欧盟《人工智能法案》禁止性AI实践指南：技术监管与权利保护的全球范式

作者简介：叶绍琛，蓝典信安董事长兼CEO，网络安全专家，人工智能安全研究者，公安部全国网警培训基地专家导师，中国下一代网络安全联盟常务理事，清华大学出版社网络安全教材作者，出版《移动安全攻防进阶》等多本网络安全学科教材。

一、立法背景与核心目标

欧盟《人工智能法案》（AI Act）于2024年8月1日正式生效，成为全球首部全面监管人工智能的综合性法律。该法案采取基于风险的分类监管模式，将人工智能系统划分为“不可接受风险”“高风险”“透明度风险”和“最小至无风险”四类，并分阶段实施监管要求。其中，针对“不可接受风险”的禁止性实践条款于2025年2月2日正式生效，标志着欧盟在平衡技术创新与公民权利保护上迈出关键一步。

1.1 立法意图

1. 防范系统性风险：通过禁止可能威胁基本权利（如隐私、非歧视、自由意志）和社会价值（如民主、法治）的AI应用，避免技术滥用导致不可逆的社会危害。
2. 统一监管框架：解决此前欧盟法律（如GDPR）在AI领域的局限性，构建覆盖全生命周期的监管体系，从开发、部署到使用均需合规。
3. 全球示范效应：以严格的监管框架强化欧盟在数字规则制定中的话语权，弥补技术竞争力短板，形成中美之外的“第三极”力量。

1.2 过渡期设计

法案为禁止性条款预留六个月过渡期（2024.8-2025.2），允许企业调整技术架构、完善内部治理，体现了欧盟在推动合规与保障市场活力间的平衡。

二、禁止性AI实践的核心内容

根据《人工智能法案》第5条及配套指南，以下8类AI实践因构成“不可接受风险”被明确禁止：

1. 有害操纵与欺骗技术

   • 定义：利用潜意识技术（如不可见的闪烁图像）或欺骗性设计（如情感操控界面）扭曲用户行为，导致实质性伤害。
   • 示例：广告中嵌入潜意识信号诱导消费；针对老年人设计误导性订阅界面。

2. 弱势群体剥削

   • 定义：利用年龄、残疾或社会经济地位等脆弱性，实施不公平的行为引导。
   • 示例：针对低收入人群的算法诱导高息贷款。

3. 社会评分系统

   • 定义：基于个人社会行为或特征（如社交媒体活动）进行评分，导致歧视性待遇。
   • 示例：雇主通过AI评估求职者的社交媒体活跃度，影响录用决策。

4. 刑事犯罪预测

   • 定义：仅基于画像（如种族、性格）预测犯罪倾向，缺乏客观事实支持。
   • 例外：支持人工评估的犯罪数据分析（如历史犯罪记录）可豁免。

5. 无差别面部数据抓取

   • 定义：从互联网或监控视频中大规模采集面部图像以构建数据库。
   • 示例：未经同意抓取社交媒体照片用于训练面部识别模型。

6. 情感识别

   • 定义：在工作或教育环境中推断情绪（如课堂注意力监测）。
   • 例外：医疗诊断或安全用途（如精神疾病评估）可豁免。

7. 生物特征分类

   • 定义：基于生物数据（如面部特征）推断敏感属性（种族、性取向等）。
   • 例外：执法中合法标记数据库（如通缉犯识别）可豁免。

8. 实时远程生物识别（RBI）

   • 定义：公共场所执法中的实时生物识别（如人脸识别）。
   • 例外：搜寻绑架受害者、预防恐怖袭击等特定场景需经授权使用。

三、法律框架与监管机制

1. 分层监管体系

   • 禁止性实践：直接禁止，无合规余地，违者面临最高3500万欧元或全球营业额7%的罚款。
   • 高风险系统（如医疗设备、招聘算法）：需满足数据质量、透明度、人工监督等强制要求。
   • 透明度义务（如深度伪造内容）：需明确标注AI生成标识。

2. 执法架构

   • 成员国主导：各国指定监管机构（如西班牙设立专门AI监管局），负责本地合规审查与处罚。
   • 欧盟协调：欧洲人工智能委员会统筹跨境案件，确保执法一致性；欧盟委员会直接监管通用AI模型（如ChatGPT）。

3. 豁免与例外

   • 国家安全与军事用途：完全豁免监管。
   • 科研与个人非商用：暂不适用，但商业化时需合规。

四、合规挑战与企业应对策略

1. 主要挑战

   • 技术调整：需重构涉及禁止性功能的产品（如移除情感识别模块）。
   • 法律交叉：需同时遵守GDPR（数据隐私）、DSA（平台责任）等多重法规。
   • 成本压力：中小企业可能因合规成本（如审计、培训）陷入竞争劣势。

2. 应对建议

   • 风险映射：全面筛查现有AI系统，分类标注风险等级。
   • 内部治理：建立AI伦理委员会，制定员工培训计划（法案第4条要求）。
   • 技术合规：采用可解释AI（XAI）工具增强透明度，部署合规监控系统。

五、全球影响与未来展望

1. 跨国企业合规压力

   • 域外效力：在欧运营的企业（无论总部位置）均需遵守，如Meta已限制部分AI服务在欧落地。
   • 示范效应：美、日等国加速制定类似法规，全球AI监管趋严。

2. 技术发展与权利保护的博弈

   • 创新抑制争议：部分企业（如Mistral AI）反对过度监管，认为将阻碍技术进步。
   • 平衡路径：通过“监管沙盒”支持可控创新（如荷兰试点）。

3. 长期趋势

   • 技术标准化：欧盟推动AI安全认证体系（如CAISP认证），形成全球技术壁垒。
   • 国际合作：需协调各国规则差异，避免碎片化监管（如美欧AI对话机制）。

六、结语

欧盟《人工智能法案》的禁止性实践指南，不仅为技术治理提供了法律模板，更折射出数字时代权利保护与创新驱动的深层矛盾。其成功与否，将取决于执法的严格性、企业的适应能力及全球规则的协同程度。对于企业而言，主动拥抱合规、构建伦理优先的AI开发生态，将成为未来竞争的核心优势。