2026年AI Act的结构

AI Act是全球首部全面的横向人工智能监管法规。其基于风险分级的架构是理解哪些义务适用于哪些系统的关键。

风险等级

该法案根据风险程度将AI系统分为四个等级：

• 禁止性系统——被完全禁止的做法，包括操纵性潜意识技术、利用脆弱性、公共机构的社会评分，以及某些形式的生物特征分类和情绪识别
• 高风险系统——用于特定高风险场景的系统，须履行该法案大部分实质性义务，包括风险管理、数据治理、透明度、人工监督和准确性要求
• 有限风险系统——具有特定透明度义务的系统，包括大多数AI驱动的内容推荐系统和直接与用户交互的聊天机器人
• 最低风险系统——其他所有系统，仅须遵守一般性自愿行为规范

广告和推荐系统的定位

大多数面向广告的AI——受众评分、程序化竞价优化、内容推荐、个性化引擎——处于有限风险等级而非高风险等级。这听起来令人宽慰，但有限风险等级仍承载着实质性的透明度义务，且若干边缘情况会将特定系统推入更高等级。关键在于，禁止性做法规则若认定某广告系统涉及操纵或利用行为，便可适用于该系统，而EDPB已表示愿意对这些条款作广义解释。

分阶段实施

2026年的时间表至关重要：新系统的高风险义务于2026年8月生效，已上市系统的高风险义务于2027年生效，通用人工智能提供商的义务已然生效。发布商和广告主应将其AI清单与这一时间表对应，以了解哪些义务何时适用。

AI Act如何叠加于GDPR之上

AI Act并不取代GDPR，而是叠加其上。一个处理个人数据以产生AI驱动输出结果的系统必须同时满足两套制度，且这些义务是叠加关系，而非二选一。

GDPR层

GDPR继续规范个人数据处理的合法性。广告画像的同意、测量的合法依据、数据主体权利集群、跨境传输义务——这些均继续不变地适用。

AI Act层

在GDPR之上，AI Act增加了专门针对AI系统本身的义务：系统如何训练、训练使用了哪些数据、输出结果如何记录、存在哪些监督机制、用户获得哪些透明度披露。无论底层数据处理是基于同意、合同还是其他合法依据，这些义务都附着于AI系统。

实际含义

运营基于个人数据的内容推荐系统的发布商，既需要为数据处理提供有效的GDPR合法依据，又需要根据AI Act进行合规的透明度披露。单独满足任一项均不充分。合规面现在真正是二维的，且文档链必须覆盖两个维度。

禁止性做法与广告

该法案的禁止性做法清单虽短，但影响深远，其中若干条目对广告设计具有重要意义。

操纵性技术

该法案禁止AI系统采用潜意识技术、操纵性做法，或以可能造成重大损害的方式利用特定群体的脆弱性。大多数广告设计并未触及这条界线——但针对已识别脆弱性（财务困境、心理健康状态、成瘾模式）使用AI驱动画像的广告，则可能跨越这条界线。EDPB已在早期指引中对此提出警示。

生物特征分类

该法案禁止推断敏感属性的生物特征分类，例如种族、政治观点、工会成员身份、宗教信仰、性生活或性取向。基于生物特征数据构建并推断上述属性的受众细分，现已进入禁止性领域。

特定场景下的情绪识别

在工作场所和教育场景中，情绪识别被明令禁止。在上述场景以外的广告情绪检测用例或许仍被允许，但将面临更严格的审查。

有限风险透明度义务

这是2026年发布商和广告主AI Act合规工作的重心所在。

推荐系统披露

对用户所见内容进行个性化的内容推荐系统——无论是在发布商主页、应用内信息流还是程序化广告投放中——均属于有限风险等级。必须告知用户其正在与AI系统交互，且系统必须经过设计，使交互的AI属性清晰可辨。

聊天机器人披露

任何以对话形式直接与用户交互的AI系统，均须披露其AI属性。运营AI聊天界面的发布商和广告主——无论用于客户支持、内容发现还是其他目的——均须满足这一基本要求。

合成内容披露

AI生成的图像、音频、视频和文本内容须标注为AI生成。在编辑内容、广告创意或产品图像中使用AI生成的视觉或文本内容的发布商，须履行标注义务。2026年的实施指引已明确标注的技术规范，包括视觉内容的水印标准。

2026年的综合同意面

CMP和隐私声明现在须同时为两套制度服务。2026年发布商的CMP在实质上比2024年的版本更为复杂。

细化同意目的

CMP区分一般广告、广告画像、自动化决策和推荐个性化等不同的同意目的。每项均对应AI Act和GDPR的特定边界，且每项均需要独立的明示同意。

AI系统披露

隐私声明或配套的AI披露文件应描述所使用的AI系统、其目的、输入数据的类别、输出结果的大致逻辑，以及现有的人工监督机制。这不仅仅是GDPR第22条的自动化决策披露——它是更完整的AI透明度叙述。

反对权

GDPR的画像反对权继续适用，AI Act进一步增加了用户针对AI驱动推荐个性化的权利。用户可在不丧失基础服务访问权的情况下退出推荐个性化，且退出机制须至少与选择加入同样便捷。

2026年有效的操作模式

运营成熟2026年合规项目的发布商和广告主正在逐渐形成几种操作模式。

AI清单

维护一份跨发布商或广告主技术栈中所有AI系统的实时清单：系统名称、在该法案下的风险等级、所处理的个人数据、GDPR下的合法依据、已实施的透明度披露，以及现有的人工监督。这是基础性的合规文件，也是监管机构首先要求查阅的内容。

综合隐私声明

一份统一的隐私和AI透明度声明——以葡萄牙语、德语、法语或受众所适用的其他语言——以连贯的叙述同时回应GDPR和AI Act的义务。维护两份独立披露文件容易产生矛盾并使读者困惑。

供应商AI审计

对于代表发布商处理AI驱动输出结果的每个广告或分析供应商，合同必须涵盖AI Act义务的分配、技术文档的访问权限以及事件通知。2023年签订的标准数据处理协议未涵盖AI Act，需要更新。

处罚与执法态势

AI Act引入了分级处罚制度，行政罚款额度可超过GDPR的最高限额。

处罚等级

• 违反禁止性做法，最高处以EUR 3500万或全球年营业额7%的罚款
• 其他大多数实质性违规，最高处以EUR 1500万或3%的罚款
• 提供错误信息，最高处以EUR 750万或1%的罚款

执法架构

各成员国指定负责AI Act执法的国家主管机构，欧洲AI办公室协调对通用人工智能模型的监督。针对发布商和广告主的执法将主要通过国家主管机构进行，通常与现有数据保护机构密切协调。随着高风险义务于2026年全面生效，首批重大AI Act执法行动预计将贯穿2026年。

2026年AI驱动广告审计清单

• 技术栈中所有AI系统的实时清单及风险等级分类
• 每个处理个人数据的AI系统均记录有GDPR合法依据
• 对每个有限风险系统实施AI Act透明度披露，包括推荐个性化和聊天机器人
• 对AI生成的创意、图像、音频和视频实施合成内容标注
• 以相关当地语言提供综合隐私和AI透明度声明
• CMP将画像、自动化决策和推荐个性化作为可单独同意的目的加以区分
• 对照禁止性生物特征分类清单审查受众细分
• 更新供应商合同以涵盖AI Act义务的分配
• 为任何接近高风险边界的系统记录人工监督机制
• 数据主体和AI Act用户权利工作流程能够在适用的响应期限内处理退出、解释和人工审查请求

2026年展望

AI Act不会取代GDPR——它叠加其上，且两者叠加后的合规面实质上比任一制度单独存在时更为复杂。对于运营AI驱动个性化、画像、推荐系统或生成式内容的发布商和广告主而言，2026年是合规架构必须超越纯粹GDPR姿态走向成熟的一年。那些仍将AI Act视为未来问题的企业将发现，未来来得比预期更快——国家主管机构将贯穿2026年及2027年发出首批执法行动。那些从一开始便构建综合合规体系的企业将发现，这一架构物有所值：AI Act的透明度义务若得到良好实施，也能强化GDPR同意和信任叙事；维护实时AI清单的运营纪律，其价值远远超出监管合规本身。