面向AI提供商和部署者的权威欧盟人工智能法案合规指南。涵盖第6条高风险分类、第12条日志记录要求、第14条人工监督、附件III系统、符合性评估和技术文档。在2026年8月2日之前,通过AI Agentree决策跟踪平台实现合规。不合规的处罚高达3500万欧元或全球营业额的7%。
《欧盟人工智能法案》(法规2024/1689)是世界上第一个全面的AI法律框架。它建立了一个基于风险的方法来监管在欧盟运营的AI系统。
该法案将AI系统分为四个风险等级:
完全禁止(社会评分、操纵、实时生物特征监控)
严格要求(附件III系统:医疗保健、人力资源、金融、执法)
透明度义务(聊天机器人、深度伪造、情绪识别)
无特定要求(垃圾邮件过滤器、游戏、大多数消费类AI)
大多数企业AI应用——包括基于AI的招聘、信用评分、医疗诊断和客户服务自动化——都属于高风险类别,必须在2026年8月2日之前符合第9-15条的规定。
欧盟人工智能法案生效(在《官方公报》发布后20天)
禁止的AI实践禁令生效(6个月)
GPAI 规则,人工智能素养,建立治理机构(12 个月)
高风险人工智能系统(附件 III)必须符合要求——24 个月
剩余条款,包括附件 I 中的高风险系统(36 个月)
欧盟人工智能法案的第 6 条定义了两种高风险分类途径。如果您的 AI 系统属于任何一种途径,您必须在 2026 年 8 月 2 日之前符合所有要求。
以下用例中的人工智能系统会自动被分类为高风险:
远程生物识别身份验证和情绪识别系统
能源、水、燃气、供暖和数字基础设施中的人工智能
用于学生评估、考试评分和学习分析的人工智能
简历筛选、面试分析、任务分配、绩效评估、终止决策
信用评分、贷款审批、保险定价、紧急服务调度
风险评估、测谎仪、证据评估、画像
签证申请、庇护申请处理、边境控制
量刑辅助、案件结果预测、法律研究
注意: 即使您认为适用某种豁免,您也必须记录您的理由并保留证据。监管机构可能会对豁免声明提出质疑。
第 9-15 条规定了高风险人工智能系统在投放市场之前必须满足的强制性要求。
在人工智能生命周期中建立并维护风险管理系统
培训、验证和测试数据必须具有相关性、代表性和无错误
全面的文档,证明在投放市场之前符合要求
自动记录人工智能系统操作,以便进行可追溯性和审计
人工智能系统必须具有足够的透明度,以便用户能够解释输出结果
在人工智能系统运行期间,启用人工监督和干预
适用于禁止的人工智能行为
适用于高风险系统违规行为
适用于向当局提供不正确信息
这些是全球范围内最高的特定于人工智能的处罚。该法规具有域外适用性——任何为欧盟客户提供服务的公司都必须遵守,无论其总部所在地如何。
根据其人工智能用例,不同行业面临特定的欧盟人工智能法案义务。许多行业还拥有现有的与人工智能法案要求相关的法规。
欧盟人工智能法案的实施是分阶段进行的:禁止使用人工智能(2025年2月)、通用人工智能规则和治理(2025年8月)、附件III中的高风险人工智能系统(2026年8月2日)以及剩余条款,包括附件I(2027年8月)。大多数公司需要重点关注2026年8月2日的高风险系统截止日期。
高风险人工智能系统是指欧盟人工智能法案附件III中列出的系统,以及作为产品安全组件使用的人工智能系统。这包括用于招聘、信用评分、医疗保健、教育、执法和关键基础设施的人工智能。这些系统必须满足严格的透明度、文档、人工监督和风险管理要求。
第12条要求高风险人工智能系统自动记录日志(决策跟踪),以便进行监控、合规性验证和上市后监管。日志必须记录人工智能系统的运行情况,包括输入、输出和运行参数。AI Agentree 提供了内置的合规功能,以满足这些日志记录要求。
罚款可高达3500万欧元或全球年营业额的7%,用于禁止使用人工智能;对于高风险系统违规行为,罚款为1500万欧元或3%;对于提供不准确的信息,罚款为750万欧元或1.5%。这些是全球范围内针对人工智能的最高处罚金额。
是的,欧盟人工智能法案具有域外适用性。它适用于任何将人工智能系统投放欧盟市场或其人工智能系统输出在欧盟使用的供应商,无论公司注册地在哪里。这使得它对服务于欧盟客户的公司而言,实际上具有全球适用性。
高风险人工智能系统需要:技术文档、质量管理体系、符合性评估、欧盟符合性声明、CE 标志、在欧盟数据库中注册以及持续监控。AI Agentree 的决策跟踪功能可以自动生成可用于审计的文档。
What every high-risk AI system must log, and how to capture it.
Designing effective human-in-the-loop controls for AI decisions.
Which AI use cases the Act classifies as high-risk.
A step-by-step checklist to reach and document compliance.
Estimate your EU AI Act compliance effort and cost.
Key enforcement dates, including the August 2, 2026 deadline.
Penalty tiers up to €35M or 7% of global annual turnover.
Disclosure duties for AI systems and their outputs.
Build a risk management system and assess conformity.
Rules for providers of general-purpose AI models.
Extraterritorial scope and what US providers must do.
The latest changes to the EU AI Act timeline and rules.
Estimate your maximum fine under the Article 99 tiers.
What technical documentation the EU AI Act requires.
What deployers of high-risk AI must do, including log retention.
The QMS providers of high-risk AI must document.
Data quality, bias mitigation, and governance duties.
The staff AI-literacy duty in force since February 2025.
Who bears which obligation — and when a deployer becomes a provider.
Who must run a Fundamental Rights Impact Assessment, and how.
Scope, operators, and the extraterritorial reach of the EU AI Act.
Articles 72–73: ongoing monitoring and incident reporting.
How the voluntary standard and the binding law fit together.
A practical crosswalk between the framework and the law.
High-risk medical AI, MDR/IVDR interplay, and clinician oversight.
Credit scoring, insurance pricing, and existing financial regulation.
Hiring AI as high-risk, plus NYC LL144 and EEOC overlap.