Panduan Lengkap Akta Kepintaran Buatan EU (Akta AI)

9 September 2025
Masa Membaca: 16 Minit

Akta Kecerdasan Buatan EU—Peraturan (EU) 2024/1689—menetapkan peraturan yang mengikat secara sah untuk mana-mana sistem AI yang diletakkan di pasaran Eropah atau yang outputnya menjangkau pengguna EU, menjadikannya undang-undang AI berasaskan risiko mendatar pertama di mana-mana sahaja. Sama ada anda membina model, menyepadukan alatan pihak ketiga atau hanya menggunakan chatbots untuk memberi perkhidmatan kepada pelanggan, Akta ini mewujudkan tugas baharu dan mendedahkan anda kepada denda yang menggiurkan sehingga 7% daripada perolehan global bagi setiap pelanggaran. Kemasukan berkuat kuasa ialah 1 Ogos 2024; kewajipan pematuhan fasa dari Februari 2025 hingga Ogos 2027, bermakna masa penyediaan adalah terhad.

Panduan praktikal ini memotong jargon undang-undang dan menerangkan dengan tepat perkara yang anda perlu ketahui: skop Akta dan takrifan utama, klasifikasi risiko empat peringkatnya, garis masa dan mekanik penguatkuasaan, kewajipan konkrit untuk pembekal, pengguna, pengimport dan pengedar, dan penalti jika gagal. Kami juga memetakan peraturan kepada GDPR, NIS2, peraturan keselamatan produk dan keperluan khusus sektor, sebelum memberikan anda senarai semak pematuhan langkah demi langkah yang boleh diambil tindakan oleh pasukan kejuruteraan, undang-undang dan kepimpinan dengan segera. Mari sediakan anda—sebelum juruaudit datang mengetuk.

Sekilas Pandang: Apakah Sebenarnya Akta AI EU

Peraturan (EU) 2024/1689—lebih dikenali sebagai Akta Kepintaran Buatan EU— ialah peraturan EU yang terpakai secara langsung, bukan arahan. Ini bermakna artikelnya menggigit secara automatik di setiap Negara Anggota tanpa memerlukan transposisi nasional, sama seperti GDPR dilakukan pada tahun 2018. Matlamatnya adalah dua kali ganda: melindungi hak asas dan keselamatan sementara pada masa yang sama memberi kepastian undang-undang kepada syarikat untuk berinovasi secara bertanggungjawab dengan AI. Untuk mencapai matlamat ini, Akta ini memperkenalkan kit alat berasaskan risiko mendatar yang merangkumi setiap sektor daripada kewangan kepada penjagaan kesihatan, sistem penggredan daripada risiko "minimum" kepada "tidak boleh diterima" dengan tugas undang-undang yang sepadan.

Skop dan Definisi yang Anda Perlu Tahu

Sebelum merangka pelan pematuhan, kuasai perbendaharaan kata teras:

Sistem AI: "sistem berasaskan mesin yang direka bentuk untuk beroperasi dengan tahap autonomi yang berbeza-beza dan, untuk objektif tersurat atau tersirat, membuat kesimpulan daripada data input cara menjana output-seperti ramalan, kandungan, cadangan atau keputusan-yang boleh mempengaruhi persekitaran fizikal atau maya."
AI tujuan am (GPAI): sistem AI yang mampu melaksanakan pelbagai tugas yang berbeza, tanpa mengira cara ia kemudiannya diperhalusi atau digunakan.
Pembekal: mana-mana orang asli atau undang-undang yang membangunkan—atau telah membangunkan—sistem AI dengan tujuan untuk meletakkannya di pasaran atau meletakkannya dalam perkhidmatan di bawah nama atau tanda dagangan mereka.
Pengguna (sering dipanggil "penyerah"): seseorang atau entiti yang menggunakan sistem AI di bawah kuasanya, tidak termasuk penggunaan peribadi dan bukan profesional.
Pengimport: Pihak yang ditubuhkan kesatuan yang meletakkan sistem AI di pasaran EU yang mengandungi nama atau tanda dagangan entiti yang terletak di luar Kesatuan.
Pengedar: pelakon dalam rantaian bekalan—selain daripada pembekal atau pengimport—yang menyediakan sistem AI tanpa mengubah suainya.

Jangkauan wilayah adalah luas: mana-mana sistem yang diletakkan di pasaran EU atau keluaran yang digunakan di EU adalah tertakluk di bawah Akta, tidak kira di mana pemaju berada. Ukiran wujud untuk aplikasi ketenteraan atau keselamatan negara semata-mata, prototaip R&D yang belum dipasarkan, dan projek hobi peribadi.

Prinsip Utama Tertanam dalam Akta

Peraturan itu melipat konsep etika yang telah lama wujud ke dalam undang-undang yang boleh dikuatkuasakan:

Agensi manusia dan pengawasan
Kekukuhan teknikal dan keselamatan
Privasi dan tadbir urus data
Ketelusan dan kebolehjelasan
Kepelbagaian, tanpa diskriminasi dan keadilan
Kesejahteraan masyarakat dan alam sekitar

Ini mencerminkan Prinsip AI OECD dan EU "Garis Panduan Etika untuk AI yang boleh dipercayai,” tetapi kini membawa gigi kawal selia.

Peraturan lwn Garis Panduan Undang-undang Sedia Ada

Sehingga 2024, tadbir urus AI di Eropah bergantung pada rangka kerja sukarela seperti EU AI Pact atau kod etika korporat. Akta AI mengubah permainan: pematuhan adalah wajib, boleh diaudit dan disokong oleh denda sehingga €35 juta atau 7% daripada hasil global. Dalam erti kata lain, pengisytiharan "AI beretika" tidak lagi mencukupi—organisasi mesti menghasilkan penilaian pematuhan, penandaan CE dan log yang boleh disahkan atau risiko dihalang daripada pasaran EU.

Garis Masa, Status Undang-undang dan Fasa Penguatkuasaan

Akta Kecerdasan Buatan EU bergerak dari cadangan kepada undang-undang yang mengikat dalam masa lebih tiga tahun sahaja—kelajuan ringan mengikut piawaian Brussels. Kerana ia adalah Peraturan, kebanyakan artikel digunakan secara automatik di seluruh blok tanpa transposisi nasional. Apa yang berubah dari semasa ke semasa ialah kewajipan yang menggigit dahulu. Jadual waktu di bawah menunjukkan peristiwa penting politik yang membawa kami ke sini dan menetapkan peringkat untuk tugas pematuhan berperingkat-peringkat yang mesti organisasi anda kini kalendar.

Tarikh	Milestone	Kepentingan
21 April 2021	Suruhanjaya menerbitkan draf Akta AI	Permulaan formal proses perundangan
9 Dec 2023	Parlimen & Majlis mencapai perjanjian politik	Teks teras sebahagian besarnya dikunci
13 Mar 2024	Undian akhir Parlimen Eropah (523-46)	Kelulusan demokrasi dijamin
21 Mei 2024	Majlis penerimaan EU	Halangan perundangan terakhir diselesaikan
10 Julai 2024	Teks yang diterbitkan dalam Jurnal Rasmi	Kira detik undang-undang bermula
Ogos 1 2024	Peraturan (EU) 2024/1689 mula berkuat kuasa	“Hari 0” untuk semua tarikh akhir masa hadapan

Tarikh kemasukan berkuat kuasa mencetuskan satu siri tarikh permohonan berperingkat yang tersebar selama tiga tahun. Reka bentuk ini memberi ruang kepada pembekal, pengguna, pengimport dan pengedar untuk membina proses pematuhan, model naik taraf dan melatih kakitangan—namun ini juga bermakna juruaudit akan menjangkakan kemajuan yang boleh ditunjukkan sebelum 2027.

Pelan Hala Tuju Penguatkuasaan: Apa Terpakai Apabila

6 bulan | 1 Feb 2025
- Amalan AI yang dilarang (Art. 5) mesti berada di luar pasaran—tiada alasan.
12 bulan | 1 Ogos 2025
- Tugas ketelusan untuk deepfakes, chatbots dan pengecaman emosi bermula.
- Kod amalan untuk tujuan am AI (GPAI) dijangka; sukarela tetapi sangat disyorkan.
24 bulan | 1 Ogos 2026
- Keperluan sistem berisiko tinggi bermula: pengurusan risiko, tadbir urus data, dokumentasi teknikal, pengawasan manusia dan persediaan penandaan CE.
- Pembekal mesti mendaftarkan sistem berisiko tinggi dalam pangkalan data EU baharu.
36 bulan | 1 Ogos 2027
- Rejim penuh terpakai, termasuk sistem pengenalan biometrik, penilaian pematuhan badan diberitahu dan pengisytiharan pematuhan EU mandatori untuk semua AI berisiko tinggi.
- Pihak berkuasa pengawasan pasaran mendapat kuasa untuk memerintahkan penarikan balik atau penarikan balik untuk produk yang tidak patuh.

Klausa peralihan membenarkan sistem berisiko tinggi yang telah digunakan secara sah sebelum Ogos 2026 untuk kekal di pasaran sehingga mereka menjalani "pengubahsuaian yang besar." Rancang peningkatan dengan berhati-hati untuk mengelakkan menetapkan semula jam pematuhan secara tidak sengaja.

Institusi dan Badan Penyeliaan

Tiga lapisan pengawasan menguatkuasakan Akta Kepintaran Buatan EU:

Pejabat AI EU (Suruhanjaya Eropah) – Menyelaras panduan, mengekalkan daftar GPAI, dan boleh mengenakan denda ke atas pembekal model sistemik.
Pihak Berkuasa Kompeten Kebangsaan – Satu setiap Negara Anggota; mengendalikan pemeriksaan, aduan, dan pengawasan pasaran harian.
Badan yang diberitahu – Organisasi penilaian pematuhan bebas yang mengaudit sistem berisiko tinggi sebelum penandaan CE.

Pelakon ini bekerjasama melalui Lembaga Kepintaran Buatan Eropah (EAIB), yang mengeluarkan nota tafsiran yang diselaraskan—anggaplah ia sebagai AI yang setara dengan EDPB GDPR. Sentiasa berwaspada terhadap bimbingan mereka; ia akan membentuk cara fail teknikal dan penilaian risiko anda dinilai dalam amalan.

Rangka Kerja Pengelasan Risiko Empat Peringkat

Di tengah-tengah Akta Kepintaran Buatan EU (Akta AI) terdapat model lampu isyarat yang menentukan betapa sukarnya peraturan itu: semakin tinggi risiko terhadap hak dan keselamatan orang ramai, semakin berat beban pematuhan. Setiap sistem AI mesti dipetakan kepada satu daripada empat kelas—tidak boleh diterima, tinggi, terhad atau minimum. Klasifikasi memacu segala-galanya: kedalaman dokumentasi, ketelitian ujian, pengawasan, dan, akhirnya, akses pasaran.

Peringkat risiko	Contoh biasa	Akibat undang-undang teras	Tarikh permohonan pertama*
Tidak boleh diterima	Pemarkahan sosial, ID biometrik masa nyata di ruang awam, enjin "dorongan" manipulatif	Jumlah larangan; pengeluaran dan denda sehingga €35 m / 7 %	1 Februari 2025
Tinggi	Alat saringan CV, perisian diagnosis perubatan, pemarkahan kelayakan kredit, modul pemanduan autonomi	Penilaian pematuhan, penandaan CE, kemasukan pendaftaran, pemantauan pasca pasaran	1 Ogos 2026 (biometrik: 1 Ogos 2027)
Terhad	Chatbots, penjana deepfake, widget analisis emosi	Notis ketelusan dan kawalan pengguna asas	Ogos 1 2025
Minimal	Penapis spam berkuasa AI, NPC permainan video	Tiada peraturan wajib; kod sukarela sahaja	Sudah berkuat kuasa

* Dikira dari tarikh kemasukan 1 Ogos 2024 berkuat kuasa.

Rangka kerja adalah dinamik: jika anda menambah ciri baharu atau menukar pengguna sasaran, sistem anda mungkin melonjak satu peringkat, mencetuskan tugas baharu.

Risiko Tidak Boleh Diterima: Amalan AI yang Dilarang

Perkara 5 menarik garis merah di bawah penggunaan yang dianggap oleh EU sememangnya tidak serasi dengan hak asasi. Ini termasuk:

Teknik subliminal yang secara material memesongkan tingkah laku
Mengeksploitasi kelemahan kanak-kanak bawah umur atau orang kurang upaya
Masa nyata tanpa pandang bulu pengenalan biometrik dalam ruang yang boleh diakses secara umum (ukir penguatkuasaan undang-undang yang sempit dikenakan)
Pemarkahan sosial oleh pihak berkuasa awam
Kepolisan ramalan hanya berdasarkan data profil atau lokasi

Sistem sedemikian tidak boleh mencecah pasaran EU. Pihak berkuasa negara boleh mengarahkan penarikan balik serta-merta, dan penalti mengatasi tangga terbaik Akta.

Sistem AI Berisiko Tinggi: Kategori Lampiran III

Sistem mendarat dalam baldi berisiko tinggi jika ia sama ada:

Komponen keselamatan produk yang telah dikawal (cth, di bawah Peraturan Jentera atau Peranti Perubatan), atau
Disenaraikan dalam lapan domain sensitif Annex III—biometrik, infrastruktur kritikal, pendidikan, pekerjaan, perkhidmatan penting, penguatkuasaan undang-undang, penghijrahan, dan keadilan.

Setelah dikelaskan sebagai berisiko tinggi, pembekal mesti mengendalikan sistem pengurusan kualiti, melaksanakan kitaran pengurusan risiko dan mendapatkan penilaian pematuhan—kadangkala melalui badan diberitahu luaran. Pengguna (pengguna) mewarisi tugas pembalakan, pengawasan dan pelaporan insiden.

Risiko Terhad: Kewajipan Ketelusan

Alat berisiko terhad tidak berbahaya, tetapi EU percaya kesedaran pengguna mengurangkan kebanyakan bahaya. Pembuat chatbots, enjin seni generatif-AI atau perkhidmatan suara sintetik mesti:

Maklumkan kepada pengguna yang mereka berinteraksi dengan AI (“Imej ini dijana AI”)
Dedahkan kandungan palsu dalam dalam tera air yang boleh dibaca mesin
Elakkan daripada mengumpul data peribadi secara rahsia melebihi apa yang diperlukan

Gagal memberikan notis menurunkan taraf sistem terus ke wilayah ketidakpatuhan dan mengundang denda pentadbiran.

Risiko Minima/Diabaikan: Tiada Peraturan Mandatori

Penapis spam, teks ramalan dalam e-mel atau AI yang mengoptimumkan penggunaan tenaga HVAC biasanya terdapat di sini. Akta Kecerdasan Buatan EU (Akta AI) tidak mengenakan kewajipan keras, tetapi ia secara aktif menggalakkan kod sukarela, kotak pasir kawal selia dan pematuhan kepada piawaian antarabangsa seperti ISO/IEC 42001. Menyimpan dokumentasi ringan dan ujian berat sebelah asas masih merupakan langkah pintar—pengawal selia boleh mengklasifikasikan semula kes sempadan jika bukti bahaya muncul.

Kewajipan Teras untuk Penyedia, Penyebar dan Pelakon Lain

Akta Kepintaran Buatan EU menyebarkan tugas pematuhan ke seluruh rantaian bekalan. Oleh kerana liabiliti mengikut fungsi, bukan saiz syarikat, anda perlu terlebih dahulu menentukan topi yang anda pakai—penyedia, pengguna (pengguna), pengimport atau pengedar—dan kemudian lapisan pada sebarang keperluan khusus risiko. Kehilangan klasifikasi yang betul ialah penemuan audit biasa, jadi anggap latihan pemetaan sebagai langkah sifar program anda.

Pembekal Sistem Berisiko Tinggi

Pembekal memikul beban paling berat kerana mereka mengawal keputusan reka bentuk. Tugas utama:

Sediakan Sistem Pengurusan Kualiti (QMS) yang didokumenkan yang meliputi tadbir urus data, pengurusan risiko, kawalan perubahan dan keselamatan siber.
Jalankan penilaian pematuhan ex-ante. Kebanyakan sistem Lampiran III boleh menilai sendiri, tetapi ID biometrik, peranti perubatan dan kes penggunaan kritikal keselamatan lain memerlukan badan yang diberitahu.
Susun dokumentasi teknikal: seni bina model, garis keturunan data latihan, metrik penilaian, ujian kekukuhan, mekanisme pengawasan manusia dan pelan pemantauan pasca pasaran.
Draf Perisytiharan Pematuhan EU, lekatkan penandaan CE dan daftarkan sistem dalam pangkalan data AI awam sebelum penggunaan pertama.
Wujudkan pengawasan pasca pasaran berterusan: catatkan insiden serius, latih semula apabila ambang drift melepasi, dan maklumkan pihak berkuasa yang berwibawa dalam masa 15 hari.

Mengabaikan mana-mana langkah ini boleh mencetuskan denda sehingga €15 juta atau 3% daripada perolehan global—walaupun tiada bahaya berlaku.

Pengguna / Penyebar Sistem Berisiko Tinggi

Penyebar menukar kod kepada impak dunia nyata, jadi Akta memberikan senarai semak mereka sendiri:

Kendalikan sistem dengan ketat mengikut arahan pembekal dan kes penggunaan yang didokumenkan.
Menjalankan Penilaian Kesan Hak Asas (FRIA) apabila pengguna ialah pihak berkuasa awam atau apabila AI mempengaruhi akses kepada perkhidmatan penting seperti perumahan atau kredit.
Memastikan pengawasan manusia yang berkelayakan: kakitangan mesti dilatih, diberi kuasa untuk mengatasi output, dan dapat menjelaskan keputusan kepada individu yang terjejas.
Kekalkan log selama sekurang-kurangnya enam tahun, termasuk data input, output, campur tangan manusia dan anomali prestasi.
Laporkan insiden serius kepada penyedia dan pihak berkuasa negara tanpa "kelewatan yang tidak wajar", biasanya ditafsirkan sebagai 72 jam.

Pengimport dan Pengedar

Pelakon yang memperkenalkan atau meneruskan sistem AI di EU mempunyai tugas menjaga pintu:

Sahkan bahawa penandaan CE, Pengisytiharan Pematuhan EU dan arahan wujud dan sepadan dengan fungsi yang dipasarkan.
Elakkan daripada membekalkan produk jika mereka tahu—atau sepatutnya tahu—bahawa produk itu tidak patuh; sebaliknya, maklumkan kepada pembekal dan pihak berkuasa yang berwibawa.
Simpan daftar aduan dan penarikan balik, menjadikannya tersedia kepada pihak berkuasa atas permintaan.
Bekerjasama dalam tindakan pembetulan, termasuk pengeluaran produk atau tampung perisian.

Kewajipan AI (Model Yayasan) Tujuan Am

Akta ini menambah peraturan yang dipesan lebih dahulu untuk pencipta GPAI atau model asas yang boleh dibenamkan di mana-mana sahaja:

Menyediakan dokumentasi teknikal yang komprehensif dan ringkasan set data yang digunakan, termasuk status lesen dan asal geografi.
Terbitkan kenyataan tentang pematuhan hak cipta dan, jika boleh, laksanakan mekanisme tarik diri untuk kerja yang dilindungi.
Menjalankan dan mendokumentasikan ujian risiko sistemik jika model melebihi ambang pengiraan dalam Lampiran XI (fikirkan 10^25 FLOP). Tugas tambahan bermula untuk "GPAI sistemik" seperti menawarkan pelaksanaan rujukan dan bekerjasama dengan Pejabat AI EU.
Model sumber terbuka menikmati kewajipan sentuhan yang lebih ringan, namun kandungan yang dijana tera air mesti masih dan arahan penggunaan membekalkan memperincikan had yang boleh dijangka.

Dengan menjajarkan kawalan dalaman anda dengan senarai semak khusus peranan di atas, anda boleh menutup jurang pematuhan yang paling ketara jauh sebelum tarikh akhir penguatkuasaan Ogos 2026 dan 2027 mencecah.

Keperluan Teknikal dan Organisasi untuk Mencapai Pematuhan

Akta Kecerdasan Buatan EU tidak menetapkan satu cetak biru yang sesuai untuk semua. Sebaliknya, ia mentakrifkan "keperluan penting" berorientasikan hasil dan memberi anda kebebasan untuk memilih kawalan yang membuktikannya. Caranya ialah menggabungkan amalan baik kejuruteraan dengan kebersihan kawal selia, supaya setiap kemas kini model atau penyegaran data secara automatik jatuh ke dalam saluran pematuhan yang boleh diulang. Lima blok binaan di bawah menterjemah artikel undang-undang Akta kepada tugas konkrit yang boleh dimiliki oleh produk, data dan pasukan undang-undang anda.

Tadbir Urus dan Pengurusan Data

Data buruk sama dengan kryptonite kawal selia. Artikel 10 memaksa penyedia AI berisiko tinggi untuk mendokumenkan dan mewajarkan setiap bait yang memasuki saluran paip.

Susun set data yang relevan, mewakili, bebas ralat dan terkini untuk populasi yang dimaksudkan.
Kekalkan "helaian data" untuk setiap korpus: sumber, tarikh pengumpulan, syarat pelesenan, langkah prapemprosesan, semakan berat sebelah dan tempoh pengekalan.
Jejaki keturunan dalam repositori terkawal versi supaya anda boleh melancarkan semula jika pihak berkuasa menuntut pembetulan.
Lakukan ujian berat sebelah dan ketidakseimbangan menggunakan kaedah statistik yang kukuh (χ², KS-test, atau metrik keadilan model-agnostik) dan tindakan pengurangan log.

Pastikan jejak penuh—data mentah, skrip, keputusan ujian—boleh diakses untuk 10 tahun; tetingkap lihat belakang Akta adalah panjang.

Rangka Kerja Pengurusan Risiko

Perkara 9 memerlukan a proses yang berterusan dan didokumenkan yang mencerminkan ISO 31000 dan draf ISO/IEC 23894.

Kenal pasti bahaya: senario penyalahgunaan, serangan musuh, hanyutan data.
Menganalisis impak dan kemungkinan; skor mereka pada skala yang sama (cth, risk = probability × severity).
Tentukan kawalan: perlindungan teknikal, pengawasan manusia, had kontrak.
Sahkan kawalan selepas setiap kemas kini utama; suapan penemuan ke dalam pecut seterusnya.

Simpan segala-galanya dalam daftar risiko hidup; pengawal selia mengharapkan untuk melihat cap masa, pemilik dan bukti penutupan.

Pengawasan Manusia dan Ketelusan oleh Reka Bentuk

Artikel 14 dan 52 menukarkan "human-in-the-loop" kepada tugas reka bentuk mandatori.

Tentukan mod pengawasan: dalam gelung (kelulusan manual), on-the-gelung (makluman masa nyata), atau over-the-gelung (audit post-hoc).
Benamkan lapisan kebolehjelasan: peta kepentingan, contoh kontrafaktual, peraturan keputusan yang dipermudahkan.
Sediakan pilihan override dan fallback yang kedua-duanya boleh dilaksanakan secara teknikal dan diberi kuasa organisasi.
Tawarkan notis pengguna bahasa biasa (“Anda berinteraksi dengan sistem AI”) dan dedahkan skor keyakinan di mana boleh.

Keteguhan, Ketepatan dan Keselamatan Siber

Di bawah Perkara 15, model mesti kekal dalam kadar ralat yang diisytiharkan dan menentang gangguan berniat jahat.

Tetapkan ambang prestasi minimum; memantau ketepatan, ketepatan, penarikan semula dan penentukuran drift dalam pengeluaran.
Jalankan ujian daya tahan lawan (FGSM, PGD, keracunan data) sebelum setiap keluaran.
Keraskan infrastruktur selaras dengan NIS2 dan ETSI EN 303 645: API selamat, akses berasaskan peranan, pusat pemeriksaan model yang disulitkan.
Sediakan pelan sandaran— lalai mod selamat, peningkatan semakan manusia—apabila prestasi menurun di bawah jalur toleransi.

Penyimpanan Rekod, Pembalakan dan Dokumentasi CE

Jika ia tidak ditulis, ia tidak pernah berlaku—mantera yang menjadi undang-undang dalam Perkara 11 dan 19.

Dokumen	Kandungan Utama	Pengekalan
Fail Teknikal	seni bina model, ringkasan data latihan, metrik penilaian, kawalan keselamatan siber	Kitaran hayat + 10 thn
Balak	input, output, acara mengatasi, statistik prestasi, insiden	≥ 6 tahun
Deklarasi Kesesuaian EU	pernyataan pematuhan, piawaian yang digunakan, butiran pembekal	Tersedia untuk umum
Pelan Pemantauan Pasca Pasaran	KPI, saluran pelaporan, ambang pencetus	Dikemas kini secara berterusan

Automasi penangkapan log jika boleh; gunakan storan tidak berubah atau lejar tambahan sahaja supaya bukti kekal dalam penelitian forensik. Setelah dossier selesai, ikatkan Menandakan CE dan serahkan sistem kepada pangkalan data EU—barulah ia boleh mencapai pasaran.

Dengan pendawaian keras kawalan teknikal dan organisasi ini ke dalam kitaran hayat pembangunan anda, anda mengubah pematuhan daripada perebutan saat akhir kepada keupayaan sentiasa aktif yang akan diiktiraf oleh juruaudit—dan memberi ganjaran.

Penalti, Remedi dan Pendedahan Litigasi

Akta Kepintaran Buatan EU tidak bergantung pada dorongan sopan; ia menggunakan kayu yang cukup besar untuk membuat eksekutif tersentak. Sekatan kewangan mencerminkan skala GDPR, namun Akta tersebut juga memberi kuasa kepada pihak berkuasa untuk tarik produk dari rak, perintah pemadaman data atau paksa latihan semula model jika risiko tidak dapat dielakkan. Denda dihadkan mengikut mana-mana yang lebih tinggi—jumlah euro mutlak atau peratusan pusing ganti tahun sebelumnya di seluruh dunia—jadi walaupun permulaan peringkat awal mengelakkan rasa puas hati. Jadual di bawah meringkaskan peringkat yang dibenarkan:

Jenis pelanggaran	Max tetap dengan baik	% maks daripada perolehan global	Pencetus biasa
Amalan yang dilarang (Art. 5)	€35 m	7%	Pemarkahan sosial, pengawasan jisim biometrik haram
Kewajipan berisiko tinggi (Art. 8–15)	€15 m	3%	Tiada penilaian pematuhan, tadbir urus data yang cacat
Kegagalan maklumat & pendaftaran	€7.5 m	1%	Dokumen teknikal yang tidak tepat, laporan kejadian lewat
Notis ketidakpatuhan rutin	€500K	n / a	Pelanggaran kecil selepas amaran

Pihak berkuasa penyeliaan boleh mengenakan bayaran penalti harian untuk mempercepatkan pemulihan. Produk yang masih menimbulkan "risiko serius" menghadapi wajib penarikan balik atau pengeluaran pasaran— reputasi yang melanda tiada rancangan PR boleh menyembunyikan.

Sekatan Pentadbiran lwn Liabiliti Sivil

Denda kawal selia bukanlah penamat. Arahan Liabiliti AI (AILD) dan Arahan Liabiliti Produk (PLD) yang akan datang membuka laluan selari untuk tuntutan kerosakan swasta. Mangsa yang cedera akibat keputusan AI akan menikmati:

A anggapan kausalitas yang boleh disangkal apabila penyedia melanggar kewajipan Akta AI, meringankan beban pembuktian.
Hak pendedahan lanjutan, membenarkan plaintif meminta log dan penilaian risiko yang biasanya akan kekal di dalam rumah.
Peraturan yang diselaraskan di seluruh Negara Anggota, namun undang-undang tort negara masih boleh memberikan piawaian yang lebih ketat (cth, doktrin tindakan salah Belanda).

Oleh itu, syarikat boleh menghadapi hukuman satu-dua: denda pentadbiran berjuta-juta euro diikuti dengan tindakan kelas sivil, terutamanya dalam bidang seperti penafian kredit atau pengambilan pekerja yang diskriminasi.

Membaiki Mekanisme dan Perlindungan Pemberi Maklumat

Individu dan NGO boleh membuat aduan terus kepada mereka pihak berkuasa berwibawa kebangsaan atau Pejabat AI EU. Pihak berkuasa mesti menyiasat dalam "tempoh yang munasabah" dan boleh memberikan langkah sementara, termasuk perintah penggantungan. Orang yang terjejas juga mengekalkan remedi kehakiman—injunksi, saman pampasan, dan rayuan terhadap keputusan penyeliaan.

pekerja yang mengesan salah laku dilindungi di bawah EU Arahan Pemberitahuan:

Saluran pelaporan sulit adalah wajib untuk firma yang mempunyai 50+ kakitangan.
Tindakan balas—pemecatan, penurunan pangkat, ugutan—adalah dilarang secara nyata.
Pemberi maklumat boleh menghubungi pihak luar kepada pengawal selia atau akhbar jika laluan dalaman gagal.

Oleh itu, mewujudkan talian pelaporan tanpa nama yang diiklankan dengan baik adalah keperluan undang-undang dan sistem amaran awal yang boleh menyelamatkan anda daripada penguatkuasaan yang lebih mahal di kemudian hari.

Memetakan Akta AI kepada GDPR, NIS2, Keselamatan Produk dan Peraturan Sektor

Akta Kepintaran Buatan EU (Akta AI) bukan pulau yang berdiri sendiri. Ia dipalamkan ke lautan pematuhan yang sesak yang sudah termasuk rangka kerja perlindungan data, keselamatan siber dan keselamatan menegak. Mengabaikan arus silang adalah berisiko: sistem AI yang menandakan setiap kotak AI Act masih boleh melanggar GDPR atau NIS2, dan sebaliknya. Di bawah kami menyerlahkan titik sentuh utama supaya pasukan undang-undang, keselamatan dan produk anda boleh membina satu peta kawalan bersepadu dan bukannya menyulap empat senarai semak berasingan.

Bertindih Dengan GDPR dan ePrivacy

Batasan asas & tujuan yang sah: pemprosesan data peribadi dalam model berisiko tinggi mesti memenuhi sekurang-kurangnya satu alasan GDPR (selalunya kepentingan atau persetujuan yang sah).
Had membuat keputusan automatik: Perkara 22 GDPR mengehadkan keputusan automatik sepenuhnya dengan kesan undang-undang atau ketara; keperluan pengawasan manusia Akta AI sering bertindak sebagai perlindungan teknikal yang membuka kunci pengecualian Perkara 22(2)(b) atau (c).
Senario pengawal bersama: apabila penyerah memperhalusi GPAI yang disediakan oleh vendor, kedua-duanya mungkin menjadi pengawal bersamas di bawah GDPR—merancang Perjanjian Pemprosesan Data dengan sewajarnya.
Ketik dua kali tugas ketelusan: Akta AI mewajibkan pendedahan pengguna (“dijana AI”), manakala Artikel GDPR 12-14 menuntut notis privasi yang memperincikan aliran data, pengekalan dan hak. Draf satu notis berlapis yang meliputi kedua-duanya.

Keselamatan Siber dan Sinergi NIS2

NIS2 memerlukan penilaian risiko, tindak balas insiden dan keselamatan rantaian bekalan untuk entiti "penting" dan "penting". Akta AI mencerminkannya dengan memerlukan ujian keteguhan, pemantauan kerentanan dan pelaporan pelanggaran dalam masa 15 hari. Manfaatkan satu aliran kerja SOC:

Jalankan ujian kekukuhan lawan semasa penilaian pematuhan Akta AI.
Suapkan keputusan ke dalam daftar risiko NIS2.
Gunakan buku main pelaporan insiden 72 jam yang sama untuk kedua-dua rejim.

Integrasi Dengan Perundangan Produk Sedia Ada

Jika AI anda ialah komponen keselamatan produk terkawal (peranti perubatan, mesin, mainan, lif, sistem automotif), anda mesti melakukan tunggal penilaian pematuhan yang meliputi:

Keperluan keselamatan am atau prestasi di bawah undang-undang sektor; dan
AI Act penting (pengurusan risiko, tadbir urus data, pengawasan manusia).

Piawaian yang diselaraskan di bawah Rangka Kerja Perundangan Baharu tidak lama lagi akan merujuk kedua-dua set keperluan, membenarkan satu fail teknikal dan satu penandaan CE.

Contoh Khusus Sektor

Perkhidmatan kewangan: menggabungkan pengelogan Akta AI dengan garis panduan EBA tentang anti-pengubahan wang haram untuk membuktikan model keadilan dan kebolehjelasan.
Pengurusan grid tenaga: mesh kawalan risiko Akta AI dengan keperluan keselamatan siber ENTSO-E untuk sistem SCADA.
Automotif: UNECE WP.29 mewajibkan tadbir urus kemas kini perisian; integrasikan log kemas kini tersebut ke dalam pemantauan pasca pasaran Akta AI anda.
Penjagaan kesihatan: gandingkan artifak ISO 13485 QMS dengan dokumentasi set data Akta AI untuk mengelakkan audit berlebihan.

Perbandingan Antarabangsa

Syarikat global mesti menyelaraskan Akta Kepintaran Buatan EU (Akta AI) dengan peraturan yang muncul di tempat lain:

bidang Kuasa	Instrumen utama	Perbezaan yang ketara
US	Perintah Eksekutif & NIST AI RMF	Sukarela tetapi boleh menjadi garis dasar perolehan persekutuan
China	Langkah Gen-AI Interim	Pendaftaran nama sebenar & penapisan kandungan diwajibkan
UK	Rangka Kerja Pro-inovasi	Panduan khusus pengawal selia, belum ada undang-undang mendatar

Dengan memetakan pertindihan awal, pasukan multinasional boleh mereka bentuk rangka kerja kawalan yang memenuhi peraturan paling ketat yang ditetapkan dahulu, kemudian mendail ke bawah apabila undang-undang tempatan lebih ringan.

Senarai Semak Pematuhan Praktikal dan Amalan Terbaik

Mengubah artikel dan bacaan Akta Kecerdasan Buatan EU (Akta AI) menjadi amalan seharian boleh berasa menakutkan. Caranya adalah untuk memecahkan perjalanan ke dalam tindakan bersaiz kecil yang boleh dimiliki oleh pasukan undang-undang, produk dan keselamatan. Gunakan pelan hala tuju 12 langkah di bawah sebagai pelan projek yang hidup—semaknya pada setiap demo pecut dan mesyuarat lembaga sehingga Ogos 2027.

Inventori setiap komponen AI atau algoritma dalam pengeluaran dan R&D.
Kelaskan setiap peringkat risiko sistem dan peranan pelakon anda (penyedia, pengguna, pengimport, pengedar).
Petakan undang-undang yang terpakai (GDPR, NIS2, peraturan sektor) dan kenal pasti pertindihan.
Lakukan analisis jurang terhadap keperluan penting Akta AI.
Reka bentuk atau kemas kini Sistem Pengurusan Kualiti (QMS) anda.
Tegakkan struktur tadbir urus pelbagai disiplin.
Draf templat dokumentasi teknikal dan mula mengisinya.
Bina saluran paip tadbir urus data dan ujian berat sebelah.
Jalankan penilaian pematuhan awal atau audit yang dijalankan secara kering.
Latih kakitangan—jurutera, pemilik risiko dan sokongan pelanggan.
Lancarkan aliran kerja pemantauan pasca pasaran dan pelaporan insiden.
Jadualkan semakan berkala dan gelung penambahbaikan berterusan.

Penilaian Kesediaan dan Analisis Jurang

Mulakan dengan hamparan atau penyenaraian papan tiket: nama sistem, tujuan, sumber data latihan, tahap risiko, kawalan sedia ada dan jurang terbuka. Tetapkan setiap jurang pemilik dan tarikh akhir. Skor semula baki risiko selepas setiap penutupan; pengawal selia suka melihat jejak peningkatan berulang itu.

Membina Struktur Tadbir Urus yang Betul

Letakkan orang, bukan sahaja dasar, bertanggungjawab:

Pegawai pematuhan AI: satu tekak untuk tercekik.
Jawatankuasa etika merentas fungsi: produk, undang-undang, keselamatan, HR.
Penyemak luar atau perhubungan badan yang dimaklumkan.
Pautan ketat dengan DPO dan CISO anda untuk mengelakkan membuat keputusan yang diam-diam.

Dokumen irama mesyuarat, hak keputusan dan laluan peningkatan.

Dokumentasi dan Alat

Seragamkan artifak supaya jurutera tidak mencipta semula roda:

Templat	Tujuan	Format yang disyorkan
Kad Model	Keupayaan, had, metrik	Markdown + JSON
Risalah Data	Sumber, pelesenan, ujian berat sebelah	Spreadsheet
Laporan Ketelusan	Pendedahan yang dihadapi pengguna	HTML / PDF
Hak Asas IA	Penyebar sektor awam	Alat berasaskan bentuk

Bantuan sumber terbuka: Kit Alat AI EU, senarai semak draf ISO/IEC 42001 dan repo GitHub untuk metrik berat sebelah.

Pengurusan Penjual dan Rantaian Bekalan

Aliran tugas AI Act hiliran:

Tambahkan jaminan pematuhan-penilaian dan hak audit kepada kontrak.
Memerlukan pembekal untuk berkongsi kad model, keputusan ujian kekukuhan dan log kejadian.
Sediakan Slack kongsi atau baris gilir tiket untuk pendedahan kerentanan yang cepat.

Pemantauan Berterusan dan Kemas Kini Kitaran Hayat Model

Pemantauan pra-pengerahan, dalam-penggunaan dan pasca-pengerahan harus dijalankan daripada timbunan telemetri yang sama. Cetuskan penilaian semula apabila:

Anjakan pengedaran data input (KL divergence > ambang pratetap).
Ketepatan jatuh di bawah minimum yang diisytiharkan.
Insiden serius atau nyaris direkodkan.

Tutup gelung dengan semakan tadbir urus suku tahunan dan audit luaran tahunan—bukti bahawa pematuhan bukan projek sekali sahaja tetapi keupayaan tetap.

Soalan Lazim: Jawapan Pantas kepada Soalan Lazim

Adakah Akta AI EU sudah berkuat kuasa?
ya. Peraturan (EU) 2024/1689 mula berkuat kuasa pada 1 Ogos 2024. Walau bagaimanapun, kebanyakan kewajipan konkrit fasa kemudian: amalan terlarang hilang menjelang Februari 2025, peraturan ketelusan bermula Ogos 2025, tugas berisiko tinggi tiba Ogos 2026 (biometrik Ogos 2027). Jadi jam berdetik walaupun aplikasi penuh masih berperingkat.

Apakah empat tahap risiko?
Akta Kecerdasan Buatan EU mengelompokkan sistem kepada (1) Risiko yang tidak boleh diterima—dilarang sama sekali; (2) Risiko tinggi—hanya dibenarkan selepas penilaian pematuhan dan penandaan CE; (3) Risiko terhad—terutamanya tugas ketelusan (cth, chatbots, deepfakes); dan (4) Risiko minimum—tiada peraturan keras tetapi kod sukarela digalakkan. Tugas pertama anda ialah memetakan setiap model kepada salah satu peringkat ini.

Adakah Akta tersebut telah menggantikan strategi AI nasional?
Tidak. Negara Anggota boleh menyimpan atau mencipta strategi nasional, kotak pasir dan skim pembiayaan. Akta ini hanya mengharmonikan pengawal selia keperluan supaya perniagaan menghadapi satu buku peraturan di seluruh EU. Inisiatif tempatan tidak boleh bercanggah dengan rangka kerja risiko Peraturan atau menjejaskan mekanisme penguatkuasaannya.

Adakah syarikat permulaan mempunyai pengecualian?
Tidak juga. Peraturan itu terpakai tanpa mengira saiz syarikat kerana risiko, bukan hasil, mendorong kewajipan. Walau bagaimanapun, kotak pasir, dokumentasi yang lebih ringan untuk beberapa model GPAI, dan panduan yang dibiayai oleh Suruhanjaya bertujuan untuk mengurangkan geseran pentadbiran untuk PKS. Mengabaikan pematuhan kerana anda "kecil" adalah tanggapan salah yang berbahaya.

Bagaimanakah Akta AI mengendalikan model sumber terbuka?
Mengeluarkan berat model secara terbuka tidak mengecualikan anda. Anda masih mesti menyediakan ringkasan data latihan, kandungan terjana tera air dan menerbitkan arahan penggunaan. Kewajipan lebih ringan daripada model komersial tertutup, tetapi jika sistem sumber terbuka anda menjadi "GPAI sistemik", tugas ujian dan pelaporan tambahan akan bermula.

Adakah Akta itu Arahan?
Tidak. Ia adalah Peraturan—terpakai secara langsung di setiap Negara Anggota tanpa transposisi nasional. Fikirkannya seperti GDPR: sebaik sahaja ia mula berkuat kuasa, kewajipan undang-undang wujud di seluruh EU dan hanya panduan penguatkuasaan praktikal boleh berbeza-beza secara tempatan.

Apakah yang berlaku jika pembekal saya berada di luar EU?
Jangkauan wilayah menyusul output, bukan ibu pejabat. Jika sistem vendor luar negara dipasarkan di EU atau keputusannya digunakan di sini, pembekal mesti memenuhi keperluan Akta AI EU dan menetapkan wakil undang-undang yang berpangkalan di EU. Penyebar di dalam Kesatuan masih menjalankan kewajipan pengguna, jadi pilih pembekal dengan berhati-hati.

Poin-poin utama

Masih meluncur? Berikut adalah lembaran curang:

Akta Kepintaran Buatan EU (Akta AI) bukan lagi draf—ia telah berkuat kuasa sejak 1 Ogos 2024 dan membawa undang-undang AI berasaskan risiko mendatar pertama ke mana-mana sahaja.
Peringkat risiko mendorong segala-galanya: sistem yang tidak boleh diterima diharamkan, sistem berisiko tinggi memerlukan penandaan CE dan kemasukan pendaftaran, manakala alat yang terhad dan berisiko minimum menghadapi tugas yang lebih ringan—tetapi bukan sifar.
Ketidakpatuhan adalah mahal: sehingga €35 juta atau 7% daripada perolehan global untuk amalan yang dilarang, serta potensi liabiliti sivil di bawah arahan EU yang akan datang.
Kewajipan terletak di seluruh rantaian bekalan: pembekal, pengguna, pengimport dan pengedar masing-masing mempunyai senarai semak khusus, dan model tujuan umum kini mempunyai peraturan yang dipesan lebih dahulu.
Akta ini tidak menggantikan GDPR, NIS2 atau undang-undang keselamatan produk; anda mesti menggabungkan semua rangka kerja ke dalam satu program tadbir urus bersepadu.

Perlukan bantuan untuk menukar teks undang-undang kepada kod kerja, dasar dan kontrak? Peguam teknologi dan privasi di Law & More boleh melakukan imbasan kesediaan Akta AI pantas, mendraf dokumentasi yang diperlukan dan membimbing anda melalui penilaian pematuhan—sebelum juruaudit datang mengetuk.

Perlukan Bantuan Guaman?

Hubungi Kami Law & More untuk panduan pakar mengenai perkara undang-undang anda. Pasukan berbilang bahasa kami sedia membantu.

Perlukan Nasihat Undang-undang?

Peguam berpengalaman kami sedia membantu anda dengan soalan undang-undang anda.

7 Risiko GDPR Yang Perlu Diketahui Setiap Perniagaan Semasa Berkongsi Data

Perkongsian data merupakan nadi perdagangan moden. Sama ada anda sedang memulakan perkhidmatan penyedia awan baharu,

Februari 26, 2026
Masa membaca: 10 minit

Liabiliti jenayah untuk usahawan teknologi: bilakah pertikaian IP sivil bertukar menjadi jenayah?

Sebuah syarikat SaaS Belanda menerima surat gencatan dan henti yang mendakwa bahawa ciri teras syarikat mereka

Februari 21, 2026
Masa membaca: 7 minit

Memohon Paten di Belanda: Panduan Lengkap untuk Usahawan

1. Pengenalan – Mengapakah Paten Penting untuk Usahawan? Anda telah menghabiskan masa berbulan-bulan –

Februari 14, 2026
Masa membaca: 12 minit

Kekal Dikemas kini tentang Undang-undang Belanda

Langgan surat berita kami untuk mendapatkan maklumat terkini tentang undang-undang, kemas kini kawal selia dan nasihat praktikal.

Peguam korporat

Peguam Pekerjaan

Peguam Imigresen

Peguam Keluarga

Peguam Tenaga

Peguam Harta Tanah

Peguam Jenayah

Peguam Sivil

Peguam IT

Peguam perceraian

Undang-undang Korporat

Undang-undang Pekerjaan

Undang-undang Imigresen

Undang-Undang Keluarga

Undang-undang Tenaga

Undang-undang Harta Tanah

Undang-Undang Jenayah

Undang-undang sivil

Undang-undang IT

Firma kami

Pasukan kami

Daftar Kawasan Perundangan

Lokasi

Eindhoven

Amsterdam

Peluang Kerjaya

Kenapa pilih kami

Borang Hubungan

Konsultasi Buku

Pejabat kami