歐盟AI法案“大倒退”，出海AI公司可以鬆口氣了？

當地時間11月19日，歐盟委員會提交了一份65頁的正式提案，計劃將AI法案的落地至少推遲一年。

這部被稱為里程碑式的全球首部AI法案，早從2024年8月起開始分批實施。本次修訂帶來最核心的變化是：醫療、汽車、教育等領域的高風險AI條款，將後延至最晚2028年8月生效。同時，誰來監管ChatGPT等通用大模型、能不能拿使用者資料訓練AI，也有明顯改變。

對全球治理格局來說，多年來，歐盟始終扮演最前沿的監管角色，現在這一風向標出現了搖擺。而對於有出海佈局的國內AI公司而言，這場修訂也將直接影響它們的合規節奏。

另外值得關注的是，AI法案只是歐盟「減法」目標之一。為了減少法律摩擦，同時穩住歐盟在美中夾擊下的競爭力，歐盟委員會近期發布了名為「Digital Omnibus」的一攬子數字法案簡化方案，通用資料保護條例、數字市場法、數字服務法等諸多重要法規都面臨精簡。

本次提案要落地，接下來還要面臨一場漫長談判，等待歐洲議會和歐盟理事會最終拍板。當下的支援聲和反抗聲都很激烈：大型科技公司和多國政府在施壓，而127 個民間組織公開反對，認為這場修訂削弱了“來之不易的數字基本權利”，甚至是“歐盟史上數字權利的最大倒退”。

1. 削到核心骨了嗎？

本次AI法案的修訂中，大多提案可以視為微調，要麼減掉實際義務、要麼減掉監管程序，目的都是為中小企業和邊緣AI場景降低合規負擔。真正重要的變化集中在兩點：推遲實施，集中監管。

首要變化是大幅延後高風險AI條款的時間表。原本的分水嶺是2026年8月，高風險條款應從此開始執行。修訂後，不再有固定日期，而是必須等到相關技術標準與配套工具成熟後再啟動，啟動後還會給予6至12個月緩衝期。

這一調整關係到兩類行業：

第一類是附件三，被認為有高社會風險的AI系統，主要面向政府執法部門、法院、教育、招募等公共場景。針對它們的條款最晚在2027年12月2日落。

第二類是附件一，也就是傳統的重監管產業，包括AI輔助診斷的醫療、自動駕駛的汽車、工業機器人的製造業。它們本身已處於歐盟既有產品安全監管下，因此實施AI法案的最晚期限可以一直推遲到2028年8月2日。

至於這些高風險AI具體要履行那些義務，現在還無法回答。按照AI法案，高風險AI需要確保可信賴性，包括風險管理、網路安全和資料品質等。但AI法案沒有寫出具體要求，需要依賴後續的協調標準來細化，而標準制定的工作明顯落後。

技術標準遲遲不見面貌，原因也很複雜。 「標準雖然由機構牽頭，但實際內容要靠企業成員貢獻，不是所有企業都在積極配合。同時機構內部、機構與委員會之間也存在想法分歧。所以現狀就是，有的標準嚴重延期，有的標準基本寫完但卡在投票程序。」同濟大學法學院助理教授、上海市人工智慧社會治理協同創新中心研究員朱悅在社交平台撰文解釋道。

在這種情況下，公司和監管雙方都缺乏依據，來判斷高風險義務到底怎麼履行。這是推遲需要解決的核心問題。

比起高風險條款，AI法案的另一部分已經先行落地。例如今年2月起，「不可接受風險」的AI系統（社會評分、犯罪預測）已被歐盟禁止；今年8月起，一般大模型（GPAI）如ChatGPT需遵循獨立規則，提供訓練資料摘要。

通用大模型是AI產業的主心骨，既有規定仍將照常執行。不過，本次修訂對監管制度做了一項關鍵調整，可能會明顯提升監管水位。

歐盟委員會提出，大部分基於一般大模型的AI系統，以及嵌入Google、Meta、TikTok等大型平台的AI系統，將交由歐盟設立的人工智慧辦公室集中監管。這樣做的背景是，各成員國在AI治理資源、人才儲備上差異巨大，歐盟的集中監管意味著更專業、更細緻，也會減少執法尺度不一致的問題。

還有一處可能影響全行業的調整，是對AI訓練資料的「鬆綁」。但不確定性不來自AI法案本身。

歐盟委員會為AI法案新增了一項條款：在防止大模型歧視和偏見時，可以允許高風險AI的提供者合法使用種族、性別、健康等敏感個人資料，前提是採取安全措施和用後即刪。這是開發者和合規從業者最關心的一條，“既要防歧視，又不讓大模型觸碰敏感數據顯然是不合理的，目前至少開通了一條合法通道。”

有爭議的是《一般資料保護條例》（GDPR) 的修訂。在新聞發布會上，歐盟委員會表示：“我們建議在GDPR 中明確規定，基於合法利益，公司可以處理與AI相關的個人資料，當然前提是他們完全遵守所有現有的數據保障措施。”

這意味著AI公司用使用者資料訓練大模型，或是在網路上公開抓取資料，都可能依據「合法利益」來實現。這顯然是比AI法案更寬泛、更有衝擊力的放行。

由此引出一個接下來值得關注的問題：歐盟將如何整合這套龐雜的法律體系。從2024年以來，AI法案、數字市場法、數字服務法等數十部數字法規在歐洲陸續落地，適用邊界疊加，企業面臨的重複義務與合規成本長期受到批評。而本次「一攬子簡化方案」的核心目的，就是在不改變立法目標的情況下，降低摩擦、減少重疊，並重新校準這些法規的銜接方式。

2. 未來可能有什麼變數？

儘管Digital Omnibus 被稱為“一攬子簡化方案”，但正式文字發布後，歐盟實際上拆成了“兩攬子”推進。

可以看到，歐盟委員會官網提案分為AI和綜合法案，前一份針對《AI法案》，後一份主要觸及《通用資料保護條例》。朱悅指出，簡化《通用資料保護條例》面臨的爭議更大，推進可能更慢。而AI法案的修改共識更為堅實，推進可能更加迅速，儘量爭取在2026年8月高風險條款的原定生效日期之前完成修改。修改的許多細節則是取決於歐委會、歐盟其他部門、各成員國和大型科技公司各方博弈。

在各方積極遊說下，今年夏天對延緩AI 法案的呼聲迅速擴大，目前歐洲產業界、監管機構與民間組織的態度分歧明顯。

大型科技公司是目前最積極的「暫停派」。例如Meta 今年就宣佈，自己不會簽署歐盟通用大模型行為準則（AI法案架構下的一項自願協議）。該協議給開發者帶來了“法律上的不確定性”，並且採取的措施“遠遠超出了AI法案的範圍”。

在11月的歐盟主權峰會上，歐盟人工智慧冠軍計劃聯盟（AI Champions Initiative；AICI）還發布了一項全新的「產業× AI」戰略合作項目，強調歐洲必須透過大規模產業合作，把AI 生產力鎖定在歐洲本土，形成自己的全球級AI 龍頭企業。

這項計畫涉及了18個產業，聯盟成員為110多家歐洲核心企業——空中巴士、漢莎航空、梅賽德斯-奔馳、Mistral AI、西門子等。美國公司Adobe和Meta也是生態成員。其中許多公司都曾簽署公開信，支援延後AI法案。

成員國政府同樣有拖延理由。目前德國和法國已經公開表態，支援AI法案延遲一年實施，而瑞典、波蘭、捷克和丹麥此前曾呼籲過暫停或給予寬限期。波蘭曾警告稱，擔憂當前的“緊迫時間表”，可能使歐洲初創企業遷往監管更寬鬆的地區。

除了歐盟內部，美國也是一個關鍵變數。合規從業者李汶龍撰文提到，歐盟數字立法簡化與地緣政治壓力有直接關係。川普政府重新掌權後，明確將歐盟AI法對美國科技企業的約束理解為“具有歧視性影響的監管”，並釋放了強硬信號，暗示美國將考慮採取貿易報復與關稅反制。美國大型科技企業也順勢施壓，要求歐盟提供更多的緩衝空間。

與「暫停派」相對的是民間組織的強烈反對。目前已有127 家非營利組織公開反對簡化，尤其針對《通用資料保護條例》的修改，認為觸及數字基本權利。

奧地利知名的隱私保護組織NOYB就批評稱，該提案“大幅降低了對歐洲人的保護”，並且“對美國大型科技公司來說是一份大禮，因為它為法律部門打開了許多可利用的漏洞”。甚至將其稱為“多年來對歐洲數字權利的最大攻擊”。

接下來，提案將進入歐盟理事會和歐洲議會的討論程序。在形成共同立場之前，估計還有一場漫長的談判。 （競爭秩序場）