圈小蛙
2025年7月10日,欧盟委员会发布了《通用人工智能 ( GPAI ) 行为准则》。这是一项不具约束力的软法律文书,旨在帮助人工智能开发者遵守欧盟《人工智能法》关于透明度、安全性和知识产权的新规定(简称《
准则》)。这项自愿性准则旨在指导通用人工智能模型(例如大型语言模型和其他基础模型)的提供商履行《欧盟人工智能法》第53条和第55条规定的义务。
最近, ChatGPT或Gemini等模型展现了通用人工智能的强大威力,这更加凸显了确保这些系统安全、透明且合法的必要性。该准则是《人工智能法案》中通用人工智能条款于 2025 年 8 月 2 日生效前的早期合规蓝图。下文将概述该准则已发布的三个章节——透明度、安全保障以及版权——并探讨后续步骤。
1. GPAI模型的透明度要求
GPAI 模型提供商必须为每个模型准备全面的技术文档。该规范引入了标准化的模型文档表,涵盖模型的训练数据源、预期用例和许可信息等详细信息。这份详尽的文档符合 AI 法案的透明度要求,并确保模型的基本信息记录在一处。
记录的信息应提供给部署或集成该模型的人员(“下游提供商”),并根据要求提供给监管机构。实际上,提供商将与基于该模型构建人工智能系统的企业客户共享相关文档,并根据正式请求与欧盟人工智能办公室或国家主管部门共享。此类监管请求必须说明法律依据和目的,敏感的业务细节将保密。该框架确保下游用户获得足够的透明度以负责任地使用模型,同时监管机构可以在需要时获取监督数据,而无需强制公开商业机密。
透明度章节还要求明确模型的数据来源(例如,提供模型开发或训练所用数据的真实性或来源证据)及其训练数据的谱系。GPAI 模型的提供商应披露训练数据的收集方式(例如,是否涉及网络爬虫或私有数据集)以及任何预处理步骤,以清晰地展现模型的基础。记录模型真实性(例如,为已发布的模型提供安全哈希值或标识符)有助于下游用户和监管机构验证模型的真实性且未被篡改。
值得注意的是,该准则承认某些开源人工智能模型可以例外,除非该模型后来被认为构成“系统性风险”。然而,即使开源人工智能模型属于高级高影响力类别,它仍然需要遵守针对系统性风险模型更严格的透明度和安全措施。
2. 高风险人工智能模型的安全措施
“安全与保障”章节适用于可能构成“系统性风险”的GPAI模型——本质上是指对社会规模具有深远影响或重大影响的风险。此类前沿模型的提供者必须实施全面的风险管理框架来识别和控制这些风险。这包括持续评估模型造成重大损害的可能性(例如,滥用风险、不可预测的行为或其他大规模负面结果),并确保这些风险保持在可接受的水平。该规范要求开发者进行结构化的系统性风险评估,并随着模型的发展或新风险的出现更新这些分析。
《规范》中一个值得注意的概念是风险“等级”或阈值的定义。GPAI模型的提供商应针对不同级别的系统性风险建立明确的标准,并提前确定模型接近更高级能力等级时需要采取的安全措施。对于每个已识别的风险场景,提供商都需要设定风险接受标准,并记录模型达到特定风险等级后将启动哪些额外的保障措施。通过这种方式提前规划,开发人员可以在模型能力超出安全范围时主动实施缓解措施(甚至避免部署)。
系统性风险模型的提供商必须部署最先进的安全措施和安全控制措施,以降低风险。这包括在模型的整个生命周期内实施技术保障措施。该准则还要求对这些高影响模型的安全机制进行外部或独立审计。要求第三方或外部专家审计增加了额外的监督层级,以验证模型的风险控制和测试是否有效并符合行业最佳实践。所有这些措施都有助于构建一个安全框架,以防止高级人工智能发生灾难性故障或被恶意滥用。
模型发布后,《规范》要求持续进行上市后监控——持续观察模型的实际使用和性能,以发现任何新的危害或意外后果。简而言之,高风险人工智能模型的整个生命周期应伴随持续的监督、与监管机构的透明沟通,以及在出现问题时快速响应的准备。如果发生严重事件或重大故障,供应商有义务记录相关情况,并立即向欧盟人工智能办公室和相关国家主管部门报告,同时报告已采取的任何纠正措施。
为了促进监管,《准则》强调与新成立的欧盟人工智能办公室的合作。通过遵守《准则》,提供商表明其愿意与监管机构携手合作,共同管控先进人工智能。这种合作方式旨在建立信任,确保即使是影响最大的人工智能系统也能以负责任的方式开发,并在部署后受到监控。
3. 版权合规和数据使用政策
该准则的版权章节解决了人工智能开发者和内容所有者共同关心的一个关键问题——确保人工智能模型尊重知识产权。GPAI 模型的提供商应采用明确的内部版权合规政策。该书面政策应概述提供商如何确保任何训练或微调数据的获取和使用均符合欧盟版权规则的合法性。该准则建议提供商指定负责人员或团队监督其组织内的版权合规性。通过正式制定此类政策,人工智能开发者可以展现其在避免侵犯版权方面的尽职尽责,正如《人工智能法》第 53(1)(c) 条所要求的那样。
该准则版权承诺的基石之一是在收集训练数据时尊重权利人的意愿。签署方承诺不规避或超越任何保护版权内容的技术措施。这意味着人工智能开发者不得在未经授权的情况下抓取付费墙或其他访问限制背后的数据。该准则要求使用能够读取并遵循标准指令(例如 robots.txt 或标明“禁止文本和数据挖掘”的元数据)的网络爬虫。
除了合法收集训练数据外,GPAI 模型提供商还必须实施保障措施,防止其模型不当复制受版权保护的作品。该准则要求提供商采取技术和组织措施,以确保模型不会生成本质上是其训练数据中受保护作品逐字复制的输出。可能的保障措施包括过滤机制、即时约束或后处理检查,以检测和屏蔽可能的侵权内容。通过承诺采取此类措施,签署方符合欧盟版权原则,即保护原创表达免遭未经授权的复制。
该准则还解决了已知存在问题的数据源问题。在从网络上抓取训练数据时,提供商应排除那些因侵犯版权而臭名昭著的网站。欧盟委员会已表示,将维护一份以托管未经授权内容而闻名的网站名单,并要求人工智能模型开发者避免使用来自这些网站的数据。这体现了一种预防性的方法:该准则并非事后处理版权侵权问题,而是敦促提供商预先严格挑选其数据源,排除那些充斥着盗版作品的数据库。
鉴于仍有可能出现问题,《准则》建立了与权利人持续合作的渠道。提供商必须建立机制,供版权所有者在认为其权利受到影响时提出投诉或质询。提供商还同意,如果收到有效投诉,将进行善意的讨论或采取补救措施。这可能包括调查并在必要时纠正模型输出可能复制受保护作品或无意中使用保留数据的情况。通过建立投诉和补救制度,《准则》赋予权利人在人工智能开发过程中的发言权,并使其能够直接联系模型提供商,这有望有助于更友好地解决知识产权纠纷。该准则还激励提供商在人工智能办公室的监督下积极响应并承担责任,而不是对版权问题采取松懈的态度。
4. 后续步骤
《GPAI 行为准则》虽然是自愿性的,但有望成为人工智能行业的一项具有影响力的标准。下一步将如何发展?短期内,该准则的内容将接受欧盟当局的审查:欧盟委员会及其成员国正在评估该准则的充分性,预计将在满意后正式批准,并计划于 2025 年 8 月 2 日之前做出决定。批准将表明官方支持,巩固该准则作为公认的合规工具的地位。新成立的欧洲人工智能办公室(根据《人工智能法案》设立)也将发挥关键作用。委员会表示,如果提供商遵守已获批准的行为准则,人工智能办公室和各国监管机构将视其为简化的合规途径——执法重点是检查准则承诺是否得到履行,而不是对每个人工智能系统进行审计。这意味着早期签署方在满足《人工智能法案》要求方面可以享受更高的可预测性,并减少行政负担。相比之下,选择不签署该准则的公司则需要通过其他方式证明合规性,并可能面临更严格的审查。此外,委员会表示,在评估《人工智能法》的遵守情况时,可以优先考虑遵守《准则》的情况,这可能会对决定监管罚款金额产生影响。
另一个值得关注的进展是关键定义的指导。委员会宣布,即将发布指南,明确哪些人和哪些内容属于“通用人工智能提供商”规则的范畴。例如,该指南应明确界定哪些人工智能模型被视为通用人工智能模型(而非狭义的人工智能系统),哪些模型被认为具有“系统性风险”,以及究竟谁才是“提供商”(尤其是在多方开发场景中)。清晰的指南将帮助企业确定其是否符合第53条或第55条的义务,从而确定是否应遵守本准则。这些澄清预计将在2025年8月生效日期之前发布,从而为行业在监管范围方面提供更多确定性。
至关重要的是,该准则的成功将取决于行业的接受度。委员会正在积极鼓励所有主要的人工智能模型开发商签署该准则。生成人工智能领域的关键参与者(从大型科技公司到开源模型实验室)必须决定是否遵守该准则的要求。他们的决定可能会受到监管机构对该准则的认可程度以及签署方是否能获得竞争优势的影响。如果许多供应商加入,该准则可能会成为事实上的行业基准。如果接受度较低,监管机构可能会采取更强硬的立场,直接执行《人工智能法案》的约束性规则。