说真的,如果你有业务涉及欧洲市场,这条消息你得认真看了。2026年5月,欧盟委员会正式通过《人工智能法案》(EU AI Act)的最终实施指南,核心条款将于2026年8月2日全面强制执行——距离现在只剩一个多月。
这意味着,不管你的公司注册在哪里,只要你的AI产品或者使用了AI功能的服务在欧盟范围内运营,就得按这套规则来。不是建议,是法律。
先搞懂:EU AI Act到底在管什么?
这个法案的核心逻辑其实不复杂,就是按风险等级分类管理。你可以把它理解成一个"AI产品风险分级表":
- 不可接受的风险 —— 直接禁止。比如社会信用评分、实时远程生物识别(除少数例外)、操纵性的AI。
- 高风险 —— 需要事前合规评估、技术文档备案、人工监督机制。主要涉及招聘、信贷、教育、关键基础设施、执法等场景。
- 有限风险 —— 需要透明度告知。比如聊天机器人、deepfake内容,用户有知情权。
- 低风险/ minimal风险 —— 自愿遵守行为准则,没有强制要求。
对大部分SaaS产品来说,重点是判断自己掉在哪个档——掉到"高风险"那一档,合规成本就会比较高。
2026年关键时间节点
EU AI Act不是突然一刀切的,它有一个分批生效的时间表。现在已经到了最关键的一段:
- 2024年8月1日 —— 法案正式生效,但大部分条款进入"过渡期"
- 2025年8月 —— 禁止性条款(不可接受风险的AI应用)开始执行
- 2026年5月 —— 欧盟委员会通过最终实施指南,明确高风险AI系统的评估标准和通用AI模型的透明度要求
- 2026年8月2日 —— 高风险AI系统的完整合规要求强制执行,没有过渡期了
- 2027年8月 —— 剩余条款全部落地
如果你的产品属于"高风险"类别,现在到8月2日这段时间是最后的合规窗口。错过的话,面临的是最高3500万欧元或全球营收7%的罚款(取较高者)。
通用AI模型(GPAI)的透明度要求
2026年5月的最终指南里,专门对"通用AI模型"(就是GPT、Claude、Qwen这类基础大模型)的提供商提出了透明度要求:
- 必须公开模型的训练数据来源、使用的版权内容情况
- 必须提供充分的技术文档,让下游使用者能够理解模型能力和限制
- 系统性风险的评估和对策(针对参数规模足够大的模型)
这条对大模型厂商影响最大,但对调用API做应用的公司来说,选一个"已经合规"的模型供应商也会变成采购时的必要条件。
中国企业需要关心吗?
需要。只要你有以下任何一种情况,EU AI Act就跟你有关:
- 你的产品有欧洲用户(哪怕你是中国公司)
- 你向欧洲客户提供AI相关的技术服务
- 你在欧洲有分支机构或使用欧洲的云基础设施
一个常见的误区是"我在国内运营,不碰欧洲市场,所以跟我没关系"。但如果你用的是欧盟境内数据中心托管的AI服务,或者你的产品有欧洲用户能访问,就已经在管辖范围内了。
现在还能做什么?
距离8月2日还有一个多月,能做而且应该做的几件事:
- 做AI产品风险自评 —— 对照EU AI Act的风险分类,确认自己的产品属于哪一档
- 整理技术文档 —— 高风险AI需要在8月前准备好技术文档、风险评估报告、人工监督方案
- 审查供应链 —— 你用的基础模型、第三方AI服务是否已由供应商完成合规?如果没有,需要考虑替换方案
- 指定合规负责人 —— 法案要求高风险AI系统需要有内部的合规负责人(类似GDPR的DPO角色)
说实话,合规这件事永远是"早做成本低,晚做成本高"。现在动手,还有一个多月可以踩坑和修正;等到8月之后再反应,罚款金额可能比合规成本本身还高。
如果你正在评估自己产品的合规状态,或者想了解更具体的技术方案,欢迎在评论区交流——这个话题2026年下半年只会越来越热。