企業可以先用三條問題做框架:
以下時間表唔能夠取代法律意見,但可以幫企業安排盤點、供應商審查同內部治理工作。
唔好由工具品牌開始,而要由用途開始。某產品有 AI 功能,唔代表你已經知道相關義務。關鍵係該應用會唔會評估人、影響人取得機會或服務、控制安全相關流程,定只係支援內部一般工作。
同一間公司喺唔同 AI 應用入面,可以有唔同角色。買入一個 AI 工具自用時,你公司好多時主要係部署者或使用者。若果你將一個有 AI 功能嘅自家產品推出市場,提供者責任就可能相關。若果你開發或提供一般用途 AI 模型,仲會有 GPAI 模型提供者嘅特別問題。
最實際嘅第一步,係整一份完整 AI register,即 AI 應用登記冊。唔好只記大型策略項目;內部助理工具、買返嚟嘅 SaaS AI 功能、自動化流程、自家產品 feature、用緊嘅模型,都應該入冊。
一份有用嘅 AI register 至少應包括:
對高風險系統,來源提到嘅要求包括風險管理、技術文件同合規評估。至於邊啲任務實際落喺你公司身上,就要視乎你嘅角色同系統性質而定。 對 AI Act 附件 III 所列嘅高風險系統,完整合規框架由 2026 年 8 月 2 日起適用。
企業可以提早做幾件事:
AI literacy 唔只係高風險系統先要理。有來源將 AI literacy 描述為一項廣泛義務,適用於提供者同部署者,不論其 AI 系統風險水平;即使機構只使用最低風險 AI 系統,亦要注意 AI literacy 要求,並避免使用禁止做法。
換句話講,負責揀選、設定或使用 AI 嘅同事,應該知道系統限制、常見錯誤、何時要人手覆核,以及咩資料唔應該隨便輸入。
重點仍然係用途。純粹內部文字整理或資料搜尋支援,風險判斷通常會同 HR、評估、服務准入或其他敏感流程唔同。不過,呢類工具都應該放入 AI register;即使風險較低,AI literacy 同清晰使用規則仍然有實際需要,亦有來源指出相關要求可適用於低風險情況。
招聘同其他僱傭場景應該優先檢視,因為來源將僱傭列為可能受高風險審視嘅範疇之一。 至於評分或客戶支援,就要睇 AI 只係輔助員工,定係實際上準備、影響甚至自動化關於個人嘅決定。無完整工作流程描述,就唔應該草率作最終分類。
EU AI Act 對企業最關鍵嘅問題,唔係一句「可唔可以用 AI」就答得晒。真正要答嘅係:呢個具體 use case 係咩、你公司係咩角色、適用邊個風險分類同限期。