SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

EU AI 法案和高风险 AI 系统,一个是整本法律,一个是法律里圈出来的一类

EU AI 法案是一部法律框架,定义了不同风险等级和相应合规义务。高风险 AI 系统是这部法律中风险分级体系里被标记为“高风险”的一类具体对象。把一部法律和其中一种分类名称当成同一层概念,会在合规评估时要么过度、要么遗漏。

寓言

一座城的城门令和城门令里画出的一扇黄门

大周朝出了一部城门令。令上按入城货物的风险分了四类:绿门的——茶叶、布匹,放开通过;黄门的——药材、铁器、火药,需要查验批文、押运印章和沿途巡检记录;红门的——武器、军马,直接禁运;白门的——新品类,先扣三个月待定级。城门守把令文贴在城门上,所有商队从此经过都要按门色走程序。

半年后,州府接到一份京城问卷,问本地是否遵守了城门令。州府回函正文写道“城门令落实到位”,附件里贴了一套黄门货物的查验证书。京城回函说核实通过。又过了半年,邻县出了一桩事故——一批未定级的新型硫磺混在茶叶里过了绿门,事后发现硫磺遇水会生剧毒烟气。查下来才发现州府的黄门合规做得漂亮,但对“白门——待定级”的流程一句没有。

州府重新解读城门令,发现令文包括六编:风险分类、定级流程、查验标准、监管档案、违规处置和更新修订。高风险AI系统的那套义务只对应“黄门查验”这一编——一份产品如果进了黄门分类,应当满足什么样的文件、测试和监控要求。但城门令本身还包括如何把新货纳入定级、如何复审原定级结果、如何跨州县执行处罚。

合规负责人带着令文把各编拆开,按部门重新分工。他画了一张表:每一编管的是不同问题——分类标准定的是“什么货进什么门”,查验标准定的是“进门要交什么文件”,档案标准定的是“查完以后留什么记录”。对应到AI语境:EU AI法案管的是分类体系、评估标准、监控义务和处罚机制的整条链;高风险AI系统只是其中一类的合规要求清单。

州府又发现,黄门类目本身是动态的——去年不需要批文的货品,今年因为新工艺被重新划进黄门。这意味着关注“我是不是高风险”只用一次检查是不够的,它需要持续评估。这份要求本身也是城门令中的一编:更新修订。

后来州府在年度合规报告里写了一段:城门令是一套活的框架,黄门是其中的一个对象类别。去年黄门达标不代表整个城门令达标,因为白门漏检也能捅出同等级的篓子。

EU AI 法案

欧盟人工智能法案,一部法律框架,以风险分级为核心,覆盖分类、合格评定、透明度、监管、执法和处罚等完整的治理链。

高风险 AI 系统

EU AI 法案风险分级体系中被标记为“高风险”的具体系统类别,需要满足更严格的合规要求——包括风险管理、数据治理、技术文档、人工监督等。

故事对应

  • 城门令全文六编:EU AI 法案的完整框架,涵盖分类、定级、查验、档案、处罚和修订
  • 黄门的查验证书:高风险 AI 系统的合规清单,只对应框架内一个风险等级的特定要求
  • 新型硫磺混在茶叶过绿门:白门漏检引发事故——只做好高风险合规不等于整体合规达标
  • 各编拆开按部门分工:法案的每一编对应不同的治理问题,高风险分类只是其中一层
  • 去年不需要批文的货今年划进黄门:风险分类是动态的,需要持续评估而非一次检查
  • 黄门达标不代表城门令达标:把高风险合规等同于整体法律合规是常见的合规盲区

落到 AI 合规体系建设

团队做 AI 合规时最容易犯的错误是把“我的产品不是高风险 AI 系统”等同于“我的产品不受 EU AI 法案约束”。这部法案除了高风险类,还有有限风险类的透明度义务、通用AI的义务、以及新品类需要持续定级的流程。合规第一步是确定自己的系统属于哪个风险类别,而不是直接跳到高风险清单做对标。如果合规预算只够做一件事,先做分类评估和持续定级机制,确保你不会因为品类变更被突然拉入检查范围。