EU AI Act 合規時間表：2026 年 8 月前到期的內容

EU AI Act 並非一次性全部到位。它分階段執行，不同要求在不同日期生效。如果你負責為歐盟市場服務的 AI 系統，以下是已經生效的內容、即將到來的內容，以及你需要準備好的事項。

分階段推出

已生效

2024 年 8 月 1 日——生效 法案正式成為法律。尚無執行，但計時開始。

2025 年 2 月 2 日——禁止的 AI 實踐 第一個執法里程碑。屬於「不可接受風險」類別的 AI 系統變為非法：

• 政府的社會評分
• 在公共場所進行實時遠程生物特徵識別（有限例外）
• 利用漏洞的操縱技術
• 在工作場所和教育機構中進行情緒識別（有例外）

如果你的 AI 系統執行這些功能中的任何一個，你應該已經停止。

2025 年 8 月 2 日——通用 AI 模型 通用 AI (GPAI) 模型供應商的要求生效：

• 透明度義務（模型說明卡、訓練資料摘要）
• 版權合規要求
• 對最強大模型的系統風險評估
• 這主要影響基礎模型供應商（OpenAI、Anthropic、Google、Meta），而非大多數企業部署者

即將到來

2026 年 8 月 2 日——高風險 AI 系統（完全執法） 這是對大多數企業最重要的截止日期。完全執法包括：

• 第 10 條：資料和資料治理要求
• 第 30 條：技術文件義務
• 第 9 條：風險管理系統
• 第 13 條：對部署者的透明度和資訊
• 第 14 條：人工監督要求
• 第 15 條：準確性、健壯性和網路安全
• 第 61 條：部署後監控

2027 年 8 月 2 日——附件 I 中的某些高風險 AI 系統 附件 I 中的系統（受監管產品如醫療設備、航空設備）的延長截止日期。由於這些系統已受到特定行業法規約束，因此獲得額外一年的時間。

「2026 年 8 月」在實踐中意味著什麼

從今天起五個月。你的組織需要具備以下條件：

訓練資料文件

• 涵蓋收集、準備和標記的完整資料治理政策
• 帶有方法論和結果的記錄偏差檢查
• 所有訓練資料集的統計概況
• 品質指標和錯誤分析
• 從源頭到訓練就緒格式的完整資料數據溯源

技術文件包

• 系統描述、預期目的和部署環境
• 訓練資料文件（見上）
• 算法和模型架構描述
• 驗證和測試結果
• 風險評估和緩解措施

風險管理系統

• 已知和可預見風險的識別和分析
• 已實施的風險緩解措施
• 殘餘風險評估
• 風險識別測試程序

人工監督機制

• AI 系統人工監督的工具和程序
• 關於人如何干預、覆蓋或關閉系統的文件
• 人工監督員培訓

部署後監控計劃

• 部署後如何監控系統性能
• 如何偵測和處理問題
• 事件報告程序

不合規的處罰

處罰根據嚴重程度分級：

對於中小企業和初創企業，法案規定了比例較低的上限，但處罰仍然可觀。

剩餘五個月的優先事項

如果你從零開始，以下是分類順序：

第 1 個月：稽核

• 盤點所有 AI 系統並分類其風險等級
• 根據第 30 條要求評估目前文件狀況
• 識別最大差距——通常是資料數據溯源和偏差文件

第 2–3 個月：構建

• 實施或升級帶內置稽核日誌的資料管道
• 記錄資料治理政策和標記程序
• 進行並記錄偏差檢查
• 建立人工監督程序

第 4 個月：測試

• 生成完整的技術文件包
• 根據附件 IV 核對清單審閱文件的完整性
• 進行內部合規審閱
• 測試事件報告程序

第 5 個月：驗證

• 文件的外部法律審閱
• 最終差距分析
• 關於持續合規義務的團隊培訓
• 部署後監控計劃啟動

等待的代價

事後補救合規總是比從一開始就建入更昂貴。如果你的資料管道目前不記錄轉換、不將操作歸屬於操作員或不維護資料數據溯源，事後添加這些功能需要重建可能無法恢復的歷史。

為受監管 AI 資料準備設計的平台——如 Ertas Data Suite——將 EU AI Act 合規文件作為管道的自然輸出生成。每次轉換都被記錄，每個操作員都被歸屬，每條數據溯源鏈都被維護。如果你在評估新管道的工具，合規文件應該是核心選擇標準，而非事後考慮。

2026 年 8 月截止日期不是建議。現在就開始。