欧盟人工智能法案对美国企业的适用：域外合规指南

欧盟人工智能法案是否适用于您的美国公司？

是的，在以下任何一种情况下：

• 您将人工智能系统投放欧盟市场（销售、许可或向欧盟客户提供）
• 您提供的人工智能系统的输出在欧盟使用
• 您在欧盟部署人工智能系统，无论该系统托管在哪里
• 您是一家美国公司，其模型被集成到欧盟下游产品中

云托管的SaaS服务适用。可供欧盟用户访问的基于Web的人工智能工具适用。对于欧盟的影响，没有最低门槛。

欧盟代表要求

第五十二条要求非欧盟提供者指定授权代表：

高风险人工智能系统的非欧盟提供者必须在将系统投放欧盟市场之前，指定一家在欧盟设立的授权代表。该代表是欧盟监管机构的联系点，并且必须持有技术文档。

美国公司必须做什么

面向美国总部组织的实用合规路线图：

• 清点与欧盟有联系的人工智能系统
• 根据第六条/附件三对每个系统进行分类
• 对高风险系统实施第九条至第十四条的控制措施
• 如果您是高风险人工智能的非欧盟提供者，请指定一名欧盟代表
• 完成符合性评估和CE标志
• 在欧盟人工智能数据库中注册
• 确定哪个机构是您的主要监管机构（通常是您欧盟代表所在国家/地区）

与美国框架的互动

美国公司可以利用现有的合规计划：

• NIST AI RMF 与第 9 条的风险管理高度一致，并且是一个有用的对照表。
• 纽约市 LL144（关于人工智能偏见审计）与附件 III 中关于人工智能就业义务的内容重叠。
• 各州法律（科罗拉多州人工智能法案、康涅狄格州、伊利诺伊州）正朝着相似的基于风险的模型方向发展——一个内部程序可以适用于多个司法管辖区。
• SOC 2 / ISO 27001 不能替代人工智能法案的合规性，但其控制措施可以很好地配合。