人工智能进入小企业时,往往没有经过有组织的法律和技术评估。商店用ChatGPT写产品描述。电商尝试用Claude或其他AI助手回答客户问题,并由人工检查答案。会计事务所测试能总结文件的工具。服务公司用AI撰写报价、电子邮件和社交媒体帖文。雇主考虑使用可以“筛选”简历的软件。
第一反应通常很实际:如果能省时间,为什么不用?第二反应则常带有恐惧:是不是现在已经被禁止了?正确答案在两者之间。AI Act,即关于人工智能的欧盟第2024/1689号条例,并不一般性禁止使用ChatGPT、Claude或其他AI助手。但它会根据风险、企业角色以及系统产生的结果设置规则。
从用途开始,而不是从工具名称开始
同一个AI工具在起草一封电子邮件时可能只是普通辅助工具,但在参与招聘、信贷、保险、教育或基本服务获取时,就会敏感得多。
对希腊小企业而言,基本问题不是“我是否应停止使用AI?”。问题更简单也更严肃:我在哪里使用它,我输入了什么数据,谁检查结果,客户是否需要被告知,以及我的使用是否触及招聘、评估、信贷、保险、教育或服务获取等敏感决定。
本文是实践指南。它不是技术手册,也不替代法律意见。目标是帮助专业人士区分什么是低风险日常使用,什么需要内部规则,什么在没有专门审查之前不应进行。
实践中的法律问题并不是妖魔化AI,而是建立一份简单使用政策:什么可以输入工具,谁检查结果,何时告知客户,以及何时在系统进入日常运作前需要法律或技术评估。
用简单语言说明AI Act是什么
AI Act是欧洲第一个统一的人工智能系统法规。欧盟委员会将其描述为基于风险评估的框架:对安全、健康、基本权利或涉及人的重要决定的风险越高,义务越重。
并非所有AI工具都被同等对待。为社交媒体建议标题的工具,与评估求职者或在没有人类监督情况下给出个性化指引的系统,不具有同样的法律重量。
该条例的逻辑是分层的。有些实践被禁止。有些系统属于高风险,需要严格合规。有些主要承担透明度义务。大多数日常低风险工具不需要厚重档案,但这并不意味着可以无序使用。
对小企业而言,这转化为一个非常具体的原则:不要从工具名称开始,而要从用途开始。同一个AI工具在写邮件草稿时可能是简单辅助工具,但如果被用来排除客户、员工或候选人获得某项重要机会,就会敏感得多。
2026年值得关注的日期
AI Act于2024年8月1日生效,并逐步适用。欧盟委员会官方网站和AI Act Service Desk显示,自2025年2月2日起,一般条款、定义、被禁止实践以及AI literacy义务已经适用。AI literacy是指使用或操作AI的人,应当对其使用和风险具有足够理解。
自2025年8月2日起,通用目的AI模型提供者规则适用,例如大型AI模型。这主要涉及创建或提供此类模型的公司,但也影响小企业,因为它会影响其供应商。
对许多企业而言,重要的实践日期是2026年8月2日,届时大部分规则和第50条透明度义务开始适用。欧盟委员会还在AI Omnibus框架内宣布了关于部分高风险义务较晚适用的政治协议。由于框架仍在发展,小企业不应只依赖某一个日期,而应从现在开始整理AI使用秩序。
| 日期 | 实践含义 | 小企业应做什么 |
|---|---|---|
| 2024年8月1日 | AI Act生效 | 开始梳理AI用途 |
| 2025年2月2日 | 定义、禁止事项和AI literacy适用 | 为使用AI的人员开展基础培训,并禁止危险实践 |
| 2025年8月2日 | 通用目的AI模型提供者义务适用 | 审查AI供应商及其条款 |
| 2026年8月2日 | 基本透明度义务和更广泛适用开始 | 建立客户告知、使用政策和风险控制 |
| 2027-2028年,视类别而定 | 部分高风险时间表因简化而调整 | 在HR、信贷、关键服务或受监管产品中使用AI前,寻求专门评估 |
您是提供者、部署者还是普通用户?
AI Act使用角色概念。对小企业而言,最常见的角色是deployer,即企业在其专业背景中使用AI系统。系统不是企业自己开发的,但企业把它纳入日常运营。维修店在网站上放置chatbot、电商使用AI推荐产品、办公室用ChatGPT起草文本,通常都是deployer。
提供者是以自身名称开发或将AI系统投放市场的人。小企业如果开发自己的chatbot并向他人销售,或把AI嵌入其作为自有方案提供的产品或服务中,可能成为提供者。
许多企业并不从零开发AI,而是高度配置现成系统:上传知识库、设置指令,并让系统面对客户。即使如此,企业也要对使用、数据和对用户的承诺承担责任。
日常使用ChatGPT:应注意什么
使用ChatGPT或类似工具产生想法、起草文本、翻译、总结或进行内部组织,通常属于低风险,前提是不输入敏感或保密数据,并且有人类检查。问题不在于您用AI写了一封邮件。问题在于您未经了解就复制客户数据、合同或商业秘密,却不知道它们会去哪里、如何被保存。
小企业的实用政策可以很短,但必须清楚。它应说明允许哪些工具、用于哪些用途、禁止输入哪些内容、客户沟通中的使用由谁批准,以及何时需要负责人或法律顾问审查。
| ChatGPT用途 | 通常风险 | 小企业规则 |
|---|---|---|
| 社交媒体或博客创意 | 低,只要不输入个人数据 | 可使用,但需检查准确性和语气 |
| 总结公开文本 | 低至中等 | 检查忠实度并保留来源 |
| 翻译客户合同 | 中至高 | 未经许可、匿名化和保密审查,不应使用 |
| 就权利或义务回复客户 | 中至高 | 只能作为草稿,绝不能作为自动最终建议 |
| 评估求职者 | 高 | 未经专门法律和HR审查不得进行 |
| 自动决定信贷、折扣或拒绝客户 | 高 | 需要专门评估和人类监督 |
基本原则很简单:AI越接近影响人的决定,企业就越应谨慎。AI越是内部辅助用途,组织方式可以越简单,但不能忽视保密性。
网站或电商中的chatbot
chatbot比内部工具更敏感,因为它与客户交谈。即使只回答简单问题,用户也应在不明显时知道自己不是在与人类交流。AI Act第50条透明度义务将从2026年8月2日起变得具有实践关键性。欧盟委员会在2026年发布了关于透明度义务的指南草案,正是针对与人类互动或生成合成内容的系统。
对小企业而言,最稳妥做法是在开始时清楚告知用户:“您正在与自动化助手交谈。涉及合同、付款、投诉或法律请求的事项,将由人工回复。”不需要冗长文字,但不能制造一种每个答案都由人类检查的印象,除非事实确实如此。
第二点是个人数据。电商chatbot可能收集姓名、电子邮件、订单号、地址或问题描述。这就涉及GDPR。隐私政策必须说明收集哪些数据、目的是什么、提供商是谁、是否存在欧盟外传输,以及对话保存多久。
第三点是回答边界。chatbot可以说明营业时间、退货政策、订单状态或基本指引。如果没有授权,不应承诺对企业有约束力的内容。例如,“您一定有权获得赔偿”是危险表述。更好的表述是:“我会将您的请求转给主管部门审查。”
AI literacy:许多人忽视的义务
AI literacy并不意味着所有员工都要成为人工智能工程师。它意味着代表企业使用AI的人,应具备基本知识:工具能做什么、不能做什么,有哪些风险,如何避免个人数据,如何检查准确性,以及何时请求人类或法律评估。
AI Act第4条自2025年2月2日起已经适用。欧盟委员会官方问答说明,该义务会考虑技术知识、经验、培训和使用背景。因此,小企业不需要跨国企业式项目,但需要证明自己没有放任每个人随意使用AI。
实践上,两个小时的内部培训、一份简短使用政策和一份跟踪记录,就可以作为第一步秩序。谁接受了培训?公司使用哪些工具?哪些数据禁止输入?谁批准新的用途?
小企业应避免的错误
第一个错误是使用员工个人账号处理公司工作。如果员工离职,或已输入客户数据,企业会失去控制。公司用途需要公司账号、访问权限和基本规则。
第二个错误是不加判断地复制数据。许多人把发票、客户名单、简历、电子邮件或合同上传给AI,只因为“想要一份摘要”。如果没有检查提供商、合同、隐私政策和保存设置,就可能产生GDPR、商业秘密和保密问题。
第三个错误是未经检查发布AI文本。AI可能出错、虚构来源、混淆法律,或以误导方式写作。在文章、广告、法律信息、价格、销售条款和客户回复中,人类检查不是装饰,而是必要步骤。
第四个错误是在HR中使用AI而没有严肃审查。自动给简历打分或对候选人排序,可能触及高风险领域。这不同于起草招聘广告。
第五个错误是把AI Act和GDPR混为一谈。一个不能替代另一个。一项AI用途对AI Act来说可能是低风险,但如果在没有法律依据或告知的情况下输入个人数据,对GDPR来说仍可能有问题。当使用新技术进行的处理可能对权利和自由造成高风险时,也可能需要DPIA。
10步实践框架
不需要庞大的合规部门。需要的是一个经得起审查、投诉或错误的最低框架。
| 步骤 | 做什么 | 保留什么证据 |
|---|---|---|
| 1 | 写明正在使用哪些AI工具 | 工具清单、提供商、用途 |
| 2 | 将用途分为内部用途、客户用途和决策用途 | 小型风险登记册 |
| 3 | 禁止特定数据进入公共AI工具 | 内部使用政策 |
| 4 | 培训使用AI的员工 | 日期、材料、参加人员 |
| 5 | 审查提供商条款和隐私设置 | 条款链接或文件、备注 |
| 6 | 在存在chatbot或AI处理时更新隐私政策 | 更新后的隐私政策 |
| 7 | 明确标识用户正在与chatbot交谈 | 网站上的告知文本 |
| 8 | 规定何时由人工介入 | 升级处理程序 |
| 9 | 避免未经专门审查在HR、信贷或敏感决定中使用AI | 管理层决定或法律意见 |
| 10 | 定期检查用途或提供商是否改变 | 复审日期 |
最重要的是一致性。如果政策写着“不得上传个人数据”,但员工每天都这么做,政策价值很低。如果chatbot在没有人工参与的情况下承诺退款或赔偿,实践就推翻了规则。
按企业类型举例
| 企业 | 有用的AI用途 | 红线 |
|---|---|---|
| 电商 | 产品描述、FAQ、工单分类 | 未经审查把完整客户数据输入工具,或让chatbot未经人工介入作出有约束力的退货回答 |
| 会计事务所 | 通知草稿、公开通函摘要 | 把纳税申报、工资单、税号或客户资料输入公共AI工具 |
| 咨询或律师事务所 | 提纲、语言润色、结构想法 | 未经人工审查输入诉讼文书、敏感资料,或生成最终法律结论 |
| 客户支持 | 回答营业时间、订单和物流追踪的chatbot | 投诉、赔偿、举报或法律请求不升级给人工处理 |
| HR/招聘 | 招聘广告草稿 | 未经专门审查自动给候选人打分、拒绝或排序 |
共同逻辑是:AI越接近保密数据或影响人的决定,框架就应越严格。
企业AI使用政策应写什么
小企业AI使用政策不需要30页。可以是2到4页,只要清楚回答基本问题。
第一,允许哪些工具。第二,允许哪些用途:文本草稿、想法、公开材料翻译、内部组织。第三,未经批准禁止哪些用途:客户个人数据、财务信息、简历、医疗数据、合同、保密文件、自动化决定。
第四,谁检查结果。任何将要发布、发送给客户或影响权利的AI文本,都应经过人类审查。第五,如果发生事件怎么办,例如误将客户名单输入AI工具。政策应要求立即内部报告,而不是隐瞒。
什么时候需要律师或DPO
并非每一个简单AI用途都需要律师审查。但当AI大规模处理个人数据、作出或影响关于人的决定、用于招聘、涉及儿童、健康、经济评估或基本服务获取时,需要专门审查。
如果设有DPO,在触及个人数据的用途中应尽早参与。如果没有DPO,企业内部至少应有能够与技术人员、律师或IT提供商合作的负责人。人工智能不仅是法律问题,也是组织问题。
购买AI工具或chatbot前的小清单
在为AI工具付款之前,请先要求回答基本问题:
- 数据托管在哪里?
- 我们的数据是否用于训练模型?
- 能否关闭training或prompts使用?
- 在需要时是否签署数据处理协议?
- 能否删除对话历史?
- 是否有日志和按用户设置的访问权限?
- 能否在关键回答前加入人工批准?
- 如何告知最终用户正在与AI交谈?
- 提供商为AI Act和GDPR合规提供什么支持?
- 如果工具出错或泄露信息,会发生什么?
如果提供商不能回答基本问题,低价并不是足够理由。最危险的工具,是没人知道它如何运行却已经进入生产环境的工具。
FAQ
我可以在企业中使用ChatGPT吗?
可以,但要有规则。用于想法、草稿和辅助工作时,通常没有问题,前提是不输入个人或保密数据,并且检查结果。
我是否必须告诉客户我使用了AI?
如果客户与AI系统互动,例如chatbot,并且这一点不明显,就应清楚告知。对于公共利益内容和合成内容,应特别注意透明度义务。
如果我使用第三方现成chatbot,是否只有提供商负责?
不是。提供商有自己的义务,但企业也要对如何安装、收集哪些数据、向客户说什么、设置哪些边界,以及是否遵守GDPR和消费者规则负责。
我需要做DPIA吗?
不一定。只有当处理,尤其是使用新技术的处理,可能对权利和自由造成高风险时才需要评估。简单FAQ chatbot可能不需要DPIA,而用于HR、客户profiling或敏感数据的AI可能需要。
我可以把客户资料放入ChatGPT吗?
只有在存在明确法律依据、告知、合适提供商、合同保障和技术措施时才可以。实践上,对小企业而言,最安全规则是:未经专门批准和匿名化,不要把个人数据输入公共AI工具。
使用AI做招聘违法吗?
并非一般性违法,但属于高风险领域。自动对候选人排序、评分或拒绝,可能产生严重义务和歧视风险。不应在没有专门法律和技术审查的情况下进行。
结论
AI Act并不是为了削减小企业的生产力。它是为了在人工智能影响人、数据和权利的地方设置边界。写明您使用哪些工具。培训员工。未经审查不要上传个人数据。当客户与chatbot交谈时清楚告知。不要让AI在没有专门评估的情况下替人作出决定。
人工智能可以帮助小企业更快工作。但客户信任不能被自动化。它需要通过透明、检查和责任来建立。
来源和研究说明
- European Commission, AI Act regulatory framework: 欧盟委员会 - AI Act regulatory framework
- AI Act Service Desk, Timeline for the implementation of the EU AI Act: AI Act Service Desk - 实施时间表
- EUR-Lex, Regulation (EU) 2024/1689 Artificial Intelligence Act: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689
- AI Act Service Desk, Article 2 Scope: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-2
- AI Act Service Desk, Article 4 AI literacy: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-4
- European Commission, AI Literacy Questions & Answers: 欧盟委员会 - AI literacy问答
- European Commission, first AI Act rules applicable: https://digital-strategy.ec.europa.eu/en/news/first-rules-artificial-intelligence-act-are-now-applicable
- European Commission, guidelines on prohibited AI practices: https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
- European Commission, consultation on transparency obligations under Article 50 AI Act: https://digital-strategy.ec.europa.eu/en/consultations/consultation-draft-guidelines-transparency-obligations-under-ai-act
- European Commission, draft guidelines on transparency obligations under Article 50: https://digital-strategy.ec.europa.eu/en/library/draft-guidelines-implementation-transparency-obligations-certain-ai-systems-under-article-50-ai-act
- European Commission, General-purpose AI obligations under the AI Act: https://digital-strategy.ec.europa.eu/en/factpages/general-purpose-ai-obligations-under-ai-act
- European Commission, General-Purpose AI Code of Practice: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
- Hellenic Data Protection Authority, responsibilities and duties: https://www.dpa.gr/en/hdpa/responsibilities_duties_powers
- Hellenic Data Protection Authority, Data Protection Impact Assessment: 希腊个人数据保护机关 - DPIA影响评估
Comments
Share your thoughts about this article.
No comments yet. Be the first to comment.
Submit a comment