桃子桃子快讯
返回首页
行业动态

欧盟 AI 法案 8 月 2 日全面适用:高风险系统工程合规清单

欧盟 AI 法案 2026 年 8 月 2 日进入全面适用阶段,高风险系统需满足分类、风险管理、数据治理等 11 项核心…

2026.07.08 · 周三6 分钟阅读

欧盟《人工智能法案》(Regulation (EU) 2024/1689)将于 2026 年 8 月 2 日进入全面适用阶段。一旦 AI 系统被划入「高风险」类别——涵盖招聘、信用评分、教育、关键基础设施、基础公共服务等场景——法案中的可审计义务就将从「未来法规」变为「系统运行所依据的法律」。该法案的合规工程逻辑与传统 GDPR 类似,但 AI 系统的迭代速度远超文档更新周期,因此合规必须作为系统属性嵌入工程流水线,而非事后补写报告。

关键时间节点

  • 2025 年 2 月 2 日:禁止性 AI 实践生效,AI 素养(AI literacy)义务开始适用。
  • 2025 年 8 月 2 日:通用人工智能(GPAI)模型义务生效,治理机构投入运行。
  • 2026 年 8 月 2 日:法案全面适用,包括附件 III 所列高风险系统的全部义务。
  • 2027 年 8 月 2 日:嵌入受监管产品中的高风险 AI(附件 I)义务生效。

违规处罚力度对标 GDPR:禁止性实践最高可罚 3500 万欧元或全球年营业额 7%,其他大多数义务违规最高可罚 1500 万欧元或 3%。

高风险系统 11 项核心义务

法案对高风险 AI 系统提出全生命周期合规要求,以下按 Article → Practice → Evidence 模式逐项拆解。

1. 系统分类(Article 6 + 附件 III)

  • Practice:将分类决策纳入版本管理,存放在代码仓库中,并在每次重大功能变更时重新评估。新增用例可能将原本「低风险」系统推入「高风险」范畴。
  • Evidence:带有日期与推理过程的分类备忘录,纳入版本控制。

2. 持续性风险管理体系(Article 9)

  • Practice:以代码形式维护风险登记册(risk register),每次发版审查,阻断引入未缓解已知风险的发布。
  • Evidence:与发版标签绑定的登记册变更记录。

3. 数据治理与偏见审查(Article 10)

  • Practice:为每个数据集编写 dataset card,追踪从数据源到模型的完整血缘,并在流水线中自动化运行偏见检测,而非一次性人工研究。
  • Evidence:每次训练运行生成的 dataset 文档与偏见测试报告。

4. 技术文档自动生成(Article 11 + 附件 IV)

  • Practice:采用 docs-as-code 模式,在构建时从系统本身(架构、模型版本、评估结果)自动生成附件 IV 文档包,杜绝手写文档过期。
  • Evidence:每次发版可复现的文档构建产物。

5. 全生命周期日志(Article 12)

  • Practice:从第一天起就设计结构化、仅追加(append-only)的审计日志,记录输入、决策、模型版本、人工覆盖操作,并制定保留策略。
  • Evidence:不可篡改且可查询的日志本体。

6. 随版本发布的操作指南(Article 13)

  • Practice:将版本化的 system card 与使用说明随每次发布一同交付,类似于 changelog。
  • Evidence:每个版本对应一份独立归档的操作说明。

7. 有效的人类监督(Article 14)

  • Practice:在产品界面中内置「批准 / 覆盖 / 终止」路径。仅存在于政策 PDF 中的监督机制不构成「有效」监督。
  • Evidence:证明人类实际使用监督控制的交互日志。

8. 每次发版验证准确性、鲁棒性与安全性(Article 15)

  • Practice:在 CI 中配置回归阈值的评估套件,按计划开展对抗与红队测试,并将标准网络安全卫生扩展至模型特有攻击(投毒、提示词注入)。
  • Evidence:每次发版附带的评估报告。

9. 用 SDLC 充当质量管理体系(Article 17)

  • Practice:大多数工程组织已具备 QMS 80% 的要素(代码审查、CI/CD、事故响应),只需将其正式化、填补缺口,让流水线强制执行。
  • Evidence:流程文档加上强制执行的 CI 配置。

10. 将合格性评估作为发布门禁(Articles 43, 47–49)

  • Practice:把合格性评估、欧盟合格声明、CE 标识、欧盟数据库注册建模为发布流程的最终门禁,证据由前九项自动产出。
  • Evidence:已签署的声明与注册记录。

11. 上市后持续监控(Articles 72–73)

部署后须持续监测系统性能与风险,重大变更需重新评估合格性,并按要求向主管机构报告严重事故与功能故障。

合规范式转变

法案的实质并非再增加一份年度审计报告,而是要求合规能力嵌入工程交付链。可靠性催生了 SRE,安全催生了 DevSecOps,合规的下一步是「合规工程」(conformity engineering):把监管合规当作系统属性来设计、由流水线强制执行、并以可追溯制品持续举证。对于在欧盟市场提供 AI 产品的团队而言,距离 2026 年 8 月 2 日已进入倒计时,工程团队需与法务团队协同将上述 11 项义务逐一落地为可自动生成的制品。

信源