EU Parliament Votes 569-45 to Delay AI Act: High-Risk Systems Pushed to Late 2027, Nudify Apps Banned Simultaneously
EU Parliament Votes 569-45 to Delay AI Act: High-Risk Systems Pushed to Late 2027, Nudify Apps Banned Simultaneously
主要信源:https://www.pymnts.com/cpi-posts/eu-parliament-votes-to-delay-ai-act-compliance-deadlines/ 官方信源:https://www.europarl.europa.eu/news/en/press-room/20260323IPR38829/artificial-intelligence-act-delayed-application-ban-on-nudifier-apps 交叉验证:https://www.addleshawgoddard.com/en/insights/insights-briefings/2026/technology/eu-digital-omnibus-ai-update-council-parliament-agreed-positions/ 事件日期:2026-03-26(全体投票)
速查卡
| 项目 | 内容 |
|---|---|
| 一句话总结 | 欧洲议会以569:45压倒性多数通过AI法案修正案,将高风险AI系统合规期限推迟16个月至2027年12月,同时首次明确禁止nudify类AI应用 |
| 大白话版 | EU承认自己当初定的AI监管时间表太激进了——技术标准还没写完、27个成员国里只有8个设好了执法机构、芬兰是唯一真正开始运转的。所以议会选择”难的延后、危险的立禁”:复杂的高风险合规给企业多16个月准备,但用AI脱衣这种明确有害的东西立刻禁掉 |
| 核心数字 | 569票赞成 / 高风险系统延至2027-12-02 / 行业嵌入式延至2028-08-02 / 仅8/27成员国设定执法机构 / 芬兰唯一全面运转 / 目标4月28日前达成最终协议 |
| 影响评级 | A- — 全球最重要AI监管框架的实质性时间线调整,释放”务实主义回归”信号 |
| 利益相关方 | Google/Microsoft/Meta/OpenAI(合规窗口延长)/ 欧洲AI创业公司(喘息空间)/ 成员国执法机构(建设时间)/ 人权组织(nudify禁令正面+延期担忧)/ 中美竞争对手(观察欧洲监管节奏变化) |
事件全貌
发生了什么?
2026年3月26日(周四),欧洲议会全体投票以569票赞成、45票反对、23票弃权的压倒性多数,通过了对《人工智能法案》(AI Act)的修正案。这是自2024年3月AI Act正式通过以来,该法规经历的最重大一次实质性修改。
修正案的核心内容分为两大轨道:
延期轨道 — 为尚未准备好的系统和行业争取时间:
- 高风险AI系统(生物识别、关键基础设施、教育、就业、基本服务、执法、司法、边境管理):合规截止日期从原定的2026年8月2日推迟至2027年12月2日,延长约16个月
- 行业嵌入式AI系统(医疗器械、汽车、无线电设备、玩具安全等受既有行业法规监管的产品):合规截止日期推迟至2028年8月2日,延长整整24个月
禁令轨道 — 对明确有害应用立即行动:
- 首次明确禁止”nudifier”系统——利用生成式AI创建或篡改性露骨/私密图像、且图像与可识别真人相似的AI系统,除非该系统具备有效安全措施防止用户创建此类图像
这次修正案为何出现?
修正案的直接触发因素是多重现实落差的叠加:
标准缺失。 AI Act的高风险系统合规要求企业遵循协调标准(harmonised standards),但欧洲标准化组织未能在2025年的截止日期内完成标准制定,目前最乐观的预期是2026年底才能交付。企业面对”法律已生效但标准未出台”的真空状态,合规无从谈起。
执法体系空转。 2025年8月2日是成员国指定AI Act国家执法机构的法定截止日期。截至2026年3月——已逾期7个月——仅8个成员国完成了单一联络点(single point of contact)的指定。27个成员国中,只有芬兰一国在2025年12月22日完成了全面执法权力授予,2026年1月1日正式开始运转。
产业界反弹。 2025年7月,45家欧洲企业联合致信欧盟委员会,指出AI Act”通过不明确的风险分类造成了市场不确定性,导致企业在AI采纳上犹豫不决,可能削弱欧洲的全球竞争地位”。
时间线
- 2024-03-13:AI Act由欧洲议会正式通过
- 2024-08-01:AI Act在欧盟官方公报上发布,20天后生效
- 2025-02-02:第一批禁令(不可接受风险AI系统)开始执行
- 2025-08-02:通用AI(GPAI)合规义务生效;成员国指定国家执法机构截止日期
- 2025-07:45家欧洲企业联名信要求延期
- 2025-11-19:欧盟委员会在第七批简化法规包(Digital Omnibus)中正式提出AI Act修正方案
- 2025-12-22:芬兰成为首个全面授权AI Act执法权力的成员国
- 2026-01-01:芬兰交通与通信局(Traficom)正式开始执法运转
- 2026-03-18:欧洲议会内部市场与消费者保护委员会(IMCO)和公民自由、司法与内政事务委员会(LIBE)联合投票通过报告,101票赞成、9票反对、8票弃权
- 2026-03-26:欧洲议会全体投票通过修正案,569:45:23
- 2026-04-28(目标):与欧盟理事会达成最终协议
- 2026-08-02(原定):高风险AI系统合规截止日期 — 现已被修正案覆盖
- 2026-11-02(议会立场):合成内容水印等基础透明度要求截止日期
- 2027-12-02(新):高风险AI系统合规截止日期
- 2028-08-02(新):行业嵌入式AI系统合规截止日期
立法程序:还需要什么?
修正案目前处于欧洲议会已通过自身立场的阶段。欧盟理事会(代表27个成员国政府)此前也已就自身立场达成一致。两个机构的立场存在一些差异,尤其是在透明度要求延期幅度上——欧盟委员会原提议延至2027年2月2日,议会将其缩短至2026年11月2日。
双方现在进入三方会谈(trilogue)阶段,目标是在2026年4月28日前达成最终协议文本。鉴于投票结果的压倒性多数和理事会立场的基本一致,最终通过的可能性极高。
双轨策略解析
为什么是”延+禁”而非单纯延期?
欧洲议会的修正案最值得分析的不是延期本身——监管延期在EU立法史上屡见不鲜——而是同时推进禁令这一罕见的组合拳。
延期的逻辑是务实的:高风险AI系统的合规涉及复杂的技术标准对齐、风险评估体系建设和供应链审计,在标准本身尚未完成的情况下强制执行,只会制造混乱而非安全。
禁令的逻辑是政治性的:在给予产业界更多时间的同时,欧洲议会需要向选民和人权组织展示”延期不等于放松”。Nudify应用是完美的政治靶标——社会共识度极高(非自愿性私密图像的生成几乎没有合法辩护空间)、受害者群体明确(主要针对女性和未成年人)、技术判定相对简单(无需复杂的风险分类)。
这形成了一个精巧的政治平衡:
| 维度 | 延期轨道 | 禁令轨道 |
|---|---|---|
| 对象 | 复杂高风险系统 | 明确有害应用 |
| 信号 | ”我们听到了产业界的声音" | "我们没有放弃保护公民” |
| 受益方 | 科技公司、行业嵌入式企业 | 人权组织、女性权益团体 |
| 政治功能 | 回应竞争力焦虑 | 回应安全焦虑 |
| 执行难度 | 高(需标准、需执法体系) | 低(产品类别禁令、判定简单) |
Nudify禁令的技术边界
议会的措辞有一个重要限定:禁令不适用于”具备有效安全措施防止用户创建此类图像的AI系统”。
这意味着:
- 具有合法用途(如医学教育模型、艺术创作工具)的图像生成AI,只要内置了有效的安全过滤,不在禁令范围内
- 禁令的核心判定标准不是技术能力而是产品设计意图 — 是否以生成非自愿性私密图像为主要或实质性功能
- 这是EU首次明确禁止一个特定类别的AI产品,而非某种AI能力
最终的禁令范围仍需在三方会谈中确定。理事会的立场更为宽泛,还明确纳入了儿童性虐待材料(CSAM)的生成禁令。
成员国执法准备度差距
AI Act的执行最终依赖各成员国的国家执法机构。当前的准备状态呈现严重分化:
芬兰:唯一的满分答卷
芬兰采用了去中心化模型,任命10个已有的市场监督机构共同执法,由交通与通信局(Traficom)担任单一联络点和协调机构。2025年12月22日获得全面授权,2026年1月1日正式运转——比法定截止日期提前了7个月。
芬兰的模式值得关注:它没有新建一个集中式”AI监管局”,而是将AI监管职责分配到已有的、各自领域内有专业经验的监督机构中。这种方式降低了行政启动成本,但对协调效率提出了更高要求。
中间层:有进展但未完全运转
德国、意大利等大型成员国已有进展,但尚未达到芬兰的运转状态。爱尔兰明确表示其国家AI办公室将在2026年8月前建立完成。
多数成员国:尚未起步
19个成员国(占70%以上)截至2026年3月仍未完成最基本的执法机构指定——这项工作的法定截止日期是7个月前的2025年8月2日。
这个数字是理解延期决定的关键背景:即使不延期,以目前的执法体系建设进度,2026年8月的原定截止日期也只是纸面日期。延期是在将法律文本与现实能力重新对齐。
全球监管格局对比
EU:从”先行者”到”务实调整者”
EU在2024年通过AI Act时,是全球第一个建立综合性AI监管框架的主要经济体。当时的叙事是”布鲁塞尔效应”——EU通过率先立法设定全球标准。两年后,叙事已经转变为”如何在不放弃领导地位的前提下承认执行困难”。
延期决定标志着EU监管哲学的一次微妙但重要的转向:从”设定雄心勃勃的截止日期以倒逼合规”,转向”确保截止日期可执行以维护法律信誉”。
UK:观望中的迟疑
英国的AI监管走了一条截然不同的路径。原本预计2025年3月出台综合性AI法案,但先是推迟到2025年底,后又推迟到可能在2026年5月国王演讲中宣布,最终立法最乐观也要到2026年下半年。
英国科技大臣Peter Kyle的策略是”先不立法、先做实验”——AI Growth Zones和AI Growth Labs(监管沙盒)优先于硬性法规。科技国务大臣Kanishka Narayan反复强调现有法律(数据保护、竞争法、平等法、网络安全法)已覆盖AI的主要风险。
讽刺的是:EU正在为过于激进的时间表而延期,UK则还没出台需要延期的法律。两条路径的交汇点可能在2027-2028年——EU延期后的新截止日期到来时,UK的立法可能也刚刚成形。
美国:碎片化中的平行宇宙
美国联邦层面仍无综合性AI立法。拜登时代的行政令已被后续政策调整,当前重心在促进创新和确保国家安全竞争力,而非建立类似EU的风险分类体系。各州的拼凑式立法(如科罗拉多州SB 21-169、纽约市Local Law 144)持续增加,但缺乏联邦级协调。
中国:平行但不同的监管密度
中国的AI监管路径同样激进但方向不同——《生成式AI管理暂行办法》(2023年)、《算法推荐管理规定》、深度合成管理规定等已形成较密的监管网络。中国的监管重心在内容控制和数据主权,而非EU式的”风险分类+合规义务”框架。
三大监管模式对照
| 维度 | EU | US | 中国 |
|---|---|---|---|
| 框架类型 | 综合性风险分类 | 碎片化/行业自律 | 针对性法规叠加 |
| 立法进度 | 已通过但延期执行 | 联邦层无综合法 | 多部法规已执行 |
| 核心关切 | 基本权利+竞争力 | 创新+国家安全 | 内容安全+数据主权 |
| 对企业影响 | 高合规成本、长准备期 | 低联邦负担、高州际差异 | 内容审查为主、技术标准次之 |
| 2026-2028预期 | 逐步执行(延期后) | 可能出台窄领域联邦法 | 继续叠加专项法规 |
EDPB 2026年透明度协调执法
在AI Act时间线调整的同时,欧洲数据保护委员会(EDPB)的2026年协调执法行动(CEF 2026)正在同步推进,为AI合规增加了另一层监管压力。
25个数据保护监管机构正在全欧范围内对GDPR第12-14条(透明度和信息义务)进行协调执法。虽然EDPB的行动表面上针对GDPR而非AI Act,但实际上两者高度重叠——AI系统的数据处理透明度、个人数据的自动化决策告知等义务,在GDPR和AI Act中都有要求。
这意味着即使AI Act高风险合规延期至2027年12月,GDPR框架下的AI相关透明度执法不会等待AI Act。企业面对的不是”一条监管线延后了”,而是”一条延后了,另一条正在收紧”。
对科技企业的实际影响
Google、Microsoft、Meta、OpenAI
对于在EU市场运营的美国科技巨头而言,延期是明确的正面消息:
- 合规成本分摊期延长:高风险系统的风险评估、技术文档、人类监督机制建设可以在更长时间窗口内完成
- 标准确定性提升:等协调标准正式出台后再对齐,避免”合规了但标准变了还得改”的浪费
- 战略灵活性:16个月的延期意味着企业可以先观察最终三方会谈结果,再决定合规投入的优先级
但nudify禁令会立即影响这些企业的图像生成模型部署——所有在EU市场提供图像生成功能的AI产品都需要确保安全过滤器的有效性。
欧洲AI创业公司
延期对欧洲本土AI创业公司的意义可能比对美国巨头更大。2025年7月45家欧洲企业联名信所反映的核心焦虑是:合规成本的不对称负担。大企业有专门的合规团队和法律预算,创业公司没有。延期给了小型企业更多时间理解规则、获取指导、分摊成本。
修正案还包含了**将中小企业支持措施扩展到小型中等市值企业(SMCs)**的条款,以及允许服务提供商在有保障措施的前提下处理个人数据用于偏见检测的灵活性——这些都是直接回应产业界反馈的务实调整。
医疗器械和汽车行业
获得最长延期(至2028年8月2日)的是已受既有行业法规严格监管的领域。这反映了一个合理判断:医疗器械和汽车行业已有成熟的安全认证体系(MDR、IVDR、车辆型式认证等),AI Act的叠加合规需要与这些既有体系进行复杂的对接。给予额外时间是避免监管冲突和重复负担的理性选择。
批判性分析
延期是务实还是投降?
务实的一面:在标准未完成、执法体系未就绪的情况下强制执行截止日期,唯一的结果是法律信誉受损。EU选择承认现实并调整时间表,总好过假装截止日期存在但无人执行。569:45的投票比例说明这一点有压倒性共识。
令人不安的一面:AI Act从通过到延期只用了两年。如果首次大规模合规截止日期就需要推迟16个月,这对法规制定过程本身提出了质疑——原始时间表是否经过充分的可行性论证?EU在立法时是否过度乐观地估计了成员国的执行能力?
更深层的问题是:延期是否会成为惯例? 如果2027年12月到来时标准仍不完善、执法体系仍有缺口,是否会出现”延期2.0”?历史上,EU在GDPR的执行中也经历了类似的”法规通过 -> 过渡期 -> 早期执法松懈 -> 逐步收紧”的模式。AI Act是否正在重复这一轨迹?
Nudify禁令:实质还是象征?
禁令的象征意义大于实质意义。在EU市场中,主流图像生成AI(Midjourney、DALL-E、Stable Diffusion等)已内置安全过滤器阻止生成此类内容。真正的nudify工具主要在灰色地带和暗网中流通,EU法律对其管辖力极为有限。
然而,禁令的法律先例价值不应低估。这是EU首次在AI Act框架下明确禁止一个特定类别的AI产品,而非某种抽象的”不可接受风险实践”。这一先例可能为未来禁止其他特定类别的AI产品(如自主武器系统的民用化、大规模社会评分系统等)铺平道路。
被忽略的风险:监管碎片化加速
延期可能加剧EU内部的监管碎片化。芬兰已运转7个月、多数成员国尚未起步——到2027年12月,这一差距可能进一步拉大而非缩小。在延期期间,各成员国对AI Act的解读和准备方式可能会分化,导致最终执行时出现实质性的跨国差异。
这恰恰是AI Act试图避免的局面——统一的单一市场规则在执行层面被碎片化。
竞争力叙事的陷阱
延期的一个重要驱动力是”竞争力焦虑”——担心过于严格的监管导致AI投资和人才流失。但需要警惕的是:延期本身也会成为竞争劣势的来源。
在AI Act合规截止日期不确定的情况下,企业面对的不是”不需要合规”,而是”不知道什么时候需要合规、按什么标准合规”。这种不确定性可能比明确的严格规则更有害——至少明确的规则允许企业做出确定性的投资决策。
独立观察
- EDPB的CEF 2026行动与AI Act延期形成一个意想不到的夹击。 企业可能因为AI Act延期而放松警惕,但GDPR框架下的透明度执法正在同步收紧。25个DPA的协调行动在2026年下半年出报告时,可能会对AI企业的数据处理透明度实践产生直接影响——而这些要求的执行不需要等AI Act的新截止日期。
- 4月28日的三方会谈截止目标值得密切关注。 理事会和议会在透明度要求延期幅度上仍有分歧(委员会提议2027年2月、议会坚持2026年11月),这一差异可能成为谈判焦点。最终文本可能在两者之间折中。
- 芬兰模式可能成为模板。 去中心化、利用既有监管机构、指定Traficom为协调中心——这种低成本启动模式可能被其他尚未行动的成员国效仿,但前提是证明其在实际执法中有效。
- 从全球视角看,EU的延期反而可能强化而非削弱其”布鲁塞尔效应”。 一个可执行的法规比一个名义上更严格但实际上无人遵守的法规更有说服力。如果延期后的AI Act在2027-2028年真正落地执行,其全球示范效应可能比原始时间表下的”纸上法规”更强。
信源列表
| 来源 | 可信度 | 立场 |
|---|---|---|
| 欧洲议会官方新闻稿 | A+ | 第一手立法机构通报 |
| PYMNTS/CPI | A | 金融科技领域专业媒体 |
| Addleshaw Goddard 法律分析 | A | 国际律所专业分析 |
| World Reporter 成员国准备度报道 | B+ | 引用官方数据但非第一手 |
| EDPB 官方公告 | A+ | 第一手监管机构通报 |