第五届知产前沿人工智能论坛在沪举行
2025年12月12日,由YIP Events & 知产前沿新媒体主办的第五届知产前沿人工智能论坛在上海静安铂尔曼酒店闭幕。论坛以“AI技术驱动下的知识产权及合规挑战”为主题,聚焦生成式AI在专利申请、数据保护、企业合规与著作权保护中的关键问题,并探讨AI对知识产权制度的冲击及全球政策动态,为AI领域法务与知识产权从业者提供专业交流平台。
AI产品出海的域外监管与法律责任前瞻
大成(上海)律师事务所高级合伙人、中国区董事杨宇宙在12月12日下午发表主题演讲,系统梳理欧盟《AI法案》、美国AI治理动态及AI生成内容版权责任三大维度,助力中国企业识别出海合规红线并构建应对路径[2]。
欧盟《AI法案》下的高风险AI系统分类与合规义务
欧盟《AI法案》是全球首部系统性人工智能综合性立法,具有显著域外效力——只要AI产品或服务面向欧盟市场,无论企业注册地或服务器所在地,均可能被纳入监管范围。法案规制两类主体:提供者(开发或上线AI系统者)与部署者(实际使用系统者)。中国企业若通过SaaS向全球开放模型接口,或在欧盟销售搭载AI模块的终端设备,即可能触发适用[3]。
法案对AI系统定义宽泛:凡能基于输入自主推断输出、影响物理或虚拟环境的机器系统,原则上均属规制对象[4]。
法案采用“风险分级”监管逻辑,将AI系统分为四类:
- 不可接受风险:直接禁止(如严重侵犯基本权利);
- 高风险:须建立风险管理、数据治理、文档日志、人类监督等机制;
- 有限风险:仅需履行透明度义务(如提示用户正在与AI交互);
- 极小或无风险:不设监管要求[5]。
企业应在立项阶段即引入法务协同识别风险。若项目涉及就业、教育、金融、关键基础设施等敏感场景,即便暂无欧盟市场计划,也建议按高风险标准提前开展审查[6]。
《人工智能系统风险管理指南》要点
2025年11月11日,欧盟数据保护监督局(EDPS)发布《人工智能系统风险管理指南》,聚焦AI全生命周期的数据保护风险,提出全流程评估方法[7]。
风险管理包括四个核心步骤:
- 风险识别:由业务、技术、法务协同形成风险清单;
- 风险分析:评估发生概率及对数据主体的影响;
- 风险评估:比对企业风险偏好与承受能力;
- 风险处理:制定并持续监测技管措施效果[8]。
指南将AI生命周期划分为构思、数据采集、开发、验证、部署、运行监控、持续验证、复审、退休共九个阶段,强调各阶段风险类型与控制措施应动态适配[9]。
可解释性(面向技术人员)与可说明性(面向用户与监管者)被列为关键合规要点。若AI在重大权益场景中作出影响个体权利的决策却无法说明逻辑,即构成重大风险。企业采购第三方系统,应在合同中明确供应商配合说明义务;自研系统则须留存设计与测试记录以备核查[10]。
高风险人工智能系统分类
根据法案第6条,对欧盟人员健康、安全或基本权利造成重大不利影响的AI系统,即属高风险。具体分两类监管路径:
- 附件一:适用于作为医疗器械、机械设备、玩具等产品安全部件的AI系统,须同步满足对应产品安全法规,并通常需第三方符合性评估;
- 附件三:明列高风险应用场景,包括教育考试评分、招聘筛选、金融信用评估、关键基础设施调度、移民执法风险评估等。中国企业的AI人力资源管理、教育评估、金融风控等常见项目,多落入该范围[11]。
欧盟委员会有权随时扩充附件三清单。凡用途属于附件三领域且风险程度相当者,即可能被新增认定。建议企业在产品设计初期即按高风险标准规划[12]。
高风险人工智能系统合规义务
提供者义务:需明确标识主体身份;建立并保存质量管理体系、技术文档与运行日志;完成符合性评估、出具合规声明、加贴CE标志[13]。
符合性评估程序:须参照欧盟协调标准设计,并依《AI法案》完成评估;若同时落入附件一和附件三,则需叠加执行两套程序;重大修改须重新评估[14]。
部署者义务:即使非开发者,亦须履行独立责任,包括:建立内部技管措施防止越界滥用;对输入数据负责并保留关键日志;保障员工代表参与权;在大规模或高风险数据处理时开展数据保护影响评估[15]。
法律责任
违反高风险AI义务,最高罚款1500万欧元或上一财年全球营业额3%;违反通用大模型义务或禁令条款,最高罚3500万欧元或营业额7%。罚款由国家机构、欧洲数据保护监管局或欧盟委员会分别执行[16]。
核心合规要点总结
依据法案第九至十五条,企业须重点关注六项义务:
- 实施覆盖AI全生命周期的、有据可查的风险管理流程;
- 确保训练、验证与测试数据集相关、有代表性、无错误且完整;
- 保存详细技术文档,证明符合法案附件四要求;
- 高风险系统须自动记录事件,日志防篡改且妥善保存;
- 确保有效人工监督,相关人员须经充分培训;
- 系统须在全生命周期内保持准确性、稳健性与网络安全,抵御错误、滥用或对抗性攻击[17]。
美国人工智能治理动态与企业合规要点
美国AI监管呈现“联邦引导、州级先行、政策多变、责任趋严”特点。联邦层面重在战略方向与技术框架,州层面则围绕隐私、未成年人保护、深度伪造等议题展开差异化探索。中国企业须同步应对联邦统一要求与各州碎片化规则,合规复杂度显著上升[18]。
联邦法律与行政行动
联邦立法侧重确立AI国家战略与跨部门协调机制;技术标准与政策文件虽无法律效力,但在司法实践中常被援引作为判断企业是否尽到“合理注意义务”的依据[19]。总统行政令等具直接约束力,但对企业影响主要通过后续落地规则实现;政策性文件则为企业预判合规趋势提供重要参考[20]。
重点州立法动向
加州典型法案:
- AB 566:要求浏览器内置“退出偏好信号”功能,便于用户发送不出售/共享个人信息意愿;
- AB 621:强化对非自愿深度伪造色情内容的追责,明确民事赔偿与执法权限;
- AB 656:要求社交媒体平台注销账户时彻底删除用户个人数据;
- SB 361:要求数据经纪人向加州隐私保护局注册,并披露是否收集生物特征、公民身份、性取向等敏感信息[21]。
对外管制类法案:
- 堪萨斯州HB 2313:禁止州设备访问DeepSeek等“关切AI平台”,并限制特定国家基因测序设备及软件在医疗科研领域的使用;
- 俄勒冈州HB 3936:将蚂蚁集团、字节跳动、华为、腾讯等列为“受监管供应商”,禁止其AI软硬件在州信息技术资产中安装或使用[22]。
法律责任趋势分析
美国AI监管正推动企业进入“高责任敏感期”,体现为三方面影响:
- 合规成本飙升:需在数据治理、模型测试、内容审核、用户披露等方面构建复杂体系;
- 责任链条延伸:开发者、数据提供方、平台方均可能因“未采取合理保障措施”承担连带责任;
- 政策不确定性加剧:联邦与州、不同届政府间的政策摇摆,要求企业具备敏捷的政府事务与合规弹性能力[23]。
AI生成内容的版权与侵权责任分配
全球司法实践正逐步明晰AI版权责任边界,呈现四大共性趋势[24]:
- 责任中心前移至模型开发者:德国GEMA案否定用户协议免责效力,认定OpenAI对训练与输出负主责;
- 区分训练与输出阶段:训练阶段聚焦复制行为是否构成直接侵权或属“合理使用”;输出阶段须具体比对“实质性相似”,不支持“一切输出皆侵权”的笼统主张;
- 数据获取合法性单独追责:Anthropic和解案聚焦“从盗版网站抓书”环节,未来平台合规义务将细化为数据来源审查、许可机制、清理删除等;
- 模型是否存储复制品存在法域差异:英国Getty案否定模型本身构成侵权复制品;德国法院则更重整体行为效果[25]。
对模型开发者的实务建议
- 在开发设计环节前置风险控制,设置输出过滤器并预留技术调整空间;
- 严格审查训练数据来源,杜绝盗版或未授权数据;
- 强调抽象学习而非内容复制,避免模型被认定为“存储版权作品的复制品”[26]。
结语
AI产品出海已不仅是业务拓展,更是对跨国多重法律框架下系统性合规能力的全面检验。合规必须前移至产品设计、数据治理、合同结构与日常运营中,实现前瞻性嵌入。越早构建可持续合规体系,企业越能在监管审查、法律纠纷与突发风险中掌握主动权[27]。
