Esc
输入关键词开始搜索
News

深度解读:EU AI Act 观望窗口正在关闭,为什么企业不能再把“等等 trilogue”当策略

深度解读:EU AI Act 观望窗口正在关闭,为什么企业不能再把“等等 trilogue”当策略

原文来源:Corporate Compliance Insights 解读日期:2026-04-09

一、这条消息的重要性,不在于法条新意,而在于时间表开始收紧

EU AI Act 过去最大的不确定性,不是大家不知道它重要,而是很多企业一直抱着“等最后文本定下来再说”的心态。Corporate Compliance Insights 这篇文章传递的核心信息是:

这种 wait-and-see 策略正在失效。

原因很简单,欧洲议会和理事会虽然还没完成最终 trilogue,但在关键时间节点上已经越来越接近固定日期方案。也就是说,合规不再是“等标准出来再启动”,而是开始变成必须倒排项目计划的现实工程。

二、文章里最关键的时间信号

1. 高风险 AI 系统可能走向固定应用日期

文章提到,议会和理事会都各自形成了更明确的方案:

  • 2027-12-02:高风险 standalone 系统
  • 2028-08-02:嵌入受监管产品中的 AI 系统

这两个节点的意义很大,因为它们把原来“等 harmonized standards 再说”的模糊状态,往固定时间点推进了一大步。

2. 但在最终文本正式通过前,原始 2026-08-02 仍然有效

这才是文章最值得警惕的一句。

作者明确强调:在 trilogue 没有正式完成、最终文本没有通过之前,原始的 2026 年 8 月 2 日法定节点仍然在法律上生效。

这意味着什么?

  • 政治层面上,延期看起来是大概率
  • 法律层面上,企业还不能把延期当成已确认事实
  • 如果谈判拖过节点,原始时限可能自动落下

换句话说,企业现在面对的是“双轨现实”:

  1. 可能会延后
  2. 但你不能按“肯定延后”来规划

三、为什么这会逼企业从“关注政策”转向“建设能力”

1. 合规时钟不再等标准

欧委会原先想把一些义务和 harmonized standards 发布节奏挂钩,从企业角度看,这意味着可以把很多事往后拖。但现在议会和理事会都更倾向固定日期,这就改变了企业的默认策略。

以前企业可以说:“标准还没完全出来,我现在不动也合理。”

未来更可能变成:“不管标准完整不完整,你都必须先把组织能力搭起来。”

2. AI 合规开始像产品交付项目,而不是法务旁线任务

一旦时间表固定,企业需要做的就不只是读法规,而是建立完整的执行链路:

  • 系统盘点与分类
  • 高风险识别
  • 文档和技术记录
  • 培训与 AI literacy
  • 事件与风险管理机制
  • 审批和责任分工

这已经不是“法务同学写一份 memo”能解决的问题,而是需要跨产品、技术、运营、合规和管理层的系统工程。

四、文章里还有三个不能忽视的变化

1. AI literacy 被重新钉回组织义务

文章指出,欧委会曾尝试把 AI literacy 的责任从组织转向成员国,更像一种政策目标而不是企业硬义务。但议会和理事会都不接受这个弱化版本。

结果就是:

AI literacy 仍然是企业自己的直接责任。

这意味着企业不能只说“我们用了 AI 工具”,而要能证明:

  • 员工接受过适当培训
  • 组织知道系统怎么工作
  • 组织理解风险来源
  • 组织知道如何识别和处置问题

这会直接影响后续审计和问责逻辑。

2. 生成式 AI 的禁止实践边界还在扩张

议会提出将所谓“nudifier”系统纳入禁止范围,也就是利用 AI 生成或篡改针对可识别个体的非自愿色情 / 私密图像。

这背后的信号很强:即便进入立法后期,禁止实践的边界仍在收紧,而不是放松。对做生成式 AI 的公司来说,这意味着风险审查不会越来越轻,只会越来越细。

3. AI Office 的监督角色会上升

文章还提到,EU AI Office 将在 GPAI,尤其是同一提供方同时掌握模型和系统的场景里承担更显著的监管角色。

这意味着未来通用模型公司不能只盯模型卡和公开声明,还得更认真对待:

  • 文档可追踪性
  • 风险控制过程
  • 水印 / 标识 / 输出治理
  • 模型与系统一体化责任

五、为什么说“简化监管”并没有真的让企业轻松多少

文章里有个很值得玩味的点。数字 omnibus 本来打着“降低数字监管叠加负担”的旗号推进,理论上是为了减轻企业压力。

但在 AI Act 上,现实效果更像是:

  • 程序上更清晰了
  • 义务上没有明显变轻
  • 企业灵活性反而减少了

尤其涉及基本权利、生成式风险、高风险系统这些核心领域,议会和理事会明显不愿意削弱约束。换句话说,欧洲这次不是在放水,而是在把不确定压力转成确定压力。

六、企业现在最该做什么

如果按文章逻辑,最理性的做法不是赌延期,而是按更早时点开工。

1. 先按 2026-08-02 做底线准备

因为这是当前唯一仍明确有效的法定节点。

2. 同时保留对 2027 / 2028 方案的适配弹性

也就是说,计划上不能只有一个版本,而要有两套节奏:

  • 法律底线版本
  • 可能延后的运营版本

3. 把 AI literacy、文档和治理架构尽快产品化

真正容易被低估的不是“模型性能”,而是这些组织能力项:

  • 角色化培训
  • 风险分级流程
  • 审批与责任矩阵
  • 技术文档留存
  • incident handling

未来监管看的一定不只是结果,还包括你是否能证明自己做了合理努力。

七、我的判断

这篇文章最大的价值,是把很多企业嘴里的“等等看”直接判了死缓。

EU AI Act 现在进入的不是“规则还没出来所以可观望”的阶段,而是“规则方向已经足够清楚,继续观望本身就是风险”的阶段。

如果让我给一句判断:

欧洲 AI 合规的核心矛盾,已经从“规则会不会来”,切换成“组织能不能在规则落地前长出执行能力”。

对 Lighthouse 来说,这意味着今后追踪 EU AI Act 不能只看政治谈判结果,更要看三个实操变量:

  • 最终固定日期怎么落
  • AI literacy 是否被进一步细化为可审计要求
  • GPAI 与生成式 AI 的监督职责如何具体化

因为对企业来说,真正昂贵的,从来不是读懂法规,而是来不及把组织改造成能合规运行的机器。

目录