2026年5月7日,欧盟理事会与欧洲议会就「数字综合法案」(Digital Omnibus AI)达成协议,这是《人工智能法案》(AI Act)自2024年生效以来首次系统性修订。此次修订并非全面翻修,而是调整了合规截止日期、简化了中小企业义务,并重新划定了风险类别边界。根据2026年5月发布的数据,79%的欧盟中小企业已在使用人工智能工具,但其中不足四成建立了内部使用政策。
哪些AI系统受新规约束
欧盟《人工智能法案》将AI系统划分为四个风险类别。数字综合法案未改变这一分类框架,主要修改集中在各类别的合规截止日期与适用门槛。
AI Act风险类别分布,,数字综合法案2026年适用情况
来源:European AI Office · SpazioCrypto整理 · 2026年5月
实际而言,中小企业日常使用的绝大多数AI工具,包括内部聊天机器人、辅助写作工具、数据分析、产品推荐及虚拟助手,均属于“最低风险”类别。对于这类系统,原版AI Act的合规要求本已宽松,数字综合法案予以确认:无需强制注册,无需正式合规评估,仅建议遵循最佳实践。
欧盟委员会就数字综合法案的官方立场,可在其X平台账号 @EU_Commission 查阅最新动态。
具体变化:截止日期与中小企业减负
事实上,5月7日协议带来三项实质性操作变化。
第一:非关键行业高风险系统的合规截止日期延后。在欧洲数据库中的注册义务及部分系统的合规评估均推迟执行。从事营销、非决策性人力资源或物流优化的企业获得了更多适应时间。
第二:员工不足250人、营业额低于5000万欧元的中小企业,在内部部署AI系统时所需的技术文档门槛降低。欧盟委员会采纳了欧洲工业界的诉求,此前业界普遍反映小企业的合规负担过重。
第三:生成式AI系统(如用于撰写文本、生成代码或问答的语言模型),若不属于“高影响力模型”(训练计算量超过1025 FLOP的门槛),则脱离“通用人工智能模型”类别下最严格的合规义务。具体来看:中小企业用于自动化邮件或文档处理的Claude Sonnet、GPT-4o、Gemini Flash无需特定合规认证;而GPT-5或Claude Opus等模型则仍在门槛范围内。对于管理企业AI自动化的从业者,这是一个重要的操作性区分。
对已使用AI的中小企业意味着什么
简而言之:眼下变化不大,但未来18个月将有深远影响。数字综合法案调整的是截止日期,而非取消义务本身。根据2026年5月的数据,超过60%的中小企业尚未建立内部AI使用政策,延期给了这些企业更多时间,而非永久豁免。
现阶段值得提前部署的三项行动:(1) 梳理企业内部使用的AI系统,明确各系统所属风险类别;(2) 核查所用AI工具的供应商是否属于“高影响力模型”;(3) 即便是最低风险系统,也应着手制定内部使用政策,因为从2027年起,许多行业的公共招标将对此提出要求。
《人工智能法案》合并文本(欧盟法规2024/1689)已在EUR-Lex数据库公开发布,仍是首要法规参考。
数字综合法案的修订内容将通过授权法规纳入官方文本,预计于2026年9月前发布。对于企业合规或技术管理岗位的从业者,追踪该授权法规的进展比关注政治声明更具实际意义。
目前欧洲讨论中尚缺少一个关键维度:在声称使用AI的中小企业中,有多少已核实其所用工具符合面向终端用户的透明度义务?这一要求在数字综合法案中同样保持不变。Google、Microsoft和Anthropic的企业级产品已完成合规对齐;而使用小众工具或内部自研方案的企业,相关核查工作大多仍未完成。对于关注香港证监会(SFC)及HKMA监管框架下AI合规动向的中文读者而言,欧盟此次修订提供了一个可供参照的监管基准。
