5 人创业公司 EU AI Act 合规真实成本(€30k 到 €80k 拆解)
在欧盟部署 AI 系统的 5 人创业公司的具体数字:一个有限风险聊天机器人或 RAG 助手,第一年合规成本大约落在 €15k 到 €30k。一个高风险系统(招聘、信用评分、教育评分、关键基础设施)落在 €50k 到 €80k 以上,并附带第三方合规评估。极低风险系统(垃圾过滤器、推荐系统)的直接合规成本接近零。被禁止的系统就不应该存在。完整逐项预算见下文。
我从工程角度写这篇。我们为那些需要把 AI 功能推向欧盟的客户做过技术文档和风险管理工作流。下面的数字是来自 Wavect 合作历史的区间,加上公开的审计费率表。法律确定性请咨询律师。实施现实请来找我。
把 AI 推向欧盟?
预约免费咨询EU AI Act 到底把你的系统归为哪一类?
任何数字要有意义,先给你的系统分类。该法案定义了四档:
- 禁止。社会评分、公共场所实时生物识别、操纵性 dark-pattern AI、工作或学校场景下的情绪识别。合规成本:别做。
- 高风险。附件 III 列表:招聘决策、信用评分、教育评分、执法、关键基础设施、医疗器械、生物识别。完整合规体系适用。
- 有限风险。聊天机器人、生成式内容、在允许范围内的情绪或生物识别分类。透明度义务,文档要求较轻。
- 极低风险。垃圾过滤、媒体推荐引擎、游戏中的基础 ML。除 GDPR 外没有具体义务。
大多数早期 SaaS 创业公司落在有限风险或极低风险。成本的大幅跃升发生在高风险这一档。
EU AI Act 合规成本逐项是多少?
5 人创业公司的预算表。有限风险列假设是面向客户的聊天机器人或 RAG 产品。高风险列假设是需要第三方合规评估的招聘或信用评分系统。
| 项目 | 有限风险(EUR) | 高风险(EUR) |
|---|---|---|
| 初次法律评审与风险分类 | 3,000 到 6,000 | 6,000 到 12,000 |
| 技术文档(附件 IV) | 4,000 到 8,000 | 10,000 到 18,000 |
| 数据治理与数据集文档 | 2,000 到 5,000 | 8,000 到 15,000 |
| 风险管理系统搭建 | 1,500 到 3,000 | 5,000 到 10,000 |
| 合规评估(必要时第三方) | 不适用(自我声明) | 8,000 到 20,000 |
| 上市后监控工具与流程 | 2,000 到 4,000 | 5,000 到 10,000 |
| 内部培训与 SOP 推行 | 1,500 到 3,000 | 3,000 到 6,000 |
| 透明度与面向用户的标识 | 1,000 到 2,000 | 1,500 到 3,000 |
| 第一年合计 | 15,000 到 31,000 | 46,500 到 94,000 |
法律评审实际交付什么?
专攻欧盟科技法的律师会写一份备忘录,把你的系统按该法案分类,把对应义务一一列出,并标出与 GDPR 的重叠。预计在 DACH 地区资深律师 8 到 20 小时,时费 €300 到 €600。便宜律师会给你报 €1,500,产出一份模板化的文档,在监管问询时撑不下来。请为资深律师付费。
技术文档到底包含什么?
法案附件 IV 列出了 9 类必备文档:总体说明、设计规格、监控与控制、验证与测试、上市后监控计划等等。我们通常把它做成一份在客户仓库里版本化管理的文档,与代码库保持同步。第一版需要 40 到 80 个工程师小时,再加 10 到 20 小时的资深评审。之后维护大约每次发布 4 到 8 小时。
数据治理究竟要求什么?
对高风险系统,法案要求数据集相关、具代表性、无错误且完整。具体落地就是:有文档的数据来源、有文档的预处理、有文档的质量检查、有文档的偏差评估。我们通过 model card 和 dataset card 把它嵌入 SDLC,并每季度对生产数据做一次偏差审计。搭建成本在表中;持续成本是工程时间,我们当作功能预算的一部分处理。
什么时候需要第三方合规评估?
附件 III 上的高风险系统,当提供者无法完全采用统一标准,或法案明确要求公告机构介入时。DACH 地区公告机构的合规评估费用区间很大。我们见过的报价从范围紧凑系统的 €8,000 到复杂系统的 €25,000 以上。请按日历给评估留 8 到 14 周,而不是 2 周。
"合规是架构,不是文书。把它做进 SDLC,审计就只是签字。"
上市后监控怎么办?
法案要求持续监控系统表现并上报事件。对大多数创业公司来说就是:按隐私控制记录结构化的模型输入与输出、为漂移和异常建立告警通道、有文档的事件响应流程,以及向国家主管机构的严重事件通报路径。我们通常把这些接入团队已经在用的可观测性栈(Sentry、Grafana、Datadog),再加一层小的自定义。一次性搭建按上表,持续成本属于运营成本。
内部培训覆盖什么?
设计、构建或运行该 AI 系统的每个人都需要理解其义务和边界。对 5 人团队来说,我们通常做一次半天的工作坊,加上一份针对产品定制的 10 到 20 页手册,然后每年刷新一次。便宜,杠杆高。跳过它,第一个监管问询就会暴露漏洞。
第一年以后的持续年成本是多少?
大约是第一年成本的 30% 到 50%,作为持续成本。所以有限风险系统持续运营每年 €5k 到 €15k,高风险系统每年 €15k 到 €35k。如果你对系统做出“重大变更”,还需要重新评估费用。该定义宽泛,往往比创始人预期的发生得更频繁。
如果你用 AI agent 或 RAG 来构建呢?
分类仍然取决于用例,而不是架构。用于内部知识检索的 RAG 助手通常是极低或有限风险。一个多步 AI agent,代表用户执行动作(订票、购物、发消息),需要按这些动作影响的对象来分类。一个触发招聘决策的 agent,无论 prompt 写得多么巧妙,都是高风险。我们在每位客户的范围界定阶段都会聊这个,详见我们的 AI 服务。
最终思考
如果你是有限风险,地板更接近 €15k,天花板大约在 €30k。如果你是高风险,第一年会花掉 €50k 到 €80k,并且应该在融资前就为这笔钱做好预算。最大的单一成本驱动是你是否需要第三方合规评估,这会增加 €8k 到 €20k 的费用,外加 8 到 14 周的日历时间。
大多数创始人掉进的陷阱,是把合规当作第四季度的文书工作。等到第四季度,你的架构选择已经把合规成本锁死了。从第一天就把它当作架构去对待,你大约只花事后整改成本的一半。
路线图里有 AI?
预约免费咨询