您的位置 : 环球研究 / 环球评论 / 新闻详情
《欧盟通用人工智能模型提供者义务范围指南》评析
2025年08月04日王可 | 吴颖雯

鉴于欧盟《人工智能法案》中有关通用人工智能模型的规定将于2025年8月2日生效,为澄清通用人工智能模型提供者的义务及其范围,帮助相关企业开展合规工作,欧盟委员会于2025年7月18日发布了《人工智能法案》规定下的通用人工智能模型提供者义务范围指南(Guidelines on the scope of the obligations for general-purpose AI models established by Regulation (EU) 2024/1689 (AI Act),以下简称“《指南》”)[1]

 

在此之前,2025年7月10日,欧盟委员会发布了《通用人工智能模型实践准则》(General-Purpose AI Code of Practice),同样旨在帮助相关企业遵守《人工智能法案》关于通用人工智能(General-Purpose AI,简称“GPAI”)的规定[2]。两个文件互为补充,是在GPAI领域落地该法案的重要参考文件。相关执法政策和措施也将由其产生。两个规则均不具有强制性,但均经过向利益相关者的广泛咨询,直接反映了欧盟委员会对GPAI关键法律问题的解读。《指南》详尽解释了《人工智能法案》中的关键术语,将重点放在概念厘清和执法实践指导;《通用人工智能模型实践准则》体现了行业最佳实践的总结,签署该准则将被视为与欧盟委员会下属的人工智能办公室(AI Office)开展非正式合作。在两个指引性文件的基础上,欧盟人工智能法律框架得到进一步完善、并逐步形成落地执行力。

 

根据该法案的要求,相关企业应遵守下述时间轴:

  • 自2025年8月2日起,欧盟《人工智能法案》中关于通用人工智能模型提供者义务的规则开始生效。在此日期之后计划将其GPAI模型投放市场的通用人工智能模型提供者必须遵守规定该规则,并应配合人工智能办公室的工作。
  • 自2026年8月2日起,欧盟委员会的执法权开始生效。欧盟委员会将对通用人工智能模型提供者违反合规义务的行为进行执法,包括处以罚款。
  • 截至2027年8月2日,在2025年8月2日之前将其GPAI模型投放市场的提供者必须遵守欧盟《人工智能法案》的相关规定。

一、对法定义务范围和义务人的界定

 

(一)关于“通用性”的定义

 

欧盟《人工智能法案》第3条第(63)款以概括性内容规定了通用人工智能模型的认定要素:通过大规模数据进行自我监督训练的人工智能模型,且显示出显著的通用性,能够胜任执行多种不同任务;无论该模型如何投放市场,均可集成到各种下游系统或应用程序中,但不包括用于市场投放前的研究、开发或原型设计活动的人工智能模型。

 

《指南》第2.1条认为,在潜在提供者评估其模型是否属于GPAI模型时,欧盟人工智能法的定义需要进一步明确。鉴于GPAI模型的应用能力与应用场景种类繁多,无法列出其必须具备的具体能力清单或必须能够执行的任务清单,欧盟委员会采取了设定指示性判定标准的办法。基于欧盟《人工智能法案》第98和99条进行进一步解释,《指南》第2.1.条第(17)款规定,模型如果满足以下条件,则通常被视为通用人工智能模型:

  • 训练计算量(training compute)大于10^23 FLOP;且
  • 能够生成语言(文本或音频)、文本到图像或文本到视频。

(二)关于“具有系统性风险的通用人工智能模型”的定义

 

《指南》第2.3条规定,“具有系统性风险的通用人工智能模型”是一类特殊类型,其提供者需承担额外义务,主要体现为要求对系统性风险进行评估和缓解。

 

欧盟《人工智能法案》第3条第(65)款将“系统性风险”定义为:一种与通用人工智能模型的高影响能力相关的特定风险,由于其覆盖范围广,或由于对公共健康、公共安全、基本权利或整个社会造成实际或可合理预见的负面影响,将导致对欧盟市场产生重大影响,且这种影响可在价值链中大范围传播。

 

欧盟《人工智能法案》第51条规定了具有系统性风险的通用人工智能模型的分类标准,即GPAI模型符合以下条件时,即应被视为具有系统性风险:具备“高影响能力”,即“与最先进模型记录的能力相当或超越该能力”,同时设置了“高影响能力”的推定标准,即当GPAI模型训练所使用的累积计算资源量(cumulative amount of computational resources)大于10^25 FLOP时,则被推定为具备“高影响能力”。

 

《通用人工智能模型实践准则》的“Safety and Security”一章列举了构成系统性风险的情形,例如对基本权利和安全的威胁(如降低了化学生物武器开发门槛),或在自身可控性方面存在风险(如模型失控等),并收录了当前最前沿的系统性风险管理实践。

 

(三)关于“提供者”的定义

 

欧盟《人工智能法案》第3条第(3)款将GPAI模型的提供者定义为:开发或委托开发通用人工智能模型,并以自身名义或商标在市场上投放该模型的任何自然人或法人、公共机构、代理或其他实体,无论是否收费。《人工智能法案》第54条进一步规定,在将其模型投放欧盟市场之前,在第三国设立或位于第三国的提供者必须指定一名在欧盟境内的授权代表。

 

《指南》第3.1.1条列举了构成GPAI模型的“提供者”的情形,并强调了结合前述法案规定进行个案评估的重要性:

  • 如果主体A开发了GPAI模型并将其投放市场,则主体A是提供者;
  • 如果主体A委托主体B开发GPAI模型,且主体A将该模型投放市场,则主体A是提供者;
  • 如果主体A开发GPAI模型并将其上传至主体C托管的在线库,则主体A是提供者;
  • 如果不同个人或组织为一个合作组织或联盟开发了一个GPAI模型,且该合作组织或联盟将其投放市场,那么通常该合作组织或联盟的协调方是提供者,或者该合作组织或联盟本身可能是提供者,必须根据具体情况进行评估。

(四)关于“投放市场”的定义

 

欧盟《人工智能法案》第3条第(10)款将“投放市场”定义为:为在欧盟市场上分销或使用而首次提供GPAI模型,无论是否收费。《人工智能法案》第97条进一步澄清,GPAI模型可通过多种方式投放市场,包括通过在线库、应用程序接口(API)、直接下载或实体副本等形式。

 

《指南》第3.1.2条列举了将GPAI模型“投放市场”的情形:

  • 首次通过软件库或包在欧盟市场上提供;
  • 首次通过应用程序接口(API)在欧盟市场上提供;
  • 首次上传至欧盟市场上的公共目录、中心或存储库,供直接下载;
  • 首次以实体副本形式在欧盟市场上提供;
  • 首次通过云计算服务在欧盟市场上提供;
  • 首次复制到客户自有基础设施在欧盟市场上提供;
  • 首次集成到通过网页界面提供的聊天机器人中,并在欧盟市场上提供;
  • 被集成到一款移动应用程序中,该应用程序首次通过应用商店在欧盟市场上推出;
  • 被用于对向第三方提供产品或服务至关重要的内部流程或影响欧盟境内自然人权利的内部流程。

(五)特殊情形下的“提供者”及“投放市场”的定义

 

对于将GPAI模型嵌入到下游主体的系统或应用程序中的特殊情形,《指南》第3.1.3条规定,一旦嵌入该模型的系统或程序投入到欧盟市场,即视为GPAI模型投入到欧盟市场,开发者应受到欧盟《人工智能法案》的管辖。除非模型开发者以清晰且明确的方式排除了该模型在欧盟市场上的分销和使用,则下游主体被认定为GPAI模型的提供者。

 

《指南》第3.2条规定了下游修改者(Downstream Modifiers)成为提供者的条件:下游修改者仅在对GPAI模型的修改导致模型通用性、能力或系统性风险发生重大变化时,才被视为修改后的GPAI模型的提供者。

 

上述重大变化的指示性标准是用于修改的训练计算量大于原始模型训练计算量的1/3。如果下游修改者无法得知原始模型的训练计算量,则阈值将替换为以下情况的1/3:

  • 如果原始模型是具有系统性风险的GPAI模型,则为模型被推定为具有高影响能力的阈值(目前为10^25 FLOP);否则
  • 阈值为模型被推定为GPAI模型的阈值(目前为10^23 FLOP)。

(六)开源人工智能模型提供者的部分义务豁免

 

《指南》第4条规定,原则上,所有通用人工智能模型提供者均须遵守欧盟《人工智能法案》第53条和第54条规定的义务。但基于免费和开源许可,不具有系统性风险的通用人工智能模型提供者被允许豁免以下义务:

  • 《人工智能法案》第53条第1款第(a)项:编写并持续更新模型技术文档的义务;
  • 《人工智能法案》第53条第1款第(b)项:编制、更新并向计划集成的人工智能系统提供者提供信息和文档的义务;
  • 《人工智能法案》第54条:第三国GPAI模型提供者指定授权代表的义务。

《指南》第4.2条规定了此种开源豁免的条件:

  • 对外授权的许可证条件:许可证必须允许模型被“公开共享”,并且用户能够“免费访问、使用、修改和分发”模型或其修改版本。如果缺少“访问、使用、修改和以相同或可比条件再分发”这四项中任何一项权利,该许可证则不能被视为《人工智能法案》下的“免费和开源”。
  • 许可证中包含以下条款会使其不符合豁免条件:

    - 限制为非商业或仅研究用途,例如“您只能将该模型用于非商业、不产生收入的研究目的”的限定性表述;

    - 禁止分发模型或其组件,例如“您可使用该模型,但不得分发该模型”;

    - 基于用户规模阈值触发的使用限制,例如,若月活跃用户数超过一定数量,则需额外获取许可;

    - 特定应用场景需要另外获取单独商业许可。
     
  • 不得商业化(Lack of Monetization):不应要求任何货币补偿以换取模型的访问、使用、修改和分发权利。

    视为商业化的情况示例:

    - 模型在双重许可模式下提供,允许免费的学术使用但商业使用需要付费;


    - 提供与模型或其安全不可区分的技术支持和其他服务,若无这些服务模型将无法工作或访问,且这些服务需付费;

    - 用户必须购买支持、培训和维护服务才能访问该模型;

    - 模型由提供者独家托管在需要付费访问的平台或网站上,包括平台或网站本身免费但有付费广告的情况;

    - 访问、使用、修改或再分发模型需要收集或处理个人数据,除非该处理严格限于模型安全且不产生任何商业或经济利益。

    不视为商业化的情况示例:

    - 模型与付费服务一起提供,这种付费服务完全可选且不影响模型的可用性或免费使用;

    - 付费服务或支持(例如模型的高级版本、高级功能、额外工具、更新系统、扩展程序或插件)与模型一起提供,但没有购买义务,且模型的免费使用和开放访问能够得到保证;

    - 微型企业(microenterprises)之间的交易。
     
  • 参数、架构和使用信息的公开可用性:这些信息应以某种格式及足够的清晰度和具体性公开提供,以便于模型的访问、使用、修改和分发。模型使用信息至少应包括模型输入和输出的模态、能力和限制,以及模型集成到系统或应用中所需的技术手段(例如使用说明、基础设施、工具),其中可能包括适用于预期使用场景的适当配置(如适用)。

二、模型提供者需要关注的核心法定义务

 

欧盟《人工智能法案》第五章(CHAPTER V)专章规定了通用人工智能模型,并设置了通用人工智能模型提供者的共同义务(第53条)和仅适用于具有系统性风险的通用人工智能模型提供者的特殊义务(第55条)的两阶层义务框架。

 

(一)通用人工智能模型提供者的共同义务

 

欧盟《人工智能法案》第53条规定了通用人工智能模型提供者的基础义务,包括:

  • 编制并不断更新模型技术文件,包括其培训和测试过程以及评估结果等信息,以便应要求向人工智能办公室和所在国主管当局提供这些信息;
  • 编制、更新并向计划将GPAI模型集成到其人工智能系统中的系统提供者提供信息和文档的义务,在不影响根据欧盟和所在国法律遵守和保护知识产权以及商业秘密或机密商业信息的前提下,应使计划集成的人工智能系统提供者能够充分了解GPAI模型的能力和局限性;
  • 制定政策以遵守欧盟关于版权及相关权利的法律,特别是通过采用最新技术手段识别并遵守Directive (EU) 2019/790第4(3)条规定的权利保留条款(即作品及其他客体被其权利人以适当方式明确保留权利,例如对于在线公开发布的內容以机器可读形式明确保留权利);
  • 根据人工智能办公室提供的模板,制定并公开发布关于用于训练GPAI模型内容的详细摘要,该模板已于2025年7月24日公布[3]
  • 根据本条获得的任何信息或文件(包括商业秘密),应按照欧盟《人工智能法案》第78条规定的保密义务进行处理。

(二)具有系统性风险的通用人工智能模型提供者的额外义务

 

除承担前述义务外,欧盟《人工智能法案》第55条规定了具有系统性风险的通用人工智能模型提供者的额外义务,包括:

  • 按照反映最新技术水平的标准化协议和工具进行模型评估,包括对模型进行对抗测试并记录测试结果,以识别和缓解系统性风险;
  • 评估和缓解包括但不限于源于通用人工智能模型开发、投放市场或使用过程中产生的系统性风险及其来源;
  • 及时记录、报告相关信息,包括重大事件及可能的纠正措施,向人工智能办公室及在适当情况下向所在国主管当局报告;
  • 确保对具有系统风险的通用人工智能模型及其物理基础设施提供适当水平的网络安全保护。

(三)具有系统性风险的通用人工智能模型提供者的通知义务

 

《指南》第2.3.2条第(30)款规定,最先进GPAI模型(即构成系统性风险的GPAI模型)的提供者有义务在其模型达到或已知将达到高影响能力的推定标准起不迟于两周内立即通知人工智能办公室。即使训练尚未完成,如果提供者合理预见到将达到阈值,也应提前通知。

 

《指南》第5.3条规定,截至2025年8月2日,即使尚未完成,任何正在进行或计划训练前述最先进GPAI模型并计划在2025年8月2日之后将其投放市场的提供者,应根据《人工智能法案》第52条,在2025年8月2日起不迟于两周内立即通知欧盟委员会,并配合人工智能办公室确保全面合规。

 

(四)披露义务

 

欧盟委员会要求通用人工智能模型提供者尽到充分的披露义务,并以投放市场时间为界进行合规最佳实践的说明。

 

《指南》第5.3条第(111)款规定,对于在2025年8月2日之前投放市场的通用人工智能模型提供者,如果无法对过去执行的操作进行重新训练或“去学习化(unlearning)”,或者部分训练数据信息不可用,或者检索这些信息会给提供者带来不比例的负担,则无需对模型进行重新训练或“去学习化(unlearning)”,但此种情况必须在版权政策和用于训练的内容摘要中明确披露并予以说明。

 

《指南》第5.3条第(112)(113)款规定,对于在2025年8月2日之后投放市场的通用人工智能模型提供者,《指南》鼓励提供者立即主动联系人工智能办公室。特别是,截至2025年8月2日已完成、正在进行或计划训练GPAI模型尤其是涉及系统性风险的模型且旨在于2025年8月2日之后将其投放欧盟市场的提供者,如果预计在履行通用人工智能模型提供者义务时面临困难,应主动向人工智能办公室通报其计划如何及何时采取必要措施以履行相关义务。

 

(五)签署并遵守《通用人工智能模型实践准则》,或采取同等替代合规手段

 

欧盟《人工智能法案》第53条第4款及第55条第2款均规定,符合之后发布的欧盟统一标准(即前述《通用人工智能模型实践准则》),即可推定提供者符合相关义务,但以该标准涵盖的义务范围为限。未遵循《通用人工智能模型实践准则》的通用人工智能模型提供者,无论是否具有系统性风险,均应向委员会提供替代的充分合规手段的说明以供评估。

 

因此,签署并遵守《通用人工智能模型实践准则》是证明GPAI模型提供者合规的简便方式和最佳手段。

 

三、人工智能办公室的执法方式

 

《指南》第5条规定了欧盟委员会下属的人工智能办公室对于通用人工智能模型提供者的多种执法途径,包括:

  • 监督:根据《人工智能法案》第89条第1款,人工智能办公室负责监督通用人工智能模型提供者是否有效履行其在《人工智能法案》下的义务。
  • 投诉:根据《人工智能法案》第89条第2款,下游提供者有权提出投诉,指控通用人工智能模型提供者违反《人工智能法案》。此类投诉必须有充分理由,并至少包含《人工智能法案》第89条第2款第(a)至(c)项所列信息。
  • 要求提供信息(《人工智能法案》第91条)。
  • 对GPAI模型进行评估(《人工智能法案》第92条)。
  • 要求提供者采取措施,包括实施风险缓释措施和从市场召回模型(《人工智能法案》第93条)。
  • 处以相当于全球年度营业额3%或1500万欧元(以较高者为准)以下的罚款(《人工智能法案》第101条)。

四、合规建议

 

《指南》尽管不具有法律约束力,但可以视为是欧盟监管部门对于《人工智能法案》的概括性条文做出的详尽解读和举例,具有重要的解释和参考价值,是欧盟委员会执法工作的依据。欧盟委员会发言人在发布通用人工智能模型的前述专用规则前也多次明确表示,欧盟不会批准任何延误,《人工智能法案》没有宽限期,也没有暂停[4]。这凸显了欧盟对负责任的AI监管的原则承诺。相关企业应当将合规工作尽快提上日程。

 

人工智能模型提供者应评估其人工智能模型的风险及其影响程度,对照应履行的合规义务,建立合规框架,完善合规措施,同时积极与欧盟委员会的人工智能办公室保持合作和沟通。

 


[1] https://digital-strategy.ec.europa.eu/en/library/guidelines-scope-obligations-providers-general-purpose-ai-models-under-ai-act

[2] https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1787

[3] https://digital-strategy.ec.europa.eu/en/news/commission-presents-template-general-purpose-ai-model-providers-summarise-data-used-train-their?sessionid=1069008003

[4] https://digitalmarketreports.com/news/42514/eu-affirms-commitment-to-roll-out-ai-legislation-on-schedule/