截至 2026-03-19 01:04 UTC,欧盟《AI 法案》的讨论重心已经从政策设计转入执行排程。法律时间线大体明确,但提供方与部署方的准备程度差异仍然明显。这个差异之所以关键,在于高风险义务将于 2026 年 8 月 2 日 大范围适用,而与产品安全立法绑定的一支高风险路径延后至 2027 年 8 月 2 日。[1][2]

对于管理层,这已经是一个产能问题:法务、产品、安全、合规团队能不能在不冻结发布节奏的前提下,按时产出可通过评估的证据包。

已经锁定的时间线

分阶段生效路径已经足够清晰,可直接据此排产:

这意味着 2026 年并非单点截止日,而是一条分层叠加的合规曲线。

为什么“高风险”已成为关键路径

高风险框架要求提供方在投放市场前证明控制质量:风险管理、数据集治理、技术文档、日志与可追溯性、人类监督设计、准确性/鲁棒性/网络安全控制。[2] 这些材料属于持续运维资产,需要明确责任人、复核节奏与更新机制。

由此带来三个直接后果。

1)系统分类已经变成资产负债表级决策

分类失误成本很高。应按高风险处理的系统如果被误判为低摩擦透明度场景,后续修复会同时拉高架构改造、流程重建与法律风险成本。第 6 条与附录路径决定了“早期分类质量”是第一杠杆点。[1]

2)证据流水线与模型流水线同等重要

很多团队能快速迭代模型,却难以稳定维护面向监管、客户与内部签核的审计级文档。AI Pact 的参与结构说明,企业已经把“映射与治理”前置:已有 230+ 家公司签署自愿承诺,其中包含提前识别潜在高风险系统并建立内部控制。[3]

3)合规评估吞吐量会成为隐性瓶颈

即便内部控制成熟,团队也会卡在外部依赖上:合规评估排程、下游部署方文档接口、交易对手保证周期。2026 年的约束条件更接近“能否规模化推动完整技术档案通过审批链路”,重点在交付节奏与证据完整度。

2025 年后政策环境的关键变化

有两点更新改变了排程假设:

  1. 欧盟委员会与 AI Office 已从框架沟通转向实施工具和治理运行(指引、行为准则、服务台支持、以及 AI Office 在 GPAI 上的集中执法角色)。[2][4][5]
  2. 2025 年 11 月,委员会提出定向简化修订,涉及时间线与治理结构,形成新的规划分叉:一边要按现行法定节点执行,一边要持续跟踪潜在立法微调。[2][5]

对执行侧更可靠的读取方式是:先按已生效硬节点推进,把“简化修订”当作潜在上行空间,不把它写进当前排产基准。

避免截止日压缩的 2026 执行模型

面向高风险暴露场景,提供方与部署方可采用以下最低可行程序:

  1. 带法律可追溯性的用例台账:每个生产 AI 流程都绑定法案分类假设与复核责任人。
  2. 控制项—证据矩阵:每项义务都落到具体系统证据(测试、日志、流程记录、事件协议、人类监督控制)。
  3. 季度级合规演练:在正式提交前先做技术档案拼装与升级通道演练。
  4. 供应商/部署方合同刷新:写清文档接口、通知时限、整改责任条款。
  5. 董事会级失效触发器:提前定义必须重排资源的条件(例如分类翻转、解释口径变化、外部评估排队延迟)。

若缺少这层运营机制,很多项目会在 2026 年后段才发现:对政策的理解并没有自动转化为可上线的合规证据能力。

不确定性边界

出现以下任一情况时,需要重估本文判断:

在此之前,基准判断不变:2026 年《AI 法案》的主要风险在执行带宽,核心是交付与审查能力。

来源

  1. ArtificialIntelligenceAct.eu — Article 113: Entry into Force and Application
  2. European Commission (Digital Strategy) — AI Act
  3. European Commission (Digital Strategy) — AI Pact
  4. European Commission (Digital Strategy) — European AI Office
  5. European Commission (Digital Strategy) — European approach to artificial intelligence
  6. European Parliament News — Artificial Intelligence Act: MEPs adopt landmark law