谢焱,德国慕尼黑大学法学博士,同济大学上海国际知识产权学院副教授,上海市浦东新区张江地区人民检察院副检察长(挂职)
叶知秋,同济大学上海国际知识产权学院
以该论文为基础的同名文章拟于《电子知识产权》2025年第1期刊发
摘要:人工智能技术的广泛应用对社会、经济、法律等领域产生了深远影响,引发了一系列亟待解决的法律问题。欧盟在《通用数据保护条例》成功实施的基础上,推出《人工智能法案》,旨在扩大其域外效力。该法案域外效力可以解构为“投放地标准”和“效果原则”:前者根据欧盟境内的活动程度设定监管义务,后者则基于在欧盟内产生的实质性影响及受影响者位置拓展管辖范围。然而,长臂管辖的实施面临挑战,需平衡各国法律差异,尊重他国主权,同时紧跟技术发展步伐,确保既促进创新又有效管理风险。为此,欧盟需加强国际合作,通过对话协商与标准互认,共同构建适应人工智能时代的国际法律秩序。这将有助于促进全球科技治理的完善,确保人工智能技术的健康发展。
关键词:人工智能法案;欧盟;域外管辖权;域外效力
一、从《通用数据保护条例》到《人工智能法案》
(一)欧盟《人工智能法案》的立法背景
近年来,人工智能技术取得了显著进展,尤其是在深度学习、自然语言处理等领域,大语言模型如GPT系列的出现更是引发了广泛关注。这些技术的广泛应用对社会、经济、法律等多个领域产生了深远影响,德国劳工部长海尔(Hubertus Heil)预测,最迟到2035年,世界上将没有与人工智能应用无关的工作。与此同时,人工智能技术的普及也暴露出一系列潜在风险,如侵犯个人隐私、影响就业、加剧社会不平等,甚至威胁公共安全和国家安全。因此,为应对人工智能的机遇与挑战,制定和完善针对人工智能技术的监管措施已成为必要之举。
为促进人工智能安全发展,世界各国都在积极推进相关监管立法。欧盟《人工智能法案》的立法进程并非一蹴而就。2021年4月,欧盟委员会(Europe Commission)提出了《关于制定人工智能的协调规则并修改相关联盟立法的欧洲议会和欧盟理事会条例的提议》,该提议先后经欧盟理事会和欧洲议会谈判审议,于2024年2月2日获得27个成员国代表一致通过,形成了欧盟《人工智能法案》(EU AI Act,以下简称《法案》)。2024年3月12日,《人工智能法案》(Artificial Intelligence Act, Regulation[EU] 2024/1689)正式推出,《法案》为欧盟区域性国际公约,对欧盟内所有成员国具有规范效力。2024年8月1日,该法正式生效,总则条款、包括法案的范围、定义等基础条款将在法案生效6个月后开始正式实施。
欧盟长期致力于构建全面的数字法律体系,包括《通用数据保护条例》(以下简称GDPR)、《数字市场法》《数字服务法》等一系列法律法规。其中GDPR是对20世纪90年代以来数据隐私立法的强化和现代化。GDPR通过严格的数据保护标准,赋予个体更多对个人数据的控制权,以应对数字经济带来的隐私挑战。该法不仅在欧盟境内产生影响,还在全球范围内提高了数据保护标准,促使企业在数据透明度和用户权利管理方面进行深度改革,引发了"布鲁塞尔效应"。而《法案》正是欧盟数字法律框架下的重要补充。
《法案》聚焦于管理人工智能技术的风险与发展,旨在保护个人和社会免受人工智能技术的潜在威胁,同时促进技术创新。通过对人工智能应用进行风险分类及设立严格的责任和透明性标准,欧盟希望在保障安全与伦理之下,推动负责任的人工智能技术发展,从而继续在全球科技治理中发挥引领作用。
(二)从GDPR到《人工智能法案》域外效力的演进
GDPR是在数字经济重塑人类生活的大背景下欧盟数据治理改革的重要立法成果,也是迄今为止全球范围内最具影响力的个人数据保护立法之一。该法适用于全球范围内处理欧盟数据主体个人数据的公司,不仅提高了全球的数据保护标准,也促使企业在数据透明度和用户权利管理方面进行深度改革。
自2018年实施以来,GDPR引起的“布鲁塞尔效应”受到理论和实务界的广泛关注,欧盟在该法中制定了备受争议的“目标指向”标准,以“数据主体”与本国的联系扩张GDPR的保护范畴及实效,防范他国政府和个人对区域内个人数据的不当获取和处理。随着人工智能的崛起,欧盟意识到仅关注数据保护已不足以应对人工智能技术带来的复杂伦理和社会挑战,因此制定了《法案》。《法案》在继承GDPR域外效力的基础上,进一步扩展了其适用范围。《法案》第2条适用范围条款指出,在欧盟市场中开发、投放或使用人工智能系统,无论这些系统是由欧盟内还是欧盟外的开发者创建的,都适用本法。由此可见,《法案》采用了类似于GDPR在全球范围内的应用模式。为确保其法律影响力跨越国界,《法案》不仅强调了其对欧盟内企业的约束力,也明确规定,只要人工智能系统的输出影响了欧盟市场或用户,该系统的开发者就必须遵守欧盟的法律和规定,即使该主体位于欧盟之外。
欧盟通过对个人数据权利的严格保护,形成了对人工智能的源头规制模式,而《法案》所涉范围更广。《法案》关注从人工智能系统开发到部署的整个生命周期,这包括风险分类思路、产品规制路径、负责任创新和实验主义治理理念等,旨在应对突出的算法黑箱问题,确保投放到欧盟市场的人工智能系统及其使用的安全性。这一演变反映出,欧盟不仅将数据视作个人隐私载体而重点关注,还着眼于人工智能技术本身的潜在风险和影响,强调技术创新与社会责任之间的平衡。这些要求不仅适用于欧盟境内的企业,也适用于那些向欧盟市场提供人工智能产品或服务的非欧盟企业。因此,《法案》的域外效力在承接GDPR的基础上,更加强调了全球人工智能企业风险管理和合规要求的重要性。
总的来说,人工智能法案继承了GDPR域外效力的基本框架,并结合人工智能技术的特殊性和风险性进行扩展和完善,体现了欧盟在数据保护和人工智能监管方面的持续努力和创新。
二、《人工智能法案》的域外管辖效力
(一)域外效力问题的提出
如前文所述,《法案》的域外效力并非凭空设计,而是基于GDPR立法上的经验和借鉴。但需要明确的是,《法案》的域外效力并不仅仅局限于传统的数据保护或算法歧视等领域,还涉及更为复杂的法律问题,如大数据杀熟、个人信息保护、训练数据使用以及著作专利权属认定等,其影响力远远超出了单一国家的边界,对全球治理体系提出了新的挑战。这些问题的解决,不仅需要专属管辖和管辖权的明确,更需要对人工智能法案域外效力的深入研究。
在全球化背景下,人工智能法案的域外效力研究不能孤立进行,而应结合具体的法律问题和语境,与其他部门法相互参照,以实现更加全面和深入的理解。通过对《法案》的域外效力条款进行详细解读,具体分析其地域范围的适用标准和规制思路,以评估《法案》域外效力的实施效果和可行性,并反思设立域外效力的合理性、适用性和潜在影响。本研究不仅对欧盟内部的法律实践具有重要意义,也为全球范围内人工智能的法律规制提供了参考和启示。
(二)域外效力分析路径
《法案》第2(1)条界定了该法的适用条款(scope),其中(a),(c),(g)项涉及非欧盟地域内的域外效力条款。这些条款明确指出了哪些人工智能系统相关主体的市场行为将落入《法案》的适用范围,也是本文展开具体阐释的对象。
基于国际法中的管辖原则和欧盟内部市场一体化的需求,可将《法案》所涉及的域外效力分为以下两大标准:其一,根据“投放地”标准,即根据人工智能系统相关主体的“投放地”来确定欧盟是否对此拥有管辖权。只要“投放市场地(placing on the market)/投入运行地(putting into service)”位于欧盟境内,无论其实际经营设立场所在何处,均适用本条例;其二,依据“效果原则”,无论人工智能系统所涉主体是否位于欧盟境内,只要其系统“产生的产出(produced output)”作用于欧盟范围内;又或者根据(g)条款,若在欧盟境内存在受影响的主体(affected person),则该人工智能系统同样受《法案》的管辖。
需要指出的是,“投放地”标准中,有学者将“putting into service”译为“提供服务地”,笔者认为该译法可能会引起歧义。原因在于,此处译为“提供服务地”无法明确该“提供服务”是否特指人工智能“服务型”产品,抑或是为欧盟境内人工智能用户提供的“某种服务”?“服务”一词的范围又应如何界定?为了澄清这一问题,本研究回顾了《法案》的德语译本,德语译本中的用语为“in Betrieb nehmen”,该词在德语中为功能性动词,表达的含义为“把某物投入生产,开始使用某物”,可以译为“投入运行”。同时参考了法语版本为“ou mettent en service”,进而发现,英文和法文的service含有“(机器)的使用”一意。因此为了避免对原文意的曲解,本文建议将“putting into service”翻译为“将人工智能投放市场或投入运行”。在后续的讨论中,将采用这一翻译,并在此基础上进一步探讨“投放市场”及“投入运行”的具体含义。
本文根据分析的标准及其所涉域外管辖元素、对应条款制作下表1,以便读者查阅对照。
表1 标准及其所涉域外管辖元素对照表
nload="this.removeAttribute('width'); this.removeAttribute('height'); this.removeAttribute('onload');" />
三、投放地标准的域外效力
(一)受监管者的范围
欧盟在GDPR中主要对两类角色施加合规义务:数据控制者(data controllers)和数据处理者(data processors)。而《法案》的适用主体不仅涵盖了人工智能系统的开发者和使用者,还包括所有可能对人工智能系统产生影响或受到其影响的实体。这包括了从产品开发、设计到最终使用的所有阶段,但如前文所述,2(1)(a)及2(1)(c)两条具有明确域外效力的条款主要涉及“提供者”(provider)及“部署者”(deployer)两个法律主体。鉴于《法案》对于“提供者”和“部署者”施加了不同程度的监管义务,且对“提供者”和“部署者”的划分采用事实认定的方式,因此,对于“提供者”和“部署者”的准确识别和区分至关重要,这要求我们首先明确两者之间的区别与联系。
根据《法案》第3(3)条,“提供者”是指“开发人工智能系统或通用人工智能模型,或已开发人工智能系统或通用人工智能模型,并将其投放市场或以自己的名义或商标提供服务的自然人或法人、公共机关、机构或其他团体,无论有偿还是无偿”;而“部署者”根据《法案》序言第13条可解释为“在授权之下使用人工智能系统的任何自然人或法人,包括公共机关、机构或其他团体,但在个人的非职业活动中使用人工智能系统的情况除外”。简而言之,两者之间的区别在于:“提供者”一般直接参与到人工智能的委托创造和设计中,“部署者”主要对“提供者”提供的人工智能系统或者模型进行整合管理,或在其业务范围内使用人工智能系统。
但该主体的区分可能在实践中存在界限不清或者认定困难的问题。鉴于《法案》侧重于监管“提供者”的义务,对“部署者”施加的义务较轻,企业可能会通过外包设计等策略试图规避作为“提供者”的法律责任,但实践中,对“提供者”“部署者”的认定是基于事实行为,而非基于合同的约定。举例来说,如果一家公司对其“投放市场”或仅“以其名义”投入使用的人工智能系统进行大量定制化开发,即使开发活动完全外包,该实体也可能被认定为“提供者”。因为即使开发活动被外包,原始品牌持有者或市场推动者仍需对其产品的质量和安全性负责。同样,如果一家人工智能“部署者”企业在收到他人提供的人工智能产品后又进行了实质上的修改,导致其最终向客户提供的人工智能系统与原始系统存在实质性差异,那么该“部署者”也可能被认定为是“提供者”。换句话说,对于角色的认定更多的是基于对产品最终形态的实质性影响,而非仅仅基于产品的最初来源,而这种认定原则有助于实现《法案》对人工智能产品来源合规性和安全性控制的目的。
除此之外,还有几类主体也将受到《法案》的监管:进口商,指任何位于或在欧盟成立的组织,将带有欧盟境外实体名称的人工智能系统投放市场;分销商,指除了“提供者”或“进口商”之外,任何为“在欧盟市场分销或使用”而提供人工智能系统或通用人工智能模型的组织。分销商不需要是人工智能价值链中首次向欧盟市场发布人工智能系统或通用人工智能模型的组织。对于产品制造商的概念,《法案》没有明确定义,而是在《法案》附件 I 中通过引用欧盟协调立法来进行定义。当产品制造商与其产品一起在欧盟市场提供、分销或使用人工智能系统,并以其自己的名称或商标时,将属于《法案》的适用范围。作为欧盟境外提供者与欧盟当局和消费者之间的中介,“授权代表”是任何接受提供者书面授权的欧盟组织,以代替提供者履行《法案》所规定的相关义务。
在司法实践中,对于法律主体资格的确定,不应仅仅依赖于合同的约定,而应基于实际行为和事实进行认定,这在处理涉及欧盟市场的跨境企业时显得尤为重要。域外企业在进入欧盟市场时,必须对其自身的法律地位和角色有明确的认识,并在人工智能系统或模型的开发、部署以及商业化过程中,对其商业行为进行准确的法律定性。
(二)“投放地”标准的域外效力
根据2(1)(a)条款,只要是在欧盟境内将人工智能系统投放市场或提供服务或将通用人工智能模型投放市场的提供者,无论这些提供者是设立于还是位于欧盟境内或者第三国,均受到《法案》管辖。在属地管辖原则的视角下,可以认为“投放市场地/投入运行地”构成了一个主张管辖权的连接因素,简述为“投放地”标准。
1.“人工智能系统”和“通用人工智能模型”的区别
首先需要明确的是,“投放地”标准主要适用于“提供者”,而不包含“部署者”。其次,对于“提供者”,《法案》规定了以下两种情形:其一是将人工智能系统(AI-system)投放市场或投入运行的提供者;其二是将通用人工智能模型(GPAI)投放市场的提供者。可以看到,除了对适用主体的区分外,《法案》还对“人工智能系统”和“通用人工智能模型”这两种不同类型的人工智能产品施加了不同程度的监管义务。因此,在进一步阐释何为“投放地”标准,何为“投放市场”和“投入运行”前,有必要先明确人工智能系统和通用人工智能模型的区别,这对于理解《法案》为何对两种产品在投入运行这一行为上采取不同程度的监管措施至关重要。
根据《法案》定义,人工智能系统(AI-system)是“一种基于机器的系统,设计为以不同程度的自主性运行,在部署后可能表现出适应性,并且为了明确或隐含的目标,从其接收的输入中推断如何生成可影响物理或虚拟环境的输出,如预测、内容、建议或决定”。通用人工智能模型是指“这样一个人工智能模型,包括在使用大量数据进行大规模自我监督训练时,无论该模型以何种方式投放市场,都显示出显著的通用性,能够胜任各种不同的任务,并可集成到各种下游系统或应用中”。结合以上定义和实践中的运用可以看出,人工智能系统通常指的是一个综合性的系统,它不仅包括人工智能模型,还可能包含用户界面、软件和硬件组件等,旨在实现特定的功能或服务。例如,Amazon的算法推荐系统和Siri虚拟助手便是人工智能系统的典型代表;而“通用人工智能模型”更强调其通用性,通用模型并非专为单一或特定的应用场景设计,而是能够被应用于多种不同的环境和任务中。通用模型可以被不同的用户在下游重复使用和调整,用户可以向预先存在的人工智能模型提供新的学习数据,通过微调技术以优化性能,就像在相同的产品上贴上不同的标签,再瞄准特定的客户群。例如,GPT-4.0作为一个通用人工智能模型,可以被应用于多种自然语言处理任务。
相较于人工智能系统,通用人工智能模型有更高的系统性风险,因为功能强大的模型可能会在不同的场景中被广泛适用,如果一个通用模型含有算法偏见或缺陷,这将可能导致严重的事故,或者被滥用于网络攻击中,损害广大使用者的权益,造成严重的社会影响。因此,对于“通用人工智能模型”的监管态度、通用人工智能模型提供者和部署者之间的责任分配,以及利益相关方之间的权益平衡等问题,需要进行更为细致和审慎的考量。
2.“投放市场”和“投入运行”
《法案》第3条对“投放市场”和“投入运行”进行了定义。“投放市场”是指“在欧盟市场上首次提供人工智能系统或通用人工智能模型”;“投入运行”指的是“将人工智能系统直接提供给部署者首次使用,或供其在联盟内按预定目的自用”。其中,“预定目的(intended purpose)”是指“提供者在使用说明、宣传或销售材料和声明以及技术文件中提供的信息所规定的人工智能系统的预期用途,包括具体的使用环境和条件”。而由于通用人工智能模型具备“万金油”的特性,具有强大的下游适应性,这将导致提供者难以对其适用范围进行明确的界定,从技术角度来说,对这类模型的预定用途进行精确限定可能是不切实际的。在《法案》的立法历程中,斯洛文尼亚轮值主席曾提出一项折中提案,建议在《法案》中增加一个新的标题(IVA)和第(52a)条,将“通用人工智能系统”排除在“预定目的”(intended purpose)的定义之外。从目前的最终版本来看,“通用人工智能模型”的确被排除在了“预定目的”范围外,在“预定目的”规定中仅涉及了“人工智能系统”。
但实际上,将通用人工智能模型排除在“预定目的”的定义之外减轻人工智能模型提供者在开发过程中的法律约束,这一做法对于部署者,即人工智能模型的下游用户来说,可能会带来额外的合规负担。由于下游用户缺乏对通用人工智能模型的开发流程及技术特点的深入了解,尽管提供者会提供一些帮助,但也很可能将部署者置于相对被动和消极的处境中,使其难以有效寻求补救的手段和措施。在ALLAI做出的一份有关人工智能法案适用范围的报告中也提及,尤其对于发展中的小企业和初创公司来说,这实际上存在扼杀创新而不是支持创新的风险。
综上,《法案》对于人工智能系统和通用人工智能模型在“投放市场”和“投入运行”行为上的区分,实际上是对人工智能开发、设计及使用过程中的不同主体的利益平衡的结果,体现了其立法的主观意图,即以牺牲部分下游用户的法律稳定性为代价,从而在一定程度上减轻通用人工智能模型提供者的法律义务,促进通用人工智能模型开发企业的创新。对于《法案》的域外管辖效力而言,开发不同的人工智能产品给予了企业进入欧盟市场的不同条件,相较于人工智能系统开发者,通用人工智能模型的提供者只需遵守“投放市场”行为对应的法律义务,而无需在“预期目的、使用环境和条件”上受到过多的限制。
四、“效果”原则的域外效力
“效果”原则主张,法律的适用应基于行为或产品的实际影响和后果,而不仅仅局限于其发生或开发的地理位置。这一原则在《法案》中得到了体现,具体表现在两个方面:首先,它强调人工智能系统的产出对欧盟市场和公民的实际影响,无论这些系统在哪里开发或运行。即便一个人工智能系统是在非欧盟国家研发和执行的,只要其产生的产出——例如数据分析、自动化决策或其他形式的技术输出——在欧盟境内被实际使用或对欧盟市场产生影响,那么根据效果原则,该系统必须遵循欧盟的法律和标准。其次,根据效果原则,法律管辖权的确定并不依赖于人工智能系统的物理位置,而是依据其产出的影响力。这种管辖权的确定方式扩展了欧盟法律的适用范围,使得在全球范围内影响欧盟的人工智能系统都需符合欧盟法规。这反映了欧盟对商业活动的实质性关注,而不是形式上的地域限制,从而确保了对欧盟消费者的权益和市场公平的有效保护。通过效果原则的应用,欧盟能够对全球企业施加法律责任,要求他们在人工智能系统设计和运营中考虑可能带来的每一个实际影响。这不仅确保了在欧盟内使用的所有人工智能技术都符合规范,还推动了全球科技公司在跨国合规和数据安全方面的积极努力。
然而,此前欧盟将效果原则作为个人数据保护立法的理论依据的合理性就已经在学术界引发了广泛的质疑。批评者认为,网络空间的特性使得以“效果原则”为基础的管辖权过于模糊与广泛。在经济全球化和网络全球互联的背景下,国家对网络活动的联系变得普遍而复杂。如果各国都依据效果原则进行立法,可能会导致频繁的管辖权冲突,因为理论上几乎每个国家都可能声称对某些数字行为或数据处理活动有管辖权。无独有偶,该原则在《法案》中也存在类似的争议。
在《法案》中,(c)条款中的“产生的产出(produced 'output' used in EU)”以及(g)条款中的“受影响者(affected oerson located in EU)”都可以视为效果原则的体现,接下来就文本进行具体的阐释。
(一)“产生的产出”
与GDPR第 3(2) 条对境外实体的管辖原则类似,《法案》序言第22条明确指出:“本条例也应适用于在第三国设立的人工智能系统的提供者和部署者,只要这些系统产生的输出结果意图在欧盟境内使用(intended to be used)。”这个表述侧重于人工智能系统的产出或结果,无论这些结果是通过数据分析、决策支持系统、自动化流程还是其他形式呈现,只要这些产出“意图”在欧盟境内被使用,就会受到《法案》的规制。这种定义使得法律的适用范围不仅限于欧盟内的人工智能系统,也涵盖那些虽然在欧盟外开发和运行但对欧盟市场和居民产生影响的系统。
然而,同样就“产生的产出”进行立法规定的第 2(1)(c) 条在用语上与序言略有不同:“本法适用于场所位于第三国或者位于第三国的人工智能系统提供者和部署者,其系统产生的产出用于欧盟。”与序言第22条相比,第 2(1)(c) 条去除了“意图”要素,而是规定,只要系统的输出在欧盟使用,无论是否有意图使用,都受到《法案》的约束。
此处用语上的细微差别可能导致不同的法律适用,即“主观意图”是否应成为该规定适用的要件之一。如果采用的是第2(1)(c)的法律用语,则表明,《法案》相较于GDPR,已经不再考量主体的主观意图,而是取决于客观事实。即使欧盟境外的提供者/部署者没有意图将其人工智能系统或者通用人工智能模型在欧盟境内使用,该主体也可能受人工智能法案的约束。目前对于“意图”是否应该作为该条的构成要件之一尚无定论,但可以预见的是,未来法律实践中对于“意图”的判断将可能成为个案中争议的焦点。
为进一步说明《法案》中“产出的产出”如何实现其域外效力,我们可以构建一个假想的案例:假设有一家注册于美国的科技公司名为TechVision,该公司开发了一种基于人工智能的招聘系统,旨在帮助企业筛选求职者。这个系统利用大数据分析和机器学习算法,为雇主提供关于候选人职位匹配度的建议。TechVision的系统主要在美国开发和执行,但其业务扩展至全球客户,其中包括多家欧盟企业。在欧盟境内,欧盟一家跨国企业采用了TechVision的人工智能招聘系统来辅助其进行员工招聘。尽管系统在美国运行并由TechVision在美国维护和更新,但分析结果直接被欧盟的这家企业用于实际的招聘决策。根据《法案》,由于该人工智能系统的产出(招聘决策)在欧盟境内被使用,TechVision公司必须确保其系统的输出符合欧盟的规定,即便其系统的主要运行和管理是在美国。为了符合《法案》的要求,TechVision需要证明其人工智能模型符合欧盟在数据处理、透明度、公平性及非歧视性方面的要求。此外,该公司可能还需对人工智能系统进行独立的技术审核,以确保算法没有偏见,并且产出结果是可解释的。如果TechVision的系统因未能满足合规要求导致在欧盟市场产生不良后果,如招聘过程中存在歧视行为,TechVision将可能收到欧盟的法律和监管部门的调查,并承担相应的法律责任。此案例展示了即使TechVision的地理位置位于欧盟之外,但因为其人工智能系统的产出在欧盟境内被使用,根据《法案》的域外效力,TechVision仍须承担相应的合规责任。
在该案例情形下,我们看到了人工智能行业所涉及的多方法律问题。一方面,人工智能产品既需要符合GDPR对于数据的相关规定,还需要满足《法案》所要求的透明度和非歧视等要求,而目前美国和欧盟对于人工智能企业的管理显现出不同的两个方向,企业在合规方面需要投入更多的人力物力以满足两方要求。另一方面,在实践中对于域外效力的范围还存在较大不确定性,例如,哪些产出应落入《法案》所规定的“产生的产出”中?是否要区分人工智能系统的产出是决定性还是辅助性的?如何判断TechVision是否有主观上将该系统运用于欧盟的“意图”?这些问题的不确定性也增加了法律适用的复杂性。
(二)“受影响者”
除了2(c)条款外,《法案》的2(g)条款表明,该法同样适用于“位于欧盟内的受影响者”,在理解“受影响者(affected persons located in EU)”这一概念时,需要明确的是,该条适用的是欧盟境内可能受到人工智能系统产出影响的“个人”。《法案》虽没有对“受影响者”施加义务,但是受影响的自然人可以对人工智能生命周期中的所有实体行使其权利,包括部署者、提供者等。该条可以视作对2(1)(c)条款的补充,尽管位于第三国的人工智能企业可能没有意图将其产生的产出在欧盟境内进行使用,但如果企业活动最终通过某些途径对欧盟境内自然人造成影响,仍应受到《法案》的管辖。
其具体内涵可从以下几个方面进一步阐释:首先,“受影响者”(affected persons)范围广泛,不仅限于直接与人工智能系统交互的人,也包括那些因这些系统的决策或行动间接受到影响的个体。例如,一个人工智能招聘系统既影响招聘者的判断,也影响被筛选的求职者的就业机会;其次,所受的影响包括积极和消极影响,如改善产品、因算法偏见而导致的不公平待遇等。因此,法律所指的“受影响”范围涵盖任何由人工智能系统直接或间接导致的效果,包括潜在的隐私侵犯、歧视或其他人权问题。
此外,该条款所体现的管辖原则不局限于欧盟地理边界之内。具体而言,该条款中的“位于欧盟”(located in EU)的概念,涵盖了所有在欧盟境内与人工智能系统产生交互的个体,无论这些交互发生于何地。这意味着,即便人工智能技术在全球范围实施,其对欧盟内个体的影响仍需遵循欧盟的法律和标准。通过这样的规定,欧盟在法规中体现了对其境内所有居民权益的保护,不论这些影响来自境内或境外开发的系统。这种对“受影响者”的界定和保护确保了任何对欧盟居民有实质影响的技术应用,尤其是人工智能系统,都必须符合严格的法律和道德标准,保障其权益不受侵犯。
综上所述,该条款尤其体现了《法案》的域外效力,即便人工智能系统是由非欧盟企业开发并在欧盟外运行,只要其对欧盟境内个人产生影响,仍适应《法案》。这突破了传统法规的地域界限,覆盖了所有直接或间接影响欧盟居民的人工智能主体行为。这种全面性增强了法规的域外效力,体现了法规对技术影响的全面性和前瞻性,也是该法在技术与人权之间相权衡的体现。
五、《人工智能法案》域外效力影响
(一)域外管辖条款与他国法律的冲突
首先,在国际法领域,管辖权冲突始终是一个核心问题。“长臂管辖”的有效性不仅依赖于国家的综合实力,还取决于立法的速度与先后,更关键在于法律规范能否切实回应特定社会需求。他山之石,虽可以攻玉,但在比较法的研究范畴内,应当避免采取简单的“拿来主义”策略,而是基于各国的法律体系、社会文化背景进行深入分析。不同国家和地区在人工智能治理上的路径和措施各异,反映了各国技术发展水平、社会需求和价值取向的差异。《法案》所规定的域外效力在理想状态下确实所涉甚广,但其在世界范围内能产生的影响力,取决于其是否满足各国在价值共识、产业发展、技术进步以及包括消费者在内的社会公共需求。如果一部欧盟法能够满足这些需求,就不存在所谓的“布鲁塞尔效应”,而是达成最具辐射力的共识。值得注意的是,在探讨人工智能法规的域外适用性时,我们仍将面临多方面的法律挑战。
其次,各主权国家的意识形态和法律框架方面的调整与发展仍处于一个动态且不确定的阶段。尽管《布莱切利宣言》(Bletchley Declaration)作为纲领性文件已经达成了力求推动人工智能的安全、负责任和伦理性的发展的共识,但实质性的法律冲突和主权冲突可能成为域外效力实施的潜在障碍。《法案》中过于严苛的标准会对“布鲁塞尔效应”的实现产生负面影响:欧盟的标准如果被认为过于繁重或滞后,则可能会被忽视或绕过。例如,《法案》中对于“受影响者”所受的影响究竟如何界定?效果原则施加的过重监管是否符合技术发展趋势及各国发展理念?法律条文的定义与解释在不同国家间还可能引发理解上的分歧,这种情况在涉及国家核心监管政策时尤其显得尖锐,需要在主权与国际合作之间进行细致的平衡。此外,文化和社会背景的差异也可能造成某些法律精神在不同地区的误解或偏离。例如,隐私保护在欧美国家与亚洲国家的关注点和执行力度存在显著差异,这从目前欧盟和美国之间就人工智能企业关于“软法”和“硬法”的不同立法态度上也可见一斑。
可以预见的是,国际企业在遵守不同国家的法规时将面临巨大挑战,进而阻碍跨国贸易和科技合作的顺畅进行。为了有效应对这种挑战,各国需在制定和实施涉及跨国效力的数字法规时,寻求国际合作与妥协,以实现全球治理的协同效应。
(二)域外管辖条款与需求市场的适配
在全球化背景下,基于对欧盟市场的需求和技术市场规模的现实考量,企业往往不得不遵守其法律法规以维持市场准入。尽管如此,企业合规意愿与现实需求之间的张力不容忽视。在《通用数据保护条例》(GDPR)生效后的半年内,欧盟的中小企业在融资方面遭遇了显著挑战,而大型企业则因合规优势而获益。这一现象凸显了在法规实施初期,不同规模企业在适应性上的差异。可以预见,随着《法案》的施行,企业合规的成本与负担将呈现出经济和法律的双重挑战。尽管域外适用性为全球人工智能法规的制定提供了明确框架,但其实施仍需克服这些法律障碍。国际社会需要通过积极的对话和跨境合作,在尊重各国主权和文化差异的基础上寻求共同解决方案,以协作构建更加一致和有效的全球人工智能治理机制。
如若《法案》中的限制标准与产业促进措施实现了良好平衡,则该法可能会成为增强欧盟相关竞争力和影响力的利器。欧盟可以成功地将自己确立为人工智能监管的规范设定者,以此增强其在国际谈判中的地位,还可为其他国家设立先例。但在“布鲁塞尔效应”严格标准的要求下,法律规则与现实需求的适配与否是否会成为掣肘“布鲁塞尔效应”的因素还尚未可知。例如,有观点认为《法案》对人工智能技术施以严格的监管要求,将使开发者面临高昂的合规成本和不成比例的责任风险,导致创新企业和投资者将业务和资金转移至欧盟以外地区。如前文所述,虽然通用人工智能模型的提供者可以在预定目的上有较大的灵活性,但人工智能系统的提供者仍需要满足较高的合规要求。并且,由于法案将监管责任转移到了欧盟内的部署者身上,在企业合作、业务流转过程中对于各方义务的衔接需要各主体仔细磋商,以免对各国家主体间的市场流动以及技术创新产生不利影响。因此,欧盟还需基于国际通行的治理原则,确保该法的推行与合规的成本可控,防止主权国家回应寥寥、相关主体切割市场,从而阻碍《法案》的全球推广。
六、结语
《人工智能法案》的域外效力彰显了欧盟在人工智能领域立法的前瞻性和广泛影响力。该法案的适用范围不仅覆盖了欧盟境内的人工智能活动,还通过其宽泛的域外管辖条款,对全球范围内的人工智能系统和相关活动施加了法律约束。然而,这种宽泛性也带来了实施上的复杂性和挑战,其在实践中可能会引发管辖权冲突、法律的不确定性,以及阻碍跨国贸易和科技合作。为了有效应对这些挑战,国际社会必须通过加强合作与寻求妥协,建立一个清晰、一致的法律框架。这一框架应当有益于减少法律冲突,明确各方的权利与义务,同时促进国家间法律协调与合作。通过这种方式,可以为全球人工智能的治理提供一个稳定且可预测的法律环境,从而支持技术创新和国际贸易的健康发展。在构建这一框架的过程中,应当考虑到不同国家和地区在法律传统、文化背景、经济发展水平以及技术能力方面的差异。此外,还需要确保法律框架的灵活性,以适应人工智能技术的快速进步和不断变化的市场需求。通过国际合作,可以共同探讨和制定适应性强、普遍接受的法律规范,以促进全球人工智能的健康发展和有效治理。
注:因字数关系,注释省略,详见《电子知识产权》刊发的同名文章。如引用、转发请注明《电子知识产权》2025年第1期。
(未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任)
本公众号定期推送知识产权及竞争政策相关的法律政策与政府文件、最新全球行业信息、原创文章与专家观点、业内高端活动消息、《电子知识产权》(月刊)&《竞争政策研究》(双月刊)文章节选及重磅全文、专利态势发布、中心最新成果发布及相关新闻报道等诸多内容,欢迎各界人士关注!