提前把欧盟 AI 法案准备好
全球第一部完整的 AI 法律正在分批生效,欧盟客户已经开始在安全审查里问到它。早分级、早准备,主动权在你手里。
Kaamel 给你上线的每个 AI 系统做风险分级、梳理义务、写技术文档、备战合格评定,并与你手上的 SOC 2、ISO、GDPR 项目统筹推进,不做重复工作。



AI 治理专家 · 近 100 家出海企业选择 Kaamel
欧盟 AI 法案是什么?
欧盟 AI 法案是全球第一部全面监管 AI 的法律,逻辑很简单:用途风险越高,义务越重。少数做法直接禁止;高风险系统面临严格要求;多数日常 AI 只需尽透明义务。和 GDPR 一样,它的效力不限于欧洲:只要你的 AI 输出在欧盟被使用,无论你在哪,都在适用范围内。
四个风险等级
不可接受(禁止)、高、有限、最小。你的全部义务,都由每个系统落在哪一级决定。
高风险的义务最重
招聘、信贷、医疗、生物识别、关键基础设施里的 AI,面临风险管理、技术文档、人工监督和合格评定。
通用 AI 单独成章
模型提供者有透明度和文档义务;构成系统性风险的模型,要求更高。
已经在分批生效
禁令最先落地,通用 AI 义务在 2025 年生效,大部分高风险义务在 2026 至 2027 年生效。时间表已经启动。
四个风险等级:你的 AI 在哪一级?
| 等级 | 示例 | 对你意味着什么 |
|---|---|---|
| 不可接受风险 | 社会评分、操纵或利用性技术 | 直接禁止,不得投放欧盟市场 |
| 高风险 | 招聘、信贷、医疗、生物识别、关键基础设施 | 重头义务:风险管理、技术文档、合格评定 |
| 有限风险 | 聊天机器人、深度伪造、情绪识别 | 透明义务:必须让人知道在和 AI 打交道 |
| 最小风险 | 垃圾过滤、推荐系统、多数日常工具 | 无新增义务,但要能说明为什么属于这一级 |
为什么要现在准备
义务按时间表分批生效,欧盟客户已经开始提问。早准备的成本,远低于晚准备。
买家已经先动了
欧盟企业的安全审查里已经出现 AI 法案相关问题。今天就答得上来,本身就是差异化。
分级决定路线图
如果到 2026 年才发现自己属于高风险,时间会非常紧张;现在弄清楚,一切都来得及安排。
基础模型也在内
自研或微调通用模型都会带来相应义务,最好在客户或监管问到之前就梳理清楚。
Kaamel 怎么帮你准备
法案很新,市面上的建议大多停留在理论层面。我们把它变成一张具体的工作清单。
- 01
给每个系统分级
清点你的 AI,把每个系统放进对应的风险等级。后续的全部工作都取决于这一步。
- 02
义务对差距
风险管理、数据治理、透明度、人工监督、日志留存,逐项列清哪些适用于你、目前还缺什么。
- 03
写好技术档案
构建法案要求的技术文档、使用说明和记录,并与 ISO、GDPR 的工作对齐,同一份材料不写第二遍。
- 04
备战合格评定
高风险系统:合格评定准备、CE 标识,以及法案要求的投放市场后监测。
为什么选择 Kaamel
AI 合规介于工程和法律之间,这正好是我们每天工作的位置。
我们每天都在服务 AI 公司
SOC 2、HIPAA、GDPR,我们长期为 AI 初创公司交付这些项目,既懂模型管道,也懂法规条文。
具体,不空谈
把法案翻译成贴合你系统真实工作方式的技术控制,让文档描述的就是实际情况。
双团队全程辅导,没有时差
硅谷、亚洲两地团队衔接,在进入欧盟市场之前就把义务摸清,沟通不受时差和语言拖累。
与 ISO 42001、GDPR 叠加
法案期望的治理与两者高度重叠。我们并成一个项目建,不是三个。
AI 公司的信赖之选
一家 AI 基础设施公司 3 个月拿下 SOC 2、审计准备缩短 30%,同时搭建起 AI 法案所要求的治理基础。
某 AI 基础设施公司
为一家 AI 大模型初创同时交付 SOC 2、GDPR、HIPAA,这正是 AI 法案所依托的治理基础。
某快速成长的 AI 大模型初创公司
一家 AI Agent 初创现在能当天答复合规深度抽查。AI 法案要求的正是这种文档能力。
某 AI Agent 初创公司
服务包含
- 每个 AI 系统的清点与风险分级
- 义务梳理与差距分析
- AI 风险管理与数据治理
- 透明度与人工监督控制
- 技术档案:文档与日志留存
- 高风险系统的合格评定准备
- 与 ISO 27001、ISO 42001 及 GDPR 对齐
- 随义务分批生效的持续跟进
欧盟 AI 法案常见问题
欧盟 AI 法案什么时候生效?
法案已于 2024 年生效,分阶段适用:禁令最先,通用 AI 义务在 2025 年生效,大部分高风险义务在 2026 至 2027 年生效。实际的时间压力比法定日期更早,欧盟客户现在就在问。
欧盟以外的公司也受约束吗?
受。只要你的 AI 系统输出在欧盟被使用,无论注册在哪都在适用范围内,与 GDPR 的域外逻辑相同。所以风险分级应该排进每一份出海路线图。
怎么判断我的 AI 是不是高风险?
法案列出了高风险类别,包括招聘、信贷、生物识别、医疗、关键基础设施等。把系统放对位置是第一步、也是影响最大的一步,这项评估由我们来做。
AI 法案和 ISO 42001、GDPR 什么关系?
三者高度重叠。ISO/IEC 42001 加上一套扎实的 GDPR 项目,就能覆盖法案所要求的大部分治理内容。我们并成一个项目建,不重复劳动。
我们是出海的 AI 初创,为什么现在就要动?
因为义务按固定时间表到来,而欧盟客户已经在问了。早准备成本低,还能在对手观望时先给出答案。

