什麼是歐盟 AI 法案
(EU AI Act)？

歐盟 AI 法案是一套完整的法規框架，旨在規範人工智慧系統的開發、上市以及在歐盟境內的使用。它對於 AI 的供應者和部署者皆同時適用，並根據 AI 系統對個人、社會和基本權利的影響制定了明確的法律義務。該法案在提倡創新的同時，也針對整個 AI 生命週期的透明度、風險管理、人為監督、資料治理以及網路資安制定了一些要求來保障健康、安全與基本權利。

歐盟 AI 法案採用了一套風險導向方法，這意味著 AI 系統將根據其對個人和社會的風險程度而受到管制。潛在的風險越高，該法案對供應者和部署者所施加的義務就越嚴格。

• 絕對禁止的實務
  可能導致不可接受風險的 AI 系統將絕對禁止，包括：認知行為操弄、公家機關社會評分、無差別擷取臉部影像，以及針對敏感特質 (如政治信仰或性傾向) 的生物特徵推論。
• 高風險 AI 系統
  高風險系統是指用於敏感或受監管領域的系統，例如：關鍵基礎設施、就業與人力資源、信用評量、教育、醫療、執法、邊境管制，以及司法行政。這些系統必須符合嚴格的要求才能上市，包括：風險管理流程、高品質的訓練資料、技術文件、人為監督、網路資安防護，以及 CE 標章。
• 通用人工智慧模型 (GPAI)
  此類包含了大規模的模型，例如大型語言模型 (LLM)，供應者必須履行透明度義務、遵守著作權規定、保留訓練實務文件記錄，並且建置措施來解決系統性風險，尤其是能力較強或廣泛部署的模型。
• 有限風險的 AI 系統
  這些系統主要必須履行透明度義務，使用者必須被告知自己正在與 AI 生成的內容互動，例如聊天機器人或深偽 (deepfake)，除非例外情況。
• 幾乎或毫無風險的 AI 系統
  幾乎或毫無風險的 AI 應用程式，如 AI 驅動的電玩遊戲或垃圾郵件過濾器，大致上不受 AI 法案規範。

違反 AI 法案將導致最高 3,500 萬歐元或全球年營收 7% 的罰鍰，取較高者。

自 2025 年 2 月 2 日起，供應者和部署者必須確保其人員具備充分的 AI 素養，建議應為其提供教育訓練，但非強制。

主要的考量點包括：在公司擔任的職務、對 AI 的通盤理解、涉及的風險，以及根據技術知識和情境量身制定其素養的評量方式。

要落實歐盟 AI 法案，企業必須將法規義務轉化成營運上的控管措施，稽核在這過程當中扮演著關鍵角色，能協助企業了解 AI 系統的使用情況、何處存在著風險，以及需要哪些合規措施。

稽核的用意在於：

• 根據該法案的風險類別來發掘 AI 系統並加以分類。
• 判斷企業扮演的是供應者、部署者，或兩者皆是。
• 評估 AI 系統如何處理資料並產生輸出。
• 發掘透明度、人為監督、網路資安，以及風險管理上的漏洞。
• 提供合規所需的矯正計畫、治理架構以及內部控管。

在實務上，這些評量就構成了 AI 治理計畫的基礎，能讓企業根據風險與法規曝險來安排合規作業的優先次序。