論人工智能系統法律風險規制

[中圖分類號]D99 [文獻標識碼]A [文章編號]1008-2689（2025）05-0086-17

一、問題的提出

人工智能系統作為顛覆性的科學技術成果，從設計開發、投放市場到投人使用的全部環節都存在法律風險。例如在人工智能系統引導科研驅動方面，有學者[1持有如下觀點：人工智能具備獨立且成熟的科研驅動邏輯，在賦予科學研究以新前景的同時，也存在諸如道德失范、責任模糊等驅動風險；為了降低驅動風險與提升驅動韌性，需要對于人工智能系統的開發與應用進行規制。在教育領域的人工智能系統運用中，有研究者[2挖掘了數據隱私與安全、技術目的與價值、責任歸屬與分配等典型的倫理風險。針對人工智能控制端、感知端和行動端的侵權風險，我國學者整合了從基礎模型到基礎代理的模塊化治理框架，同時提議建立高風險場景下的精準化治理機制。此外，針對人工智能系統主導下的機器人侵權風險、數據安全風險的刑事法律應對等法律應用問題，學界亦存在廣泛討論。分析研究現狀不難得出，對于人工智能系統的法律規制，基本會聚焦到法律風險這一核心要素上。由此，本文借鑒歐盟《人工智能法》的立法框架與制度設計，研究如何以風險規制為抓手，解析人工智能風險規制的協同因素，厘清針對人工智能系統進行法律風險規制的規范思路。

二、人工智能系統的法律風險界定

歐盟《人工智能法》對于人工智能系統的概念做出了權威定義，并與人工智能技術工作的國際組織以及現階段成果達成一致，以保證法律規制的確定性。在立法思路上，《人工智能法》規避了人工智能權利泛化4的不穩定因素，暫時不對人工智能體是否具備法律權利進行討論，轉而以參與人工智能活動的有關主體的權利義務人手，以風險為核心因素進行法律架構。在人工智能系統的概念界定上，歐盟委員會達成了一套“基于風險”的規制辦法，根據人工智能系統產生風險的可能性、風險強度與范圍等因素調整規制內容[5]。此規制辦法意圖從人工智能系統的設計與使用風險為切入點，搭建一套兼具比例原則與規制效能的約束性規則框架并推介使用。

從風險強度的角度出發，歐盟委員會主要基于法律風險及其可能造成的損害程度，將人工智能系統劃分為低風險、高風險以及禁止的人工智能系統三級類別。其中，歐盟人工智能高級別專家組在《值得信賴的人工智能的倫理準則》中，制定了七項相關原則①，為高風險人工智能系統的概念界定筑牢了基礎。在此基礎上，《人工智能法》對于人工智能系統進行引導與規制，意在促進符合歐盟價值觀的人工智能系統的一體化設計與全球推廣運用。

（一）正向規定：以權利保護為核心的法律風險規制路徑

《人工智能法》首先確定了“風險”的概念，將風險進行了產品風險與基本權利風險的二元分類研判，同時還將風險做了一定程度的分級。其中，第六條對高風險人工智能系統做出了積極定義，即：用作產品安全組件的人工智能系統或者作為產品的人工智能系統，在投放市場或者提供服務的條件下，應當被視為高風險人工智能系統。其次，《人工智能法》對于人工智能系統與相關產品的概念做出了清晰的梳理，在其附件一中援引了歐盟委員會的其它法案，將產品的概念向歐盟法律體系下的各個行業法、部門法進行延伸。另外，在附件三中，歐盟委員會將高風險人工智能系統做了分類，包括但不限于如下用途：生物識別、關鍵設施管理、教育就業、公共服務、社會福利、執法司法、移民管理和民主進程。歐盟委員會及其他立法部門對每一種場景進行了更為詳細的說明，通過按照用途劃分人工智能系統的手段，為人工智能風險的場景化治理奠定了基調。這不僅有助于將人工智能法與不同場景、業態下的法律體系形成聯動，進而為投放于不同領域的人工智能治理確定相同范式，并平衡相關治理進程中的基本權利保護水平。

1．路徑一：建立場景化風險治理與權利保護的勾稽關系

實際上，《人工智能法》通過還原行業場景的手段對高風險人工智能進行種類界定的行為并非無跡可尋。在風險定義方面，歐盟委員會聚焦人工智能系統對《歐盟人權憲章》（以下簡稱《憲章》）保護的基本權利造成的負面影響，再通過將法律風險場景化、具象化，搭建風險治理與權利保護的勾稽關系。有學者指出場景是運用好數據要素的核心場域，基于數據要素產生的人工智能運用也同樣如此。既然人工智能系統最終要在應用下實現其先進價值，通過應用場景對于人工智能系統風險做好界定，就成為至關重要的程序性環節。

在不同場景下，《人工智能法》界定為高風險的標準中，都存在對于基本權利保護的考量。這些權利包括：人的尊嚴權、尊重私人和家庭生活權、保護個人數據權、言論和信息自由權、集會和結社自由權、不受歧視權、受教育權、消費者保護權、工人權利、殘疾人權利、性別平等、知識產權、獲取有效救濟和公平審判的權利、辯護權和無罪推定獲得權等。例如，在人工智能系統與特定自然人互動的場景下，考慮到人工智能系統可能會借助機器學習方式創造生成式內容，而這種人工智能運作模式難以時刻受到人類監管，所產生的內容可能存在操縱信息導向或者欺詐等具體風險。在這種場景下，《人工智能法》要求該類人工智能系統在使用前必須提前向自然人披露該人工智能系統的互動特征②，以保證自然人享有充分的知情權和決策權。同時，人工智能系統如需面向特定種族、性別、興趣、個人特點、興趣喜好、使用目的、弱勢群體等產生互動內容或處理自然人的生物數據，也須基于特定自然人群體的特點，將產生交互的信息和通知以詳盡的、無障礙的方式提供給該群體，以保證群體的基本權利。

憑借以上條件，歐盟立法者從風險界定出發，在立法領域完成快速反應，迅速建立起兼具權利保護、人工智能治理與法律風險規制的人工智能法框架，為人工智能技術在歐盟法域內的發展提供了明確的法律基礎，盡管這一部《人工智能法》尚未體現出歐盟《通用數據保護條例》（GeneralDataProtectionRegulation，簡稱GDPR）在數據治理領域一般的影響力，并且很多規范仍有待進一步更迭或細化，但其基于權利保護視角，憑借風險場景化、具象化帶來的立法技術優勢，在人工智能治理規范領域獨占螯頭，也為歐盟的人工智能法發展提供了足夠的容錯空間。

2.路徑二：推動形成立法前瞻性與法律一致性并存的制度背景

在通過風險場景化與權利保護相結合的手段解決立法框架問題和立法效率問題之外，歐盟立法者還在平衡立法前瞻性和法律一致性方面付出了較大努力。作為科學技術領域更迭迅速的新生代成果，人工智能技術及其衍生產品（人工智能系統/通用人工智能模型）對傳統法律框架形成了較大的沖擊。例如針對人工智能帶來的法律風險規制，立法者需要考慮是否同時對于人工智能應用者和人工智能產品做出規制，如何界定實際風險與潛在風險之間的關系？如何合理分配特定人工智能系統生產、運作中的權利與義務，等…這些法律問題要求人工智能法必須具備一定前瞻性；同時，在人工智能的配套治理制度尚不完善的情況下，立法者還需保證人工智能法的運作實施不產生法律沖突和執法障礙。這就要求人工智能法必須充分考慮現存法律法規的既有影響，達成一定程度上的法律一致性。現階段的《人工智能法》也須援引其他公約、條約、部門法等，對于制度內容進行補充。

例如：《人工智能法》通過援引《聯合國兒童權利公約》進行規則補充，從制度層面明確對于兒童權利的保護②。由此可見，以權利保護為核心，以《憲章》下的基本權利為參考進行具體延展，是《人工智能法》對高風險人工智能系統的基本規制手段。

同樣地，為保證執法階段對于基本權利保護的法律一致性，《人工智能法》在執法評估環節中同樣非常注重人工智能系統的受信賴程度，而受信賴程度仍然取決于對于歐盟及其成員國公民的基本權利保護。歐盟委員會認為，人工智能技術會基于應用情況和技術發展層次，對于公共利益和基本權利造成物質性或非物質性的損害，因此需要建立系統性的、層次分明的人工智能法，同時與歐盟法律框架中其它權利保護法達成高度一致。在充分考慮產品風險與基本權利風險的平衡下，歐盟委員會必然受到數據保護、消費者保護、工會權利保護、勞資關系保護、產品缺陷救濟權保護等相關法律的影響，在編纂《人工智能法》時強化人工智能系統透明度以及運作記錄留存等方面的義務設置，旨在增強損害救濟措施的實施效果。例如，在特定領域人工智能系統輸出預測、判斷、建議或輔助決策時，《人工智能法》會基于人類監督原則強化自然人對于人工智能系統輸出內容的控制權，這種立法傾向顯然具備一定的前瞻性，旨在促進社會不斷培養滿足專業領域需求的自然人參與人工智能系統日常審查監控的活動，以滿足各領域的技術要求和規范需求。這既明確了人類對于人工智能產品的風險管控，又為人工智能的發展營造了良好的制度保障。

（二）克減規定：建立以克減強度區分的風險監管等級機制

1．通過強克減規定排除特殊目的人工智能系統的風險監管

人工智能系統作為正在高速發展的技術成果，需要兼具受監管空間和開放的實驗空間，并且通過法律手段適當納入風險緩解措施。《人工智能法》在風險概念的正向規定外附加了風險排除的克減規定，旨在支持創新、尊重科學自由，保護正常的科技研發活動。其次，基于國防民防、應急管理、國際維和等特殊因素而運作的人工智能系統業已在立法中受到豁免①。可以洞見的是，《人工智能法》對于科研、軍事、應急響應等特殊用途下的人工智能系統的法律規制保留了克制的態度，給予該類人工智能系統的部署者、使用者等主體以全部的裁量空間，以關聯主體的特定資質（例如科研資質、軍事資質等）為背書，完全將該類人工智能系統的風險討論排除在一般的法律規定之外。也即，《人工智能法》已經建立強克減軌道下的風險監測屏蔽制度，以保證該法案將在任何時刻內，均不對因此類目的而使用的人工智能系統產生高強度干預，而是通過政府命令等更加靈活的模式進行管理。除此之外，在立法設置上，利用豁免等方式劃定現階段的監管范疇，也有助于厘清人工智能法的監管脈絡，為法規未來的調整保留足夠的迂回空間。

2.通過弱克減規定平衡對通常情境下人工智能系統的監管力度

《人工智能法》通篇對于人工智能系統做出了嚴格的限制②，為防止該等實質或形式限制對于歐盟人工智能技術與市場創新發展造成負面影響，歐盟委員會通過力度較弱的克減規定，劃清通常情況下風險認定的最低標準，以及排除認定為具備一定等級風險的情況。例如，在第三章第六條的第三款規定中，如果認定人工智能系統對自然人的健康、安全或基本權利無法構成重大損害風險，包括不對人類決策結果產生重大不利影響，則不應被視為高風險人工智能系統。這款克減規定強調了“人類決策結果”“重大基本權利”等重點保護要素，并排除了通過其它要素定義人工智能系統為“高風險”的可能性。在排除條件上，這則條款補充了四項風險排除條件③。在這些排除條件中，除（d）款涉及條款修改的程序性規定，前三項條件都展現了一定的立法動機，即“排除人工智能系統對人類決策進行未知干涉”。同時，歐盟又利用補充條款對于《人工智能法》中的排除條件進行了限制，即對于自然人進行畫像的人工智能系統將始終被視為高風險系統，以嚴格控制人工智能運用造成的連帶法律風險。

由此可見，《人工智能法》關于風險評判的正向規定與克減規定呈現出耦合與互相約束的榫卯結構，反映出歐盟委員會對于監管強度的審慎態度。同時，這種模式也正緩和了《人工智能法》草案階段受到詬病的實用性與確定性的不足④，體現了歐盟委員會對于人工智能治理中法律確定性的重視，有效緩解了歐洲人工智能企業承受“以‘財產規則為主導的GDPR”相同程度的監管負擔問題8

三、人工智能系統的法律風險規制 理念與制度基礎

《人工智能法》制定了完善的法律風險規制措施，以保證歐盟法律框架能夠對于人工智能從產生到運作的全流程風險外溢做到事先預警和事后響應。這套具體的風險規制措施建立在完整的規制理念與制度基礎上。規制理念決定了人工智能系統受到規制的本質原因以及嚴格程度，制度基礎決定了人工智能系統風險規制的效力與規制進路。

（一）對高風險人工智能系統的規制理念

1．建立以透明度、人類監督與網絡安全原則為主的規制思維

針對人工智能系統投入使用而施加的一系列法律原則，是《人工智能法》權利義務框架建立的前提條件。《人工智能法》第十三條明確規定了高風險人工智能系統的設計和開發程序中，應確保相關操作具有足夠的透明度，使部署者能夠解釋系統的輸出結果并且進行針對性處理。《人工智能法》支持建立適當類型和程度的透明度義務，其嚴格程度與人工智能系統風險呈現正比關系。例如：有限風險的人工智能系統僅僅承擔輕微的透明度義務，這種輕微義務的設置可以簡化監管流程，幫助人工智能更高效地運作，同時還為富有創新力的人工智能群體降低了發展成本，是對于“監管的創新悖論（innovationparadoxofregulation）”問題提出的良好解決方案；而高風險人工智能系統需要承擔更嚴格的透明度義務。這些義務包括但不限于：進行更復雜的合格性認證、向更高級別的主管部門提供更詳實的內部審核報告、更高的市場準入門檻等①

高風險人工智能系統應附有適當的數字格式或其他形式的使用說明，其中包括簡明完整、正確清晰的系統屬性信息。設置透明度的目的是保證高風險人工智能系統的自動化操作在合理的可預測范圍之內，能夠為參與人工智能系統設計、布局、使用、維護等活動的各自然人主體所準確理解。人工智能系統的特點、能力與性能限制等指標的體現來源于透明度原則，該原則為人類監督與網絡安全兩項原則奠定了法律規制基調，即高風險人工智能系統必須保證設計運行的全過程透明，以便對其進行高效準確的規制。

第十四條人類監督原則，旨在最大程度上減少高風險人工智能系統在按照預期目的使用或在合理預見的濫用條件下使用時，對于基本權利造成的法律風險。本條第一款中強調高風險人工智能系統從設計開發到投入使用，應當設置自然人全過程有效監督的具體措施②。并且在此基礎上延展細化到提供者、部署者的義務體系，以確保準確落實《人工智能法》的風險管理要求。在人類監督原則的指導下，本條款為被指派進行人類監督的特定自然人，提供了監督模式的參考與指引。人類監督模式強調通過人類獨立的判斷力對于人工智能的使用風險做出事先預判、事中評估與事后規制。要求進行監督的人類對于特定人工智能具備規制能力，發揮人類獨立的決策能力，以防止人工智能系統對于人類決策的不利影響。

第十五條網絡安全原則，聚焦人工智能系統的內部穩定性與輸出結果的準確性，增強對于高風險人工智能系統技術風險的化解能力。該條款要求高風險人工智能系統在完整生命周期內保持高度一致。對于準確性和穩定性的判斷標準，《人工智能法》鼓勵有權部門和利益相關方通過多邊協商的方式進行標準制定。本條衍生的網絡安全保護的法律措施較為多元化，在人工智能系統內部，本法支持自然人通過手動方式解決系統運行中的故障問題，建議通過制定備份和故障安全計劃等替代模式來實現干預。針對人工智能系統在投放市場或提供服務后的自動化學習行為，本條主張通過更加完善的開發方式消除因操作偏差而對人類決策產生不利影響的風險。同時，本條第五款強調，高風險人工智能系統應當具備抵御未授權第三方利用系統缺陷改變系統輸出結果的能力。對于系統缺陷進行的攻擊手段做出示例，并且要求處理系統漏洞的技術解決方案應當具備適當的替代措施。

2.界定風險管理系統架構與加強源數據治理觀念

《人工智能法》倡導為高風險人工智能系統實施持續性的風險管理措施，并提出通過源數據治理的方式來踐行風險管理的規制理念[]。盡管風險管理系統尚未在現實層面做到完善，但已在理論層面完善了當下時期內風險管理系統的組織架構。風險管理系統對于高風險人工智能系統的使用進行規制，縱貫高風險人工智能系統完整生命周期的同時，也要隨著人工智能系統的發展進行更新迭代。《人工智能法》認為，風險管理系統應當聚焦三種條件下的風險展開更迭過程，即對于基本權利產生損害的風險、預期范圍內產生的其它風險、通過評估人工智能提供服務的數據分析得到的非預期風險。其中，預期范圍內的風險，既包括根據人工智能系統預期使用目的造成的已知風險，也包括該系統在可合理預見的濫用條件下使用時可能出現的風險。

為使風險管理系統對于人工智能系統的規制產生具體的效果，本法對于風險管理系統的測試與運行原則做出了要求。管理系統參與的風險概念被實施了部分限制，僅指通過技術開發層面提供充分的技術信息可以合理減輕或者消除的風險。也即風險管理必須具體可操作，并且必須可以通過技術反饋的途徑對管理進程進行掌握。同時，風險管理系統的設計必須具備前瞻性和綜合性，在采取管理措施時必須適當考慮人工智能系統的應用產生的廣泛影響。對于禁止的人工智能實踐和嚴格管制的高風險人工智能的使用，還須考慮到對社會、業態、歐盟價值觀產生的相互作用，并在規制施行環節做到適應性平衡。為減弱或者消除人工智能系統的使用風險，界定“風險管理系統”這一概念的進步之處體現在對于人工智能使用風險的精準把控與保留人工智能系統的開發測試空間，以保證受規制的人工智能系統在實現預期目標的軌道上仍然能夠穩定運行。

數據作為交付人工智能系統進行處理的原始資料，成為規制人工智能系統使用風險的介人因素。對數據的監管實際上從源頭影響人工智能行業的發展[11]，因此除設置風險管理系統之外，《人工智能法》對于人工智能系統的風險規制還基于數據治理的理念之上，特別是人工智能技術從現實收集到的源數據。本法強調對于利用數據訓練模型技術進行服務與運行的高風險人工智能系統，應當符合特定質量標準的訓練，例如訓練能夠甄別源數據客觀性的能力。在驗證和測試數據集使用風險的基礎上進行管理。在加強源數據治理以增幅風險控制的規制模式下，《人工智能法》對于高風險人工智能系統進行數據實踐做出了嚴格的全過程監管規定。在訓練與測試過程中，應當保留人工智能系統的設計目的、詳細的設計類型，厘清人工智能系統的數據來源與收集目的，說明數據的處理操作，對于數據經處理所形成的信息內容做出合理推定。在實踐過程中，相關人員、機構須持續評估數據集的成分、體量與適用程度，針對可能損害自然人當下和未來的基本權利，或者違反歐盟法律禁令的數據處理偏差進行矯正。

在數據測試與人工智能系統訓練環節中，《人工智能法》為人工智能系統處理源數據保留了大量的空間，但同時也對源數據進行了較高級別的保護。例如，只有在處理合成數據和匿名數據等非源數據無法實現偏差檢測與矯正的條件下，才允許人工智能處理源數據；對于特殊類型的源數據，例如個人數據，必須采取“假名化”等方式進行數據保護，并且遵守嚴格的規定，在經過有關部門授權的情況下，保留訪問、處理記錄，承擔特定的保密義務；在數據使用期截止時，除非有正當理由支持并且經過有關部門批準，必須及時刪除敏感源數據。由此可以證實的是，《人工智能法》對于人工智能系統進行數據處理的原則，與歐盟的數據法體系一脈相承。

對于數據施行分層規制的理念，同樣影響著歐盟對人工智能系統的法律規制模式。近年來，歐洲共同數據空間的建設，將基礎設施和數據治理機制進行有效結合，旨在利用數據創新驅動的政策推動歐洲人工智能技術市場的競爭力與社會福利發展。同時，《歐洲數據戰略》支持營造安全高效的數據共享環境，為此歐盟委員會正試圖會同國際社會各界一道，制定強有力的治理機制和信任框架，其中包括統一規則和標準化規則制定[12]。這些理念與《人工智能法》中加強數據治理的基礎觀念具有高度一致性。

（二）人工智能系統風險管理的制度基礎

1．明確人工智能價值鏈與推動制度標準化進程

人工智能技術的快速發展，使得對于人工智能系統的法律規制必須保證持續更新的狀態。通過引入人工智能價值鏈概念和推動人工智能法律標準化兩大制度基礎，歐盟初步構建了一套具備階段性和適應性的人工智能法律框架。人工智能價值鏈將參與人工智能系統設計部署、投入使用、審核反饋等全過程的主體進行聯系，在歐盟價值觀的引導下對于全鏈條上的主體進行權利、義務與責任的分配，在促進人工智能技術發展的基礎上，對人工智能系統產生良好的規制效果。在人工智能價值鏈中，多方相關主體對于人工智能系統產生的作用迥異，明確人工智能價值鏈上的權利義務與法律責任等因素，有利于培養人工智能系統相關方的人工智能素養，進而反哺人工智能法律的監管效能與執行效率。人工智能價值鏈是衡量人工智能風險的一種新型標準，通過適應現階段技術發展與人工智能系統的使用反饋，為約束全鏈條上的主體提供理論參考。

在風險控制的國際化探討中存在一種范圍性共識，即行業自我監管一般不能作為公共利益保護的可靠途徑，即使某領域的制度管理仍顯經驗不足，通常也需要正式的法律明確一條規范通路[13]。從這個觀點出發進行觀察與分析，《人工智能法》為細分領域內投放使用的人工智能系統做出了階段性、具體化的約束，并且在形式上要求人工智能系統滿足一定的標準，例如通過評估認證進行合法性背書。歐盟委員會具備設置標準化規格的權力，有權在咨詢人工智能委員會和其它利益相關方的基礎上，向歐洲標準化組織發出標準化請求，進而推動針對人工智能系統更加行之有效的法律出臺。在發起標準化請求時，應當及時提供可交付使用的人工智能系統有關報告，便于委員會對特定人工智能系統進行精確評估。《人工智能法》對于人工智能系統的投放與使用設定標準化規格，意在減少人工智能系統在設計、測試、投放使用的全過程中產生的能源及其它資源消耗，同時促進人工智能領域的投資與創新①。人工智能領域中標準化規則的發展，有利于通過對于形式的嚴格要求，提高人工智能法的立法水平，有利于提高法律確定性，輔助提升歐盟人工智能法的核心競爭力。

在人工智能系統使用的標準化進程中，《人工智能法》強調加強標準化工作的全球合作，增強利益相關方的多邊治理，基于利益平衡的最終目的，鼓勵相關方的有效參與。該法為標準化流程設置了補充條款，在標準化條件尚不滿足或標準化規格缺失時②，由歐盟委員會制定共同規格作為替代方案。這種方案囊括了標準化規則不能適應基本權利保護、標準化申請未被任何歐洲標準化組織接受等例外情況。同樣，共同規格的設置沒有降低對于高風險人工智能系統的風險控制要求，仍然保持了同等的風險評估標準。且共同規格僅僅作為臨時替代規則，歐洲標準化組織仍會在此基礎上嘗試通過歐盟委員會的標準化申請，并促成適格的人工智能法階段性出臺。人工智能治理的標準化進程已經成為具備一定國際影響力的人工智能立法觀念，在2021年，我國學者在研究中就認為，我國亟需增強人工智能立法的標準化成效，需要強化標準研制和實驗驗證，針對重點行業和領域的技術標準尚待健全，特別是圍繞基礎數據、模型算法、產品服務和風險管理等重點指標需要盡快完善[14]。此外，部分研究者提出重視正式標準與法律的協同作用，為技術標準保留準用性接口，通過標準術語界定與法律概念銜接，為技術創新、制度審查和風險衡量與規制等工作建立制度基礎[15]

2.完善合格性評估與認證登記流程

合格性評估和認證登記是《人工智能法》幫助推行標準化流程的具體手段，并以人工智能價值鏈為理論引導，對具體的人工智能系統實踐產生約束效力。不論提供者選擇統一標準或是共同規格作為制度參考，合格性評估都能給予人工智能系統提供者以多元的方式滿足歐盟的監管要求。人工智能系統的提供者有權選擇以下任一程序履行法律義務：

（1）基于人工智能企業內部控制的合格性評估程序。這種程序要求人工智能系統提供者確立的質量管理系統總體符合《人工智能法》第十七條的要求，以書面政策、程序或者指令的方式，完整記錄對于高風險人工智能系統的設計策略、技術控制、例行檢查程序、技術規格、數據收集等重要方面的行為模式。在此基礎上，完善風險管理系統的建設、實施和維護市場后監測系統運作，對于嚴重風險外溢事件做好預案，完善與國家主管機關和相關機構（例如歐洲標準化組織）的溝通協作，強化企業信息記錄、問責框架和安全管理等問題。基于企業內控的監管模式，契合主要經營或研發業務為人工智能系統的企業，并且要求企業在與主管機關和相關機構的交往中具備較強的信用程度，以通過企業自治的模式簡化主管機關對于相關人工智能系統的法律風險規制，節省通知機構等各方的風險規制資源。

（2）基于質量管理體系和技術文件的雙重合格性評估。這種雙重評估的模式較企業內控模式更為嚴格，是符合大部分人工智能系統提供者的制度路徑。在這種路徑下，提供者或者授權代表需要提交其質量管理系統的清單、技術文件、程序說明等詳細信息并經過通知機構的初步審查。經過通知機構評估且批準的質量管理系統，若需進行更改，需要報告通知機構重新評估。若人工智能系統需要投放市場并面對不特定公眾提供服務，則還需提供詳細的技術文件，以供通知機構以遠程訪問等形式無障礙訪問人工智能系統的數據集。若通知機構在評估過程中用盡所有現行的評估方式，仍能夠證明人工智能系統的風險控制尚不充分，則可以在客觀證據的基礎上，審閱人工智能系統的訓練數據、系統模型和相關參數。通知機構對于提供者的測試流程若存在不滿之處，可以酌情進行直接測試。通知機構進行審閱、測試等任何評估行為，必須遵守歐盟關于知識產權和商業秘密的法律規定。

在雙重評估結束后，若獲得通知機構批準認可，則向人工智能系統提供者簽發合格性認證和歐盟技術認證補充文件，代表該人工智能系統風險處于可控范圍之內。通知機構仍然會對已經通過評估的人工智能系統進行可持續的監督，并對人工智能系統的提供者進行定期審計。在評估過程中，為了確保通知機構評估結果的準確性和真實性，人工智能系統的提供者需要為通知機構的審核提供準確信息等便利條件，包括但不限于提供者和授權代表的身份、地址等詳細信息，系統運行組件信息，使用信息，系統狀態（提供服務、投放市場、召回等），既存的通知機關認證文件或合格性證明。除某些有關部門用于移民和邊境管制等具備敏感性的人工智能系統外，其余人工智能系統的評估流程規定均體現出較強的透明度。

對于提供人工智能系統的任何個人或企業來說，需要特別針對高風險人工智能系統起草一份書面的歐盟合格性聲明作為背書，在投放市場或提供服務的10年內提交至歐盟國家的人工智能主管部門進行保存，并適時進行更新。這則程序性規定要求登記備案流程必須同時滿足歐盟統一立法和歐盟成員國的立法要求，分別向成員國和歐盟提供一份合格性聲明，以供不同的監管主體履行監管責任。在此基礎上，為了給特殊情況下的人工智能系統使用提供合理空間，《人工智能法》保留了合格性評估的克減條件。歐盟的市場監督管理機關可以授權在成員國境內，借助公共安全、生命健康權益與環境保護、維持工業和基礎設施等重要資產等正當理由，跳過常規合格性評估程序，僅通過認證登記流程，直接將特定高風險人工智能系統投入使用。如果基于公共安全和自然人生命健康權益理由，需要跳過合格性評估，則要求必須存在急迫的實質威脅，高風險人工智能系統的使用主體必須是執法機關或國防機關，且在利用高風險人工智能系統后合理期限內必須申請合格性評估，獲取歐盟的有效授權。在無法獲得有效授權的情況下，應當立即停止使用此高風險人工智能系統，并且對該系統的所有產出進行棄置處理。

根據《人工智能法》規定，經通知機構評估合格后，在投放市場提供服務前還應經過專門的認證登記。通知機構在認證登記過程中需要承擔重要的信息義務。這種信息義務需要同時對上級通知機關和同級的通知機構履行。需要向上級通知機關履行的信息義務主要集中在影響風險監管的人工智能系統使用狀態信息上，包括技術文件評估、質量管理體系認證等文件的頒發生效和限制中止等信息，從市場監督管理機關獲取的特定人工智能系統合格性評估要求，和可能影響人工智能系統合格性評估的跨境活動與分包活動上。《人工智能法》附件三中列舉的高風險人工智能系統在投放市場提供服務前，需要將人工智能系統的具體信息登記于歐盟數據庫。這個獨立數據庫由歐盟委員會和成員國合作創建，數據庫的功能規格和登記信息種類等詳細屬性由歐盟委員會在專家意見指導下確定，更新規格和屬性時，則由歐盟委員會和人工智能委員會共同決定。此數據庫的數據由人工智能系統提供者或其授權代表提供，參與合格性評估克減程序的特殊系統由公共機構、團體部署人員或者代表輸入數據庫。以上數據始終保持開源和機器易讀，在個人數據收集方面延續了歐盟的傳統觀念，僅收集必要的個人數據。歐盟委員會作為該數據庫的實際控制者，有義務向高風險人工智能系統的提供者、部署者以及公眾監督提供技術支持和行政支持。

四、高風險人工智能價值鏈上的責任落實

“高風險人工智能價值鏈”形成了《人工智能法》對于人工智能技術發展的理念建構，在此理念下形成了獨特的制度體系，統合了標準化進程與法律條款，同時兼容了質量管理體系與技術文件全流程評估。價值鏈帶來的風險管理系統等制度成果為人工智能治理提供了良好的靜態制度框架。有學者認為，風險這一核心要素用于提供監管對象、證明監管的合理性、構建實施監管的組織和程序以及確認各方需要承擔的責任，因此“責任落實”作為人工智能制度反應鏈的終端，在將抽象的治理框架轉化為具象的責任分配機制過程中發揮著決定性作用，成為確保風險規制實效的關鍵。

《人工智能法》以“高風險人工智能價值鏈”為邏輯起點，通過明確價值鏈上各主體的角色定位與權利義務關系，構建起以系統控制者為中心的分級義務體系。這一設計不僅延續了透明度、人類監督與網絡安全等核心規制理念，更通過制度化的責任傳導機制，將風險管理、數據治理與標準化流程嵌入人工智能系統的全生命周期。本部分將聚焦于價值鏈上的責任落實路徑，探討分級義務體系的具體架構及其與基本權利影響評估的協同效應，以揭示風險規制從制度設計到實踐運行的內在邏輯。

（一）形成以高風險人工智能系統控制者為中心的分級義務體系

《人工智能法》在人工智能風險管理的制度基礎上，圍繞高風險人工智能系統的控制者設置了既定的義務體系。這種義務體系以高風險人工智能價值鏈為理論展開，將價值鏈上的責任傳導至高風險人工智能系統相關的控制者。控制者可以大致分類為提供者、部署者、進口者、分銷者等通過設計、投放、推送、傳播人工智能系統至市場的主體。控制者掌握著人工智能系統的實質屬性和狀態，是將人工智能系統風險監管從制度層面轉化為現實層面的關鍵環節。通過細化控制者義務，壓實制度基礎，是《人工智能法》風險響應機制的亮點。為了確保人工智能價值鏈上的責任得以履行，《人工智能法》確定了以提供者的義務為核心的體系，在對人工智能進行實質性修改的過程①中，任何分銷者、進口者、部署者以及其它第三方均視為高風險人工智能系統的提供者，并承擔提供者的常規義務。而最初的提供者雖然不再被視為特定人工智能系統的提供者，但仍然需要承擔連帶責任，與監管部門形成良好合作，提供技術準入和必要協助。以上義務具備附隨性質，在合格性評估的條款中存在詳細規定。

1．夯實提供者、部署者的基礎義務

高風險人工智能系統的提供者具備部分基礎義務，提供者首先應當確保人工智能系統在投放市場、進人審查范圍時遵守《人工智能法》中有關禁正的人工智能實踐的有關規定，為高風險人工智能系統配備明顯的辨識符號，如歐盟CE標識，登記商標、聯系地址等表明信息的符號。同時提供者應當主動為系統設置質量管理體系，妥善留存技術文件等具備明確信息的檔案，持續生成并保存高風險人工智能系統自動生成的運作日志，便于與人工智能系統運行的預期自標進行不間斷的修正，進而確保人類監督原則得以有效踐行。此外，提供者需要起草歐盟合格性聲明，履行歐盟制度基礎中的登記義務，在人工智能風險外溢時采取必要的糾正措施，同時應主管機關的合理要求對高風險人工智能系統擔負證明責任。提供者應當向成員國的市場監督管理機關報告高風險人工智能系統引發的任何嚴重事故，并向部署者等有關主體共享嚴重事件的信息，共同開展風險評估和糾正調查。

與高風險人工智能系統的提供者相比，部署者能夠決定人工智能系統以何種方式在多大范圍內發揮作用，部署者的決策行為擴大了人工智能系統的實際影響力。部署者和提供者之間通常體現為一對多的關系，同一個部署者可能需要處理多個提供者的人工智能系統，故部署者的義務通常指向包括提供者在內的不特定社會群體。《人工智能法》對部署者做出了技術要求，部署者應當具備一定程度的技術素養，能夠采取技術和組織措施掌握不同風險等級的人工智能系統使用方式，在此基礎上指派具備必要能力與權力的自然人對于多數人工智能系統進行人工監督。部署者在參與人工智能系統的使用、修改、監管等活動時，若對于輸入數據做出了較大調整，則需要確保輸入系統的數據的目的與人工智能系統的預期目的相符，并且需要具備必要性。

部署者有監測高風險人工智能系統運行狀況的義務，在必要情況下需要向提供者發出通知。作為監測高風險人工智能系統運行狀況的關鍵主體，部署者對于人工智能系統的風險應具備敏感性，在風險外溢造成嚴重后果時，為及時控制風險，《人工智能法》賦予部署者緊急情況下暫停系統使用的權能。部署者需要在高風險人工智能系統未經登記或未通過合格性評估時，停止參與使用相關系統，并且通知提供者和主管機關。部署者對于涉及生物信息和遠程生物識別的人工智能系統的義務履行高度基于《通用數據保護條例》中有關數據保護的條例。例如，針對因調查刑事犯罪目的而使用高風險人工智能系統進行生物識別的情況下，部署者不得無故拖延，應當在48小時內請求司法機關或者具有司法審查權力的行政機關授權使用系統，并且應當嚴格限縮該類人工智能系統的使用，不得普遍運用于執法或其它目的。為此，部署者還應向市場監督管理機關和國家數據保護機關提交有關系統使用的年度報告，對于義務履行情況做出全面的備案。結合現如今的人工智能系統發展情況可見，《人工智能法》賦予部署者更多的風險監測義務和緊急情況下的風險規制權利，以釋放監管部門的壓力。將法律風險規制進行扁平化處理，從而建立影響范圍更廣的監督鏈和更快速的風險反饋途徑。

2．補充進口者、分銷者的衍生義務

人工智能系統的進口者和分銷者義務是提供者義務的延伸，對進口者和分銷者的義務進行明確規定并且敦促落實，能夠為高風險人工智能系統的推廣使用增加保障。進口者控制了人工智能系統的市場準人，具備核驗人工智能系統性質的諸多義務。進口者對于提供者執行合格性評估、編制技術文件、人工智能系統的有關合格標識和任命授權代表的情況有權做出調查和質疑。如果經過調查，有切實理由證明特定人工智能系統及其相關文件存在偽造風險，進口者不得將該系統投放市場，并將可能存在的風險如實公布于提供者、授權代表和市場監督管理機關。人工智能系統若經進口者進行處理，則進口者應當將其名稱、登記編號、商標地址等信息注明在人工智能系統上，并確保系統在進口者處理過程中必須履行風險監控義務。在登記認證義務方面，進口者在人工智能系統投放市場、提供服務后的10年內，需要保存一份由通知機關簽發的認證副本和合格性聲明，為進口者使用高風險人工智能系統提供便利條件。在通過認證副本形式向有關機關進行備案后，進口者與提供者在與有關部門共同進行合理風險規制活動中的法律義務是一致的。

分銷者是進口者完成高風險人工智能系統的市場準入后，參與人工智能系統處理的相關主體。分銷者與人工智能系統的市場投放有顯著聯系，分銷者的義務與進口者的義務存在較大相同之處，例如：核實高風險人工智能系統合格性標識、人工智能系統的常規風險監控、與主管機關共同參與風險規制時的合作義務、人工智能系統風險外溢時的緊急處分義務等。在該基礎上，分銷者可以在無法實施有效糾正的情況下撤回或召回特定的高風險人工智能系統，避免其進入市場并流通。

（二）高風險人工智能系統的基本權利影響評估

為了維護人工智能價值鏈的運行，推動價值鏈上各個主體的責任落實，并且完善緊急情況下對于人工智能系統進行處分行為的機制。《人工智能法》為人工智能系統使用風險設定了基本權利影響評估這一靈活的衡量標準。這一標準通常由部署者進行評估，但特殊情況下，公法管轄機構、提供以及幫助提供公共服務的人工智能提供者、進口者、分銷者等主體也能夠通過這一標準對于人工智能系統可能產生的風險進行有效控制。

通常情況下，在高風險人工智能系統提供服務前需要進行評估，說明按照預期目的使用高風險人工智能系統的過程、使用期限和頻率、可能受影響的自然人和群體類型、可能產生的損害風險、人類監督措施及其執行情況，應急管理機制和投訴機制的安排等。此類評估具備可持續性和借鑒性質，后續的人工智能系統控制者和處理者可以基于以往的基本權利影響評估做出更新。針對人工智能系統大量收集與使用數據的客觀情況，基本權利影響評估通常可以與數據保護影響評估同時進行，此舉符合歐盟一體化數據保護和人工智能兼容的立法邏輯。基本權利評估是一種極基礎性質的評估模式，其發起程序與執行主體呈現出較大的靈活性，這種評估模式更貼近于一種人工智能框架下的區塊鏈模式，是建立在多元主體較高級別的人工智能素養基礎上的一種更廣泛的風險監督模式，也是一種基于實踐經驗的事前風險控制途徑。

五、人工智能系統法律風險規制的創新點

在基礎制度上，《人工智能法》對于高風險人工智能系統的規制做出了創新嘗試。有學者認為，歐盟帶有法典編纂功能或“一攬子解決”功能的立法模式對于其它國家不具有普適性，不建議借鑒；也有學者提出需要借鑒歐盟通過例證手段和專家建議稿的方式調整我國人工智能立法模式。[17]筆者認為，不可盲目借鑒歐盟《人工智能法》的立法方式，但是在人工智能立法尚不完善之際，對于歐盟人工智能治理的前沿立法內容①進行適度的借鑒是必要的，尤其是對于重大風險的先進技術發展的規制內容，更必須未雨綢繆。例如，為適應當下具有機器學習能力的人工智能大模型的發展狀況，將具有系統風險的通用人工智能模型的現實風險納人《人工智能法》規制范圍等。

（一）針對通用人工智能模型法律風險做出特殊規定

通用人工智能是自主智能的發展形態，其概念通常表現為人工智能大模型或者算法的形態，其現實代表就是以大語言模型為代表的通用人工智能模型。通用人工智能模型通常是對整個社會群體開放，更容易牽涉數據抓取與訓練階段的一攬子法律風險②，因此相較于定向領域的人工智能系統的監管，歐盟對于通用模型的監管更為嚴格。由于通用模型這類人工智能系統當下存在突出的風險治理問題，制定針對性的風險規制措施勢在必行。在理論層面，對于通用人工智能模型之一的生成式大語言模型，我國研究人員已經剖析出包含算法風險、數據與網絡安全風險在內的風險類型，并指出生成性劣質信息治理、初始性信源污染、通用性倫理風險等治理問題[18]。針對通用人工智能模型是否存在系統風險，《人工智能法》劃定了一套獨立的評估標準與相關主體義務體系。首先需要評估通用人工智能模型的影響能力，評估因素主要有：特定模型的參數數量大小、模型數據集大小、訓練人工智能模型所使用的計算量、模型輸入輸出模式與具體類型、模型自主運行程度、市場覆蓋范圍、已經參與模型使用的注冊量等。這項評估重在判斷特定模型的影響力范圍是否超過可控水平；以及在一定范圍內，模型是否受到適當的人類監督、其自主運行程度是否對人類活動和基本權益產生負面影響。對此，如果通用人工智能模型存在風險外溢的隱患，提供者應當上報歐盟委員會，并且委員會對于特定模型是否存在系統性風險具有裁量權。對于特殊情況下，模型的系統風險是否存在，模型的提供者可以在具備充分證據的條件下發起異議，委員會在保留駁回異議的權力基礎上需要重新裁量。最后，歐盟委員會應當持續性更新具有系統性人工智能風險的清單，但不能影響知識產權和商業秘密保護的監管。

（二）建立以“監管沙盒”為介質的測試監督模式

監管沙盒模式也被學界普遍認定為一種適應性監管模式，初步應用于計算機與金融領域[9]。《人工智能法》下的人工智能監管沙盒模式經歷過兩次修改，在此過程中監管沙盒的監管力度逐步縮小，沙盒營造出的測試環境越來越接近現實情況。換言之，“監管沙盒”制度的本意是跟現實無縫銜接，以期望在具體的實踐中去發揮人工智能的市場潛力，降低不確定風險[20]。《人工智能法》規定歐盟每個成員國建立至少一個人工智能監管沙盒，并在條例生效兩年后投人運作。各個沙盒可以由成員國聯合建立并且支持運行。人工智能監管沙盒的運作可以輻射至地方級別，從而建立垂直的監管體系。

建立監管沙盒模式的目的在于支持創新的人工智能系統以更安全穩妥的方式投入市場或者提供服務。提供者將與主管機關共同擬定具體的沙盒計劃，將創新用途的人工智能系統的開發培訓、規范性測試等過程置于主管機關的監督之中。有學者[21認為，具體的監管沙盒機制由創新者和主管部門共同負責創立，有助于打破信息壁壘，幫助創新者快速將前沿的技術操作分享給掌握風險管理主動權的監管機關，反向補償監管機關的監管效能；但同時也悲觀地預測監管沙盒可能因監管套利或逐利競爭等原因而成為形式化工具。不過《人工智能法》中對于監管沙盒制度做出了針對性調整與更新，其實施效果或許會更趨于實質化。

首先，《人工智能法》規定有關部門應當提供有效支持和持續監督，從而在沙盒計劃中確定人工智能的風險。在沙盒中，人工智能系統如果通過了一系列測試，應提供者或潛在提供者的要求，主管機關應當提供人工智能系統在沙盒監管下成功提供服務的書面證明與退出報告，以擔保該人工智能系統風險規制的合格性。經人工智能監管沙盒測試的創新用途人工智能系統，市場監督管理機關和通知機關應當在合理范圍內加速對其合格性評估的程序。監管沙盒并非合格性評估的必要環節，但可以促進人工智能系統在風險規制中的快速發展。

其次，人工智能監管沙盒的使用旨在通過分析沙盒中的人工智能系統運作實踐，促進風險規制法律的更新，同時強化人工智能法律的確定性。《人工智能法》支持參與監管沙盒的機構與人工智能的相關主體以及主管機關分享實踐成果，并且鼓勵促進循證的監管模式。監管沙盒的推行對于參與人工智能系統設計、部署、市場投放等企業，尤其是小微企業的發展具有推動作用。值得注意的是，監管沙盒并非國家機關，其監管效力更類似于行業協會的監管效力。因此，監管沙盒不能影響主管機構的監督和糾正權力。若監管沙盒被主管機關證實存在無法消解基本權利的重大風險，主管機關有權暫時中正沙盒的模擬測試過程。若沙盒中的測試導致第三方損害，設計者、提供者有義務承擔損害補救義務。同時，若提供者嚴格按照沙盒計劃的具體條款進行測試且遵循了主管機關的技術指導，各主管機關同樣嚴格履行了監管義務和監督職責，則無需根據罰則向這些主體發起行政處罰。沙盒機制中的處罰豁免條款給予人工智能活動參與者和監管者更大的空間推進人工智能風險規制的創新實踐。

簡言之，人工智能監管沙盒創造出可供主管機關、提供者、從業人員之間充分協調合作的空間，旨在為人工智能的風險規制提供實踐經驗和制度性建議。因此，對于沙盒的運作體系，歐盟委員會需要通過實施法案對人工智能監管沙盒的建立開發、實施運行和監督方式進行規定。踐行法案建立起關于沙盒運作的共同原則，包括參與沙盒的資格篩選、參與和退出監管沙盒的具體程序（沙盒計劃和退出報告）、公平透明的沙盒測試標準等具體標準。此外，執行法案也支持小微企業和初創企業免費加入沙盒、鼓勵人工智能生態系統中相關參與者的廣泛加入，以期促進公共部門與私營部門的協調合作。

同時，《人工智能法》明確了以沙盒運作為中心的基礎設施的開發，為更健全的法律風險規制條款的出臺提供現實基礎。

（三）支持公共利益目的下個人數據的人工智能處理

《人工智能法》對于個人數據和生物識別信息的保護較為嚴格，重視人工智能系統產生的，個人數據以及任何能夠鎖定具體個人的生物識別信息的風險控制。但是，《人工智能法》并未完全封閉人工智能系統對個人數據的收集與處理。主管機關有權因公共安全、公共衛生、環境氣候問題、能源可持續供給、關鍵基礎設施安全、運輸系統流動性、公共服務效率與質量等公共利益開發特定的人工智能系統，處理無法通過匿名化合成數據進行替代的個人數據。通常情況下，該類人工智能系統需要通過監管沙盒進行訓練與測試，并且需要具備有效的監測機制和緊急停止的響應機制。個人數據的人工智能處理必須處于隔離和受保護的數據處理環境中，只有獲得授權的人才能訪問數據。且此類人工智能系統的提供者必須根據歐盟數據保護法律共享收集的數據。沙盒中的個人數據處理日志必須在參與沙盒期間保留，并需確保任何此類處理都不會導致數據主體的決策出現偏差。

（四）為真實環境中的人工智能開發測試保留空間

人工智能監管沙盒作為測試框架無法滿足真正的使用需求，人工智能系統歸根到底需要在現實世界中運行。《人工智能法》對于真實環境中人工智能系統的測試做出了規定。首先，真實環境中的人工智能開發測試應當具備測試計劃，由委員會根據《人工智能法》第九十八條提及的審查程序通過的實施法案中進行具體規定，同時測試計劃應當滿足歐盟或者成員國的倫理審查要求。服務提供者必須滿足所有條件？的情況下，才能在真實環境中進行測試。

真實環境中的人工智能開發測試需要通過測試對象知情同意并授權，在測試開始后的全過程中，提供者、部署者需要進行持續有效的監督，這種監督應當能夠在理由充分時推翻和忽略人工智能系統的判斷、建議或決策結果。與監管沙盒內運行的人工智能系統相似，成員國主管部門應當根據系統信息進行沒有事先通知的遠程或者現場檢查，以確保真實環境下人工智能系統的測試安全。在這種情況下，主管機關有權收集暫停或終止測試的人工智能系統運行結果并做最終報告。若存在任何真實環境中的人工智能測試造成損害，則根據客觀損害事實，通過歐盟或其成員國的責任法做出補救與損害賠償。

《人工智能法》充分考慮到真實環境條件中的測試對象所面臨的風險。因此，測試對象的知情同意權是風險規制的重要因素。測試對象應當在測試前明確在真實環境條件下進行測試的性質與目的以及帶來的潛在風險，與人工智能系統控制者協調真實環境下參與測試的條件。同時，《人工智能法》強調測試對象參與測試的權利保障，特別是無理由地拒絕和隨時退出真實環境測試的權利。測試對象可以要求推翻或者忽略人工智能系統的決策，從而控制人工智能系統的測試進度。以上內容應當納入知情同意書并且做記錄備案，以便測試對象在人工智能系統風險外溢造成損害時維護其合法權益。

六、對我國人工智能法的發展建議

在剖析歐盟《人工智能法》的規制邏輯與創新機制后，如何將其經驗本土化調適并轉化為中國人工智能立法的實踐指引，成為推動我國法治建設的重要命題。歐盟以風險分級、權利保護與技術創新協同為核心的立法圖景，為我國提供了兼具啟示性與反思性的參照系。基于此，我國需立足技術自主性、產業生態與治理傳統，在平衡安全與發展、效率與公平的基礎上，構建權責適配、動態兼容的人工智能法律框架。下文將從“寬嚴相濟”“守正創新”“機制立體”三重維度展開論述，探索我國人工智能法從原則確立到制度落地的可行路徑，以期為提升治理效能與全球規則話語權提供理論支撐。

（一）寬嚴相濟：制定兼顧產業發展與風險規制的人工智能法

人工智能技術更迭迅速，相關立法需要做到對于新興人工智能技術成果的促進，同時兼顧人工智能產品帶來的潛在風險，并進行有效規制。借鑒歐盟《人工智能法》的立法圖景，歐盟委員會在法案中要求嚴格把控風險規制的程度，不得影響人工智能產業創新與投資引人。我國也有學者[16.22]指出，人工智能立法需要服務科技法治理的目標，既要促進科技發展與應用，又要預防和應對科技帶來的風險，于是將人工智能立法分為產業促進法和風險治理法兩種類型。筆者認為，兼顧人工智能產業發展需要做到良好的市場保護，人工智能法需要為人工智能系統投放市場、投入使用提供準確的法律依據。其次，促進產業發展需要保護創新，人工智能立法需要與知識產權保護、反壟斷等立法范疇做到充分協調。

在產業發展方面，歐盟《人工智能法》序言中強調，人工智能法的具體規則應當能夠創建符合歐盟價值觀的人工智能產業生態，并且釋放歐盟內部市場的數字化轉型潛力。特別是為初創企業在內的小微企業進入人工智能市場提供資金支持等措施。法案的監管要求可能造成小微企業的負擔過重，模糊的規定也可能導致實施方面的困難[23]。我國立法可以立足我國國情的基礎上推出更詳細的質量管理體系制度，使得微型企業能夠以簡化的方式履行歐盟設置的法律義務。在風險規制方面，我國的人工智能立法可以借鑒歐盟立法的創新點，例如，設置監管沙盒以及真實環境下的人工智能風險控制規則。通過監管下的人工智能系統測試收集人工智能監管經驗，提升人工智能執法的針對性和準確性。在監管框架的設置上，我國人工智能立法可設置相關評估流程，重視標準化組織和人工智能行業協會發揮的準繩作用。

歐盟《人工智能法》以“風險分級”為核心，通過禁止性清單、高風險系統義務豁免等制度平衡安全與創新。在我國“基于場景”的人工智能治理機制下，可借鑒歐盟的“比例原則”，針對不同風險等級設計差異化治理框架，如下：

1.對高風險領域從嚴監管。參照歐盟“附件三：高風險人工智能系統清單”，結合我國產業特征，劃定我國傳統關于醫療診斷、自動駕駛、公共安全等領域的“不可接受風險”與“高風險”系統，搭配禁止性條款與嚴格限制條款。例如當下“深度生成式”人工智能系統發展如火如荼，帶來的高風險治理問題也日漸嚴峻，對于該類高風險人工智能系統應當建立系統性的報告制度，并留存相應技術文件，適用動態風險管理的制度路徑進行監管，側重風控。

2.對于中低風險領域包容審慎。針對有限風險的人工智能系統（如人工智能客服、智能推薦系統）僅設定透明度義務，著重AI交互特征的披露；但需要在以《算法推薦管理規定》為核心要素之一的規制框架下細化義務履行的規定，例如：處理個性化推薦系統的平臺等主體應告知用戶個性化推薦算法處理其個人信息可能對其造成的影響[24]。對于極低風險系統（如郵件過濾智能系統、系統屏保智能控制系統）納入《網絡信息內容生態治理規定》等既存制度框架進行統籌管理，節約監管成本的同時，提高人工智能重點領域的立法優先級。

3.設置產業政策彈性促進機制。參考歐盟對小微企業的資金支持與政策措施，對初創企業提供相應補貼，允許部分智能系統領域的設計者、部署者等主體通過自聲明模式替代第三方認證，并且通過傳統經濟法規則進行事后規制，以充分激發市場活力和創新動力。

（二）守正創新：完善以人為本、與時俱進的人工智能法

人工智能法的規制客體是人類監督下自主運行的智能系統，人工智能風險難以規制的點在于智能系統具備理性思考和自主學習能力，并且能夠在此基礎上完成以往只有人類能夠自主做出的決策行為。歐盟以基本權利保護為立法主線，我國人工智能立法亦可以借鑒歐盟《人工智能法》對于基本權利保護的立法邏輯，并作出本土化調適，基于我國憲法和部門法的基本權利，制定適應我國權利保護模式的人工智能法條款。例如，針對投放于就業雇工的人工智能系統，需要避免針對特定年齡、性別、殘疾人等特殊群體的算法歧視，同時需要保護受雇者必要的隱私權利和在特定行業中的法律權利。對于投放于教育領域的人工智能系統，需要警惕過度使用人工智能進行成績評估、人才篩選等工作導致的受教育權失格問題等。人工智能法應當始終注重人類決策在人工智能風險規制中的作用，強化人類監督的理念。同時，由于私權救濟是傳統社科法學中唯一能夠由個體主張而啟動的制度，人工智能立法應當注重私權救濟問題，尤其是涉及基本權利的救濟問題。我國學者提出建立以“基本原則一促進發展一權益保護—安全監督義務一國際合作”為主要框架的人工智能法[25]，將權益保護置于安全義務之前，正是出于人本理念的影響。我國可借鑒歐盟范式，配套要求高風險系統上市前由跨部門委員會審查其對隱私、公平性等權利的潛在影響，評估報告摘要需向社會公開。

其次，人工智能法需要保持更新，以適應人工智能技術水平的發展。有學者指出，人工智能立法要通過智能科技、智能要素和智能應用三個層次展開[2]。歐盟《人工智能法》針對通用人工智能模型這類基于大數據進行機器學習和自動訓練的人工智能系統的技術特點，設置了基于模型影響能力的分級風險規制制度。這部歐盟法律中，通用人工智能模型的風險規制恰好結合了這三個層次的核心要素。從智能科技的層面，《人工智能法》將通用人工智能模型視作高影響力和具備自主學習能力的技術，厘清了大模型技術的潛在風險以及應對模式；從智能要素層面，《人工智能法》重視人工智能模型投放使用的數據治理與監管，支持人工智能模型算法的有益迭代，降低企業技術準入門檻的同時加強獨立科學小組、人工智能行業協會等新興組織的多元監督；從智能應用角度，《人工智能法》對于通用人工智能模型作為人工智能系統的集成元件具備準確認知并做出定義，將自動載具駕駛、醫療系統、生物識別、金融活動等立法范疇融人人工智能立法中。

人工智能風險的立法規制需要細化到應用場景的細節中，不斷更新風險評估與應對機制。在持續更新的同時，需要注重人工智能法與基本法律的協同發展，考慮到法律生效時期的技術發展水平和相關主體對于人工智能技術及制度的認知水平，發展授權性立法路徑的作用，在制度設計中為可能的法律調適留足空間。我國或可大幅借鑒歐盟《人工智能法》的監管沙盒與真實測試協同機制：在雄安、浦東等自貿區設立“AI創新試驗區”，允許企業在隔離環境中測試生成式人工智能合成技術，同時將測試日志實時共享至監管部門。在真實測試中，或可制定《真實環境人工智能測試管理條例》等制度文件，強制經營具備特定風險智能系統的企業為測試對象購買責任保險，損害救濟適用《民法典》侵權責任編，但豁免通過沙盒測試的相關企業的行政處罰。

（三）機制立體：堅持權責清晰、技術主導型的人工智能法

借鑒歐盟《人工智能法》的人工智能價值鏈的作用，筆者認為，一套完整統一、邏輯自洽的人工智能價值體系是壓實人工智能治理各個環節責任、明確各主體權利義務關系的必要前提。中國人工智能法應當設置適應性的人工智能價值體系，與中國人工智能標準化工作同步推進。我國人工智能法及配套措施應當明確受人工智能影響的相關主體的權利義務規則，并支持人工智能素養的培養與更新，幫助人工智能系統處理者提升技術水準，同時適當給予教育培訓。人工智能立法應當力求權責清晰，明確人工智能系統參與者，包括公共服務機構、政府主管部門、企業、研究機構等法人與非法人組織的權責，在此基礎上不斷考量人工智能獨立法律人格設置的可行性。在人工智能系統的風險規制中，設置指導性的人工智能倫理規則并推介使用。在人工智能的立法中，可以借鑒歐盟的“總則式立法”[27]，在延申人工智能立法的法律維度的同時，發展人工智能法綜合性的挈領作用，用于指示配套規則和標準制定。例如，將《互聯網信息服務深度合成管理規定》等位階較低的規章制度進行整合處理。

立體的機制來源于清晰的價值理念。例如，歐盟通過“價值鏈責任體系”與“標準化流程”構建立體治理網絡，我國可融合其經驗與本土實踐，進行全鏈條責任體系設計：提供者承擔相應義務，需公開訓練數據來源、類型及偏差矯正措施，禁止使用未脫敏個人數據或倫理爭議數據集，如種族、宗教信仰信息；部署者或應履行“實時風險監測”義務，對生物識別等系統設置“雙人復核”機制，發現異常時在一定時間內暫停系統并報備；對于進口或分銷者，應建立“市場準入雙審查”機制，既核查國產認證標識，也審核技術文件與數據跨境規范性證明。

其次，人工智能立法應當在技術主導下開展與執行。我國應搭配設置相關的技術認證和動態監管框架。設立國家級AI技術認證中心，按風險等級實施“強制認證”（針對高風險系統）與“自愿認證”（針對中低風險系統）。通過“法律一標準”為核心邏輯搭建人工智能風險管控的總體框架也尤為重要，這種邏輯錨定人工智能產品的技術獨特性，通過標準和法律的分工配合完成對于人工智能產品的物理風險與倫理風險的雙向規制[28]。例如，自動駕駛系統需通過“多模態道路測試認證”方可上市，認證標準可參考聯合國UN-R157法規的標準設置①。同時，靜態制度需要搭配執行性技術措施，例如構建“AI系統全生命周期數據庫”，對于不同風險閾值的智能系統進行穿透式監管，實時追蹤高風險系統的部署狀態，對異常數據流啟動自動預警。

同時，在風險監測與排查中，人工智能行業內可通過人工智能技術率先進行內生風險自查，深化對于算法程序架構和代碼的設計審查，按照倫理規范進行過濾、聚類、分類與賦值，實現倫理規則的代碼化，確保人工智能算法設計符合基本的倫理規范[29]。在有關部門對于人工智能及其產品進行執法時，也需要基于技術主導特征實施動態監管和執法協作機制，利用先進技術對于人工智能技術以及相關數據進行適度監控，及時發現并且阻止違規行為[30]。

“技術主導性”還需體現在制度的國際接軌中，在第三屆“一帶一路”國際合作高峰論壇上，國家網信辦發布《全球人工智能治理倡議》，其中著重強調了要在世界范圍內搭建具有共識性的治理框架[31]。“技術主導”不僅指依據人工智能科技的技術發展水平制定適應性的規制制度，也要遵循先進的、與國際接軌的治理理念與方針政策。從立法到實施，需要不間斷地從專業機構獲取實時信息。以審視的角度看，《人工智能法》通過技術特征制定規則的根本目的是通過技術咨詢等方式提供建議，幫助利益相關者平衡商業利益與非商業利益。同時，歐盟委員會保證開發團隊的專業性和多樣性，鼓勵企業公民組織、學術研究組織、工會和消費者保護組織等共同參與人工智能產品設計開發和行業守則的設定。我國可以參考歐盟設立人工智能委員會、獨立科學小組、咨詢論壇，并加強與歐洲高性能計算聯合體、數字歐洲計劃下的人工智能實驗機構的通力合作的實踐，不斷整合人工智能科技以及立法實施的專業意見，促進人工智能風險治理機構協同增效。同時強化國際協同與標準互認，參與全球規則體系的塑造，在“一帶一路”合作中推廣中國人工智能認證體系，推動我國人工智能系統各端口行業標準與歐盟區域性標準化組織（如CENELEC）互認，主導制定跨境數據訓練、算法審計等國際規則，進一步提

升治理話語權。

七、結論

歐盟《人工智能法》對于人工智能系統發展與運作呈現出產業促進和風險規制的二元愿景，但仍以風險規制為立法的基本目的。在歐盟價值觀下，從增設風險管理系統與加強源數據治理舉措，直至形成人工智能價值鏈，明確人工智能相關方的權利義務關系，基于人工智能風險控制的立法必將在世界范圍內迅速發展。現今，人工智能法尚未形成龐大規模，尚不具備成熟實踐，仍然處于實驗性階段。人工智能法雖然在一定程度上脫離了傳統法學范疇，但仍然需要與傳統法學保持緊密協調與交互，同時激發行業協會、標準化組織等規制主體在人工智能風險治理中的創新型效應。在人工智能立法中，我國應當重視人工智能業態發展，建立主體多元、權責清晰的人工智能風險治理機制，正確看待數據治理與人工智能規制之間的關系，將算法、算力等技術因素與倫理、慣例等制度因素統籌考量。加強人工智能法律與其它部門法的協同聯動，不斷豐富人工智能風險規制與產業促進的中國實踐。

值得一提的是，歐盟在人工智能立法中堅持推進域外影響力的建設，始終著力于打造一套全球性人工智能法參考規范。在人工智能技術的更新周期縮短，技術成果迭代加速的現階段，我國在立法實踐的基礎上，應持續更新人工智能立法的模式與內容，針對性擴大我國人工智能法律的國際影響力。人工智能的技術成果具備使用場景多元化、成果受眾規模化的特征。因此，我國在弘揚科技自立，不斷攻堅技術高地的基礎上，也需注重發揮國際優勢，建立人工智能成果在“一帶一路”中通暢的市場循環，將我國主研的人工智能成果和良好制度推行至國際社會，利用良好產業政策促進技術與人才回流，再將成熟的技術成果與制度模式在更大范圍內進行試點調整并促進新一輪的穩定循環。此外，應當注重我國從業人員乃至普通受眾等廣大主體的人工智能素養培育，明確人工智能風險規制與產業發展平衡性的重要觀念，從而賦能人工智能風險治理實效，切實鞏固人工智能技術的治理基礎。

［參考文獻］

［1］徐東波.人工智能驅動科學研究的邏輯、風險及其治

理[J].中國科技論壇，2024（5）：120-129.

[2] 陳群志，李月雯.教育人工智能的倫理問題及應對之策——基于海德格爾技術哲學的視角[J].浙江理工大學學報（社會科學版），2024，52（6）：686-692.

[3］張欣.論人工智能體的模塊化治理[J].東方法學，2024（3）：129-142.

[4］康蘭平.人工智能法律研究的權利泛化挑戰與場景化因應研究[J].大連理工大學學報（社會科學版），2021，42（1）：98-106.

[5]European commission.EU AI Act [EB/OL]. （2024-06-13）[2024-06-14]. https：//rtificialintelligenceact.eu/ai -act-explorer/.

[6] 丁曉東.人工智能風險的法律規制- 以歐盟《人工智能法》為例[J].法律科學（西北政法大學學報），2024，42（5）： 3-18.

[7］王磊.從“數據要素×”看中國數智化的法治路徑[J].長安大學學報（社會科學版），2024，26（2）：71-81.

［8］宋華健.論生成式人工智能的法律風險與治理路徑[J].北京理工大學學報（社會科學版），2024，26（3）：134-143.

[9]DAVID M. AI unleashed： Mastering the maze of the EU AI Act [J]. Regional Law Review，2024（5）： 155-168.

[10]SCHUETT J. Risk management in the Artificial Intelli-gence Act [J]. European Journal of Risk Regulation，2024，15（2）：367-385.

［11］汪慶華.人工智能的法律規制路徑：一個框架性討論[J].現代法學，2019，41（2）：54-63.

[12] GROZA T amp; ARCILA B B. The new law of theEuropean data markets： Demystifying the European datastrategy [J]. Global Jurist，2024，24（3）： 321-364.

[13]CHANG D. AI regulation for the AI revolution [J].Singapore Comparative Law Review，2023： 130-170.

[14］王婧.從歐盟《人工智能法》提案看中國如何應對人工智能帶來的社會風險和法律挑戰［J].網絡安全和信息化，2021（8）： 42-44.

[15］張辛鑫，冀瑜.論歐盟《人工智能法案》中的標準化模式及對中國啟示[J].標準科學，2024（5）：39-46.

[16] 袁鋒，王子昊.人工智能規制中的分級分類監管問題研究——對歐盟《人工智能法案》“基于風險”監管方式的思考[J].政法學刊，2024，41（6）：116-125.

[17］周漢華.論我國人工智能立法的定位[J].現代法學，2024，46（5）： 17-34，217.

[18] 支振鋒.生成式人工智能大模型的信息內容治理[J].政法論壇，2023，41（4）：34-48.

[19] 劉芳彤.互聯網金融監管“沙盒模式”制度構建[J].西部金融，2023（1）：59-63.

[20] 易學文.論“監管沙盒”制度的實踐哲學轉向- -以歐盟《人工智能法》為分析對象[J].南海法學，2023，7（4）： 11-19.

[21]ALLEN H J. Sandbox boundaries[J].VanderbiltJournal of Entertainment amp; Technology Law，2020，2（22）： 299-322.

［22］龍衛球.人工智能立法的“技術—社會 + 經濟”范式——基于引領法律與科技新型關系的視角[J].武漢大學學報（哲學社會科學版），2020，73（1）：65-76.

[23] 沃爾夫岡·多伊普勒.《歐盟人工智能法案》的背景、主要內容與評價——兼論該法案對勞動法的影響[J]環球法律評論，2024，46（3）：5-27.

[24] 謝永江，楊永興，劉濤.個性化推薦算法的法律風險規制[J].北京科技大學學報（社會科學版），2024，40（1）：77-85.

[25] 張凌寒.中國需要一部怎樣的《人工智能法》？——中國人工智能立法的基本邏輯與制度架構［J].法律科學（西北政法大學學報），2024，42（3）：3-17.

[26］鄭志峰.人工智能立法的一般范疇[J].數字法治，2023（6）： 55-75.

[27] 董新義，梅貽哲．“人工智能法總則”建構原則與理念——歐盟立法經驗之鏡鑒[J].數字法治，2024（2）：195-210.

[28] 朱家豪.智能網聯汽車的法律規制結構研究[J].北京科技大學學報（社會科學版），2023，39（5）：634-644.

[29] 黃靜秋.鄧伯軍.人工智能算法的倫理規制研究[J].北京科技大學學報（社會科學版），2025，41（2）：88-96.

[30] 李賢森.民事域外取證與數據出境監管的沖突及應對[J].比較法研究，2025（1）：204-222.

[31] 中華人民共和國網信辦.全球人工智能治理倡議[EB/OL].（2023-10-18）[2024-06-14].https：//www.cac.gov.cn/2023-10/18/c_1699291032884978.htm.

On Legal Risk Regulation of Artificial Intelligence Systems - A Case Study of the EU Artificial Intelligence Act

LI Xiansen， LI Tingkai （School of Law， Beijing Institute of Technology， Beijing 10oo24， China）

Abstract：The European Union’s“Artificial Intellgence Act” （hereinafter referred toasthe“Artificial Inteligence Act” or “this Act\"） serves as the world's first technological law that conducts comprehensive supervision of the risksofartificial intelligence It offers novel ideas for global artificial intelligence legislation，emergingas a pioneering norm in the global legal supervision of artificial intelligence and presenting reference significance. The underlying regulatory logic of the “Artificial Inteligence Act” lies in the systematic regulation of technological risks，that is，with risk supervisionas thecoreapproach，after makinga comprehensive judgment byconsideringfactorssuch as theconcept of risk，risk levels，and assessment diffculty，extensive interventioniscarried out from aspects such as the development direction of artificial intellgence systems，prohibitive principles， the framework of rights and obligations，and damage remedy measures.For other countries，it is imperative to summarize and appropriately draw upon the legislative experience of the“Artificial Inteligence Act” and advance the progress ofrisk regulation of artificial intelligence systems. Chinese legislative workers can，on the basis of sorting out and summarizing the systematic legislative experience in the field of artificial inteligence governance of the European Union，conduct targeted innovation and comprehensive adaptation to China’s artificial intellgence legislation，and establish acomprehensiverisk evaluationstandard forartificial inteligence，consolidate rights and obligations in the artificial intelligence value chain， and promote the governance of artificial intelligence in China towards the direction of forward-looking risk， detailed responsibility，and clear regulation.

Key Words：EU Artificial Intellgence Act；high-risk artificial intellgence system；value chainresponsibility; risk regulation；innovation mechanism