核心要点
EU AI Act 是全球首部综合性 AI 法律,按风险分级监管:禁止类(社会评分、实时生物识别等)、高风险(招聘、信贷、医疗、关键基础设施,需合格评定与登记)、有限风险(聊天机器人/深伪需透明披露)、最小风险(基本不约束)。
NIST AI RMF 是美国 NIST 发布的自愿性框架,围绕 Govern / Map / Measure / Manage 四大功能管理 AI 风险,强调可信赖特性(鲁棒、可解释、隐私、公平)。
治理落地需配套机制:问责(明确责任主体)、审计(audit trail 可追溯)、红队测试、文档化(model card / data card)。
不同法域各异:欧盟立法约束,美国偏行业自律 + 行政令,中国侧重生成式 AI 备案与内容标识。
标准回答
总体框架
AI 治理目标是在创新与风险(安全、偏见、隐私、滥用)间取得平衡,主流框架分为「硬法立法」与「软法标准」两类。
EU AI Act(欧盟人工智能法案)
全球首部综合性 AI 法律,采用基于风险的分级监管:
- 禁止类:社会评分、操纵性 AI、公共场所实时远程生物识别等。
- 高风险:招聘、信贷、医疗、司法、关键基础设施等,须做合格评定、风险管理、数据治理、人工监督并登记。
- 有限风险:聊天机器人、深度伪造内容须透明披露(告知用户在与 AI 交互)。
- 最小风险:如垃圾邮件过滤,基本不额外约束。
通用目的模型(GPAI)另有透明度与系统性风险义务。
NIST AI RMF
美国自愿性管理框架,四大功能 Govern / Map / Measure / Manage,强调可信赖 AI 特性。
治理机制
无论遵循哪套框架,落地都依赖:问责(谁担责)、审计与日志留痕、红队对抗测试、以及 model card / data card 等文档化披露。
常见误区
⚠️ 常见踩坑
不要把 EU AI Act 说成「按行业」或「按公司规模」分级——它是按用例风险(禁止/高风险/有限/最小)分级。也别把自愿性的 NIST AI RMF 误当作有强制法律约束力的法规。
追问
追问 1:EU AI Act 的风险分级具体分哪几档?
四档:禁止类(社会评分、操纵、公共场所实时生物识别等直接禁用);高风险(招聘、信贷、医疗、关键基础设施等,需合格评定、风险管理、数据治理、人工监督与登记);有限风险(聊天机器人、深伪等须透明披露);最小风险(如垃圾邮件过滤,基本无额外义务)。此外通用目的模型有单独的透明度与系统性风险条款。
追问 2:NIST AI RMF 和 EU AI Act 的本质区别是什么?
EU AI Act 是具法律约束力的强制性立法,违规可罚款;NIST AI RMF 是自愿采用的管理框架,不强制,但提供可操作的风险管理方法论(Govern/Map/Measure/Manage)。前者解决「必须合规」,后者解决「如何系统地管理风险」,企业常以 RMF 帮助满足 AI Act 要求。
追问 3:企业内部如何把治理框架落地为可执行机制?
建立 AI 治理委员会明确问责主体;对每个模型/数据集产出 model card、data card 记录用途、局限与评测结果;上线前做红队与安全评测,留存 audit trail 以便追溯;按用例评估风险等级,对高风险场景加人工复核与持续监控,并定期复审。
延伸学习
与本题相关的知识库文章、术语、工具与行业资讯。