欧盟AI法案实施指南与企业合规策略

2024年8月1日正式施行的《欧盟人工智能法案》（简称“《AI法案》”）构建了基础的监管原则、风险分类体系及“核心要求”（Essential Requirements）框架。详细的合规判断标准与技术执行细则，则通过协调标准、行为准则、次级立法（包括实施法案与授权法案）、强制模板及官方解释性文件等辅助规范进行细化。

截至2026年3月，部分官方指引和技术标准尚未如期发布。此外，欧盟委员会于2025年11月19日提出的《数字监管一揽子简化提案》（简称“Omnibus提案”）计划调整合规时间表和部分条款内容。这些因素给《AI法案》及其配套法规的落地带来了不确定性。

本文旨在厘清《AI法案》主要条款与配套法规之间的对应关系及法律逻辑，为理解欧盟AI监管体系和制定企业合规路径提供参考。（）

1. 配套法规体系与法律效力层级

由于《AI法案》仅设定了基本要求，具体操作层面的合规标准需依赖不同类型的配套法规来明确和落实。根据当前欧盟立法与监管结构，该配套法规体系可分为以下五个层次：

需要指出的是，若Omnibus提案最终通过，其法律性质不同于“次级立法”（即实施法案与授权法案），而是一项通过常规立法程序直接修订法案的“综合性修法”。然而，它对现有的次级立法体系具有直接影响。例如，《AI法案》第72条授权欧委会通过次级立法制定统一的《上市后监控计划》强制模板，而Omnibus提案则建议从母法中删除该授权。因此，该提案如获通过，不会作为新的次级立法加入现有体系，而是从根本上改变次级立法的适用范围与强制力边界。

2. 核心机制：合规推定原则与应用

《AI法案》与配套法规的运行关键在于“合规推定”（Presumption of Conformity）机制。作为欧盟立法中的法定认定机制，该原则意味着：

如果监管对象（如AI系统提供商或大模型开发者）遵守了配套法规中的“协调标准”或“行为准则”，监管机构将依法推定其已满足《AI法案》中相应的基本法律要求。

这为企业提供了法定的“安全港”，避免了逐项自证合规的复杂流程。相反，若企业未遵循相关标准，则在执法审查中将面临“举证责任倒置”，必须通过其他充分措施向监管机构证明其合法性，从而承担更高的法律风险和行政成本。

在配套法规体系中，不同类型文件的合规推定效力存在明显区别：

完全合规推定（协调标准）。由欧洲标准化组织发布的协调标准具有完整的合规推定效力。一旦企业遵循，监管机构即自动推定其完全符合法案要求，从而获得绝对的法定保护。

有条件合规推定（行为准则）。《行为准则》主要适用于通用人工智能（GPAI）及透明度等特定领域。企业需自愿签署并切实履行经官方认可的准则，方可针对特定条款获得相应的合规免责。在当前缺乏可操作替代方案的情况下，遵循此类准则是满足合规要求的主要实践路径。（有关此问题的讨论，见：Meta为何要硬刚《通用人工智能行为准则》？）

3. 欧盟市场出海企业的关键关注点

一是结合企业所处行业及业务实际，识别配套法规的效力层级与潜在作用。出海企业应重点区分不同配套文件的法律效力及其制定程序，因为这直接关系到法定约束力的强弱，并构成监管审查中程序性抗辩的重要法理基础。实践中，Meta与TikTok曾就欧委会依据《数字服务法》（DSA）作出的年度监管费用计费方法决定提起诉讼并胜诉，该案例表明，利用程序性手段挑战监管机构的法律工具选择，可能成为企业应对监管的重要策略。（见欧盟DSA下“月平均活跃接收者”（AMAR）的法律挑战与应对措施）

二是关注有关“中小型资本企业（SMCs）”合规减免政策的最新动态，判断是否能获得豁免资格。Omnibus提案在法案第3条中引入了“中小型资本企业”（Small Mid-Cap Enterprises, SMCs）的概念，界定为员工总数少于750人且年营业额低于1.5亿欧元或资产负债表低于1.29亿欧元的实体。提案拟将原专属于微型及中小型企业（SMEs）的合规减免措施（如简化的质量管理体系和技术文档评估标准）扩大适用至SMCs群体，出海企业应据此密切关注以降低合规实施成本。

三是以欧盟本土标准为主导构建质量管理体系。在欧盟市场，仅遵循国际标准ISO/IEC 42001不足以满足法定合规要求。欧盟官方已明确表态，直接采用ISO标准未能完全覆盖《AI法案》独有的本土化监管要求，特别是在基本权利影响评估的融合与特定高风险场景的纠偏机制上存在空白。因此，企业应以预计于2026年第四季度发布的欧盟本土标准prEN 18286《AI系统质量管理体系》为核心框架，将 ISO/IEC 42001 作为底层互补依据，并根据欧盟本土化要求进行差距评估与针对性补充。