政策與監管

非律師也能看懂的歐盟《人工智慧法案》風險分級

Uncutly Editorial · 2026年7月15日 · 1 分鐘閱讀

歐盟《人工智慧法案》並不是一視同仁地對待所有AI,而這恰恰是多數解讀文章忽略的重點。它不是一套統一適用於每個AI系統的規則手冊,而是一套分級機制。任何在歐盟境內使用、或對歐盟產生影響的AI系統,都會被歸入四個風險等級之一,而你落在哪一級,決定了你面對的是徹底禁止、堆積如山的合規文件、單純的揭露義務,還是完全不受管制。本站先前的文章已詳細介紹過第50條規定的標示與揭露義務——也就是「必須告知使用者這是AI」的具體要求。這篇文章要談的則是這些規則所嵌入的更大架構:風險分級體系本身,以及一般創作者實際使用的工具最可能落在哪一級。

白話說明四個等級

不可接受風險意味著徹底禁止——不是受監管、不是被課稅、也不是需要標示,而是無論你是誰、多麼謹慎,在歐盟境內建置或部署都屬違法。高風險意味著合法,但受到嚴格監督——需要進行符合性評估、提交技術文件、建立人工監督機制、在歐盟資料庫登記,一應俱全。有限風險意味著合法,但附帶透明度要求——你必須揭露正在發生的事,但不需要事前核准,也不需要設立合規部門。最低風險意味著完全沒有AI專屬義務——你仍受GDPR、消費者保護法等一般法律約束,但《人工智慧法案》本身對你沒有任何要求。個人創作者日常的生成式AI使用,絕大多數落在最下面兩級。真正該擔心的是最上面兩級,而且理由通常是具體、可辨識的原因,而非「因為用了AI」這麼籠統。

不可接受風險:被直接禁止的短清單

第5條列出了八類歐盟認定與基本權利完全不相容的AI行為——沒有任何「但我們有揭露」的說法能讓這些行為合法。這些行為包括:以造成實質傷害的方式,透過潛意識操縱或剝削性手法操控人的AI;利用兒童、身心障礙者或經濟困難者脆弱性的AI;根據行為對人進行評分並施加懲罰的社會信用評分系統;純粹依據側寫而非實際犯罪行為證據,將某人標記為未來可能犯罪者的預測性執法工具;透過爬取網路或監視器畫面建立無差別人臉辨識資料庫的行為;在職場或校園中推斷他人情緒的行為;依據種族或性傾向等敏感生物特徵對人進行分類的行為;以及執法機關在公共場所進行即時生物辨識(僅有極少數例外)。這些禁令自2025年2月2日起已具強制力,且沒有任何既有條款豁免——即使系統早於法案生效前就已存在,也一體適用。

透過歐盟於2026年6月至7月定案的「數位綜合簡化法案」(Digital Omnibus)一攬子精簡方案,新增了一項與創作者切身相關的規定:專門設計用來生成或竄改真實可識別個人之非自願性私密影像的AI系統——也就是所謂的「一鍵去衣」(nudifier)應用程式,以及以未經同意方式生成性內容為目的之類似換臉工具——現已被明確全面禁止,禁令將於2026年12月2日生效。這項規定與上述行為屬於同一等級,而非標示與揭露的等級:無論是否揭露、是否加浮水印、是否設有年齡驗證、是否設有同意流程,都無法使其合法。只要一項工具的存在目的就是生成此類未經授權的內容,無論輸出結果如何標示都無關緊要——建置或營運這類工具本身即屬違法。違反第5條的罰則是本法案中最重的,最高可處3,500萬歐元或全球年營業額7%,以較高者為準。

高風險:合法,但合規負擔真實存在

高風險地位適用於附件三所列特定敏感領域中使用的AI系統——就業與勞工管理、教育與職業培訓評估、信用評分等基本服務的取得、移民與邊境管制、執法、司法行政,以及前述全面禁止用途以外的生物辨識或分類。如果你是創作者或小型工作室,你不太可能是這類系統的建置者——但你有可能在不自知的情況下成為其使用者。舉例來說,透過分析視訊面試篩選求職者的AI工具、讀取網路攝影機畫面以推斷觀眾對內容情緒反應的廣告科技平台,或是為客戶專案依受保護特徵對人進行分類的生物辨識系統,都屬於此類。這些系統在上市前必須通過符合性評估、備妥技術文件、建立人工監督機制,並在全歐盟資料庫登記——這是為擁有法務與工程團隊的企業所設計的合規負擔,而非個人創作者週末就能完成的專案。

實務時程在2026年出現重大調整。附件三所列這些系統的高風險義務,原本預定與其他規定一同自2026年8月2日起適用——但歐盟談判代表於2026年5月7日達成、並在6月經歐洲議會與理事會正式核准的「數位綜合簡化法案」協議,將此期限延後至2027年12月2日。至於已納入其他既有監管產品中的高風險AI,例如醫療器材或機械設備中的AI安全元件,則獲得更長的緩衝期,延至2028年8月2日。如果你的工作並未觸及這些敏感領域,這項延遲基本上只是背景訊息——但這是2026年《人工智慧法案》實際推行中最大的一項變動,顯示歐盟正在建立真正的緩衝空間,而非設下硬性截止日期。

有限風險:透明度就是全部義務

這是與一般內容創作者關係最直接的一級,也是第50條所規範的內容。如果你正在生成聊天機器人,就必須讓使用者清楚知道自己正在與機器對話。如果你生成或處理的圖像、音訊或影片內容逼真到足以被誤認為真實——例如合成的產品展示、AI旁白的新聞式短片,或經過竄改的真實事件錄影——你就必須清楚揭露這是人工生成或經過改動的內容,並在使用者實際接觸到內容之處進行揭露。如果你在前述禁止與高風險情境之外部署情緒辨識或生物特徵分類系統,你有義務告知相關人士這一點正在發生。以上這些都不需要事前核准、符合性評估或資料庫登記——需要的只是在使用者實際看到內容的當下,誠實告知他們正在看的是什麼。這些義務已於2026年8月2日起在全歐盟具強制力,同時歐盟執委會也正式取得調查與裁罰的權力。

最低風險:多數創意AI使用實際落在這一級

影片用的AI生成背景插圖、AI語音克隆旁白軌、AI輔助縮圖、用於情緒板的文字轉圖像成果、協助草擬劇本大綱的AI寫作工具——這些都不會觸發《人工智慧法案》的特定義務。它們既非禁止,也非高風險,而且除非輸出內容逼真到可能被誤認為真實事件或真實人物的真實畫面,否則甚至不會觸發第50條的揭露義務。你仍受著作權、誹謗、平台條款等一般規則約束,若處理個人資料則仍受GDPR約束——但《人工智慧法案》本身在這個領域基本上保持沉默。就數量而言,這其實是最大的一個類別:絕大多數用於娛樂、行銷與創意工作的生成式AI使用都屬於最低風險,而該法案的設計初衷正是刻意不去拖慢這類使用。

另一條軸線:AI模型本身

還有一點值得了解,因為它能解釋為什麼你所使用的工具,其條款中可能會提到「符合歐盟《人工智慧法案》」,即便你自己的使用屬於最低風險——通用型AI模型,也就是驅動多數消費級生成式工具的大型基礎模型,適用另一條合規路徑,對象是建置模型的公司,而非在其上開發應用的使用者。這些義務自2025年8月2日起已適用於模型提供者,而歐盟執委會實際執行裁罰的權力則於2026年8月2日生效。以超過約10的25次方浮點運算量訓練的模型,將被推定具有「系統性風險」,須承擔額外義務——包括風險評估、事件追蹤、網路安全要求,並須在達到該門檻後兩週內通知歐盟AI辦公室。這對建置前沿模型的少數公司而言是一項負擔,但對使用成品的一般使用者而言幾乎是無感的。

整合來看:你的工作流程實際落在哪裡?

對絕大多數以AI創作內容的人來說,誠實的全貌大致如下:日常的生成與編輯工作屬於最低風險,不受此法案影響;內容若逼真到可能被誤認為真實事件,則會觸發第50條下的有限風險揭露義務,而非禁止或合規流程;將AI用於招募、信用評分、生物特徵分類或類似敏感領域決策,則會落入高風險範疇,伴隨真實的文件要求,不過該等級的執法要到2027年12月才會生效;而真正被徹底禁止的,只有一份簡短而具體的清單——操縱性與剝削性行為、特定的生物辨識與社會信用評分用途,以及最新納入的、專為生成真實個人非自願性私密影像而設計的工具。這套制度的設計目的並非讓一般創意性AI使用變得困難,而是要讓少數特定危害行為違法、讓範圍稍大一些的敏感用途負起責任,並讓其餘一切保持透明,而非受到限制。

法規現況變動迅速,以上內容反映的是截至2026年7月中旬公開可得的資訊——在做出依賴這些資訊的決策前,請務必確認最新規定。本文僅為一般性資訊,不構成法律意見;若涉及實際利害關係,請諮詢在你所在司法管轄區具執業資格的律師。