歐盟 AI 法案 2026：香港企業必須在 8 月前完成的準備

一家總部位於香港的資產管理公司，在星期一早上收到一封來自最大歐洲機構客戶的例行合規查詢。客戶要求書面證明，公司用於開戶、KYC 評分及投資組合建議的所有 AI 系統，將在 2026 年 8 月 2 日前符合歐盟 AI 法案的高風險條款。公司還有八週時間。內部 AI 治理負責人同時意識到三件事：公司至少使用了兩款可能屬於高風險的 AI 工具；完全沒有相關文件紀錄；而且母集團從未被問過這個問題。

類似情境會在 8 月之前於數以百計的香港企業內反覆上演。歐盟 AI 法案具備域外管轄效力，凡是有歐洲客戶、歐洲子公司或歐洲市場業務的香港企業，無論本地法務團隊是否已向行政總裁簡報，都已被納入其管轄範圍。

什麼是歐盟 AI 法案？為什麼它管得到香港？

歐盟 AI 法案是一條橫向監管法規，涵蓋任何投放於歐盟市場、或其輸出在歐盟境內被使用的 AI 系統，不論供應商註冊於何處。Annex III 列出的高風險條款，將於 2026 年 8 月 2 日全面執法。香港企業若服務歐盟客戶、營運歐盟子公司，或向歐盟夥伴提供 AI 輸出，均按法案的域外設計被納入管轄。

立法邏輯與 2018 年 GDPR 確立的原則一致：只要 AI 系統影響到歐盟境內的個人，法律即適用，與系統運行地或公司註冊地無關。歐盟委員會的執法權力包括要求技術文件、限制市場進入，以及透過「歐盟代表」義務向非歐盟供應商徵收罰款。

對香港企業而言，三類組織受影響最深：擁有歐洲機構客戶的金融服務公司；向歐洲企業客戶交付 AI 輔助工作成果的專業服務集團；以及在歐盟有子公司、或讓歐洲員工使用 AI 人力資源、招聘或績效系統的物流、製造及貿易公司。

誰算是法案下的「供應商」或「部署者」？

法案區分供應商與部署者。供應商是開發 AI 系統並投放於市場的一方，部署者是在自身權限下使用該系統的一方。大多數香港企業屬於第三方 AI 工具的部署者。少數對基礎模型進行微調或自建內部 AI 產品的企業，可能會被歸類為供應商，而這意味著大幅加重的義務。

分界線並非總是清晰。Holland & Knight 2026 年 4 月的法律分析指出，若組織對現成 AI 系統作出實質修改（例如以專有資料進行微調，或將其整合到改變了原本用途的工作流程中），可能根據第 25 條被重新歸類為供應商，這會觸發 Annex III 下完整的供應商義務，包括技術文件及一致性評估。

對香港企業而言，實務含意是：任何在供應商模型之上自建的內部 AI 能力，都需要書面審視誰承擔哪一項義務。第一步是查閱與供應商之間的合約，因為近期的供應商合約越來越多嘗試將供應商級別的義務轉嫁給客戶。

哪些 AI 系統會被歸類為高風險？

法案 Annex III 列出八類高風險 AI 系統：關鍵基礎設施運作；教育及職業培訓；就業、員工管理及自僱通路；獲取重要私人及公共服務和福利；執法用途；移民、庇護及邊境管制；司法行政；民主程序。對香港企業最常觸及的是就業及員工管理，以及獲取重要私人服務（包括信貸評分及保險核保）兩大類。

雲端安全聯盟 2026 年的準備度研究發現，受訪組織中已投產的高風險 AI 應用，最常見的是履歷篩選與初選（64% 的中至大型僱主使用）、信貸評分或保險核保（58% 的金融服務公司使用），以及影響合約或福利取得的客戶服務決策（41% 的受監管企業使用）。

分類是以「用途」為準，並非以「供應商標籤」為準。一款通用型 AI 工具一旦被用於履歷篩選，就因為其用途而變成高風險系統，與採購時是否被標示為高風險無關。這正是大多數採購團隊尚未內化的陷阱。

2026 年 8 月 2 日生效的合規義務有哪些？

於 2026 年 8 月 2 日對高風險 AI 系統生效的合規義務，包含四項核心要求：覆蓋系統整個生命周期的書面風險管理體系；確保訓練及營運資料品質的資料治理程序；足以讓歐盟監管機構評估一致性的技術文件；可追溯輸出的日誌紀錄；具實質意義（而非形式上）的人工監督；告知使用者正在使用 AI 的透明度要求；以及準確性、穩健性與網路安全的測試。

部署者另有附加義務：依照供應商指示使用系統、監測其運作、保存日誌、在必要時進行基本權利影響評估，以及在 AI 決策影響當事人時，告知該名當事人。

McKenna Consultants 2026 年的準備度指南指出，單一高風險系統的文件工作，若從零開始準備，需要 12 至 16 週。於 2026 年第一季已開始準備的企業，目前已進入一致性評估階段。於 6 月才起步的企業，面對的是時間極度壓縮且風險偏高的時程。

違規罰則有多重？

違反高風險義務的罰款，最高可達 1,500 萬歐元或全球年營業額的 3%（以高者為準）。對於最嚴重的違規（包括使用被禁止的 AI 操作），罰款可達 3,500 萬歐元或全球年營業額的 7%。各國主管機關更有權將不合規的 AI 系統完全撤出歐盟市場，對香港企業而言這意味著可能失去歐洲客戶或子公司業務。

7% 上限是刻意設於 GDPR 的 4% 之上。歐盟釋出的訊號清楚：AI 法案的罰款不會被當作經營成本來看待。隸屬於委員會的歐盟 AI 辦公室，有權直接向供應商索取資料、要求模型存取，並命令採取緩解措施。

對香港企業而言，更迫切的次級風險來自合約層面。歐盟客戶與合作夥伴正在將 AI 法案合規保證條款寫入商業協議。一家香港供應商若無法提供合規證據，可能在任何監管機構介入之前就已失去合約。

歐盟 AI 法案與香港 PDPO 及 AI 框架有何不同？

歐盟 AI 法案與香港的監管框架關注不同但有重疊的議題。《個人資料（私隱）條例》聚焦於個人資料保護。私隱專員公署 2024 年發布的《人工智能個人資料保障示範框架》提供 AI 使用個人資料的指引。金管局的 GenA.I. 沙盒支援銀行業負責任地採用 AI。當企業有歐盟業務曝險時，以上任何一項均不能取代歐盟 AI 法案的合規工作。

概念上的主要差異在於「風險分級」。歐盟 AI 法案將 AI 系統按風險等級分類（不可接受、高風險、有限風險、極低風險），並按級別施加義務。香港的框架以原則為本、按行業細分。對於跨兩地營運的企業而言，這意味著兩套合規工作必須平行進行，並不能相互替代。

2026 年香港法律業界的實務建議是：以歐盟 AI 法案的合規要求作為較高基準，因為按歐盟標準建立的治理體系，一般也能滿足香港原則為本的監管期望；反之則未必成立。Mondaq 香港人工智能指南指出，採用歐盟對齊治理模式的企業，在本地監管追問環節上一般遇到的後續查詢較少。

香港企業在 8 月前應該做什麼？

距離 8 月還有八週，當務之急是一次聚焦的分流盤點。逐一識別使用中的 AI 系統，無論是採購、自建，或內嵌於其他供應商工具之內。針對每一個系統，按 Annex III 的用途類別（以實際用途，而非供應商標籤）進行歸類。確認企業在每個系統中屬於供應商、部署者，還是兩者皆是。為每一個對應到高風險的系統，書面紀錄現有的風險管理、資料治理及人工監督實務。識別缺口所在。

對於無法在 2026 年 8 月 2 日前達到合規要求的系統，只有兩條路：暫停或撤換系統，避免任何與歐盟相關的用途；或在董事會充分知情的情況下，接受相應的監管風險。最差的選項，是沒有做出明確決定而默默繼續使用，這正是後續執法曝險及合約損失的源頭。

這次分流盤點通常會帶來一個額外的意外：大多數企業會發現自己原本不知道存在的 AI 系統，這些系統內嵌於人力資源平台、ERP 模組、客戶服務工具及行銷分析之中。雲端安全聯盟 2026 年研究指出，47% 的組織在首次 AI 法案準備度審核中，會發現過去未登錄入冊的 AI 系統。

8 月之後又會怎樣？

2026 年 8 月 2 日之後，歐盟 AI 法案由準備期進入執法期。各國主管機關開始實質監督。高風險系統進入市場前必須完成一致性評估。商業對手會持續將合規保證寫入合約。第二波義務（特別針對嵌入受規管產品內的通用型 AI 模型），將於 2028 年 8 月 2 日生效。

對香港企業而言，營運上的事實是：AI 法案合規已成為一項持續性的職能，並非一次性項目。風險管理體系需要維護，文件需要週期性更新，人工監督流程需要定期測試，事件通報義務貫穿整個系統生命周期。正確的思維模式，是把 AI 治理視為與財務內控或網路安全治理同等地位的長期能力。

懂AI的冷，更懂你的難 — UD 同行28年，讓科技成為有溫度的陪伴。歐盟 AI 法案合規這類工作，能否從容趕在 8 月之前完成、還是在無眠的 8 月中倉促應付，差別就在於身邊是否有一位已經為類似組織完成過同一份工作的夥伴。

若你的企業有任何歐盟業務曝險，下一步應該是在 8 月限期前進行一次有結構的 AI 法案準備度評估。UD 團隊手把手帶你完成每一步，由 AI 系統盤點、Annex III 歸類，到缺口分析、文件補建及持續治理的建立。