← News
ANNOUNCEMENT · 2026-05-07
EU AI Act:2026 年 8 月 GPAI 执法权正式生效
2026 年 8 月 2 日,欧盟委员会的 AI Office 对通用人工智能(GPAI)模型提供者获得完整执法权,最高罚款为全球营业额的 3% 或 1500 万欧元。2025 年前模型有截至 2027 年 8 月 2 日的合规窗口。
2026 年 8 月 2 日里程碑究竟解锁了什么
GPAI 义务本身已于 **2025 年 8 月 2 日** 起开始适用,但欧盟委员会在能行使监督与执法前给提供者预留了一年的适应窗口。该窗口于 **2026 年 8 月 2 日** 关闭,届时 AI Office 在第 V 章下的执法权生效。
*本文为通用指引,不构成法律建议。合规决定请咨询合资格的欧盟律师。*
自该日起,AI Office 可正式请求文档与信息、开展模型评估、要求合规措施(含风险缓解、市场限制、召回或撤回),并在 **第 101 条** 下处以罚款。GPAI 提供者的最高罚款为 **全球年营业额 3% 或 1500 万欧元,取较高者**,针对故意或过失违规。较窄的第 99 条档(高达 3500 万欧元或营业额 7%)适用于被禁止的 AI 实践,与 GPAI 义务无关。因此 2026 年 8 月 2 日不是新义务日,而是既有义务由委员会直接可执行的日期。
谁算 GPAI 提供者(以及系统性风险阈值)
通用人工智能模型被定义为:在广泛数据上训练、展示显著的通用性、能够胜任执行多种不同任务的模型,无论其以何种方式投放市场。提供者是开发或委托开发该模型,并以自身名义或商标在欧盟市场投放的实体。
更窄的第二类——**具有系统性风险的 GPAI 模型**——触发第 55 与 56 条更重的义务。根据 **第 51 条**,当用于训练的累计计算量超过 **10^25 次浮点运算(FLOPs)** 时,模型被推定具有高影响能力。这是可推翻的推定:在第 52(2) 条下,超过阈值的提供者可提交实质性论证表明模型实际不构成系统性风险,委员会也可基于其他标准指定低于阈值的模型。委员会可通过授权法案更新该阈值。
关键的是,委员会 2025 年 7 月指引澄清:当下游主体用于修改的训练计算量超过原始训练计算量的三分之一时,该下游主体成为新的 GPAI 提供者。轻度微调不会触发角色转换;大规模持续预训练则可能。
透明度、版权与下游文档义务
所有 GPAI 提供者,无论系统性风险状态如何,根据 **第 53 条** 承担四项基线义务:
1. **技术文档(附件 XI)**:描述模型设计、训练过程、数据集、能耗、预期任务、架构与许可,应予以维护并按 AI Office 请求提供。
2. **下游文档(附件 XII)**:为集成方提供理解模型能力与限制、预期用途与集成约束所需的信息。
3. **版权政策**:与欧盟版权法一致,包括 2019/790 指令下的文本与数据挖掘选择退出。这意味着在网页爬取时尊重机器可读的权利保留(如 robots.txt),并避免合法不可访问来源。
4. **公开训练内容摘要**:遵循 AI Office 的强制模板,覆盖范围应足以让权利持有人与公众理解使用了哪些类别的内容。
不构成系统性风险的完全自由开源模型可豁免义务 1 与 2,但**不**豁免版权政策与公开训练摘要。
2025 年前模型的过渡期截止
Regulation 区分了 2025 年 8 月 2 日之后投放市场的模型(自日起即应合规)与 **2025 年 8 月 2 日前投放市场的旧模型**,后者有至 **2027 年 8 月 2 日** 的时间将文档与政策对齐。
该过渡期在两点上是有限的。其一,它不延迟对 2025 年 8 月后模型的执法——一旦 AI Office 的权力在 2026 年 8 月激活,可立即追究。其二,它适用于**截至切换日**的模型本身。切换后的实质性修改,特别是任何超过前述三分之一计算量触发的再训练,可能将旧模型拉入 2025 年后体系并重置时钟。
依赖旧模型窗口的提供者,仍应在 2025-2027 年期间预期 AI Office 的非正式接触。委员会已示意:适应期内的善意合作是第 101 条执法可用后裁量的因素之一。
GPAI 实践守则:选入收益与风险
**通用人工智能实践守则** 于 **2025 年 7 月 10 日** 发布,由独立专家通过多方利益相关者程序起草。它包含三章:**透明度** 与 **版权** 适用于所有 GPAI 提供者;**安全与保障** 仅适用于系统性风险提供者。
签署该守则可获得对应 AI Act 义务的**符合性推定**:签署者在评估中享受较轻行政负担与更高法律确定性。截至 2025 年中,已有 **26 个组织** 签署,包括 Amazon、Anthropic、Cohere、Google、IBM、Microsoft、Mistral AI 与 OpenAI。**Meta 拒绝签署。** xAI 仅签署了安全与保障章节,这意味着它必须通过其他方式证明透明度与版权合规,接受 AI Office 评估。
风险一面是真实的。签署者接受结构化承诺,例如标准化的 Model Documentation Form、指定的版权联系点与持续报告节奏。非签署者不承担额外义务,但也失去符合性推定,并可能在委员会于 2026 年 8 月开始行使第 101 条权力时面对更严格审查。
下游部署方的实操合规清单
使用合规的 GPAI 模型**不能**免除下游义务。在 GPAI 模型上构建 AI **系统** 的提供者承担自身义务,尤其当所得系统在附件 I 或 III 下属于高风险,或第 50 条透明度义务适用时(例如聊天机器人、深度伪造或情绪识别系统)。
务实的部署方清单:
- 向你集成的每个 GPAI 模型**请求并归档附件 XII 信息包**;核实上游提供者在第 V 章下的合规立场。
- 将**预期用例对照附件 III 制图**以判断你的系统是否高风险;若是,准备第 III 章下的符合性评估证据。
- 将**上游模型卡与限制纳入你自己的技术文档**、风险评估与上市后监测计划。
- 在**面向用户的生成或交互式输出处实施第 50 条透明度告知**。
- 维护与系统风险相称的**审计日志与人类监督控制**;第 4 条 AI 素养义务自 2025 年 2 月起即已适用。
部署方义务独立于模型提供者状态,因此不完整或含糊的上游模型卡是**你**的事,需要你升级,不是延迟你自己文档的理由。
为什么自托管与 BYOK 路径能简化审计轨迹
部署方义务以你能按需回答两个问题为前提:*哪个模型在何种配置下、在谁的基础设施上产生了该输出*,以及*为此什么数据离开了你的环境*。共享多租户推理端点让两个问题更难答,因为日志、保留与路由表面归第三方所有,其披露未必匹配你的附件 XII 信息包。
自托管推理与自带 Key(BYOK)部署模式以一种有用的方式收窄表面。当模型运行在你控制的基础设施上,你拥有推理日志、数据驻留立场以及最终执法请求会问到的审计轨迹。当 BYOK 在你的合同条款下将调用直接从你的租户路由到上游厂商,元数据路径端到端可审计。围绕此模式设计的平台——如 **osFoundry**——把审计日志、数据驻留控制与隐私优先默认视为编排层的一部分而非附加项。
这并不替代上游提供者在第 53 条下的实体义务,但在监管者要求时显著缩短你需要拼凑的证据链。
Frequently asked questions
- EU AI Act GPAI 规则何时真正可执行?
- EU AI Act 第 V 章下通用人工智能模型提供者的实质义务于 2025 年 8 月 2 日起开始适用。然而,欧盟委员会的执法权——包括请求信息、开展评估、命令纠正措施以及在第 101 条下处以罚款——仅在 2026 年 8 月 2 日后可行使。在 2025 年 8 月 2 日前投放市场的 GPAI 模型提供者有更长的合规跑道,必须在 2027 年 8 月 2 日前完成合规。
- GPAI 模型的系统性风险阈值是什么?
- 根据 EU AI Act 第 51(2) 条,当通用人工智能模型用于训练的累计计算量超过 10^25 次浮点运算(FLOPs)时,被推定具有高影响能力,因此构成系统性风险。该推定可被推翻:超过阈值的提供者可在第 52(2) 条下提交实质性论证表明模型实际不构成系统性风险。委员会也可指定低于阈值的模型,并可在技术水平演进时通过授权法案更新阈值本身。
- 我需要签署 GPAI 实践守则吗?
- 不需要。该守则于 2025 年 7 月 10 日发布,为自愿性质。签署可获相关第 53 条以及(对系统性风险提供者)第 55 条义务的符合性推定,从而降低 AI Office 评估期的行政摩擦。截至 2025 年中,26 个组织已签署,包括 Anthropic、Google、Microsoft 与 OpenAI。Meta 拒绝签署。非签署者必须以其他充分方式证明合规,并在第 101 条执法启动时预期更严格审查。
- GPAI 不合规的最高罚款是多少?
- 根据 EU AI Act 第 101 条,欧盟委员会可对 GPAI 模型提供者就故意或过失违反 GPAI 义务或未提供所请求信息处以最高全球年营业额 3% 或 1500 万欧元(取较高者)的罚款。这与更广的第 99 条档分列,后者包括被禁止 AI 实践的最高 3500 万欧元或营业额 7%。中小企业与初创以百分比或绝对金额中的较低者为上限。
Sources