一、欧盟 AI 法案首次修订:全球 AI 治理的关键转折点
2026 年 5 月 7 日,欧盟理事会、欧洲议会和欧盟委员会的谈判代表就 《数字综合法案》(Digital Omnibus)中的人工智能部分 达成了临时协议。这是自 2024 年 6 月《欧盟 AI 法案》(Regulation (EU) 2024/1689)通过以来的首次正式修订。
为什么这次修订如此重要? 《欧盟 AI 法案》自 2024 年生效以来,被公认为全球第一部综合性 AI 监管立法,直接影响了中国、美国、英国、巴西等 30 多个国家的 AI 立法方向。但原法案在实施过程中暴露了三个关键问题:第一,合规时间线过于紧迫--大量企业在 2026 年 8 月的高风险 AI 系统截止日期前无法完成合规准备;第二,高风险 AI 系统的定义过于宽泛--许多实际上风险较低的应用被纳入了最高级别的监管范围;第三,中小企业合规成本过高--文档要求和技术标准对中小型企业构成了不成比例的负担。
Digital Omnibus 的核心回应:2026 年 5 月的临时协议针对上述三个问题进行了精准修订--延期 16 个月将高风险合规截止日期从 2026 年 8 月推迟到 2027 年 12 月、收窄高风险定义将部分应用类别从高风险清单中移除、简化中小企业合规文档为 500 人以下企业提供简化流程。
AI Master 核心观点:欧盟 AI 法案的这次修订不是"放松监管",而是"精准监管"。它反映了一个重要认知--过度监管会扼杀创新,但监管不足会损害公众信任。欧盟正在寻找一个平衡点:既保护基本权利,又不让欧洲在 AI 竞赛中掉队。这一平衡点的选择,将影响全球 AI 治理的未来方向。
理解本次修订的关键前提:Digital Omnibus 目前仍为临时协议(provisional agreement),需要完成正式立法程序(一读通过、正式发布)后才具有法律效力。企业在制定合规计划时应以当前已生效的法律为基准,同时密切关注正式立法的最终文本。
不要将"延期"等同于"不需要合规"。延期只是给了更多准备时间,合规义务本身并未取消。而且延期后的截止日期(2027 年 12 月)仍然是一个硬性 deadline--如果届时仍未合规,将面临最高 3500 万欧元或全球年收入 7% 的罚款。
二、高风险 AI 系统合规延期 16 个月:时间线对比
本次修订最受关注的变更是将 Annex III 高风险 AI 系统的合规截止日期从 2026 年 8 月 2 日推迟到 2027 年 12 月 2 日--整整 16 个月的延期。
Annex III 涵盖的领域包括:招聘和员工管理(如 AI 简历筛选系统)、教育和职业培训(如 AI 评分系统)、基本服务的访问和享受(如 AI 信用评分、保险定价)、执法(如 AI 风险评估工具)、移民和边境管理(如 AI 签证审批系统)、司法和民主流程(如 AI 辅助判决系统)。
延期前的时间线:根据 2024 年原法案,高风险 AI 系统的合规义务本应在法案生效后 24 个月(即 2026 年 8 月 2 日)生效。这意味着所有在上述领域部署 AI 系统的组织,必须在 2026 年 8 月前完成风险评估、技术文档准备、质量管理体系建立、上市后监管等一系列合规工作。
延期后的新时间线:临时协议将这一截止日期推迟了 16 个月,给了企业到 2027 年 12 月的准备窗口。这一延期是基于欧盟委员会收到的大量行业反馈--超过 80% 的受访企业表示在 2026 年 8 月前无法完成合规准备,特别是中小企业和初创公司。
关键时间点完整梳理:
| 时间节点 | 内容 | 修订前 | 修订后 |
|---|---|---|---|
| 2025-02-02 | 禁止 AI 实践 + AI 素养义务 | 已生效 | 不变 |
| 2025-08-02 | GPAI 通用 AI 模型义务 | 已生效 | 不变 |
| 2026-08-02 | Annex III 高风险系统合规 | ✅ 原定 | 延期至 2027-12 |
| 2027-08-02 | 新增高风险类别 | 2027-08 | 待定 |
| 2027-12-02 | Annex III 高风险系统合规 | 无此节点 | 新截止日期 |
| 2027-08-02 | 2025 年 8 月前部署的 GPAI | 全面合规 | 不变 |
延期对行业的影响是双面的:一方面,企业获得了更多时间建立合规体系、聘请合规专家、完善技术文档;另一方面,延期可能导致部分企业在合规投入上产生惰性--认为"还有时间"而推迟行动。
AI Master 的建议是:把延期视为准备时间,而不是等待时间。 合规工作需要的时间往往超出预期--技术文档的编写、质量管理体系的建立、第三方审计的安排,每一项都需要数月。现在开始准备,到 2027 年 12 月才能有充分的合规保障。
制定合规计划的实用建议:将 2027 年 12 月的截止日期倒推,建议在 2027 年 6 月前完成内部合规准备,预留 6 个月用于第三方审计和整改。具体节奏:2026 Q3 完成风险分类和差距分析,2026 Q4-Q2027 Q2 建立合规体系和技术文档,2027 Q3 进行预审计。
注意 GPAI(通用 AI 模型)义务的合规日期不受延期影响--仍然在 2025 年 8 月 2 日已生效。如果企业是通用 AI 模型的提供者(如训练和分发基础模型),必须立即开始合规,不能等待高风险系统合规的延期。
三、高风险 AI 定义收窄:哪些应用不再属于高风险
Digital Omnibus 的另一项关键修订是收窄了 Annex III 中高风险 AI 系统的定义范围。这意味着一些原本被归类为高风险的 AI 应用,现在可能被降级为中风险或低风险,从而免除最严格的合规要求。
高风险定义收窄的具体措施(根据 EU AI Compass 和全球政策观察的分析):
第一,引入"实质性影响"标准。原法案对高风险的定义主要基于应用领域--只要在招聘、教育、执法等领域使用 AI,就自动被归类为高风险。修订后引入了"实质性影响"(material impact)的门槛--只有当 AI 系统的决策对人类的基本权利、健康安全、经济状况产生实质性影响时,才被归类为高风险。这意味着:
- 一个简单的 AI 简历排序工具(仅作为 HR 的参考建议,不直接决定面试邀请)可能不再属于高风险
- 一个 AI 信用评分系统(直接影响贷款利率和额度)仍然是高风险
- 一个 AI 课堂评分辅助工具(仅提供学习建议,不直接影响学生成绩)可能不再属于高风险
第二,排除"辅助决策"场景。修订明确将纯辅助性的 AI 系统排除在高风险范围之外--即那些仅为人类决策者提供参考信息、不直接做出具有法律或实际约束力决定的系统。这是一个重要区别:如果一个 AI 系统输出"建议拒绝贷款申请",但最终由人类信贷员做出决定,那么该系统可能不需要满足高风险合规要求。
第三,简化中小企业合规文档。修订为500 人以下企业创建了简化的合规文档流程--不需要像大企业那样准备完整的技术文档和合规报告,而是提供精简版文档。这一措施旨在降低中小企业的合规成本,避免合规负担扼杀创业创新。
争议与批评:这些收窄措施引发了部分隐私保护组织和公民社会团体的批评。他们认为:
- "实质性影响"标准过于模糊--什么算"实质性"?谁来判定?这给了企业自我解释的空间
- "辅助决策"排除条款可能被滥用--企业可以名义上将 AI 系统标为"辅助工具",但实际上高度依赖 AI 的输出做决定
- 删除了原法案中第 49 条的透明度保障条款--该条款要求即使在非高风险场景下,AI 系统也必须向用户披露其 AI 身份
AI Master 的分析立场:收窄高风险定义是一个务实的调整,但也带来了新的灰色地带。企业需要认真评估自己的 AI 系统是否仍然属于高风险--即使被排除在 Annex III 之外,仍然可能受到成员国层面的国内监管或 GDPR 的约束。最安全的做法是按照高风险标准进行合规准备,即使法律上可能不需要。
评估 AI 系统风险等级的实用方法:绘制完整的"决策流程图"--从 AI 系统输入数据到输出结果的完整链路,标注每一个人类干预点。如果 AI 的输出可以直接触发具有法律或实际约束力的行动(如自动拒绝贷款申请、自动终止劳动合同),则几乎肯定是高风险。如果 AI 的输出始终需要人类审批才能生效,则可以论证为"辅助决策"。
不要仅凭自我评估就确定"非高风险"。"实质性影响"标准的解释权最终归属于监管机构和法院--企业的自我解释可能不被接受。建议在做出风险分类决定前,咨询专业的 AI 合规律师,并获得书面的风险评估意见。
四(续)、企业合规评估工具示例:风险分类检查清单
为了帮助企业进行 AI 系统风险分类,以下是一个简化的 Python 工具脚本示例,基于修订后的 EU AI Act Annex III 清单和「实质性影响」标准。
这个脚本可以帮助企业快速评估自己的 AI 系统是否属于高风险类别--虽然它不能替代专业的法律评估,但可以作为初步筛查工具。
使用说明:将你的 AI 系统的基本信息输入检查清单,脚本会根据 Annex III 领域列表和实质性影响标准进行初步评估。评估结果为「高风险」「辅助决策」或「低风险」三个等级。
# EU AI Act 风险分类检查清单
from dataclasses import dataclass
from enum import Enum
class RiskLevel(Enum):
HIGH = "高风险"
AUXILIARY = "辅助决策"
LOW = "低风险"
@dataclass
class AISystemAssessment:
name: str
domain: str # 应用领域
makes_direct_decision: bool # 是否直接做出有约束力的决定
affects_fundamental_rights: bool # 是否影响基本权利
affects_health_safety: bool # 是否影响健康安全
affects_economic_situation: bool # 是否影响经济状况
has_human_oversight: bool # 是否有人类监督机制
company_size: int # 员工人数
def assess(self) -> RiskLevel:
"""基于修订后的 EU AI Act 进行风险分类"""
# Annex III 高风险领域列表
high_risk_domains = [
"招聘", "员工管理", "教育", "职业培训",
"信用评分", "保险", "执法", "移民管理",
"司法", "民主流程", "医疗", "关键基础设施"
]
# 不在 Annex III 领域 -> 低风险
if self.domain not in high_risk_domains:
return RiskLevel.LOW
# 检查是否产生实质性影响
material_impact = (
self.affects_fundamental_rights or
self.affects_health_safety or
self.affects_economic_situation
)
# 实质性影响 + 直接决策 -> 高风险
if material_impact and self.makes_direct_decision:
return RiskLevel.HIGH
# 实质性影响 + 辅助决策 -> 辅助决策级别
if material_impact and not self.makes_direct_decision:
return RiskLevel.AUXILIARY
# 无实质性影响 -> 低风险(即使在高危领域)
return RiskLevel.LOW
# 使用示例
loan_assessment = AISystemAssessment(
name="AI 信用评分系统",
domain="信用评分",
makes_direct_decision=True,
affects_economic_situation=True,
has_human_oversight=False,
company_size=200,
affects_fundamental_rights=False,
affects_health_safety=False
)
print(f"{loan_assessment.name}: {loan_assessment.assess().value}")
# 输出:AI 信用评分系统: 高风险# GPAI 合规义务检查清单
class GPAIComplianceCheck:
"""GPAI 模型合规义务评估"""
def __init__(self, model_name: str, training_flops: float,
company_size: int, is_open_source: bool):
self.model_name = model_name
self.training_flops = training_flops # 训练算力 FLOPs
self.company_size = company_size
self.is_open_source = is_open_source
def get_obligations(self) -> list[str]:
"""返回适用的合规义务"""
obligations = []
# 基础义务(所有 GPAI)
obligations.extend([
"技术文档",
"信息透明",
"版权合规",
])
# 系统性风险 GPAI
if self.training_flops > 1e25:
obligations.extend([
"模型评估 + 对抗测试",
"严重事件跟踪",
"年度合规报告",
"网络安全保护",
])
risk_level = "系统性风险"
else:
risk_level = "基础 GPAI"
# 中小企业简化
if self.company_size <= 500:
obligations.append("简化文档流程")
# 开源例外
if self.is_open_source:
obligations.append("检查开源例外条款适用性")
return obligations
# 使用示例
check = GPAIComplianceCheck(
model_name="自定义基础模型",
training_flops=5e25, # 超过 10^25 FLOPs
company_size=300, # 中小企业
is_open_source=False
)
for obs in check.get_obligations():
print(f" - {obs}")合规评估工具的局限性:此脚本仅作为初步筛查参考,不能替代专业的法律评估。EU AI Act 的条款解释复杂,特别是「实质性影响」标准的适用需要考虑具体业务场景。建议在使用工具初步筛查后,聘请专业律师进行完整评估。
不要依赖自动化脚本做出最终的合规决策。EU AI Act 的执法由各国监管机构执行,不同国家的解释可能有所不同。最终的合规判断应基于专业法律意见。
四、新增禁止 AI 实践:修订不只是放松监管
很多人误以为 Digital Omnibus 是一次"放松监管"的修订。事实恰恰相反--在收窄部分高风险定义的同时,修订也新增了若干禁止性 AI 实践,强化了对特定高风险场景的管控。
新增的禁止 AI 实践(根据 Council 和 Parliament 的临时协议):
第一,基于多模态生物特征识别的大规模监控。原法案已经禁止了实时远程生物特征识别(如街头面部识别),但修订进一步扩大了禁止范围--将多模态生物特征识别(同时使用面部、步态、声纹、指纹等多种生物特征进行识别)的大规模监控纳入禁止清单。这反映了对多模态 AI 技术发展的监管预判:当 AI 可以同时使用多种生物特征进行识别时,监控的精确度和侵犯性将远超单一模态。
第二,基于情感识别的雇佣和保险决策。修订明确禁止使用 AI 情感识别系统(通过面部表情、语音语调、生理信号等推断个人情绪状态)来进行雇佣决策(招聘、晋升、解雇)和保险决策(保费定价、理赔判定)。这一禁令基于一个核心科学争议:AI 情感识别的科学有效性仍然存疑--多项研究证明,面部表情与真实情绪状态之间的关联远不如商业宣传所声称的那样可靠。
第三,针对弱势群体的预测性警务。修订禁止使用 AI 预测性警务系统针对未成年人、难民、无家可归者等弱势群体进行风险评估和执法优先级排序。这一禁令反映了对算法偏见和系统性歧视的深刻担忧--历史数据中固有的偏见(如少数族裔更高的逮捕率)会被 AI 模型放大,导致对弱势群体的过度执法。
这些新增禁令的意义在于:它们表明欧盟的 AI 监管不是一次性的立法行为,而是一个持续演进的治理过程。随着技术发展和认知深化,监管框架会不断调整--既要放宽不合理的过度监管,也要收紧对新发现的风险领域的管控。
与原法案禁止清单的对比:
| 禁止实践 | 2024 原法案 | 2026 修订新增 |
|---|---|---|
| 潜意识操纵技术 | 已禁止 | 不变 |
| 利用弱势群体弱点 | 已禁止 | 不变 |
| 社会评分系统 | 已禁止 | 不变 |
| 实时远程生物特征识别 | 已禁止 | 不变 |
| 多模态生物特征大规模监控 | 未明确 | 新增禁止 |
| 情感识别用于雇佣/保险 | 未明确 | 新增禁止 |
| 针对弱势群体的预测性警务 | 未明确 | 新增禁止 |
对于 AI 开发者的实操建议:检查你的产品是否涉及任何新增禁止实践。特别是"情感识别"--许多公司正在开发基于面部表情分析的员工情绪监控工具、基于语音语调的客服质量评估工具等。这些在修订后可能直接落入禁止范围,需要立即进行合规评估。
注意"禁止"的法律后果:违反禁止性规定的罚款是最高级别的--3500 万欧元或全球年收入的 7%(取较高者)。这比高风险系统不合规的罚款(1500 万欧元或 3%)更重。企业必须在产品设计和开发阶段就排除禁止性实践,不能等到产品上线后再补救。
五、GPAI 通用 AI 模型的合规义务变化
通用 AI 模型(General-Purpose AI Models,GPAI)--即像 GPT-4、Claude、Gemini 这样的基础大模型--在 EU AI Act 中受到专门监管。Digital Omnibus 对 GPAI 的合规义务也进行了调整。
GPAI 义务的基本框架(2025 年 8 月 2 日已生效,不受延期影响):
- 技术文档:提供模型的训练数据、架构、训练方法、评估结果的详细文档
- 信息透明:向下游部署者提供模型能力、局限性和使用说明
- 版权合规:提供训练数据的版权摘要,遵守欧盟版权法
- 系统级风险评估:对于具有系统性风险的 GPAI(定义为训练算力超过 10 的 25 次方 FLOPs),需要进行额外的系统级风险评估和缓解措施
Digital Omnibus 对 GPAI 的调整:
- 简化中小企业 GPAI 提供者义务--500 人以下的 GPAI 提供者可以享受简化文档流程
- 新增开源 GPAI 的例外条款--某些开源基础模型可能获得部分义务豁免,具体取决于模型的部署方式和影响范围
- 强化模型溯源要求--GPAI 提供者需要建立更完善的数据溯源机制,确保训练数据的来源可追踪
GPAI 对中国 AI 企业的影响尤为显著。DeepSeek V4、Kimi K2.6、Qwen3.7-Max 等中国基础模型如果想在欧盟市场提供服务,同样需要满足 GPAI 合规要求--包括技术文档、版权合规、透明度义务。对于开源模型(如 Qwen 系列),需要密切关注"开源 GPAI 例外条款"的具体适用范围。
系统性风险 GPAI 的特殊要求:具有系统性风险的 GPAI 除了基础义务外,还需要:
- 进行模型评估和对抗性测试
- 跟踪和记录严重事件
- 向欧盟委员会提供年度合规报告
- 确保足够的网络安全保护
截至 2026 年 5 月,GPT-4/4.5/5.5、Claude Opus 4.7、Gemini 3.5 Pro 等旗舰模型几乎肯定属于"系统性风险 GPAI"类别,而部分中小型模型(如 Flash 类模型)可能只需要满足基础义务。
GPAI 提供者的合规策略建议:如果你正在训练或分发基础模型,第一步是确认模型是否属于"系统性风险"类别。如果是,立即启动对抗性测试和系统级风险评估的准备工作--这些工作的周期通常长达 6-12 个月,远长于基础义务的文档准备时间。
版权合规是 GPAI 义务中最容易被忽视但也最容易被触发罚款的部分。如果训练数据中包含了受版权保护的内容而没有适当的许可或合法例外,可能面临版权持有者的诉讼和监管机构的双重处罚。建议在训练前进行全面的数据版权审查。
六、全球影响:EU AI Act 如何影响中国、美国和其他国家
EU AI Act 的影响力远超欧盟边界。作为全球第一部综合性 AI 监管立法,它正在通过布鲁塞尔效应(Brussels Effect)--即欧盟标准通过市场力量成为全球事实标准--塑造全球 AI 治理格局。
对中国 AI 企业的影响:
- 出口合规:任何在欧盟市场部署 AI 系统的中国企业(如跨境电商的推荐系统、智能硬件中的 AI 功能、企业 SaaS 的 AI 模块)都需要满足 EU AI Act 的要求。DeepSeek、Kimi、Qwen 等基础模型如果提供面向欧盟的服务,也需要满足 GPAI 合规要求。
- 监管互认:中国正在制定自己的 AI 立法框架(如《人工智能法》草案),EU AI Act 的修订可能影响中国立法的方向和时间表。两个司法管辖区之间的监管协调程度,将直接影响跨国 AI 企业的合规成本。
- 开源生态:Qwen 等开源模型的欧盟合规状态取决于"开源 GPAI 例外条款"的具体设计。如果开源模型能获得部分豁免,将有利于中国开源 AI 在欧盟市场的推广。
对美国 AI 企业的影响:
- OpenAI、Anthropic、Google 等美国巨头已经在 EU AI Act 框架下进行合规准备。Digital Omnibus 的延期给了它们更多时间,但并未改变合规方向。
- 美国联邦层面的 AI 立法仍处于碎片化状态--各州有自己的 AI 法规(如加州 AI 安全法案、科罗拉多 AI 消费者保护法)。EU AI Act 的修订可能促使美国加速联邦层面的统一立法。
- 特朗普推迟 AI 行政令(2026 年 5 月报道)--美国联邦政府在 AI 监管上的立场与欧盟形成鲜明对比。这种监管差异可能导致"监管套利"--AI 公司选择在监管更宽松的地区部署有争议的应用。
对其他国家和地区的影响:
- 英国:脱欧后采取了"亲创新"的 AI 监管策略--不制定综合性立法,而是通过现有监管机构在各自领域管理 AI。EU AI Act 的修订可能促使英国重新评估其策略。
- 巴西:正在审议 AI 立法草案,直接参考了 EU AI Act 的框架。
- 加拿大:《人工智能与数据法案》(AIDA)的立法进程受到 EU AI Act 的显著影响。
- 日本:采取了"软法"策略--通过行业指南而非立法来管理 AI。
全球 AI 治理的三种模式对比:
| 模式 | 代表 | 特点 | 企业影响 |
|---|---|---|---|
| 全面立法型 | 欧盟 | 统一立法、风险分级、强制执行 | 合规成本高但规则明确 |
| 分散立法型 | 美国 | 各州各自立法、联邦碎片化 | 需要逐州合规 |
| 软法治理型 | 日本、英国 | 行业指南、自律为主 | 灵活但不确定性高 |
跨国 AI 企业的合规策略建议:以 EU AI Act 的合规标准作为全球基线--这是目前最全面、最明确的 AI 监管框架。满足 EU AI Act 要求后,再针对各地区的额外要求进行补充。这种"就高不就低"的策略可以避免因不同司法管辖区标准不一而导致的合规混乱。
不要假设 EU AI Act 是唯一需要关注的 AI 监管。中国正在加速推进自己的 AI 立法,美国各州的 AI 法规也在快速增加。跨国企业需要建立全球合规监控机制,持续跟踪主要司法管辖区的监管动态。
七、企业合规行动清单:从理解到执行
基于 Digital Omnibus 的最新修订,以下是 AI 企业的合规行动清单,按优先级排序。
第一步:风险分类(2026 Q3 完成)
- 盘点企业所有在用和计划部署的 AI 系统
- 根据修订后的 Annex III 清单,逐一评估每个系统是否属于高风险
- 对于可能被排除在高风险之外的系统,进行"实质性影响"论证
- 输出:AI 系统风险分类清单
第二步:差距分析(2026 Q4 完成)
- 对照 EU AI Act 的要求,评估每个高风险 AI 系统的合规差距
- 重点关注:技术文档完整性、质量管理体系、数据治理、透明度义务、人工监督机制
- 输出:合规差距报告 + 整改计划
第三步:合规体系建设(2027 Q1-Q2 完成)
- 建立或完善 AI 治理委员会
- 制定 AI 风险管理流程
- 建立技术文档编写和维护机制
- 部署 AI 系统的监控和日志基础设施
- 输出:合规体系运行 + 文档体系
第四步:预审计(2027 Q3 完成)
- 聘请第三方审计机构进行预合规审计
- 根据审计结果进行整改
- 输出:预审计报告 + 整改记录
第五步:正式合规(2027 Q4 完成)
- 确保所有高风险 AI 系统在 2027 年 12 月 2 日前满足全部合规要求
- 向监管机构提交合规声明(如适用)
- 输出:合规确认
中小企业简化流程:如果企业员工人数在 500 人以下,可以享受简化的合规文档流程--但简化不等于免除,核心义务(技术文档、风险管理、人工监督)仍然需要满足。
合规不是一次性项目,而是持续过程。EU AI Act 要求建立"上市后监管"(Post-Market Monitoring)机制--即使在合规截止日期之后,企业也需要持续监控 AI 系统的运行状态、记录严重事件、定期更新技术文档。建议将合规工作纳入日常运营流程,而不是作为一次性项目处理。
最常见的合规失败原因:第一,低估了技术文档的编写工作量--一个中等复杂度的 AI 系统的完整技术文档可能需要 200-500 页,包括算法描述、训练数据说明、性能评估、风险评估等;第二,忽视了数据治理--EU AI Act 对训练数据的质量、代表性、偏见控制有明确要求,但许多企业的数据基础设施无法支持这些要求;第三,缺乏人工监督机制--高风险 AI 系统必须设计有效的人工监督接口,但许多系统在设计时没有考虑这一需求。
八、罚款与执法:不合规的代价
EU AI Act 的罚款体系按违规类型分级,最高罚款达到 3500 万欧元或全球年收入的 7%(取较高者)--这是目前全球最严厉的 AI 监管罚款体系。
罚款分级:
| 违规类型 | 罚款上限 | 适用场景 |
|---|---|---|
| 禁止性实践 | 3500 万欧元 或 7% 年收入 | 部署被禁止的 AI 系统(如大规模生物特征监控) |
| 高风险系统不合规 | 1500 万欧元 或 3% 年收入 | 高风险 AI 系统未满足技术文档、质量管理等要求 |
| 提供虚假信息 | 700 万欧元 或 1% 年收入 | 向监管机构提供虚假或误导性信息 |
执法机制:每个欧盟成员国的指定监管机构负责在本国范围内执行 EU AI Act。这意味着:
- 在法国部署的 AI 系统由法国监管机构执法
- 在德国部署的 AI 系统由德国监管机构执法
- 不同成员国的执法力度和优先级可能存在差异
欧盟 AI 办公室(EU AI Office)作为协调机构,负责跨成员国的执法协调和 GPAI 的系统性风险监管。对于跨多个成员国的 AI 系统,AI 办公室可以牵头联合执法。
与 GDPR 的对比:GDPR 的最高罚款是 2000 万欧元或 4% 年收入。EU AI Act 在禁止性实践的罚款上超过了 GDPR(7% vs 4%),反映了对 AI 风险的更高关注度。
对中国企业的特别提示:即使企业在欧盟没有实体存在,只要其 AI 系统的输出在欧盟使用,就受到 EU AI Act 的管辖。这意味着中国的 AI 企业如果在欧洲有客户或用户,需要评估合规风险。
降低罚款风险的策略:第一,建立内部合规自查机制,在监管机构发现问题之前自行发现并整改;第二,保留完整的合规记录--技术文档、审计报告、整改记录、培训记录等--这些在执法过程中可以证明企业的"善意努力",可能减轻处罚;第三,购买 AI 责任保险--越来越多的保险公司提供 AI 合规相关的保险产品。
不要将罚款视为"最坏情况"。EU AI Act 还赋予监管机构其他执法工具:限期整改令、暂停 AI 系统运行、从市场撤回 AI 系统。这些措施的即时商业影响可能远大于罚款--一个被暂停运行的核心 AI 系统可能直接导致业务中断。
九、趋势预判:2026-2028 全球 AI 治理走向
基于 Digital Omnibus 的首次修订和全球 AI 立法动态,以下是对未来两年 AI 治理趋势的预判。
趋势一:监管的"精准化"成为主流。EU AI Act 的首次修订表明,AI 监管正在从"一刀切"转向"精准监管"--根据实际风险等级调整监管强度,而非简单地按应用领域分类。预计其他国家的 AI 立法也会采纳类似的精细化思路。
趋势二:合规工具市场快速增长。随着 EU AI Act 合规截止日期的临近,AI 合规工具市场将迎来爆发式增长--包括自动化合规评估工具、技术文档生成工具、模型审计工具、数据治理平台等。预计 2027 年 AI 合规工具市场规模将超过 50 亿美元。
趋势三:AI 治理的国际协调加速。欧盟、美国、中国、英国等主要司法管辖区正在探索 AI 监管的国际协调机制--类似于 WTO 之于贸易、Basel 之于银行监管。G7 的"广岛 AI 进程"、联合国 AI 咨询机构、OECD 的 AI 原则框架,都在推动全球 AI 治理标准的趋同。
趋势四:开源 AI 的监管框架成型。Digital Omnibus 新增的"开源 GPAI 例外条款"代表了监管框架对开源模式的适应性调整。预计未来 2 年将形成更完善的开源 AI 治理框架--在鼓励开源创新的同时,确保开源模型不会成为监管规避的工具。
趋势五:AI 安全从"伦理"走向"工程"。EU AI Act 的执法框架表明,AI 安全不再是伦理讨论的范畴,而是工程实践的要求--技术文档、测试报告、审计记录、监控日志,这些都是工程化而非伦理化的产物。预计 AI 安全将从"哲学问题"转变为"工程问题",催生新的工程学科--AI 安全工程。
AI 从业者的行动建议:无论你是在开发 AI 产品、管理 AI 项目、还是研究 AI 政策,都应将合规意识融入日常工作。合规不是法务部门的专属责任,而是每个 AI 从业者需要关注的基本素养。推荐阅读 EU AI Act 的官方文本(英文版),了解具体要求。
趋势预判的风险:全球 AI 治理格局仍在快速演变中--一次重大的 AI 事故(如自动驾驶致死事故、深度伪造影响选举)可能导致监管突然收紧;地缘政治紧张可能阻碍国际合作;技术创新的速度可能超出监管框架的适应能力。以上预判基于当前可见的信息和趋势,实际发展可能因突发事件而发生显著变化。
十、总结:欧盟的选择与全球 AI 的未来
EU AI Act 的首次修订(Digital Omnibus on AI)是 AI 治理史上的一个重要节点。它既不是"放松监管",也不是"加强监管"--而是监管框架走向成熟的标志:从初期的"宁可严不可松"转向了"精准平衡"。
欧盟的选择反映了其对 AI 治理的核心理念:技术必须服务于人类利益。这意味着:
- 允许 AI 创新,但不允许创新以牺牲基本权利为代价
- 鼓励 AI 发展,但要求开发者为 AI 的行为负责
- 支持 AI 应用,但确保人类对关键决策保持最终控制权
对中国 AI 行业的启示:中国的 AI 产业发展速度和规模在全球领先,但 AI 治理框架仍在建设中。EU AI Act 的经验和教训--包括其初期的过度严格和修订后的精准调整--为中国立法者提供了宝贵的参考。中国需要在促进 AI 产业发展和保护公众利益之间找到自己的平衡点。
对全球 AI 开发者的信息:合规不是负担,而是竞争力。在 AI 信任日益重要的时代,能够满足最高合规标准的 AI 产品,将在市场上获得更大的信任和价值。EU AI Act 的合规不是"不得不做"的义务,而是"应该做好"的投资。
最终的观点:AI 治理不是一次立法就能解决的问题,而是一个持续的、动态的过程。Digital Omnibus 的首次修订只是开始--随着技术的发展和认知的深化,治理框架会继续调整。关键是建立灵活但有底线的治理框架:灵活性让创新有空间,底线让公众有信心。
持续关注 EU AI Act 的立法进展:Digital Omnibus 临时协议需要完成正式立法程序(一读通过、正式发布)后才具有法律效力。建议订阅欧盟委员会的 AI Act 更新通知,或关注 EU AI Compass 等专业网站的解读。
本文的分析基于截至 2026 年 5 月 24 日的公开信息。Digital Omnibus 的最终文本可能在正式立法过程中进一步调整。在做出任何重大合规决策前,请咨询专业的 AI 合规法律顾问。