根据EU AI法案，什么是高风险AI？完整指南

什么使AI成为高风险

EU AI法案中的「高风险AI」具有特定的法律含义。它指属于法案附录III八个类别之一的AI系统——在故障或偏见输出可能对人员健康、安全或基本权利造成重大伤害的领域部署的系统。关键点是，分类基于系统的使用，而非其技术架构。同一个AI模型在不同情境下可能是高风险或最低风险。

八个高风险类别

生物特征识别和分类（用于远程生物特征识别的AI系统）；关键基础设施管理（道路交通、水、气、电力等关键基础设施的管理和运营中的AI）；教育和职业培训（决定教育机构访问权或评估影响教育水平和职业的学习表现的AI）；就业和劳动力管理（招聘、简历筛选、晋升、解雇、任务分配和绩效监控的AI）；基本服务访问（信用评分、贷款评分、健康和寿险风险评估以及紧急服务路由中的AI）；执法（个人风险评估、预测性警务和罪犯画像）；移民、庇护和边境控制（入境风险评估、庇护和签证申请审查）；司法和民主进程（协助法院解释或适用法律的AI）。

高风险AI的要求

高风险AI系统的提供商必须在投放市场前进行合规性评估。要求包括：覆盖整个AI生命周期的风险管理系统、数据治理措施、完整技术文档、自动记录、对运营商的透明度、人工监督机制、性能准确性和鲁棒性、网络安全。运营商也有直接义务：实施人工监督、监控AI系统性能、进行基本权利影响评估、通知受影响人员AI正在用于其决策。

理解高风险AI分类对于规划EU AI法案合规工作至关重要。许多组织低估了其高风险AI系统的范围——信用评分、招聘AI、医疗保健决策支持和教育评估工具比通常预期的更广泛地属于高风险类别。准确的范围界定是合规规划的第一步，也是最重要的一步，因为它决定了哪些义务适用以及实施工作的规模和成本。

对于正在进行EU AI法案合规规划的组织，一个常见的错误是过于狭义地解释高风险类别，导致遗漏实际上需要全面合规的系统。如果不确定某个系统是否属于高风险类别，最谨慎的方法是假定它是高风险的，直到明确的法律分析证明否则。在高风险类别中错误地识别系统所花费的合规工作，远比在高风险类别外错误地排除系统所带来的监管风险要小。

随着AI技术和监管格局的持续演变，AI治理实践也需要不断适应。建立在坚实原则基础上的治理框架——问责制、透明度、人工监督、公平性——将比任何特定法规要求更加持久。投资于这些核心能力的组织不仅将在当前监管环境中做好准备，而且将在AI治理预期不可避免地提高的未来做好准备。AI治理不是一项要完成的项目，而是需要随着组织AI使用的演变而持续关注的能力。

高风险分类的实际影响

了解您的AI系统是否属于高风险类别，对您的合规策略有巨大影响。对于高风险AI系统，合规性评估不是可选的——这是法律要求。这意味着您需要在部署之前完成评估（而非之后），记录结果和决策，并在系统发生重大变更时重新评估。对于不确定其AI系统是否属于高风险的组织，建议的方法是：首先映射每个AI系统的实际用例（不只是技术描述），然后将这些用例与附录III类别进行比对，在不确定的情况下保守行事，并在需要时寻求监管指导。宁可过度合规，也不要面临因错误分类导致的高额罚款。监管当局不会对「我们认为我们不在范围内」的辩解表示同情。