歐盟在2026年5月7日完成了一場低調但影響深遠的立法動作。歐盟理事會與歐洲議會就AI法Omnibus修正達成臨時政治協議,將Annex III高風險AI系統的合規截止日期從原本的2026年8月2日,延後16個月至2027年12月2日。整合進電梯、玩具等受監管產品的高風險AI系統則再延至2028年8月2日。這份協議為在歐盟市場提供AI產品與服務的業者提供了更長的準備時間,但同時也確立了法規基準線,讓任何想靠模糊地帶拖延的策略失去依據。
協議的關鍵條款:妥協點與保留項目
這次修正來自歐盟委員會2025年11月提出的「數位Omnibus包裹」,核心主張是把高風險合規期限往後推,並削減部分行政負擔。Stibbe的分析指出,協議在三方協商中保留了幾個原本擬刪除的條款。第6(3)條要求AI提供者在歐盟AI資料庫登錄「自評為非高風險」系統的義務原本遭委員會提議刪除,但理事會與議會均不接受,最終以Annex VIII Section B的簡化格式予以保留。
生成式AI的合成內容標示義務(第50條)有部分差別待遇。已在2026年8月2日前上市的生成式AI系統,獲得4個月寬限期,可延至2026年12月2日完成Article 50(2)水印標示要求,但新上市系統沒有此一緩衝。國家級監管沙箱的部署期限延後12個月至2027年8月,讓成員國有更多時間建立配套基礎設施。
合規期限拉長是好消息,但不等於法規要求本身放鬆。Annex III列舉的高風險類別維持不變,包含生物識別、關鍵基礎設施、教育、就業、移民與邊境管控等領域的AI系統,仍需通過風險管理、資料治理、技術文件、透明度、人工監督與準確性等六大強制要求。只要產品定性為高風險,最終合規壓力是完全相同的,只是多了16個月把系統做對。
台灣出口企業的合規設計影響
台灣輸歐的AI相關產品主要分三類:嵌入在硬體設備中的AI功能(如工業機器人、醫療設備、影像處理晶片)、作為雲端服務部署的企業AI工具,以及作為半成品銷售給歐洲整合商的AI模組。這三類的合規路徑各有不同,但共同面臨的問題是:誰是EU AI Act定義下的「供應者」(provider)?
根據EU AI Act第3條,只要將AI系統以自有品牌投入歐盟市場,或對歐盟使用者的AI系統進行實質改造,即被認定為供應者,承擔完整合規義務。台灣製造商常見的OEM/ODM模式下,若歐洲客戶以自有品牌貼牌後銷售,技術上供應者責任轉移至歐洲品牌主,但若台灣方持續提供系統更新或核心AI推論服務,認定關係可能反轉。
五月的協議讓台灣廠商有了確定的時間表。2027年12月之前必須完成Annex III系統的合規,這意味著最晚2026年底應啟動正式差距分析(gap analysis),2027年上半年完成技術文件、建立人工監督機制,2027年Q4前通過第三方合規稽核(若產品屬強制稽核類別)。把這16個月當作寬限而非準備期,將在2027年底形成集中的合規壓力。
法規確定性反而是機會
業界有一種普遍心態:法規延後就先觀望。但對AI系統供應商而言,EU AI Act的確定性反而降低了設計成本。過去兩年法規方向搖擺,廠商不知道要把合規設計做到哪個層級;現在基準線已定,把合規要求納入產品架構的投資可以精準計算回收期。
台灣有幾家半導體公司在AI推論晶片上深度布局歐洲汽車和工業市場,這些正是Annex III高風險類別的核心應用場景。如果晶片廠能在矽層面內建可解釋性記錄、異常偵測與人工監督接口,不需要等軟體層來補這些功能,合規成本將大幅下降,且能成為差異化的銷售論點。歐盟的監管框架不是台灣科技業的對手,把它讀懂並轉化成產品設計語言,才是眼前最務實的競爭動作。
Omnibus協議正式通過仍需歐洲議會與理事會背書,預計數週內完成形式程序,法規確定性已無懸念。台灣廠商從現在起計算的時間,比等正式公告再啟動早了至少兩個月,這個時間差在2027年底前足以決定誰能從容通過稽核,誰在最後幾個月手忙腳亂。
