2026年2月,欧盟委员会提出"数字综合方案"(Digital Omnibus),其中包括对《人工智能法》(AI Act, Regulation (EU) 2024/1689)高风险系统合规截止日期的重大修订。对于AI医疗器械制造商来说,最核心的变化是:AI Act高风险系统义务的适用日期可能从原定的2026年8月2日推迟至2028年8月2日。
截至2026年4月,欧洲议会和理事会均已通过了各自的支持立场,目前正在三方谈判(trilogue)中协调最终文本。尽管最终日期尚未确定,但方向已经相当明确。
为什么推迟?标准缺失是核心原因
AI Act在2024年8月1日生效时设定了分阶段实施的时间表。原计划要求高风险AI系统(包括大多数AI医疗器械)在2026年8月2日前满足第三章的全部义务。
但现实情况是,实施这些义务所需的关键支持工具——协调标准(harmonized standards)、通用规范(common specifications)和欧盟委员会指南——绝大多数还没有准备好。
CEN-CENELEC JTC21是负责制定AI Act协调标准的技术委员会。第一个标准prEN 18286(AI相关质量管理体系)直到2026年1月才完成征求意见阶段,完整的标准包预计要到2026年第四季度才能完成。与此同时,多数成员国还没有指定负责AI监管的主管机构。
换句话说,即使企业想在2026年8月前合规,也没有足够的技术标准来指导合规工作。
具体时间线:新旧截止日期对比
原始时间线
| 日期 | 适用内容 |
|---|---|
| 2024年8月2日 | AI Act生效 |
| 2025年2月2日 | AI素养要求和不可接受风险AI禁令生效 |
| 2025年8月2日 | GPAI模型义务适用 |
| 2026年2月2日 | 委员会发布Article 6分类指南 |
| 2026年8月2日 | 高风险AI系统义务适用(Annex III + Article 6(1)) |
| 2027年8月2日 | 现有CE标记产品的AI Act义务适用 |
Digital Omnibus提案修订后的时间线
| 日期 | 适用内容 | 说明 |
|---|---|---|
| 2026年8月2日 | AI素养义务(Article 4) | 不受Omnibus影响,按期执行 |
| 2026年11月2日 | AI生成内容水印义务 | 议会提案的日期 |
| 2027年12月2日 | Annex III独立高风险AI系统 | 从2026年8月推迟 |
| 2028年8月2日 | Annex I医疗器械/IVD中的AI系统 | 从2027年8月推迟,最关键的变化 |
注意这里有一个关键区分:Annex III覆盖的是独立的高风险AI应用(如生物识别、关键基础设施、就业等领域),而Annex I覆盖的是嵌入在受欧盟产品安全法规管辖的产品中的AI系统——医疗器械和IVD就属于这一类。
对AI医疗器械制造商的具体影响
双重合规框架仍在,但时间更充裕
AI Act并不取代MDR或IVDR,而是在其之上增加了第二层合规要求。MDCG在2025年6月发布的MDCG 2025-6文件已经确认了这一点:两套法规是互补的,而非竞争关系。
在Digital Omnibus框架下,这一互补关系被进一步明确:AI Act的高风险要求应在现有的MDR/IVDR符合性评估程序内执行,而不是通过单独的或并行的认证过程。
这意味着:
对公告机构。 公告机构将在MDR/IVDR的符合性评估中一并评估AI Act的合规情况,而不是要求企业做两次认证。
对制造商。 技术文件需要同时满足MDR Annex II/III和AI Act Annex IV的要求。但这不是简单的叠加——两套法规在风险管理、临床评价、上市后监督等方面存在交叉,制造商需要做的是整合而非平行准备。
MDR 2.0可能带来的更大变化
如果说Digital Omnibus是给企业更多准备时间,那么同时推进的MDR修订(俗称"MDR 2.0")则可能从根本上改变AI医疗器械的监管架构。
MDR 2.0提案中有一个关键变化:将AI医疗器械从AI Act的Section A移至Section B。这意味着什么?
AI Act Section A的系统需要遵守AI Act第三章的全部高风险义务。而Section B的系统——也就是已被其他欧盟产品安全法规充分覆盖的系统——在很大程度上免于AI Act的实质性高风险要求。核心的第三章第二节义务(风险管理系统、数据治理、透明性、人工监督、准确性、鲁棒性和网络安全)将不再直接适用于AI医疗器械。
取而代之的,MDR和IVDR将作为主要的监管框架。委员会保留了对医疗器械AI在未来恢复特定AI Act要求的权力,但目前没有提出任何此类法案。
Specculo的分析指出,如果MDR 2.0和Digital Omnibus都被采纳,AI医疗器械制造商可能获得的不是时间宽限,而是实质性的监管简化的——AI Act的高风险要求可能永远不以当前形式适用于医疗器械。
当然,这两项立法都还在谈判过程中。MDR 2.0的立法周期比Digital Omnibus更长,短期内企业仍应以Digital Omnibus的时间线为准备依据。
中国AI医疗器械企业的准备清单
第一步:判断你的产品是否属于高风险AI
AI Act将AI医疗器械分类为高风险AI系统的条件是:
- 产品本身属于MDR或IVDR管辖范围
- 产品中集成了AI或机器学习组件
- AI组件参与产品的安全或性能功能
如果你的AI医疗器械需要公告机构评审(即Class IIa及以上),那么AI Act的高风险要求将适用于你的产品。
第二步:梳理现有技术文件的差距
Osborne Clarke在分析中列出了AI Act对医疗器械新增的主要文档要求:
数据治理文档。 训练数据集的来源、代表性、局限性,训练集和验证集的分离情况。这是MDR技术文件中通常不涉及的内容。
算法透明性文档。 AI系统的设计逻辑、训练方法、性能指标、已知局限性和预期失效条件。需要向用户(医护人员)说明AI在什么条件下可能产生不可靠的输出。
人工监督设计。 AI系统必须设计为可以由人类有效监督,包括在必要时人工中断或覆盖AI决策的机制。
AI专项上市后监测。 在MDR的PMCF计划之外,还需要建立AI模型性能的持续监测机制,包括精度指标、偏差漂移和更新验证触发条件。
第三步:与公告机构提前沟通
MDx CRO的实务建议中特别强调:不要等到截止日期临近才联系公告机构。公告机构已经在将AI Act的期望纳入MDR/IVDR的评审流程中,尽管法律截止日期可能推迟到2028年,但公告机构的评审标准在提前。
几个需要与公告机构确认的关键问题:
- 公告机构是否已获得AI Act相关资质,或计划获得
- 技术文件中AI相关部分将如何被纳入MDR评审
- 是否需要提前提交AI专项问题
第四步:建立跨职能合规团队
AI Act的合规工作跨越了传统MDR合规的组织边界。Sidley Austin在分析中指出,企业需要的是协调一致的合规职能,而不是各自为政:
- 质量团队负责QMS中AI风险治理和数据治理的整合
- 研发团队负责训练数据文档和算法透明性
- 法规事务团队负责技术文件的整合和公告机构沟通
- IT/信息安全团队负责网络安全和鲁棒性要求的实施
SME和中小市值公司的特殊待遇
Digital Omnibus提案将AI Act中针对中小企业的监管简化措施扩展到了"中小市值公司"(SMC)——定义为雇员少于750人、年营业额不超过1.5亿欧元或资产负债表不超过1.29亿欧元的企业。
这对中国AI医疗器械初创企业是个利好。如果你的公司符合SMC定义,将获得简化版的技术文件要求和在行政处罚时对企业规模和经济能力的考量。
参考资源
- EU Digital Omnibus对MedTech的影响 - Osborne Clarke — Osborne Clarke
- Digital Omnibus AI Act更新对MedTech的影响 - DLA Piper — DLA Piper
- EU Digital Omnibus对制药和MedTech的影响 - Arnold & Porter — Arnold & Porter
- AI Act Omnibus对医疗器械制造商的影响 - Specculo — Specculo
- MDCG 2025-6: AI Act与MDR/IVDR的交互指南 — EU Health
- EU AI Act医疗器械合规指南 - MedDeviceGuide — MedDeviceGuide
相关文章
医疗器械设计控制与DHF设计历史文件完全指南:FDA QMSR与EU MDR双合规
系统解析医疗器械设计控制流程、V模型开发、DHF文件体系与FDA QMSR/EU MDR/NMPA三重合规要求,涵盖网络安全SBOM、AI/ML器械、IVD/IVDR、CAPA闭环,附实操模板、检查清单与常见审计发现。
医疗器械SBOM软件物料清单全球合规指南:FDA、EU CRA与NMPA要求深度解析
全面解读医疗器械SBOM(软件物料清单)全球监管要求——FDA上市前审查SBOM强制提交、欧盟CRA软件透明度义务、NMPA网络安全注册审查指导原则中的SBOM条款,以及SBOM生成工具、格式标准与企业落地实操指南。
欧盟医疗器械网络安全合规指南:NIS2指令、MDCG 2019-16与MDR网络安全要求全解析
深度解读欧盟医疗器械网络安全法规体系——NIS2指令、MDCG 2019-16 rev.1指南、MDR附录I基本安全要求,以及与FDA网络安全要求的对比分析,助力中国医疗器械企业欧盟网络安全合规。