歐洲對 AI 的監管:歐盟 AI Omnibus 法案的影響與挑戰
歐盟議會已通過《AI Omnibus》法案,旨在簡化《人工智慧法》(AI Act)中的某些條款,該法將自2024年8月起正式生效。本次修訂特別針對高風險系統設定了具體時程:用於獨立軟體的系統需至2027年12月前符合規定;嵌入醫療設備或工業裝置的系統則延後至2028年8月。
這些被歸類為「敏感應用的」AI 系統涵蓋了影響公共利益的重要領域,例如:醫療診斷、個人選拔(如招聘)、司法程序等。這些應用因可能涉及健康風險、隱私侵害或基本人權而受到嚴格監管。
根據法案內容,高風險 AI 系統必須遵守以下規範:資料品質要求、資訊安全防護、技術文件完整性,以及確保有效的人類監督機制。針對此規定,歐洲議會議員 Brando Benifei 指出,目前存在關鍵條款未完成的狀況,特別是缺乏統一的技術標準——這些標準應將立法原則轉化為可執行的具體指標,包括資料篩選控制、容許錯誤範圍、抗逆魯莽測試,以及必須介入的人類審查流程等。若無法建立這些標準,法規中的義務可能僅流於形式。
這種情況在觀察者眼中形成了一種矛盾:雖然《AI Act》被視為歐洲創新產業的束縛,但對前沿 AI 模型的開發者而言,其最嚴格的條款尚未實施。目前唯一已全面生效的部分是禁止使用 AI 進行犯罪預測和社會評分(如「社會信用」)。
歐盟內部事務委員會(以下簡稱“本局”)的 Benifei 顧問指出,將企業的敏感系統進行認證的規範,預計要到 2027 年底才會生效。Benifei 強調,與 AI 開發者交流是找出真正問題的關鍵:資金流動、運算能力以及資料相關法規框架。「歐洲企業必須確保這些資料合法且快速地獲取。」此外,GDPR(通用資料保護規範)、Data Act 以及 Data Governance Act 等法規將持續影響 AI 系統的品質。由於可用資料對 AI 表現至關重要,若歐洲企業無法合規取得資料,將導致競爭力下降。Benifei 指出,這是一個非常微妙的環節,「我們希望在歐洲保持高度的隱私保護。」然而,這些規範並非由即將推出的《人工智慧法案》(AI Act)所驅動,後者主要針對「具有系統性風險的大型模型」設定更嚴格的義務。
目前全球僅有少數 AI 系統,包括 OpenAI 的 GPT 和 Anthropic 的 Claude。對於開發者而言,他們需要與歐洲 AI 辦公室(European AI Office, EAAO)分享有關資料管理的資訊以及風險緩解措施。這些義務自 2025 年 8 月起便已生效。在歐洲,Mistral 是唯一接近這項門檻的企業。而在台灣,「域望科技」的 Domyn 被視為引領歐盟主權 AI(Sovereign AI)發展的關鍵人物。《AI Act》對他來說是「絕對的優勢」。然而,該法案也面臨批評,例如來自歐洲的一些利益相關者認為它是一個問題。
布魯塞爾法律事務所合規專家 Anu Bradford 提醒大家注意一個經常被忽略的歷史細節:在 2010 年之前,歐盟幾乎沒有技術規範,而正是在此期間,美國迎來了 Meta 和 Google 的誕生。儘管歐洲企業並未落後太遠,但投資規模和速度仍存在差距。
Benifei 指出,延遲對 AI 的規範化將持續影響研究投資者的信心。根據 2025 年的 IA 風投資料,歐盟僅佔全球市場的 6%,約為 158 億美元;而美國則佔據了 75%(約 194 億美元)。
這段內容的繁體中文譯文如下:
這個差異實在太大,事實上,實在難以由一項自 2025 年開始逐步產生效應的新法律來解釋。
