AI Act：欧盟人工智能监管条例

AI Act实施时间表

AI Act的实施采取分阶段推进，时间跨度从2025年2月2日延续至2027年底。这种渐进方式旨在为经济主体提供合规缓冲期，同时尽快激活最紧迫的保护措施。

• 2025年2月2日：禁止性规定（第5条）和AI素养义务（第4条）开始生效。被禁止的AI实践--如潜意识操控、利用脆弱群体、社会评分、公共空间的实时远程生物识别--在整个EU范围内均属非法。
• 2025年8月2日：针对通用AI模型（GPAI）供应商的专属义务生效。这是生成式AI生态系统最具结构性的一步。
• 2026年8月2日：针对附录III中列出的高风险AI系统（招聘、评分、司法、教育等）的规则开始适用，并设立国家监管机构。
• 2027年8月2日：高风险AI系统嵌入已受监管产品（医疗器械、汽车、玩具等）时，依据新立法框架相关规则正式实施。

通用AI模型（GPAI）的义务

GPAI义务作为法规第五章的核心，构成对基础模型监管的主轴。任何在欧洲市场投放的通用AI模型供应商--包括open source模式（有部分豁免）--都必须：

• 持续维护技术文档，详细描述模型架构、训练流程、所用算力资源及评估指标；
• 公开一份足够详细的训练内容摘要，尤其是涉及受版权保护的数据；
• 制定并执行版权合规政策，特别是遵循权利人基于(UE) 2019/790号指令（邻接权及"文本与数据挖掘"例外）表达的opt-out要求；
• 与欧洲AI办公室及各国主管部门协作配合。

对于系统性风险模型（训练算力超过10²⁵ FLOPS或由欧盟委员会指定者），还需持续风险评估、标准化对抗性测试（red-teaming）、网络安全措施、重大事件及时通报AI办公室，并发布能耗表现报告。截至2025年8月，GPT-4、Gemini Ultra、Claude 3 Opus和Llama 3.1 405B均在监管范围内。该门槛可由委员会根据技术发展动态调整。

GPAI良好实践准则

为助力供应商在统一标准出台前遵守第53和55条，欧盟委员会于2024年7月启动了《通用AI模型良好实践准则》的起草工作。该准则由AI办公室牵头，13位独立专家及百余家机构参与咨询，历经多轮版本迭代，最终于2025年7月10日正式发布。

准则围绕三大支柱展开：透明度（向部署方及公众发布技术信息）、版权（落实opt-out操作流程）、以及系统性风险模型的安全与保障。其采纳为自愿，但具备合规推定效力：遵循准则的供应商被视为满足相关要求。欧美主要实验室均已承诺遵守，唯Meta于2025年7月以其在Llama上的实践不符为由拒绝签署。Google与Anthropic有保留地签署，OpenAI、Mistral AI及Microsoft则全力支持。

第53条与版权问题

第53条已成为生成式AI与创意产业共存争议的焦点。其第1款(c)要求GPAI供应商制定版权合规政策，第1款(d)则要求按AI办公室提供的模板，公开足够详细的训练内容摘要。

具体机制基于文本与数据挖掘例外（2019/790号指令第4条）与opt-out machine-readable的结合。权利人若反对其作品被用于AI模型训练，须以机器可读格式表达--通常通过robots.txt文件、HTTP头或嵌入作品的元数据。目前有多种标准方案（W3C的TDM Reservation Protocol、ai.txt、C2PA），但截至2026年尚无一统标准。

法国权利人对该机制的实际效力提出质疑。SACEM、SCAM、SACD和SDRM指出信息不对称及opt-out遭无效执行时缺乏处罚。2026年5月，法国国民议会否决了旨在引入举证责任倒置机制（若不透明则推定使用作品）的Darcos法案（知识产权法L. 331-4-1条），使权利人只能依赖欧盟委员会对第53条的严格执行。

治理架构：AI办公室与欧洲AI委员会

AI Act设立了两大欧盟核心机构。欧洲AI办公室（European AI Office）由委员会于2024年5月设立，隶属DG CONNECT，负责GPAI及系统性风险模型的法规执行、良好实践准则发布、供应商监管、投诉受理及处罚决定。成立时拥有百余名员工，由Lucilla Sioli领导。

欧洲人工智能委员会（European AI Board）则汇集27个成员国国家监管机构代表。首次正式会议于2024年9月举行，负责成员国间协调、统一法规解释并向委员会提供建议。由产业界、民间、学术界及中小企业组成的咨询论坛为其提供支持。

在国家层面，各成员国须指定一至多家主管机构。在法国，由CNIL负责涉及个人数据的AI监管，DGCCRF和DGE负责产品及内市场相关事项。2025年宣布组建跨部门协调小组，但至GPAI规则生效时尚未正式成立。

处罚与执法

AI Act设定了按违规严重程度分级的处罚体系：

• 对违反禁止性规定（第5条）者，最高处以3500万欧元或全球年营业额7%（取其高者）；
• 对违反高风险系统、GPAI及透明度义务者，最高1500万欧元或3%；
• 向主管机关提供虚假信息者，最高750万欧元或1%。

中小企业和初创公司享有比例性上限：两者中取较低者。首批正式调查程序预计将于2026年底由AI办公室启动，届时合规过渡期结束。

对生态系统的影响：产业界、open source、科研

AI Act深刻重塑了欧洲AI生态。对于大型用户企业（银行、保险、医疗、HR等），合规需从系统设计阶段嵌入--即compliance by design--涵盖AI应用场景梳理、影响评估、技术文档和内部治理。Wavestone、France Digitale、Gide等机构自2024年2月起已发布实用指南助力能力提升。

针对open source模型供应商，法规对GPAI义务有部分豁免，前提是公开参数、架构及使用信息--系统性风险模型除外。欧洲open source阵营（Hugging Face、GitHub、Mistral、La Quadrature du Net）2023年7月曾呼吁更灵活框架以保创新。最终妥协方案保留豁免，但要求公开训练数据摘要及版权政策，给大规模模型的扩展带来挑战。

对欧洲AI领军企业--Mistral AI、LightOn、Aleph Alpha、Black Forest Labs--而言，AI Act既是合规时间紧迫的压力，也是与OpenAI、Anthropic、Google等全球巨头竞争的挑战。Mistral AI创始人Arthur Mensch等警告称，若监管负担高于非EU地区，恐致欧洲产业空心化。相反，Yoshua Bengio、Raja Chatila、Nicolas Miailhe等认为，严格监管有助于保障欧洲战略自主与公众信任。

AI Act的国际格局

AI Act处于全球监管格局分化之中。在USA，Biden于2023年10月发布的Executive Order已于2025年1月被Trump政府大幅废止，联邦及州政府（如加州SB 1047）转向行业或地方路径。中国自2023年8月起对面向公众的生成式AI模型实施事前许可，已批准190余款LLM，但对生成内容施以政治审查。

UK采用原则导向，由现有行业监管机构执行，尚无专门立法。巴西、加拿大、日本、韩国等则在借鉴欧式风险导向的基础上推进本国框架。Bruxelles效应（即国际供应商为避免多头合规而全球适用欧规，类似RGPD）有望再现，但2026年其影响尚难量化。

多场国际峰会推动了这一进程：Bletchley Park的AI Safety Summit（2023年11月）、首尔AI Safety Summit（2024年5月）、巴黎AI Action Summit（2025年2月）。各方均承认全球监管尚无共识，但EU作为首个出台强制法规的监管者肩负特殊责任。

2026-2027展望

未来18个月的关键议题包括：

• AI办公室训练数据摘要模板的发布，首批征求意见稿因粒度不足遭权利人质疑；
• 首批针对GPAI供应商的正式调查程序，预计2026年底启动；
• 所有成员国国家监管机构的正式指定，截至2026年5月部分国家仍在筹建中；
• CEN-CENELEC JTC 21牵头制定的统一标准，将为高风险系统供应商提供法律确定性；
• 围绕Meta-Llama、Stable Diffusion-Getty、OpenAI-NYT等案件的新兴判例，涉及AI Act、RGPD与版权的关系。

AI Act并非终点，而是动态框架。法规每四年评估修订一次，首次预计2028年。其成败不在于条文本身，而在于能否平衡基本权利保护、产业创新与欧洲科技主权。