EU AI Act 先把模型分清楚

EU AI Act(歐盟 AI 法案)和 GDPR 常被放在一起講,但它們管的重點不同。GDPR 是個資與資料處理規則;EU AI Act 則把 AI 系統與模型依風險、用途和供應鏈角色分層管理。對 Mistral 來說,這些規則不只是合規成本,也能變成企業採購時的信任訊號。

先看 GPAI,也就是通用目的 AI 模型(general-purpose AI model)。它指可被下游拿去做很多種任務的基礎模型,例如寫作、摘要、程式、客服或內部知識查詢。Mistral 在自己的法務中心把部分模型列為 GPAI,並把 Vibe 這類產品說明成通用 AI 系統。公司全貌可以先看 Mistral 是什麼公司

2026 年 8 月 2 日是企業會看的日期

歐盟 AI 法案的義務分階段上路。Mistral 法務資料標示,Vibe 這類非高風險通用 AI 系統的相關義務生效日是 2026 年 8 月 2 日。這不是一般使用者每天會記的日期,卻是歐洲企業採購、法務、資安與風控團隊會放進檢查表的時間點。

GPAI 行為守則也很關鍵。它把重點放在透明度、著作權與安全,要求供應商更清楚揭露模型資訊、處理訓練資料與降低系統性風險。Mistral 若能把文件、合約、資料處理附件與模型分類做完整,就能把「我們知道歐盟規則怎麼落地」說成產品能力。

GDPR 訓練退出,是資料主權的產品設計

GDPR 影響最直接的地方,是資料會不會被拿去訓練。依 Mistral 文件,Vibe Free 對話預設可被用於模型訓練,但使用者可以退出;Vibe Pro、Team、Enterprise 與 API 則不用於訓練。這個分層很重要,因為免費消費產品和企業付費產品的資料期待不同。

對小白來說,可以把它理解成「資料使用開關」。歐洲銀行、政府與製造業在導入 AI 時,會在意員工輸入的合約、客戶資料、研發文件會不會變成模型訓練材料。Mistral 把這件事寫進隱私文件與企業條款,正好接上 主權 AI 的資料自主需求。

著作權爭議要用測試訊號看

著作權是 GPAI 的敏感區。Patronus AI 曾測試多個模型在對抗性提示下輸出受著作權保護書籍內容的情況,其中 Mixtral 出現 22% 的測試結果。這個數字要小心讀,它是測試訊號,並非法律裁決,也不能直接推論訓練資料或侵權責任。

目前無針對 Mistral 的已確認訴訟。比較務實的看法是,這類測試提醒企業:採購 AI 時要看供應商如何處理訓練資料透明度、輸出過濾、內容安全與合約責任。對 Mistral 來說,簽署或遵循 GPAI 行為守則,可以降低疑慮,但無法讓著作權風險歸零。

監管能形成護城河嗎

合規帶來的護城河,有兩個前提。第一,客戶真的願意為資料留歐、可自架、DPA 資料處理附件與稽核支援付錢。第二,Mistral 的模型能力、價格和部署體驗要足夠好,讓企業不會只因為合規而犧牲太多效率。

這也是 Mistral 跟美系 AI 公司競爭時最有意思的地方。OpenAI、Anthropic 等閉源 API 路線有很強的產品與模型能力;Mistral 則把歐洲語言、資料主權、法規文件與自架能力放到同一個包裡。兩種打法的差異,可接著看 Mistral 與 OpenAI、Anthropic 的不同打法。合規能打開門,長期能否守住客戶,仍要回到效果、成本與信任三件事。