全球首部全面监管 AI 的综合性法律——《欧盟人工智能法案》(EU AI Act)已步入核心的强制执法期。如果说过去出海欧洲面临的是隐私合规,那么 2026 年中企出海面临的则是“AI 风险分级定性”与“欧盟属地化合规运营能力”的生死大考。自 2026 年 8 月起,针对法案附件 III 中涵盖的绝大多数“高风险 AI 系统(High-Risk AI Systems)”的监管规则将全面生效。
Q1: 我们的 AI 模型只是部署在阿里云/AWS 上,通过 API 接口卖给欧洲的 B端客户调用。我们在欧洲不卖实体软件,这受 AI Act 管辖吗?需要授权代表吗?
A: 受管辖,大概率需要。 2026年生效的《欧盟 AI 法案》具有强烈的域外效力。法案明确规定,无论 AI 系统是以独立软件形式、嵌入硬件形式,还是仅以云端 API 服务的形式提供,只要其产生的输出(Output)在欧盟境内被实际使用,其供应商(Provider)就必须遵守该法案。如果您的 API 提供的服务落入“高风险”区间(如辅助欧洲客户进行简历筛选、信用评估),则必须在欧盟设立实体授权代表。
Q2: 为什么用于公司内部 HR 管理的“AI 简历筛选软件”也被欧盟列为高风险?
A: 欧盟对涉及个人基本权利和生存发展的领域极度敏感。 《欧盟 AI 法案》附件 III 明确规定了高风险系统的分类。任何用于人力资源管理、工作场所分配的 AI(例如:自动解析并筛选几十万份候选人简历、在面试中通过语音/微表情分析评估候选人情绪、或者通过算法监控员工工作效率并决定绩效评分),因其具有极高的隐含偏见(Bias)并直接影响个人生计,被全盘列入高风险名单,受最严厉的上市前合规与持续审计约束。
Q3: 使用EOR 服务在欧洲雇佣的 AI 合规代表,如果 AI 系统判定出了事故,EOR服务商承担商业和法律责任吗?
A: 不承担 AI 产品的底层技术与商业事故责任。 在名义雇主(EOR)合作的法理架构中,双方存在明确的“权责分离”。名义雇主承担的是与“当地劳动法、薪酬下发、税务代缴及签证担保”相关的行政合规责任。而该员工的日常业务指令分配、AI 产品的技术逻辑、CE 符合性声明的真实性,以及最终的商业运营责任,依然完全由作为“实际用工企业(Client)”的您的公司承担。双方将通过主服务协议(MSA)清晰界定风险隔离边界。
EU AI Act (欧盟人工智能法案): 全球首部综合性的人工智能监管框架。它基于“风险分级”的方法对 AI 制定规则。对于构成重大威胁的高风险系统,设定了极其严苛的市场准入、透明度及合规审查要求,并对违规企业处以高达全球年营业额 7% 的巨额罚款。
High-Risk AI Systems (高风险 AI 系统): 在法案附件 III 中明确列出的对人类健康、安全或基本权利构成重大风险的 AI 应用。包括但不限于关键基础设施、教育、人力资源管理(如 AI 简历筛选)、执法及医疗器械相关的 AI 产品。此类产品投向欧盟市场前需完成繁重的合规程序。
Authorized Representative / AR (欧盟授权代表): 《欧盟 AI 法案》第 25 条规定的法定要求。针对未在欧盟境内设立实体的高风险 AI 供应商,必须书面指定一名位于欧盟的自然人或法人。该代表依法负责与监管机构对接、保存 10 年期的技术合规档案,并承担相应的合规连带责任。
Extraterritorial Effect (域外效力): 法律管辖权的延伸原则。指一部法律的影响力不仅限于其颁布国内部。在 GDPR 和 EU AI Act 中尤为明显,即只要非欧盟企业的产品、服务或 API 数据输出触达了欧盟境内的居民或市场,该企业就必须无条件接受欧盟法律的全面管辖。
Employer of Record / EOR (名义雇主): 解决跨国雇佣与实体设立难题的合规服务架构。EOR 服务提供商利用其在目标国(如欧盟成员国)依法设立的自有实体,作为法定的直接雇主代出海企业全职聘用员工。帮助企业无需注册属地子公司,即可合法规避税务局的“假自雇”指控并实现快速的团队部署。
免责声明:本文涉及的《欧盟人工智能法案》(EU AI Act) 高风险定级标准、第25条授权代表义务及欧盟地区“假自雇 (Scheinselbständigkeit)”税务判定原则,均基于欧盟委员会及各成员国劳工部截至2026年最新公开发布的官方文件综合整理。鉴于欧盟各成员国在跨国用工税务穿透审查及 AI 执法尺度上存在个案自由裁量权,本文旨在提供宏观合规框架与商业架构防雷策略,不构成针对特定企业 AI 算法定性、实体设立或税务补缴的独立法律鉴定意见。在启动欧洲 AI 业务落地及雇佣合规代表前,敬请联系万领钧 Knit 官方合规顾问或欧盟属地执业法务专家团队进行深度评估。