背景
- 2021年4月,欧盟委员会提出了《人工智能法案》草案,和与欧盟成员国共同制定的新协调计划,旨在保障人们和企业的安全与基本权利,同时加强欧盟各国的投资和创新。
- 2024年8月1日,欧盟《人工智能法案》正式生效。
-2025年11月19日,欧盟委员会发布《关于简化人工智能统一规则实施的条例提案》(简称《AI数字综合方案》),针对高风险AI系统实施时间、中小企业特权、监管集中化等提出一系列修正。
2026年3月13日,欧盟理事会正式通过了关于《AI数字综合方案》的谈判授权命令(Negotiating mandate),标志着该简化法案向最终落地迈出关键一步。总体而言,理事会基本在保留委员会提案核心简化方向的同时,在数据保护、高风险AI系统注册、禁令范围等问题上明显收紧了要求。
本文将对理事会版本对原提案的主要修改内容进行介绍。

新增两项AI禁令
在欧盟委员会提案基础上,欧盟理事会新增了两条被禁止的AI实践:
未经同意生成性或私密内容(non-consensual intimate images, videos and similar content,简称NCII):在未获得可识别自然人自愿、具体、知情且明确同意的情况下,禁止将能够生成、操纵或再现其私密部位或性暴露行为真实影像的AI系统投放市场、投入服务或使用。
生成儿童性虐待材料(child sexual abuse material,简称CSAM):在没有可依据成员国国内法主张“无权利”抗辩(“without right” defense)的情形下(例如执法机关为刑事侦查目的合法使用),禁止将能够生成、操纵或再现儿童色情内容的AI系统投放市场、投入使用或使用。
与此同时,欧盟理事会详细定义了何为“能够”生成此类内容——既包括以生成为意图(intended purpose)的系统,也包括其设计本身使得此类输出成为可合理预见、可重复的结果,且该系统同时缺乏有效的技术保障措施来防止或纠正此类输出的系统。
高风险规则实施时间,欧盟理事会敲定最晚期限
欧盟委员会提案提出,高风险规则的生效时间将取决于支持措施(标准、通用规范、指南)是否就绪,由欧盟委员会通过决定确认后,再经过6或12个月过渡期生效,但最晚不超过2027年12月2日(附件III)或2028年8月2日(附件I)。
理事会谈判授权则更进一步,直接删除了“委员会决定触发”的灵活机制,改为固定生效日期:
高风险AI系统类型 | 生效日期 |
独立高风险AI系统(stand-alone high-risk AI systems) | 2027年12月2日 |
嵌入产品的高风险AI系统(high-risk AI systems embedded in products) | 2028年8月2日 |
恢复高风险AI系统注册义务
欧盟委员会提案中删除了第49(2)条,即提供者若能证明并记录附件三涵盖的系统(例如,就业、教育领域应用的系统)不属于高风险(例如仅执行有限或程序性任务),则该系统可免于在欧盟数据库中注册的义务,以减轻企业负担。
欧盟理事会明确否决了这一简化措施:
恢复了第49(2)条的注册要求——自认为非高风险的AI系统,仍需在EU数据库中进行注册
保留附件八Section B——仅删除了其中两项信息要求(第7点“认定非高风险的理由摘要”和第9点“涉及哪些成员国”),其他注册要求依然有效
提供者仍需要为自认为非高风险的AI系统在EU数据库中进行注册,注册义务未被取消。欧盟理事会的修改仅是在原有注册要求基础上删减了两项信息填写内容,而非彻底免除注册义务。
偏见检测,理事会启用“严格必要”(strictly necessary)标准
欧盟委员会提案允许为偏见检测和纠正目的处理特殊类别个人数据(如种族、政治观点、健康状况等),条件是“必要范围内”(to the extent necessary)。
欧盟理事会将该标准提高至“严格必要”,并保留了原有的严格保障措施(假名化、访问控制、数据保留限制、不得传输给第三方等)。
此外,欧盟理事会还明确加了一句:本条款不创设任何进行偏见检测与纠正的义务。
AI监管沙盒:推迟至2027年12月
原《人工智能法案》要求成员国在2026年8月2日前建立AI监管沙盒。欧盟理事会谈判授权将其推迟至2027年12月2日,为企业争取了约16个月的准备时间。
AI办公室监管权:明确例外情形
欧盟理事会保留了欧盟委员会提案中“AI办公室专属权限”的框架。根据该框架,AI办公室被授予对以下两类关键AI系统的专属监管和执法权限:
基于通用人工智能(General-Purpose AI,简称GPAI) 模型且模型与系统由同一提供者(或同一企业集团内的不同提供者)开发的AI系统;
构成或集成到指定的超大型在线平台(Very Large Online Platforms,简称VLOP) 或超大型在线搜索引擎(Very Large Online Search Engines,简称VLOSE) 中的AI系统。
与此同时,欧盟理事会针对GPAI系统明确列出了四类例外情况。以下系统仍由各国主管机构负责,不纳入AI办公室的专属监管范围:
与附件一所列欧盟协调立法所覆盖的产品相关的AI系统;
附件三第(2)点所指的AI系统;
由执法机关、边境管理机关、司法机关以及受欧盟金融服务法治理要求约束的金融机构提供的AI系统
附件三第(8)点中涉及司法行政的AI系统
新增欧盟委员会指南义务
理事会新增一项要求:欧盟委员会必须发布指南,协助受行业立法(如医疗器械、机械、航空安全等)覆盖的高风险AI系统提供者,以最小化合规负担的方式落实AI法案的高风险要求。
小结与建议
总体而言,欧盟理事会在欧盟委员会提案的基础上进行了明显“回调”:新增两项AI禁令、恢复高风险系统注册义务、提高偏见检测的数据处理门槛,同时将高风险规则生效时间改为固定日期,并为AI办公室监管权增设四类例外。对中国企业而言,建议尽快完成AI系统的风险分类(独立高风险或嵌入产品高风险),重点关注生成式AI的合规边界(避免触碰NCII和CSAM红线),即便自认为非高风险也需完成EU数据库注册,并积极关注各成员国AI监管沙盒的申请窗口及欧盟委员会即将发布的行业指南。
更多前期关于欧盟《AI法案》的报道,欢迎访问: