摘要:人工智能(AI)已经成为中国企业出海降本增效的重要引擎。然而欧盟《人工智能法案》(EU AI Act,以下简称“AI法案”)的落地对这些企业提出了新的合规挑战[1]。
人工智能(AI)已经成为中国企业出海降本增效的重要引擎。然而欧盟《人工智能法案》(EU AI Act,以下简称“AI法案”)的落地对这些企业提出了新的合规挑战[1]。
这部于2024年8月生效的法规采用风险分级的监管逻辑,旨在平衡对公众安全和基本权利的保护与AI创新发展[2]。截至目前,关于AI素养的要求及对被禁止类AI系统的禁令,已自2025年2月2日起正式适用;而通用型AI模型(GPAI)的提供者义务、保密要求和处罚机制,也将于2025年8月2日开始执行;针对构成产品或其安全组件的高风险AI系统(受欧盟产品安全立法监管的)相关义务,将于2027年8月2日正式实施。
留给中国企业全面适应和调整的时间日益紧迫,任何疏忽都可能带来严重后果:例如,违反被禁AI系统相关规定者,最高可被处以3,500万欧元或全球年营业额7%的罚款;违反高风险系统或透明度等其他义务的,罚款上限为1,500万欧元或全球年营业额的3%;提供虚假、不完整或误导性信息的,最高也可被处以750万欧元或全球年营业额1%的罚款。
这部法规具有域外适用性,即不论企业总部在何处,只要在欧盟市场提供或使用AI系统且影响欧盟用户,就必须遵守该法案[3]。这意味着中国企业如果在“出海”欧洲开展业务过程中部署AI模型(例如DeepSeek),就需要认真评估欧盟法规要求,防范违规风险。
图1: AI 法案的实施时间表
AI 法案的域外适用范围
AI 法案覆盖范围广,针对价值链的各环节提出了重要合规义务。
无论企业总部位于何处,只要在欧盟市场提供或使用AI系统并对欧盟境内人员产生影响,即受本法案监管。
(不在适用范围内的活动包括(1)研究、测试和开发;(2)免费和开源软件。)
AI 法案按照AI系统可能带来的危害将其分为四类风险等级,并对每类设定不同管控要求:
►不可接受风险:如社会信用评分等侵犯人权的AI应用,明令禁止。
►高风险:对健康、安全或基本权益有重大影响的AI系统(如医疗诊断、招聘筛选等),允许使用但需严格合规(风险管理、数据治理、技术文档、人工监督等)。
►有限风险:一般用途的AI应用,要求满足特定透明度义务(如清楚告知用户正在与AI交互)。
►最低风险:风险可忽略的应用,豁免特别义务。
图2:AI系统风险分级及对应合规义务
AI 法案还明确了AI生命周期中相关方的责任,包括提供者(开发并将AI系统投放市场的主体)和部署者(使用AI系统的主体)等。提供者需确保AI系统在上市前符合法规要求,部署者则必须确保按预期用途安全使用AI系统并保持透明。分销商和进口商必须核实高风险AI系统是否具有CE认证。
图3:对AI提供者的要求
图4:对AI部署者的要求
例如,一家中国公司如果将自研或开源模型嵌入其产品销往欧盟,则该企业扮演了提供者角色;若该企业仅采购第三方AI工具用于内部运营,则是部署者。角色不同,义务迥异,企业需准确定位自身身份,以免疏漏合规要求。
值得注意的是,AI 法案具有广泛的域外效力。换言之,中国企业只要面向欧盟提供AI驱动的产品或服务,就受其监管。例如,国内制造企业在欧盟工厂部署AI质检系统、跨境平台向欧洲用户提供AI客服,都需遵循该法案。这类似于GDPR之于全球企业的数据合规影响,任何忽视都可能招致高额罚款(最高可达全球年营业额的7%)。
通用型AI模型的合规风险:以DeepSeek为例
通用型AI模型(GPAI)的出现使企业能在各领域快速应用AI,但也引发监管关注。AI法案专门针对通用型AI模型引入了附加要求。像DeepSeek这样的通用型AI模型在欧盟落地时,若被认定具备系统性风险(如模型规模庞大、影响广泛),则将被视同高风险AI系统来监管。对此,AI法案要求模型的提供者[4]:
►建立完善的技术文档,公开模型用途、设计原理和训练数据概要等信息。
►确保训练数据符合法律和知识产权要求。
►采取风险防控措施,包括防止模型产生偏见、加强网络安全等。
自DeepSeek在中国横空出世以来,以低成本高性能著称(DeepSeek-R1模型训练成本仅为OpenAI o1模型的3%至5%[5]),国内已有超过200家企业接入DeepSeek,覆盖政务、汽车、金融、消费电子、教育、人力资源、能源、物流等千行百业[6]。
然而,开源优势伴随着合规挑战:在欧盟没有现成认证的情况下,由谁来评估和保证DeepSeek模型的合规?如果DeepSeek官方直接服务欧盟用户,将担负提供者责任;而中国企业若基于DeepSeek开发出面向欧盟的AI应用,同样需要履行提供者义务。当前,境外AWS等云厂商已将DeepSeek模型上架,使欧美企业能方便调用。对于有意借力DeepSeek出海的中国企业,提前规划合规方案尤为重要——包括明确模型风险级别、完善技术文档和用户告知,并确保必要时进行CE认证等程序。
对于中国出海欧洲的企业而言,AI合规的难点主要体现在以下方面:
►角色与责任模糊:许多企业不确定自己是AI系统的“提供方”还是“使用方”,从而忽视了本应承担的义务(例如提供者应进行合规评估并获得CE认证后方可上市;高风险部署者应实施监控和报告机制等[7])。
►评估与技术门槛:欧盟法规要求高风险AI系统必须通过合规评估并获得CE认证后方可上市。对于缺乏经验的企业,准备技术文件、开展风险管理和偏见测试往往无从下手。
►信息与能力有限:企业对AI 法案的监管要求是否已做好准备?企业内部利益相关方(如首席技术官CTO、总法律顾问GC、首席合规官CCO、数据保护官DPO等)是否已经制定出适合企业自身合规体系搭建的路线图?这种准备欠缺在出海企业中可能更为突出,并进一步加剧了违规风险。
面对上述挑战,主动合规是企业最明智的应对。一方面,企业应尽快提升内部认知,组织团队学习欧盟AI法案要点,关注行业合规动态;另一方面,企业需要在实践中导入合规流程,例如上线AI应用前进行风险分类、构建数据和模型治理制度、在用户界面明确AI身份标识等。若条件允许,企业可以借助外部专业机构进行合规咨询评估,加速补齐短板。
面对AI法案时间表,更多中国企业已将AI治理纳入出海战略,且将合规视为增强海外竞争力的机遇而非负担[8]。
正如业界所言:
“AI合规将成为进入欧洲市场的必答题,提前布局者将掌握先机。”
参考文献:
[1] EY Global, Why companies must prepare now for the new EU AI Act, EY (2024) (Why companies must prepare now for the new EU AI Act)
[2] Dr. Peter Katko, August 1, 2024: The EU AI Act is here: the impact of risk-based classification, LinkedIn (2024) (August 1, 2024: The EU AI Act is here: the impact of risk-based classification)
[3] Dr. Peter Katko, The EU AI Act is here: Does it apply to you?, LinkedIn (2024) (The EU AI Act is here: Does it apply to you?)
[4] Dr. Peter Katko, Responsibilities in the AI value chain: part 2 — the Provider, LinkedIn (2024) (Responsibilities in the AI value chain: part 2 — the Provider)
[5] 新华网 《人工智能应用加速走深向实》,2025年2月25日,
[6] 中国经营网《DeepSeek接入热潮中的“AI焦虑症”》,2025年3月22日,
[7] Dr. Peter Katko, Responsibilities in the AI value chain: Part 1 – the Deployer, LinkedIn (2024) (Responsibilities in the AI value chain: Part 1 – the Deployer)
[8] EY Netherlands, EU AI Act Roadmap: What does the AI act mean for your organization? EY (2025.03.11) (https://www.ey.com/en_nl/insights/ai/eu-ai-act-roadmap-what-does-the-ai-act-mean-for-your-organization
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
来源:安永EY
