高风险系统部分义务的延期,不应让企业误判形势:AI Act 已经在分阶段生效。从2026年8月2日起,又一个关键节点将到来,尤其是透明度义务。聊天机器人、AI生成内容、deepfakes、人力资源工具、AI增强型 SaaS、对话式代理:IntelligenceArtificielle.com 在一份参考说明中提醒,组织如今必须从监管监测转向对其 AI 用途的运营级盘点。
在许多企业中,AI Act 仍被归类为“法务”、“合规”或“以后再处理”的事项。这是一个错误判断。
这部欧洲人工智能法规已经不再是遥远的文本。它已于2024年8月1日生效,并正分阶段适用。针对某些 AI 实践的禁令以及 AI 素养义务自2025年2月2日起已适用。治理规则以及通用目的 AI 模型相关义务自2025年8月2日起适用。下一重大阶段将于2026年8月2日到来,届时多项条款将进入一般适用,尤其是第50条规定的透明度义务。
换言之,问题不再是:“AI Act 规定了什么?”而是:“我们是否知道企业内部已经在何处、如何以及为何使用 AI?”
高风险延期,并不意味着 AI Act 整体延期
Digital Omnibus 可能给人一种缓冲期的印象。适用于高风险 AI 系统的规则现已重新调整:对于附录 III 所列的自主系统,适用时间预计为2027年12月2日;对于嵌入受行业监管产品中的系统,适用时间预计为2028年8月2日。欧洲议会已于2026年6月16日批准这些简化措施,但文本在正式生效前仍需由理事会完成正式通过。
但这一延期并不会暂停法规的其他部分。
它不会推迟已经适用的禁用实践。它不会推迟 AI 素养义务。它不会推迟通用目的 AI 模型相关义务。也不应让企业忽视2026年8月2日这一节点。
真正的陷阱正在于此:误以为 AI Act 只从高风险系统开始。事实上,第一波运营层面的影响涉及许多更常见的用途:对话式助手、客户聊天机器人、AI 生成内容、借助 AI 发布的文本、合成图像、人工语音、deepfakes,以及嵌入业务软件中的生成工具。
2026年8月2日将发生什么变化
自2026年8月2日起,透明度义务将成为核心。这些义务尤其旨在避免用户在不知情的情况下与 AI 交互,避免合成内容在未进行适当标识的情况下传播,或避免 deepfakes 及某些由 AI 生成的公共利益内容被呈现为完全由人类制作。
欧洲委员会已于2026年6月10日发布一份关于 AI 生成内容透明度的最佳实践准则。该准则旨在帮助供应商和部署方遵守第50条规定的标记、标签和检测义务。加入该准则是自愿的,但第50条的透明度义务本身则属于法律义务。
对于企业而言,这可能转化为非常具体的问题:
- 客户是否知道自己正在与聊天机器人对话?
- 一项涉及公共利益的内容是否由 AI 生成或被 AI 大幅修改?
- 图像、视频或合成语音是否已被明确标识?
- 内部工具是否生成会影响人类决策的文本、建议或分析?
- 市场、HR、客户服务或产品团队是否清楚应当披露、归档或核查哪些内容?
Digital Omnibus 还规定,对于2026年8月2日前已投放市场的系统,某些 AI 生成内容标记义务可延至2026年12月2日。但这一过渡期不应被理解为透明度要求的整体延期;它仅适用于特定范围。
真正的风险:看不见的 AI
对企业而言,最大的风险往往不是董事会上展示的那个大型 AI 项目,而是早已存在、却无人察觉的 AI。
CRM 中启用的 AI 功能。市场工具中新增的评分模块。招聘团队试用的人力资源助手。由传播团队使用的内容生成器。连接到文档库的对话式代理。未经过精确使用场景映射就部署的办公 Copilot。供应商在交付物中使用了 AI 却没有明确说明。
Hub France IA 正是强调,组织需要盘点内部存在的 AI 系统,包括嵌入市场解决方案中的系统、开发中的系统、生产中的系统,以及在构思阶段就已出现的系统。其《Premiers pas vers l’IA de Confiance》指南建议建立一份 AI 系统登记册,记录数据来源、技术架构、业务使用场景、涉及人群、部署背景以及事前风险分析。
同一文件还提醒注意第三方提供的系统——软件厂商、服务商、集成商——它们越来越多地嵌入 AI 组件,而这些组件有时对最终用户而言并不可见。它还强调了“Shadow AI”现象:对通用工具的非正式使用、供应商额外添加的 AI 选项、绕过采购流程订购的小型 SaaS 合同、以及 IT 部门视线之外的内部实验。
在这里,AI Act 合规就不再只是法律问题,而是治理问题。
合规从登记册开始
对许多组织而言,最有价值的第一步并不是启动一个大型法律项目,而是建立一份简单的 AI 使用登记册。
这份登记册在第一天不必完美,但它应当能够回答几个关键问题:
- 使用了哪一款 AI 工具或系统?
- 由哪个部门使用?
- 用于什么业务目的?
- 使用了哪些数据?
- 该用途可能影响哪些人或哪些人群?
- 企业是仅作为使用方、部署方、集成方还是供应方?
- 该用途是否涉及透明度义务?
- 该用途是否可能属于高风险?
- 保留了哪些证据?
- 供应商分别对什么负责?
目标不是阻碍创新,而是重新掌控局面。
不知道自己在何处使用 AI 的企业,无法证明其已对 AI 实现有效管理。而不知道谁在使用什么、使用了哪些数据、出于什么目的的企业,将很难回应客户、审计方、保险公司、合作伙伴、公共采购方或监管机构的要求。
现在就应启动的检查清单
距离2026年8月2日只剩几周,企业可以先用务实的方法推进。
1. 指定 AI Act 负责人。
这不一定意味着新增一个岗位,但必须有明确负责人,能够协调 IT、法务、采购、业务、HR、合规、安全与传播。
2. 启动 AI 使用盘点。
先从可见工具开始:聊天机器人、内容生成器、Copilot、内部代理、模型 API、人力资源工具、营销工具、评分工具、文档分析工具。
3. 寻找“看不见的 AI”。
向业务部门、采购和供应商逐一询问。关键用途并不总是在正式项目中,它们可能藏在 SaaS 选项、个人账号或本地试验中。
4. 建立最小登记册。
对每一项用途记录:工具、供应商、目的、使用部门、处理的数据、涉及人群、预估风险等级、可能的透明度义务、人类监督、可用证据。
5. 识别敏感用途。
HR、招聘、员工评估、教育、信贷、保险、医疗、生物识别、安全、基本服务获取:这些领域应优先分析。
6. 准备透明度机制。
对于聊天机器人、对话式代理、生成内容、合成图像、人工语音、deepfakes 或涉及公共利益的文本,企业必须决定披露什么、在何处披露、以何种措辞披露、在什么界面披露,以及如何留存证据。
7. 重新审视供应商合同。
采购方应向软件厂商和服务商索取必要信息:在价值链中的角色、可提供的文档、所用模型、使用的数据、训练条件、日志、安全措施、版本变更、服务退出机制及分包方。
8. 培训团队。
AI 素养不等于一次通用培训。招聘人员、市场人员、法务、开发者、采购负责人或管理者面临的风险和需求并不相同。
9. 建立监督机制。
对于最重要的用途,需要明确谁在何时检查、检查阈值是什么,以及采取哪些纠正措施。Hub France IA 尤其建议设置持续监督、人类控制、日志、告警、偏差监测、事件上报流程以及文档更新机制。
10. 建立证据档案。
合规不仅是“做了”,还要能“证明做了什么”:登记册、决策、风险分析、培训、供应商条款、用户提示截图、内部流程、日志和复核记录。
可分享的精简版检查清单:
罚款只是问题的一部分
AI Act 规定了高额处罚:对于被禁止的实践,最高可达3500万欧元或全球年营业额的7%;对于包括透明度义务在内的许多其他违规行为,最高可达1500万欧元或营业额的3%;对于向监管机构提供错误、不完整或误导性信息,最高可达750万欧元或营业额的1%。
但对许多企业而言,最直接的风险也许没有那么戏剧化:失去招标机会、无法回应供应商问卷、发现某个 HR 工具未被正式认定、发现客户聊天机器人未作标识,或者无法证明一项由 AI 辅助作出的决策确实仍受到人工监督。
因此,AI 合规也正在成为商业信任问题。
在未来几个月,大型企业、公共采购方、保险公司、投资者和技术合作伙伴将越来越频繁地提出这些问题:你们使用哪些 AI 系统?使用了哪些数据?用于哪些场景?由谁监督?供应商提供了哪些保障?有哪些证据?
不要等待“完美合规”
真正的陷阱在于等待所有指南、所有标准和所有市场实践都最终定稿后才开始行动。到那个阶段,重点已经不是拥有一个完美体系,而是先具备一版初步映射、一份初步登记册、对敏感用途的初步分析,以及最基本的响应能力。
AI Act 合规不是从一个法律文件夹开始的,而是从一个运营问题开始:我们知道自己在运行什么、在哪里运行、为何运行、使用了哪些数据、由谁负责、又有哪些证据吗?
能够回答这些问题的企业将拥有优势。其他企业则会发现,未经映射就部署的 AI 很快会变得难以治理。
本文依据一份关于企业中 AI Act 运营倒计时的参考说明撰写,涵盖整合后的时间表、已适用义务、通用目的 AI 模型、透明度、高风险、供应商以及 AI 登记册等关注重点。
本文仅提供一般性信息,不构成针对任何组织具体情况的法律意见。