5 個月到 EU AI Act 合規:資料管道實施衝刺
2026 年 8 月 2 日——這是 EU AI Act 高風險系統合規的截止日期。如果你的 AI 資料管道今天沒有稽核追蹤和文件,以下是達到目標的 5 個月衝刺計劃。
2026 年 8 月 2 日。這是 EU AI Act 高風險 AI 系統執法條款完全適用的日期。8 月 3 日,監管機構可以要求提供合規證據。如果你無法提供,處罰從 750 萬歐元或全球營業額的 1.5% 起步,最嚴重違規可達 3,500 萬歐元或全球營業額的 7%。
今天是 2026 年 3 月 15 日。你還有 140 天。
如果你的 AI 資料管道已經產生帶時間��戳的稽核追蹤、操作員識別、資料數據溯源追蹤,以及符合第 10/30 條的文件,你狀況良好。驗證它是否正常工作,進行模擬稽核,然後繼續前進。
如果沒有——如果你的訓練資料存儲在共享雲端硬碟中,你的轉換記錄在電子表格中(或根本沒有記錄),你的文件由去年 AI 治理會議的幾張幻燈片組成——那麼這篇文章是為你準備的。以下是 5 個月的衝刺計劃。
誰受到影響
EU AI Act 按風險級別對 AI 系統進行分類。2026 年 8 月 2 日截止日期適用於高風險系統——那些列在法規附件 III 中的系統。如果你的組織在這些領域中的任何一個部署 AI,你的資料管道需要合規基礎設施:
- 就業和工人管理:篩選履歷、評估候選人、做出晉升決策、分配任務、監控績效或影響解僱決策的 AI 系統。
- 信用和保險:評估信用狀況、設定保險費率或評估金融產品風險的 AI 系統。
- 教育:評估學生、確定入學資格或分配教育資源的 AI 系統。
- 執法:評估證據可靠性、進行風險評估、對個人進行剖析或評估證詞可靠性的 AI 系統。
- 關鍵基礎設施:管理水、燃氣、電力、供暖或數字基礎設施安全組件的 AI 系統。
- 移民和邊境管控:評估風險、驗證文件真實性或處理申請的 AI 系統。
- 司法和民主程序:協助司法機構進行事實查明、法律適用或爭議解決的 AI 系統。
如果你的 AI 系統屬於任何附件 III 類別並處理歐盟居民的資料,你就在範圍之內。「我們總部在歐盟以外」並不重要——法規的適用依據是受影響個人所在的地方,而非公司所在地。
稽核人員將尋找什麼
EU AI Act 不接受自我聲明。稽核人員需要操作證據——機器可讀的、帶時間戳的、可驗證的記錄,證明持續合規,而非某人六個月前聲明合規。
具體而言,他們將審查:
資料數據溯源:你能否將任何模型輸出追溯到產生它的特定訓練資料?不是「我們使用了一個包含 50,000 條記錄的資料集」,而是「這個模型是在資料集 4.2.1 版本上訓練的,該版本是由這個操作員在這個日期對這些特定源文件應用這些特定轉換後產生的」。
轉換日誌:應用於你的訓練資料的每個操作——過濾、清理、標記、增強、去重——必須記錄帶時間戳、操作員 ID、使用的參數以及受影響的記錄數量。「我們清理了資料」不是日誌條目。
品質文件:每個管道階段的資料品質評估證據。測量了什麼指標?應用了什麼閾值?對未通過品質檢查的資料做了什麼?
可重現性:你能否重現用於訓練任何已部署模型版本的確切資料集?如果稽核人員 A 要求 2026 年 1 月部署的模型 v3.2 的資料集,你能否精確重現?
偏差和公平性文件:你對訓練資料進行了偏差檢查、記錄了發現並採取了補救步驟的證據。標準不是「無偏差」——而是「已檢查、已記錄、已處理」。
5 個月衝刺計劃
第 1 個月(3 月 15 日 - 4 月 15 日):稽核和分類
第 1-2 週:盤點所�有 AI 系統。 列出生產或開發中的每個 AI 系統。對每個系統,確定:
- 它是否屬於附件 III?(如果不確定,假設是。)
- 它使用什麼訓練資料?
- 訓練資料存儲在哪裡?
- 誰準備了訓練資料?
- 應用了什麼轉換?
- 是否存在任何文件?
第 3-4 週:差距分析。 對每個在範圍的系統,根據要求評估當前狀態:
- 資料數據溯源:你知道訓練資料來自哪裡嗎?(分數:0 = 完全不知道,1 = 一般了解,2 = 有記錄的來源,3 = 完整可追溯性)
- 轉換日誌:轉換是否被記錄?(分數:0 = 否,1 = 手動,2 = 部分自動化,3 = 完全自動化)
- 品質文件:品質指標是否被記錄?(分數:0-3)
- 可重現性:你能重現過去的資料集嗎?(分數:0-3)
- 偏差檢查:偏差是否被評估?(分數:0-3)
任何類別得分低於 2 的系統都需要補救。大多數企業發現,70 到 80% 的 AI 系統在至少一個類別中得分低於 2。
交付物:一份優先補救計劃,包含第 2–5 個月的具體任務、負責人和截止日期。
第 2 個月(4 月 15 日 - 5 月 15 日):實施自動化日誌記錄
這是基礎。沒有自動化日誌記錄,其他一切都是事後補充文件——稽核人員會標記這一點。
對每次資料轉換實施帶時間戳的日誌記錄。 每次資料被過濾、清理、標記、增強、去重或匯出時,系統應自動記錄:
- 時間戳(來自可信時間源,而非本地系統時鐘)
- 操作員 ID(誰發起了操作)
- 操作類型(做了什麼)
- 參數(使用了什麼設置)
- 輸入記錄數和輸出記錄數
- 受影響的記錄(或大型資料集的樣本哈希)
技術實施選項:
- 如果你的管道在 Python 腳本中運行:使用集中式日誌聚合器添加結構化日誌記錄(JSON 格式)
- 如果你的管道使用工作流程協調器(Airflow、Prefect):配置協調器的稽核日誌記錄,並在每個任務中添加資料級日誌記錄
- 如果你的管道使用 Ertas Data Suite:日誌記錄內置且默認合規——每個操作都記錄有操作員 ID、時間戳和完整參數
交付物:每個在範圍的管道中的每次資料轉換都產生機器可讀的日誌條目。通過運行測試轉換並確認日誌輸出來驗證。
第 3 個月(5 月 15 日 - 6 月 15 日):建立資料數據溯源追蹤
日誌記錄告訴你發生了什麼。數據溯源告訴你鏈條——任何輸出如何通過每個中間步驟連接回其源頭。
實施資料集版本控制。 每個資料集版本獲得一個唯一識別符,編碼其完整歷史:源資料版本 + 轉換序列 + 時間戳。當你為模型訓練匯出資料集時,版本 ID 是一個完整的來源記錄。
將模型版本與資料集版本連接。 當模型被訓練時,記錄使用了哪個資料集版本。這創建了鏈條:模型輸出 → 模型版本 → 資料集版本 → 轉換歷史 → 源資料。
端到端測試鏈條。 選擇一個生產模型。你能將其訓練資料追溯回原始源文件嗎?如果鏈條在任何地方斷裂,修復它。
交付物:對於任何已部署的模型,你能在 30 分鐘內生成一份顯示從源資料到已部署模型的完整鏈條的數據溯源報告。
第 4 個月(6 月 15 日 - 7 月 15 日):創建文件
有了日誌記錄和數據溯源,構建稽核人員將審閱的文件。
第 10 條文件:
- 資料治理政策(誰負責訓練資料品質)
- 資料集設計選擇(為什麼選擇這些資料,考慮了哪些替代方案)
- 資料收集流程(來源、日期、同意狀態)
- 準備操作(清理、標記、增強——現在由你的自動化日誌支持)
- 品質評估(統計特性、覆蓋範圍分析、適用性評估)
- 偏差檢查(使用的方法、發現、補救措施)
- 差距識別(缺少什麼資料,解決計劃是什麼)
第 30 條文件:
- AI 系統的技術文件
- 資料管道描述
- 品質管理程序
- 記錄保存系統描述
將這些文件模板化。 每次管道更改時都需要更新,因此創建帶有從日誌和數據溯源系統自動提取章節的動態文件。
交付物:每個在範圍的 AI 系統完整的第 10 條和第 30 條文件包。
第 5 個月(7 月 15 日 - 8 月 2 日):測試和驗證
進行模擬稽核。 召集一個內部團隊(或外部顧問)扮演稽核人員的角色。給他們與真實稽核人員使用相同介面的存取權限。讓他們:
- 請求特定模型的訓練資料數據溯源
- 請求查看特定日期範圍的轉換日誌
- 請求偏差檢查的證據
- 要求重現過去的資料集版本
- 嘗試修改日誌條目(應該是不可能的)
修復模擬稽核揭示的每個差距。 你有 18 天。按嚴重程度優先排序:缺少數據溯源 > 缺少日誌 > 不完整的文件 > 格式問題。
驗證不可變性。 確認日誌條目創建後無法被修改或刪除。這是一個常見的失敗點——記錄到沒有寫入保護的普通資料庫的系統允許事後修改,這破壞了稽核追蹤。
交付物:顯示所有測試通過的模擬稽核報告,或顯示所有差距�已閉合的補救日誌。
常見陷阱
帶有未版本化文件的共享雲端硬碟。 如果你的訓練資料存放在可以在沒有版本歷史的情況下覆蓋文件的共享雲端硬碟中,你無法證明數據溯源或可重現性。立即遷移到版本化存儲。
手動日誌。 「我們保留所有資料處理步驟的電子表格。」電子表格可以被事後編輯。它沒有保證的時間戳。它依賴人類自律來保持最新。這不構成合規證據。
無操作員追蹤。 如果你的管道以共享服務帳戶運行,你無法識別哪個人執行了每個操作。實施個人操作員身份驗證。
基於截圖的證據。 截圖可以被偽造。稽核人員知道這一點。帶有加密完整性驗證的機器可讀日誌是標準。
事後文件。 在 2026 年 7 月開始記錄你的管道並回溯日期,會產生明顯從 2026 年 7 月開始的證據。稽核人員會注意到。現在就開始,讓你的文件具有真正的歷史深度。
不合規的代價
EU AI Act 的處罰結構設計為成比例且有痛感:
- 最嚴重違規(禁止的 AI 實踐):最高 3,500 萬歐元或全球年營業額的 7%,以較高者為準。
- 高風險系統違規(包括資料治理不足):最高 1,500 萬歐元或全球年營業額的 3%。
- 文件違規(向主管機關提供不正確或缺失資訊):最高 750 萬歐元或全球年營業額的 1.5%。
對於年收入 5 億歐元的公司,僅文件違規就可能意味著 750 萬歐元的罰款。資料治理違規可能達到 1,500 萬歐元。
除罰款外,不合規的 AI 系統可能被命令從歐盟市場撤出。對於依賴面向歐盟客戶的 AI 驅動服務的公司,這是一個生存性操作風險。
本週就開始
以上衝刺計劃是積極但可實現的,對現在就投入資源的組織而言。最大的風險不是技術複雜性——而是拖延。每週的不作為都會壓縮剩餘時間表並增加在 8 月 2 日到來時出現差距的風險。
如果你在 3 月 15 日讀到這篇文�章且還未開始,你的第一個行動應該是在接下來的 10 個工作日內完成盤點和差距分析(第 1 個月,第 1-2 週)。其他一切都從了解你擁有什麼和缺少什麼開始。
Your data is the bottleneck — not your models.
Ertas Data Suite turns unstructured enterprise files into AI-ready datasets — on-premise, air-gapped, with full audit trail. One platform replaces 3–7 tools.
延伸閱讀
- EU AI Act Compliance Timeline 2026 — EU AI Act 截止日期的完整時間表以及每個階段可執行的內容。
- EU AI Act Article 30 Documentation Checklist — 第 30 條技術文件要求的詳細核對清單。
- The Enterprise AI Audit Trail Gap — 為什麼大多數企業 AI 管道無法通過稽核準備評估以及如何修復。
Turn unstructured data into AI-ready datasets — without it leaving the building.
On-premise data preparation with full audit trail. No data egress. No fragmented toolchains. EU AI Act Article 30 compliance built in.
Keep reading
EU AI Act Operational Evidence: What Auditors Actually Ask For
EU AI Act compliance isn't about checkboxes — it's about operational evidence. Here's what auditors actually look for when examining AI data pipelines: logs, lineage, and live demonstrations.
Building an Immutable Audit Trail for AI Training Data: Technical Requirements
EU AI Act Article 10 and Article 30 require verifiable, tamper-proof records of how training data was collected, processed, and used. Here's the technical architecture for an immutable AI audit trail.
How to Generate EU AI Act Technical Documentation from Your Data Pipeline
Practical guide to producing EU AI Act-compliant technical documentation from your data preparation pipeline — covering data lineage, transformation logs, quality metrics, and operator attribution.