引言

　　2024年7月，欧盟在人工智能(AI)监管方面迈出了重要一步，其在官方网站上正式发布了2024/1689号条例——人工智能法案。这项法案包括180个序言、113条款和13个附件。历时三年，经过成员国与欧盟理事会、欧盟议会等欧盟层面机构的多次磋商讨论，面临欧盟、美国等国家/地区科技巨头企业的担忧与疑虑，欧盟人工智能监管立法终于迎来发布的时刻。

　　欧盟《人工智能法案》期望沿用以往通过单方面制定法律制度，对全球新兴AI商业环境和规则体系形成“布鲁塞尔效应”。即通过欧盟内部市场和制度架构，单方面影响全球监管标准，进而获取谈判资本和再次利益分配权。这对中国车企带来了合规成本陡增、技术主权受限、产业链重构等新的挑战，笔者希望通过对该法案高风险AI系统分类规则、数据治理框架及认证壁垒的解读，为中国智能汽车企业突破欧洲市场准入瓶颈、构建全球化合规体系提供应对建议与创新解决方案。

　　一、《人工智能法案》法案简述

　　《人工智能法案》(以下简称为“法案”)适用于在欧盟范围内将人工智能系统及嵌入AI系统的通用人工智能模型投放市场或投入使用的众多利益相关方，此等利益相关者即受《欧盟人工智能法》的拘束。检视是否须遵守该法规定的合规义务须确定自身在客体、主体方面是否适格。

　　01适用客体

　　法案将AI系统定义为：“指一种基于机器的系统，旨在以不同程度的自主性运行，并在部署后可能表现出适应性，且为明确或隐含的目标，从其所接收的输入中推断出如何生成如预测、内容、建议或决策等输出，这些输出能够影响物理或虚拟环境。”

AI系统定义与组成

　　02适用主体

　　包括在欧盟境内将人工智能系统(AI system)投放市场或投入使用的所有人工智能系统的运营商，包括提供商、部署者、进口商、分销商、产品制造商、欧盟境内未设立的提供商的授权代表(无论其在欧盟境内还是境外);以及受影响的人员。

法案中适用对象分类

　　03适用时间表

　　法案分阶段实施，包括2025年启动高风险系统监管，2026年推行监管沙盒支持创新等，逐步扩大适用法规的范围。同时考虑到人工智能相关技术的快速发展等因素，将对法案进行持续审查。

法案分阶段实施时间表

　　04法案重点内容

　　法案以风险分级为核心框架，将人工智能系统划分为不可接受风险(如社会评分、实时生物识别执法等全面禁止场景)、高风险(覆盖关键基础设施、教育、就业等八大领域，需第三方安全评估及全生命周期合规管理)、有限风险(需透明度义务)和低风险(仅基础义务)四类，并针对通用人工智能模型(GPAI)设定独立规则(如数据版权披露、系统性风险模型额外评估)。同时明确全产业链责任主体及最高达全球营业额7%的严厉处罚，形成“禁止高风险、分级促创新”的治理体系。

AI系统风险等级分类

各等级应用说明及对应监管措施

　　二、中国车企AI合规应对建议

　　01车企应对路径

　　出海至欧盟的车企(也可适用于AI企业)总体来说主要总结为“22N”合规应对路径，解释来说就是：

　　两项识别：识别“是否为AI系统”“是否为提供商”，并根据识别结果深入业务场景与产品功能，结合法规要求整理形成识别分析报告。

　　两项评估：评估“风险等级”“责任主体”开展深入专项评估，针对性形成专项评估报告。

　　N项关注：关注GDPR等各项数据合规要求，体系化建立数据合规组织框架、制度文件、技术保护措施等。

　　02实施方案

　　2.1 两项识别

　　结合法案相关内容，中国车企优先开展围绕“是否为AI系统”“是否为提供商”进行判断识别，根据识别情况开展对应的专项评估工作，如果识别为不可接受风险，是不能在欧盟投放的，违者将行政罚款最高可达3500万欧元或企业全球年营业额的7%(以较高者为准)。

　　其次判断其是否为通用AI系统，如果满足则需履行AI模型合规义务，包括起草并及时更新模型的技术文件，记录培训和测试过程及其评估结果等。

　　最后针对AI系统判断其是高风险AI系统、有限风险AI系统以及最小风险AI系统哪一部分。

“2项识别”流程图示

　　2.2 两项评估

　　针对目前主流的智能网联新能源汽车进行评估，其中产业链中涉及AI系统的主要包括ADAS/AD系统与人机交互系统，其中ADAS/AD系统因属于交通领域且会给人员安全带来隐患，分析所处等级为高风险人工智能系统;人机交互系统为与用户交互系统，若不涉及人脸识别等功能，则属于有限风险人工智能系统，按照法规中当较高风险和较低风险的AI系统同时存在，可以采用“就高不就低”的原则，对风险进行较严的风险防控。

　　而针对高风险人工智能系统，法案提出了三维度监管原则：

　　各责任主体统一监督。法案对高风险AI系统价值链中各主要参与者均设计了相应的义务主体，主要包括以下四类：AI系统提供商，AI系统部署者，AI系统进口商以及分销商。其中，某类参与者是否承担以及应承担何种义务，因其所涉及的AI系统风险等级和对AI系统的参与深度而异。基于此，高风险AI系统提供商将承担最为全面和严格的义务。

　　 各行业统一监督。法案适用于使用高风险AI系统的各行业主体，作为一项广泛意义上预防AI产品系统性风险的立法，并不仅仅针对某个或某些特定领域，而是AI监管与治理的全领域通用性立法。

　　系统全生命周期统一监督。高风险AI系统在包含投放市场或投入使用之前在内的整个生命周期中均需接受审查。其监管措施包括强制性的风险管理体系、严格的数据和数据治理要求、技术文档和记录保存要求，以及上市后监控和事件报告要求等。
　　进一步明确车企所在的责任主体，因车企作为开发或拥有已经开发的AI系统，以自己的名义或商标将其投放市场或在欧盟投入服务的自然人或法人，自身所在的责任主体为AI系统提供商，高风险AI系统提供商在法案框架下应履行的合规义务覆盖产品全生命周期，细分为高风险AI系统投放市场前、投放市场时以及投放市场后三个阶段。

高风险AI系统提供商的全生命周期合规义务与责任

　　2.3 N项关注

　　在针对AI部署体系化监管的同时，欧盟监管机构对于AI研发与投放中必然会遇到的数据合规问题也保持了充分的关注。

　　 同时，欧盟已经开始出现针对AI大模型训练及应用场景的数据合规领域的举报和监管案例，都在提醒有出海欧洲计划的中国车企需要重视欧盟在数据合规方面的要求，采取妥善方案应对相关挑战，主要重点关注以下几方面。

AI系统数据合规方面需重点关注的问题

　　03能力体系建设

　　3.1 安全组织能力建设

　　建立基于三线模型的安全组织架构，由一线业务部负责执行和检查、二线负责独立安全测评、三线负责独立安全审计，形成职责清晰、分工明确、多方联动的安全三线组织架构。

基于三线模型的AI安全治理架构

　　3.2 产品安全保障体系建设

　　构建覆盖AI系统全生命周期的产品安全保障体系，从需求设计到投入市场运行阶段实施分层风险管理，结合数据治理、可解释性模块及第三方评估确保开发合规性，部署阶段强化实时监控与CE认证，同时通过跨部门治理和动态合规响应机制协同应对欧盟监管，将合规转化为“安全可信”的竞争优势，实现从被动防御到主动赋能的战略升级。

AI产品全生命周期风险管理保障体系

　　三、总结

　　欧盟《人工智能法案》的出台标志着全球AI治理进入"硬约束"时代，其以风险分级为核心的全生命周期监管框架，为中国车企的智能化出海构筑了新的合规壁垒。法案通过"四维风险矩阵"(不可接受风险、高风险、有限风险、最小风险)构建起精准化监管体系，特别是在自动驾驶、生物识别等关键领域设置严格准入标准，要求企业建立覆盖研发、测试、部署、运维的全流程合规体系

　　对于中国车企而言，智能网联汽车的ADAS/AD系统因涉及人身安全被划入高风险类别，需直面三重挑战：一是技术层面需满足数据治理、算法可解释性等硬性指标;二是管理层面要构建跨部门协同的合规组织架构;三是运营层面需应对动态监管带来的持续合规成本。而人机交互系统等有限风险场景，则要求企业在透明性告知、用户权利保障等方面建立标准化操作流程。

　　基于"22N"应对路径，车企应当把握三个战略支点：首先，建立"风险-责任"双维映射机制，通过AI系统识别矩阵实现精准定位;其次，打造"预防-响应"双重保障体系，将合规要求嵌入产品开发V模型;最后，构建"技术-制度"融合治理框架，将GDPR等数据规则与AI法案有机衔接。特别是在自动驾驶领域，需重点突破三大能力建设，包括基于场景迭代的风险评估能力、符合欧盟标准的可追溯技术能力以及应对监管沙盒的敏捷测试能力。

　　展望未来，中国车企应以合规为契机，推动三个层面的战略升级：在技术研发层面，加快可信AI、隐私计算等核心技术攻关;在标准建设层面，积极参与国际规则制定，推动中欧标准互认;在生态构建层面，通过设立欧洲研发中心、与认证机构战略合作等方式，实现本土化合规能力的内生增长。唯有将合规压力转化为创新动力，方能在全球智能汽车产业竞争中掌握规则话语权。