向預先存在的人工智能模型提供新的學習數據，通過微調技術以優化性能，就像在相同的產品上貼上不同的標簽，再瞄準特定的客戶群。例如，GPT-4.0作為一個通用人工智能模型，可以被應用于多種自然語言處理任務。

相較于人工智能系統，通用人工智能模型有更高的系統性風險，因為功能強大的模型可能會在不同的場景中被廣泛適用，如果一個通用模型含有算法偏見或缺陷，這將可能導致嚴重的事故，或者被濫用于網絡攻擊中，損害廣大使用者的權益，造成嚴重的社會影響。因此，對于“通用人工智能模型”的監管態度、通用人工智能模型提供者和部署者之間的責任分配，以及利益相關方之間的權益平衡等問題，需要進行更為細致和審慎的考量。

2.“投放市場”和“投入運行”

《法案》第3條對“投放市場”和“投入運行”進行了定義。“投放市場”是指“在歐盟市場上首次提供人工智能系統或通用人工智能模型”；“投入運行”指的是“將人工智能系統直接提供給部署者首次使用，或供其在聯盟內按預定目的自用”。其中，“預定目的（intended purpose）”是指“提供者在使用說明、宣傳或銷售材料和聲明以及技術文件中提供的信息所規定的人工智能系統的預期用途，包括具體的使用環境和條件”。而由于通用人工智能模型具備“萬金油”的特性，具有強大的下游適應性，這將導致提供者難以對其適用范圍進行明確的界定，從技術角度來說，對這類模型的預定用途進行精確限定可能是不切實際的。在《法案》的立法歷程中，斯洛文尼亞輪值主席曾提出一項折中提案，建議在《法案》中增加一個新的標題（IVA）和第（52a）條，將“通用人工智能系統”排除在“預定目的”（intended purpose）的定義之外。從目前的最終版本來看，“通用人工智能模型”的確被排除在了“預定目的”范圍外，在“預定目的”規定中僅涉及了“人工智能系統”。

但實際上，將通用人工智能模型排除在“預定目的”的定義之外減輕人工智能模型提供者在開發過程中的法律約束，這一做法對于部署者，即人工智能模型的下游用戶來說，可能會帶來額外的合規負擔。此外，由于下游用戶缺乏對通用人工智能模型的開發流程及技術特點的深入了解，盡管提供者會提供一些幫助，但也很可能將部署者置于相對被動和消極的處境中，使其有效尋求補救的手段和措施。在ALLAI做出的一份有關人工智能法案適用范圍的報告中也提及，尤其對于發展中的小企業和初創公司來說，這實際上存在扼殺創新而不是支持創新的風險。

綜上，《法案》對于人工智能系統和通用人工智能模型在“投放市場”和“投入運行”行為上的區分，實際上是對人工智能開發、設計及使用過程中的不同主體的利益平衡的結果，體現了其立法的主觀意圖，即以犧牲部分下游用戶的法律穩定性為代價，從而在一定程度上減輕通用人工智能模型提供者的法律義務，促進通用人工智能模型開發企業的創新。對于《法案》的域外管轄效力而言，開發不同的人工智能產品給予了企業進入歐盟市場的不同條件，相較于人工智能系統開發者，通用人工智能模型的提供者只需遵守“投放市場”行為對應的法律義務，而無需在“預期目的、使用環境和條件”上受到過多的限制。

四、“效果”原則的域外效力

“效果”原則主張，法律的適用應基于行為或產品的實際影響和后果，而不僅僅局限于其發生或開發的地理位置。這一原則在《法案》中得到了體現，具體表現在兩個方面：首先，它強調人工智能系統的產出對歐盟市場和公民的實際影響，無論這些系統在哪里開發或運行。即便一個人工智能系統是在非歐盟國家研發和執行的，只要其產生的產出——例如數據分析、自動化決策或其他形式的技術輸出——在歐盟境內被實際使用或對歐盟市場產生影響，那么根據效果原則，該系統必須遵循歐盟的法律和標準。其次，根據效果原則，法律管轄權的確定并不依賴于人工智能系統的物理位置，而是依據其產出的影響力。這種管轄權的確定方式擴展了歐盟法律的適用范圍，使得在全球范圍內影響歐盟的人工智能系統都需符合歐盟法規。這反映了歐盟對商業活動的實質性關注，而不是形式上的地域限制，從而確保了對歐盟消費者的權益和市場公平的有效保護。通過效果原則的應用，歐盟能夠對全球企業施加法律責任，要求他們在人工智能系統設計和運營中考慮可能帶來的每一個實際影響。這不僅確保了在歐盟內使用的所有人工智能技術都符合規范，還推動了全球科技公司在跨國合規和數據安全方面的積極努力。

然而，此前歐盟將效果原則作為個人數據保護立法理論依據的合理性就已經在學術界引發了廣泛的質疑。批評者認為，網絡空間的特性使得以“效果原則”為基礎的管轄權過于模糊與廣泛。在經濟全球化和網絡全球互聯的背景下，國家對網絡活動的聯系變得普遍而復雜。如果各國都依據效果原則進行立法，可能會導致頻繁的管轄權沖突，因為理論上幾乎每個國家都可能聲稱對某些數字行為或數據處理活動有管轄權。無獨有偶，該原則在《法案》中也存在類似的爭議。

在《法案》中，（c）條款中的“產生的產出（produced 'output' used in EU）”以及（g）條款中的“受影響者（affected oerson located in EU）”都可以視為效果原則的體現，接下來就文本進行具體的闡釋：

（一）“產生的產出”

與GDPR第 3（2） 條對境外實體的管轄原則類似，《法案》序言第22條明確指出：“本條例也應適用于在第三國設立的人工智能系統的提供者和部署者，只要這些系統產生的輸出結果意圖在歐盟境內使用（intended to be used）”。這個表述側重于人工智能系統的產出或結果，無論這些結果是通過數據分析、決策支持系統、自動化流程還是其他形式呈現，只要這些產出“意圖”在歐盟境內被使用，就會受到《法案》的規制。這種定義使得法律的適用范圍不僅限于歐盟內的人工智能系統，也涵蓋那些雖然在歐盟外開發和運行但對歐盟市場和居民產生影響的系統。

然而，同樣就“產生的產出”進行立法規定的第2（1）（c）條在用語上與序言略有不同：“本法適用于場所位于第三國或者位于第三國的人工智能系統提供者和部署者，其系統產生的產出用于歐盟”。與序言第22條相比，第 2（1）（c）條去除了“意圖”要素，而是規定，只要系統的輸出在歐盟使用，無論是否有意圖使用，都受到《法案》的約束。

此處用語上的細微差別可能導致不同的法律適用，即“主觀意圖”是否應成為該規定適用的要件之一。如果采用的是第2（1）（c）的法律用語，則表明，《法案》相較于GDPR，已經不再考量主體的主觀意圖，而是取決于客觀事實。即使歐盟境外的提供者/部署者沒有意圖將其人工智能系統或者通用人工智能模型在歐盟境內使用，該主體也可能受人工智能法案的約束。目前對于“意圖”是否應該作為該條的構成要件之一尚無定論，但可以預見的是，未來法律實踐中對于“意圖”的判斷將可能成為個案中爭議的焦點。

為進一步說明《法案》中“產出的產出”如何實現其域外效力，我們可以構建一個假想的案例：假設有一家注冊于美國的科技公司名為TechVision，該公司開發了一種基于人工智能的招聘系統，旨在幫助企業篩選求職者。這個系統利用大數據分析和機器學習算法，為雇主提供關于候選人職位匹配度的建議。TechVision的系統主要在美國開發和執行，但其業務擴展至全球客戶，其中包括多家歐盟企業。在歐盟境內，歐盟一家跨國企業采用了TechVision的人工智能招聘系統來輔助其進行員工招聘。盡管系統在美國運行并由TechVision在美國維護和更新，但分析結果直接被歐盟的這家企業用于實際的招聘決策。根據《法案》，由于該人工智能系統的產出（招聘決策）在歐盟境內被使用，TechVision公司必須確保其系統的輸出符合歐盟的規定，即便其系統的主要運行和管理是在美國。為了符合《法案》的要求，TechVision需要證明其人工智能模型符合歐盟在數據處理、透明度、公平性及非歧視性方面的要求。此外，該公司可能還需對人工智能系統進行獨立的技術審核，以確保算法沒有偏見，并且產出結果是可解釋的。如果TechVision的系統因未能滿足合規要求導致在歐盟市場產生不良后果，如招聘過程中存在歧視行為，TechVision將可能收到歐盟的法律和監管部門的調查，并承擔相應的法律責任。此案例展示了即使TechVision的地理位置位于歐盟之外，但因為其人工智能系統的產出在歐盟境內被使用，根據《法案》的域外效力，TechVision仍須承擔相應的合規責任。

在該案例情形下，我們看到了人工智能行業所涉及的多方法律問題。一方面，人工智能產品既需要符合GDPR對于數據的相關規定，還需要滿足《法案》所要求的透明度和非歧視等要求，而目前美國和歐盟對于人工智能企業的管理顯現出不同的兩個方向，企業在合規方面需要投入更多的人力物力以滿足兩方要求。另一方面，在實踐中對于域外效力的范圍還存在較大不確定性，例如，哪些產出應落入《法案》所規定的“產生的產出”中？是否要區分人工智能系統的產出是決定性還是輔助性的？如何判斷TechVision是否有主觀上將該系統運用于歐盟的“意圖”？這些問題的不確定性也增加了法律適用的復雜性。

（二）“受影響者”

除了2（c）條款外，《法案》的2（g）條款表明，該法同樣適用于“位于歐盟內的受影響者”，在理解“受影響者（affected persons located in EU）”這一概念時，需要明確的是，該條適用的是歐盟境內可能受到人工智能系統產出影響的“個人”。《法案》雖沒有對“受影響者”施加義務，但是受影響的自然人可以對人工智能生命周期中的所有實體行使其權利，包括部署者、提供者等。該條可以視作對2（1）（c）條款的補充，盡管位于第三國的人工智能企業可能沒有意圖將其產生的產出在歐盟境內進行使用，但如果企業活動最終通過某些途徑對歐盟境內自然人造成影響，仍應受到《法案》的管轄。

其具體內涵可從以下幾個方面進一步闡釋：首先，“受影響者”（affected persons）范圍廣泛，不僅限于直接與人工智能系統交互的人，也包括那些因這些系統的決策或行動間接受到影響的個體。例如，一個人工智能招聘系統既影響招聘者的判斷，也影響被篩選的求職者的就業機會。其次，所受的影響包括積極和消極影響，如改善產品、因算法偏見而導致的不公平待遇等。因此，法律所指的“受影響”范圍涵蓋任何由人工智能系統直接或間接導致的效果，包括潛在的隱私侵犯、歧視或其他人權問題。

此外，該條款所體現的管轄原則不局限于歐盟地理邊界之內。具體而言，該條款中的“位于歐盟”（located in EU）的概念，涵蓋了所有在歐盟境內與人工智能系統產生交互的個體，無論這些交互發生于何地。這意味著，即便人工智能技術在全球范圍實施，其對歐盟內個體的影響仍需遵循歐盟的法律和標準。通過這樣的規定，歐盟在法規中體現了對其境內所有居民權益的保護，不論這些影響來自境內或境外開發的系統。這種對“受影響者”的界定和保護確保了任何對歐盟居民有實質影響的技術應用，尤其是人工智能系統，都必須符合嚴格的法律和道德標準，保障其權益不受侵犯。

綜上所述，該條款尤其體現了《法案》的域外效力，即便人工智能系統是由非歐盟企業開發并在歐盟外運行，只要其對歐盟境內個人產生影響，仍適應《法案》。這突破了傳統法規的地域界限，覆蓋了所有直接或間接影響歐盟居民的人工智能主體行為。這種全面性增強了法規的域外效力，體現了法規對技術影響的全面性和前瞻性，也是該法在技術與人權之間相權衡的體現。

五、《人工智能法案》域外效力影響

（一）域外管轄條款與他國法律的沖突

首先，在國際法領域，管轄權沖突始終是一個核心問題。“長臂管轄”的有效性不僅依賴于國家的綜合實力，還取決于立法的速度與先后，更關鍵在于法律規范能否切實回應特定社會需求。他山之石，雖可以攻玉，但在比較法的研究范疇內，應當避免采取簡單“拿來主義”策略，而是基于各國的法律體系、社會文化背景進行深入分析。不同國家和地區在人工智能治理上的路徑和措施各異，反映了各國技術發展水平、社會需求和價值取向的差異。《法案》所規定的域外效力在理想狀態下確實所涉甚廣，但其在世界范圍內能產生的影響力，取決于其是否滿足各國在價值共識、產業發展、技術進步以及包括消費者在內的社會公共需求。如果一部歐盟法能夠滿足這些需求，就不存在所謂的“布魯塞爾效應”，而是達成了最具輻射力的共識。值得注意的是，在探討人工智能法規的域外適用性時，我們仍將面臨多方面的法律挑戰。

各主權國家的意識形態和法律框架方面的調整與發展仍處于一個動態且不確定的階段。盡管《布萊切利宣言》（Bletchley Declaration）作為綱領性文件已經達成了力求推動人工智能的安全、負責任和倫理性的發展的共識，但實質性的法律沖突和主權沖突可能成為域外效力實施的潛在障礙。《法案》中過于嚴苛的標準會對“布魯塞爾效應”的實現產生負面影響：歐盟的標準如果被認為過于繁重或滯后，則可能會被忽視或繞過。例如，《法案》中對于“受影響者”所受的影響究竟如何界定？效果原則施加的過重監管是否符合技術發展趨勢及各國發展理念？法律條文的定義與解釋在不同國家間還可能引發理解上的分歧，這種情況在涉及國家核心監管政策時尤其顯得尖銳，需要在主權與國際合作之間進行細致的平衡。此外，文化和社會背景的差異也可能造成某些法律精神在不同地區的誤解或偏離。例如，隱私保護在歐美國家與亞洲國家的關注點和執行力度存在顯著差異，從目前歐盟和美國之間就人工智能企業關于“軟法”和“硬法”的不同立法態度上也可見一斑。

可以預見的是，國際企業在遵守不同國家的法規時將面臨巨大挑戰，進而阻礙跨國貿易和科技合作的順暢進行。為了有效應對這種挑戰，各國需在制定和實施涉及跨國效力的數字法規時，尋求國際合作與妥協，以實現全球治理的協同效應。

（二）域外管轄條款與需求市場的適配

在全球化背景下，基于對歐盟市場的需求和技術市場規模的現實考量，企業往往不得不遵守其法律法規以維持市場準入。盡管如此，企業合規意愿與現實需求之間的張力不容忽視。在《通用數據保護條例》（GDPR）生效后的半年內，歐盟的中小企業在融資方面遭遇了顯著挑戰，而大型企業則因合規優勢而獲益。這一現象凸顯了在法規實施初期，不同規模企業在適應性上的差異。可以預見，隨著《法案》的施行企業合規的成本與負擔將呈現出經濟和法律的雙重挑戰。盡管域外適用性為全球人工智能法規的制定提供了明確框架，但其實施仍需克服這些法律障礙。國際社會需要通過積極的對話和跨境合作，在尊重各國主權和文化差異的基礎上的共同解決方案，以協作構建更加一致和有效的全球人工智能治理機制。

如若《法案》中的限制標準與產業促進措施實現了良好平衡，則該法可能會成為增強歐盟相關競爭力和影響力的利器。歐盟可以成功地將自己確立為人工智能監管的規范設定者，以此增強其在國際談判中的地位，還可為其他國家設立先例。但在“布魯塞爾效應”嚴格標準的要求下，法律規則與現實需求的適配與否是否會成為掣肘“布魯塞爾效應”的因素還尚未可知。例如，有觀點認為《法案》對人工智能技術施以嚴格的監管要求，將使開發者面臨高昂的合規成本和不成比例的責任風險，導致創新企業和投資者將業務和資金轉移至歐盟以外地區。如前文所述，雖然通用人工智能模型的提供者可以在預定目的上有較大的靈活性，但人工智能系統的提供者仍需要滿足較高的合規要求。并且，由于法案將監管責任轉移到了歐盟內的部署者身上，在企業合作、業務流轉過程中對于各方義務的銜接需要各主體仔細磋商，以免對各國家主體間的市場流動以及技術創新產生不利影響。因此，歐盟還需基于國際通行的治理原則，確保該法的推行與合規的成本可控，防止主權國家回應寥寥、相關主體切割市場，從而阻礙《法案》的全球推廣。

六、結語

《人工智能法案》的域外效力彰顯了歐盟在人工智能領域立法的前瞻性和廣泛影響力。該法案的適用范圍不僅覆蓋了歐盟境內的人工智能活動，還通過其寬泛的域外管轄條款，對全球范圍內的人工智能系統和相關活動施加了法律約束。然而，這種寬泛性也帶來了實施上的復雜性和挑戰，其在實踐中可能會引發管轄權沖突、法律的不確定性，以及阻礙跨國貿易和科技合作。為了有效應對這些挑戰，國際社會必須通過加強合作與尋求妥協，建立一個清晰、一致的法律框架。這一框架應當有益于減少法律沖突，明確各方的權利與義務，同時促進國家間法律協調與合作。通過這種方式，可以為全球人工智能的治理提供一個穩定且可預測的法律環境，從而支持技術創新和國際貿易的健康發展。在構建這一框架的過程中，應當考慮到不同國家和地區在法律傳統、文化背景、經濟發展水平以及技術能力方面的差異。此外，還需要確保法律框架的靈活性，以適應人工智能技術的快速進步和不斷變化的市場需求。通過國際合作，可以共同探討和制定適應性強、普遍接受的法律規范，以促進全球人工智能的健康發展和有效治理。

Study on the Extraterritorial Effectiveness of the AI Act

Abstract： The wide application of artificial intelligence technology has had a far-reaching impact on society， economy， law and other fields， triggering a series of legal issues that need to be resolved. Based on the successful implementation of GDPR， the EU has introduced the Artificial Intelligence Act， aiming to expand its extraterritorial effect. The Act’s extraterritoriality can be deconstructed into the ‘place of delivery standard’ and the ‘effects principle’： the former creates regulatory obligations based on the extent of activity within the EU， while the latter expands the scope of jurisdiction based on the substantive impacts and location of those affected within the EU. However， the implementation of the long-arm jurisdiction faces challenges in balancing differences in national laws and respecting the sovereignty of other countries， while at the same time keeping pace with technological developments to ensure that it promotes innovation and effectively manages risks. To this end， the EU needs to strengthen international cooperation and jointly build an international legal order adapted to the AI era through dialogue， consultation and mutual recognition of standards. This will help promote the improvement of global science and technology governance and ensure the healthy development of AI technology for the benefit of all mankind.

Keywords： Artificial Intelligence; EU; Extraterritorial Jurisdiction; Extraterritorial Effect