What Does EU AI Act Compliance Require?

TL;DR · AI 摘要
欧盟AI法案要求AI系统根据风险等级进行合规,高风险系统面临严格监管和高额处罚。
核心要点
- 欧盟AI法案采用四层风险模型,不同风险等级对应不同合规义务。
- 高风险AI系统的合规义务最严格,截止日期延至2027年。
- 违规处罚最高可达3500万欧元或全球营业额的7%。
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- 欧盟AI法案合规要求
- 四层风险模型
- 不可接受风险
- 高风险系统
- 有限风险系统
- 最低风险系统
- 合规时间表
- 2025年:禁止不可接受风险系统
- 2026年:深度伪造内容标签义务生效
- 2027年:高风险系统合规截止日期
- 处罚与监管
- 最高罚款3500万欧元或全球营业额的7%
金句 / Highlights
值得收藏与分享的关键句。
The EU AI Act uses a four-tier risk model; your obligations depend on how your system is classified.
Penalties reach €35 million or 7% of global turnover, enforced by national authorities and the EU AI Office.
Article 50 regarding deepfake and synthetic content labeling obligations take effect August 2, 2026.
EU AI法案合规要求是什么? | Docker
EU AI法案合规要求是什么?
发布于 2026年6月26日
Dan Stelzer
和
Monique Altman
对于构建AI治理系统的团队来说,EU AI法案在开发生命周期的每个阶段都增加了合规义务,从记录训练数据到报告生产环境中的事件。随着分阶段执行已经开始,现在是评估您的工作流程所处位置的时候了。
EU AI法案(法规(EU)2024/1689)是全球首个全面的AI法规。它于2024年8月生效,要求将在2027年分阶段实施。该法案适用于在欧盟市场提供AI系统的任何组织、在欧盟设立的AI系统部署者,或其AI系统的输出在欧盟被使用,无论该组织的总部位于何处。
本指南涵盖每个风险等级的要求、完整的合规时间表(包括2026年数字全揽调整)、透明度义务、处罚,以及为构建和运营AI系统的团队提供合规的示例。
关键要点:EU AI法案采用四级风险模型;您的义务取决于您的系统被分类为哪一级。禁止的实践和GPAI规则已经生效;高风险的截止日期持续到2027年。第50条关于深度伪造和合成内容标签义务将于2026年8月2日生效。处罚金额可达3500万欧元或全球营业额的7%,由国家当局和欧盟AI办公室执行。
四个风险等级
AI法案采用基于风险的方法。每个AI系统都属于四个类别之一,而类别决定了适用的监管义务。这种分类推动了整个合规过程。
1. 不可接受的风险(禁止)
该等级的AI系统在第5条中被明确禁止。这些禁止措施自2025年2月2日起已生效。禁止的实践包括:
- 潜意识、操纵性或欺骗性技术,这些技术会扭曲行为并造成重大伤害
- 利用与年龄、残疾或社会经济状况相关的弱点
- 基于个人的社会行为或个人特征评估个体的社会评分系统
- 仅基于个人资料或个性特征的预测性警务
- 从互联网或闭路电视中无针对性地抓取面部图像以建立面部识别数据库
- 在工作场所和教育机构中进行情绪识别(除非出于医疗或安全原因)
- 用于推断或推断某些受保护特征的生物特征分类(除非用于合法获取的生物特征数据集的标签或过滤)
- 在公共可访问空间中用于执法的实时远程生物特征识别,仅对失踪人员、迫在眉睫的威胁和严重犯罪调查有狭窄的例外情况
2. 高风险(受监管)
高风险AI系统受到最广泛的合规义务约束。该法案确定了两种高风险分类路径:
- 附录I系统:作为安全组件或产品使用的AI,这些产品受现有欧盟产品安全法规(医疗器械、机械、车辆)的约束,需要第三方符合性评估。
- 附件 III 系统:用于八个敏感领域的 AI:生物识别、关键基础设施、教育、就业、基本的公共和私人服务、执法、移民和边境控制,以及司法管理。
在附件 III 使用场景中用于对个人进行画像的任何 AI 系统都会自动被归类为高风险,无论是否存在其他豁免情况。认为其附件 III 系统不属于高风险的提供者,必须在将其投放市场之前记录该评估。
这是对您的日志记录、测试和文档流程提出最严格要求的层级。
附件 III 的例外情况:如果 AI 系统执行一个狭窄的程序性任务、改进之前完成的人类活动、检测决策模式而不取代人类判断,或为附件 III 评估执行准备性任务,则附件 III 中列出的 AI 系统不被视为高风险。
3. 有限风险(透明度风险)
该层级的 AI 系统面临的要求集中在透明度和披露方面。根据第 50 条,部署者必须确保用户知道他们正在与 AI 系统进行交互(例如聊天机器人),生成式 AI 的提供者必须将合成内容标记为 AI 生成。该层级包括深度伪造义务,将在下文详细说明。
对于软件工程师来说,这归结为以机器可读的方式标记生成的内容,并在用户实际看到的位置展示披露信息。
4. 最低风险(无监管)
目前市场上大多数 AI 系统,包括垃圾邮件过滤器、AI 启用的游戏和推荐引擎,都属于这一类别。虽然没有具体的监管义务,但该法案鼓励自愿制定行为准则。
合规时间表
欧盟 AI 法案的要求分阶段生效,并非一次性全部生效。一些义务已经可以执行,其他义务则要到 2027 年底才会适用。
日期
生效内容
2024 年 8 月 1 日
AI 法案生效(法规(欧盟)2024/1689 发布)。
2025 年 2 月 2 日
第 5 条规定的禁止 AI 实践成为非法。AI 素养义务开始(第 4 条)。
2025 年 8 月 2 日
通用目的 AI(GPAI)模型义务生效(第五章)。治理机构成立。处罚条款适用。GPAI 行为准则发布。
2026 年 8 月 2 日
AI 法案的一般适用日期。第 50 条的透明度义务生效,包括深度伪造标记和合成内容标记。各成员国必须至少有一个 AI 监管沙盒投入运营。
2026 年 12 月 2 日*
第 50 条(2)款规定的机器可读标记义务适用于在 2026 年 8 月 2 日之前投放市场的 AI 系统,包括 GPAI 系统(四个月宽限期)。第 5 条关于 AI 生成的非自愿亲密影像和儿童性虐待材料的禁止规定适用。
2027 年 8 月 2 日
附件 I(第 6(1) 条)中规定的嵌入受监管产品中的高风险 AI 系统的义务。在 2025 年 8 月之前投放市场的 GPAI 模型必须符合要求。
2027 年 12 月 2 日*
附件 III 中独立的高风险 AI 系统要求全面生效(风险管理、符合性评估、技术文档、CE 标志、欧盟数据库注册)。
2028 年 8 月 2 日*
作为附件 I 产品安全法规所涵盖产品组件的高风险 AI 系统。
综合调整:数字综合包修订了这些高风险截止日期,将附件三独立高风险截止日期从2026年8月推迟到2027年12月2日,将附件一嵌入高风险截止日期从2027年8月推迟到2028年8月2日。欧洲议会于2026年6月16日批准了该包。
按角色划分的高风险系统的义务
欧盟人工智能法案区分了提供者、部署者、进口商和分销商。他们的义务因角色而异。
提供者 +
高风险人工智能系统的提供者承担最重的合规负担。除了其他义务外,他们还必须:
- 风险管理系统:在整个人工智能系统的生命周期内建立并维护一个风险管理流程,而不仅仅是在发布时。
- 数据治理:确保训练、验证和测试数据集受到适当的数据治理和管理实践的约束,并尽可能相关、具有足够的代表性和尽可能少的错误。如果这些数据集包含个人数据,GDPR也适用:您需要合法依据、数据最小化,并且对于用于检测和纠正偏见的任何特殊类别数据,需要特定的保障措施。
- 技术文档:生成证明合规性的文档,并向监管机构提供评估信息。它至少应包含附件四中的要素。
- 记录保存和文档:设计系统以自动记录与识别风险和跟踪修改相关的重要事件。提供者必须将某些文件保存最多10年,供主管机构使用。
- 透明度和使用说明:向部署者提供关于系统功能、限制、预期用途和人工监督要求的清晰文档,使部署者能够解释系统的输出并适当使用它。
- 人工监督:设计系统,使部署者能够在使用过程中实施有效的人工监督。
- 准确性、稳健性和网络安全:在所有三个维度上实现适当的性能水平。
- 质量管理体系:建立并记录涵盖整个合规过程的质量管理体系(QMS)。
- 纠正措施:在怀疑人工智能系统不符合人工智能法案时,采取必要的纠正措施,包括使其符合要求、撤回、禁用或召回,视情况而定。
- 与监管机构合作:向主管机构提供必要的信息和文件,并在要求时提供自动记录的访问权限,以证明人工智能系统符合人工智能法案。
- 授权代表:在第三方国家设立的提供者在将高风险人工智能系统投放到欧盟市场之前,必须在欧盟内指定一名代表。
- 合规性评估:在将人工智能系统投放市场之前,确保完成适当的合规性评估程序。此外,在将系统投放市场之前,起草欧盟符合性声明,加贴CE标志,并在欧盟数据库中注册该系统。
- 市场后监测:提供者应以与人工智能技术的性质和高风险人工智能系统的风险相称的方式建立和记录市场后监测系统。
- 报告:提供者应将任何严重事件报告给市场监督当局。AI法案为报告设立了不同的条款,这些条款根据事件的严重程度而有所不同。
部署者 +
部署者是自然人或法人、公共机构、机构或其他在其管辖范围内使用人工智能系统的实体。那些出于个人非职业活动而使用人工智能系统的人员不被视为部署者。根据第26条,高风险系统的部署者必须:
- 按照说明使用系统:按照提供者使用说明中规定的方式操作系统。
- 指定人工监督:将监督权交给具有相应能力和权限的人。
- 管理输入数据:当部署者控制输入数据时,确保这些数据对于系统的预期用途是相关且具有充分代表性的。
- 监控并升级:监控人工智能系统的运行,如果系统开始出现风险,应通知提供者或分销商以及市场监督当局,并暂停使用。
- 保留日志:在部署者控制范围内,保留系统自动生成的日志至少六个月。
- 通知员工:在高风险系统在工作场所投入使用之前,应通知受影响的员工及其代表。
- 通知受影响人员:当附录III中的系统对个人做出决定或协助做出决定时,必须告知这些个人。这与GDPR的透明性要求有重叠,当系统仅通过自动化方式做出具有法律或类似重大影响的决定时,应将AI法案的通知与GDPR的通知协调一致。
- 支持数据保护评估:利用提供者提供的信息,满足GDPR下的数据保护影响评估义务。
- 与当局合作:与相关当局合作,配合其对系统的任何行动。
- 如果是公共机构,需注册:公共机构必须在欧盟数据库中注册其部署,并且在系统未注册时不得运行该系统。
第27条为一个更小的群体增加了基本权利影响评估:公共机构、提供公共服务的私营实体,以及使用附录III系统进行信用评分或保险定价的部署者。在首次使用之前,他们需要记录系统将如何使用、可能影响到谁、涉及的风险以及已有的人工监督措施,然后将结果提交给市场监督当局。
对于工程团队来说,这些职责大多归结为监控、日志保留以及快速暂停系统的能力建设。这些问题应在您的基础设施中得到解决,而不是在政策文件中。
重要提示:根据欧盟AI法案,AI价值链中的操作者可能同时被视为提供者和部署者。如果您的名字出现在高风险系统上,对系统进行了实质性修改,或将非高风险系统重新用于高风险用途,您将被重新归类为提供者,并承担完整的义务(第25条)。
进口商 +
进口商是将非欧盟提供者的高风险人工智能系统投放到欧盟市场的欧盟境内的个人或组织。第23条使他们成为系统到达欧盟用户之前的合规检查点。进口商必须:
- 在进口前验证合规性:确认供应商已完成符合性评估,编制了技术文件(附件 IV),加贴 CE 标志并附有欧盟符合性声明和使用说明书,并指定了授权代表。
- 阻止不符合规定的系统:如果存在理由认为某系统不符合规定,或其文件被伪造,在其纠正之前不得将其投放市场。如果该系统存在风险,应通知供应商、授权代表和市场监督机构。
- 添加联系信息:在系统、其包装或其随附文件上标明进口商的名称、注册的商号或商标以及联系方式。
- 保障存储和运输过程中的合规性:确保进口商负责的存储和运输条件不会影响系统的合规性。
- 保留记录 10 年:在系统投放市场或投入使用后,保留一份通知机构证书(如适用)、使用说明书和欧盟符合性声明的副本,保留期限为 10 年。
- 回应监管机构:在有合理理由的请求下,向监管机构提供所需的信息和文件,以证明其符合性,并使用他们能够轻松理解的语言。
- 配合监管机构:与监管机构合作,针对其采取的任何行动,以减少或缓解进口商投放市场的系统的风险。
如果进口商在高风险系统上使用自己的名称或商标,或对市场上已有的系统进行了实质性修改,将被重新归类为供应商,并承担完整的供应商义务(第 25 条)。
经销商 +
经销商是供应链中的另一方,他们将高风险系统投放到欧盟市场。根据第 24 条,经销商的职责与进口商的职责有重叠,但重点在于销售点及销售之后发生的情况。经销商必须:
- 在分销前验证文件:确认系统带有 CE 标志,并附有欧盟符合性声明和使用说明书,同时确认供应商和进口商已履行各自的义务。
- 阻止不符合规定的系统:如果存在理由认为某系统不符合规定,在其纠正之前不得将其提供给市场。如果该系统存在风险,应通知供应商或进口商。
- 保障存储和运输过程中的合规性:确保经销商负责的存储和运输条件不会影响系统的合规性。
- 销售后处理不符合规定的情况:如果已投放市场的系统被发现不符合规定,应采取纠正措施,进行修复、撤回或召回,或确保供应商或进口商进行这些操作。如果该系统存在风险,应立即通知供应商或进口商以及相关监管机构。
- 回应监管机构:在有合理理由的请求下,提供所需的信息和文件,以证明其符合性。
- 配合监管机构:与监管机构合作,针对其对经销商投放市场的系统所采取的任何行动。
同样的重新归类规则适用:如果经销商将高风险系统标记为自己的产品,或对市场上已有的系统进行了实质性修改,将根据第 25 条被重新归类为供应商。
深伪(Deepfake)和透明度义务(第 50 条)
第50条为与人互动或生成合成内容的人工智能系统设定了特定的透明度要求。这些义务通常自2026年8月2日起适用,无论系统的风险分类如何,均具有相关性。
必须遵守的主体
- 与人直接互动的人工智能系统提供者必须确保个人知道他们正在与人工智能系统互动,除非从情境中可以明显看出这一点。
- 生成合成内容(音频、图像、视频或文本)的人工智能系统提供者必须以可被机器读取的格式标记输出内容,该格式应能被检测为人工智能生成或被篡改。标记必须有效、可互操作、稳健且可靠。
- 使用人工智能生成深度伪造内容的部署者必须披露该内容是人工生成或被篡改的。该法案将深度伪造定义为人工智能生成或被篡改的图像、音频或视频内容,这些内容看起来像现有人员、物体、地点或事件,并且会显得真实。
- 在公共利益事项上发布人工智能生成文本的部署者必须将其标记为人工智能生成,除非内容已通过人工编辑审查,并且自然人或法人承担编辑责任。
- 使用情绪识别或生物特征分类系统进行部署的主体必须告知接触该系统的人员系统正在运行,并按照《通用数据保护条例》(GDPR)处理其个人数据。
关于深度伪造的艺术例外情况:当人工智能生成内容是明显属于艺术、创意、讽刺或虚构作品的一部分时,只需进行最小且不干扰的披露即可。深度伪造的标记义务仍然适用,但披露格式可以更轻。
透明度行为准则
欧盟委员会制定了关于标记和标注人工智能生成内容的行为准则,以落实第50条第(2)款至第(5)款的规定。该准则为标记和披露要求的实际实施提供了实用和具体的技术指导。其最终版本于2026年6月10日发布。
通用人工智能模型义务
该法案第五章为通用人工智能(GPAI)模型的提供者设定了单独的一套义务。这些规则自2025年8月2日起适用(在该日期之前投放市场的模型需至2027年8月2日前遵守)。欧盟委员会已发布指南,以帮助提供者满足这些要求。
通用人工智能模型是广泛、多功能的模型,表现出显著的通用性,能够执行多种不同的任务,既可以直接使用,也可以集成到其他人工智能系统中。
所有GPAI模型提供者
每个GPAI模型提供者都必须制定并维护技术文档(至少应包含附件六中列出的信息),向集成该模型的下游提供者提供信息和文档,制定尊重欧盟版权指令的政策,并发布足够详细的训练所用内容摘要。
提供免费且开源许可GPAI模型的提供者(其中参数、架构和使用信息是公开的)不需要遵守有关技术文档和向下游提供者提供信息的义务,除非该模型存在系统性风险。
存在系统性风险的GPAI模型
如果一个 GPAI 模型使用了超过 10²⁵ 次浮点运算(FLOPs)的计算资源进行训练,则被认为具有系统性风险。设定这一门槛是为了捕捉当时最前沿的模型:GPT-4 被广泛估计超过了这一门槛,而早期的 GPT-3 的训练量大约是它的 30 分之一。委员会还可以根据终端用户数量、高影响力能力或输出模态等标准,将其他模型指定为具有系统性风险。
具有系统性风险的模型的提供者需承担上述所有 GPAI 义务,再加上以下四项:
- 模型评估:运行模型评估,包括对抗性测试。
- 风险缓解:评估并缓解模型可能带来的系统性风险。
- 事件报告:跟踪并报告严重事件给人工智能办公室。
- 网络安全:为模型维持足够的保护水平。
2025 年 7 月发布了一项通用人工智能模型的自愿行为准则。遵循该行为准则可推定符合要求,直到欧洲统一标准出台。
处罚与执行
根据《欧盟人工智能法案》第 99 条,设定了一个三级处罚结构,旨在有效、成比例且具有威慑力。
| 违规行为 | 最高罚款 | 营业额门槛 | |----------|----------|------------| | 被禁止的人工智能实践(第 5 条) | €3500 万欧元 | 全球年度营业额的 7% | | 高风险人工智能系统不合规(具体规定) | €1500 万欧元 | 全球年度营业额的 3% | | 向监管机构提供错误或误导信息 | €750 万欧元 | 全球年度营业额的 1% |
执行工作由欧洲人工智能办公室和各成员国的国家主管机构共同负责。欧洲人工智能办公室负责监督 GPAI 模型提供者,而各成员国的国家主管机构则负责处理其他所有运营者。
每个成员国必须指定至少一个国家机构负责实施和市场监督。处罚条款的设计考虑了中小企业和初创企业的利益,成员国每年需向委员会报告所处的罚款情况。
工程团队的合规情况
《欧盟人工智能法案》的要求以监管语言编写,但它们对应具体的工程问题。如果你的团队构建或部署了服务于欧盟用户的 AI 系统,以下是法案义务与开发流程的交汇点。
首先进行清单和分类
合规始于了解你所拥有的内容。组织构建、使用或采购的每个 AI 系统都需要进行分类,并与法案的风险等级进行比对。为每个系统记录是否处理个人数据,并将条目链接到你的 GDPR 处理记录(第 30 条),以确保 AI 清单与隐私记录保持一致。
这不仅仅是一个法律事务。工程团队通常是唯一了解他们构建的系统实际能力、数据流和部署上下文的人。如果你的组织已经建立了 AI 治理框架,AI 清单通常是其基础。
审计追踪是不可妥协的
法案要求对高风险系统进行自动事件记录,并在几乎所有层级上进行结构化文档记录。这意味着 AI 系统做出的每个决定、访问的数据源类别以及采取的每个行动都必须以可审计的方式进行记录。
已经部署 AI 代理的团队需要对系统操作进行结构化的事件捕获,包括时间戳、会话上下文、调用的工具或规则,以及代理或服务的身份,这些事件应限定在系统健康状况和安全遥测数据范围内,而不是针对个别工作者的性能。将这些日志导出到现有的 SIEM 和合规系统中,可以弥合代理行为与审计要求之间的差距。
为你的风险管理系统做好准备
第 9 条要求建立一个持续的风险管理流程,包括对无法通过设计消除的风险的控制措施。
强制执行策略的能力是使你选择的控制措施在代理执行时具有约束力的机制,因此它充当了一种风险缓解策略。这可以在代理层面实现,通过将策略和规则应用于沙箱中的代理;也可以在工具层面实现,通过将策略应用于管理代理工具访问的网关。
运行时隔离支持人工监督
欧盟 AI 法案要求高风险 AI 系统必须设计为支持人工监督,并且部署者可以在运行过程中进行干预。对于代理工作负载,其中 AI 是自主运行的,这直接对应于运行时隔离:在沙箱环境中运行代理,网络访问、文件系统范围和工具权限都由策略控制。
如果代理超出了其预期范围,隔离可以限制影响范围。这是使监督在基础设施层面可执行的机制。
透明度可以被实现
第 50 条关于深度伪造和合成内容标记的要求是一个元数据问题。提供者需要在生成的内容中嵌入可被机器读取的标记,部署者则需要展示可被人类阅读的披露信息。
对于构建生成式 AI 系统的团队来说,这意味着将内容来源标记(如 C2PA 或 IPTC 标准)集成到生成流程中。当生成内容描绘的是真实且可识别的个人时,它也属于 GDPR 中的个人数据,因此标记是必要的,但并不充分,通常的合法依据和权利义务仍然适用。你组织使用的 AI 治理控制可以在平台层面强制执行这些策略,而无需依赖每个应用程序单独实现。
使用官方合规工具
欧盟委员会推出了 AI 法案服务台,这是一个单一的信息平台,包括官方合规检查工具,帮助组织确定哪些义务适用于其 AI 系统,AI 法案探索器用于浏览完整法规文本,以及一个帮助台用于提交问题。这些工具是免费的、官方的,并提供英文、法文和德文版本(计划在 2026 年支持所有 24 种欧盟语言)。
从现在开始将合规性构建到你的 AI 基础设施中
欧盟 AI 法案的合规性不是一份你提交的文件。它是一套需要嵌入到你团队构建和运营 AI 系统方式中的技术控制、组织流程和审计实践。
为了简化流程,Docker AI Governance 支持将这些要求落地实施。它不会取代《人工智能法案》所赋予提供者和部署者的人类监督、分类和法律责任,也不会使用客户代码、配置和遥测数据来训练 Docker 或第三方模型。相反,Docker AI Governance 包括基于沙箱的运行时隔离以降低影响范围的风险,实时监控,跨网络、文件系统和 MCP 工具访问的策略执行,以及结构化的审计日志,这些日志可以导出到现有的 SIEM 和合规系统中。
探索 Docker AI Governance,了解运行时策略、审计追踪和代理隔离如何支持《欧盟人工智能法案》所需的监管控制。
常见问题
《欧盟人工智能法案》是否适用于欧盟以外的公司?
是的。根据第 2 条,《欧盟人工智能法案》适用于所有人工智能系统的提供者和部署者,无论他们是否在欧盟境内设立。如果你将人工智能系统投放到欧盟市场,或者该系统的输出在欧盟内被使用,那么你就在适用范围内。
是否有官方的《欧盟人工智能法案》合规检查工具?
欧洲委员会的《人工智能法案》服务台提供了一个合规检查工具,帮助组织确定其人工智能系统适用哪些义务。该工具通过一系列关于系统目的、部署环境和风险概况的问题,帮助识别相关条款和要求。
《欧盟人工智能法案》对深度伪造(deepfake)有哪些要求?
根据第 50 条,生成合成音频、图像、视频或文本的人工智能系统提供者必须以机器可读的格式标记输出内容,表明其为人工智能生成。使用人工智能创建深度伪造(内容看似真实人物或事件,但实际上是人为生成)的部署者,必须披露内容是人工生成的,即使该内容本身是合法的。用于艺术、创意和讽刺用途的内容只需进行最低限度的披露。
这些义务将于 2026 年 8 月 2 日生效。如果深度伪造描绘的是真实且可识别的个人,那么该内容也属于《通用数据保护条例》(GDPR)下的个人数据,因此标签是必要的,但并不足以满足要求。
《人工智能法案》与《网络安全韧性法案》有何不同?
《欧盟网络安全韧性法案》(CRA)针对具有数字元素的产品,并在其生命周期内关注网络安全要求。《人工智能法案》则专门针对人工智能系统和人工智能模型,其要求根据风险分类进行调整。一个产品可能同时受到两项法规的约束,例如一个由人工智能驱动的医疗设备,它既是具有数字元素的产品(CRA)又是高风险人工智能系统(AI Act)。
高风险人工智能系统的规则何时真正生效?
生效时间取决于高风险系统的类型。根据欧洲议会于 2026 年 6 月 16 日批准的《数字综合法案》,独立的附件 III 高风险系统必须在 2027 年 12 月 2 日前符合要求。附件 I 嵌入式高风险系统(受欧盟产品安全立法覆盖的产品)必须在 2028 年 8 月 2 日前符合要求。请查阅官方实施时间表,以获取最新的确认日期。
AI/ML
合规
概念
Docker AI Governance
产品
目录
相关文章
- 2026年5月12日 Docker AI治理:安全释放代理自主性 介绍Docker AI治理:集中控制代理如何执行、它们在网络中可以访问哪些资源、可以使用哪些凭证以及可以调用哪些MCP工具,这样公司中的每位开发人员都可以在任何工作环境中安全地运行AI代理。你的笔记本电脑就是新的生产环境。代理是最大的生产力释放者…… Srini Sekaran 立即阅读
- 2026年6月26日 欧盟AI法案合规性要求 学习在每个风险层级欧盟AI法案合规性要求,2027年之前的关键截止日期,以及工程团队如何实现AI治理。Dan Stelzer和Monique Altman 立即阅读
- 2026年6月25日 如何为容器工作流生成SBOM 学习何时、何地以及如何为容器镜像生成SBOM。涵盖构建时与构建后的方法、质量标准以及CI/CD集成。Aditya Tripathi 立即阅读
- 2026年6月25日 欧盟网络韧性法案:概述、要求和时间表 学习欧盟网络韧性法案的要求,包括SBOM规定、漏洞报告以及容器团队的合规截止日期。Dan Stelzer和Monique Altman 立即阅读