AI新规时代下企业的风控与合规

生成式人工智能（GAI）在2023年迎来了从小众步入主流的发展。在数据、算法、算力的三元叠加下，AI技术的颠覆特性愈发凸显，正被各领域企业广泛应用于工作场景之中。其给生产关系、社会伦理带来的冲击和风险也备受关注。如果说立法者在2023年仍处于在宏观准则层面达成共识并决定出手规范AI的状态，那么企业在2024年将迎来AI相关立法实质条款的细化和实施。

本文将以欧盟、中国、美国AI相关立法现状为出发点，为企业在AI被广泛应用的场景下规避风险、构建合规制度提供对策建议。

中美欧的AI立法现状

2023年12月8日，欧洲议会、欧洲理事会和欧盟委员会三方就《人工智能法案》（下称《法案》）达成协议，该法案将成为全世界首部全面监管AI的法律，成为继《通用数据保护条例》后欧盟的另一部有望为各国效仿的全球标准。《法案》秉持分级分类监管的思路，区分了人工智能系统的四个等级风险——不可接受风险、高风险、有限风险以及最低或无风险——并相应设置了不同的义务与要求。其中，值得重点关注的是禁止开发和使用对人类安全造成不可接受风险的特定人工智能系统，以及对高风险人工智能系统的具体监管要求。

中国对AI技术的发展持开放包容的态度，坚持发展和安全并重、促进创新和依法治理相结合的原则。中国出台的针对AI的规范其实早于欧盟，国家网信办等七部门于2023年7月发布《生成式人工智能服务管理暂行办法》（下称《办法》），率先就AI监管难题给出中国方案，而中国的人工智能专项法律尚在酝酿之中。目前对于AI监管，除了法律层面的《个人信息保护法》《数据安全法》《网络安全法》等可资适用外，主要在部门规章/规范性文件层面进行针对性立法，例如《办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等，有助于针对AI新产品制造的新风险采取灵活、审慎的监管措施。

美国针对AI尚未有成体系立法。2022年10月4日，白宫科技政策办公室（OSTP）发布《人工智能权利法案蓝图》，对系统安全、算法歧视保护、数据隐私、通知和解释、人工替代方案与储备等方面提出建议。

企业面临的AI风险

AI特别是GAI，其核心架构系数据的输入、处理与输出。数据与信息已经被作为权益客体受到法律保护，但囿于其分散性、无形性、可复制性等特性，其权益界限并非泾渭分明，理论范式与规制体系亦尚未成熟；无论是识别权益主体还是获取其知情与授权，均面临着可行性的障碍与成本效益的权衡。因此，用于处理数据与信息的AI技术不可避免地会连带相关风险。

由于人类对心智结构的认知尚存局限，AI面临着伦理风险，这也是乐观主义与安全主义两种技术路线的争议焦点。但就现阶段而言，AI仍是一种受制于人类的工具，因此AI风险既包括AI自身存在技术缺陷所引发的风险，也包括AI技术被人类滥用所引发的风险。

企业在研发与应用AI技术中面临的典型法律风险有：违法收集处理个人信息、泄露隐私、暴露商业秘密、侵犯知识产权、构成不正当竞争、生成违法或臆造内容、数据投毒、算法偏见等。

合规建议

随着各类AI应用井喷式涌现，更多企业开始利用AI技术支持其业务需求。从员工利用AI生成工作文件、编写程序代码，到管理层利用AI辅助决策，企业尤其看重AI降本增效的功能，但AI工具自身的漏洞和威胁也极有可能给企业带来系统性风险。

企业既可能是AI产品或服务的研发者、提供者，也可能是使用者，或兼而有之。不同角色的合规亦有侧重点。作为开发者、提供者，企业应注重在数据、信息的收集与处理方面遵循相关立法规定，在内容输出方面遵循审查要求。作为使用者，企业应加强辨别能力，谨慎使用AI工具处理敏感或涉密信息，同时警惕服务提供者的违法收集与处理。

从实践角度，建议从以下环节着手开展AI合规工作：

（1）建立风险识别和评估机制，定期自查和评估。企业应基于自身业务特点、AI工具的使用情况等，及时发现、记录、审查、评估、通报潜在风险并做好预案。

（2）熟悉立法与监管要求。从现有立法来看，分级分类监管是趋势。企业应关注立法更新和监管动态，并将相关要求整合嵌入产品和服务中、与供应商及用户的合同中。

（3）制定内部管理制度，明确AI工具的使用规范和安全策略，定期对员工开展符合AI新规要求的风控合规培训，并通过奖惩机制确保员工遵守。

（4）培育人才队伍，将合规义务落实到具体岗位。例如设置结合AI新规要求的信息安全专员、数据隐私专员、模型审计专员等针对性的AI合规岗位。