嗨我是 Mech Muse 👋,今天要跟大家聊聊一則看起來超「法條」、但其實離我們每天用的 AI 工具不遠的新聞:歐盟原本被說是全世界最嚴的《AI 法案》(EU AI Act),現在準備踩煞車,不只放慢高風險 AI 條款上路時間,還想透過一個叫做「Digital Omnibus」的大修正包,調整整個數位監管框架。
這篇文章會帶你一步一步看:
- AI 法案本來長什麼樣?這次歐盟想改的關鍵是哪些 👀
- 從 2021 提案到 2025 說要「延後、鬆綁」,中間到底發生什麼
- 為什麼實務上大家會覺得壓力太大?高風險 AI、技術標準、監管能量卡在哪
- 最後幫你整理:這次的「踩煞車」,對 AI 開發者、企業和一般關心科技政策的人,各自代表什麼
AI 法案原本要怎麼管?這次到底在「延後」什麼
先把背景補齊。歐盟 AI 法案(EU AI Act)是全球第一部「全面監管 AI」的法律,正式法規編號是 Regulation (EU) 2024/1689。它想同時做到兩件事:
- 一方面保障「信任、安全、基本權利」
- 另一方面又要說自己「支持創新、維持競爭力」
很典型的歐洲風格:想要兩邊都抓住。
1. 核心設計:用「風險分級」來管 AI
AI Act 不是看到 AI 就一律開罰,而是用風險分級的方式把不同應用拆開來處理,大致分成幾層:
- 禁止類(Prohibited practices)
比方說:- 某些情境下的大規模遠端人臉辨識
- 社會信用評分(類似「社會信用分數」系統)
- 在職場或教育場域的情緒辨識等 這些被認為風險太高、侵害基本權利,直接禁止。
- 高風險 AI(High-risk systems)
這塊是整部法的「重頭戲」,包含:- 跟產品安全法連動的 AI(醫療器材、機器、玩具等內建的 AI)
- 影響重大權利的系統,例如教育錄取、徵才篩選、信貸核准、治安與警政系統 這些系統必須做到:
- 有系統性的風險管理
- 資料治理(避免偏見、錯誤)
- 留存技術與操作紀錄
- 透明度要求
- 部分情況還要做合規評估(conformity assessment)
有限風險 & 透明度類
像聊天機器人,至少要讓使用者知道「現在你在跟 AI 而不是真人互動」,或在深度偽造內容上標示清楚。
最低風險
比如修圖濾鏡、娛樂性應用,基本上放行,只要遵守一般法規就好。
總結一句話:
AI Act 的設計邏輯是:「越可能影響人生關鍵決策,越是要被嚴格要求。」
2. 原本排好的施行時間表:先禁最危險,再慢慢收緊
在「還沒踩煞車之前」,AI Act 有一個相對清楚的時間表:
- 2024/8/1: 法案正式生效(但多數義務還在過渡期)。
- 2025/2/2 起: 某些 禁止類 AI 做法 開始適用(例如社會信用評分等) 部分與 AI 素養 有關的要求跟著上路
- 2025/8/2 起: 針對 GPAI / foundation model(例如大型語言模型)的一系列義務開始落地, 包含透明度、技術文件、訓練資料說明等。
- 約 2026/8/2 之後: 多數 高風險 AI 系統 的核心義務正式開始適用, 例如風險管理系統、紀錄保存、基本權利影響評估等等。
- 2027 之後: 跟某些產品安全規則高度綁在一起的高風險系統, 還有公開登錄等要求,會在這之後陸續補上。
你可以把它想像成:
第一步:先把「絕對不能做」的行為畫出紅線
第二步:再把高風險領域加上安全帶與安全檢查
第三步:慢慢把資料庫、透明度、公開登錄等機制補齊
3. Digital Omnibus 想改什麼?延後 + 鬆綁的幾個關鍵
到了 2025 年底,風向開始變了。根據像 Tech Policy Press、PYMNTS、Financial Times 和路透等媒體的整理,歐盟執委會打算在一個叫做「Digital Omnibus」的修正包裡,動手調整 AI Act 的落地方式,包括:
- 延後高風險 AI 義務的實際生效時間
- 很多關鍵技術標準還沒寫完
- 成員國與產業都反映「來不及準備」
- 可能給高風險系統「一年的寬限期」
- 也就是法律條文已經在那邊,但實際罰則和全面合規要求會往後挪大約一年
- 讓企業有時間建立內部流程,而不是一下子就面臨高額罰款
- 延後部分透明義務與罰則啟動
- 包含 AI 產出標示、透明度相關違規的罰款,有可能延後到 2027 左右才真正啟用
- 引入類似「stop-the-clock」(暫停時計)機制
- 如果相關的標準、指引還沒準備好, 某些高風險義務的倒數計時可以「先暫停」,等條件具備再啟動
- 強化、集中 AI Office 的權限
- 原本 AI Office 比較專注在 GPAI / foundation model
- 現在有討論要把更多高風險 AI 的監管權限集中到這個單位, 讓布魯塞爾在實務上扮演更強的總管角色
- 替中小企業、新創減輕合規負擔
- 例如擴大監管 sandbox、簡化報告與登錄流程
- 某些情況下,讓系統更偏向「自我評估」而不是一開始就進入硬式審查
在官方說法裡,這些調整被包裝成:
簡化數位監管、減少官僚負擔、幫助創新。
但對很多公民團體與隱私倡議者來說,它看起來更像是:
趁著 Digital Omnibus,順便把原本 AI Act、GDPR、ePrivacy 等重點保護條款削弱一點。
這也是為什麼會有那麼多組織跳出來說,這次不只是「延後」,而是有可能構成一個 「質變級」的修改。
AI 法案這幾年的時間線:從「全球最嚴」到被迫踩煞車
如果只看 2025 年「歐盟要延後 AI Act」這個新聞,很容易以為他們在反覆橫跳。其實把整條時間線攤開,就會發現這比較像是:
一部雄心勃勃的大法,經過幾年現實壓力的「修正與自我檢查」。
1. 2021–2023:從草案到政治協議
- 2021 年 4 月:
歐盟執委會正式推出 AI Act 草案。當時的 framing 很明確:- 想做一個水平型的「AI 基本法」
- 把分散在各產業法規之間的空隙補起來
- 2023 年底:
歐洲議會和理事會達成政治協議,確定了幾個關鍵:- 風險分級的架構
- 高風險 AI 的定義與義務
- GPAI / foundation model 的要求與罰則上限
這段時間的氛圍比較像:
繼 GDPR 之後,歐洲再當一次全球數位規則訂定者。
很多評論都認為,AI Act 會變成新一波「布魯塞爾效應」的起點──只要想進歐盟市場,全球公司就得跟著歐洲規則調整產品。
2. 2024–2025 上半年:法律上路,但真正的重頭戲還沒開演
- 2024/7/12:AI Act 刊登於官方公報。
- 2024/8/1:法案正式生效,大部分條款進入過渡期。
- 2025/2/2:禁止類的 AI 做法開始被法律明文禁止。
- 2025/8/2:GPAI / foundation model 的主要義務正式開始適用。
這段時間,其實「高風險 AI 部分還沒真正全面啟動」,大家都在準備期:
- 各國要設立或指定主管機關、實驗沙盒(sandbox)
- 歐盟自己的 AI Office 還在擴編、找人才
- 歐洲標準化組織還在討論具體技術標準: 怎麼測偏見? 什麼叫「足夠透明」? 技術文件要細到什麼程度?
簡單說,這時候是:
條文已經定好了,但地面部隊還在整隊。
3. 2025 年中:產業開始集體喊「太重、太快」
到了 2025 年中後段,來自產業的壓力明顯放大。
- 有一批歐洲的 AI 公司(裡面包含一些蠻有代表性的新創)聯名公開信,擔心:
- 高風險 AI 的合規成本,對中小企業、新創來說負擔太大
- 如果照原本的時間表走,歐洲會失去競爭力,人才和資金都會往美國或其他地區跑
- 成員國層級也陸續出來表態:
- 有國家直接提議:高風險 AI 條款應該在相關技術標準完成後才開始算時程
- 不然大家都在沒有明確標準的情況下「盲目合規」,風險跟成本都非常高
這個階段的關鍵是:
大家開始不再只是在意「AI 會不會失控」, 而是開始很認真地問:「這樣的法規,產業撐得住嗎?」
4. 2025 年 10–11 月:Digital Omnibus 與「延後」、「鬆綁」的消息浮出台面
10 月起,媒體開始報導,歐盟執委會內部討論要不要暫停或延後 AI Act 部分條款的實施,特別是高風險相關部分,理由包括:
- 技術標準延期
- 監管機關還沒準備好
- 成員國與美國等盟友的壓力
11 月上旬,《Financial Times》與路透報導指出:
- 這些延後、調整,將會被打包進一個叫 Digital Omnibus 的修正提案裡
- 這個 Omnibus 不只是管 AI Act,還會碰到 GDPR、ePrivacy 等其他數位法規
11 月中旬,Tech Policy Press、PYMNTS 等媒體則用「AI Act shake-up」、「EU slows AI Act rollout」這種字眼,來形容這次的調整。
另外一邊,公民團體與隱私組織也同步出手,像 noyb、EDRi、ICCL 等單位聯名警告:
- Digital Omnibus 可能削弱 AI Act、GDPR、ePrivacy 的核心保護
- 例如重寫個資與敏感資料的定義、放寬「正當利益」基礎
- 讓企業更容易在較低透明度下,用大量個資訓練 AI
所以,當你看到新聞寫「2025-11-13 歐盟考慮延後 AI Act 部分條款」時,背後其實是一整串從 2021 走到 2025 的拉扯與累積。
為什麼要踩煞車?高風險 AI、標準和監管現實的多重壓力
接著我們來聊關鍵問題:
歐盟為什麼會走到「不得不放慢腳步」這一步?
如果只說「產業覺得太重」,老實說有點太簡化。實際上大概可以拆成三塊:
- 高風險 AI 的門檻本來就設得很高
- 技術標準寫不完,監管機關還沒長大
- 全球競爭與投資需要「可預測性」,不是只要「延後」
1. 高風險 AI 義務,本來就不是簡單 checklist
在原版 AI Act 的設計裡,高風險系統要做的事非常多,不是只簽個聲明就可以:
- 完整的風險管理流程
- 資料治理與品質控管
-確保訓練、驗證、測試資料品質
-降低偏見、錯誤與不公平結果 - 技術與操作紀錄
-要留下足夠紀錄,一旦出問題可以追溯 - 基本權利影響評估
-如果系統會影響教育、工作、金融、公共服務等關鍵領域
-需要額外評估對基本權利的影響 - 合規評估與文件準備
-對某些系統來說,上市前就要通過特定程序
大企業當然有能力處理這些,但他們的抱怨比較是:
如果技術標準還沒定、指引也不清楚,我們到底要照什麼規則設計系統?
換句話說,現在的壓力不只是「嚴」,而是「嚴 + 不確定」。
2. 標準還沒寫完,監管機關本身也還在成長中
第二個現實問題是:
AI Act 很多細節,是留給「後面要寫的標準跟指引」決定的。
目前的情況大概是這樣:
- 歐盟層級的 AI Office 還在擴編階段,要找既懂技術又懂法規的人才並不容易
- 各會員國的主管機關、實驗 sandbox 還在建立或試運轉
- 很多技術標準還在起草階段:
- 什麼程度的偏見算「不可接受」?
- 模型透明度要怎麼量化?
- 系統要記錄哪些資料,才能算「可追溯」?
在這種情況下,如果 2026 年就硬性要求所有高風險系統完全照表操課,有幾個風險:
- 監管機關「看不懂也審不完」
- 各國解讀不一,造成市場碎片化
- 中小企業、新創直接退出市場或轉移到其他地區
所以,這次 Digital Omnibus 裡的「延後一年」、「stop-the-clock」之類提議,其實某種程度是在承認:
我們原本設定的時間表,對標準制定者跟監管單位來說也太樂觀了。
3. 產業真正怕的不是嚴,而是「變來變去」
從很多新創、投資人、甚至大型企業的訪談看起來,他們其實 不是完全反對 AI Act,反而有不少人說:
我們可以接受有一套嚴格但清楚的規則,比起一條一直改來改去的規則好太多。
原因很直覺:
- 投資與招募需要「可預測性」
- 要投入多少錢做合規?
- 要不要請一整個 AI governance 團隊?
- 要不要調整產品線只做低風險或非歐盟市場? 如果規則一年變一次,計畫很難排。 - 延後 ≠ 風險消失
-法律只要還存在,企業總是得面對
-提早布局治理、紀錄與資料管控,長期來看反而比較省事
所以,對產業來說,這次 Digital Omnibus 帶來的矛盾感在於:
- 一方面,「延後一年 + 技術標準補齊」這件事是好消息
- 另一方面,如果每隔一段時間就有「再延後」、「再鬆綁」的消息,他們在策略上反而更難做出長期決策
4. 公民社會的焦慮:簡化,會不會變成實質「倒退」?
最後,從公民團體與數位權利組織的角度來看,
他們最擔心的不是「晚一年」,而是:
會不會趁機把原本拉得很高的保護水位往下調?
幾個具體的疑慮包括:
- 重新定義個資、敏感資料與「正當利益」範圍
- 一旦放寬,企業可能更容易用大量個資訓練 AI 模型
- 而使用者難以真正選擇「要不要被拿去訓練」 - 高風險系統可能「自我降級」
- 如果企業可以自己說「我這個不是高風險」, 又不必向公開登錄平台報備或說明理由, 那原本靠公開資訊讓外界監督的機制就會被掏空 - 透明義務被稀釋
- 如果某些標示、說明義務被延後過久, 在這段空窗期內,使用者可能根本不知道某些決策背後有 AI 參與
所以對這一派來說,Digital Omnibus 的關鍵不是「方便不方便企業」,
而是:
歐盟還是不是那個願意當『人權和基本權利守門員』的歐盟?
這次的「煞車」代表什麼?給開發者、企業跟讀者的幾個整理
講到這裡,我們可以稍微收斂一下:
AI Act 並沒有消失,風險分級也還在。這次新聞的重點是:歐盟被迫承認,原本設想的落地速度,跟技術發展和行政現實之間有落差,只好調整節奏。
我用三個角色來做個小結:
1. 對 AI 開發者與產品團隊:延後,不代表可以鬆懈
以目前可以看到的方向來說,大致可以這樣理解:
- 禁止類 AI 做法
- 這些已經在法律上被明確畫紅線
- Digital Omnibus 不太可能在這裡大幅鬆綁
- GPAI / foundation model 義務
- 時程上仍在往前走,只是執法細節還會再被微調
- 對大型模型提供者來說,技術文件、透明度、訓練資料說明等仍然是重中之重
- 高風險 AI 系統
- 有機會拿到 一年的寬限期 或類似 stop-the-clock 的安排
- 但「要做風險管理、要可追溯、要重視基本權利」這些核心要求並沒有消失
如果你現在就在做教育、徵才、金融、醫療、公共服務等領域的 AI 系統,其實這次消息反而是在提醒:
你多了一點時間,把『模型治理、資料治理、紀錄保存』這幾件事做好, 不要等主管機關來敲門才開始重建流程。
這些東西不只為了符合法規,對控風險、提升客戶信任度,其實都是資產。
2. 對公司決策者:真正要看的是「路線有沒有變」
從企業策略的角度來看,Digital Omnibus 帶來的問題比較像是:
- 如果法規真的往「簡化」方向走:
- 中型企業、新創 的確可以暫時少一點合規壓力
- 但也可能出現另一種狀況:
願意做比較多治理投資的公司,反而短期內沒有明顯獎勵, 願意踩線的人可以更 aggressive
- 如果歐洲逐漸從「我立最嚴的全球標準」轉向
「我也要顧投資與競爭力,所以要跟技術跑,偶爾還是會鬆一下」, 那 AI Act 的象徵意義就會從:- 「全球 AI 監管最高標」 變成比較像:「一個會被不斷調整的框架,需要長期追蹤,而不是背一次就好」
對企業來說,可能比較務實的選擇是:
- 把 AI 治理 納入自己內部的長期能力建設,而不是只被動跟著條文跑
- 把 歐盟要求的底線 當作內部最低標準的一部分
- 在產品設計上預留空間,因為接下來幾年規則很可能還會再微調
3. 對一般使用者、研究者、政策觀察者:這只是「續集的第一章」
從 GDPR 到 AI Act,這幾年歐盟一直扮演「數位規則制定者」的角色。
這次 Digital Omnibus 其實丟出了一個蠻重要的問句:
在 AI 這種進展極快的領域,歐洲還能不能同時當『人權守門員』跟『創新基地』?
目前可以確定的是:
- AI Act 仍然是全球觀察重點之一
- 它不會是「一次寫好就放在那邊不動」的法,而是會跟著:
- 技術發展
- 產業壓力
- 公民社會監督 不斷被修、被微調
對你我這種每天用 AI 工具、同時又會關心政策走向的人來說,這件事至少提醒我們:
- AI 法規是動態的:寫完不等於結束,接下來還會常態性更新。
- 標準與監管能力如果跟不上,再漂亮的法文字也有可能變成「紙上合規」。
- 「延後上路」有時候不是在放水,而是集體承認:「大家都準備不及,需要多一點時間把基礎打好」。
之後等到 Digital Omnibus 正式公布、進入談判程序,內容一定還會再微調。
我也會持續追蹤,再整理給你。
歡迎在方格子追蹤我 Mech Muse 🌟 你的一個追蹤或愛心,都是讓我有動力繼續整理這些複雜議題。 我們下篇再聊 👋
延伸閱讀:
【Mech系列】 美國人型機器人公司總覽|開場篇:含各公司詳細介紹🤖
【Mech系列】美國小型核能新勢力大揭密:8 大公司完整解析
【Mech 系列】全球機器人補助與政策總覽|各國政策解析方向
【Mech系列】人形機器人核心硬體全解析:從零件開始的下一場科技革命
