verified_user
Standardful
首页chevron_right标准chevron_right欧盟 AI 法案
有效国际标准update 标准更新:2025年8月fact_check 事实核查:2026年6月28日

欧盟 AI 法案

法规(EU)2024/1689 人工智能法案

apartment发布组织:欧盟

标准简介

欧盟人工智能法案(法规 (EU) 2024/1689)是世界上第一个全面的人工智能法律框架,于 2024 年 3 月由欧洲议会通过。该法案建立了基于风险的 AI 监管方法,将 AI 系统分为四个风险级别:不可接受(禁止)、高风险(严格监管)、有限风险(透明度义务)和最低风险(无特定要求)。它适用于在欧盟市场投放 AI 系统的提供者和部署者,无论其设立地点。

该法案禁止被视为不可接受风险的 AI 做法,包括政府的社会评分和公共场所的实时生物识别监控。高风险 AI 系统——用于招聘、信用评分、医疗、教育和关键基础设施——必须满足严格要求,包括风险管理、数据治理、透明度、人工监督和准确性。通用 AI 模型在透明度和版权合规方面有额外义务。违规罚款最高可达 3500 万欧元或全球年营业额的 7%。该法案分阶段实施,从 2025 年 2 月起禁止被禁 AI 做法,2026 年 8 月起适用高风险系统规则。

psychology

基于风险的分类

AI 系统被划分为四个风险等级——不可接受(禁止)、高风险(严格规则)、有限风险(透明度要求)及最低风险(无义务)。

block

禁止性行为

禁止政府社会评分、公共场所的实时远程生物识别(有例外情况),以及操纵或利用弱点的 AI。

visibility

透明度要求

AI 生成的内容须予以标注。聊天机器人和深度伪造须清晰标识为 AI。通用 AI 模型须公布训练数据摘要。

list_alt 关键义务

  • 禁止性 AI 行为(社会评分、操纵性 AI)
  • 高风险 AI 系统的符合性评估
  • 高风险 AI 的风险管理体系
  • 数据治理与质量要求
  • 透明度与人工监督义务
  • 通用 AI 模型义务
  • 部署者的 AI 素养要求
  • 上市后监督与事件报告

谁需要合规?

groups

将 AI 系统投放至欧盟市场或其输出在欧盟境内使用的提供者(开发者)和部署者(用户)。若 AI 系统影响欧盟境内人员,则适用于全球范围内的公司。

关键要求

1

风险分类

确定您的 AI 系统属于禁止、高风险、有限风险或最低风险类别。高风险类别包括关键基础设施、教育、就业、执法及移民领域的 AI。

2

符合性评估(高风险)

高风险 AI 系统在投放市场前须完成符合性评估。内容包括风险管理、数据质量检查、技术文件,某些情况下还需第三方审计。

3

透明度义务

确保用户知悉其在与 AI 互动。标注 AI 生成的内容,包括深度伪造。通用 AI 提供者须发布模型卡片和训练数据摘要。

4

人工监督

高风险 AI 系统的设计须允许进行有效的人工监督。部署者须指派有能力的人员监控运行并在必要时进行干预。

5

上市后监督

高风险 AI 的提供者须建立上市后监督系统。严重事件和故障须报告国家主管机构。

实施路线图

1
Phase 1schedule 预计周期: 3-5 周

范围界定与 AI 系统盘点

梳理你所开发、部署、分发或嵌入的每一个 AI 系统,并确认 EU AI Act 是否通过提供者、部署者、进口商或分销商等角色适用于你。由于该法规具有域外效力,即使你的组织位于欧盟之外,只要其 AI 系统的输出在欧盟境内被使用,也应纳入范围。将每个系统按基于风险的层级(禁止、高风险、有限风险/透明度、最低风险)进行分类,并标记出你构建或集成的任何通用人工智能(GPAI)模型。

2
Phase 2schedule 预计周期: 4-6 周

对照义务开展差距分析

针对每个已分类的系统,将当前做法与其所处层级所附带的义务进行比对:风险管理、数据治理、技术文档、日志记录、人为监督,以及高风险系统的准确性与稳健性,还有诸如聊天机器人和深度伪造等有限风险用途的透明度义务。在相关情况下评估 GPAI 的文档以及版权/训练数据透明度,并对照分阶段的合规日期记录差距。

3
Phase 3schedule 预计周期: 3-6 个月

落实控制措施与文档

建立所需的各项措施:风险管理体系、质量管理、技术文档、事件日志、人为监督设计,以及针对高风险系统的合格评定,从而实现 CE 标志与欧盟数据库登记。为有限风险系统落实透明度告知,并在达到阈值时使 GPAI 模型符合文档、可接受使用及系统性风险方面的义务。

4
Phase 4schedule 预计周期: 持续进行

审计、监测与维护

建立上市后监测、事件报告和定期复审机制,使系统在演进或重新训练时仍保持合规。在发生重大修改后重新开展合格评定,及时更新文档与日志,并随着分阶段义务全面生效而跟踪监管指引与协调标准。指定明确的责任归属,使问责成为持续状态而非一次性项目。

合规检查清单

0 / 13

checklist 治理与分类

checklist 高风险技术要求

checklist 透明度与 GPAI

处罚与执行

warning

禁止性 AI 行为最高可处 3,500 万欧元罚款或全球年营业额的 7%。其他违规最高 1,500 万欧元或营业额的 3%。中小企业和初创企业适用较低比例上限。

常见问题解答

EU AI Act 适用于哪些主体?

expand_more

它主要适用于在欧盟市场上开发或投放 AI 系统的提供者,以及在专业场景中使用这些系统的部署者,同时也适用于进口商和分销商。其效力具有域外性:当欧盟境外的提供者和部署者其 AI 系统的输出在欧盟境内被使用时,也会被涵盖。这意味着许多非欧盟的技术和企业组织即便在欧盟没有设立机构,也会落入适用范围。

EU AI Act 下的风险层级有哪些?

expand_more

该法规采用基于风险的方法,分为四个层级。不可接受风险的做法被禁止,高风险系统面临最详细的义务,有限风险系统承担透明度义务,而最低风险系统基本不受监管。通用人工智能(GPAI)模型则由一套单独的专门规则加以规范。

哪些属于高风险 AI?

expand_more

高风险涵盖用作受监管产品安全组件的 AI,以及附件三所列领域中的系统,例如生物识别、关键基础设施、教育、就业、基本服务、执法、移民和司法行政。这些系统必须满足风险管理、数据治理、文档、日志记录、人为监督以及准确性与稳健性方面的要求。它们在投放市场前还需要进行合格评定并加贴 CE 标志。

对聊天机器人和深度伪造等有限风险系统有哪些透明度义务?

expand_more

必须告知用户其正在与 AI 系统(例如聊天机器人)交互,除非从上下文中已显而易见。AI 生成或经操纵的音频、图像、视频或文本内容,包括深度伪造,必须被清晰标注为人工生成。这些义务旨在防止欺骗,同时施加比高风险制度更轻的义务。

通用人工智能(GPAI)有哪些义务?

expand_more

GPAI 模型的提供者必须维护技术文档、向下游开发者提供信息、遵守欧盟版权法,并公布用于训练的内容摘要。存在系统性风险的模型面临额外义务,例如模型评估、对抗性测试、事件跟踪和网络安全措施。GPAI 义务自 2025 年 8 月起开始适用。

关键的合规日期有哪些?

expand_more

禁止性做法自 2025 年 2 月起适用,GPAI 义务自 2025 年 8 月起适用。大多数高风险义务自 2026 年 8 月起适用,与受监管产品相关的某些高风险系统则适用更晚的 2027 年 8 月这一日期。组织应将每个系统对应到规范它的分阶段生效日期。

可能被处以哪些罚则?

expand_more

罚款按严重程度分级。违反禁止性做法规则的行为最高可达 3500 万欧元或全球年营业额的 7%,以较高者为准。其他违规行为以及提供不正确信息的行为则适用较低的上限,各国主管机关在欧盟范围内执行这些罚则。

EU AI Act 与 GDPR 如何相互作用?

expand_more

这两个框架相互补充并并行适用,而非彼此取代。EU AI Act 规范 AI 系统的设计、测试和部署方式,而 GDPR 继续规范这些系统所依赖的个人数据处理。当 AI 处理个人数据时,你必须同时满足两者,协调文档、风险评估和数据治理控制。

官方文档

查看全部

实施时间线

description
2021年4月
欧盟委员会提案发布 - 首份全面 AI 监管草案提出
check_circle
2024年3月
欧洲议会批准最终文本 - AI 法案由欧洲议会正式通过
gavel
2024年8月
AI 法案生效 - 法规在官方公报发布后 20 天生效
block
2025年2月
被禁 AI 实践禁令生效 - 社会评分、操纵性 AI 和某些生物识别用途被禁止
psychology
2025年8月
通用 AI 规则适用 - GPAI 模型的透明度和版权义务变得可执行
warning
2026年8月
高风险 AI 系统规则适用 - 高风险 AI 系统的完整合规要求成为强制要求

相关分类