2026 年 6 月 14 日AI Reading Notes & Industry Insights
AI 安全與治理

歐盟 AI Act 全解析|全球最嚴人工智慧法為何自己踩剎車?

歐盟 AI Act 是全球首部全面性 AI 監管法規,罰則最高達營收 7%。但 27 國僅 8 國設好執法機關,還提案延後高風險義務。

歐盟 AI Act 全解析|全球最嚴人工智慧法為何自己踩剎車?

封面圖

監管者自己也遲到了

2026 年 2 月,歐盟委員會錯過了一個自己設定的截止日。

根據歐盟人工智慧法(Regulation (EU) 2024/1689,通稱 AI Act)的立法時程,歐委會應該在 2026 年 2 月 2 日之前發布高風險 AI 系統的合規指引,讓企業有明確的規則可循,為同年 8 月 2 日的合規大限做準備。但 2 月過去了,指引沒有出來。更尷尬的是,根據歐洲議會 2026 年 3 月的執法現況報告,27 個成員國中只有 8 個設立了 AI Act 的執法聯絡點,約 14 個國家連主管機關都還沒指定。換句話說,法規已經部分生效了,但很多國家根本沒有人負責執行。

與此同時,歐盟自己提出了一份名為「Digital Omnibus」的簡化方案,核心內容是:把企業最頭痛的高風險 AI 合規義務,往後延最多 16 個月。歐委會錯過了自己的截止日,同時又提案延後企業的截止日。全球最嚴的 AI 法,在全面適用之前就開始踩剎車。這不是失敗,但這是一個信號:立法的雄心和執行的現實之間,出現了一道不小的裂縫。

從 GDPR 到 AI Act:布魯塞爾的治理野心

要理解這道裂縫,得先回到歐盟為什麼要立這部法。

2021 年 4 月,歐盟委員會提出了全球第一份全面性的 AI 監管立法草案。那個時間點,ChatGPT 還沒有問世,生成式 AI 還不是餐桌上的話題。歐盟的出發點不是回應 AI 熱潮,而是延續它在數位監管領域一貫的哲學:不等到問題爆發再修法,先把規則建好。GDPR(一般資料保護規則)在 2018 年生效後,成為全球隱私法規的事實標準,從日本到巴西,超過 130 個國家的資料保護法或多或少受到 GDPR 影響。這種「布魯塞爾效應」(Brussels Effect),讓歐盟在制定全球數位規則上嚐到了甜頭。AI Act 是同一套劇本的下一集。

2024 年 6 月,歷經三年談判,AI Act 正式通過,8 月 1 日生效。它的野心很明確:建立一套以風險等級為基礎的 AI 監管框架,從「禁止」到「最小風險」分成四級,管到的不只是歐洲企業,而是所有在歐盟市場提供 AI 系統或服務的公司。這跟本系列第 1 篇分析的美國路線形成鮮明對比。川普政府在同一時期大力推動去監管,撤銷拜登時代的 AI 行政命令,主張由市場和企業自律。大西洋兩岸,一邊在建圍欄,一邊在拆圍欄。

但建圍欄容易,讓 27 個國家同時把圍欄架好,是另一回事。

四階段生效:一部法律,四道關卡

AI Act 不是一次到位的。它採取分階段生效的設計,給企業和成員國逐步適應的時間。但正是這個分階段的設計,讓執行的難度在每一個階段遞增。以下是原始時程與 Digital Omnibus 延後方案的對照:

階段 原始生效日 核心義務 Omnibus 延後方案
第一階段 2025/2/2 禁止行為 + AI 素養義務 AI 素養從強制改為鼓勵性
第二階段 2025/8/2 通用型 AI(GPAI)模型義務 不變
第三階段 2026/8/2 高風險 AI 系統義務 附件三:延至 2027/12/2;附件一產品:延至 2028/8/2
第四階段 2027/8/2 全面適用(含嵌入式 AI 系統) 配合第三階段延後調整

第一階段已經在 2025 年 2 月 2 日生效,禁止了一系列被歐盟認定為「不可接受風險」的 AI 應用。這些禁止事項不是抽象的法律條文,每一條背後都有具體場景。社會評分系統被禁,意味著你不能用 AI 根據一個人的社交行為、消費記錄來評等他的「公民可信度」,然後據此限制他的就業或金融服務。簡單說,中國式的社會信用系統在歐盟是違法的。無差別人臉擷取被禁,意味著 Clearview AI 那種從社群媒體大規模爬取人臉照片來建立辨識資料庫的做法,在歐盟是違法的。職場和教育場所的情緒辨識被禁,意味著你不能在辦公室裝一台 AI 攝影機,然後根據員工的表情來評估他們的工作態度。

第二階段在 2025 年 8 月 2 日生效,針對的是通用型 AI(GPAI)模型。這一層管的是 OpenAI、Google、Anthropic、Meta 這些打造基礎模型的公司。所有 GPAI 提供者都必須公開訓練資料摘要、遵守版權合規政策。而如果你的模型訓練運算量超過 10^25 FLOPs(這個門檻大致對應 GPT-4 等級的模型),就會被推定具有「系統性風險」,需要在兩週內向 EU AI Office 通報,並接受更嚴格的安全評估。負責 GPAI 監管的中央機構是 EU AI Office,2024 年初設立於歐盟的 DG CONNECT(通訊網路暨科技總署)。AI Office 已經開始動作,2026 年 3 月 5 日發布了第二版 AI 生成內容透明度行為準則草案,回饋期至 3 月 30 日,預計 6 月定稿。

第三階段是真正的硬仗。2026 年 8 月 2 日起,所有被歸類為「高風險」的 AI 系統必須符合嚴格的合規要求,包括風險管理系統、資料治理、技術文件、人為監督機制等。高風險的範圍涵蓋:用 AI 篩選履歷或做招聘決策、用 AI 輔助醫療診斷、用 AI 進行執法和司法預測、用 AI 管理關鍵基礎設施的安全。罰則也在這個階段全面到位:違反高風險義務,最高可罰 1,500 萬歐元或全球營收 3%;違反禁止行為,最高可罰 3,500 萬歐元或全球營收 7%。以 Meta 2025 年約 1,650 億美元的營收為例,7% 就是超過 115 億美元。這不是象徵性的罰款。

但問題就出在這裡。距離 8 月 2 日只剩不到五個月,歐委會的高風險指引還沒發布,多數成員國的執法機關還沒就位。企業在一個沒有明確指引、沒有執法機關的環境下,要怎麼合規?

Digital Omnibus:踩剎車的三個訊號

歐盟的答案是 Digital Omnibus。

2025 年 11 月 19 日,歐盟委員會提出了這份被業界稱為「簡化法案」的提案,正式名稱是數位綜合簡化規則(Digital Omnibus Simplification Package)。它不是要廢掉 AI Act,而是要調整節奏。根據 OneTrust 的分析SGS 的報告,Omnibus 傳達了三個明確的訊號。

第一個訊號是時間。附件三所列的高風險 AI 系統(包括執法、教育、就業等獨立運作的 AI),原本 2026 年 8 月 2 日就要合規,Omnibus 提議延至 2027 年 12 月 2 日。附件一所列的高風險產品(如嵌入 AI 的醫療器材或機械設備),延至 2028 年 8 月 2 日。但這不是無限期延後。提案設計了一個「條件觸發機制」:當歐盟的協調標準(harmonised standards)和合規工具就緒後,義務就啟動,上述日期是不可突破的硬性截止日。換句話說,這是一種「準備好了就開始,但最晚不能超過這個日期」的彈性安排。

第二個訊號是力道。AI 素養義務(原本要求所有部署 AI 系統的組織確保員工具備足夠的 AI 素養)從強制性要求降級為鼓勵性建議。這聽起來像是小事,但對中小企業來說,培訓全體員工的合規成本不低,降級代表直接減壓。歐委會估計,整套 Omnibus 方案可以為企業節省約 50 億歐元的合規成本。

第三個訊號是節奏。2026 年 3 月 13 日,歐盟理事會達成了對 Omnibus 的談判立場,這是立法三方協商(trialogue)的前提。但歐洲議會這邊,IMCO-LIBE 聯合委員會已指派瑞典的 Arba Kokalari(EPP)和愛爾蘭的 Michael McNamara(Renew Europe)為報告人。議會的版本跟理事會有一個關鍵分歧:議會要把截止日寫死(2027 年 12 月 2 日和 2028 年 8 月 2 日),理事會和歐委會則偏好條件觸發加硬性截止日的彈性機制。三方協商預計在 2026 年秋季展開,但如果政治協議未能在 8 月 2 日之前達成,原始期限照舊,企業面對的就是一個沒有指引、沒有延後的合規大限。

誰贏誰輸:新創的喘息、巨頭的麻煩、成員國的窘境

Omnibus 不是憑空出現的,它是歐洲 AI 產業持續遊說的結果。

對歐洲 AI 新創來說,AI Act 的合規成本是生存問題。一家 50 人的 AI 公司,要建立風險管理系統、撰寫技術文件、實施資料治理、安排人為監督機制。這套流程可能需要額外雇用合規專員、聘請外部法律顧問,成本輕易就佔到營收的兩位數百分比。歐洲 AI 新創圈的普遍抱怨是,AI Act 是為規範 Google 和 Meta 設計的,但最先被壓垮的會是新創。法國總統馬克宏(Emmanuel Macron)多次公開呼籲放鬆 AI 監管以提升歐洲競爭力。Omnibus 的延後方案和 50 億歐元的減負承諾,就是回應這些聲音的產物。

但大型科技公司也沒有輕鬆到哪裡去。2026 年 2 月 9 日,歐盟委員會通知 Meta,可能對其實施臨時措施,要求恢復第三方 AI 助手在 WhatsApp 上的存取權。這裡需要精確說明:這是一起反壟斷調查,由歐委會的競爭總署(DG COMP)主導,依據的是歐盟反壟斷法(條約第 101/102 條),而不是 AI Act。Meta 在 2026 年 1 月更新了 WhatsApp 的服務條款,讓 Meta AI 成為平台上唯一的 AI 助手,排擠了其他 AI 服務提供者。歐委會的初步判斷是,Meta 的做法可能構成濫用市場支配地位。這不是 AI Act 的執法案例,但它說明了一件事:歐盟對 AI 生態系的監管不只有一套工具,反壟斷法、數位市場法(DMA)、AI Act 可以同時開火。

最尷尬的或許是成員國自己。27 國只有 8 個設好執法聯絡點,這個數字暴露了一個結構性問題:歐盟層級立法的速度,遠快於各國建立執法能力的速度。但真正讓人傻眼的是,截至 2026 年 3 月,根據歐洲議會的執法報告,尚無任何企業因違反 AI Act 的禁止行為被正式處罰。禁令在 2025 年 2 月就生效了,但一年過去,零罰款。這不代表沒有違規行為。更可能的解釋是,沒有足夠的執法人員去查。

另一個不能忽略的背景是,歐盟推 AI 監管的同時,跨大西洋的貿易關係也在緊繃。2025 年美國對歐盟祭出 20% 通用關稅加 25% 汽車關稅,雖然夏天談成了 15% 的臨時協議,但貿易緊張沒有真正消退。關稅和 AI Act 之間沒有直接的法律關聯,但兩者共同塑造了一種政治氛圍:歐盟不能同時在貿易和監管兩條戰線上嚇跑企業。Omnibus 的踩剎車,多少也反映了這層壓力。

台灣的座標:硬體供應鏈會被管到嗎?

對台灣的科技業來說,AI Act 的關鍵問題是:我們做的東西,算不算被管到?

答案沒有表面上那麼簡單。AI Act 規範的是「AI 系統」的提供者和部署者,不是晶片製造商或零組件供應商。台積電代工的 AI 晶片本身不是 AI 系統,鴻海組裝的 AI 伺服器本身也不是。從法律文字來看,純硬體供應鏈不在 AI Act 的直接管轄範圍內。但這裡有一個「但是」:附件一列出的高風險 AI 涵蓋了嵌入特定產品的 AI 系統,包括醫療器材、機械設備、交通工具等。如果廣達代工的 AI 伺服器被整合進一套醫療診斷系統,而那套系統要在歐盟市場銷售,那麼整條供應鏈上的合規要求就會從終端產品往上游傳導。這種「合規壓力的傳導效應」,跟 GDPR 時代完全一樣:即使你不在歐盟,但你的客戶在歐盟,你就得跟著合規。

對台灣的 AI 新創來說,門檻更直接。如果你開發的 AI 產品要進歐盟市場,不管你的公司在台北還是新竹,都必須符合 AI Act 的要求。高風險 AI 的合規流程(風險管理、資料治理、技術文件、人為監督)對一家 20 人的台灣 AI 新創來說,是一筆可觀的成本。Omnibus 的延後方案提供了喘息空間,但也帶來了不確定性:你到底該按照原始時程準備,還是等延後確定了再說?考慮到三方協商可能拖到秋季,而政治協議未達成就回到原始時程,穩健的策略大概只有一個:按照最嚴的時程準備,把延後當作紅利。

拉遠來看,歐盟 AI Act 與台灣 2026 年 1 月 14 日公布施行的 AI 基本法,走的是兩條很不一樣的路。歐盟選擇的是「先定規則再調整」,先立一部鉅細靡遺的法規,發現太嚴再用 Omnibus 放鬆。台灣選擇的是「先立框架再填充」,AI 基本法是原則性的宣示,具體的管制細則留給後續的子法和各部會自行制定。哪條路更好?現在說還太早。但歐盟的經驗至少提供了一個教訓:立法容易,執法難;規則寫得再漂亮,27 個國家有 19 個連主管機關都沒設好,法規就只是紙上的文字。台灣在填充 AI 基本法的細則時,執法能量的配置,恐怕比規則本身更值得關注。我們會在本系列後續的台灣篇中,深入分析 AI 基本法的架構和挑戰。

2026 年 8 月 2 日,然後呢?

歐盟 AI Act 的故事還在半途。

最近的關鍵日期是 2026 年 8 月 2 日,高風險 AI 義務的原始生效日。如果 Omnibus 的三方協商在此之前達成政治協議,企業可以獲得最多 16 個月的緩衝。如果沒有,原始時程照舊。再往後看,秋季的三方協商將決定「條件觸發」和「固定截止日」兩條路線怎麼折衷。2027 年底到 2028 年中,延後的高風險義務將陸續到位。EU AI Office 的執法力道,加上成員國主管機關的建設進度,將決定 AI Act 到底是一部有牙齒的法律,還是一隻紙老虎。

歐盟的困境,其實是所有想認真監管 AI 的政府都會面對的:技術迭代的速度遠快於立法和執法的速度。AI Act 花了三年起草、一年談判,但從它通過到現在,AI 技術本身已經經歷了好幾輪的世代更替。法規追著技術跑,追到一半發現自己也需要喘口氣。這不是歐盟的失敗,但它是一個所有人都該記住的警示:在 AI 治理的賽道上,沒有人跑在前面。包括那個立法最快的選手。

參考資料