歐盟人工智能法案對美國企業的適用：域外合規指南

歐盟人工智能法案是否適用於您的美國公司？

是的，在以下任何一種情況下：

• 您將人工智能系統投放歐盟市場（銷售、許可或向歐盟客戶提供）
• 您提供一個人工智能系統，其輸出在歐盟中使用
• 您在歐盟部署人工智能系統，無論該系統的託管位置如何
• 您是一家總部位於美國的提供商，其模型被整合到下游的歐盟產品中

雲託管的 SaaS 服務也算。可供歐盟用戶訪問的基於網絡的人工智能工具也算。對於歐盟的影響，沒有最低閾值。

歐盟代表要求

第五十二條要求非歐盟提供者指定一名授權代表：

高風險人工智能系統的非歐盟提供者必須在將該系統投放歐盟市場之前，指定一名在歐盟設立的授權代表。該代表是歐盟監管機構的聯繫點，並且必須持有技術文檔。

美國公司必須做什麼

適用於美國總部組織的實際合規路線圖：

• 盤點與歐盟有任何關聯的人工智能系統
• 根據第六條/附錄三對每個系統進行分類
• 實施針對高風險系統的第九條至第十四條的控制措施
• 如果您是高風險人工智能的非歐盟提供者，則指定一名歐盟代表
• 完成符合性評估和 CE 標記
• 在歐盟人工智能數據庫中註冊
• 確定哪個機構是您的主要監管機構（通常是您的歐盟代表所在國家/地區）

與美國框架的互動

美國公司可以利用現有的合規計劃：

• NIST AI RMF與第9條風險管理高度一致，是一個有用的對照表
• 紐約市LL144（關於AI偏見審計）與附錄III中關於就業-AI義務重疊
• 各州法律（科羅拉多州AI法、康涅狄格州、伊利諾伊州）正朝著類似的基於風險的模型趨同——一個單一的內部計劃可以服務於多個司法管轄區
• SOC 2 / ISO 27001不能替代AI法案的合規性，但其控制措施可以很好地整合