欧盟委员会于2025年7月10日发布《通用人工智能实践准则》(The General-Purpose AI Code of Practice),作为《人工智能法案》(AI Act)通用人工智能规则的过渡性合规指引。AI Act 已于2025年8月2日生效,准则内容将在转化为强制要求前先行提供指引:预计一年后由人工智能委员会(AI Board)对新模型强制执行,两年后对现有模型强制执行。自愿签署的模型提供商可借遵守准则来证明其符合 AI Act,从而减轻合规举证负担、获得更高法律确定性。
TL;DR
针对 AI Act 第53(1)(a)、(b) 条及附件 XI、XXI 的义务,透明度章节要求签署方做三件事。其一,撰写并及时更新模型文档,至少记录训练数据的获取与选择方法、训练时间与规模等示范表格所列信息,先前版本在模型上市后保留10年。其二,公开披露联系信息,便于 AI Board 与下游供应商获取模型文档中的相关信息。其三,确保所记录信息的质量、完整性与安全性,并作为合规证据留存、防止意外更改。AI Act 的整体框架与生效节奏,可参考全球首个人工智能法案即将生效;高风险条款的期限调整见欧盟通过 AI Act 简化提案。
版权章节对应 AI Act 第53(1)(c) 条,要求签署方遵守欧盟版权及相关权利保护法律,包含五项措施。
准则第一版草案发布时,Kaamel 曾做过逐条解读,可对照欧盟《通用目的人工智能业务守则》第一版草案解读(上)与草案解读(下)观察正式版的变化。
安全保障章节对应 AI Act 第53(1)、第55(1)、第56(5)条及序言第110、114、115条,要求签署方作出十项承诺:建立并更新先进的安全保障框架(确认后五个工作日内向 AI Board 提供未删节访问权)、系统性风险识别、系统性风险分析、可接受度判定、适当的安全缓解措施、网络安全保护、安全保障模型报告、系统性风险责任分配、严重事故报告,以及附加文件与公众透明度。
其中,风险分析要求从信息收集、能力评估、风险建模、危害概率与严重程度评估、上市后监测五个要素展开;缓解措施覆盖训练数据清洗、输入输出过滤、拒绝特定请求等;模型上市前须通过《安全保障模型报告》向 AI Board 报告并及时更新,相关文件至少保留10年。GDPR 执法中透明度、安全性与责任链条的多维趋势,与此逻辑一致,可参考GDPR 执法新趋势。
AI Act 已于2025年8月2日正式生效。即便当前准则为自愿性质、法律层级较低,两年内也将被 AI Board 转为强制执行。中国出海企业若在欧盟投放 AI 相关产品(包括搭载通用模型的应用),应尽早建立符合准则的内部制度。
透明度方面,准备记录训练数据来源、方法与规模的模型文档并保留十年,对外披露基本信息与联系方式。版权方面,建立明确的版权合规政策,预留权利人沟通与投诉渠道,在数据抓取与训练环节确保未使用未经授权的受保护内容并遵守权利保留。安全与风险方面,构建覆盖风险识别、检测、分析、缓解与网络安全保护的评估机制,并为严重事件准备报告机制与应急预案。准则原文见 https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai 。