倒數 55 天：歐盟 AI 法案 8 月 2 日執法生效，科技公司究竟面對什麼

2026 年 8 月 2 日——距今僅剩 55 天——歐盟《人工智慧法》（AI Act）將進入全球科技公司自 2024 年法案正式通過後就一直緊盯、也讓不少公司感到如臨大敵的執法階段。但現實遠比一個單一截止日期複雜得多。布魯塞爾 5 月 7 日達成的政治協議重新排列了合規日曆，在帶來部分寬慰的同時，也為相關企業製造了新的策略複雜性。

要真正理解 8 月 2 日的意義，必須釐清法案三條各自獨立的軌道，每條都有不同的時程與風險。

8 月 2 日正式生效的義務

不論近期引發廣泛討論的 Omnibus 延期協議如何，有兩類義務將在 8 月 2 日達到完整的執法效力。

第一類是透明度要求。從 8 月 2 日起，與人互動的 AI 系統必須揭露其 AI 身份。生成式 AI 所產出的內容——包括圖像、音訊、影片及文字——必須以機器可讀格式標示。AI 生成的深度偽造（deepfake）必須附上清晰標籤。對於任何具備 AI 互動介面的消費者導向產品，這不是假設性規定，而是距今不到兩個月就要到期的合規清單。

第二類、也是更關鍵的是通用型 AI（GPAI）模型執法。GPAI 提供者的義務在技術上自 2025 年 8 月起即已生效，但歐盟委員會的執法權——包括開罰的能力——將在 2026 年 8 月 2 日全面啟動。每位在歐盟市場上提供 GPAI 模型的業者，必須維護涵蓋模型架構與訓練流程的詳細技術文件、依 AI 辦公室規定格式公布訓練資料摘要、遵守歐盟著作權法（包括《著作權指令》的退出機制），並向下游部署者提供完整的文件套件。

對頂尖模型提供者——OpenAI、Google DeepMind、Anthropic、Meta、Mistral 等——8 月 2 日代表 GPAI 合規從自願努力轉為可強制執行的法律義務。違規的最高罰款為 3,500 萬歐元或全球年營業額的 7%（取較高者），這個罰款上限甚至高於 GDPR。

Omnibus 延期：高風險 AI 的 16 個月緩衝

今年春天監管圈的焦點，是 5 月 7 日歐盟理事會與歐洲議會就 AI 數位 Omnibus 達成的臨時政治協議，延後了最具操作負擔的一類義務。

依原本的時程，高風險 AI 系統——亦即法案附件三（Annex III）所涵蓋的系統——必須在 2026 年 8 月 2 日之前達到全面合規。附件三涵蓋了商業意義最重大的一批 AI 應用：招募與人力資源管理工具、信用評分系統、教育評量系統、關鍵基礎設施管理，以及部分執法應用。部署這些系統的公司，被要求建立文件化的風險管理計畫、維護訓練資料的來源可追溯性、確保人工監督機制、進行符合性評估，並在歐盟 AI 資料庫中登記系統。

在 Omnibus 協議下，附件三系統的合規期限延後至 2027 年 12 月 2 日——延期 16 個月。嵌入受規範實體產品中的 AI 系統（附件一：醫療器材、機械設備、安全元件）則延至 2028 年 8 月 2 日。

Omnibus 尚未正式通過，需要刊登於歐盟官方公報才能取得法律效力，預計將在 8 月 2 日前完成。Gibson Dunn、DLA Piper 等律所的法律顧問已提醒：在正式通過前，原定 2026 年 8 月的截止日期仍應視為謹慎的規劃目標。

誰真的在法案適用範圍內

許多美國企業存在一個持續性的誤解：以為歐盟 AI 法案只適用於歐洲實體。事實並非如此。法案的域外管轄效力與 GDPR 相似：任何 AI 系統對歐盟居民開放使用、或其 AI 輸出影響歐盟居民的公司，都在適用範圍內——無論公司設立地點或員工位置在哪裡。

這意味著服務歐洲客戶的矽谷 AI 公司、為歐洲客戶托管 AI 工作負載的雲端服務商、以及在歐盟有部署的企業軟體供應商，都有合規義務。沒有歐洲機構設立的非歐盟公司，還必須在歐盟境內指定一名授權代表。

對主要 AI 提供者而言，這項規定的實際影響相當重大。OpenAI 的 GPT-5.5、Google 的 Gemini 3.5 系列，以及 Anthropic 的 Claude 模型，都是必須在 8 月 2 日前符合文件、著作權合規及透明度要求的 GPAI 模型。負責執行 GPAI 義務的歐盟 AI 辦公室，已開始要求主要提供者提交文件，預計在截止日期後數月內，就會針對最嚴重的不合規情形展開執法行動。

策略兩難：現在合規或等待？

Omnibus 延期在高風險 AI 類別的企業間製造了真實的策略張力。對於合規進度已相當超前的公司而言，現在面臨的選擇是：完成既有工作、取得早期認證的競爭與聲譽優勢，或是將延期視為緩衝跑道，趕在更嚴格要求生效前完成系統部署。

批評 Omnibus 協議的聲音——包括 TechPolicy.Press——明確警告，延期為公司製造了在 2027 年 12 月前將不合規高風險 AI 系統倉促推向市場的機會，「省下合規成本、製造搶灘市場的競賽」。這種擔憂反映出 AI 法規的一個結構性矛盾：當截止日期被延後而非分階段漸進推進時，反而可能加速那些監管機構原本意圖減緩的系統部署。

支持者則反駁，原定的 2026 年 8 月時程在架構上就太早了——高風險系統符合性評估所需的技術標準，目前仍由 CEN-CENELEC 在最終定案中，企業根本無法對一個尚未成形的標準進行有意義的合規。從這個角度看，Omnibus 爭取的時間，不只是給企業的，也是讓監管基礎設施本身得以成熟。

更廣泛的監管格局

歐盟 AI 法案並非孤立存在。科羅拉多州 SB 24-205——美國最具企圖心的州級 AI 反歧視法——在 6 月 30 日生效前就遭廢除（由較窄範圍的 SB 26-189 取代，並推延至 2027 年 1 月），顯示出美國截然不同的監管走向：愈來愈傾向聯邦預先排除州級管轄、去監管化，以及聯邦政府對州級 AI 監管的阻力。

這種分歧，對於需要應對雙重合規負擔的全球科技公司而言，影響深遠。歐洲的域外執法，加上拜登政府 AI 安全框架被川普政府更寬鬆的取向所取代，使得在全球運營幾乎等同於必須遵循全球最嚴格的司法管轄要求——無論國內美國法律是否有任何相當義務。對於任何有歐洲消費者的企業，8 月 2 日不是一個外交政策問題，而是一個合規截止日期。

倒數 55 天，兩大關鍵義務類別即將啟動，準備的視窗清晰可見，且已所剩不多。