撰文、编辑 / Kaamel Labs
2026年3月13日,欧盟委员会正式通过《数字综合法案》(Digital Omnibus on AI)关于简化人工智能协调规则实施的谈判授权。该提案在维持AI Act(Regulation (EU) 2024/1689)技术安全与基本权利保护水平前提下,重点减轻中小企业及中等市值企业的合规负担。
延迟高风险AI系统合规期限
受高风险AI相关标准、通用规范及替代指南发布延迟影响,本次提案对AI Act第113条规定的适用日期作出调整:
- 依据第6(2)条及附件III被归类为高风险的AI系统(如教育、就业、公共服务等领域),适用日期延至2027年12月2日;
- 依据第6(1)条及附件I被归类为高风险的AI系统(如作为产品安全组件),适用日期延至2028年8月2日。
此外,对2026年8月2日前已上市的生成式AI系统,其合成内容标记义务宽限期延长6个月,截止至2027年2月2日。
新增敏感个人数据处理例外条款
原则上禁止AI系统处理敏感个人数据,但若确属严格必要——即用于识别并纠正可能导致歧视或实质性风险的偏见,且满足全部法定保障措施,则允许例外处理。
高风险AI系统提供者须同时满足以下六项条件:
- 无法通过合成数据、匿名化数据等替代方式有效实现偏见检测与纠正;
- 对数据重用实施技术限制,并采用最先进的安全与隐私保护措施;
- 实施严格的访问控制与完整文档记录,仅授权且负有保密义务人员可访问;
- 相关敏感数据不得传输、转移或被第三方访问;
- 偏见纠正完成或达到法定留存期限(以先到为准)后,须立即删除;
- 在《处理活动记录》(RoPA)中详述处理的严格必要性,并说明无法使用替代数据的理由。
符合条件的普通AI系统及部署者,亦可参照执行。
新增两项绝对禁止情形
为强化人格尊严与儿童保护,修订案在AI Act第5条新增两类禁止行为:
- 禁止生成亲密图像:不得投放或使用具备生成、篡改、复制可识别自然人私密部位或性行为素材能力的AI系统,除非获得当事人自由、明确、具体的同意;
- 禁止生成儿童性虐待内容:不得投放或使用具备生成、篡改、复制儿童色情内容能力的AI系统,执法调查等法定豁免情形除外。
“具备生成能力”包括两种情形:
- 生成上述内容是系统设计目的;
- 虽非设计目的,但因训练数据、模型架构或功能缺陷,导致此类内容成为合理可预见、可重现的结果,且开发者未采取提示词过滤、拒绝训练等有效防护措施。
豁免适用于:纯艺术性、讽刺性表达;非真实人物图像;不涉及可识别自然人、不露出私密部位的半裸体图像。需注意的是,即便需特定提示词工程或多次尝试方可生成,只要无需重大技术修改,仍属违禁范畴。
政策背景与后续进展
本提案系落实2024年11月《布达佩斯宣言》“监管简化革命”的关键举措,旨在为中小企业构建清晰、简洁、智能的监管框架,大幅降低行政、报告与合规成本。
自2025年2月起,欧盟委员会已陆续提出十项“综合方案”(Omnibus),覆盖可持续发展、投资、农业、中型股、数字化、国防、化学品、环境、汽车及食品饲料安全等领域。其中,2025年11月19日提交的第七份综合方案聚焦数字化议题,包含两项提案:一为简化整体数字立法框架,二即本次《AI Act实施简化提案》。
授权通过后,欧盟轮值主席国将启动与欧洲议会的正式谈判。
Kaamel 的应对
Kaamel 始终立足隐私合规前沿,主张以技术驱动方式识别与化解企业出海过程中的隐私风险。
依托主流法规与监管判例,Kaamel AI 检测引擎可高效、全面识别企业AI系统潜在的隐私合规风险;配套提供覆盖评估、整改、监测的全方位隐私合规解决方案,助力企业在全球化运营中夯实用户信任,稳健应对监管挑战。