AI 监管周报｜2026.05.07–05.14

本期三个必须盯紧的信号：欧盟高风险 AI 合规截止日延期 16 个月（但义务没变）；美国科罗拉多和康涅狄格相继立法，州级碎片化监管再添两块；中国首例 AI 虚假评论案落判，生成式 AI 执法正式进入「追究应用方责任」阶段。

欧盟｜AI Act Omnibus 协议达成：多出 16 个月，但别误读成「放松了」

2026 年 5 月 7 日凌晨 4:30（布鲁塞尔时间），欧盟理事会（Council of the EU，由 27 个成员国部长组成的立法机构）与欧洲议会谈判代表就「AI Omnibus」修订条例达成临时政治协议。1 这是欧盟「Omnibus VII」简化立法包的一部分，协议仍需理事会和议会正式背书，预计 2026 年 6 月完成正式通过，之后 3 天生效。

MEPs Arba Kokalari 与 Michael McNamara 在 2026 年 5 月 7 日欧洲议会的合影

图片来自：What the EU AI Omnibus Deal Changes for the AI Act and What Lies Ahead

最关键的时间线变动如下：2

独立高风险 AI 系统（Annex III，涵盖招聘筛选、生物特征识别、信贷评分、教育准入、执法、移民等）：合规截止日从 2026-08-02 推迟至 2027-12-02
嵌入受监管产品的高风险 AI 系统（Annex I，涵盖医疗器械、电梯、玩具、个人防护设备等）：合规截止日从 2027-08-02 推迟至 2028-08-02
「祖父条款」：在新截止日前已投放欧盟市场的 AI 系统不受高风险要求约束，除非进行实质性修改

不受影响的条款（创始人更须注意这几项仍按原时间线执行）：

禁止 AI 实践（2025-02-02 已生效）
GPAI 模型义务（2025-08-02 已生效）
大多数透明度规则（2026-08-02，不到 3 个月）

Hogan Lovells 合伙人 Dan Whitehead 和 Christian Tinnefeld 的评估是：修改后条款并未根本改变 AI Act 的核心架构，基于风险的分类结构和高风险 AI 系统的义务保持不变，组织应立即着手合规准备，包括进行范围评估和建立 AI 治理框架。3 Debevoise & Plimpton 的分析同样指出，对大多数企业而言，主要实际效果是获得更多准备时间，实质性义务基本未变。4

TechPolicy.Press 分析师 Laura Caroli 的观察则是：这次谈判「勉强完成」——第二次三方会谈于 4 月 28 日因工业 AI 合规架构争议破裂，塞浦路斯轮值主席国在随后一周重启谈判才促成妥协。争议核心是德国总理默茨亲自介入，最终结果是仅机械行业（Machinery Regulation 管辖设备）被豁免出 AI Act，医疗器械等其他 11 个行业仍须遵守高风险要求。1

两项新增变动值得单独标出：

第一，AI 裸体生成器（Nudifier）被明确列入第 5 条禁止实践，生效日期为 2026-12-02。5 禁止范围包括：生成未经同意的性暴露/亲密图像或儿童性虐待材料（CSAM）的 AI 系统。对通用生成式 AI 提供商同样适用——若未实施合理技术和政策控制，须承担法律责任。违规最高罚款 3500 万欧元或全球年营业额的 7%，以较高者为准。该禁令最初不在欧委会原始提案中，触发因素是 2025 年冬季 Grok（xAI 旗下聊天机器人）生成数百万例性 deepfake 事件。

第二，欧盟委员会于 5 月 8 日发布透明度义务指南草案，公开征求意见至 2026 年 6 月 3 日。6 指南将澄清交互式 AI 系统和生成式 AI 系统在 2026-08-02 生效的透明度义务：用户须被告知正在与 AI 交互；生成式 AI 须嵌入机器可读标记；公司须同时满足机器可读水印和人类可检测手段两项要求，方案须有效、可靠、可互操作。Skadden 建议企业现在就对照新指南检查现有透明度措施。7

Omnibus 对中小企业的影响：简化合规框架从中小企业（SME）扩展至「小型中型企业」（SMC），门槛为员工不超过 750 人、年收入不超过 1.5 亿欧元。各成员国建立 AI 监管沙盒的截止日从 2026-08-02 延至 2027-08-02（西班牙、丹麦、立陶宛、芬兰已有可运行沙盒）。1

对 AI 创业者的直接影响：高风险系统多出 16 个月准备时间，但不要因此延后启动合规工作——GPAI 模型义务已在运行，透明度规则 8 月即到期，水印义务只延到 12 月。建议现在就对照 AI Act 第 50 条检查产品的交互披露和内容标注机制，并在 6 月 3 日前提交透明度指南意见。

美国｜州法碎片化加速，科罗拉多和康涅狄格同周立法

美国依然没有联邦综合 AI 法律。参议院今年以 99-1 的投票从「One Big Beautiful Bill Act」中剥离了 10 年暂停州 AI 执法的条款。8 各州继续填补监管空间，本周两项立法尤其值得关注。

科罗拉多 SB 26-189：全美首部 AI 反歧视法被替代

2026 年 5 月 12 日，科罗拉多州议会以 34-1 最终通过 SB 26-189，废除 2024 年签署的全美首部全面 AI 反歧视法（SB 24-205），以聚焦「自动决策技术（ADMT，Automated Decision-Making Technology）」透明度与消费者通知的新框架替代原有的偏见审计和影响评估制度。9 法案如经州长 Jared Polis 签署，将于 2027 年 1 月 1 日生效。

新法适用范围：在科罗拉多运营的任何实体，若开发或部署用于「重大决策」的 ADMT——覆盖就业、教育、住房、金融/贷款、保险、医疗和政府服务。核心义务包括：

部署者：交互时提供清晰通知、不利结果后 30 天内提供简明解释、消费者可请求个人数据副本和更正、有权要求人工复核
开发者：向部署者提供技术文档（预期用途、训练数据类别、已知限制、人工审核指南）

排除低风险场景：日常排班、行政路由、客服分流、广告营销和内容审核。

替代法案由原 SB 24-205 的作者、参议院多数党领袖 Robert Rodriguez（D-Denver）提出，他称新法「98%」基于州长任命的 AI 政策工作组的提案。这次反转的直接背景是：xAI（Elon Musk 旗下 AI 公司）4 月 9 日起诉科罗拉多州总检察长，DOJ 4 月 24 日介入支持 xAI，4 月 27 日联邦法院暂停 SB 24-205 执法——这是 DOJ 首次介入挑战州 AI 法律的诉讼。10

Fisher Phillips 律所的评估：新法从「主动预防偏见审计」转向「透明度和消费者权利」，合规负担对企业而言显著降低，但 30 天内提供不利 ADMT 决策解释的操作窗口需要提前准备。

康涅狄格 SB 5：18 岁以下用户或实质禁用消费级聊天机器人

2026 年 5 月 1 日，康涅狄格州议会以压倒性票数（参议院 32-4，众议院 131-17）通过 SB 5，全称《人工智能责任与透明度法》（Connecticut Artificial Intelligence Responsibility and Transparency Act，AIRT Act）。11 这是一部 67 页的综合 AI 法案，四个板块对 AI 创始人各有实质影响：

板块一：AI 伴侣聊天机器人——要求初始和每 3 小时一次的「非人类」通知。对 18 岁以下用户：禁止浪漫/性互动、鼓励自残/暴力、未经监督的精神健康服务、操纵性情感依赖技术等 8 项行为。DLA Piper 律所评估，这些条款可能实质上禁止在康涅狄格向 18 岁以下用户提供消费级聊天机器人。

板块二：合成数字内容——要求开发者确保 AI 生成内容可标记和检测，2027 年 10 月 1 日前合规。

板块三：自动化就业决策工具（AEDP）——部署者须在决策前通知受影响者、不利结果须说明原因和 AEDP 的贡献程度。

板块四：前沿模型举报人保护——保护报告灾难性风险的前沿 AI 开发者员工。

法案分阶段生效：就业工具开发者义务 2026-10-01、聊天机器人条款 2027-01-01、合成媒体和部署者通知义务 2027-10-01。同时建立州 AI 监管沙盒。DLA Piper 还指出，法案中「禁止优先验证用户信念而非事实准确性」（subsection F）可能引发第一修正案挑战。

本周其他美国动态

FTC Take It Down Act 合规截止：FTC 主席 Andrew N. Ferguson 于 5 月 11 日向 Amazon、Alphabet、Apple、Meta、Microsoft、Reddit、Snapchat、TikTok、X 等 15 家以上科技平台发出合规提醒信。12 Take It Down Act 要求「覆盖平台」在 2026 年 5 月 19 日前建立非自愿亲密图像的通知-移除机制，有效请求后 48 小时内删除内容及副本。Ferguson 声明称：「保护弱势群体——尤其是儿童——免受此类有害侵害是本机构和本届政府的首要任务。」（"We stand ready to monitor compliance, investigate violations, and enforce the Take It Down Act. Protecting the vulnerable – especially children – from this harmful abuse is a top priority for this agency and this administration."）

版权与 AI 的国会博弈：5 月 12 日，参议院司法委员会知识产权小组举行版权局监督听证会。13 版权登记官 Shira Perlmutter 证实，版权局已登记超过 7000 项含 AI 生成材料的版权申请（以人类创作贡献充足为前提）。小组主席参议员 Thom Tillis（R-NC）表态：「虽然美国无疑正与中国进行 AI 竞赛，但美国不应成为逐底竞赛（race to the bottom）。」（"While there's no question that the U.S. is in an AI race with China, the U.S. should not be in a race to the bottom."）参议员 Adam Schiff（D-CA）提及他已提出 CLEAR Act，要求 AI 模型训练使用版权作品时向创作者提供透明度。

爱荷华州：5 月 2 日，州长 Kim Reynolds 签署 SF 2417（聊天机器人安全法案）为法律，建立对话式 AI 服务的要求，爱荷华成为全美第 7 个颁布此类法律的州。14

对 AI 创业者的直接影响：每进入一个新州市场，需单独对照该州的 ADMT / 聊天机器人 / 合成内容要求评估合规义务。康涅狄格 2026 年 10 月就业工具义务最近，需要优先排入合规日历。产品中有聊天机器人功能且面向未成年用户的，须在 2027 年 1 月前完成年龄核验方案。

中国｜执法密度持续升级，AI 智能体迎来首个政策框架

AI 虚假评论首案：技术中立不等于应用中立

2026 年 5 月 14 日，杭州中级人民法院就中国首例涉及 AI 生成内容的不正当竞争案作出判决：两家生成式 AI 服务商因利用 AI 工具批量生成虚假产品推荐帖，被判赔偿社交平台 10 万元人民币（约 14,723 美元）。15

两被告联合运营一款 AI 写作工具，可「一键生成」符合特定社交平台风格的数百字产品推荐帖、旅游攻略，付费会员分 40 元至 168 元等级。法院认定，平台通过长期运营积累的「真实体验内容生态」构成受《反不正当竞争法》保护的竞争利益，生成式 AI 服务商须承担从内容生成到合规管理的全过程责任。

助理法官张宗斌在判决中表示：「我们认为有必要防止滥用 AI 技术为幌子侵害他人合法权益。」（"We believe it is necessary to prevent the abuse of AI technology as a cover to infringe upon the lawful rights and interests of others."）

这起案件对 AI 创始人的意义不止于 10 万元赔偿金额本身——它确立了一个先例：生成式 AI 工具的提供方，即便用户是付费方，在用户用产品违规时也可能被追责。工具的「技术中立性」在司法层面不再是完整的免责屏障。

三部门出台 AI 智能体政策框架

2026 年 5 月 8 日，国家网信办、国家发展改革委、工业和信息化部三部门联合印发《智能体规范应用与创新发展实施意见》，这是全球首次将 AI 智能体（Agentic AI，指具备自主感知、记忆、决策、交互、执行能力的 AI 系统）作为独立治理对象纳入系统性政策框架。16

核心制度设计包括：

分层分类治理：高风险领域（医疗、金融、政务、司法、公安、交通、能源等）须备案、测试、产品召回及双重监管；低风险领域（日常娱乐、办公）依靠自评估和行业自律
决策权限三层次：用户保留决策 / 用户授权决策 / AI 自主决策，用户保留知情权和最终决策权
互操作协议（AIP）与数字身份管理：提出智能体注册平台、多智能体互操作标准
供应链安全：强调开源框架、国产芯片和操作系统兼容

Geopolitechs 的分析指出，这份文件反映中国在 AI 产业政策上的一贯思路——承认风险的同时明确不打算错过产业机遇，比欧盟的横向立法路径更直接地将行业目标嵌入治理框架。

备案数据与执法信号

截至 2026 年 4 月 30 日，累计 868 款生成式 AI 服务完成国家网信办备案，530 款应用或功能完成地方登记。17 3-4 月新增 72 款备案、49 款登记。已上线服务须在显著位置或产品详情页公示模型名称及备案/登记编号。

执法层面，4 月 28 日（窗口外，作为执法背景）国家网信办约谈并处罚了字节跳动旗下剪映、即梦 AI、猫箱三款产品，理由是「未有效落实人工智能生成合成内容标识规定」；截至 5 月初，抖音、快手、小红书等 12 家平台已清理违规短视频超 52 万条，处置账号 9.8 万余个。18 工业和信息化部同期（5 月 9 日）在国家级 AI 产业创新应用先导区启动 AI 伦理审查与服务试点。19

对 AI 创业者的直接影响：在中国大陆提供生成式 AI 服务，备案是不可绕过的硬门槛；AI agent 类产品须对照《智能体实施意见》中的「高风险领域」清单判断是否须提前备案测试；AIGC 内容标识（显式水印 + 隐式元数据）已进入实质执法阶段，工具类产品须确保用户发布内容时满足双轨标识要求。

英国与国际｜CMA 对 Microsoft 展开反垄断调查，日本选举 AI 标识立法

英国 CMA 对 Microsoft Copilot 生态启动「战略市场地位」调查

2026 年 5 月 14 日，英国竞争与市场管理局（CMA，英国反垄断和消费者保护独立监管机构）正式对 Microsoft 商业软件生态系统启动「战略市场地位」（SMS）调查，这是 CMA 自 2025 年 1 月英国数字市场竞争制度生效以来启动的第四项 SMS 调查。20

调查范围覆盖 Microsoft 的生产力软件（Windows、Word、Excel、Teams 及 Copilot）、操作系统、数据库管理系统和安全软件——重点评估 AI 竞品能否与 Microsoft 商业软件集成，以及捆绑、互操作性限制和默认设置是否削弱竞争。CMA 首席执行官 Sarah Cardell 表示：「商业软件是英国经济运转的基石，数十万英国客户依赖 Microsoft 系统。」（"Business software is a cornerstone of how the UK economy functions, from small businesses to major public services and infrastructure."）

调查须在 9 个月内完成（最迟 2027 年 2 月），利益相关方须在 2026 年 6 月 4 日前提交意见。

对依赖 Microsoft Copilot 或 Azure OpenAI 构建产品的 AI 创业者，此次调查直接影响 Microsoft 是否被迫开放更多互操作性。短期内无直接合规义务，但调查结果可能迫使 Microsoft 开放互操作性接口，影响基于 Teams / Copilot 生态的产品集成逻辑，建议在 6 月 4 日前提交意见或委托律所跟进。

ICO 发布双份 AI 指南

同日（5 月 14 日），英国信息专员办公室（ICO，英国数据保护独立监管机构）发布博客，识别六类 AI 驱动网络威胁——AI 增强钓鱼、深度伪造社会工程、自动化漏洞扫描、AI 恶意软件、凭证填充攻击、数据投毒与间接提示注入——并要求组织落实 Cyber Essentials 五项技术控制和网络治理行为准则；使用处理高风险个人数据的 AI 工具时，必须进行数据保护影响评估（DPIA）。21

5 月 11 日，ICO 还发布了 AI 生成信息自由（FOI）请求的正式指导意见：使用 AI 不会使 FOI 请求自动失效，但公共机构可在请求过度繁重或重复等情况下拒绝；公共机构员工使用 AI 生成的信息同样受 FOI 约束，相关对话和提示记录属于 FOI 法第 84 条定义的记录信息。22

日本、新加坡与联合国

日本：5 月 14 日，执政党与在野党就选举期间 AI 生成视频规则达成合意：社交平台投稿者须标注「生成 AI で作成」等明示信息，违者受处。23 目标在本届国会期间完成《公职选举法》修正。日本 AI 监管目前以《AI 推进法》（2025 年 9 月 1 日生效）为基础，采用软法/自愿合规路径，此次是在选举场景下作出的针对性强制标识要求。

新加坡：5 月 13 日，总理黄循财在 SGLaw200 青年论坛上警告：「这些风险已不是假设性威胁，而是真实存在的。」（"These are not hypothetical risks. They are already here."）24 他提出 AI 系统在医疗、自动驾驶等领域造成损害时，「是开发者、算法编写者、部署公司，还是使用者」应当负责——这一法律归责问题将在多个司法辖区同步推进立法回应。

联合国：首次「AI 治理全球对话」将于 2026 年 7 月 6-7 日举行。由 Yoshua Bengio（图灵奖得主，深度学习先驱）和 Maria Ressa（诺贝尔和平奖得主，菲律宾媒体人）共同主持的独立国际 AI 科学小组（40 名全球专家）已于 2 月 14 日由联合国大会批准成立，书面意见征集现已开放。25

近期合规截止日速查

截止日期	辖区	事项
2026-05-19	美国（联邦）	平台须完成 Take It Down Act 非自愿亲密图像通知-移除机制
2026-06-03	欧盟	EU AI Act 透明度义务指南草案征求意见截止
2026-06-04	英国	CMA Microsoft SMS 调查利益相关方意见提交截止
2026-08-02	欧盟	大多数 AI 透明度规则生效（Article 50，交互式 AI 告知义务）
2026-10-01	美国·康涅狄格	AIRT Act 就业工具开发者义务生效
2026-12-02	欧盟	AI 裸体生成器禁令 + 生成式 AI 水印义务生效
2027-01-01	美国·科罗拉多	SB 26-189 ADMT 透明度框架生效（如经州长签署）
2027-01-01	美国·康涅狄格	AIRT Act 聊天机器人条款生效
2027-12-02	欧盟	独立高风险 AI 系统（Annex III）合规义务生效

封面图：图片来自 CMA launches strategic market status investigation into Microsoft's business software ecosystem