《欧盟人工智能法案》(EU AI Act)对企业最实际的影响,是把AI管理变成一套按风险分层的合规工作。它不是把企业日常使用AI一概禁止;真正要判断的是:这个AI系统用来做什么、你的企业在其中是什么角色,以及它是否落入被禁止实践、通用人工智能模型(GPAI)或高风险AI范围。[2][
3][
5]
对许多企业来说,第一步不是问:这个工具能不能用?而是问:这个具体场景应被怎样归类?同样是AI,内部写作辅助工具、招聘简历筛选系统、员工绩效分析工具和面向客户的自动化决策系统,合规压力可能完全不同。
先看关键时间表
下表不能替代法律意见,但可以帮助企业安排内部排期和资源。
| 时间 | 开始适用或重点关注的内容 | 企业应怎么做 |
|---|---|---|
| 2025年2月起 | 被禁止的AI实践 | 先排查现有和计划中的AI场景是否落入禁止类别。这一阶段优先处理被认为危害较高的AI实践。[ |
| 2025年8月起 | 通用人工智能模型(General-Purpose AI,简称GPAI)相关义务 | 如果企业提供GPAI模型,需要尽快确认自身义务。有资料还指出,未在2025年8月前发布的GPAI产品,自2025年8月起必须遵守新规。[ |
| 2026年8月2日起 | 多数高风险AI义务 | 对于《欧盟人工智能法案》附件III列明的高风险AI系统,完整合规框架自2026年8月2日起适用;这也是许多企业需要重点盯住的时间点。[ |
| 2027/2028年,取决于产品监管制度 | 嵌入受监管产品中的部分高风险AI | 对于嵌入已受欧盟产品安全法规监管产品中的高风险AI系统,资料显示过渡期可能延长至2027年和2028年,具体取决于适用的产品制度。[ |
核心判断:用途、角色、风险
1. 先看用途,不要只看工具名
同一个AI工具,放在不同流程里,风险可能不同。一个用于整理会议纪要的内部助手,与一个用于筛选求职者、评估员工表现或影响个人权益的系统,不能按同一套直觉判断。
企业应优先梳理AI是否用于评价个人、影响获得机会或服务、参与安全相关流程,或只是支持性内部工作。资料提到,生物识别、关键基础设施、教育、就业和公共服务等领域,往往更容易出现高风险AI相关问题。[3]
2. 再看企业角色:你是使用者、提供者,还是模型提供者?
企业在不同场景中的身份可能不同。采购第三方AI工具时,你通常更接近部署者或使用者;如果把带有AI功能的产品投放市场,则可能涉及AI系统提供者义务;如果开发或提供通用人工智能模型,还要额外考虑GPAI模型提供者的要求。[2][
5][
8]
这一步很关键,因为义务不仅取决于系统风险,也取决于企业是在提供AI、部署AI,还是作为模型提供者参与其中。[2][
5][
8]
3. 最后做风险初筛
企业可以先用四个问题做初步分流:
- 是否可能被禁止? 如果某个用例落入禁止类别,这不是以后再处理的合规事项,而是已经需要高度关注的问题。[
2][
5]
- 是否涉及GPAI? 企业是在提供自己的通用模型,还是只是在某个具体应用中使用第三方模型?[
3][
5]
- 是否可能属于高风险AI? 该AI是否位于敏感领域,或会影响关于个人的决策?[
1][
3]
- 是否嵌入受监管产品? 如果AI是某类已受欧盟产品安全法规监管产品的一部分,可能适用不同的过渡安排。[
1]
企业现在应当搭建什么
建立一份AI清单
最务实的第一步,是把企业正在使用和计划使用的AI都盘出来。不要只记录大型AI项目,也要纳入内部助手、采购的SaaS功能、自动化流程、产品中的AI功能以及调用的模型。
一份可用的AI清单至少应包括:
- 工具或系统名称
- 使用目的和所属业务部门
- 内部部署还是外部采购
- 使用的数据类型
- 可能受影响的个人或群体
- 对决策的影响程度
- 供应商、内部负责人和相关团队
- 对禁止风险、GPAI关联、高风险关联或较低风险的初步判断
这份清单是后续逐项判断角色和风险类别的基础。[2][
3][
5]
优先处理敏感场景
不是每个AI应用都需要同等强度的审查。更应提前处理的,是那些评价个人、影响机会或服务获取,或用于敏感领域的系统。资料列举的敏感领域包括生物识别、关键基础设施、教育、就业和公共服务。[3]
在企业实践中,招聘工具、候选人预筛选、绩效评估、安全相关应用,以及会辅助或影响个人决策的系统,都值得更早进入合规评估。不过,某个具体场景是否真的属于高风险,仍取决于实际工作流、系统功能和企业角色。[1][
3]
提前准备治理和文档
对于高风险AI系统,资料提到的要求包括风险管理、技术文档和合格评定等;具体哪些任务落在你的企业身上,要看企业角色和系统类型。[8] 对附件III列明的高风险AI系统,完整合规框架自2026年8月2日起适用。[
1]
企业可以先做这些准备:
- 明确业务、IT、数据保护、法务和合规部门的责任人
- 为新AI工具设立采购和上线审批流程
- 向供应商索取技术文档、风险说明、更新机制和合同承诺
- 记录系统目的、数据来源、风险、人工监督方式和后续变更
- 对边界不清的场景尽早进行法律评估
不要低估AI素养要求
AI素养并不只与高风险系统有关。资料将AI素养要求描述为适用于提供者和部署者的广泛义务,不论AI系统风险等级如何;即便只使用最低风险AI系统的组织,也需要关注AI素养要求,并避免参与被禁止的实践。[2]
落到日常管理上,这意味着:选择、配置或使用AI的员工,至少应了解系统边界、常见错误、适用场景,以及什么时候必须由人进行复核。
三个常见企业场景
场景一:只在内部使用AI助手
关键仍然是用途。单纯用于内部写作、摘要、翻译或资料整理,与用于招聘、绩效评价、权益分配或其他敏感流程,风险判断并不相同。即使风险较低,这类工具也应进入AI清单;同时,AI素养和清晰的使用规则仍然重要。[2]
场景二:做一个带AI功能的SaaS产品
这时要判断企业是否属于AI系统提供者,以及该功能是否可能进入高风险场景。如果涉及高风险AI,2026年起尤其需要关注风险管理、技术文档和合格评定等要求。[1][
8]
场景三:把AI用于招聘、评分或客服
招聘和其他就业相关场景应尽早审查,因为就业被资料列为可能涉及高风险问题的领域之一。[3] 至于评分或客服,关键在于AI只是提供辅助,还是会准备、影响或自动作出关于个人的决定。没有清楚的工作流描述,很难负责任地下结论。
下一步行动清单
- 盘点AI应用: 记录所有工具、模型、产品功能和自动化流程。
- 给用例做初筛: 先排除禁止实践,再判断是否涉及GPAI和潜在高风险场景。[
2][
3][
5]
- 确定企业角色: 对每个应用明确企业是部署者、AI系统提供者,还是GPAI模型提供者。[
2][
5][
8]
- 优先审查敏感领域: 尽早评估人力资源、生物识别、关键基础设施、教育、公共服务,以及其他接近个人决策的流程。[
3]
- 检查供应商: 对采购的AI,确认供应商能提供哪些文档、风险信息、更新记录和合同承诺。
- 建立治理机制: 明确责任、审批、培训、文档和变更管理。
- 为高风险场景倒排时间: 如果可能涉及附件III高风险AI系统,应把2026年8月2日作为关键准备节点。[
1]
结论
对企业而言,《欧盟人工智能法案》的关键问题不是“还能不能用AI”,而是“这个AI用在什么场景、企业承担什么角色、对应哪一个风险层级和时间节点”。
如果只是少量内部辅助工具,合规工作量可能相对可控;但AI清单、使用规则和AI素养仍然值得尽快建立,并且部分要求本身就具有广泛适用性。[2] 如果企业在敏感领域使用AI、对外提供AI产品,或参与GPAI模型提供,就不应等到2026年才开始准备。[
1][
3][
5]
