台灣在 2025 年底已三讀通過《人工智慧基本法》,對照 2025 年下半年以來,歐盟《人工智慧法》(AI Act)自 8 月起陸續進入強制性合規階段,圍繞在「通用型人工智慧(General-Purpose AI, GPAI)」的監管焦點與配套規則成為全球科技產業觀察的核心。CyberQ 觀察與分析 AI Act 如何重塑 AI 供應鏈的法規與市場態勢。
AI Act 的實施進度與核心合規要求
通用 AI 規則正式生效是 2025 年 Q3 開始的,之前是歐盟的 AI Act 於2024 年 8 月 1 日正式生效,其中針對 GPAI 模型的條款自 2025 年 8 月 2 日開始適用。這表示包括 GPT 類模型、Gemini、Claude 等通用 AI 系統,需要開始承擔透明度、著作權與系統性風險管理等合規義務。
GPAI Code of Practice 自願但具實務導向
為了協助業界落實 AI Act 的要求,歐盟執委會於發布《通用 AI 實踐守則(GPAI Code of Practice)》最終版。該守則是一套非強制性但官方認可的合規框架,涵蓋 透明度、著作權政策、安全與系統性風險 等重要面向,並提供文件範本與指引。
該守則對於模型提供者的具體要求包括:
建立並持續更新模型文件,向下游合作夥伴與監管機關提供必要透明度。
制定著作權合規政策。
針對具有系統性風險的模型實施安全與風險管控措施 (Code of Practice)
EU AI Act: GPAI Code of Practice
此外,歐盟 AI Office 指出,在 2026 年 8 月起開始執行透明度義務的更細化準則(如生成內容透明標示等),以強化 AI 生成內容的可識別性與資料負責。
產業界反應聚焦在簽署、批評、與戰略調整
主要科技企業的態度分歧,對於這份「自願性準則」,大家的看法當然是很不一樣。
支持與簽署意願明確的企業包括 OpenAI、Google、Microsoft、Anthropic 等多家 AI 技術供應商表示將簽署或已表態支持該守則,視其為合規與市場參與的法規工具。
簽署守則的正面理由,主要是認為這有助於建立透明與信任基準,並預期能在未來執法中減少不確定性,期望能重塑企業在歐盟市場的競爭地位。
而另一邊,則是相對保留或反對者,包括 Meta(Meta Platforms)則因法律不確定性與責任歸屬問題拒絕參與守則簽署,強調需要更清晰法規與細則。多個科技產業協會與利益團體指出,守則草案與最終版在實施負擔、外部評估要求等方面仍存具體挑戰與過重負擔感。
另外,來自文化創意產業界的著作權利持有人聯盟 (IFPI),也公開表達歐盟這份守則在著作權考量與模型訓練資料透明度上未充分回應其核心關切。
法規本身與配套規則的關鍵意涵
自願 vs 實際效力確實在市場中面臨很大的疑問,儘管 GPAI Code of Practice 自願性質,歐盟執委會已明確表達選擇依守則來滿足 AI Act 合規要求的企業,在日後執法環境中可獲較高「合規善意」的評價。因此,實務上守則具有強烈誘因,可能逐步成為「事實上的標準」。
監管強度與技術標準的交錯
這份守則不僅關注透明度與法律遵循本身,也涉及對系統性風險與高風險模型的具體控制框架。換言之,未來 AI Act 的執法將不再只看法律文本,而是整體合規證據鏈(文件、描述、測試、下游提供者支援等)。
EU AI Act: GPAI Code of Practice
此外,2025 年 11 月歐盟已啟動針對 AI 生成內容透明性守則的制定程序,該草案預計於 2026 年生效,進一步要求 AI 生成內容需具備機器可讀標示,旨在提升資訊透明與責任追溯性。
全球科技業與 AI Act 的戰略布局
在 AI Act 進入實際施行階段後,不同企業採取的策略大致可分為:
直接簽署守則:透過「提前合規」獲得法律與市場信心;
策略性延後/保留:以法規細則尚未明確為理由暫緩承諾,以保持技術彈性;
分市場部署:部分 AI 功能或產品在非歐盟市場率先推出,再視歐盟法規成熟度決定功能在 EU 的上線節奏(例如部分產品在美國或亞洲優先發布)。
這些戰略不僅代表企業對合規成本的考量,也反映全球性競爭環境中不同法規框架的博弈。
台灣與亞洲 AI 業者該如何看待歐盟 AI Act?
相較於美國大型模型供應商,台灣與亞洲多數 AI 業者並非 AI Act 的「直接立法對象」,但實務影響卻來得更快、也更隱性。原因在於歐盟 AI Act 採取的是「供應鏈責任外溢」設計,不只規範模型供應商,也將合規壓力一路往下游延伸。
不是「在歐洲賣產品」才會中標,對多數台灣企業而言,以下三種情境已經實際觸及 AI Act 影響圈:
替歐洲客戶提供 AI 功能或 SaaS 服務,即便公司設在台灣,只要服務對象是 EU 企業或終端用戶,仍可能被要求提供 AI 系統文件、風險說明或生成內容標示。
1、成為歐系品牌或平台的 AI 供應鏈一環,包含模型微調、資料標註、AI 功能模組、API 串接等,歐洲客戶將會反向要求供應商配合其 AI Act 合規義務。
2、使用 GPAI 模型再包裝成應用產品,AI Act 對「下游整合者(deployers)」的要求,將迫使應用商必須清楚說明使用的是哪一種模型 ? 是否為通用型 AI ?
3、是否涉及自動化決策、推薦或生成內容 ?
換句話說,AI Act 並不是只管 OpenAI、Google,而是會「一路傳導到台灣中小型 AI 業者」。
對台灣 SMB / 新創最實際的幾個衝擊點
從目前歐盟文件與產業回饋來看,對台灣企業影響最大的不是高額罰款,而是合規文件成本突然浮現,就得花錢花時間弄合規性文件和表格,有填過歐盟市場各種表格的人就知道這作業挺麻煩。
市場已經有客戶開始詢問有沒有模型或系統說明文件?AI 是怎麼訓練的?有沒有風險評估或使用限制?這些問題,所以「能不能交代清楚 AI 在做什麼」變成基本門檻,黑盒式 AI、無文件、無治理紀錄的產品,在歐洲市場會愈來愈難賣。
產品上線節奏被迫「歐盟延後」,不少亞洲團隊已採取「先在美國/亞洲市場跑驗證,歐盟市場暫緩或縮減功能」,多少會影響營收預期與產品 Roadmap。
法規不確定性轉化為商業風險時,客戶不一定懂 AI Act 細節,但會本能地「避開風險來源」,造成合作延遲。
各家業者現在可以做、而且該做的 5 件事
CYberQ 建議的實務清單,不用一開始就追求歐盟等級,但至少能回應客戶詢問:
1、把 AI 系統說清楚
2、你產品的AI 在做什麼?
3、會不會自動做決策?
4、有沒有人工介入?
5、建立最基本的「AI 使用說明文件」
先確認你用的模型是不是 GPAI,若是使用大型通用模型(雲端 API 或開源模型),要知道上游是否已表態因應 AI Act,否能取得必要的合規資訊,同時為「生成內容」預留標示與說明空間,不論是文字、圖片或推薦結果,UI/UX 上最好能標示「AI 生成」。
把 AI 治理視為「產品競爭力」是市場陸續導入與重視的,在歐洲市場,「能交代清楚 AI 怎麼運作」正在成為差異化優勢,其他市場對於高風險服務的標示與要求也會變多,各國在 AI 治理與監管上的力道應該會再加強,同時又不能扼殺創新,這點美國和日本的 AI 法規可以做參考。
首圖由 GPT-Image AI 生成
