欧盟人工智能法案第 12 条:日志记录和审计跟踪要求
欧盟人工智能法案的第 12 条要求高风险人工智能系统在整个系统生命周期内自动记录事件。本页详细介绍了您的审计跟踪必须捕获的内容、保留规则以及第 11 条 + 附录 IV 技术文档之间的交互方式。
上次更新: July 4, 2026
第 12 条的要求
高风险人工智能系统必须通过设计,允许在整个系统生命周期内自动记录事件(“日志”)。日志必须能够提供足够的追溯性,以便进行上市后监测、监管检查以及第 14 条规定的人工监督。
第 12 条是欧盟人工智能法案中少数几项要求技术能力而非仅要求流程文档的义务之一——您的 AI 系统在运行过程中必须实际生成这些记录。
您的审计跟踪必须捕获的内容
第 12 条的日志必须捕获足够详细的信息,以便重建决策是如何以及为什么做出的:
- 具有可靠时间戳的事件级别日志记录
- AI 系统接收的输入和产生的输出
- 内部流程步骤(审议、中间决策、策略评估)
- 人工干预操作:批准、覆盖、升级
- 系统状态数据,足以重现决策上下文
- 异常事件及其处理
技术要求
该法规规定了您的日志记录基础设施必须满足的几个技术属性:
- 自动日志记录——手动日志条目不符合第 12 条的要求
- 可靠、完整的事件记录
- 防篡改、安全的存储
- 保留期限与预期目的和风险状况成比例
- 可导出为适合监管审查的格式
常见的合规性差距
根据我们与企业 AI 团队的合作,以下是第 12 条最常见的合规性差距:
- 仅记录输出,而不记录产生输出的推理过程
- 缺少或不完整的人工干预记录
- 可变的日志存储,不符合防篡改要求
- 保留期限过短,无法进行监管检查
- 没有结构化导出——只有临时数据库查询
第 11 条 + 附录 IV 技术文档
第 11 条要求提供技术文档,该文档与第 12 条的日志一起,证明符合性。
附录 IV 规定了结构:系统描述、预期目的、设计选择、训练和测试数据、验证程序、监控以及日志本身。将这两者视为一个工作流程。
AIAgentree 如何实施第 12 条
AIAgentree 从一开始就被设计用于符合第 12 条:
- 决策跟踪捕获——记录每个输入、中间步骤和输出
- 推理步骤与输出一起保存
- 人工干预跟踪,包括谁/何时/为什么元数据
- 密码哈希链完整性,用于防篡改
- 一键导出为设计用于监管审查的格式(PDF、JSON、CSV)
常见问题解答
第 12 条的日志必须保留多长时间?
欧盟人工智能法案没有规定固定的期限;日志必须保留的时间与 AI 系统的预期目的和风险状况成比例。大多数提供商都遵循特定行业的保留规则(金融服务、医疗保健),并将最长的适用期限作为最低期限。
我需要记录每个模型推理吗?
第 12 条要求记录事件,以便能够追溯决策。对于影响人们权利或安全的重大决策,实际上意味着每个推理。对于纯粹的内部辅助任务,较轻量级的聚合日志可能就足够了——无论哪种方式,都应记录理由。
日志本身是否属于 GDPR 规定的个人数据?
通常是,特别是当它们包含与可识别个人相关联的输入数据时。将第 12 条的日志保留和访问控制视为一个欧盟人工智能法案/GDPR 第 32 条问题。
来源
- Regulation (EU) 2024/1689, Article 12 — artificialintelligenceact.eu/article/12
- Article 11 + Annex IV — artificialintelligenceact.eu/article/11
Continue exploring the EU AI Act guide
EU AI Act Compliance Guide
The complete guide to EU AI Act compliance for AI agents — start here.
Article 14 — Human Oversight
Designing effective human-in-the-loop controls for AI decisions.
Annex III — High-Risk AI Systems
Which AI use cases the Act classifies as high-risk.
EU AI Act Compliance Checklist
A step-by-step checklist to reach and document compliance.
Compliance Cost Calculator
Estimate your EU AI Act compliance effort and cost.
Deadlines & Timeline
Key enforcement dates, including the August 2, 2026 deadline.
Fines & Penalties
Penalty tiers up to €35M or 7% of global annual turnover.
Transparency Obligations (Art. 13 & 50)
Disclosure duties for AI systems and their outputs.
Risk Management & Conformity Assessment
Build a risk management system and assess conformity.
GPAI Obligations
Rules for providers of general-purpose AI models.
EU AI Act for US Companies
Extraterritorial scope and what US providers must do.
Omnibus Update
The latest changes to the EU AI Act timeline and rules.
Penalty Calculator
Estimate your maximum fine under the Article 99 tiers.
Article 11 + Annex IV
What technical documentation the EU AI Act requires.
Article 26: Deployer Obligations
What deployers of high-risk AI must do, including log retention.
Article 17: Quality Management
The QMS providers of high-risk AI must document.
Article 10: Data Governance
Data quality, bias mitigation, and governance duties.
Article 4: AI Literacy
The staff AI-literacy duty in force since February 2025.
Deployer vs Provider
Who bears which obligation — and when a deployer becomes a provider.
FRIA (Article 27)
Who must run a Fundamental Rights Impact Assessment, and how.
Who Does It Apply To?
Scope, operators, and the extraterritorial reach of the EU AI Act.
Post-Market Monitoring
Articles 72–73: ongoing monitoring and incident reporting.
ISO 42001 vs EU AI Act
How the voluntary standard and the binding law fit together.
NIST AI RMF vs EU AI Act
A practical crosswalk between the framework and the law.
EU AI Act for Healthcare
High-risk medical AI, MDR/IVDR interplay, and clinician oversight.
EU AI Act for Financial Services
Credit scoring, insurance pricing, and existing financial regulation.
EU AI Act for HR & Employment
Hiring AI as high-risk, plus NYC LL144 and EEOC overlap.