歐盟延後高風險AI規範至2027年，同步新增非自願親密影像生成禁令

歐盟退讓了。這部作為全球首部綜合性AI監管框架的《AI法案》在正式生效不到兩年後，歐盟理事會與歐洲議會於5月7日達成臨時協議，對其要求最嚴格的合規義務進行延後、簡化與局部重構。布魯塞爾將這次調整定性為「精簡」工程，為在招募篩選、教育與生物辨識監控等高風險領域部署AI的企業爭取到更多合規時間。批評者則直言不諱，認為延後實質上是在AI能力發展最快的時期，讓影響最深遠的AI系統得以規避有效監管。

什麼改變了，何時改變

原版《AI法案》設立了分層合規時間表：通用人工智慧（GPAI）模型義務已於2025年8月生效；高風險系統規則——法規的核心，涵蓋可能影響就業機會、教育、信用和公共服務的AI應用——原定大多數業者須於2026年8月前達成合規。

5月7日的臨時協議將附件三（Annex III）系統的期限推遲至2027年12月2日，延後了16個月。附件三涵蓋招募篩選工具、教育平台、信用評分、生物辨識系統以及公共服務准入等應用——這些正是AI法案針對基本人權保護的核心場域。

附件一（Annex I）系統——嵌入醫療器材、玩具及工業機械等受監管實體產品中的AI——則獲得一年緩衝，從原定的2027年8月延至2028年8月。考量到將AI合規整合進既有產品認證體系的複雜性，此類系統本已享有較長的準備期。

協議還新創了一個監管類別：「中型市值企業」（small mid-cap enterprises），定義為高於現有中小企業門檻但低於大型企業認定標準的公司。落入此類別的企業相較大型組織享有按比例縮減的合規義務，此舉承認了AI法案對歐洲中型科技生態系的實際負擔。

什麼被加速了

這份協議並非全面寬鬆。原版法案對AI生成內容的透明度義務——要求系統揭露輸出內容為人工生成——設有六個月的緩衝期。臨時協議將其縮短至三個月，由此產生的新期限落在2026年12月2日。對在歐盟面向消費者部署生成式AI的企業而言，水印標記與揭露合規的截止日期不是更寬鬆，而是更緊了。

新增的禁止項目

這次修訂中意義最重大的新增內容，或許是明確禁止用於生成「非自願親密影像」（NCII）和「兒童性剝削素材」（CSAM）的AI系統。原版法案的禁止項目並未明確列舉這些使用情境；5月7日的協議將其明文化。鑑於2025年至2026年間深偽生成工具的迅速擴散，此次增訂反映了立法者對已被各成員國執法機構廣泛記錄的現實傷害的追趕式回應。

協議同時維持並在某些層面強化了以下禁令：公共場所即時遠端生物辨識、職場及教育場域情緒辨識，以及社會評分系統。

工業AI獲豁免

一個在立法報導中未獲充分關注的條款是：適用《機械法規》的工業應用AI獲得豁免，不受AI法案約束。工廠地板AI系統、機器人焊接、預測性維護工具及類似運營AI，若已受現有機械安全框架監管，即完全排除在AI法案範圍之外。這對與沒有類似監管負擔的中美對手競爭的歐洲工業製造商而言，是一項重要的鬆綁。

競爭力爭論

延後決定無法脫離更廣泛的歐洲AI競爭力辯論來理解。2025年12月，德拉吉報告（Draghi Report）明確點名AI法案的合規時間表是歐洲本土AI開發者相對美中競爭者的結構性劣勢。馮德萊恩（von der Leyen）領導的歐盟委員會持續承受來自法國、德國等成員國政府的壓力，要求避免加速AI人才與資本外流至美國的監管設計。

5月7日的協議部分是對這種壓力的回應——透過延後高風險AI時間表，讓歐洲本土AI生態系在承受完整合規成本之前有更多時間成熟。反駁意見——來自AlgorithmWatch、Access Now和歐洲數位權利倡議組織（EDRi）等公民自由組織——認為，獲得額外緩衝的系統恰恰是對基本人權直接風險最高的系統，而「精簡」不過是監管捕獲的委婉說法。

企業現在應該怎麼做

對合規團隊而言，務實的解讀需要細緻分析。延後屬臨時協議——需要兩個立法機構正式背書並採納方能具有約束力，預計這一程序將在未來幾週完成。企業在正式立法確認之前，不應視2027年12月的期限為確定事實。

更重要的是，延後不影響已生效的法規條款。GPAI模型義務現已適用於前沿AI開發者；包含新增NCII和CSAM禁令的禁止事項清單，將隨現有禁令時間表一併生效；透明度與水印義務對許多面向消費者的歐盟部署而言，2026年12月的期限已在眼前。

對那些原本按2026年8月期限備戰附件三系統合規的企業，臨時協議提供了更多選擇空間，但不是豁免許可。趁監管環境尚未高度擁擠、率先推進合規工程的企業，當2027年12月期限真正到來時——屆時監管機構將有18個月的執法經驗，且遠比今日少耐心——將處於更有利的地位。

《AI法案》並未消失。只是鬧鐘設得更晚了。