歐盟 AI 法案第 12 條:日誌記錄與審核追蹤要求
歐盟 AI 法案的第 12 條要求高風險 AI 系統在整個系統生命週期內自動記錄事件。本頁面將詳細介紹您的審核追蹤必須記錄的內容、保留規則以及第 11 條 + 附錄 IV 的技術文件如何交互。
上次更新: April 29, 2026 · 10 min read
第 12 條的要求
高風險 AI 系統必須在設計上允許在整個系統生命週期內自動記錄事件(“日誌”)。日誌必須能夠提供足夠的可追蹤性,以便進行上市後監測、監管檢查以及第 14 條下的人工監督。
第 12 條是少數幾項要求技術能力而非僅僅是流程文件的歐盟 AI 法案義務之一——您的 AI 系統在運行過程中必須實際生成這些記錄。
您的審核追蹤必須記錄的內容
第 12 條的日誌必須記錄足夠的詳細信息,以便重建如何以及為什麼做出決策:
- 具有可靠時間戳的事件級別日誌記錄
- AI 系統接收的輸入和產生的輸出
- 內部流程步驟(審議、中間決策、策略評估)
- 人工干預操作:批准、覆蓋、升級
- 系統狀態數據,足以重現決策上下文
- 異常事件及其處理
技術要求
該法規規定了您的日誌記錄基礎架構必須滿足的幾個技術屬性:
- 自動日誌記錄——手動日誌條目不符合第 12 條的要求
- 可靠、完整的事件記錄
- 防篡改、安全的存儲
- 保留期限與預期目的和風險狀況成比例
- 可導出為適合監管審查的格式
常見的合規性差距
根據我們與企業 AI 團隊的合作,以下是最常見的第 12 條合規性差距:
- 僅記錄輸出,而不記錄產生輸出的推理過程
- 缺少或不完整的用戶覆蓋記錄
- 可變的日誌存儲,不符合防篡改要求
- 保留期限過短,無法進行監管檢查
- 沒有結構化的導出——只有臨時的數據庫查詢
第 11 條 + 附錄 IV 的技術文件
第 11 條要求提供技術文件,與第 12 條的日誌記錄一起,證明符合性。
附錄 IV 規定了結構:系統描述、預期目的、設計選擇、培訓和測試數據、驗證程序、監控以及日誌本身。將這兩者視為一個工作流程。
AIAgentree 如何實施第 12 條
AIAgentree 從一開始就為符合第 12 條的要求而設計:
- 決策追蹤記錄——記錄每個輸入、中間步驟和輸出
- 推理步驟與輸出一起保存
- 用戶覆蓋追蹤,帶有誰/何時/為什麼的元數據
- 用於防篡改的加密哈希鏈完整性
- 一鍵導出為設計用於監管審查的格式(PDF、JSON、CSV)
常見問題
第 12 條的日誌記錄必須保留多長時間?
歐盟 AI 法案沒有規定固定的期限;日誌必須保留一段與 AI 系統的預期目的和風險狀況成比例的時間。大多數供應商都遵循特定行業的保留規則(金融服務、醫療保健),並將最長的適用期限作為最低期限。
我需要記錄每個模型推理嗎?
第 12 條要求記錄事件,以便能夠追蹤決策。對於影響人們權利或安全的重大決策,這實際上意味著每個推理。對於純粹的內部輔助任務,較輕量級的彙總日誌記錄可能就足夠了——無論哪種方式,都應記錄理由。
日誌本身是否屬於 GDPR 下的個人數據?
通常是,尤其是當它們包含與可識別的個人相關的輸入數據時。將第 12 條的日誌保留和訪問控制視為一個聯合的歐盟 AI 法案/GDPR 第 32 條問題。
參考資料
- Regulation (EU) 2024/1689, Article 12 — artificialintelligenceact.eu/article/12
- Article 11 + Annex IV — artificialintelligenceact.eu/article/11