提前把欧盟 AI 法案准备好

全球第一部完整的 AI 法律正在分批生效,欧盟客户已经开始在安全审查里问到它。早分级、早准备,主动权在你手里。

Kaamel 给你上线的每个 AI 系统做风险分级、梳理义务、写技术文档、备战合格评定,并与你手上的 SOC 2、ISO、GDPR 项目统筹推进,不做重复工作。

AICPA SOCDrataVanta

AI 治理专家 · 近 100 家出海企业选择 Kaamel

4 级
风险分级,义务全由等级决定,所以先分级
2026–27
高风险义务落地的时间,欧盟客户现在就在问
7%
全球营业额,最严重违规的罚款上限

欧盟 AI 法案是什么?

欧盟 AI 法案是全球第一部全面监管 AI 的法律,逻辑很简单:用途风险越高,义务越重。少数做法直接禁止;高风险系统面临严格要求;多数日常 AI 只需尽透明义务。和 GDPR 一样,它的效力不限于欧洲:只要你的 AI 输出在欧盟被使用,无论你在哪,都在适用范围内。

四个风险等级

不可接受(禁止)、高、有限、最小。你的全部义务,都由每个系统落在哪一级决定。

高风险的义务最重

招聘、信贷、医疗、生物识别、关键基础设施里的 AI,面临风险管理、技术文档、人工监督和合格评定。

通用 AI 单独成章

模型提供者有透明度和文档义务;构成系统性风险的模型,要求更高。

已经在分批生效

禁令最先落地,通用 AI 义务在 2025 年生效,大部分高风险义务在 2026 至 2027 年生效。时间表已经启动。

四个风险等级:你的 AI 在哪一级?

等级示例对你意味着什么
不可接受风险社会评分、操纵或利用性技术直接禁止,不得投放欧盟市场
高风险招聘、信贷、医疗、生物识别、关键基础设施重头义务:风险管理、技术文档、合格评定
有限风险聊天机器人、深度伪造、情绪识别透明义务:必须让人知道在和 AI 打交道
最小风险垃圾过滤、推荐系统、多数日常工具无新增义务,但要能说明为什么属于这一级

为什么要现在准备

义务按时间表分批生效,欧盟客户已经开始提问。早准备的成本,远低于晚准备。

买家已经先动了

欧盟企业的安全审查里已经出现 AI 法案相关问题。今天就答得上来,本身就是差异化。

分级决定路线图

如果到 2026 年才发现自己属于高风险,时间会非常紧张;现在弄清楚,一切都来得及安排。

基础模型也在内

自研或微调通用模型都会带来相应义务,最好在客户或监管问到之前就梳理清楚。

Kaamel 怎么帮你准备

法案很新,市面上的建议大多停留在理论层面。我们把它变成一张具体的工作清单。

  1. 01

    给每个系统分级

    清点你的 AI,把每个系统放进对应的风险等级。后续的全部工作都取决于这一步。

  2. 02

    义务对差距

    风险管理、数据治理、透明度、人工监督、日志留存,逐项列清哪些适用于你、目前还缺什么。

  3. 03

    写好技术档案

    构建法案要求的技术文档、使用说明和记录,并与 ISO、GDPR 的工作对齐,同一份材料不写第二遍。

  4. 04

    备战合格评定

    高风险系统:合格评定准备、CE 标识,以及法案要求的投放市场后监测。

想知道按你的情况,需要多久、花多少?

为什么选择 Kaamel

AI 合规介于工程和法律之间,这正好是我们每天工作的位置。

我们每天都在服务 AI 公司

SOC 2、HIPAA、GDPR,我们长期为 AI 初创公司交付这些项目,既懂模型管道,也懂法规条文。

具体,不空谈

把法案翻译成贴合你系统真实工作方式的技术控制,让文档描述的就是实际情况。

双团队全程辅导,没有时差

硅谷、亚洲两地团队衔接,在进入欧盟市场之前就把义务摸清,沟通不受时差和语言拖累。

与 ISO 42001、GDPR 叠加

法案期望的治理与两者高度重叠。我们并成一个项目建,不是三个。

AI 公司的信赖之选

3 个月拿下 SOC 2

一家 AI 基础设施公司 3 个月拿下 SOC 2、审计准备缩短 30%,同时搭建起 AI 法案所要求的治理基础。

某 AI 基础设施公司

6 个月三个框架

为一家 AI 大模型初创同时交付 SOC 2、GDPR、HIPAA,这正是 AI 法案所依托的治理基础。

某快速成长的 AI 大模型初创公司

当天回复深度抽查

一家 AI Agent 初创现在能当天答复合规深度抽查。AI 法案要求的正是这种文档能力。

某 AI Agent 初创公司

服务包含

  • 每个 AI 系统的清点与风险分级
  • 义务梳理与差距分析
  • AI 风险管理与数据治理
  • 透明度与人工监督控制
  • 技术档案:文档与日志留存
  • 高风险系统的合格评定准备
  • 与 ISO 27001、ISO 42001 及 GDPR 对齐
  • 随义务分批生效的持续跟进

欧盟 AI 法案常见问题

欧盟 AI 法案什么时候生效?

法案已于 2024 年生效,分阶段适用:禁令最先,通用 AI 义务在 2025 年生效,大部分高风险义务在 2026 至 2027 年生效。实际的时间压力比法定日期更早,欧盟客户现在就在问。

欧盟以外的公司也受约束吗?

受。只要你的 AI 系统输出在欧盟被使用,无论注册在哪都在适用范围内,与 GDPR 的域外逻辑相同。所以风险分级应该排进每一份出海路线图。

怎么判断我的 AI 是不是高风险?

法案列出了高风险类别,包括招聘、信贷、生物识别、医疗、关键基础设施等。把系统放对位置是第一步、也是影响最大的一步,这项评估由我们来做。

AI 法案和 ISO 42001、GDPR 什么关系?

三者高度重叠。ISO/IEC 42001 加上一套扎实的 GDPR 项目,就能覆盖法案所要求的大部分治理内容。我们并成一个项目建,不重复劳动。

我们是出海的 AI 初创,为什么现在就要动?

因为义务按固定时间表到来,而欧盟客户已经在问了。早准备成本低,还能在对手观望时先给出答案。

在为全球市场做 AI?

预约一次免费评估,我们帮你给系统分级,理清哪些义务适用、什么时候生效、现在该做什么。