近期，首次进入正式修法程序的欧盟《人工智能法》（AI Act）有了新进展。当地时间2026年3月26日，欧洲议会（European Parliament）以569票赞成、45票反对、23票弃权的结果，通过了对《人工智能数字综合方案》（Digital Omnibus on AI）的“一读立场”（First Reading Position）。此前，欧盟理事会（Council of the European Union）已于3月13日通过自身的一般谈判方针。随着欧洲议会和欧盟理事会分别形成谈判立场，下一步将进入欧盟委员会（European Commission）、欧洲议会和欧盟理事会之间的三方谈判阶段。为确保《人工智能法》在2026年8月前“全面适用”，预计三方谈判会走得比欧盟一般立法程序更快。

作为全球首部综合性人工智能立法，《人工智能法》从提出到生效历时三年有余，而从2024年8月1日正式生效到2026年3月进入修法程序，也不过约1年8个月。这一进程显示，欧盟人工智能治理已经从立法完成阶段迅速转入实施校准阶段。当前欧盟共同立法者对委员会“简化提案”的处理方式，并未沿着单一放松监管的方向推进，而是逐步呈现出程序性减负，同时针对新风险局部扩围并行推进的特征。理解这一变化，对于判断欧盟人工智能治理接下来的演化方向，具有现实意义。

2026年3月26日，欧洲议会投票通过一项关于修订《人工智能法案》的提案

图片来源：欧洲议会

2021年4月，欧盟启动《人工智能法》立法进程，试图建立一套以风险分级为核心的人工智能监管框架。此后在三方谈判过程中，以ChatGPT为代表的生成式人工智能迅速崛起，通用目的人工智能模型（general-purpose AI models, GPAI）成为立法中无法回避的新议题。GPAI模型的广泛可迁移性和下游嵌入性，明显超出了原始提案主要围绕特定用途进行风险分类的框架预设。最终，欧盟在2024年通过的《人工智能法》中加入了关于GPAI模型的专门义务安排，并设置了分阶段实施路径：禁止性做法和人工智能素养义务自2025年2月2日起适用，GPAI模型治理规则自2025年8月2日起适用，法案原则上自2026年8月2日起全面适用，但嵌入受行业监管产品中的高风险人工智能系统保留至2027年8月2日的更长过渡期。

然而，法案生效后的实施进程很快暴露出落地难题。欧盟委员会目前在官网上明确表示，围绕高风险规则和透明度义务的多项支持工具仍在准备之中，包括与人工智能生成内容标记和透明义务相关的行为准则及指南，计划在2026年第二季度发布；委员会也将继续通过指南、行为准则和服务台等方式为企业提供合规支持。换言之，法定义务的适用时点正在逼近，但用于降低企业实施不确定性的支持工具尚未完全到位。正是在这一背景下，委员会才提出将高风险规则的适用时间最多调整16个月，以便相关规则在标准、指南等工具较为完备时再行落地。

除了实施层面的现实压力，更宏观的竞争力焦虑也为修法提供了强烈政治动力。欧盟委员会关于“德拉吉报告”（The future of European competitiveness）的官方介绍指出，欧洲正同时面临生产率放缓、人口挑战、能源成本上升和全球竞争加剧等多重压力，绿色和数字转型又要求前所未有的投资与创新。欧盟理事会在2026年3月发布的官方说明中也明确将本轮人工智能简化提案，放在回应莱塔报告和德拉吉报告所提出挑战的大框架下理解；而2024年11月《布达佩斯宣言》（Budapest Declaration）则进一步要求欧盟发起一场“简化革命”，通过更清晰、更简单、更智能的监管框架，显著降低企业，尤其是中小企业的行政、监管和报告负担。

也正因此，欧盟委员会开始主动推动对自身主导起草的《人工智能法》进行修改。根据欧盟委员会和欧盟理事会的公开说明，自2025年2月以来，委员会已连续提出10个“综合方案”（Omnibus）立法包；其中，2025年11月19日提出的第七个综合方案即数字综合包（Omnibus VII on digital），包含两项提案，一项旨在简化欧盟数字立法总体框架，另一项则专门针对《人工智能法》的实施简化。对委员会而言，这既是落实欧盟整体“简化-竞争力”议程的一环，也是对实施困难作出的制度回应。

2025年11月，欧盟委员会发布人工智能数字综合提案（Digital omnibus on AI）

图片来源：欧盟委员会

通过比较《人工智能法》现行文本、2025年11月欧盟委员会提出的“简化方案”、以及欧洲议会和欧盟理事会目前公开的谈判立场可以看到，本轮修法的总体方向并非单一的“简化”或“加码”，而是更接近一种选择性调整：在程序性安排上形成较强共识，在涉及基本权利保护的核心门槛上展开拉锯，在面对新型技术风险时又出现局部扩围，这也是理解本轮修法逻辑的关键。

争议最小、但对企业实际影响最大的内容，是延长高风险人工智能系统的主要合规时间。根据欧盟委员会官网，《人工智能法》原本的节奏是：高风险规则分别在2026年8月和2027年8月进入适用阶段；而根据欧洲议会2026年3月26日通过的一读立场，法规中直接列举的高风险人工智能系统，例如涉及生物识别、关键基础设施、教育、就业、基本服务、执法、司法和边境管理等场景的系统，其新适用时间拟定为2027年12月2日；受欧盟行业安全和市场监管立法约束的高风险人工智能系统，则拟定为2028年8月2日。欧洲议会同时主张，将人工智能生成音频、图像、视频和文本内容的来源标记义务延后至2026年11月2日。欧盟理事会也支持对高风险系统引入固定的新适用日期。

欧盟委员会原始提案设计的是一种弹性触发机制，即高风险义务的适用不再完全绑定固定日期，而是与“所需标准和工具是否准备就绪”挂钩，最多延后16个月。欧洲议会和欧盟理事会则都没有完全接受这种由委员会行政判断触发的模式，而是倾向于直接写入新的固定日期。这一日期调整并非单纯的技术性修改，其制度含义在于共同立法者更强调法律确定性而非行政裁量触发。共同立法者愿意给予企业更多准备时间，却不愿把关键义务的生效时间完全交由委员会判断，而是选择以更高的法律确定性替代更大的执行弹性。

另一项共识，是对中小企业和小型中等市值企业的支持扩展。欧盟委员会和欧洲议会都明确支持把部分原本主要面向中小企业的便利措施扩展至小型中等市值企业（small mid-cap enterprises, SMCs），包括简化技术文件等要求。欧洲议会在新闻稿中将这一点明确作为“支持企业扩张”的核心内容之一，委员会也将其列为本轮提案的重要目标。这一安排的政策逻辑相对清晰，即避免欧洲企业在刚刚越过中小企业门槛后，立即失去全部程序性便利，从而在扩张阶段遭遇更陡峭的合规成本跳跃。

最值得注意的，是欧盟委员会若干实质性简化措施在共同立法者那里遭遇回摆。其核心不在于共同立法者普遍主张提高原法标准，而在于它们并不愿意因“减负”而显著降低原法已经确立的基本权利保护门槛。

对于敏感个人数据的处理，当前公开立场体现的是保留高门槛、有限放宽例外的折中。欧盟委员会原本希望扩大在偏见检测与纠正中处理敏感数据的空间；但欧洲议会在3月26日通过的一读立场中，虽然支持在人工智能系统中为检测和纠正偏见而处理个人数据，却同时加入了“仅在严格必要时”这一限制。欧盟理事会则更进一步，明确恢复了“严格必要”（strict necessity）标准。2026年1月，欧洲数据保护委员会（European Data Protection Board, EDPB）和欧洲数据保护监督员（European Data Protection Supervisor, EDPS）在联合意见中也明确建议，应将委员会提案中较为宽松的表述重新收紧，维持当前适用于高风险系统的“严格必要”标准。由此可见，在这一问题上，共同立法者并未接受以简化为名的普遍标准降低。

欧洲数据保护委员会（EDPB）和欧洲数据保护监督员（EDPS）发布的联合意见为本次修法提供重要技术支撑

图片来源：EDPB

对于人工智能系统注册义务，类似的回摆同样明显。《人工智能法》现行框架下，即便供应商依据第6条第3款认定某一原本落入附件三范围的系统不属于高风险，仍需在欧盟数据库中进行注册。欧盟理事会在3月13日形成的谈判立场中明确恢复了这一注册义务。EDPB和EDPS在联合意见中也直接指出，删除现有注册义务将显著降低透明度、可追踪性和问责性，并可能诱发供应商过度援引豁免。换言之，当前共同立法者在这一问题上的基本思路，是允许压缩表格和程序负担，但不愿意降低监管机构和公众对潜在风险系统的可见度。

对于人工智能素养（AI literacy）义务和其他支持性条款，当前公开信息所呈现的，也不是简单取消，而更像是围绕如何保留义务属性同时降低合规摩擦展开调整。欧盟委员会在官网说明中强调，本轮提案要求委员会和成员国推广人工智能素养，并继续为企业提供持续支持，同时保留高风险部署者的培训义务。虽然欧洲议会和欧盟理事会在公开新闻稿中并未完整展开这一条线的最终表述，但从目前公开信息看，其基本方向仍然是将支持性机制和执行可行性前置，而不是把原有义务彻底改写为纯鼓励性安排。

此次修法相对意外的变化，是共同立法者主动加入了欧盟委员会原始简化提案中并不突出的新增禁止性内容。欧洲议会在3月26日通过的一读立场中提出，应新增一项对“nudifier”系统的禁止，即禁止利用人工智能生成或篡改具有性露骨或私密性质、足以让人识别为真实个人、且未经本人同意的图像内容。欧盟理事会在3月13日的谈判立场中也加入了类似的新禁令，将“未经同意生成性或私密内容”以及儿童性虐待材料相关内容一并纳入禁止实践范围。这说明，本轮修法虽然以“简化”名义启动，但共同立法者并未把自己限定在纯粹减负逻辑之内，而是在新型风险面前保留了局部扩展监管范围的意愿。

这一新增内容与近期欧盟对生成式人工智能传播侵害性合成内容风险的关注上升直接相关。2026年1月26日，欧盟委员会依据《数字服务法》（Digital Services Act, DSA）对社交平台X及其与Grok功能部署相关的风险管理启动新的正式调查。委员会在公开说明中明确指出，调查将评估X是否妥善识别并缓解了Grok相关功能在欧盟内部带来的风险，其中包括被操纵的性露骨图像传播风险，以及可能构成儿童性虐待材料的内容风险。它反映了欧盟监管层面对生成式人工智能在大型社交媒体平台环境中扩散非法或侵害性合成内容风险的警惕上升。

另一项新增变化，涉及《人工智能法》与欧盟部门法之间的关系。欧洲议会在新闻稿中明确提出，为避免行业特定产品安全规则与《人工智能法》重叠适用，对于已经受其它部门法约束的产品，《人工智能法》项下的义务可以更宽松一些。表面上看，这一思路意在减少企业长期抱怨的“重复合规”；但它同样可能在未来三方谈判中引发争议，因为一旦处理不当，原本被纳入高风险框架的系统，就可能事实上转入一个更依赖行业法路径、而较少直接受《人工智能法》完整约束的状态。

从目前公开文本看，委员会、理事会和议会三方的分歧主要集中在以下几个方面：委员会更强调把实施时间与支持工具可得性挂钩，并通过程序和适用范围调整减轻企业负担；理事会与议会则在接受延后和便利措施的同时，更倾向于恢复注册义务、维持敏感数据处理的高门槛，并将新的侵害性合成内容风险纳入禁止实践。这意味着，本轮修法真正形成共识的，不是降低标准，而是延后时间和局部扩围。

欧盟三方机构对修法议题的立场对照，其中绿色表示理事会与议会立场趋同；橙色表示待三方谈判协商的分歧点

图片来源：NicFab Blog

从目前欧洲议会和欧盟理事会的修法方向看，欧盟愿意在程序性安排上给予灵活调整空间，但在涉及基本权利和数据保护的核心标准上依旧保持较强约束，同时又对新兴技术风险表现出扩围意愿。这一组合结果，仍需要从制度机制、政治格局和外部环境三个层面理解。

一是欧盟数据保护机构的“守门效应”，为共同立法者对部分简化措施设置制度性约束提供了专业支撑。EDPB和EDPS在2026年1月的联合意见中明确表示，它们支持减轻行政负担的一般目标，但建议保留敏感数据处理中的“严格必要”标准，建议维持原有注册义务，并对延后适用时间可能对基本权利保护造成的影响表达担忧。将这份意见与欧盟理事会和欧洲议会随后形成的公开立场对照，可以看出较高程度的一致性：被收回或收紧的，恰恰主要集中数据保护机构明确表达保留的领域，包括注册义务、敏感数据处理等。这表明，在欧盟人工智能治理中，数据保护机构虽然不是共同立法者，却通过制度化意见程序实质性压缩了“减负”可触及的边界。

这种制度性审慎，也与机构间角色差异有关。欧盟委员会提出简化方案，既是为了回应实施困难，也是为了服务竞争力议程；但对欧洲议会和欧盟理事会而言，这些调整不仅是技术修补，也可能触动2023年至2024年间刚刚达成的脆弱平衡。欧洲议会研究服务处在相关背景材料中就将本轮文件界定为“围绕实施问题的定向修改”，而不是重置监管理念。也正因此，共同立法者对任何看起来会显著改变保护强度的措辞修改，天然更为谨慎。

二是从政治格局看，本轮修法也是一个从党团分歧走向跨党团多数共识的过程。至少从程序上看，欧洲议会内部并非没有争议。根据欧洲议会会议记录，在LIBE委员会关于进入机构间谈判的决定公布后，左翼党团、绿党和社会民主党团曾依规则要求将该决定提交全会表决。这至少说明，对“是否应迅速进入谈判”以及“简化提案的尺度”这一问题，欧洲议会内部确实存在明显分歧。但最终，3月26日全会仍以569票高票通过一读立场，说明共同立法者最终形成的文本，较大程度上实现了不同政策偏好之间的可接受交换：产业界和中右翼力量得到时间表和减负安排，强调基本权利保护的力量守住了敏感数据和注册义务等关键门槛，而新增的“nudifier”禁令又回应了跨党派都难以回避的公共风险关切。

2026年3月13日，塞浦路斯欧洲事务副部长玛丽莱娜·拉乌纳（Marilena Raouna）宣布欧盟理事会就简化人工智能相关规则的提案达成了一致立场

图片来源：欧盟理事会

三是欧洲内部游说和外部跨大西洋压力构成修法宏观环境。一方面，《人工智能法》从简化到修改的过程，离不开行业游说与社会组织反向施压的共同介入。围绕数字综合包，企业游说观察组织和研究机构均指出，欧盟委员会在前期举行的五场“reality check”会议中，企业代表占据明显多数，而民间社会组织参与相对有限，这一过程因透明度和利益平衡问题而受到批评。就《人工智能法》本轮修法而言，这些情况表明，委员会提案中的竞争力和减负取向，形成于企业减负诉求高度活跃的背景之下。但从欧洲议会和欧盟理事会当前公开立场看，行业影响主要体现于延期、程序便利和合规支持方面，在敏感数据、注册义务等核心条款上，并未转化为系统性的保护降格。

另一方面，跨大西洋压力确实构成了背景，但其影响并非单向。欧盟理事会已明确将本轮简化提案置于“提升欧盟竞争力”的总框架中，而欧盟委员会也把数字综合包描述为让规则“更清晰、更简单、更有利于创新”的举措。从这个意义上说，外部竞争压力和内部竞争力焦虑无疑为修法提供了政治动能。但与此同时，当前共同立法者的实际处理方式又显示，欧盟并未因此放弃其既有的权利保护取向。它更像是在回应竞争力焦虑的同时，尽量避免在象征性和制度性层面给外界留下“借竞争力之名整体回撤基本权利保障”的印象。

至此，欧盟《人工智能法》的首次修法程序，已经完成委员会提案、欧盟理事会谈判立场和欧洲议会一读立场三个关键环节，即将进入三方谈判。共同立法者的相互边界正在这一过程中清晰显现。

更宏观地看，这次修法揭示了欧盟人工智能治理的一个重要特征：在实施节奏和程序负担上表现出较强弹性，在基本权利保护门槛上保持明显克制，并在面对新的侵害性风险时保留扩围冲动。欧盟委员会希望通过数字综合包实现规则简化和竞争力提升，欧洲议会与欧盟理事会则在接受延期和便利措施的同时，努力把这种“简化”限定在程序和执行层面，而不轻易触碰实质性保护标准。这意味着，至少从目前来看，“简化监管”在欧盟语境下更多指向的是执行顺序、文书负担和制度衔接的调整，而不是对《人工智能法》所代表的基本治理方向作出根本转向。

欧盟《人工智能法》的修改进程预示其数字治理路线的走向

图片来源：Biometrics News