AI合规这件事,比我预想的复杂多了

AI合规这件事,比我预想的复杂多了

前段时间跟一个做AI产品的朋友聊天,他说公司最近招了一个全职的AI合规专员,年薪开到了40万。

我第一反应是:至于吗?

他给我算了一笔账:如果因为合规问题被欧盟罚款,最低档是750万欧元或营业额1.5%,最高档3500万欧元或7%。他们公司年营收2亿欧元,按最高档算就是1400万欧元。招个人才40万,这笔账怎么算都值。

这让我开始认真研究AI合规这件事。不研究不知道,2026年的监管环境跟两年前已经完全不一样了。

欧盟AI法案:不是"建议",是"必须"

很多人对欧盟AI法案的印象还停留在"那个很严的AI法律"。但关键变化是:2026年它已经全面生效了,不再是征求意见稿,不再是"即将实施"。

它的核心逻辑不复杂:按风险分级。

直接禁止的:社会评分(就是给每个人打分那种反乌托邦操作)、潜意识操控、公共场所实时人脸识别执法。一刀切,没有灰色地带。

高风险的:这个范围比想象中大。关键基础设施里的AI、教育评分系统、HR招聘筛选、金融信用评分、执法辅助……全算。要求也很具体——要有风险管理、训练数据要达标、技术文档要齐全、要有人工监督、要达到准确性和鲁棒性指标。

有限风险的:主要就是透明性要求。聊天机器人要告诉用户"我是AI",AI生成的内容要标注。门槛不高,但违反也罚款。

我朋友他们公司花了三个月做合规评估,发现自己的AI客服系统被归到了"高风险"——因为它会影响用户的投诉处理结果。这意味着他们需要补做一整套合规流程,包括数据审计、模型可解释性报告和持续监控机制。

"早知道当初设计的时候就考虑合规了,"他说,"现在返工的成本是当初的三倍。"

中国这边:多条线并行

中国没有搞一部统一的"AI法",而是分领域推进。这种方式灵活,但也让企业有点摸不准。

算法推荐管理已经运行一段时间了。你有权关闭算法推荐,平台不能强制你用。不过我试过关掉几个App的推荐,结果不是"不推荐了"而是"推荐质量大幅下降"——这也算是一种变相强迫吧。

深度合成(AIGC)管理要求AI生成内容必须标注。但实际执行情况嘛……你去短视频平台看看有多少AI生成内容标注了就知道了。框架在执行层面还有很长的路要走。

生成式AI服务管理暂行办法是目前针对大模型最直接的规定。数据要合法、内容要合规、个人信息要保护、要向网信部门备案。国内大模型产品上线前基本都走了备案流程,这个执行得比较实。

数据安全法和个人信息保护法虽然不是专门针对AI的,但对AI训练数据的收集和使用影响很大。尤其是做跨境数据业务的,合规要求非常严格。

一个做AI出海的朋友跟我吐槽:"欧盟的规矩虽然严,但至少清清楚楚告诉你什么能做什么不能做。国内这边有时候不是规矩不清,是执行标准在变,你永远不知道下个月会不会出新要求。"

对小团队来说,合规真的够得着吗?

我一开始觉得合规是大公司的事。但查了一圈发现,法规不分企业大小。你面向欧盟用户或者在中文市场运营,就得合规,不管你是3个人的小团队还是3万人的大公司。

好消息是,核心要求没你想的那么复杂:

  1. 搞清楚你的产品属于什么风险等级。大多数To C工具类产品属于"最低风险"或"有限风险",不需要做全套合规。
  2. 数据来源要合法。别爬别买来路不明的训练数据,这是最容易踩的坑。
  3. 保持透明。告诉用户你在用AI,给用户关闭AI功能的选项。
  4. 基本的监控。不需要多复杂,至少要能发现AI输出是不是跑偏了。

很多云平台现在提供现成的合规工具——数据脱敏、内容审核API、模型审计之类的,技术门槛已经降低了很多。

一个真实的踩坑案例

我认识的一个独立开发者,做了一个AI写作助手,面向海外市场。产品做得不错,用户增长很快。

然后他收到了欧盟监管机构的问询函。

原因是他没有做AI影响评估,没有用户数据处理的合规声明,也没有提供AI生成内容的标识功能。虽然他的产品不算高风险,但基本的透明性义务没做到。

处理这件事花了两个月,期间产品在欧洲地区的下载量直接停了。等合规做完重新上架,已经损失了将近30%的欧洲用户。

他的总结是:"合规这东西,做了没人夸你,没做早晚出事。"

我的判断

AI监管还在快速演变,但方向已经很明确了:越来越细、越来越严、越来越可执行

对于认真做AI业务的人来说,我的建议是:

  • 别等被罚了才去做。合规成本远低于罚款+品牌损失。
  • 从第一天就把合规纳入设计。事后返工的成本是事前考虑的三到五倍。
  • 关注行业技术标准。ISO/IEC和NIST的框架虽然不是法律,但很多监管要求会参考这些标准。

AI合规不是一个需要"解决"的问题,是一个需要"持续管理"的课题。就像你不会做一次安全审计就再也不管了,合规也是一个需要跟着法规和技术迭代的过程。

早建体系,比被动应对划算得多。