随着人工智能技术的迅猛发展，全球范围内对其治理的探讨愈发紧迫。对当前的人工智能热潮是否和采取何种监管，各主要国家和地区的政策法律有共性之处，也有各自的地缘、文化、哲学伦理等因素相互作用而产生的差异。互有参照、借鉴的原则、方法和进路比较，对消除智能鸿沟、提升全球人工智能的治理水平基准无疑具有重要意义。

CSA大中华区正式发布《中美欧人工智能治理的典型法律政策比较与通用风险治理框架适用（2024年度观察）》，旨在深入剖析中美欧三大经济体在AI治理上的法律政策，比较其异同，并探索构建通用的风险治理框架。
 

报告以风险管理为切入点，系统追踪并对比了中美欧年度主要政策法律进展。通过设定‘可比较项’进行纵向分析，并结合中国新出台的合规框架，通过风险提示和控制措施映射，为人工智能安全治理提供了一条从政策法律要求到风险控制措施规制的明确路径。

中国在人工智能治理的法律政策方面已经展开了积极探索和尝试。从《新一代人工智能发展规划》到《个人信息保护法》和《数据安全法》，中国的人工智能政策体系从技术创新、产业发展到伦理规范和数据安全等多个方面进行了重点回应和系统考量。

特别是，随着人工智能技术的不断发展，中国在生成式人工智能的管理方面走在了全球前列。2023年发布的《生成式人工智能服务管理暂行办法》是全球范围内首批对生成式人工智能进行规制的立法之一。这一政策为AI技术的合规发展提供了明确的指导，同时确保了技术发展不会对社会和个人造成负面影响。

中国的人工智能立法呈现出“从特殊到一般”的特点，除了现有的针对性法规外，还计划在2025年继续推进人工智能法的制定，以进一步完善该领域的法律体系。

报告基于《新一代人工智能发展规划》的思路和近年来我国在人工智能领域出台的主要法律政策，从法律及伦理规范、重点政策支持、技术标准化和知识产权保护、安全监管和评估这四个方面简要分析归纳。

美国在人工智能治理方面则更加注重灵活性和创新性。美国的AI政策主要以技术创新和市场竞争为导向，较少对AI的具体应用进行严格的法规限制。尽管如此，美国依然在隐私保护和数据安全方面制定了一系列重要法律，例如《加利福尼亚消费者隐私法案（CCPA）》和《联邦隐私法》。

此外，美国的AI治理框架更加侧重于通过行业自律和道德准则来引导AI技术的发展，而不是通过中央政府的严格立法进行约束。美国的AI政策往往通过建立技术标准、推动AI伦理讨论和倡导跨行业合作等方式来管理技术风险。

美国目前尚未有联邦层面的人工智能监管立法，2023年10月美国政府以行政令的形式发布了《安全、可靠、可信地开发和使用人工智能行政令》，明确了美国政府对待人工智能的政策法制框架。

其主要内容：

（1）建立人工智能安全的新标准；

（2）保护美国民众的隐私；

（3）促进公平和公民权利；

（4）维护消费者、病患和学生的权益；

（5）支持劳动者；

（6）促进创新和竞争；

（7）提升美国在海外的领导力；

（8）确保美国政府负责任且有效地使用人工智能。

除此之外，美国白宫科技政策办公室于2022年10月发布《人工智能权利法案蓝图》，2024年10月发布了《人工智能国家安全备忘录》，是其历史上第一份关于人工智能的国家安全备忘录。这些旨在保护公众在人工智能时代的权利，关注人工智能的特定领域风险，确保自动化系统在设计、使用和部署过程中能够符合其价值观，并保护公民权利、自由和隐私。以上文件可以初步勾勒出美国对人工智能监管的基本框架与路线图。

欧盟在人工智能治理方面采取了较为严格的监管态度，尤其在AI伦理和透明度方面，欧盟的法律政策具有全球影响力。2018年，欧盟发布了《人工智能伦理指导原则》，提出要确保AI发展符合欧洲的伦理和社会价值观。2021年，欧盟还提出了全球首份针对人工智能的法律——《人工智能法案》，这项法案要求AI系统根据风险等级进行分级监管，并设定了严格的安全、透明和问责要求。

与美国不同，欧盟更加注重对AI技术的控制，尤其是在高风险领域如医疗、交通、执法等。欧盟的AI政策明确提出，要确保人工智能不仅仅是技术创新的工具，而是要服务于社会公共利益，推动公平、透明和包容的社会。

《人工智能法案》的独特或者说专注之处在于将人工智能系统实施风险分级管理，风险等级划分为不可接受风险、高风险、有限风险和极低风险4类：

（1）不可接收风险人工智能系统，即被认为对个人基本权利构成不可接受的风险因而被禁止的系统，如社交评分系统和操纵性人工智能等；

（2）高风险人工智能系统，即用于有可能造成重大风险的特定用途的系统，必须在上市前和整个生命周期内进行评估；

（3）有限风险或轻微风险人工智能系统，常见的聊天机器人、文字和图片识别及生成软件、人工智能伴侣等大多属于此一风险类型。该类风险在欧盟法案的监管框架下有较高的自由度，投放市场或投入使用前无需取得特殊的牌照、认证或履行繁杂的报告、监督、记录留存等义务；

（4）低风险人工智能系统，未归类在不可接受的风险、高风险或有限风险类型的其他人工智能系统，都属于轻微风险类型。该风险类型的人工智能系统没有特殊的干预和审查制度。《人工智能法案》从人工智能作为模型、数字产品或服务等多重视角，为欧盟各个市场领域人工智能的参与者制定了明确的要求和程序。

基于国别监管政策、法律体现的不同侧重和关注，本报告尝试以中国《生成式人工智能服务管理暂行办法》为基准，比较中美欧典型法律、政策文件在人工智能法律质量（立法和政策强度、弹性）方面的可能涉及或触发的21个维度，并投射到全国网络安全标准化技术委员会2024年9月发布的《人工智能安全治理框架》的26个风险控制项下。

报告提出了一个通用风险治理框架，该框架旨在为各国人工智能治理提供通用的风险识别和控制措施。在分析中美欧的政策后，报告强调，虽然不同国家和地区的人工智能治理政策存在差异，但在风险治理方面可以实现一定程度的共性。

这一通用框架的设计理念是从风险管理的角度出发，将人工智能可能带来的技术、伦理、法律和社会风险进行系统分类，并为不同行业的AI应用提供针对性的风险控制措施。无论是中国的生成式AI政策，还是欧盟的高风险AI系统管理规定，均可通过这一框架进行有效的风险识别和治理。