

欧盟：人工智能风险管理指南

MJCM出海合规

2025-11-12

导读：欧洲数据保护监督机构 (EDPS) 于 2025 年 11 月 11 日发布的人工智能系统风险管理指南

摘要

欧洲数据保护监督机构 (EDPS) 于 2025 年 11 月 11 日发布的人工智能系统风险管理指南的摘录，旨在协助欧盟机构、团体、办公室和机构 (EUIs) 识别和减轻在处理个人数据时开发、采购和部署人工智能系统所带来的风险。

欧盟机构、团体、办事处和机构（EUIs）开发、采购和部署涉及处理个人数据的人工智能系统，对数据主体（data subjects）的基本权利和自由构成了重大风险，包括但不限于隐私和数据保护。作为《条例 (EU) 2018/1725》（EUDPR）的基石，其中第 4(2) 条（针对行政个人数据）和第 71(4) 条（针对操作个人数据）所规定的问责制原则，要求 EUIs 识别并减轻这些风险，并证明他们是如何做到的。对于那些是复杂供应链产物、通常涉及多个以不同身份处理个人数据的参与者的人工智能系统来说，这一点尤为重要。

本指南旨在指导作为数据控制者（data controllers）的 EUIs 识别和减轻其中的一些风险。更具体地说，它们侧重于可能违反 EUDPR 中所引出的某些数据保护原则的风险，对于这些风险，控制者必须实施的缓解策略可以是技术性的——即公平性、准确性、数据最小化、安全性以及数据主体权利。因此，本指南中列出的技术控制措施绝非详尽无遗，也不会免除 EUIs 根据其特定处理活动所带来的风险进行自身评估的义务。在进行评估时，本指南不评估这些风险的可能性和严重程度。

首先，本文件概述了根据 ISO 31000:2018 的风险管理方法论（第 2 节）。

其次，它概述了人工智能系统的典型开发生命周期以及采购过程中涉及的不同步骤（第 3 节）。

第三，它探讨了可解释性和可解释性（interpretability and explainability）的概念，作为贯穿始终的关注点，它们制约着本指南所涵盖所有条款的合规性（第 4 节）。

最后，它将上述四个一般原则，即公平性、准确性、数据最小化和安全性，细分为具体的风险，然后描述每个风险，并配以控制者可以实施的技术措施来减轻这些风险（第 5 节）。

EDPS（欧洲数据保护监管机构）是以其数据保护监管机构的身份发布本指南，而非以《人工智能法案》（AI Act）下的市场监管机构身份发布。本指南不影响《人工智能法案》的实施。