合规 · AI Act

欧盟AI法案:对你的中小企业究竟意味着什么

欧盟2024/1689号条例几乎涉及所有使用人工智能工具的企业,而不仅仅是开发AI的企业。这里为你提供关于义务、期限和第一步该怎么做的具体答案,不夸大其词,不使用行话。

32 个答案

用简单的话说,欧盟AI法案是什么?

AI法案(欧盟2024/1689号条例)是欧洲第一部规范人工智能开发和使用方式的法律。它于2024年8月1日生效,并将分阶段适用至2027年。

背后的逻辑很简单:一个AI系统对人的权利或安全的潜在影响越大,需要遵守的规则就越多。有些用途被完全禁止,有些属于高风险、受到严格管控,而日常生活中大多数用途(比如写作助手)只需承担最低限度的义务。

GiBSeS — 弄清楚你使用的工具落在哪个等级,是我们为中小企业做每一次评估的出发点。

AI法案也适用于我这样的小企业吗?

是的,AI法案不因企业规模而有例外:它适用于在专业活动中开发、分发或单纯使用AI系统的所有主体,中小企业和自由职业者也不例外。重要的不是营业额,而是你如何使用AI。

好消息是,义务与风险成正比:如果你只是把AI用于普通任务,需要履行的义务就很轻。条例还为中小企业和初创企业专门设置了支持措施,比如监管沙盒和分级处罚。

GiBSeS — 真正的工作是区分哪些真正与你有关、哪些与你无关:这正是我们着手时采用的那种实用筛选方法。

AI的“提供者”和“部署者”有什么区别?

提供者(provider)是指开发AI系统、或以自己的名称或商标将其投放市场的主体。部署者(deployer)是指在专业活动中以自己的权限使用AI系统的主体。

几乎所有中小企业都是部署者,而不是提供者:如果你使用ChatGPT、Copilot、带AI功能的CRM,或自动化招聘工具,你就是部署者。较重的义务(技术文档、合格评定)主要落在提供者身上;部署者的义务较轻,但并非为零,尤其是在使用高风险系统的情况下。

GiBSeS — 弄清楚每个工具中你是提供者还是部署者,会彻底改变需要履行的义务清单:这是我们一起首先要厘清的事情之一。

如果公司只用ChatGPT或Copilot,也会受AI法案约束吗?

会,但程度可能很轻。使用这些工具,你就是AI的部署者,因此属于条例的适用范围。在多数情况下,这属于有限风险或最低风险的AI,主要义务是透明度和基本常识。

几乎肯定与你有关的义务是员工的AI素养(第4条):使用这些工具的人必须对其运作方式、局限性和风险(例如在提示词中输入机密数据、幻觉、偏见)有足够的了解。

GiBSeS — 即使是最“无害”的聊天机器人使用方式,也需要有一个明确的定位:我们会帮你把哪些该做、哪些不必做,白纸黑字写清楚。

法律要求我必须对员工进行AI培训吗?

部分是的。AI法案第4条自2025年2月2日起适用,要求提供者和部署者确保使用这些系统的人员具备“足够”水平的AI素养。这是一项真实存在但灵活的义务。

注意:法律并没有要求参加正式的认证课程,也没有要求取得特定证书。它要求的是与岗位、经验和所用AI类型相匹配的适当水平。实际上就是:使用者必须知道自己在用什么、有哪些风险和局限。建议把你做过的事情记录下来(内部培训登记、材料、开展过的课程),以便在接受检查时能够证明。

GiBSeS — 一份比例适当、可留痕、不浪费资源的素养培训计划,是我们AI法案培训项目(Academy)的典型交付成果之一。

我要如何证明自己已经履行了AI培训义务?

目前没有官方表格,也没有强制性认证。证明需要靠企业内部自行建立:记录谁接受了培训、培训了什么内容、什么时候进行的、用了哪些材料。一份简单的培训登记表,附上材料和日期,就已经是扎实的基础。

目的不是为了形式主义,而是要能向监管机构证明你采取了认真且相称的行动。对小企业来说,一次有记录的内部培训,加上一份书面的AI工具使用政策,往往就足够了。

GiBSeS — 以轻量但站得住脚的方式建立这份登记记录,是我们可以在几个小时内帮你完成的事情。

AI法案规定了哪些风险等级?

AI法案将系统分为四个风险等级:

1. 不可接受的风险:被禁止的做法(第5条),在任何情况下都不被允许。

2. 高风险:受到严格监管的系统(例如人员筛选、信贷、医疗器械、关键基础设施),义务非常严格。

3. 有限风险:主要是透明度义务(例如告知用户正在与聊天机器人对话、为生成内容加注标签)。

4. 最低风险:绝大多数常见用途,除了基本常识和素养要求外,没有特定义务。

GiBSeS — 把每一件工具准确归入正确的风险等级,既能避免罚款,也能避免不必要的合规负担:这正是我们诊断工作的核心。

AI法案禁止哪些AI用途?

第5条列举了不可接受风险的做法,自2025年2月2日起在整个欧盟范围内被禁止。其中包括:造成损害的潜意识操纵或欺骗性操纵、利用弱势群体的脆弱性、社会评分(对公民进行社会打分)、在工作场所和学校中某些形式的情绪识别、为建立人脸识别数据库而进行的无差别人脸抓取,以及在公共场所进行实时生物识别(除极少数限定例外情形)。

对普通中小企业来说,这些禁令很少会构成问题,但在采用人力资源分析工具、“智能”视频监控或激进的行为营销工具之前,有必要先了解清楚。

GiBSeS — 核实正在评估的工具没有一款触及被禁止的做法,这是一项快速但必不可少的检查,我们始终会纳入评估流程。

AI系统被定义为“高风险”,具体是什么意思?

条例中列明的、可能对安全或基本权利产生重大影响的系统属于高风险系统。例如:用于筛选或评估求职者和员工的AI、用于信贷审批决定的AI,以及应用于医疗、教育或关键基础设施管理领域的AI。

如果你作为部署者使用高风险系统,就有具体的义务:按照说明使用系统、确保人工监督、监控其运行情况、保存日志,并告知受影响的员工。针对这些系统更严格的规则将从2026年8月2日起全面适用(对部分受其他法规监管的产品,则从2027年起适用)。

GiBSeS — 一款招聘工具或AI评分工具,可能在你不知不觉中让你变成高风险系统的部署者:这正是我们会仔细核查的情形。

内容是AI生成的,我必须告知客户吗?

在很多情况下是的。第50条规定了透明度义务:使用AI生成音频、图像、视频或文本内容(包括深度伪造内容)的主体,必须让人能够识别出该内容,并将其标注为人工生成。聊天机器人也必须让用户清楚地知道自己正在与机器而非真人互动。

对中小企业来说,这在实践中意味着:营销用的图片或视频若由AI生成,应予以说明;虚拟助手若不是真人,也应明确标示。这些都是合理的义务,通常一个标签或一句说明就能解决。

GiBSeS — 把这些义务转化成营销和客服团队可执行的几条简单规则,是我们可以很快与你一起完成的工作。

如果不遵守AI法案,我可能面临哪些处罚?

处罚力度很大,并随违规严重程度而递增。对于被禁止的做法(第5条),最高可处3500万欧元或全球年营业额7%的罚款,以两者中较高者为准。违反其他义务的罚款上限为1500万欧元或营业额的3%;向监管机构提供不准确信息的罚款上限为750万欧元或营业额的1%。

对中小企业而言重要的一点是:中小企业和初创企业适用固定金额与百分比中较低的那个数值,而不是较高的那个。处罚由各成员国的国家主管机构实施,实际监管执法能力将从2026年8月2日起生效。

GiBSeS — 风险应该根据你的实际情况来衡量,而不是根据耸人听闻的新闻标题:我们工作的一部分,就是给你一个诚实的风险敞口评估。

谁来监督AI法案的执行?从什么时候开始?

监管和处罚职责由各成员国指定的主管机构负责,并由欧盟委员会的AI办公室在欧洲层面进行协调。并不存在一个统一的欧洲“AI警察”:具体由谁来监督你,因国家而异。

各国主管机构的处罚执法能力将从2026年8月2日起正式生效。不过部分义务此前就已经生效(禁令和素养要求自2025年2月2日起适用),因此“暂时还没被检查”并不等于“暂时还不受约束”。

GiBSeS — 弄清楚哪个机构对你的所在地和目标市场具有管辖权,是我们前期梳理工作的一部分。

AI法案的主要日期和截止期限是什么?

关键节点如下:

- 2024年8月1日:条例生效。

- 2025年2月2日:不可接受风险做法的禁令(第5条)和AI素养义务(第4条)开始适用。

- 2025年8月2日:通用人工智能模型(GPAI)及治理相关规则开始适用。

- 2026年8月2日:大多数义务开始适用,包括许多高风险系统的义务,主管机构获得完全的处罚执法能力。

- 2027年8月2日:嵌入已受监管产品中的AI相关义务开始适用。

GiBSeS — 建立一份只包含与你相关截止日期的内部小日历,可以避免临时抱佛脚:这是我们评估工作的一项具体产出。

具体应该从哪里开始,才能让企业合规?

第一步不是购买软件或报名课程,而是做一次盘点。列出你实际在使用的AI工具(包括那些“隐藏”在CRM、管理软件、营销工具里的AI功能),以及使用目的和涉及的数据。

然后,针对每一项工具确定:你是提供者还是部署者、它属于哪个风险等级、由此产生哪些义务。到了这一步,对大多数中小企业来说,剩下的就是三项实际行动:对员工进行AI素养培训(第4条)、制定AI工具使用政策,以及在需要的地方落实对客户和用户的透明度义务。

GiBSeS — 这份有条理的盘点,正是我们一起要做的第一步:花半天时间,既能避免罚款,也能避免不必要的开支。

我真的需要找顾问吗,还是可以自己搞定?

对于AI用途简单的中小企业来说,很多工作可以在内部完成:工具盘点、使用政策,加上一次有记录的培训,就能覆盖大部分义务,不一定需要一个大项目。

外部支持在以下情况下尤其有用:使用了可能属于高风险的工具(人力资源、信贷、医疗),处理的数据比较敏感,或者你只是想确保没有遗漏什么,又不想花好几天时间自己摸索。正确的目标是“相称”:做到足够,而不是做过头。

GiBSeS — 我们正是这样工作的:给你一份独立的诊断,并如实告诉你哪些事你自己就能处理,哪些不行。

让中小企业符合AI法案要求,大概要花多少钱?

没有固定的收费标准:取决于你使用多少工具,以及这些工具达到哪个风险等级。对大多数小企业来说,如果只是有限风险或最低风险的用途,合规工作主要是组织层面的(盘点、政策、培训),成本有限,通常花的是内部时间,而不是金钱。

只有当你涉及高风险领域时,成本才会上升,因为那需要结构化的文档、人工监督和监控。真正要避免的风险恰恰相反:因为被过度渲染的咨询服务吓到,而为与自己无关的义务花了太多钱。

GiBSeS — 把开支控制在实际风险范围内,不夸大也不虚高,是我们方法论的一条指导原则:经济纪律永远优先。

AI法案会取代GDPR的隐私保护规定吗?

不会,这是两部各自独立、相互补充的法规。GDPR(欧盟通用数据保护条例)规范个人数据的处理;AI法案则按风险等级规范人工智能系统。一个处理个人数据的AI系统,必须同时遵守这两部法规。

实际上:如果你把AI用于客户或员工的数据,GDPR的规则(法律依据、告知义务、安全措施)依然适用,此外还要叠加AI法案的义务。这两项评估要一起做,而不是二选一。

GiBSeS — 让AI法案合规与GDPR合规相互衔接、避免重复劳动,是我们为中小企业设计分析方法的一部分。

AI法案也适用于欧盟以外的企业吗,比如瑞士企业?

AI法案具有域外适用效力:即便提供者和使用者设立在欧盟以外,只要AI系统的输出结果在欧盟境内被使用,或者你把AI系统投放到欧洲市场,法案同样适用。因此,一家瑞士企业或其他非欧盟企业,只要为欧盟客户或用户提供服务,就可能被纳入适用范围。

如果你只面向非欧盟市场经营,AI法案本身可能不适用,但通常仍值得将其作为参考标准来对齐,因为欧洲的客户和合作伙伴往往会提出这样的要求。

GiBSeS — 对于客户同时分布在瑞士、意大利和欧盟的企业,我们会逐案评估条例究竟在哪些地方真正产生约束力,哪些地方值得主动对齐。

有这么多义务,采用AI是否还划算?

划算,但要讲方法。AI法案并不禁止使用AI:它要求的是有意识地、与风险相称地使用AI。正确的答案既不是放弃AI,也不是不加分辨地全盘采用,而是逐案判断:某个AI工具相对于其风险和成本,是否真的带来实际收益,以及在哪些地方带来收益。

很多AI项目失败,并不是因为法规,而是因为它们只是跟风采用,却没有一个明确要解决的问题。AI应该像任何其他技术或企业投资一样,先做风险/收益分析,再决定引入。

GiBSeS — 这正是我们独立方法论的核心:我们不销售AI,而是基于数据帮你判断哪里真正需要它、哪里不需要。

在合规的同时,如何避免被单一AI供应商锁定?

遵守AI法案并不要求你必须选择某个特定供应商。恰恰相反,这正是一个把事情做成中立架构的好机会:记录清楚每个工具做什么、用了什么数据、有哪些保障措施,这样将来更换工具时就不会被卡住。

要警惕那些承诺“一站式合规”却把你绑定在单一平台上的方案:真正的合规是属于你自己的一套流程,而不是某个供应商的产品。数据的所有权、政策的所有权、文档的所有权,都应该掌握在你自己手里。

GiBSeS — 独立于供应商、反锁定,是我们提出每一条建议时坚持的原则:合规属于你,而不属于供应商。

我的公司在欧盟既没有总部也没有常设机构,AI法案还是会适用吗?

是的。欧盟2024/1689号条例(AI法案)在设计上就具有域外适用效力。它适用于将AI系统投放欧盟市场或投入使用的提供者,无论其设立在何处;甚至适用于设立在欧盟以外的提供者和使用者,只要AI系统产生的输出结果在欧盟境内被使用。

实际上,重要的不是你的企业设立在哪里,而是你的AI系统(或其输出结果)是否触达了欧洲的客户和用户。如果答案是肯定的,你就落在了条例的适用范围之内。

GiBSeS — GiBSeS帮助非欧盟企业弄清楚AI法案是否、以及如何影响自己,趁它还没有变成进入欧洲市场的障碍之前。

要在欧洲销售我的AI系统,是不是必须指定一名代表?

这取决于系统的类型。如果你是高风险AI系统的非欧盟提供者,AI法案要求你在将系统投放欧盟市场之前,以书面授权的方式指定一名设立在欧盟境内的授权代表。这一义务同样适用于通用人工智能模型(GPAI)的非欧盟提供者。

授权代表是欧洲监管机构的联络点,负责保存技术文档并配合各项核查。对于有限风险或最低风险的系统,这项特定义务不会触发,但其他适用要求依然有效。

GiBSeS — GiBSeS可以帮你理清授权代表这一角色的作用,并找到最精简的方式来满足这一要求,而不会给你的组织架构增加负担。

我是美国/亚洲的AI SaaS提供商,客户在欧盟:具体该做些什么?

第一步是按照AI法案对你的系统进行分类:被禁止的做法、高风险、有限风险(仅有透明度义务)或最低风险。大多数通用型AI SaaS属于有限风险或最低风险,但某些应用场景(例如人员筛选、信贷、生物识别、安全组件)会触发高风险分类。

如果你被认定为高风险系统的提供者,就需要准备技术文档、风险管理体系、人工监督、事件记录、CE标志,以及一名设立在欧盟的授权代表。如果属于有限风险,主要义务是对用户的透明度告知。无论哪种情况,准确梳理你的欧盟客户和输出结果的流向,才是决定你真实义务的关键。

GiBSeS — GiBSeS协助非欧盟SaaS提供商完成风险分类,并准备好合规服务欧洲客户所需的最基本要件。

我的AI系统完全在欧盟以外运行,但结果被欧洲客户使用:我还是会受到约束吗?

是的。这正是AI法案的一项关键判定标准:只要AI系统产生的输出结果在欧盟境内被使用,条例同样适用于设立在第三国的提供者和使用者,软件是否托管或运行在欧盟境内并不重要。

这意味着,一个在美国或亚洲训练和运行的模型,如果其结果被用来支持面向欧洲用户的决策或服务,同样落在适用范围之内。真正重要的是输出结果的去向和用途,而不是服务器所在的地理位置。

GiBSeS — GiBSeS帮助你追踪系统的输出结果究竟流向何处,以及这会触发哪些欧盟层面的义务。

在欧盟监管机构面前,真正的责任方是谁:我这个提供者,还是欧洲的进口商或分销商?

AI法案在整个供应链上分配了不同的责任。提供者(开发系统并以自己的名称或商标将其投放市场的主体)承担最重的义务:合规评定、技术文档、CE标志。欧盟进口商必须核实非欧盟提供者已经完成合格评定、编制了相关文档、指定了授权代表,如果有任何缺失,进口商必须拒绝投放市场。

分销商则必须在提供系统之前核实标志和文档是否齐全。但要注意:如果进口商或分销商对系统进行了实质性修改,或以自己的商标销售该系统,就可能被重新认定为提供者,从而承担提供者的全部义务。责任不会自动转嫁给下游主体。

GiBSeS — GiBSeS帮助你与欧盟合作伙伴清晰界定角色和责任,避免自己突然背上意料之外的义务。

AI的CE标志是什么,我进入欧洲市场真的需要它吗?

CE标志证明产品符合适用的欧盟要求。对于被归类为高风险的AI系统,AI法案要求提供者在将系统投放市场或在欧盟境内投入使用之前,完成合格评定、编制欧盟合格声明,并加贴CE标志。

对于有限风险或最低风险的系统,就AI法案而言并不要求CE标志:这些情况下主要看重的是透明度义务。因此,弄清楚你的产品属于哪个类别,正是决定这项义务是否与你相关的关键一步。

GiBSeS — GiBSeS帮你判断自己的系统是否需要CE标志,并协助准备支撑CE标志的技术文档。

如果不合规,我具体会面临什么风险:罚款、下架,还是产品被禁止销售?

后果分为两类。市场层面:各国监管机构可以要求采取纠正措施,从欧盟市场撤回或召回系统,并禁止其继续提供:实际上,你的产品会被欧洲客户拒之门外。

处罚层面:AI法案规定,被禁止做法的罚款最高可达3500万欧元或全球年营业额总额的7%;违反其他义务的罚款最高可达1500万欧元或营业额的3%;向监管机构提供不准确信息的罚款最高可达750万欧元或营业额的1%(两者中取较高者)。对非欧盟企业来说,最直接的风险往往正是失去进入市场的资格。

GiBSeS — GiBSeS帮你提前防范这些情形,在合规问题演变成商业阻碍之前就把它稳妥解决。

我提供的是通用人工智能模型(GPAI/基础模型):作为非欧盟企业,我有额外的义务吗?

有的。AI法案为通用人工智能模型设立了专门的制度。GPAI提供者必须准备技术文档,向集成该模型的下游提供者提供相关信息,制定尊重著作权的政策,并公布用于训练的数据摘要。对于具有系统性风险的模型,还会附加更强的义务(评估、风险缓解、网络安全、事件报告)。

此外,设立在欧盟以外的GPAI提供者必须在欧盟指定一名授权代表。GPAI相关规则是条例时间表中最早开始适用的规则之一。

GiBSeS — GiBSeS协助非欧盟通用模型提供者梳理GPAI相关义务,并提前建立好所需的文档体系。

实际上我还能不能继续在欧盟销售,还是AI法案会把我挡在市场之外?

你可以继续销售:AI法案并没有对非欧盟提供者关闭市场,而是把市场准入与遵守基于风险等级的规则挂钩。绝大多数AI系统属于最低风险或有限风险,义务有限;只有少数明确界定的用例属于高风险或被禁止。

关键在于提前做好准备:了解自己所属的风险类别,准备恰当的合规措施(既不过多也不过少),并在需要时安排一名欧盟代表。提前做好组织安排的非欧盟企业,能把合规转化为相对于那些毫无准备的竞争对手的优势。

GiBSeS — GiBSeS帮你以务实的方式规划进入欧盟市场的路径,不让你被绑定得比必要程度更深。

我从什么时候起必须合规?哪些截止期限与我有关?

AI法案于2024年8月1日生效,并分阶段适用。禁止性AI做法的禁令自2025年2月2日起适用。通用人工智能模型(GPAI)的相关义务自2025年8月2日起适用。

大多数高风险系统的义务自2026年8月2日起适用,而对于嵌入已受监管产品中的部分高风险系统,截止期限则是2027年8月2日。对非欧盟企业来说,最好以这些日期为终点倒推安排工作,因为准备技术文档、完成合格评定、指定授权代表都需要数月时间。

GiBSeS — GiBSeS帮你制定一份与这些截止期限相匹配的合规路线图,让你在进入欧盟市场时已经准备就绪。

我具体应该从哪里入手,才能合规并进入欧盟市场?

起点是对你的AI系统进行盘点,并按照AI法案的分类(禁止、高风险、有限风险、最低风险)加以归类,同时与面向欧洲客户或用户的应用场景进行交叉核对。这份梳理能精确定义哪些义务与你有关,既避免遗漏,也避免不必要的合规负担。

由此可以推导出具体操作步骤:在需要的地方准备技术文档,理清供应链上的角色(提供者、进口商、分销商),评估是否需要在欧盟指定一名授权代表,并落实透明度义务。与其追求泛泛而谈的合规,不如从一次有针对性的差距分析(gap analysis)开始。

GiBSeS — GiBSeS正是从这样一次差距分析开始,帮你以恰到好处的投入、没有多余束缚地合规进入欧盟市场。

我为欧盟用户提供聊天机器人,或生成合成内容(深度伪造、AI图片):我有哪些透明度义务?

AI法案对某些与人互动或生成内容的系统规定了透明度义务。旨在直接与自然人互动的AI系统(如聊天机器人)必须告知用户自己正在与人工智能进行沟通,除非情况显而易见。生成文本、图像、音频或视频合成内容的系统提供者,必须确保这些输出以机器可读的格式被标注为人工生成或人工处理。

此外,使用能够生成深度伪造内容系统的主体,还必须公开说明该内容是人工生成或经过人工篡改的。这些义务同样适用于其系统或输出结果触达欧盟用户的非欧盟提供者。

GiBSeS — GiBSeS帮你为欧洲受众合规地落实透明度义务和内容标注要求。

本内容仅供参考,不构成法律建议。

一起梳理你的AI法案合规现状

在一次有针对性的沟通中,我们会梳理你实际使用的AI工具、它们属于哪个风险等级、具体涉及哪些义务,区分真正必要的和多余的部分。这是一份独立、与你的中小企业规模相称的分析,不会不加分辨地向你推销AI。

预约AI法案诊断