东南亚人工智能法规：风险、罚款及所有须知事项

如果您在东南亚开发或部署人工智能，可能有人曾递给您一叠“人工智能治理框架”并要求您遵守。这些框架大多是自愿性的，不带任何处罚，但也有一些可能导致巨额罚款。

这些强制性框架涵盖了从现有的数据保护法到新的人工智能法规，以及您应该已经熟悉的行业特定规则。

对于任何首席技术官（CTO）或产品负责人而言，努力区分自愿性与强制性规定是关键所在。混淆这两者可能会浪费大多数初创公司所不具备的宝贵时间和金钱。

作为一名为东南亚环境构建人工智能系统的应用科学家，我多年来一直从事技术方面的工作，而这些工作正是监管机构现在试图管理的领域，例如训练数据、模型文档、偏见测试和部署监督。对于开发者来说，理解这些法规的实际要求以便采取行动至关重要。

哪些行为会受到处罚

许多人工智能法规，包括欧盟（European Union）的《人工智能法案》和越南的《人工智能法》，都采用基于风险的分类系统。这些法规覆盖范围广泛，涵盖了从事人工智能活动的本地和外国实体。

例如，在公共场所进行社会评分和实时生物特征识别，在欧盟和越南都被归类为禁止行为。

其次是高风险级别，大多数人工智能开发者会发现自己属于这一类。如果您的产品涉及招聘、信用评分、医疗保健、教育或基本公共服务，请默认将其视为高风险。

欧盟《人工智能法案》

第2024/1689号条例是一项具有约束力的法律，不仅适用于欧盟内部的公司，也适用于欧盟以外的任何提供商或部署者，只要其人工智能系统的输出在欧盟管辖范围内使用。如果您的公司总部在雅加达，但客户在柏林的办公室使用您的工具，您同样受到该法规的约束。

罚款并非象征性的：对于被禁止的用途，最高可处以3500万欧元（约合5220万新元）或全球营业额7%的罚款；对于高风险违规行为，最高可处以1500万欧元或全球营业额3%的罚款。

SEE ALSO

Companies need to govern AI risks as adoption outpaces oversight: KPMG, IIA Singapore

Asia has a three-year window to seize AI leadership through digital sovereignty

Governance, workforce gaps hinder companies’ AI adoption despite rising investments: KPMG

MAS launches AI risk toolkit for financial institutions with case studies from DBS, peers

AI boom masks mounting risks from Middle East energy shock: MAS chief

Asia’s courts are drowning in paperwork. Can AI save them?

Banks pour billions into AI, but most see no ROI. Here’s why

More

越南的《人工智能法》

第134/2025号法律在许多在东南亚运营的开发团队中并未引起注意。越南国会于2025年12月10日通过了该地区首部独立、全面的人工智能法规，并于3月1日生效。

该法律的结构在很大程度上借鉴了欧盟《人工智能法案》的逻辑：分为禁止、高风险和低风险三个级别，并对高风险系统的提供商和部署者规定了不同的义务。

现有系统根据不同行业将有12至18个月的过渡期。如果您向越南出口产品，那么这将是首先生效的监管制度。

现行数据保护法

当您的系统处理个人信息时，即使没有专门的人工智能法律，您也同样受到监管。

新加坡、马来西亚、泰国和越南的数据保护法都带有处罚条款，并且都适用于处理此类数据的人工智能系统。如果您的模型训练或决策涉及可识别身份的个人，那么您就面临风险。

金融监管机构

在金融领域，即使标签上写着“指南”，这些规则实际上也是强制性的。印度尼西亚的金融监管机构 Otoritas Jasa Keuangan（OJK）已发布针对银行和金融科技公司的人工智能治理期望，包括2025年4月的《银行业人工智能治理指南》。

新加坡金融管理局（Monetary Authority of Singapore）已为金融机构设定了人工智能风险预期，而泰国银行（Bank of Thailand，简称BoT）则于2025年9月发布了《金融服务提供商人工智能风险管理指南》，适用于金融机构和支付提供商。

目前是自愿性的

除了少数例外，主导讨论的框架都不具约束力。然而，自愿性并不意味着您应该忽视它们。

一方面，企业采购越来越多地要求遵循此类指南。在任何法律要求之前，银行或政府买家就会询问您的系统是否符合自愿性框架。

更重要的是，今天的自愿性标准可能会成为明天的强制性文本，团队在规划时应将此考虑在内。

高风险在实践中意味着什么

有一个关键区别决定了您的公司需要承担多大的监管责任：如果您在现有的人工智能模型之上构建产品——例如，一个基于ChatGPT的招聘工具——那么该产品的合规负担由您承担，而不是OpenAI。大多数东南亚初创公司都处于这种情况，即使他们自己从未训练过模型。

在实践中，根据欧盟的《人工智能法案》、越南的《人工智能法》以及印尼和泰国已提出的法律草案，一个高风险系统需要在其整个生命周期内维持风险管理流程。

它还要求有数据显示您的训练数据是相关的并经过了偏见测试，有外部评估员可以阅读的技术文档，有至少保留六个月的自动日志记录，有明确的人工监督机制，以及发布后的上市后监控。

这是一个庞大的组合，必须内置于产品中，而不是在推出后才附加。

这正是区域数据鸿沟——即东南亚语言、文化和背景在人工智能训练数据中代表性不足——不再是一个伦理话题，而成为一个合规问题的地方。欧盟《人工智能法案》第10条要求，鉴于预期目的，训练、验证和测试数据必须具有相关性和充分的代表性。

我的理解是，如果系统对印度尼西亚、菲律宾或越南用户做出决策，那么代表性必须延伸到他们。如果您的模型主要是在西方的、英语的数据上训练的，并且您无法证明它在这些用户身上的表现如何，那么这个代表性测试将很难通过。

像SEA-VL这样的区域性数据集项目在这里具有实际意义：有记录的、具有区域代表性的数据正成为合规证据的一部分。（信息披露：我是这个视觉语言数据集的合著者之一。）

未来12个月该做什么

我认为东南亚的人工智能公司可以采取四个步骤：

• 将您发布的每一款人工智能产品与适用法规中概述的风险等级进行对应。任何涉及招聘、信贷、生物识别、健康、教育或公共服务的产品都应被视为高风险。

• 如果任何输出内容触及欧盟，请将欧盟《人工智能法案》作为您的约束底线，并按照其高风险要求进行构建。这可能是您将面临的最严格的制度，满足它通常也能满足其他体系的要求。

• 使用美国国家标准与技术研究院（NIST）的人工智能风险管理框架（AI RMF）或ISO/IEC 42001作为您的文档模板。它们是自愿性的，但与越南已经生效以及其他地区正在起草的强制性要求密切相关。

• 从今天开始建立审计追踪。确保您记录风险日志、训练数据来源、偏见测试结果和人工监督设计。

令人鼓舞的是，这些措施奖励了那些精心构建产品的团队。将文档、数据来源和监督视为工程工作而非文书工作的人工智能公司，将能以大致相同的精力通过所有监管制度。

这张版图并不简单，但它是可以解读的，而且现在解读它的成本远低于在审计时再解读。 TECH IN ASIA

Vicky Feliren 是一名应用科学家，也是印度尼西亚莫纳什大学的理学硕士候选人，研究方向为可信赖的多模态人工智能和视觉语言模型。