2025年7月10日，布鲁塞尔的欧盟AI办公室公开了一大摞文件。通用AI模型行为准则。284页。里面写着制造世界上最聪明机器的公司们必须遵守的新规则。OpenAI、Google DeepMind、Meta、Anthropic。它们已经在文件上签了字。

同年6月，加州北区联邦地方法院发生了截然相反的事。两位法官分别在不同法庭，几乎同时判AI企业胜诉。Anthropic和Meta在版权侵权诉讼中获胜。判决认定，合理使用这一有200年历史的法律原则同样适用于21世纪的人工智能。

欧洲制定了规则。美国让各方在法庭上打。这就是AI监管战争的两条战线。而在两者之间，是中国。中国在玩自己的游戏。

版权相关监管

2024年12月27日，《纽约时报》起诉OpenAI整整一年后，加州一间法庭提出了一个历史性的问题：AI读书，是偷窃还是学习？

美国的路径：去法庭找答案。2025年6月23日，威廉·阿尔萨普法官在Bartz v. Anthropic案中作出判决。他的结论干脆利落：为AI训练而使用书籍是「极其具有变革性的（spectacularly transformative）」行为，构成合理使用。作者写书的目的是让人阅读。AI用那些书做的事完全不同，是学习词语之间的统计关系。就像一位厨师读了几千本食谱之后创造出自己的菜式。

但阿尔萨普法官划了一条重要的线。Anthropic从盗版网站免费下载了数百万本书，这不属于合理使用。「为研究建一座图书馆」和「用偷来的书填满仓库」是两回事，法官这样写道。2025年9月，Anthropic以15亿美元达成和解。这是AI版权纠纷史上最大的金额。

两天后的6月25日，文斯·查布里亚法官在Kadrey v. Meta案中得出了相似但不同的结论。他同样认定Meta的Llama模型训练构成合理使用。但查布里亚法官附加了一句警告：这个判决「并不意味着Meta的行为合法。它只意味着原告提出了错误的论据，也未能建立支撑正确论据的证据记录。」

美国的监管哲学在此显露无遗。国会不制定新法律。法官们逐行解释200年前的版权法，一点一点写出新规则。这很慢，代价也高。但美国人偏好这样。创新在前，监管在后。

欧盟的路径：免费午餐结束了。欧洲选了另一条路。《欧盟AI法案》于2024年8月1日生效，分阶段实施。针对通用AI模型的规则从2025年8月2日起开始适用。

核心是透明度。所有通用AI模型提供方必须公开训练所用内容的详细摘要。2025年7月24日，欧盟委员会发布了该摘要的模板。数据来源、许可状态、版权合规情况，全部需要记录在案。

更关键的是「退出（Opt-out）」制度。如果版权持有人以机器可读的方式标注「我的作品不得用于AI训练」，AI公司必须尊重这一声明。德国法院在GEMA v. OpenAI案中的判决进一步巩固了这一原则。想在欧洲做AI生意，就得给创作者否决权。

违规的制裁相当严厉。罚款最高可达全球年营收的7%。以OpenAI为例，这可能意味着数十亿美元。

中国的路径：两扇门。中国是双面的。2023年8月施行的《生成式人工智能服务管理暂行办法》规定训练数据不得侵犯他人知识产权。但与此同时，中国法院正在积极承认AI生成物的著作权。

2023年11月，北京互联网法院作出历史性判决，认定Stable Diffusion生成的图像享有著作权。法官判定：「如果人类在输入提示词、调整参数、选择结果的过程中进行了智力和美学层面的贡献，那么它就是作品。」这与美国版权局的立场完全相反。

另一方面，广州互联网法院在奥特曼AI图像案中追究了平台的责任。如果AI被用于生成与原创角色相似的图像，平台承担著作权侵权的间接责任。关键词过滤、水印标注、投诉处理系统，缺一不可。

韩国的路径：折中之道。2024年12月26日，韩国国会通过了AI基本法。这是亚太地区第一部综合性AI监管法律。2026年1月22日起施行。

韩国的版权监管尚未具体成形。现行著作权法承认研究和非营利目的的临时复制例外，但缺少针对商业AI训练的一般性例外条款。文化体育观光部和韩国著作权委员会正在讨论文本与数据挖掘指南。创作者团体要求建立补偿机制，企业则想要训练例外。妥协点将在两者之间的某处找到。

个人信息相关监管

2023年3月，意大利个人信息保护机构（Garante）封禁了ChatGPT。这在欧盟成员国中是首次。他们的问题很直白：OpenAI凭什么法律依据收集意大利人的个人信息？

欧盟：GDPR这面盾牌。2024年12月，Garante对OpenAI处以1500万欧元罚款。这是针对生成式AI的首例GDPR处罚。违规内容有三项：ChatGPT训练中使用个人信息缺乏合法法律依据；对用户的透明度义务未履行；为保护13岁以下未成年人而设立的年龄验证机制不完善。

不只是罚款。OpenAI还被要求在六个月内通过意大利媒体开展公益宣传活动，告知用户ChatGPT如何收集和使用数据、用户享有哪些权利。OpenAI称处罚「不成比例」并表示将上诉。据其称，这笔罚款几乎是同期意大利收入的20倍。

GDPR的核心原则在AI时代获得了新的含义。目的限制：数据只能用于收集时所声明的目的，但AI训练包含在那个目的里吗？数据最小化：只能收集必要的，但AI用更多数据才能变得更聪明。存储期限限制：数据不能永久保存，但AI一旦学习了某些信息，怎么删除？

这就是「机器遗忘（Machine Unlearning）」的难题。如同无法擦除人的记忆，从AI模型中完全消除特定数据的影响在技术上也很困难。但GDPR的「被遗忘权」依然适用。想在欧洲做生意，技术限制不能当借口。美国：拼凑起来的监管。美国没有联邦层面的综合性个人信息保护法。各州各行业适用不同的规则。

伊利诺伊州的生物信息隐私法（BIPA）是最可怕的雷区。未经同意收集面部识别数据，就会面临集体诉讼。Clearview AI因为这部法律支付了超过5000万美元的和解金。Meta的面部识别标记功能诉讼以6.5亿美元和解。

加州的消费者隐私法（CCPA/CPRA）是另一把标尺。消费者有权知道自己的信息如何被收集和使用。AI用那些信息做了什么，企业必须解释清楚。

联邦贸易委员会（FTC）使用了一种强力武器：「算法没收（Algorithmic Disgorgement）」。用非法收集的数据训练出来的模型必须销毁。不是只删数据，而是用那些数据训练出的算法本身也要消灭。FTC在Rite Aid案中下达了这一命令。

中国：对企业严格，对国家例外。中国的《个人信息保护法》（PIPL）表面上与GDPR相似。同意要件、目的限制、跨境转移管控，一应俱全。2023年的《深度合成管理规定》要求使用深度伪造技术编辑他人面部或声音时必须取得同意。违规者甚至可能面临刑事处罚。

但有一个巨大的例外：国家安全。企业滥用个人信息会被处罚，但国家用人脸识别监控公民这件事，无人过问。中国的个人信息监管传递的信息是：「企业不得随意碰触，国家除外。」

韩国：PIPA与AI基本法的结合。韩国的《个人信息保护法》（PIPA）强度堪比欧盟的GDPR。在此基础上叠加了AI基本法。高影响AI系统必须满足人工监督、输出标注、安全措施等义务。

个人信息保护委员会（PIPC）在2025年工作计划中公布了针对AI服务的专项监管方案，包括对AI代理服务的事前现场检查、法律和人事服务中AI使用的审查等。在韩国做AI生意，个人信息不是「保险柜上的锁」，而是「记录谁能打开的门禁系统」。

歧视与偏见相关监管

诺兰德·阿博投了100多家公司的简历。一个面试都没拿到。他是一名40多岁的黑人，曾被诊断出焦虑症。有一天他想：不是所有这些公司都在拒绝我，会不会是同一个算法在拒绝我？

2024年5月，加州北区联邦地方法院在Mobley v. Workday案中批准了集体诉讼。据原告方估算，超过10亿份求职申请经过了Workday的AI招聘系统筛选。法院认定该系统作为雇主的「代理人（Agent）」，可以直接承担歧视责任。制造AI的公司成了歧视诉讼的被告。

美国：旧法律的新适用。美国没有直接禁止AI歧视的联邦法律。1964年《民权法》、《平等就业法》、《残疾人法》等既有反歧视法律被适用于AI。

纽约市走在了前面。2023年7月施行的Local Law 144是全球首部针对AI招聘工具的具体法规。企业使用自动化雇佣决策工具（AEDT），每年必须接受独立的偏见审计并公开结果。如果审计结果显示对特定群体不利，企业必须给出解释。

科罗拉多州采取了更全面的路径。2024年5月制定的《科罗拉多AI法案》是美国第一部综合性州级AI监管法律。原定2026年2月1日施行，但因业界反对和定义模糊等问题推迟至2026年6月30日。

《科罗拉多AI法案》的核心是「合理注意义务（Reasonable Care）」。开发者和部署者都有义务防范高风险AI系统中可能出现的算法歧视风险。所谓「算法歧视」，指AI系统的使用基于年龄、种族、性别、残疾、国籍、宗教等受保护特征，对个人或群体造成不利的差别待遇或影响。

违规者每项最高可被罚2万美元。遵守NIST AI风险管理框架等公认标准的，可适用「安全港」条款减轻责任。

加州通过就业歧视法规切入。2025年10月1日起施行的《公平就业与住房法》（FEHA）规定，允许将AI招聘工具的偏见测试结果作为歧视诉讼中的证据。如果企业没做偏见测试，这本身就是不利证据。欧盟：进入市场之前先过关。《欧盟AI法案》将招聘、教育、贷款审批、执法等领域使用的AI归类为「高风险AI」。高风险AI系统上市前必须满足严格要求。

数据治理：必须验证训练数据集是否存在偏见。风险管理体系：必须持续评估和缓解风险。基本权利影响评估（FRIA）：必须事先评估对人权的影响。人工监督：自动化决策必须允许人类介入。

欧洲的立场是：「不是出了事再处罚，而是在进入市场那一步就设卡检查。」

有些AI被彻底禁止。基于敏感特征（种族、政治观点等）对自然人进行分类的AI；进行社会评分（Social Scoring）的AI；公共场所实时远程生物识别（极少数例外情形除外）。

中国：警惕意识形态偏差。中国的偏见监管聚焦的重点与西方不同。《生成式人工智能服务管理暂行办法》规定，AI生成的内容必须体现「社会主义核心价值观」。

生成针对民族、性别、职业等群体的歧视性或侮辱性内容被禁止。但这些规定的实际目的，与其说是西方式的公平理念，不如说更接近体制稳定。煽动颠覆国家政权、扰乱社会秩序的偏向性信息，才是监管的主要靶心。

算法推荐规定禁止平台实施歧视性定价、劳动者剥削、诱导未成年人过度使用等「不公平算法行为」。主管部门拥有算法备案、审计和责令整改的权力。

韩国：聚焦高影响AI的集中监管。韩国AI基本法的核心是「高影响AI」,即可能对人的生命、人身安全、基本权利造成重大影响或风险的AI系统。医疗、能源、公共服务、招聘、信用评估等11个领域被纳入其中。

运营高影响AI的企业须开展人权影响评估,建立风险管理体系,并保障人工监督。政府机关引入高影响AI时,应优先选用已完成影响评估的系统。罚款上限为3000万韩元(约2万美元),远低于欧盟水平。不过,科学技术信息通信部表示,在为期一年的过渡期内将以指导为主,暂不处罚。这是一种在产业扶持与信任构建之间寻求平衡的路径,而非一上来就重罚。

责任结构相关规制

特斯拉Autopilot出了事故,谁来担责？是驾驶员,还是特斯拉？AI招聘系统产生了歧视,该由招人的公司负责,还是开发AI的公司负责？聊天机器人说了假话,受害者该向谁索赔？

欧盟：将责任分配到整条价值链。EU AI Act对AI生态中的所有参与者,按角色施加相应责任。提供者(Provider)是开发AI系统并推向市场的主体;分销者(Distributor)负责流通;部署者(Deployer)是实际使用方。

提供者承担的义务最重:建立风险管理体系、数据治理、技术文档编制、合规评估、质量管理、上市后监测、严重事故报告,缺一不可。

部署者同样承担责任:情境风险分析、配备人工监督、日志留存、向受影响个人告知信息、严重事件报告。如果部署者变更了AI的用途或对其进行重大修改,将被重新归类为「事实上的提供者」,须承担提供者级别的全部义务。

欧盟委员会正在起草AI责任指令(AI Liability Directive)和修订版产品责任指令。关键在于减轻举证负担。AI系统内部运作如同黑箱,受害者难以证明缺陷与因果关系。新指令允许在特定条件下推定因果关系,从而打破企业的抗辩逻辑。

2024年10月通过的新产品责任指令(Directive (EU) 2024/2853)将包括软件在内的数字要素明确纳入适用范围。AI系统也被视为「产品」,正式成为产品责任法的规制对象。

美国：供应商责任边界的扩张。美国传统做法是把AI视为「工具」,由使用者承担责任。但近期判例正在改写这一格局。Mobley v. Workday案树立了重要先例:法院认定,AI招聘平台并非普通工具,而是受雇主委托行使权力的「代理人(Agent)」,可直接承担法律责任。AI供应商就此成为歧视诉讼的共同被告。

特斯拉Autopilot系列诉讼中,制造商责任也在走强。2024年,佛罗里达州陪审团在认定驾驶员疏忽的同时,也部分认定了特斯拉在系统缺陷和夸大宣传方面的责任。

美国有《通信规范法》第230条赋予平台的免责保护,但这一条款是否适用于AI生成内容,目前争议激烈。按照Roommates.com案的判例,平台若对内容生成作出了「实质性贡献」,便不再享有免责。AI直接生成的内容很可能符合这一标准。一旦聊天机器人的诽谤性言论导致平台丧失免责保护,美国AI产业的法律版图将发生根本性变化。

中国：服务提供者即内容管理者。中国将AI服务提供者定性为「内容生产者」,而非中介。好比店铺经营者,店内发生的一切都是你的责任。

根据《生成式人工智能服务管理暂行办法》,服务提供者须确保生成内容符合社会主义核心价值观。一旦发现违法内容,须立即停止生成、修正算法并向主管部门报告。未履行义务的,面临警告、暂停服务、罚款等行政处罚。

广州互联网法院审理的奥特曼案将这一原则延伸至民事责任领域。平台若未适当履行过滤、提示和标注义务,须承担著作权侵权的间接责任。行政法规的违反成了认定民事责任的依据。

深度伪造服务提供者被课以水印标注义务,违者可追究刑事责任。在中国经营AI业务,几乎意味着对算法全部输出内容承担近乎无限的责任。

韩国：合同与记录就是盾牌。韩国AI基本法对高影响AI明确了运营责任与安全义务。企业须保障人工监督,标注AI生成物,并采取可信赖性保障措施。现阶段适用的仍是既有法律体系,包括一般侵权责任(民法)、产品责任法和信息通信网法。但AI基本法正式施行后,合规与否将成为判定责任的重要考量因素。

实务层面的启示很清楚:一旦出事,「技术提供方制造的工具」和「机构实际使用的方式」会被分别审查。合同中的责任条款、操作日志、版本管理记录、数据来源文档,这些都将在纠纷中充当证据。文档化本身就是防御手段。

比较分析汇聚成一个结论。AI技术没有国界,但技术扎根的法律土壤却截然不同。

欧洲说:「先立规矩,再谈创新。」美国说:「先创新,出了问题法庭见。」中国警告:「创新可以,但别越过国家划定的红线。」韩国在旁观察三种路径,摸索属于自己的道路。

对全球AI企业而言,这是一盘复杂的棋局。为哪国的监管标准调校模型？在哪个市场限制哪些功能？在哪个司法管辖区加强法务团队？编程能力与法务策略同等重要的时代已经到来。

AI法律战争的赢家尚未揭晓。但有一点毋庸置疑:要在这场战争中存活下来,对各国监管地形的理解必须和技术本身一样深入。这就是这张比较表存在的理由。