歐盟《人工智能法》首次修改穩步推進：簡化與強化并行

2026年3月26日，歐洲議會（European Parliament）以569票贊成、45票反對、23票棄權的結果，通過了對《人工智能數字綜合法案》（Digital Omnibus on AI）的“一讀立場”（First Reading Position）。3月27日，歐盟理事會總秘書處發出工作文件 WK 4547/2026 INIT，這份189頁的四欄對照文件，將歐盟委員會提案、歐洲議會授權立場與歐盟理事會授權立場逐條并列，為AI數字綜合法案的三方談判奠定基礎。

據相關報道，該法案將于4月28日進入第二輪政治談判，預計當天結束政治層面討論并轉入技術完善，目標在8月1日前完成立法程序并生效。以下為文件中與AI直接相關的關鍵要點。

01高風險AI義務延期適用

三方一致同意將高風險AI系統合規期限延后：Annex III 獨立高風險AI系統（生物識別、教育、就業、執法等）延至2027年12月2日；Annex I 產品內嵌式高風險AI系統（醫療器械、機械等）延至2028年8月2日。原定2026年8月2日的全面適用日期不再維持。

需注意，委員會原提案為“條件觸發+最晚日期”機制，也即在其確認支持性合規措施到位后，Annex III 系統6個月后適用、Annex I 系統12個月后適用，同時設最晚兜底日期。理事會與議會則刪除了條件觸發機制，直接采用固定日期。

此外，生成式AI內容標識義務（Article 50(2)）設6個月過渡期，適用于2026年8月2日前已上市的系統。

▲ 圖2 高風險AI義務延期（p44、p159）

02新增禁止性AI實踐

AI Act 通過以來首次實質性擴充第5條禁止清單。議會和理事會分別提出針對非自愿親密圖像生成AI（NCII）和兒童性虐待材料生成AI（CSAM）的禁令。議會版直接點名“一鍵脫衣”AI應用（nudification applications），要求生成可識別自然人親密內容須經當事人明確同意；理事會版覆蓋面更廣，對“能力”與“真實感”概念均做了精細界定。兩版本均允許已部署有效技術保障措施（數據清洗、拒絕訓練、輸出控制、內容過濾等）的提供者豁免。

▲ 禁止性AI實踐（p10、p15）

03AI素養義務轉為鼓勵機制

AI Act 第4條原要求所有提供者和部署者“確保”員工AI素養。委員會提議將這一義務改為由成員國和委員會“鼓勵”相關主體采取措施。理事會基本接受這一方向，但保留了高風險場景中的培訓與能力要求（第9條、第26(2)條），并要求AI Board制定建議書、參考歐洲數字能力框架（DigComp等）。議會則將部分責任重新放回企業端：提供者和部署者應“支持提升”AI素養，同時由委員會和成員國承擔補充支持功能，并提出可通過公私合作伙伴關系（PPPs）推廣。三方的核心分歧不在于是否弱化，而在于義務主要落在企業端還是公共端。

▲ AI素養從強制變鼓勵（p9、p60、p61）

04注冊義務簡化但未取消

委員會提議取消依 Article 6(3) 自評為非高風險AI系統的歐盟數據庫注冊義務，但議會和理事會同時拒絕，均主張維持注冊、僅簡化登記內容（Annex VIII Section B）。兩方一致認為數據庫注冊對市場監管和公眾問責不可或缺。這是文件中少見的兩位共同立法者聯合反對委員會簡化提議的情形。

▲議會和理事會同時主張維持注冊（p 25）

05AI Office獲得系統性執法權

三方均同意擴大人工智能辦公室（AI Office）對基于通用人工智能模型（GPAI）的AI系統的監管權限，但在權限邊界上存在分歧。

委員會提議覆蓋同一提供者開發的GPAI-based系統。議會在此基礎上將范圍擴展至同一企業集團內的提供者，但排除了執法相關AI（Annex III第2點）。理事會使用“專屬管轄權”（exclusive competence）表述，將范圍從“同一提供者”擴展至同一企業（same undertaking）內開發的系統，同時為執法機關、邊境管理、金融機構和司法行政領域設置了例外，這些仍由國家行業主管機關負責。

在執法工具方面，理事會單方面新增Articles 75a-75e，構建了一套完整的AI Office執法體系：一是可發起調查并向被監管方追償全部費用；二是有權要求提供信息、進行現場檢查，包括進入營業場所、審查數據、取得副本、要求口頭解釋，必要時須經國家司法授權；三是可接受約束性承諾；四是可處以不合規罰款，每日最高達全球日均營業額的5%，并設5年時效期；五是明確律師特權、新聞特權保護，歐盟法院對罰款有完全管轄權。委員會和議會均未提出同等系統化的執法條款體系。

▲ AI Office 獲得系統性執法權（p32、p107、p115）

06高風險認定標準細化與行業法規銜接

在高風險認定方面，議會明確了“安全功能”的邊界：僅用于用戶輔助、性能優化、自動化或便利性的AI功能，如其失敗不直接造成健康安全風險，則不構成高風險。在行業法規銜接上，理事會和委員會保留了"單一程序"邏輯，通過程序性整合實現與行業立法的銜接，議會則改走另一條路徑：刪除相關程序性修改，提議將 Annex I Section A 所列產品法規整體移至 Section B，讓行業立法成為主要監管框架，這是目前尚存的重大分歧。此外，滿足網絡彈性法（Regulation 2024/2847）網絡安全要求的高風險AI系統，推定符合AI Act 第15條要求。

▲ 高風險認定標準細化與行業法規銜接（p24、p50、p84）

07偏見檢測、監管沙盒與上下游合作

在偏見檢測方面，三方均提議新增Article 4a，將敏感個人數據處理的法律依據從高風險AI系統擴展至所有AI系統和模型。但門檻設定有差異：委員會的措辭為“必要的限度內”（to the extent necessary），議會和理事會均收緊為“嚴格必要”（strictly necessary），且三方一致要求僅在合成或匿名數據無法實現偏見檢測時才可使用。理事會還特別指出，對非高風險AI系統，觸發該條的情形在實踐中將更少出現。

在監管沙盒方面，三方均同意AI Office可建立歐盟級沙盒。議會進一步要求各成員國至少建立一個國家級沙盒，并為中小型企業（SME）和初創企業提供優先準入。理事會同樣支持優先準入，并將受益范圍擴展至小中型企業（SMC），但強調歐盟級沙盒不得與國家級沙盒在范圍上重疊。

在上下游合作方面，議會要求GPAI模型提供者在其模型被整合進高風險AI系統時，須提供技術文檔、披露已知局限并開放測試驗證接口。

▲偏見檢測、監管沙盒與上下游合作（p63、p77）

??

Serving national strategies, focusing on university research and the transformation of scientific and technological achievements