verified_user
Standardful
首頁chevron_right標準chevron_right歐盟 AI 法案
現行有效國際標準update 標準更新:2025年8月fact_check 事實核查:2026年6月28日

歐盟 AI 法案

法規(EU)2024/1689 人工智慧法案

apartment發布組織:歐盟

標準簡介

歐盟人工智慧法案(法規 (EU) 2024/1689)是世界上第一個全面的人工智慧法律框架,於 2024 年 3 月由歐洲議會通過。該法案建立了基於風險的 AI 監管方法,將 AI 系統分為四個風險級別:不可接受(禁止)、高風險(嚴格監管)、有限風險(透明度義務)和最低風險(無特定要求)。它適用於在歐盟市場投放 AI 系統的提供者和部署者,無論其設立地點。

該法案禁止被視為不可接受風險的 AI 做法,包括政府的社會評分和公共場所的即時生物辨識監控。高風險 AI 系統——用於招聘、信用評分、醫療、教育和關鍵基礎設施——必須滿足嚴格要求,包括風險管理、資料治理、透明度、人工監督和準確性。通用 AI 模型在透明度和版權合規方面有額外義務。違規罰款最高可達 3500 萬歐元或全球年營業額的 7%。該法案分階段實施,從 2025 年 2 月起禁止被禁 AI 做法,2026 年 8 月起適用高風險系統規則。

psychology

基於風險的分類

AI 系統被劃分為四個風險等級——不可接受(禁止)、高風險(嚴格規則)、有限風險(透明度要求)及最低風險(無義務)。

block

禁止性行為

禁止政府社會評分、公共場所的即時遠端生物識別(有例外情況),以及操縱或利用弱點的 AI。

visibility

透明度要求

AI 生成的內容須予以標示。聊天機器人和深度偽造須清晰標示為 AI。通用 AI 模型須公布訓練資料摘要。

list_alt 關鍵義務

  • 禁止性 AI 行為(社會評分、操縱性 AI)
  • 高風險 AI 系統的符合性評估
  • 高風險 AI 的風險管理體系
  • 資料治理與品質要求
  • 透明度與人工監督義務
  • 通用 AI 模型義務
  • 部署者的 AI 素養要求
  • 上市後監督與事件通報

誰需要合規?

groups

將 AI 系統投放至歐盟市場或其輸出在歐盟境內使用的提供者(開發者)及部署者(使用者)。若 AI 系統影響歐盟境內人員,則適用於全球範圍內的公司。

關鍵要求

1

風險分類

判定您的 AI 系統屬於禁止、高風險、有限風險或最低風險類別。高風險類別包括關鍵基礎設施、教育、就業、執法及移民領域的 AI。

2

符合性評估(高風險)

高風險 AI 系統在投放市場前須完成符合性評估。內容包括風險管理、資料品質檢查、技術文件,某些情況下還需第三方稽核。

3

透明度義務

確保使用者知悉其正在與 AI 互動。標示 AI 生成的內容,包括深度偽造。通用 AI 提供者須發布模型卡片和訓練資料摘要。

4

人工監督

高風險 AI 系統的設計須允許進行有效的人工監督。部署者須指派有能力的人員監控運行並在必要時介入。

5

上市後監督

高風險 AI 的提供者須建立上市後監督系統。嚴重事件及故障須通報國家主管機關。

實施路線圖

1
Phase 1schedule 預計週期: 3-5 週

範圍界定與 AI 系統盤點

梳理你所開發、部署、分發或嵌入的每一個 AI 系統,並確認 EU AI Act 是否透過提供者、部署者、進口商或分銷商等角色適用於你。由於該法規具有域外效力,即使你的組織位於歐盟之外,只要其 AI 系統的輸出在歐盟境內被使用,也應納入範圍。將每個系統按基於風險的層級(禁止、高風險、有限風險/透明度、最低風險)進行分類,並標記出你構建或整合的任何通用人工智慧(GPAI)模型。

2
Phase 2schedule 預計週期: 4-6 週

對照義務開展差距分析

針對每個已分類的系統,將當前做法與其所處層級所附帶的義務進行比對:風險管理、資料治理、技術文件、日誌記錄、人為監督,以及高風險系統的準確性與穩健性,還有諸如聊天機器人和深度偽造等有限風險用途的透明度義務。在相關情況下評估 GPAI 的文件以及版權/訓練資料透明度,並對照分階段的合規日期記錄差距。

3
Phase 3schedule 預計週期: 3-6 個月

落實控制措施與文件

建立所需的各項措施:風險管理體系、品質管理、技術文件、事件日誌、人為監督設計,以及針對高風險系統的合格評定,從而實現 CE 標誌與歐盟資料庫登記。為有限風險系統落實透明度告知,並在達到門檻時使 GPAI 模型符合文件、可接受使用及系統性風險方面的義務。

4
Phase 4schedule 預計週期: 持續進行

稽核、監測與維護

建立上市後監測、事件報告和定期複審機制,使系統在演進或重新訓練時仍保持合規。在發生重大修改後重新開展合格評定,及時更新文件與日誌,並隨著分階段義務全面生效而追蹤監管指引與協調標準。指定明確的責任歸屬,使問責成為持續狀態而非一次性專案。

合規檢查清單

0 / 13

checklist 治理與分類

checklist 高風險技術要求

checklist 透明度與 GPAI

處罰與執行

warning

禁止性 AI 行為最高可處 3,500 萬歐元罰款或全球年營業額的 7%。其他違規最高 1,500 萬歐元或營業額的 3%。中小企業和新創企業適用較低比例上限。

常見問題解答

EU AI Act 適用於哪些主體?

expand_more

它主要適用於在歐盟市場上開發或投放 AI 系統的提供者,以及在專業場景中使用這些系統的部署者,同時也適用於進口商和分銷商。其效力具有域外性:當歐盟境外的提供者和部署者其 AI 系統的輸出在歐盟境內被使用時,也會被涵蓋。這意味著許多非歐盟的技術和企業組織即便在歐盟沒有設立機構,也會落入適用範圍。

EU AI Act 下的風險層級有哪些?

expand_more

該法規採用基於風險的方法,分為四個層級。不可接受風險的做法被禁止,高風險系統面臨最詳細的義務,有限風險系統承擔透明度義務,而最低風險系統基本不受監管。通用人工智慧(GPAI)模型則由一套單獨的專門規則加以規範。

哪些屬於高風險 AI?

expand_more

高風險涵蓋用作受監管產品安全組件的 AI,以及附件三所列領域中的系統,例如生物辨識、關鍵基礎設施、教育、就業、基本服務、執法、移民和司法行政。這些系統必須滿足風險管理、資料治理、文件、日誌記錄、人為監督以及準確性與穩健性方面的要求。它們在投放市場前還需要進行合格評定並加貼 CE 標誌。

對聊天機器人和深度偽造等有限風險系統有哪些透明度義務?

expand_more

必須告知使用者其正在與 AI 系統(例如聊天機器人)互動,除非從上下文中已顯而易見。AI 生成或經操縱的音訊、影像、視訊或文字內容,包括深度偽造,必須被清晰標註為人工生成。這些義務旨在防止欺騙,同時施加比高風險制度更輕的義務。

通用人工智慧(GPAI)有哪些義務?

expand_more

GPAI 模型的提供者必須維護技術文件、向下游開發者提供資訊、遵守歐盟版權法,並公布用於訓練的內容摘要。存在系統性風險的模型面臨額外義務,例如模型評估、對抗性測試、事件追蹤和網路安全措施。GPAI 義務自 2025 年 8 月起開始適用。

關鍵的合規日期有哪些?

expand_more

禁止性做法自 2025 年 2 月起適用,GPAI 義務自 2025 年 8 月起適用。大多數高風險義務自 2026 年 8 月起適用,與受監管產品相關的某些高風險系統則適用更晚的 2027 年 8 月這一日期。組織應將每個系統對應到規範它的分階段生效日期。

可能被處以哪些罰則?

expand_more

罰款按嚴重程度分級。違反禁止性做法規則的行為最高可達 3500 萬歐元或全球年營業額的 7%,以較高者為準。其他違規行為以及提供不正確資訊的行為則適用較低的上限,各國主管機關在歐盟範圍內執行這些罰則。

EU AI Act 與 GDPR 如何相互作用?

expand_more

這兩個框架相互補充並並行適用,而非彼此取代。EU AI Act 規範 AI 系統的設計、測試和部署方式,而 GDPR 繼續規範這些系統所依賴的個人資料處理。當 AI 處理個人資料時,你必須同時滿足兩者,協調文件、風險評估和資料治理控制。

官方文件

查看全部

實施時間線

description
2021年4月
歐盟委員會提案發布 - 首份全面 AI 監管草案提出
check_circle
2024年3月
歐洲議會批准最終文本 - AI 法案由歐洲議會正式通過
gavel
2024年8月
AI 法案生效 - 法規在官方公報發布後 20 天生效
block
2025年2月
被禁 AI 實踐禁令生效 - 社會評分、操縱性 AI 和某些生物辨識用途被禁止
psychology
2025年8月
通用 AI 規則適用 - GPAI 模型的透明度和版權義務變得可執行
warning
2026年8月
高風險 AI 系統規則適用 - 高風險 AI 系統的完整合規要求成為強制要求

相關分類