GDPR + EU AI Act 叠加:DACH SaaS 创始人 2026 年必须交付什么
如果你在 DACH 卖 SaaS、产品里有 AI 功能,两本法规叠在一起。GDPR 从 2018 年起生效。EU AI Act(条例 2024/1689)从 2025 年 2 月到 2027 年 8 月分阶段生效。截至 2026 年中,被禁止实践和 AI 素养义务已在执行,GPAI 规则适用,高风险系统义务在2026 年 8 月 2 日落地。你的研发团队负责 9 份产物。你的 DPO 负责 4 份。CEO 来签字。
这是工程视角,不是法律建议。我们已经在 GDPR 框架下为 DACH 客户交付过 AI 功能,也根据 AI Act 时间线重新界定过正在进行的项目。
把合规叠进研发?
预约免费咨询我需要按哪个执法时间线规划?
AI Act 分阶段适用。对一位运营 AI 功能的 DACH SaaS 创始人重要的几个点:
- 2025 年 2 月 2 日。禁止实践(第 5 条)与 AI 素养义务(第 4 条)生效。
- 2025 年 8 月 2 日。通用人工智能(GPAI)提供者义务、治理、处罚框架。
- 2026 年 8 月 2 日。高风险系统(附件 III)义务与透明度义务(第 50 条)适用。
- 2027 年 8 月 2 日。嵌入受监管产品(附件 I)的高风险系统纳入覆盖。
德国 GDPR 执法将由 BfDI 与各州 DPA 主导、奥地利由 DSB 主导;AI Act 的市场监督主管机构将在 2026 年内由各成员国指定。
我的 AI 功能在附件 III 下算不算高风险?
决策树很短。如果你的系统落入附件 III 类别就属高风险:生物识别、关键基础设施、教育与职业培训准入、雇佣与员工管理、基本私人与公共服务准入(含信用评分与保险定价)、执法、移民、司法管理、民主进程。对大多数 B2B SaaS,高风险这一桶被打中的常见功能是简历筛选、员工监控、信用评分和保险定价。
- 用例在附件 III 吗?不在,跳到只看第 50 条透明度义务。
- 在的话,是否适用第 6(3) 条豁免(纯准备性、范围狭窄程序性、对先前决定的偏离、模式识别)?是,则登记但义务减少。
- 没有豁免。第 III 章完整栈适用。风险管理体系、数据治理、技术文档、日志、对部署者的透明度、人工监督、准确性与稳健性、质量管理体系、合规评估、欧盟数据库登记、上市后监控。
研发团队实际负责哪些产物?
这是大多数法务主导的合规项目搞错的地方。合规产物不是上线时写的 Word 文档,而是系统怎么造出来的副产品。工程团队负责的 9 份:
- 处理记录(GDPR 第 30 条)。由基础设施即代码和数据流图生成,通过 CI 保持同步。
- 高风险处理的 DPIA(GDPR 第 35 条)。放在架构决策记录旁边,不是法务的 SharePoint。
- 技术文档(AI Act 附件 IV)。Model card、训练数据摘要、性能指标、已知局限。
- 日志(AI Act 第 12 条)。带防篡改证据的模型输入、输出、版本、操作者事件日志。至少保留 6 个月。
- 人工监督设计(第 14 条)。评审、覆盖、中止的 UX 界面。写在产品规格里。
- 透明度告知(第 50 条)。用户与 AI 交互或看到 AI 生成内容时的披露。
- 如果你做微调,GenAI 训练数据的版权披露(第 53(1)(d) 条)。
- 事件上报通路(第 73 条)。严重事件在 15 天内上报市场监督主管机构。
- 上市后监控(第 72 条)。漂移检测、性能回归告警、周期性评审。
5 人团队的合规栈矩阵长什么样?
合规剧场会失败,是因为没人负责产物。下面是我们在范围沟通时使用的表。请按你的组织调整角色。
| 控制项 | 所依据 | 5 人团队中的负责人 |
|---|---|---|
| 数据处理协议 | GDPR 第 28 条 | CEO 或创始人 |
| 处理记录(第 30 条) | GDPR | Tech Lead |
| DPIA | GDPR 第 35 条 | Tech Lead 加外部 DPO |
| 子处理者清单 | GDPR 第 28(2) 条 | CEO |
| 风险管理体系 | AI Act 第 9 条 | Tech Lead |
| 数据治理 | AI Act 第 10 条 | 数据工程师 |
| 技术文档 | AI Act 附件 IV | ML 工程师 |
| 日志 | AI Act 第 12 条 | 后端工程师 |
| 对用户的透明度 | AI Act 第 50 条 | 产品负责人 |
| 人工监督 UX | AI Act 第 14 条 | 产品负责人 |
| 版权披露(GenAI) | AI Act 第 53(1)(d) 条 | ML 工程师 |
| 事件上报通路 | AI Act 第 73 条 | Tech Lead |
| 上市后监控 | AI Act 第 72 条 | ML 工程师 |
"合规设计起点在架构,不在上线。如果你指不出生成该产物的那一行代码,那个产物就是虚构的。"
实践中 GDPR 和 AI Act 如何叠加?
两套体系大量重叠,重叠的地方就是创始人踩坑的地方:
- 训练数据。GDPR 合法依据(第 6 条)加 AI Act 数据治理(第 10 条)。如果你在没有干净依据的情况下用欧盟个人数据训练,两本法规都要咬。
- 自动化决策。GDPR 第 22 条要求有通往人工干预的路径;AI Act 第 14 条要求设计上的人工监督。同一个问题,两个合规挂钩。
- 透明度。GDPR 第 13/14 条在采集时的告知义务;AI Act 第 50 条在交互时的告知义务。两份你都要写。
- 记录。GDPR 第 30 条与 AI Act 第 11 条文档。建一个真实来源,渲染两个视图。
- 风险评估。GDPR DPIA 与 AI Act 第 9 条风险管理重叠。现代做法是合成一份文档,附两个法律附件。
GPAI 提供者 vs 部署者怎么算?
大多数 DACH SaaS 创始人是 OpenAI、Anthropic、Mistral 或开源权重基础模型的部署者。部署者义务比提供者义务轻,但并非没有。如果你微调一个模型并以自己的品牌部署,AI Act 下你可能变成提供者,要承担技术文档、版权披露和(高风险时)完整的第 III 章栈。微调前请仔细读第 25 条,因为“我现在是提供者”这一步带来的监管成本跃迁很大。
这在研发时长上要花多少?
来自 Wavect 的 AI 功能项目历史:把合规产物事后嵌入现有 SaaS 会增加 10% 到 20% 工程时间。从架构起就内建,边际成本接近 3% 到 5%。贵的做法是上线时硬塞进去。便宜的做法是从第一冲刺起就把产物当作代码来负责。RAG 与 agent 功能首先撞上透明度与日志要求;MCP 工具集成在上线前要先把审计轨迹的故事讲清楚。
最终思考
如果你把合规当作架构,GDPR 加 AI Act 不是双倍工作。处理记录、DPIA、技术文档、日志、透明度 UI、人工监督界面。每一项都映射到一行代码、一张数据库表,或一个 UI 组件。法务团队写披露,工程团队产出实质。
如果你是 2026 年读这篇的 DACH SaaS 创始人,且你的 AI 功能正在上线,请按上述 9 份工程负责的产物自审一遍。2026 年 8 月的高风险截止日期不会移动。罚款是真的。但这份工作不奇异。它就是被诚实记录下来的好工程。一家严肃团队学一次就能在每个产品上复用的纪律。
在 AI Act 时间线下构建?
预约免费咨询