属于我们的Compliance & Regulation系列
阅读完整指南欧盟人工智能法案合规性:2026 年企业需要了解的内容
《欧盟人工智能法案》(法规 (EU) 2024/1689)于 2024 年 8 月 1 日生效,这是世界上第一个全面的人工智能法规,为部署在欧盟市场或影响欧盟市场的人工智能系统建立了基于风险的框架。随着义务逐步落实到 2027 年,2026 年是高风险人工智能系统合规规划的关键一年:高风险人工智能的提供商和部署者必须在 2026 年 8 月 2 日之前制定合格评估、技术文档和治理框架。
欧盟人工智能法案具有与 GDPR 相当的域外影响力:任何投放到欧盟市场或在欧盟使用的人工智能系统——无论提供商位于何处——都属于范围之内。对于服务于欧盟市场或处理欧盟数据的人工智能提供商、开发商、进口商、分销商和部署者来说,合规性是必须的。
要点
- 欧盟人工智能法案设立了四个风险等级:不可接受的风险(禁止)、高风险、有限风险和最小风险
- 禁止的人工智能系统必须在 2025 年 2 月 2 日之前从欧盟市场撤出
- 高风险人工智能系统面临最苛刻的义务——合格评定、技术文件、基本权利影响评估、上市后监控
- 通用人工智能 (GPAI) 模型(如 GPT-4、Claude、Gemini)面临特定义务;系统性风险 GPAI 模型面临更高的要求
- 欧洲人工智能办公室(2024 年 3 月成立)负责监督 GPAI 模型义务;国家市场监管机构监管高风险人工智能
- 违规罚款:针对禁止的人工智能违规行为,处以最高 3500 万欧元或全球年营业额 7% 的罚款;高风险 AI 违规行为最高 1500 万欧元或 3%
- 正在指定第三方合格评定的公告机构;许多高风险系统可以自我评估
- 正在制定业务守则和统一标准——监督 EASA 和相关机构
欧盟人工智能法案时间表和分阶段实施
《人工智能法案》的义务将在三年内分阶段实施:
| 生效日期 | 义务生效 |
|---|---|
| 2025 年 2 月 2 日 | 禁止的人工智能系统——必须撤回或修改 |
| 2025 年 8 月 2 日 | GPAI 模型义务;治理框架要求(内部人工智能素养、执行机构) |
| 2026 年 8 月 2 日 | 附件一和附件三中的高风险人工智能系统义务;公告机构要求 |
| 2027 年 8 月 2 日 | 高风险人工智能系统是已受欧盟协调立法管辖的产品的安全组成部分; 2026 年 8 月 2 日之前投入使用的现有人工智能系统的义务 |
风险分类框架
《人工智能法案》将人工智能系统分为四个风险等级:
第 1 级:不可接受的风险(禁止人工智能)
第5条自2025年2月2日起绝对禁止在欧盟使用以下人工智能系统:
- 潜意识操纵:人工智能系统部署超越意识或欺骗技术的潜意识技术,以造成或相当可能造成重大伤害的方式严重扭曲行为
- 利用漏洞:人工智能利用特定群体(年龄、残疾、社会/经济状况)的漏洞来严重扭曲行为
- 公共当局的社会评分:由公共当局或代表公共当局使用的人工智能系统,用于根据导致有害待遇的社会行为或个人特征对个人进行评估或分类
- 公共场所的实时生物识别:出于执法目的在公共场所使用远程实时生物识别系统(恐怖主义、严重犯罪、失踪儿童等少数例外情况)
- 基于受保护属性的生物识别分类:人工智能根据生物识别技术对个人进行分类,以推断种族、民族、宗教、政治观点、性取向、工会成员身份
- 工作场所和教育中的情绪识别:推断工作场所或教育中情绪的人工智能系统(极少数例外)
- 基于侧写的犯罪预测:仅基于侧写而不进行个人评估的预测警务人工智能
- 无针对性的面部识别数据库抓取:通过无针对性的抓取创建或扩展面部识别数据库的人工智能
需要采取行动:如果您的人工智能系统属于上述任何类别,则需要立即退出欧盟市场。如果您的人工智能产品的任何功能接近这些定义,则法律审查至关重要。
第 2 层:高风险人工智能
高风险人工智能系统(第 6 条和附件三)面临最广泛的合规义务。高风险状态适用于:
人工智能作为受监管产品的安全组件(附件一):作为受欧盟协调立法管辖的产品安全组件的人工智能系统(医疗器械、机械、航空、汽车、玩具、升降机、压力设备、个人防护设备、无线电设备、体外诊断、船舶设备、索道、农业和林业车辆、铁路系统、娱乐工艺品、爆炸物)
独立的高风险人工智能系统(附件三——8类):
- 自然人生物识别与分类:实时和事后远程生物识别;生物识别验证;生物识别分类
- 关键基础设施:人工智能管理或运营关键数字基础设施、道路交通或公用事业(水、气、热、电)
- 教育和职业培训:人工智能确定受教育机会、分配教育机会、评估学生
- 就业和工人管理:招聘和选拔(简历筛选、面试评估)、绩效评估、晋升/终止决策、零工经济平台中的任务分配
- 获得基本私人服务和公共服务:人工智能评估信用度(小额/目的信用评估除外)、保险风险评估、医疗保险
- 执法:测谎仪、证据可靠性评估、犯罪风险分析、刑事调查录音中的面部识别
- 移民、庇护、边境管制:人工智能对移民/寻求庇护者进行测谎评估、非法越境风险评估、文件验证、协助申请
- 司法和民主程序:人工智能在司法判决中解释事实和法律,影响选举/投票行为
第三层:有限风险人工智能
具有透明度义务但没有合格评定的人工智能系统:
- 聊天机器人和人工智能交互:必须向用户披露他们正在与人工智能系统交互(除非从上下文中显而易见)
- 情绪识别和生物识别分类:当个人受到这些系统的约束时,向其披露
- Deepfakes:将人工智能生成的内容标记为人工生成或操纵(对于选举、新闻、教育内容尤其重要)
第 4 层:最小风险人工智能
风险最小的人工智能系统(垃圾邮件过滤器、人工智能视频游戏、制造质量控制中的人工智能)除了一般产品法要求外,不承担任何特定的人工智能法案义务。鼓励自愿遵守行为准则。
高风险人工智能系统义务
如果您的人工智能系统被归类为高风险,则适用以下义务(第 3 章和第 5 章):
一、风险管理制度(第九条)
建立并维护覆盖人工智能系统整个生命周期的记录化风险管理体系:
- 识别和分析对健康、安全和基本权利的合理可预见风险
- 风险估计和评估
- 根据上市后监测数据进行评估
- 风险管理措施(可接受、消除或减轻剩余风险)
2. 数据和数据治理(第 10 条)
培训、验证和测试数据必须满足特定的质量标准:
- 相关、有代表性、无错误、完整且符合预期目的
- 检查可能的偏差并采取适当的缓解措施
- 偏见检测,特别是有关受保护特征(种族、性别、年龄、残疾)
- 数据来源文档
3. 技术文件(第 11 条和附件 IV)
在投放市场之前准备全面的技术文档:
- AI系统的一般描述
- 要素和开发过程的详细描述
- 系统的监控、运行和控制
- 验证和测试程序
- 风险管理文件
- 在生命周期中进行的更改
- 适用的协调标准清单
- 欧盟符合性声明副本
4. 记录保存和日志记录(第 12 条)
高风险人工智能系统必须在整个操作过程中启用自动日志记录:
- 记录与评估合规性相关的事件
- 操作日志可以识别风险和事件
- 根据用例保留日志适当的期限(生物特征识别至少 6 个月;就业 AI 至少 3 年)
5. 部署者的透明度和信息(第 13 条)
高风险人工智能必须足够透明,以便部署人员了解其用途。提供商必须向部署者提供:
- 使用说明(清晰、完整、正确、易于理解)
- 有关功能和限制的信息
- 特定群体的绩效指标
- 输入数据规范
- 使部署者能够履行其基本权利影响评估义务的信息
6. 人工监督(第 14 条)
高风险人工智能的设计和开发必须能够进行人类监督:
- 能够充分理解能力和局限性
- 能够监控操作并检测异常情况
- 能够覆盖、中断或停止系统
- 能够解释输出(尤其是生物识别和就业人工智能)
- 对于完全自动化的决策:适合风险的监督措施
7. 准确性、稳健性和网络安全(第 15 条)
高风险人工智能必须达到适当的水平:
- 适合预期目的的准确性
- 对错误、故障、不一致和对抗性攻击的鲁棒性
- 整个生命周期的网络安全;对抗性稳健性评估
8.质量管理体系(第十七条)
供应商必须实施质量管理体系,涵盖:
- 监管合规策略
- AI系统设计的技术和流程
- 系统验证和测试程序
- 技术文档维护
- 上市后监控
- 问责框架和高级管理层签字
9. 欧盟符合性声明(第 47 条)
供应商在投放市场之前必须起草书面的欧盟符合性声明并贴上 CE 标志。
10. 在欧盟数据库中注册(第 49 条)
高风险人工智能系统(附件三)在投放市场之前必须在欧盟数据库中注册。欧洲人工智能办公室正在建立欧盟人工智能法案数据库。
通用人工智能 (GPAI) 模型义务
第五章(第 51-56 条)专门讨论了通用人工智能模型——在大量数据上训练的大型人工智能模型,可以执行广泛的任务(GPT-4、Claude、Gemini、Llama)。义务适用于 GPAI 模型提供者,而不是部署者。
所有 GPAI 模型提供商(第 53 条)
- 为国家当局和人工智能办公室准备和维护技术文件
- 向将 GPAI 集成到其人工智能系统中的下游提供商提供信息和文档
- 遵守版权法规(指令 2001/29/EC)——提供培训数据摘要
- 发布用于培训的内容摘要
系统性风险 GPAI 模型(第 55 条)
具有系统性风险的 GPAI 模型(定义为总计算量超过 10^25 FLOP 训练的模型)面临更高的义务:
- 根据最先进的协议进行对抗性测试(红队)
- 向AI办公室报告严重事件和纠正措施
- 模型权重、架构和训练数据的网络安全保护
- 能源效率报告
欧洲人工智能办公室维护着一份系统性风险 GPAI 模型清单。当前指定模型包括 GPT-4 和类似的前沿模型。随着计算成本的降低,随着时间的推移,这个阈值可能会捕获更多的模型。
合格评定流程
合格评定确定高风险人工智能系统在市场投放前是否符合人工智能法案的要求。
自我评估(内部控制 - 附件六):对于大多数附件三高风险人工智能系统(生物特征识别除外),提供商可以自我评估合规性。这涉及提供商根据每项适用的要求进行全面评估并记录下来,签署符合性声明,并维护技术文件。
第三方评估(公告机构):生物特征识别系统(附件 III,第 1 点)和附件 I 产品中的安全组件 AI 是必需的,其中相关协调立法要求第三方评估。
公告机构:由欧盟成员国指定并在 NANDO 数据库中发布。 《人工智能法案》的公告机构指定正在进行中——考虑到可能的能力限制,组织应尽早与公告机构合作。
AI 治理框架要求
第 26 条和第 57-63 条为部署(不仅仅是提供)高风险人工智能的组织制定了治理要求:
部署者义务:
- 指定一名人工审核员,有权在高风险用例中推翻人工智能决策
- 确保操作高风险人工智能的员工经过培训且有能力
- 对公共机构或某些私营部门部署的某些高风险人工智能进行基本权利影响评估(FRIA)
- 监控人工智能系统的运行;向提供商报告事件
- 保留操作日志最短保留期限
一般人工智能素养:第 4 条要求提供商和部署者确保其员工拥有足够的人工智能素养——了解与其角色相关的人工智能功能、限制和风险。
欧盟人工智能法案合规清单
- 人工智能系统清单已完成——评估所有使用、提供或部署的人工智能系统
- 为每个人工智能系统确定风险分类(禁止、高风险、有限风险、最低风险)
- 禁止的人工智能系统(附件一)于 2025 年 2 月撤销或修改
- 如果提供法学硕士或基础模型,则评估 GPAI 模型义务
- 确定高风险人工智能系统 — 确定合格评定方法(自行或公告机构)
- 为每个高风险人工智能系统准备的技术文档
- 记录风险管理体系
- 记录培训/验证/测试数据的数据治理程序
- 在高风险人工智能系统中实现自动日志记录
- 针对高风险人工智能实施的人类监督机制
- 准备欧盟符合性声明并应用 CE 标志
- 在欧盟数据库中注册的高风险人工智能系统
- 建立人工智能开发质量管理体系
- 为部署者准备的使用说明
- 制定上市后监测计划
- 为相关员工实施人工智能素养计划
- 为适用的部署环境建立 FRIA 流程
常见问题
欧盟人工智能法案是否适用于我们内部使用而不是对外销售的人工智能工具?
是的,这些工具属于高风险类别。 《人工智能法案》适用于提供商(开发人工智能并将其投放市场)和部署者(在专业环境中使用人工智能系统)。部署第三方高风险人工智能系统(例如人工智能驱动的招聘筛选工具)的组织负有部署者义务,包括人力监督、员工培训和基本权利影响评估。该工具的提供者负有提供者义务,包括合格评定和技术文件。
我们使用 OpenAI 的 API 来构建 AI 功能——我们是提供者还是部署者?
如果您部署的整个人工智能系统属于高风险类别(附件三),那么您很可能是高风险人工智能系统的提供商。 OpenAI 是 GPAI 模型提供商,根据第五章有自己的义务。当您将 GPAI 模型集成到特定人工智能应用程序中以用于受监管的用例(例如简历筛选、信用评估)时,您就成为该特定人工智能系统的提供商并承担附件三的高风险义务。 OpenAI(作为 GPAI 模型提供商)必须向您提供技术文档和信息,以确保您的合规性。
什么是基本权利影响评估 (FRIA)?何时需要?
FRIA 是对高风险人工智能系统如何影响基本权利(隐私、非歧视、言论自由、诉诸司法等)的书面评估。根据第 27 条,作为公共机构的高风险人工智能系统的部署者或提供基本服务(银行、教育、医疗保健)的私人运营商必须在部署系统之前进行 FRIA。评估考虑:哪些权利可能受到影响、出现哪些风险、如何减轻风险、谁负责。 FRIA 必须在相关市场监管机构注册。
欧盟人工智能法案如何与 GDPR 互动?
这两个法规是互补的。当人工智能系统处理个人数据时,GDPR 适用。 《人工智能法案》适用于人工智能系统,无论它们是否处理个人数据——它涵盖了人工智能系统的设计、部署和监督。当高风险人工智能处理个人数据时,两者同时适用:GDPR 的合法依据、数据最小化要求和 DPIA 要求适用于数据处理; 《人工智能法案》对风险管理、日志记录、人工监督和合格评定的要求适用于人工智能系统。如果《人工智能法案》和《通用数据保护条例》有重叠的要求(例如透明度、自动决策),则必须同时遵守两者。
违反《人工智能法》的处罚有哪些?
罚款根据违规严重程度分级: (1) 禁止人工智能违规行为(第 5 条):最高 3500 万欧元或全球年营业额的 7%,以较高者为准; (2) 其他高风险 AI 义务违规行为:最高 1500 万欧元或全球年营业额的 3%; (3) 向当局提供不正确、不完整或误导性信息:最高 750 万欧元或全球年营业额的 1.5%。中小企业和初创企业的第 (2) 和 (3) 条规定的义务最高金额较低。欧洲人工智能办公室对 GPAI 模型拥有执行权;国家市场监督机构在其领土上执行。
我们什么时候需要在欧盟数据库中注册我们的人工智能系统?
附件三涵盖的高风险人工智能系统在投放欧盟市场或投入使用之前必须进行注册。欧洲人工智能办公室正在建立欧盟人工智能法案数据库。 2026 年 8 月 2 日截止日期是独立高风险人工智能完全适用注册义务的时间(附件三)。注册需要:提供商详细信息、人工智能系统名称和版本、预期用途、用户类别、高风险类别、合格评定详细信息和合格声明参考。
后续步骤
欧盟人工智能法案代表了人工智能系统在欧盟市场的开发、评估和部署方式的根本性转变。对于构建人工智能产品(无论是内部工具还是面向客户的应用程序)的科技公司来说,合规性要求将人工智能治理集成到从设计到部署和上市后监控的产品开发生命周期中。
ECOSIRE 的 OpenClaw 人工智能平台服务在构建时考虑到了欧盟人工智能法案合规性。我们的团队帮助企业根据该法案的风险框架评估其人工智能系统,实施所需的治理控制,并为合格评估做好准备。
探索人工智能合规服务:ECOSIRE OpenClaw 服务
免责声明:本指南仅供参考,不构成法律建议。欧盟人工智能法案实施指南、协调标准和实践守则仍在制定中。请咨询合格的欧盟法律顾问,获取针对您的人工智能系统的建议。
作者
ECOSIRE Research and Development Team
在 ECOSIRE 构建企业级数字产品。分享关于 Odoo 集成、电商自动化和 AI 驱动商业解决方案的洞见。
相关文章
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
更多来自Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.