EU AI Act 先把模型分清楚

EU AI Act(欧盟 AI 法案)和 GDPR 常被放在一起讲,但它们管的重点不同。GDPR 是个人信息与数据处理规则;EU AI Act 则把 AI 系统与模型依风险、用途和供应链角色分层管理。对 Mistral 来说,这些规则不只是合规成本,也能变成企业采购时的信任信号。

先看 GPAI,也就是通用目的 AI 模型(general-purpose AI model)。它指可被下游拿去做很多种任务的基础模型,例如写作、摘要、程序、客服或内部知识查询。Mistral 在自己的法务中心把部分模型列为 GPAI,并把 Vibe 这类产品说明成通用 AI 系统。公司全貌可以先看 Mistral 是什么公司

2026 年 8 月 2 日是企业会看的日期

欧盟 AI 法案的义务分阶段上路。Mistral 法务资料标示,Vibe 这类非高风险通用 AI 系统的相关义务生效日是 2026 年 8 月 2 日。这不是一般用户每天会记的日期,却是欧洲企业采购、法务、资安与风控团队会放进检查表的时间点。

GPAI 行为准则也很关键。它把重点放在透明度、著作权与安全,要求供应商更清楚披露模型信息、处理训练数据与降低系统性风险。Mistral 若能把文件、合同、数据处理附件与模型分类做完整,就能把“我们知道欧盟规则怎么落地”说成产品能力。

GDPR 训练退出,是数据主权的产品设计

GDPR 影响最直接的地方,是数据会不会被拿去训练。依 Mistral 文件,Vibe Free 对话默认可被用于模型训练,但用户可以退出;Vibe Pro、Team、Enterprise 与 API 则不用于训练。这个分层很重要,因为免费消费产品和企业付费产品的数据期待不同。

对新手来说,可以把它理解成“数据使用开关”。欧洲银行、政府与制造业在导入 AI 时,会在意员工输入的合同、客户数据、研发文件会不会变成模型训练材料。Mistral 把这件事写进隐私文件与企业条款,正好接上 主权 AI 的数据自主需求。

著作权争议要用测试信号看

著作权是 GPAI 的敏感区。Patronus AI 曾测试多个模型在对抗性提示下输出受著作权保护书籍内容的情况,其中 Mixtral 出现 22% 的测试结果。这个数字要小心读,它是测试信号,并非法律裁决,也不能直接推论训练数据或侵权责任。

目前无针对 Mistral 的已确认诉讼。比较务实的看法是,这类测试提醒企业:采购 AI 时要看供应商如何处理训练数据透明度、输出过滤、内容安全与合同责任。对 Mistral 来说,签署或遵循 GPAI 行为准则,可以降低疑虑,但无法让著作权风险归零。

监管能形成护城河吗

合规带来的护城河,有两个前提。第一,客户真的愿意为数据留欧、可自架、DPA 数据处理附件与审计支持付钱。第二,Mistral 的模型能力、价格和部署体验要足够好,让企业不会只因为合规而牺牲太多效率。

这也是 Mistral 跟美系 AI 公司竞争时最有意思的地方。OpenAI、Anthropic 等闭源 API 路线有很强的产品与模型能力;Mistral 则把欧洲语言、数据主权、法规文件与自架能力放到同一个包里。两种打法的差异,可接着看 Mistral 与 OpenAI、Anthropic 的不同打法。合规能打开门,长期能否守住客户,仍要回到效果、成本与信任三件事。