上周的投票决定放缓了这一进程，给首席信息官们出了一道难题：是匆忙合规，还是静观其变并冒着违规的风险？

欧洲议会上周投票决定推迟《欧盟人工智能法案》部分内容的实施，这给本已混乱的人工智能合规领域增添了更多不确定性。但分析师表示，CIO们必须假设合规规则已经生效并据此行事。

欧洲议会议员投票决定推迟有关高风险人工智能系统的规则适用，旨在为欧洲当局争取时间，以准备计划中的指导方针和标准，从而帮助企业进行实施。

虽然欧洲议会和欧盟委员会目前就延期达成了一致，但仍需获得第三个立法机构——欧盟理事会的批准。

由于议员们投票推迟的第一个截止日期将于 2026 年 8 月到来，这给CIO们带来了规划挑战：他们应该在现有截止日期前匆忙实施变革（在缺乏承诺的指导方针的情况下），还是等待并寄希望于理事会批准延期？

延期并非赦免

分析师和顾问们的建议几乎如出一辙：企业CIO绝不能等待，而必须像规则已经生效一样运作。

“他们澄清了延期这件事是好事，因为之前目标一直在变，”Gartner 副总裁分析师 Nader Henein 说道。“但糟糕的是，最终决定发生的时间离旧截止日期太近，组织别无选择，只能按原计划进行。自 11 月欧盟‘数字综合法案’草案初稿发布以来，我们给客户的建议一直是：将任何潜在的延期视为更好地测试和改进人工智能系统编目和管理流程的机会。”

Henein 补充道：“当前时间表的主要制约因素是监管机构尚未准备好执行。情况依然如此。西班牙是为数不多设立监管机构的国家之一，甚至欧盟人工智能委员会在组织正确理解其在高风险人工智能系统方面义务所需的指导方针上也落后了。而这些义务目前的生效日期是 8 月 2 日。”

网络安全顾问、FormerGov 执行董事 Brian Levine 表示，将《人工智能法案》的主要限制推迟到 2027 年“让CIO们处于监管的真空中，但这并没有改变根本现实：企业仍然要承担其人工智能系统造成的风险。”

“无论布鲁塞尔是在明年还是两年后执行规则，治理不善的人工智能所带来的运营、法律和声誉风险已经存在。CIO不应将延期视为赦免，”Levine 说。“那些等待完美监管清晰度出现的组织，最有可能发现他们的模型在执法时钟开始滴答作响之前，就已经在悄悄制造合规、隐私或安全责任了。”

议会提议，“对于法规中具体列出的高风险人工智能系统——包括涉及生物识别的系统，以及用于关键基础设施、教育、就业、基本服务、执法、司法和边境管理的系统——法规将于 2027 年 12 月 2 日适用。”

对于“受欧盟安全和市场监督部门立法管辖”的人工智能系统，设定的日期为 2028 年 8 月 2 日。声明还指出，议员们“赞成给予提供商直到 2026 年 11 月 2 日的时间，以遵守关于对人工智能生成的音频、图像、视频或文本内容进行水印标注以表明其来源的规则。”

利用时间做准备

Info-Tech Research Group 的执行顾问 Jason Hookey 表示，他同意议会的部分决定。

“欧盟推迟高风险人工智能义务的选择是有道理的。大多数人都同意这些规则的目的，但有人担心，如果没有足够的指导、技术标准或适当的支持，组织将无法达到这些要求。重要的是要注意，延期只改变了时间表，并没有改变围绕高风险人工智能的主要目标，”Hookey 说。“善用这段时间的组织将为合规、控制和建立市场信任做好更好的准备。那些等待的组织可能只是在推迟问题，并错失管理良好的人工智能带来的好处。”

其他人指出，欧盟的决定只是对其众多成员国的建议，这些成员国有权为其国家做出任何他们想要的更改。

程序性风险

LexisNexis 风险解决方案集团的首席信息安全官 Flavio Villanustre 指出，欧盟决议在两个层面上运作。

“在欧盟层面有一个政策决策，在成员国层面有一个实施定义。因此，即使政策制定并公布后，他们通常会留出数年的实施时间，让成员国遵守并发布自己的立法，以定义该成员国的实施要求，”Villanustre 说。“我认为这个特定案例也不会有什么不同，所以实际截止日期可能比立法草案显示的还要远。”

此外，合规公司 Schellman 的总裁 Doug Barbin 警告CIO，“这里还有一个真正的程序性风险：如果理事会和议会的谈判拖延到 2026 年 8 月之后，原来的截止日期仍将保留在案。那些袖手旁观的CIO最容易受到这种情况的影响。那些现在投资于治理基础设施的组织以后不会陷入危机模式。这是额外的时间——利用好它。”

Barbin 说市场正在慢慢转向更广泛的战略。“这是合规的发展方向：少关注具体行动，多关注治理和风险，”他说。

等待的高昂代价

Fusion Collective 咨询公司的首席执行官 Yvette Schmitter 表示，她担心CIO们会从欧洲议会的所作所为中得出错误的信息。

“我认为这很糟糕，因为它给人一种虚假的安全感，让人觉得他们有更多的时间。这试图给他们更多的时间，但公司永远不会准备好，”Schmitter 说。“法庭不在乎你的监管合规时间表。当你的 AI 系统大规模产生有害或歧视性结果时，‘我们在等待最终指导’这种借口在证词取证中是站不住脚的。”

Greyhound Research 的首席分析师 Sanchit Vir Gogia 认为，这些决定相当于传递了相互矛盾的信息，这只会加深人工智能监管的混乱。

“时间表的变动移除了一个明确的执行锚点，但并没有降低对问责的期望。如果说有什么不同的话，那就是让决策变得更难了。企业现在处于一种混合状态，一些义务已经生效，另一些预计稍后生效，而内部团队则以不同的方式解读风险。这种组合在任何监管机构介入之前就造成了混乱，”他说，并指出许多公司会想要慢下来等待最终法规。

“这种本能是错位的，”他说。“等待是假设清晰度会足够早地到来以便采取行动。在实践中，清晰度往往来得晚、不均衡，而且通常是在内部决策已经做出之后。选择暂停的首席信息官并没有减少风险。他们只是推迟了风险变得可见的那一刻。”

Gogia 还指出，等待伴随着实实在在的经济成本。

“有一种观点认为延期可以减少支出。实际上，情况往往相反。暂停的工作必须重新开始。团队会失去背景语境。设计会被重新审视。后期添加的治理比从一开始就建立的治理更昂贵，”他说。“在没有清晰度的情况下签订的供应商合同变得难以解除。这些都不会立即显现出来，这就是为什么它经常被低估。但随着时间的推移，等待的成本往往会超过有意图地采取行动的成本。”