EU AI Act Article 50 生效 — SAR 标注、Omnibus 推迟与 HITL 豁免同构
EU AI Act Article 50 生效 — SAR 标注、Omnibus 推迟与 HITL 豁免同构
日期: 2026-08-02 阶段: Phase 2 - AI-native 参考架构 标签: #eu-ai-act #article-50 #transparency #compliance-architecture
核心问题
今天(2026-08-02)是 EU AI Act Article 50 透明义务正式生效日。AML Copilot 是一个生成式 AI 系统——它生成 SAR(可疑活动报告)叙述文本。一个尖锐的合规问题摆上桌:AI 生成的 SAR 文本,要不要按 Article 50 标注「这是 AI 生成的」?标在哪?谁负责标?
直觉答案是「监管这么严,SAR 当然要打满 AI 水印」。今天证明这个直觉既过度又不足:
- 过度:Article 50 有一条编辑责任豁免——经过人工复核、有自然人/法人承担编辑责任的内容,可免除披露义务。AML 的 HITL(human-in-the-loop)工作流恰恰落进这个豁免,结构上同构。盲目打满水印是没读懂法条。
- 不足:Article 50(2) 的机器可读标记义务,被 2026-05 的 Omnibus 推迟到 2026-12-02,但 50(1)/50(4) 的其他义务 2026-08-02 照常生效——今天就得合规,且标记在架构上是脆弱的(元数据可被剥离),不是打个标签就完事。
今天把法条精读到「条款级」,映射成本项目的架构组件,并指出一个反直觉的合规设计:HITL 不只是产品 UX,它是法律豁免的触发器。
关键内容
A. Article 50 条款精读:四款义务各自管什么
Article 50 不是铁板一块,分四款,义务主体和触发条件各不相同。精读原文(artificialintelligenceact.eu,权威转录):
50(1) — 交互披露(义务主体:provider):
「natural persons concerned are informed that they are interacting with an AI system, unless this is obvious...」
即:用户必须被告知「你在和 AI 系统交互」,除非对一个「合理知情、留心、审慎」的自然人而言这是显而易见的。
50(2) — 机器可读标记(义务主体:provider):
「outputs of the AI system are marked in a machine-readable format and detectable as artificially generated or manipulated」
即:生成的合成音/图/视频/文本,输出必须以机器可读格式标记、可被检测为人工生成。这是**溯源(provenance)**义务,面向检测工具。
50(4) — 公共利益文本披露 + 编辑责任豁免(义务主体:deployer):
「Deployers of an AI system that generates or manipulates text which is published with the purpose of informing the public on matters of public interest shall disclose that the text has been artificially generated...」
但紧跟豁免:
「...does not apply where the AI-generated content has undergone a process of human review or editorial control and where a natural or legal person holds editorial responsibility for the publication of the content.」
四款的义务-主体-触发对照:
| 款 | 义务 | 主体 | 触发条件 | 对 AML Copilot |
|---|---|---|---|---|
| 50(1) | 告知「在与 AI 交互」 | provider | 与 AI 系统交互且非显而易见 | 分析师明知在用 AI 工具 → 显而易见,弱触发 |
| 50(2) | 机器可读标记 | provider | 生成合成内容 | SAR 文本是合成文本 → 触发,但 Omnibus 推迟至 2026-12-02 |
| 50(3) | 深伪/情感识别等披露 | deployer | 深伪、生物识别等 | AML 不涉及,不触发 |
| 50(4) | 公共利益文本披露 | deployer | 文本「为告知公众公共利益事项而发布」 | SAR 不对公众发布,且有 HITL → 不触发/豁免 |
B. 编辑责任豁免与 HITL 的结构同构
这是今天最重要的洞察。50(4) 的豁免条件是「内容经过人工复核或编辑控制,且有自然人/法人承担发布的编辑责任」。把这两个条件和 AML Copilot 的 HITL 工作流并排看:
Article 50(4) 豁免要件 AML Copilot HITL 工作流
───────────────────── ──────────────────────
① human review / ◄──► 合规分析师逐条复核 AI 起草的
editorial control SAR 叙述(Day 5 设计的 HITL UX)
② natural/legal person ◄──► 分析师/合规官签字提交,对该 SAR
holds editorial 承担合规责任(监管问责到人)
responsibility
两者结构同构:法律要的「人工复核 + 自然人担责」,正是 AML 合规流程本就强制的「分析师复核 + 签字担责」。这不是巧合——金融合规的 SAR 提交流程,天然满足了 AI Act 为「负责任地发布 AI 文本」设的门槛。
反直觉洞察①(HITL 不只是产品 UX,它是法律豁免的触发器):Day 5 把 HITL 当作「让分析师信任 AI、可纠错」的产品体验设计。但 Article 50(4) 揭示它的第二重身份——合规杠杆:正因为有人工复核 + 自然人担责,AML Copilot 的 SAR 才落进 50(4) 豁免,免去「对公众披露」义务。移除 HITL 改成全自动提交,不仅是产品风险,更是直接捅破法律豁免——从「有人担责的编辑产物」变成「无人担责的纯 AI 输出」,合规定性质变。这把 HITL 从「nice-to-have」钉成「合规架构的承重墙」。
不过要厘清边界:50(4) 本就只管「为告知公众公共利益事项而发布」的文本。SAR 是提交给监管机构(FIU/金融情报机构)的内部合规报告,不对公众发布——所以 AML 的 SAR 首先就不在 50(4) 的触发范围内,豁免只是「双保险」。真正硬触发 AML 的是 50(2)(机器可读标记,provider 义务,已被 Omnibus 推迟)。
C. Omnibus 推迟时间线与「标记即脆弱」的架构现实
2026-05-07 Council/Parliament/Commission 就 Digital Omnibus on AI 达成临时协议(Consilium, 2026-05),对 Article 50 做了精准的部分推迟:
| 义务 | 原生效 | Omnibus 后 | 状态 |
|---|---|---|---|
| 50(1) 交互披露 | 2026-08-02 | 不变 | 今天生效 |
| 50(4) deployer 披露 | 2026-08-02 | 不变 | 今天生效 |
| 50(2) 机器可读标记(provider) | 2026-08-02 | 推迟至 2026-12-02 | 已上市系统宽限 |
| Annex III 高风险义务 | — | 推迟至 2027-12-02 | 大幅延期 |
反直觉洞察②(Omnibus 推迟的是标记,不是透明度本身——别把「延期」当「免除」):媒体口径常笼统说「EU 推迟了 AI Act」,容易让人以为透明义务整体松绑。实情是外科手术式的:50(2) 的机器可读标记(技术上最难、标准未定)推迟 4 个月到 2026-12-02;但 50(1)/50(4) 的披露义务 2026-08-02 照常生效,deployer 义务一天没推。把「标记推迟」误读成「透明度免除」,会让 deployer(用 AML Copilot 的金融机构)漏掉今天就该做的 50(1) 告知。
而且即便到 12 月要做 50(2) 标记,它在架构上是脆弱的。arXiv 2603.26983(Transparency as Architecture, 2026-03)论证:机器可读标记面临结构性合规缺口,非实现努力不足,而是「内容可塑性 vs 持久标记」的根本张力:
- 元数据剥离:标记若嵌在元数据,「在标准内容处理中被移除,对持久披露不可靠」。
- 水印鲁棒性:水印「在变换、压缩、再分发后难保持可检测」。
- provider/deployer 责任割裂:provider 在生成时标记,但 deployer 「再分发修改后的内容时无法可靠验证或保持标记」,责任链断裂。
- C2PA 局限:「提供结构化溯源但缺跨平台强制机制,无法可靠挺过有损变换」。
失败模式可分四相:检测相(处理后测不到)、验证相(无法密码学验证)、持久相(截图/重编码剥离)、兼容相(C2PA 平台采纳不足)。
反直觉洞察③(合规不是「打个标签」,标记本身会在工作流里失效):直觉以为 50(2) 就是「在 SAR 末尾加一行『AI 生成』」。但《Transparency as Architecture》指出:分析师把 SAR 导出 PDF、复制粘贴进合规系统、截图存档——每一步都可能剥离机器可读标记。对 AML,这意味着标记不能只放可剥离的元数据,要么走不可见水印 + C2PA 内容凭证(但 C2PA 挺不过有损变换),要么把「AI 起草 + 人工复核」的事实记进不可篡改的审计轨迹(trace/provenance store),用流程留痕代替易碎的内容标记。后者恰好接 P1 的 trace 底座。
设计要点/决策表
| 要点 | 决策 | 理由 |
|---|---|---|
| 50(1) 交互披露 | UI 明示「本工具由 AI 起草,需人工复核」 | 2026-08-02 已生效;虽分析师明知,仍显式告知防争议 |
| 50(2) 机器可读标记 | 走审计轨迹留痕而非仅内容元数据 | 元数据/水印在导出-复制-截图中被剥离;2026-12-02 前落地 |
| 50(4) 公众披露 | 不触发(SAR 非公众发布)+ HITL 豁免双保险 | SAR 提交给 FIU 非公众;且有人工复核 + 签字担责 |
| HITL | 定性为合规承重墙,禁止改全自动 | 移除 HITL 捅破 50(4) 豁免,合规定性质变 |
| provenance | 把「AI 起草 + 复核人 + 时间」记进不可篡改 trace | 对抗标记脆弱性,责任链可追溯到自然人 |
对本项目的落地
- 新建
src/aml/compliance/article50.ts:导出article50Obligations(ctx) → Obligation[]——按 A 节四款 + Omnibus 时间线,输入{ today, publishedToPublic, hasHumanReview, editorialOwner },输出每款的{ clause, applies, dueDate, basis }。硬编码不变量:publishedToPublic=false(SAR 非公众)→ 50(4) 不触发;hasHumanReview=true && editorialOwner!=null→ 即便触发也豁免。纯函数可单测断言「有 HITL 则 50(4) 豁免」「50(2) dueDate=2026-12-02」。 - SAR 标注落地
src/aml/sarDraft.ts增强:起草产物附带 provenance 字段{ aiDrafted: true, reviewedBy: string | null, editorialResponsibility: string | null, draftedAt }——这既是 50(2) 的「留痕式标记」,又是 50(4) 豁免的证据。复核前reviewedBy=null(未满足豁免要件,不可提交);分析师签字后回填,呼应 Day 5 HITL。 - trace 底座承载 provenance:把 AI 起草 + 复核人 + 时间记进
src/agent/trace(P1 已建),作为对抗「内容标记被剥离」的不可篡改审计轨迹(C 节洞察③)。这是用流程留痕补内容标记脆弱性的设计选择。 - UI 50(1) 披露:agent-lab 的 SAR 面板顶部固定一句「AI 起草,须合规分析师复核签字后方可提交」,满足 50(1) 交互告知(2026-08-02 已生效)。
- 诚实标注:
article50.ts头注明确——本模块是合规义务的架构映射,非法律意见;时间线引 Omnibus 2026-05-07 临时协议(最终文本待正式通过,须 2026-12 前重核);机器可读标记的具体技术标准(C2PA/水印)仍在 Code of Practice 制定中,本项目先落「审计轨迹留痕」过渡方案,待标准定稿评估接 C2PA。
参考资料
- artificialintelligenceact.eu — Article 50: Transparency Obligations:50(1) 交互披露「unless obvious」;50(2)「marked in a machine-readable format and detectable as artificially generated」;50(4) 公共利益文本披露 + 豁免原文「does not apply where the AI-generated content has undergone a process of human review or editorial control and where a natural or legal person holds editorial responsibility」(权威转录,持续更新)
- Consilium / White & Case / Gibson Dunn — EU Digital Omnibus on AI 临时协议:2026-05-07 三方达成;50(1)/50(4) 义务 2026-08-02 不变;50(2) 机器可读标记推迟至 2026-12-02;Annex III 高风险推迟至 2027-12-02 (2026-05)
- arXiv 2603.26983 — Transparency as Architecture: Structural Compliance Gaps in EU AI Act Article 50 II:标记结构性脆弱(元数据剥离/水印鲁棒性/provider-deployer 责任割裂/C2PA 挺不过有损变换);四相失败模式(检测/验证/持久/兼容)(2026-03)
- European Commission — Code of Practice on marking and labelling of AI-generated content:50(2) 技术标准仍在制定,provider/deployer 合规指引 (2026)
- 本仓库
src/aml/sarDraft.ts(SAR 起草,待加 provenance 字段)、src/agent/trace(承载不可篡改审计轨迹)、Day 5 HITL 设计(合规豁免触发器)(2026-06)
SOTA 检查 (2026-06-11)
- Article 50 时间线在 2026-06 是 live 且仍在变:2026-08-02 是 50(1)/50(4) 硬生效日,50(2) 经 Omnibus(2026-05-07 临时协议)推迟至 2026-12-02。Omnibus 最终文本尚未正式通过——本笔记基于临时协议口径,须在 2026-12 前重核是否有进一步调整;这正是顶层时效性硬规则要求的「禁引已变动法条而不标日期」。
- 机器可读标记的技术标准未定稿:Code of Practice + EU 标准化工作仍在进行,C2PA 是候选但采纳/鲁棒性不足(arXiv 2603.26983, 2026-03)。本项目选「审计轨迹留痕」过渡方案是有意识的——不押注未定稿的水印标准,先用 P1 trace 底座留可追溯证据,待标准定稿再评估接 C2PA。
- 编辑责任豁免与 HITL 同构是稳健洞察:50(4) 豁免文本明确,HITL 满足其要件这一映射不依赖任何会变动的时间线,长期有效。但须注意:豁免仅免「公众披露」,不免 50(2) provider 标记义务——本项目 SAR 因「非公众发布」首先不触发 50(4),HITL 豁免是双保险而非唯一依据,这个边界 SOTA 检查时要守住,别夸大豁免范围。
- 过时认知警示:把「Omnibus 推迟」理解成「AI Act 整体松绑」是 2026 媒体常见误读——实际是外科手术式推迟(仅 50(2) 标记 + Annex III 高风险),透明披露义务今天照常生效。deployer(金融机构)今天就有 50(1) 告知义务。
- 待跟踪:Omnibus 最终文本通过时间;Code of Practice 机器可读标记标准定稿(决定本项目是否从「留痕」升级到 C2PA);AML Copilot 若未来被归类涉 Annex III 高风险(如「信用/金融服务的 AI」边界),则触发更重义务,须持续监控分类口径。