Struktur AI Act pada 2026

AI Act adalah peraturan mendatar komprehensif pertama di dunia bagi kecerdasan buatan. Seni bina berperingkat risikonya adalah kunci untuk memahami kewajipan mana yang terpakai kepada sistem mana.

Peringkat Risiko

Akta mengklasifikasikan sistem AI kepada empat peringkat berdasarkan risiko yang ditimbulkan:

• Sistem yang dilarang — amalan yang diharamkan sepenuhnya, termasuk teknik subliminal manipulatif, eksploitasi kelemahan, pemarkahan sosial oleh pihak berkuasa awam, dan bentuk-bentuk tertentu pengkategorian biometrik dan pengecaman emosi
• Sistem berisiko tinggi — sistem yang digunakan dalam konteks pertaruhan tinggi yang ditetapkan, tertakluk kepada sebahagian besar kewajipan substantif Akta termasuk pengurusan risiko, tadbir urus data, ketelusan, pengawasan manusia, dan keperluan ketepatan
• Sistem berisiko terhad — sistem dengan kewajipan ketelusan tertentu, termasuk kebanyakan pengesyor kandungan berasaskan AI dan chatbot yang berinteraksi secara langsung dengan pengguna
• Sistem berisiko minimum — semua yang lain, tertakluk hanya kepada kod tingkah laku sukarela am

Di Mana Sistem Pengiklanan dan Pengesyoran Berada

Kebanyakan AI berorientasikan pengiklanan — pemarkahan audiens, pengoptimuman bidaan programatik, pengesyor kandungan, enjin pemperibadian — berada dalam peringkat berisiko terhad berbanding peringkat berisiko tinggi. Ini kedengaran seperti satu kelegaan, tetapi peringkat berisiko terhad masih membawa kewajipan ketelusan yang bermakna, dan beberapa kes sempadan mendorong sistem tertentu ke peringkat yang lebih tinggi. Secara kritikal, peraturan amalan yang dilarang boleh menjangkau sistem pengiklanan jika ia memasuki wilayah manipulasi atau eksploitasi, dan EDPB telah memberi isyarat kesediaan untuk mentafsir peruntukan ini secara luas.

Pentahapan

Kalendar 2026 penting: kewajipan berisiko tinggi untuk sistem baharu berkuat kuasa pada Ogos 2026, kewajipan berisiko tinggi untuk sistem yang sudah berada di pasaran berkuat kuasa pada 2027, dan kewajipan pembekal AI kegunaan umum sudah pun berkuat kuasa. Penerbit dan pengiklan harus memetakan inventori AI mereka terhadap kalendar ini untuk mengetahui kewajipan mana yang terpakai dan bila.

Bagaimana AI Act Berlapis di Atas GDPR

AI Act tidak menggantikan GDPR. Ia berlapis di atasnya. Sistem yang memproses data peribadi untuk menghasilkan output berasaskan AI perlu memenuhi kedua-dua rejim, dan kewajipan adalah tambahan bukannya alternatif.

Lapisan GDPR

GDPR terus mengawal kesahan pemprosesan data peribadi. Persetujuan untuk pemprofilan pengiklanan, asas sah untuk pengukuran, kluster hak subjek data, kewajipan pemindahan rentas sempadan — semua ini terus terpakai tanpa perubahan.

Lapisan AI Act

Di atas GDPR, AI Act menambah kewajipan khusus tentang sistem AI itu sendiri: bagaimana ia dilatih, data apa yang digunakan dalam latihan, bagaimana outputnya didokumentasikan, mekanisme pengawasan apa yang wujud, ketelusan apa yang diterima pengguna. Kewajipan ini melekat pada sistem AI tanpa mengira sama ada pemprosesan data asas berasaskan persetujuan, berasaskan kontrak, atau asas sah lain.

Implikasi Praktikal

Penerbit yang menjalankan pengesyor kandungan pada data peribadi memerlukan kedua-dua asas sah GDPR yang sah untuk pemprosesan data dan pendedahan ketelusan yang mematuhi di bawah AI Act. Salah satu sahaja tidak mencukupi. Permukaan pematuhan kini benar-benar dua dimensi, dan rantai dokumentasi perlu merangkumi kedua-dua paksi.

Amalan yang Dilarang dan Pengiklanan

Senarai amalan yang dilarang dalam Akta adalah pendek tetapi berkesan, dan beberapa entri mempunyai implikasi untuk reka bentuk pengiklanan.

Teknik Manipulatif

Akta melarang sistem AI yang menggunakan teknik subliminal, amalan manipulatif, atau mengeksploitasi kelemahan kumpulan tertentu dengan cara yang berkemungkinan menyebabkan kemudaratan yang ketara. Kebanyakan reka bentuk pengiklanan tidak menghampiri had ini — tetapi pengiklanan yang menyasarkan kelemahan yang dikenal pasti (tekanan kewangan, keadaan kesihatan mental, corak ketagihan) menggunakan pemprofilan berasaskan AI boleh melanggarnya. EDPB telah menandakan ini dalam panduan awal.

Pengkategorian Biometrik

Akta melarang pengkategorian biometrik yang menyimpulkan atribut sensitif seperti bangsa, pendapat politik, keahlian kesatuan sekerja, kepercayaan agama, kehidupan seksual, atau orientasi seksual. Segmen audiens yang dibina daripada data biometrik yang menyimpulkan atribut-atribut ini kini berada dalam wilayah yang dilarang.

Pengecaman Emosi dalam Konteks Tertentu

Pengecaman emosi dilarang dalam konteks tempat kerja dan pendidikan. Kes penggunaan pengesanan emosi dalam pengiklanan di luar konteks tersebut mungkin masih dibenarkan tetapi menghadapi penelitian yang lebih ketat.

Kewajipan Ketelusan Berisiko Terhad

Di sinilah sebahagian besar kerja pematuhan AI Act penerbit dan pengiklan berada pada 2026.

Pendedahan Sistem Pengesyoran

Pengesyor kandungan yang memperibadikan apa yang dilihat pengguna — sama ada di halaman utama penerbit, dalam suapan dalam aplikasi, atau dalam penempatan iklan programatik — termasuk dalam peringkat berisiko terhad. Pengguna mesti dimaklumkan bahawa mereka berinteraksi dengan sistem AI, dan sistem mesti direka bentuk supaya sifat AI dalam interaksi tersebut jelas.

Pendedahan Chatbot

Mana-mana sistem AI yang berinteraksi secara langsung dengan pengguna dalam bentuk perbualan mesti mendedahkan sifat AI-nya. Penerbit dan pengiklan yang menjalankan antara muka sembang AI — untuk sokongan pelanggan, penemuan kandungan, atau tujuan lain — perlu memenuhi garis dasar ini.

Pendedahan Kandungan Sintetik

Imej, audio, video, dan kandungan teks yang dijana AI mesti ditandai sebagai demikian. Penerbit yang menggunakan visual atau teks yang dijana AI dalam kandungan editorial, kreatif pengiklanan, atau imej produk perlu mematuhi kewajipan penandaan. Panduan pelaksanaan 2026 telah menjelaskan spesifikasi teknikal untuk penandaan, termasuk piawaian tera air untuk kandungan visual.

Permukaan Persetujuan Gabungan pada 2026

CMP dan notis privasi kini perlu melakukan kerja untuk kedua-dua rejim. CMP penerbit 2026 kelihatan jauh lebih terperinci berbanding pendahulunya pada 2024.

Tujuan Persetujuan Terperinci

CMP mendedahkan tujuan persetujuan yang membezakan antara pengiklanan umum, pemprofilan untuk pengiklanan, membuat keputusan automatik, dan pemperibadian pengesyoran. Setiap satu memetakan kepada sempadan AI Act dan GDPR tertentu, dan setiap satu memerlukan persetujuan afirmatifnya sendiri.

Pendedahan Sistem AI

Notis privasi atau dokumen pendedahan AI yang menyertainya menerangkan sistem AI yang digunakan, tujuannya, kategori data input, logik luas output, dan mekanisme pengawasan manusia yang ada. Ini lebih daripada pendedahan keputusan automatik Artikel 22 GDPR — ia adalah cerita ketelusan AI yang lebih lengkap.

Hak untuk Membantah

Hak GDPR untuk membantah pemprofilan terus terpakai, dan AI Act menambah hak pengguna lanjut berkaitan pemperibadian pengesyoran berasaskan AI. Pengguna boleh menarik diri daripada pemperibadian pengesyoran tanpa kehilangan akses kepada perkhidmatan asas, dan penarikan diri mesti sekurang-kurangnya semudah pendaftaran.

Corak Operasi yang Berkesan pada 2026

Penerbit dan pengiklan yang menjalankan program matang 2026 sedang menumpu kepada beberapa corak operasi.

Inventori AI

Kekalkan inventori langsung setiap sistem AI yang digunakan merentasi tindanan penerbit atau pengiklan: sistem tersebut, peringkat risikonya di bawah Akta, data peribadi yang diproses, asas sahnya di bawah GDPR, pendedahan ketelusan yang diterapkan, dan pengawasan manusia yang ada. Ini adalah artifak pematuhan asas dan itulah yang akan diminta oleh pengawal selia untuk dilihat terlebih dahulu.

Notis Privasi Gabungan

Satu notis privasi dan ketelusan AI gabungan tunggal — Portugis, Jerman, Perancis, atau bahasa mana yang sesuai untuk audiens — yang menangani kewajipan GDPR dan AI Act dalam naratif yang koheren. Cuba mengekalkan dua pendedahan berasingan menjemput percanggahan dan kekeliruan pembaca.

Audit AI Vendor

Bagi setiap vendor pengiklanan atau analitik yang memproses output berasaskan AI bagi pihak penerbit, kontrak mesti menangani peruntukan kewajipan AI Act, akses dokumentasi teknikal, dan pemberitahuan insiden. Perjanjian pemprosesan data standard dari 2023 tidak menangani AI Act dan perlu dikemas kini.

Penalti dan Postur Penguatkuasaan

AI Act memperkenalkan rejim penalti berperingkat dengan denda pentadbiran yang boleh melebihi maksimum GDPR.

Peringkat Penalti

• Sehingga EUR 35 juta atau 7 peratus daripada pusing ganti tahunan global untuk pelanggaran amalan yang dilarang
• Sehingga EUR 15 juta atau 3 peratus untuk kebanyakan pelanggaran substantif lain
• Sehingga EUR 7.5 juta atau 1 peratus untuk membekalkan maklumat yang tidak betul

Senibina Penguatkuasaan

Setiap Negara Ahli menentukan pihak berkuasa kompeten nasional untuk penguatkuasaan AI Act, dan Pejabat AI Eropah menyelaras pengawasan model AI kegunaan umum. Penguatkuasaan terhadap penerbit dan pengiklan akan berjalan terutamanya melalui pihak berkuasa nasional, sering kali dalam koordinasi rapat dengan pihak berkuasa perlindungan data sedia ada. Tindakan penguatkuasaan AI Act yang pertama dan ketara dijangka sepanjang 2026 apabila kewajipan berisiko tinggi mula berkuat kuasa sepenuhnya.

Senarai Semak Audit untuk Pengiklanan Berasaskan AI pada 2026

• Inventori langsung setiap sistem AI dalam tindanan dengan klasifikasi peringkat risiko
• Asas sah GDPR yang didokumentasikan untuk setiap sistem AI yang memproses data peribadi
• Pendedahan ketelusan AI Act diterapkan kepada setiap sistem berisiko terhad, termasuk pemperibadian pengesyoran dan chatbot
• Penandaan kandungan sintetik diterapkan kepada kreatif, imej, audio, dan video yang dijana AI
• Notis privasi dan ketelusan AI gabungan dalam bahasa tempatan yang berkaitan
• CMP mendedahkan pemprofilan, membuat keputusan automatik, dan pemperibadian pengesyoran sebagai tujuan yang boleh dipersetujui secara berasingan
• Segmen audiens disemak terhadap senarai pengkategorian biometrik yang dilarang
• Kontrak vendor dikemas kini untuk menangani peruntukan kewajipan AI Act
• Mekanisme pengawasan manusia yang didokumentasikan untuk mana-mana sistem yang menghampiri sempadan berisiko tinggi
• Aliran kerja hak subjek data dan hak pengguna AI Act boleh bertindak balas kepada permintaan penarikan diri, penjelasan, dan semakan manusia dalam tetingkap respons yang terpakai

Pandangan 2026

AI Act tidak menggantikan GDPR — ia bertindih di atasnya, dan permukaan gabungan jauh lebih terperinci daripada mana-mana rejim sahaja. Bagi penerbit dan pengiklan yang menjalankan pemperibadian berasaskan AI, pemprofilan, sistem pengesyoran, atau kandungan generatif, 2026 adalah tahun senibina pematuhan perlu matang melampaui postur GDPR semata-mata. Mereka yang menganggap AI Act sebagai kebimbangan masa hadapan akan mendapati masa hadapan tiba lebih cepat daripada yang dijangkakan, dengan pihak berkuasa nasional mengeluarkan tindakan penguatkuasaan pertama mereka sepanjang 2026 dan hingga 2027. Mereka yang membina pematuhan gabungan dari awal akan mendapati senibina tersebut memberikan manfaat: kewajipan ketelusan AI Act yang dilaksanakan dengan baik juga mengukuhkan cerita persetujuan dan kepercayaan GDPR, dan disiplin operasi untuk mengekalkan inventori AI langsung ternyata berguna jauh melampaui pematuhan peraturan.