AI Act 招聘：2026 年 8 月 2 日起，您的 AI 工具会发生哪些变化

AI Act 招聘合规已不再是遥远的前景：2026 年是关键转折之年。法规 (EU) 2024/1689 自 2024 年 8 月 1 日起生效，其「高风险」义务将于 2026 年 8 月 2 日对招聘类 AI 系统正式适用。具体而言，如果您的 Talent 团队使用了 筛选简历、为候选人打分或辅助甄选的工具，那么您就在监管范围之内 —— 您并非作为软件开发者， 而是作为使用该工具的雇主。本文将解释为什么这些工具被归类为高风险、真实的时间表、谁承担哪些义务， 以及做好准备的具体清单。

AI Act 与招聘：为什么您的 AI 工具被归类为高风险

AI Act 采用按风险等级划分的逻辑。招聘并非无关紧要的用途：它被列入附件三第 4 节，涵盖就业、劳动力管理以及获得自雇工作的渠道。任何用于这些目的的 AI 系统，默认即被归类为高风险。

实践中，受监管的系统包括那些会做以下事情的系统：

• 以个性化方式定向投放或分发招聘广告；
• 分析和筛选收到的申请；
• 根据匹配度评估或排名候选人；
• 支持甄选、晋升或终止劳动关系的决策。

换言之，几乎所有现代的寻访、匹配和打分工具都落入这一范围。立法者认为，这些系统对获得就业的机会 和基本权利有直接影响 —— 因此设立了一套要求严格的制度。所以，AI 招聘合规的问题 不在于「我是否受监管？」，而在于「我该如何对必须推定为高风险的工具进行记录与管控」。

需要注意的是：第 6 条规定了某些情形，即附件三所列系统若仅执行纯粹准备性或辅助性的任务、对决策 没有实际影响，则可不被归类为高风险。但该豁免范围狭窄，必须由提供者（provider）记录在案，且 绝不适用于对个人进行画像的工具。对于为候选人打分或排名的工具，高风险仍然是常规规则。

AI Act 时间表：为什么 2026 年 8 月 2 日对招聘至关重要

其适用是分阶段进行的。以下是真实的日期，其中应当用粗体标注在您 Talent 路线图上的那一项：

• 2024 年 8 月 1 日 —— 法规 (EU) 2024/1689 生效。
• 2025 年 2 月 2 日 —— 禁止性做法（例如：社会评分、某些情绪推断）被禁止， 且 AI 素养义务（第 4 条）生效：您的团队必须对所使用的系统具备足够的理解水平。
• 2025 年 8 月 2 日 —— 适用于通用目的 AI 模型（GPAI）的义务生效， 这类模型在底层支撑着大量招聘工具。
• 2026 年 8 月 2 日 —— 招聘团队的关键期限：适用于附件三高风险系统（因而包括招聘） 的义务全面生效。
• 2027 年 8 月 2 日 —— 最后的剩余条款生效。

2026 年 8 月 2 日是必须牢记的节点，因为正是从这一天起，那些实质性要求 —— 文档、人工监督、告知候选人、日志记录 —— 不再只是准备工作，而成为可被检查的义务。由于内部工作 （梳理盘点、审查供应商合同、更新申请流程）需要数月时间，这项工作应在 2026 年开始，而不是等到 7 月。

提供者（provider）与部署者（deployer）：谁承担哪些义务

AI 招聘法规区分了两种角色，而两者的混淆是错误的首要来源。提供者（provider）是开发该 AI 系统并将其投放市场的实体 —— 即开发商、销售方。部署者（deployer）是在其活动中使用该系统的实体 —— 也就是您，即雇主或招聘公司。

大部分技术性义务由提供者承担：

• 建立风险管理体系；
• 确保训练数据的治理与质量；
• 编制并持续更新技术文档；
• 集成事件的自动日志记录；
• 向部署者提供透明度信息和使用说明；
• 将系统设计为可实现有效的人工监督；
• 确保准确性、稳健性和网络安全；
• 完成合规性评估、加贴 CE 标志，并在欧盟数据库中登记该系统。

但部署者并非只是被动的使用者。您自身的义务包括：

• 按照提供者的使用说明使用该系统；
• 由具备能力的人员进行人工监督；
• 监控运行情况并报告事件；
• 保存系统生成的日志；
• 告知候选人和劳动者他们正受到一个高风险 AI 系统的处理， 并告知相关的职工代表。

某些部署者 —— 尤其是公共机构和某些类别的主体 —— 此外还须在投入使用前开展基本权利影响评估（FRIA）。购买一个「合规」的工具并不能免除您的责任： 部署者的责任始终归您自身承担。

招聘部署者的合规清单

以下是无需临场发挥即可应对 2026 年 8 月 2 日的具体做法。它分为六个可操作的步骤。

1. 梳理盘点您在招聘中的 AI 用途

清点在寻访、筛选、打分和决策辅助中所调用的每一个工具和每一项 AI 功能。对每一项，记录其提供者、 使用范围以及所处理的个人数据。许多团队在这一步才发现其 ATS 中内置了它们此前未曾识别的 AI 功能。

2. 核实每个系统的高风险状态

将每一种用途对照附件三第 4 节进行核查。筛选申请、评估、排名或定向投放广告的工具属于高风险。 如有疑问，请推定为高风险，并要求提供者出具其经记录在案的定性结论。

3. 要求提供者出具合规文档

索取技术文档、使用说明、CE 标志的证明、欧盟数据库中的登记记录以及合规性评估结果。这些要素应当 —— 或可被要求 —— 载入您的合同。

4. 确保真实有效的人工监督

指定受过培训、能够理解一项建议、对其提出异议并加以推翻的人员。人工监督不应是象征性的橡皮图章： 它是一种有效的控制，且该工具必须按照提供者的说明使用，绝不能仅凭其作出自动化决策。

5. 告知候选人和职工代表

当候选人受到涉及高风险 AI 系统的决策处理时，必须被告知。请在您的申请流程中设置清晰的提示、 一个用于解释和人工申诉的渠道，并告知职工代表。

6. 记录日志、监控并审计

保存自动生成的日志，监控生产环境中的运行情况，跟踪偏见与异常，并记录您的各项检查。在接受检查的 那一天，正是这条审计轨迹才能证明监督在实践中确实存在，而不仅仅停留在纸面上。

应向您的招聘 AI 提供者提出的问题

您的合规在很大程度上取决于供应商的质量。尽职调查应在采购之前进行，或在续约时进行。以下是应提出的问题：

• 该系统是否被定性为附件三意义上的高风险，依据何在？
• 您能否提供最新的技术文档和使用说明？
• CE 标志是否已加贴，系统是否已在欧盟数据库中登记？
• 系统内置了哪些「by design」的人工监督机制？
• 自动日志记录如何运作，我能否导出日志？
• 训练使用了哪些数据，偏见是如何测试的？
• 当候选人对某个评分或建议提出异议时，您如何向其作出解释？
• 您如何与 GDPR、尤其是第 22 条相衔接？

最后这一点值得关注。AI Act 并不取代 GDPR：两者叠加适用。GDPR 第 22 条禁止在缺乏保障措施的情况下，仅基于自动化处理作出产生法律效果或重大影响的决策 —— 并赋予人工干预和获得解释的权利。因此，一款设计良好的招聘工具应当支持而非绕过这些权利。

透明的工具如何支撑您的 AI 招聘合规

没有任何工具能代替您「使您合规」—— 部署者的责任始终归您。但工具的设计会显著地促进或妨碍您的 合规工作。在 TrueCalling，两项设计选择契合了部署者的义务。

首先，EMILY 是一个 human-in-the-loop（人在回路）的副驾驶，而非自主决策者。 系统进行推荐、排序并准备工作；最终拍板的是招聘官。这一架构直接支撑了人工监督的义务，并避免了 GDPR 第 22 条所针对的「完全自动化（solely automated）」决策陷阱。

其次，TrueFit 360 评分可逐行解释：评分的每一个组成部分都被展示出来， 使建议对招聘官而言清晰可读、对候选人而言可被质疑。这种透明度支撑了解释义务和申诉的可能性。 想要详细了解该评分如何计算以及它可能在哪里出错，请参阅我们专门论述 候选人-岗位匹配评分的文章。

在个人数据方面，我们的 GDPR 立场 —— 法律依据、可追溯的同意、保存期限、渠道 —— 在 WhatsApp 招聘与 GDPR 指南中有详细阐述，它在数据保护层面对 AI Act 框架做了补充。

有一点需要明确说明：TrueCalling 并不自称「AI Act 认证」—— 在当前情况下，这一标签并无意义。 雇主始终是负有责任的部署者。一款好的工具能让您的合规更易于证明；但它无法取代合规本身。

处罚：为什么这件事不只是象征性的

AI Act 规定了不亚于、甚至超过 GDPR 的处罚。违反禁止性做法可处以最高3500 万欧元或全球年营业额的 7%（以较高者为准）的罚款。违反其他义务 —— 即直接涉及招聘部署者的那些 —— 最高可达1500 万欧元或 3%。向主管机关提供不正确或 误导性的信息，最高可能付出750 万欧元或 1%的代价。这些上限把合规从一个边缘的法律 议题，转变为管理层层面的议题。

本文仅供参考，不构成法律意见。具体义务取决于您的实际情况；请由专业顾问对您的做法加以审核确认。

您想看看一个 human-in-the-loop 的副驾驶和一个可解释的评分，如何融入一个为透明而设计的招聘流程吗？ 预约一场 TrueCalling 的导览式演示 并带上您的一个在招岗位：我们会现场演示寻访过程，并逐行向您展示每一条建议是如何被解释的。