AI合规这件事,比我预想的复杂多了
前段时间跟一个做AI产品的朋友聊天,他说公司最近招了一个全职的AI合规专员,年薪开到了40万。
我第一反应是:至于吗?
他给我算了一笔账:如果因为合规问题被欧盟罚款,最低档是750万欧元或营业额1.5%,最高档3500万欧元或7%。他们公司年营收2亿欧元,按最高档算就是1400万欧元。招个人才40万,这笔账怎么算都值。
这让我开始认真研究AI合规这件事。不研究不知道,2026年的监管环境跟两年前已经完全不一样了。
欧盟AI法案:不是"建议",是"必须"
很多人对欧盟AI法案的印象还停留在"那个很严的AI法律"。但关键变化是:2026年它已经全面生效了,不再是征求意见稿,不再是"即将实施"。
它的核心逻辑不复杂:按风险分级。
直接禁止的:社会评分(就是给每个人打分那种反乌托邦操作)、潜意识操控、公共场所实时人脸识别执法。一刀切,没有灰色地带。
高风险的:这个范围比想象中大。关键基础设施里的AI、教育评分系统、HR招聘筛选、金融信用评分、执法辅助……全算。要求也很具体——要有风险管理、训练数据要达标、技术文档要齐全、要有人工监督、要达到准确性和鲁棒性指标。
有限风险的:主要就是透明性要求。聊天机器人要告诉用户"我是AI",AI生成的内容要标注。门槛不高,但违反也罚款。
我朋友他们公司花了三个月做合规评估,发现自己的AI客服系统被归到了"高风险"——因为它会影响用户的投诉处理结果。这意味着他们需要补做一整套合规流程,包括数据审计、模型可解释性报告和持续监控机制。
"早知道当初设计的时候就考虑合规了,"他说,"现在返工的成本是当初的三倍。"
中国这边:多条线并行
中国没有搞一部统一的"AI法",而是分领域推进。这种方式灵活,但也让企业有点摸不准。
算法推荐管理已经运行一段时间了。你有权关闭算法推荐,平台不能强制你用。不过我试过关掉几个App的推荐,结果不是"不推荐了"而是"推荐质量大幅下降"——这也算是一种变相强迫吧。
深度合成(AIGC)管理要求AI生成内容必须标注。但实际执行情况嘛……你去短视频平台看看有多少AI生成内容标注了就知道了。框架在执行层面还有很长的路要走。
生成式AI服务管理暂行办法是目前针对大模型最直接的规定。数据要合法、内容要合规、个人信息要保护、要向网信部门备案。国内大模型产品上线前基本都走了备案流程,这个执行得比较实。
数据安全法和个人信息保护法虽然不是专门针对AI的,但对AI训练数据的收集和使用影响很大。尤其是做跨境数据业务的,合规要求非常严格。
一个做AI出海的朋友跟我吐槽:"欧盟的规矩虽然严,但至少清清楚楚告诉你什么能做什么不能做。国内这边有时候不是规矩不清,是执行标准在变,你永远不知道下个月会不会出新要求。"
对小团队来说,合规真的够得着吗?
我一开始觉得合规是大公司的事。但查了一圈发现,法规不分企业大小。你面向欧盟用户或者在中文市场运营,就得合规,不管你是3个人的小团队还是3万人的大公司。
好消息是,核心要求没你想的那么复杂:
- 搞清楚你的产品属于什么风险等级。大多数To C工具类产品属于"最低风险"或"有限风险",不需要做全套合规。
- 数据来源要合法。别爬别买来路不明的训练数据,这是最容易踩的坑。
- 保持透明。告诉用户你在用AI,给用户关闭AI功能的选项。
- 基本的监控。不需要多复杂,至少要能发现AI输出是不是跑偏了。
很多云平台现在提供现成的合规工具——数据脱敏、内容审核API、模型审计之类的,技术门槛已经降低了很多。
一个真实的踩坑案例
我认识的一个独立开发者,做了一个AI写作助手,面向海外市场。产品做得不错,用户增长很快。
然后他收到了欧盟监管机构的问询函。
原因是他没有做AI影响评估,没有用户数据处理的合规声明,也没有提供AI生成内容的标识功能。虽然他的产品不算高风险,但基本的透明性义务没做到。
处理这件事花了两个月,期间产品在欧洲地区的下载量直接停了。等合规做完重新上架,已经损失了将近30%的欧洲用户。
他的总结是:"合规这东西,做了没人夸你,没做早晚出事。"
我的判断
AI监管还在快速演变,但方向已经很明确了:越来越细、越来越严、越来越可执行。
对于认真做AI业务的人来说,我的建议是:
- 别等被罚了才去做。合规成本远低于罚款+品牌损失。
- 从第一天就把合规纳入设计。事后返工的成本是事前考虑的三到五倍。
- 关注行业技术标准。ISO/IEC和NIST的框架虽然不是法律,但很多监管要求会参考这些标准。
AI合规不是一个需要"解决"的问题,是一个需要"持续管理"的课题。就像你不会做一次安全审计就再也不管了,合规也是一个需要跟着法规和技术迭代的过程。
早建体系,比被动应对划算得多。