欧盟的《数字综合法案》提案即将步入下一立法阶段。自欧盟委员会于2025年底提出初步提案后，欧盟理事会和欧洲议会已分别明确各自立场。

注释：欧盟数字综合法案（Digital Omnibus Act）

2025年11月19日，欧盟委员会公布了欧盟数字综合法案（Digital Omnibus Act）提案。这是一项极具雄心的立法举措，旨在通过对一系列现有法规，如《通用数据保护条例》（“GDPR”）、《数据法》和《人工智能法》进行改革，以简化并使欧盟的数字监管框架现代化。

欧盟数字综合提案意在对欧盟数字立法框架的各个方面进行简化与优化。该提案分为两部分，一部分为《人工智能法案》中的一些痛点提供“快速解决方案”，另一部分则对数据法规，尤其是《通用数据保护条例》（GDPR）、《电子隐私指令》和《数据法》进行修订。

2026年3月13日，理事会就其谈判立场达成一致，在保留提案核心框架的同时，进行了一些有针对性的调整。3月18日，欧洲议会各委员会通过了其立场，并于3月26日在全体会议上得到确认。

这一确认标志着一个关键的里程碑。欧洲议会现已正式通过其对人工智能法案修正案的立场，从而得以启动与欧盟理事会和欧盟委员会的三方会谈。初步报告显示，政治谈判已经开启，技术讨论也将随之展开。目前的计划是，最早于4月28日举行的第二次三方会谈上达成最终协议。

自欧盟委员会于2025年底提出初步提案后，欧盟理事会和欧洲议会各委员会均已阐明各自立场。尽管最终文本仍在协商之中，但此次更新的重点在于各项义务在实践中的落实方式与时间，尤其是在高风险人工智能系统方面。

对于隐私和合规团队而言，重点正转向运营时间表、可执行性以及跨框架的一致性。

最为引人注目的更新涉及高风险人工智能义务的履行时间。欧盟理事会和欧洲议会均支持设定固定的履行日期：

2027年12月2日，针对法规中所列的高风险人工智能系统（如交通、就业、教育、执法等领域）。

2028年8月2日，适用于嵌入受监管产品（如医疗器械、机械）中的人工智能系统。

这一举措取代了之前将合规性与技术标准的可用性相联系的提议。

议会通过的立场强化了这些时间表，确认生物识别、关键基础设施、就业和执法等领域的高风险系统将遵循2027年12月的最后期限，而受行业安全立法管辖的系统则与2028年8月的日期一致。

此外，针对透明度义务，还引入了一项单独的合规里程碑。服务提供商需在2026年11月2日前满足人工智能生成的音频、图像、视频和文本内容的水印要求，以确保合成内容能够清晰识别。

设定固定日期有助于更清晰地规划未来。在招聘或信用评分等领域部署人工智能的组织不能再以等待进一步指导为由推迟治理设计。相反，影响评估、文档编制和监督模型需要在这些日期之前制定，并在所有系统中统一应用。

议会的立场进一步明确了风险和不可接受的用途。

拟议的更新包括禁止使用能够生成或操纵未经同意的、可识别个人的私密图像的系统。这扩大了《人工智能法》第五条所列禁止行为的范围，并与更广泛的关于预防伤害和滥用生成式人工智能的执法趋势相契合。

与此同时，修正案还阐述了《人工智能法》与现有欧盟行业法规的互动方式。对于已纳入既定产品安全体系的人工智能系统，《人工智能法》规定的义务可以更有针对性地适用，以避免重复立法。

对于在受监管行业运营的组织而言，这需要合规部门之间采取协调一致的方法。例如，一家将人工智能应用于诊断工具的医疗器械制造商，需要将产品安全要求与人工智能相关的文档、监控和监督义务相结合，而非将它们视为独立的合规途径。

利用敏感个人数据进行偏见检测和纠正仍然是关注的焦点。

尽管委员会提议扩大这项能力，但理事会坚持更严格的条件。处理过程必须严格必要，且与影响健康、安全或基本权利的特定风险相关。

这维持了较高的证据门槛。偏差检验策略必须具有针对性和适度性，并需明确说明为何需要敏感数据以及为何其他方法不足以解决问题。

在实践中，这会影响机构如何设计公平性评估。例如，一家评估贷款模型中潜在偏见的金融机构需要证明，纳入敏感属性能够直接帮助检测歧视性结果，并且在整个过程中都采取了相应的保障措施。

对登记要求的调整体现了向比例原则迈进的更广泛步伐。

根据现行规定，某些人工智能系统即使经评估未达到高风险阈值，也必须在欧盟数据库中注册。最新提案保留了这一要求，同时减少了必须提交的信息量。

这种方法既能保持透明度，又能简化行政流程。

监管机制也在不断完善。欧盟委员会提议扩大欧盟人工智能办公室在监管基于通用人工智能模型构建的系统方面的作用。欧盟理事会支持这一方向，同时保留各国在金融服务、执法和关键基础设施等特定领域的管辖权。

其结果是监管责任的分配更加明确，根据具体情况，将集中监管和国家监管相结合。

综合更新旨在缩小欧盟监管时间表与实施准备情况之间的差距。

如今，对于各项义务的适用时间、执法责任的分配以及《人工智能法》与现有法律框架的互动方式等问题，都更加清晰明确。这为规划提供了更稳定的基础，同时也强调了执行的重要性。

各组织机构需要超越高层次的解读，建立贯穿人工智能生命周期的治理流程。这包括明确人工智能的应用场景、定义风险分类、使评估与现有的隐私工作流程保持一致，以及维护支持问责制的文档。

在许多情况下，这些要求直接建立在现有隐私保护计划的功能之上。区别在于如何将它们应用于影响就业、服务获取和内容生成等领域结果的自动化系统。

综合提案的最终结果将取决于委员会、理事会和议会之间的三方谈判。

随着议会立场正式确立，谈判进入三方会谈阶段，首先进行初步的政治协调讨论，随后举行详细的技术会议。就进度安排而言，有望在四月底达成协议，这将大大加快从立法设计到实施规划的过渡。

当前立场表明，人工智能法案的实施将更加系统化，包括明确的时间表、与其他欧盟法律更清晰的互动，以及旨在跨部门一致应用的治理预期。

如果组织开始将人工智能治理与现有的隐私、风险和合规框架相协调，那么当这些要求生效时，企业可能会做好更充分的准备。