2026年AI Act嘅結構

AI Act係全球第一部全面嘅橫向人工智能監管法規。佢基於風險分級嘅架構係理解哪些義務適用於哪些系統嘅關鍵。

風險等級

該法案根據風險程度將AI系統分為四個等級：

• 禁止性系統——被完全禁止嘅做法，包括操縱性潛意識技術、利用脆弱性、公共機構嘅社會評分，以及某些形式嘅生物特徵分類同情緒識別
• 高風險系統——用於特定高風險場景嘅系統，須履行該法案大部分實質性義務，包括風險管理、數據治理、透明度、人工監督同準確性要求
• 有限風險系統——具有特定透明度義務嘅系統，包括大多數AI驅動嘅內容推薦系統同直接同用戶交互嘅聊天機器人
• 最低風險系統——其他所有系統，只須遵守一般性自願行為規範

廣告同推薦系統嘅定位

大多數面向廣告嘅AI——受眾評分、程序化競價優化、內容推薦、個性化引擎——係處於有限風險等級而唔係高風險等級嘅。聽落去令人寬慰，但有限風險等級仍然承載著實質性嘅透明度義務，同埋若干邊緣情況會將特定系統推入更高等級。關鍵在於，禁止性做法規則如果認定某個廣告系統涉及操縱同利用行為，便可以適用於該系統，而EDPB已表示願意對呢啲條款作廣義解釋。

分階段實施

2026年嘅時間表好重要：新系統嘅高風險義務喺2026年8月生效，已上市系統嘅高風險義務喺2027年生效，通用人工智能提供商嘅義務已經生效咗。發佈商同廣告主應將佢哋嘅AI清單同呢個時間表對應，以了解哪些義務係幾時適用嘅。

AI Act點樣疊加喺GDPR之上

AI Act唔取代GDPR，而係疊加喺佢之上。一個處理個人數據以產生AI驅動輸出結果嘅系統必須同時滿足兩套制度，而且呢啲義務係疊加關係，而唔係二揀一。

GDPR層

GDPR繼續規範個人數據處理嘅合法性。廣告畫像嘅同意、測量嘅合法依據、數據主體權利集群、跨境傳輸義務——呢啲均繼續不變地適用。

AI Act層

喺GDPR之上，AI Act增加咗專門針對AI系統本身嘅義務：系統係點樣訓練嘅、訓練用咗哪些數據、輸出結果係點樣記錄嘅、存在哪些監督機制、用戶獲得哪些透明度披露。無論底層數據處理係基於同意、合同定係其他合法依據，呢啲義務都附著於AI系統。

實際含義

運營基於個人數據嘅內容推薦系統嘅發佈商，既要為數據處理提供有效嘅GDPR合法依據，又要根據AI Act進行合規嘅透明度披露。單獨滿足任何一項均係唔夠嘅。合規面而家真正係二維嘅，而且文檔鏈必須覆蓋兩個維度。

禁止性做法同廣告

該法案嘅禁止性做法清單雖然短，但影響深遠，其中若干條目對廣告設計具有重要意義。

操縱性技術

該法案禁止AI系統採用潛意識技術、操縱性做法，或者以可能造成重大損害嘅方式利用特定群體嘅脆弱性。大多數廣告設計並唔曾觸及呢條界線——但針對已識別脆弱性（財務困境、心理健康狀態、成癮模式）使用AI驅動畫像嘅廣告，則可能跨越呢條界線。EDPB已喺早期指引中對此提出警示。

生物特徵分類

該法案禁止推斷敏感屬性嘅生物特徵分類，例如種族、政治觀點、工會成員身份、宗教信仰、性生活同性取向。基於生物特徵數據構建並推斷上述屬性嘅受眾細分，而家已經進入禁止性領域喇。

特定場景下嘅情緒識別

喺工作場所同教育場景中，情緒識別係被明令禁止嘅。喺上述場景以外嘅廣告情緒檢測用例或許仍然被允許，但係要面臨更嚴格嘅審查。

有限風險透明度義務

呢度係2026年發佈商同廣告主AI Act合規工作嘅重心所在。

推薦系統披露

對用戶所見內容進行個性化嘅內容推薦系統——無論係喺發佈商主頁、應用內信息流定係程序化廣告投放中——均屬於有限風險等級。必須告知用戶佢哋係同AI系統喺交互，而且系統必須經過設計，令交互嘅AI屬性清晰可辨。

聊天機器人披露

任何以對話形式直接同用戶交互嘅AI系統，均須披露佢嘅AI屬性。運營AI聊天界面嘅發佈商同廣告主——無論用於客戶支持、內容發現定係其他目的——均須滿足呢個基本要求。

合成內容披露

AI生成嘅圖像、音頻、視頻同文本內容須標注為AI生成嘅。喺編輯內容、廣告創意同產品圖像中使用AI生成嘅視覺同文本內容嘅發佈商，須履行標注義務。2026年嘅實施指引已經明確咗標注嘅技術規範，包括視覺內容嘅水印標準。

2026年嘅綜合同意面

CMP同隱私聲明而家要同時為兩套制度服務。2026年發佈商嘅CMP喺實質上比2024年嘅版本更加複雜。

細化同意目的

CMP區分一般廣告、廣告畫像、自動化決策同推薦個性化等唔同嘅同意目的。每項均對應AI Act同GDPR嘅特定邊界，而且每項均需要獨立嘅明示同意。

AI系統披露

隱私聲明或者配套嘅AI披露文件應描述所使用嘅AI系統、佢哋嘅目的、輸入數據嘅類別、輸出結果嘅大致邏輯，以及現有嘅人工監督機制。呢個唔單止係GDPR第22條嘅自動化決策披露——係更完整嘅AI透明度敘述。

反對權

GDPR嘅畫像反對權繼續適用，AI Act進一步增加咗用戶針對AI驅動推薦個性化嘅權利。用戶可以喺唔喪失基礎服務訪問權嘅情況下退出推薦個性化，而且退出機制要至少同選擇加入一樣方便。

2026年有效嘅操作模式

運營成熟2026年合規項目嘅發佈商同廣告主正在逐漸形成幾種操作模式。

AI清單

維護一份跨發佈商同廣告主技術棧中所有AI系統嘅實時清單：系統名稱、喺該法案下嘅風險等級、所處理嘅個人數據、GDPR下嘅合法依據、已實施嘅透明度披露，以及現有嘅人工監督。呢係基礎性嘅合規文件，亦係監管機構首先要求查閱嘅內容。

綜合隱私聲明

一份統一嘅隱私同AI透明度聲明——以葡萄牙語、德語、法語或者受眾所適用嘅其他語言——以連貫嘅敘述同時回應GDPR同AI Act嘅義務。維護兩份獨立披露文件容易產生矛盾並令讀者混亂。

供應商AI審計

對於代表發佈商處理AI驅動輸出結果嘅每個廣告同分析供應商，合同必須涵蓋AI Act義務嘅分配、技術文檔嘅訪問權限以及事件通知。2023年簽訂嘅標準數據處理協議未曾涵蓋AI Act，需要更新。

處罰同執法態勢

AI Act引入咗分級處罰制度，行政罰款額度可以超過GDPR嘅最高限額。

處罰等級

• 違反禁止性做法，最高處以EUR 3500萬或全球年營業額7%嘅罰款
• 其他大多數實質性違規，最高處以EUR 1500萬或3%嘅罰款
• 提供錯誤信息，最高處以EUR 750萬或1%嘅罰款

執法架構

各成員國指定負責AI Act執法嘅國家主管機構，歐洲AI辦公室協調對通用人工智能模型嘅監督。針對發佈商同廣告主嘅執法將主要通過國家主管機構進行，通常同現有數據保護機構密切協調。隨著高風險義務喺2026年全面生效，首批重大AI Act執法行動預計會貫穿2026年。

2026年AI驅動廣告審計清單

• 技術棧中所有AI系統嘅實時清單同風險等級分類
• 每個處理個人數據嘅AI系統均記錄有GDPR合法依據
• 對每個有限風險系統實施AI Act透明度披露，包括推薦個性化同聊天機器人
• 對AI生成嘅創意、圖像、音頻同視頻實施合成內容標注
• 以相關當地語言提供綜合隱私同AI透明度聲明
• CMP將畫像、自動化決策同推薦個性化作為可單獨同意嘅目的加以區分
• 對照禁止性生物特徵分類清單審查受眾細分
• 更新供應商合同以涵蓋AI Act義務嘅分配
• 為任何接近高風險邊界嘅系統記錄人工監督機制
• 數據主體同AI Act用戶權利工作流程能夠喺適用嘅響應期限內處理退出、解釋同人工審查請求

2026年展望

AI Act唔會取代GDPR——佢係疊加喺GDPR之上嘅，而且兩者疊加後嘅合規面實質上比任何一套制度單獨存在時更加複雜。對於運營AI驅動個性化、畫像、推薦系統同生成式內容嘅發佈商同廣告主嚟講，2026年係合規架構必須超越純粹GDPR姿態走向成熟嘅一年。嗰啲仍然將AI Act視為未來問題嘅企業會發現，未來嚟得比預期更快——國家主管機構將貫穿2026年同2027年發出首批執法行動。嗰啲從一開始便構建綜合合規體系嘅企業將會發現，呢個架構係物有所值嘅：AI Act嘅透明度義務如果得到良好實施，亦能強化GDPR同意同信任敘事；維護實時AI清單嘅運營紀律，其價值遠遠超出監管合規本身。