歐盟 AI 法案:歐盟執行委員會發布通用人工智慧行為準則
本文摘要
歐盟《人工智慧法案》(簡稱「AI 法案」)建立了一套全面且以風險為基礎的監管框架,其中包括針對通用人工智慧(General-Purpose AI,簡稱「GPAI」)模型的相關條文,自 2025 年 8 月 2 日起生效。AI 法案特別指出,GPAI 模型的提供者可以依據由歐盟執行委員會採納的行為準則(Code of Practice),來證明其在透明度、著作權,以及系統性風險等義務方面的合規性。
2025 年 7 月 10 日,歐盟執委會發布了 GPAI 行為準則。該守則分為三個章節:透明度、著作權,以及安全與保障。這份自願性質的準則,提供 GPAI 模型提供者一套詳盡的措施,可用來證明其符合 AI 法案第 53 條與第 55 條的規定。這份 GPAI 行為準則是經由歐盟執行委員會、新成立的歐盟人工智慧辦公室(EU AI Office),以及多方利害關係人草擬小組歷經數月合作的成果,預期將在未來數週內獲得歐盟成員國與歐盟執委會的認可。該準則也同時搭配於 2025 年 7 月發布的兩份文件:一份是關於 GPAI 模型關鍵概念的指導方針,另一份是 GPAI 模型訓練數據摘要範本。希望透過 GPAI 行為準則以證明合規性的模型提供者,應儘早開始實施該準則中的相關措施。
通用人工智慧行為準則(General-Purpose AI Code of Practice,以下簡稱「行為準則」的發布,是繼歐盟執委會於今年稍早發布用於通用人工智慧模型(general-purpose AI models,簡稱「GPAI 模型」)的訓練數據摘要範本草案之後的重要進展。該範本已於 2025 年 7 月 24 日正式發布(詳見我們先前的評論)。
這是歐盟AI 法案分階段遵循法規時程的一個關鍵時刻。該行為準則的發布,接續了AI 法案自 2024 年 8 月 1 日生效後的第一個合規期限——針對被禁止的人工智慧系統與人工智慧素養,其法令遵循截止日為 2025 年 2 月 2 日(詳見我們關於被禁止 AI 系統與 AI 素養的評論)。
法律框架(Legal Framework)
這份行為準則是透過多方利害關係人合作的過程所制定的自願性指引,參與人數近 1,000 人。其目的是協助GPAI模型的提供者遵守AI 法案中的相關義務。
GPAI 模型是指能夠跨不同領域執行多種任務的人工智慧系統,包括自然語言處理、圖像辨識、資料分析等功能,並常作為開發特定用途 AI 應用的基礎技術。
雖然遵守行為準則並不代表完全沒有監管風險,但它為模型提供者建立了一個有力的法遵架構,協助展示其已符合 AI 法案第 53 條與第 55 條的規定,特別是根據第 53 條第 4 項(Article 53(4))所述。
反之,若未採納 GPAI 行為準則或其他類似架構的模型提供者,將面臨更為複雜的法遵程序,也可能受到歐盟 AI 辦公室及各國主管機關更嚴格的審查。若違反與 GPAI 相關的 AI 法案規定,最高可被處以 1,500 萬歐元或全球年營業額 3% 的罰款(以較高者為準)。
這些罰則將自以下時間點開始適用:
- 自 2026 年 8 月 2 日起,適用於所有「原始版本與修改版本」皆於 2025 年 8 月 2 日之後在歐盟市場上架的 GPAI 模型;
- 自 2027 年 8 月 2 日起,適用於所有「原始版本與修改版本」皆在 2025 年 8 月 2 日或之前上架的 GPAI 模型。
不過,目前仍不清楚以下情況會從何時開始適用罰則:若某個 GPAI 模型的原始版本在 2025 年 8 月 2 日或之前已上架,但其修改後的版本卻是在 2025 年 8 月 2 日之後才上架。究竟這類模型是否從 2026 年或 2027 年開始接受監管執法,仍有待釐清。
值得注意的是,即使上述情況享有一至兩年的執法寬限期(grace period),但一旦出現不合於規定的情形,仍可能面臨來自個人或團體的法律訴訟。
該行為準則應與以下兩項內容一併參考:
- 針對通用人工智慧(GPAI)模型關鍵概念的指導方針,提供解釋框架,幫助模型提供者了解其在AI法案中的義務(2025 年 7 月 18 日發布);
- 用於總結 GPAI 模型訓練數據的範本,列出主要數據來源,並支持著作權人等利害關係人在歐盟法律下行使權利(2025 年 7 月 24 日發布)。
行為準則的架構與主要條款 行為準則分為三個章節,分別聚焦於不同議題:(i)透明度;(ii)著作權;以及(iii)安全與保障。前兩個章節指導 GPAI 模型提供者如何遵守AI法案第 53 條的義務,而第三章則適用於較少數、符合第 55 條系統性風險規定的最先進模型提供者。
1. 透明度—落實 AI 法案第 53 條第 1 項 (a) 至 (b) 款
提供者必須填寫一份詳細範本,涵蓋模型架構、訓練方法、數據來源、計算資源及能源消耗等資訊。該文件須至少保存 10 年,並提供給下游系統提供者,如有要求,也須交給 AI 辦公室或國家主管機關查閱。
提供者須建立資訊通報管道,及時向下游用戶揭露相關資訊,協助用戶自行評估是否符合 AI 法案的規定。
行為準則在推動透明度的同時,也平衡智慧財產保護。提供者若為保護商業機密,得在必要範圍內進行資訊刪減,但須允許監管機關在安全環境下查閱該等資訊。
2. 著作權—遵守歐盟著作權法(AI 法案第 53 條第 1 項 (c) 款)
- 書面著作權政策
提供者必須制定董事會層級的政策,明確指派組織內負責著作權合規的單位或人員。 - 合法的網路爬取
訓練數據必須是「合法取得」的,且提供者應尊重網站透過機器可讀格式(如 robots.txt)所設定的資料擷取排除規則,避免違規爬取內容;禁止從「持續且反覆侵犯著作權的網站」擷取資料。 - 防範侵權輸出
提供者需建立適當且相稱的技術措施,避免模型生成侵權內容,在可接受使用政策(acceptable use policy)中禁止侵權行為,並維持線上投訴機制供權利人申訴。
3. 安全與保障—系統性風險管理(AI 法案第 55 條)
- 安全與保障框架
提供者需制定文件,說明其系統性風險管理流程,並定期更新此框架。 - 重大事件通報
依事件嚴重程度,提供者需於兩日至十五日內向 AI 辦公室通報重大事件。 - 資安控管
提供者須對模型及相關實體基礎設施採取充分的資安措施,涵蓋整個模型生命週期,以防止未授權的洩漏、存取或模型竊取。 - 安全與保障模型報告
於模型上市前,提供者需準備一份模型報告,詳細說明其如何評估及減緩系統性風險,且該報告必須保持最新狀態。
預計進展
歐盟成員國與歐盟執行委員會將於未來數週內審查通用人工智慧(GPAI)行為準則。根據歐盟執委會 GPAI 行為準則網頁上公布的時程,歐盟人工智慧辦公室(AI Office)與人工智慧委員會(AI Board)將在 2025 年 8 月 2 日評估該準則,並可能以適足性決定(adequacy decision)予以批准。
一旦 GPAI 行為準則獲得歐盟成員國與執委會的認可,自願簽署該準則的 AI 模型提供者即可依據行為準則來證明其符合AI法案的要求。已有數家知名的 GPAI 模型提供者表示,準則獲相關主管機關認可後,願意成為簽署方。
從 2025 年 8 月 2 日起,AI 辦公室將與行為準則簽署者密切合作,確保他們的 GPAI 模型能夠順利在歐盟市場推出。即使提供者在簽署後未立即完全落實所有承諾,AI 辦公室也不會認為其違反行為準則或AI法案,而是會肯定其誠意並與其合作,協助達成全面合規。
不過,自 2026 年 8 月 2 日起,歐盟執委會將正式強制執行所有義務,並對未遵守規定的提供者處以罰款。
三大重點整理
- 雖然是自願性質,但行為準則(Code of Practice)很可能會成為歐盟監管機構和法院在評估是否符合《人工智慧法案》(AI 法案,AI Act)第 53 條與第 55 條時的重要參考依據。
- 簽署行為準則並展現出落實其中措施的誠意與努力的 GPAI 模型提供者,將可在第一年期間,獲得歐盟 AI 辦公室(AI Office)較具協助性的遵循法令指導
- 自 2026 年 8 月 2 日起,若未能符合 AI 法案對通用人工智慧(GPAI)模型的要求,可能會面臨高額罰款,金額為 1,500 萬歐元或全球年營業額的 3%,以較高者為準。對於在 2025 年 8 月 2 日前已經在歐盟市場上架的 GPAI 模型,則會有為期一年的寬限期,至 2027 年 8 月 2 日截止。
眾達出版品不應視為任何具體事實或情況的法律意見。眾達出版品內容僅供作一般參考之用,未事先取得本所書面同意,不得於任何其他出版品引用或提及,本所得依自行裁量決定同意與否。如欲請求准許翻印任何眾達出版品,請使用本網站的「與眾達聯繫」表格。寄送此表並不代表成立律師與當事人關係,而接收此表亦不構成律師與當事人關係。本網站所示意見僅為作者個人看法,不代表本所立場。
