合规实务指南 | 欧盟《人工智能法案》（AI Act）正式生效

法规发布日期： 2024 年 7 月于《欧盟官方公报》正式发布

生效状态： 核心条款已于 2025 年 2 月起分阶段强制执行

概述：

欧盟《人工智能法案》（Regulation (EU) 2024/1689）已正式成为法律。作为全球首部全面监管人工智能的综合性法规，该法案基于风险分级管理理念， 旨在确保 AI 技术在欧盟市场的应用尊重基本权利与安全，同时为创新提供法律确定性 。

一、 核心监管框架

1. 适用范围（长臂管辖）

本法案具有广泛的域外效力，适用于：

• 在欧盟市场投放或投入使用AI 系统/模型的提供者（无论其位于何处）。
• 位于欧盟境内的 AI 系统部署者或其AI系统输出在欧盟内使用的第三国部署者 。
• 所有将AI系统引入欧盟商业供应链的中间环节运营商（包括但不限于进口商，分销商及产品制造商等）。

2. 基于风险的分级管控

法案根据风险等级设定了不同维度的合规义务：

• 不可接受的风险（禁止）： 严格禁止的 AI 实践，包括利用潜意识技术或弱点（如年龄、残疾）扭曲行为 ；基于社会行为导致不利待遇的社会评分系统 ；在公共场所用于执法的“实时”远程生物识别（除非符合反恐等严格例外）；工作场所和教育机构中的情绪识别系统（医疗/安全目的除外）； 仅基于特征分析的预测性警务 。
• 高风险（High-Risk）： 须履行严格合规义务，主要分为两类：
  1. 产品类（附件 I）： 作为受欧盟产品安全法规（如医疗器械、机械、玩具、汽车等）管辖产品的安全组件 。
  2. 独立类（附件 III）： 涉及八大关键领域的系统，如生物识别、关键基础设施、教育与职业培训、就业管理、基本公共服务（如信用评分、保险）、执法、移民控制及司法管理 。
• 有限风险（透明度义务）： 针对特定系统，如聊天机器人（需告知用户正与 AI 互动）、情感识别系统、深度伪造（Deepfakes）及合成内容（需进行机器可读的标记）。
• 通用 AI 模型（GPAI）：
  1. 所有 GPAI 模型： 需更新技术文档、遵守版权法，并发布训练数据的详细摘要 。
  2. 具 系 统 性 风 险 的 GPAI 模 型 ：  若 用 于 训 练 的 累 积 计 算 量 大 于$10^{25}$ FLOPs ，或由委员会认定具有高强影响力，需承担额外义务（如模型对抗测试、评估及缓解系统性风险、网络安全保护） 。

二、 关键合规时间线

企业需根据自身系统类型，关注以下强制合规重要节点：

1. 2024年7月12日

《人工智能法案》于《欧盟官方公报》上公布。

2. 2025年2月2日

以下规定开始适用：

• 禁止实践条款；
• 人工智能素养相关规则。

3. 2025年8月2日

以下规定开始适用：

• 通用人工智能（GPAI）的义务；
• 欧盟及国家层面的治理机制；
• 保密与处罚规定（与通用人工智能无关的部分）。
• 通知机构（Notified Body）相关章节

4. 2026年8月2日

《人工智能法案》所有其他规定开始适用（如：附件 III 所列的高风险 AI 系统类型与透明度义务相关章节），除非下文规定了更晚的适用日期。

对于在2026年8月2日前已投放市场或投入服务的高风险人工智能系统（作为大型IT系统组件的人工智能系统除外），如其在2026年8月2日后未发生重大设计变更，则其运营者不适用《人工智能法案》规定的相关合规义务。

5. 2027年8月2日

以下规定开始适用：

• 依据附件I进行分类的高风险人工智能系统类型；
• 针对在2025年8月2日之前已投放市场的通用人工智能（GPAI）模型的合规要求。

6. 2030年8月2日

以下系统须完成合规：旨在供公共部门使用、且已于2026年8月2日之前投放市场或投入服务的高风险人工智能系统（下文所列系统除外）。

7. 2030年12月31日

以下系统须完成合规：作为附件X所列大型信息系统组成部分、且已于2027年8月2日之前投放市场或投入服务的人工智能系统。

三、 罚款与法律责任

违反法案将面临分级行政罚款，具体数额取金额或全球年营业额百分比中的较高者（中小企业取较低者）：

1. 一级罚款（最高）：

• 违规行为： 实施被禁止的 AI 实践（第 5 条）。
• 金额： 最高 3500 万欧元 或 全球年营业额的 7% 。

2. 二级罚款（核心合规）：

• 违规行为： 违反高风险 AI 系统义务（如数据治理、风险管理）、通用 AI 模型义务，透明度义务。
• 金额： 最高 1500 万欧元 或 全球年营业额的 3% 。

3. 三级罚款（信息披露）：

• 违规行为： 向监管机构提供不正确、不完整或误导性信息。
• 金额： 最高 750 万欧元 或 全球年营业额的 1% 。

注：通用 AI 模型提供者若提供错误信息，适用二级罚款标准

Intertek专业支持：我们如何协助您应对 AI Act

面对欧盟《人工智能法案》的复杂要求，企业往往需要外部专业支持来高效、精准地完成合规。作为深耕于人工智能领域的合规认证合作伙伴，我们提供从战略规划到落地执行的全方位服务。我们的核心服务包括：

1. 合规差距分析与战略咨询

• 服务内容： 基于对 AI Act 法条及附件的深度理解，对您的 AI 系统进行全面的风险分级判定（依据法案第 6 条及附件 I/III）。明确系统属于禁止类、高风险类、有限风险类还是通用 AI 模型，并锁定具体的合规截止日期。
• 交付成果： 清晰的合规路线图、针对存量系统（Legacy Systems） 的过渡期判定，以及量身定制的合规治理框架建议。
• 服务价值： 快速厘清现状与法规要求之间的差距，避免合规资源的错配与浪费。

2. 技术合规指导与文档编制

• 服务内容：指导并协助您建立符合法案要求的关键技术流程，并编制全套合规文档。
• 核心支持领域：
  • 风险管理系统（法案第 9 条）： 协助建立贯穿 AI 全生命周期的风险管理流程，实现风险的持续识别，评估与缓解 。
  • 数据治理与偏差检测（法案第 10 条）： 依据法案要求，对训练、验证和测试数据集进行质量评估，协助制定数据治理措施以检测并修正可能的偏见 。
  • 技术文件编制（法案第 11 条及附件 IV）： 协助编制详尽、结构化的技术文件，力求涵盖系统架构、开发过程及监管所需的全部要素 。
  • 透明度与使用说明（法案第 13 条）： 协助起草面向部署者的清晰、完整的使用说明，提升信息披露合规性 。
• 服务价值： 解决法规中最具挑战性的技术性合规难题，为最终的合格评定奠定坚实基础。

3. 系统性能验证与合格评定支持

• 服务内容： 依据法案第 15 条关于准确性、稳健性和网络安全的要求，提供独立的性能验证建议与测试支持。
• 核心活动：
  • 性能与安全测试： 协助进行模型性能基准测试及对抗性攻击防御测试 。
  • 合格评定程序（法案第 43 条）： 根据系统类型，协助执行内部控制程序（附件VI）；对于涉及生物识别等特定领域的高风险系统，协助进行第三方的合规准备与检测审核。
• 交付成果： 测试验证报告、合格评定支持文件包。
• 服务价值： 确保系统性能指标合规，高效、顺畅地完成市场准入流程。

免责声明： 本通讯仅供参考，不构成法律建议。企业应以欧盟官方公报发布的法律文本为准。