AI浪潮席捲全球,但你知道嗎?遠在歐洲的AI法規,可能正悄悄影響著台灣公司的未來!只要你的AI系統或服務的「成果」會被歐盟客戶用到,你就可能受其規範。別讓天價罰款嚇到你!這篇文章整理《歐盟人工智慧法》重要規範,讓你超前部署、抓住AI商機,不再擔心裁罰風險!
延伸閱讀:
一、AI全球新規定:歐盟AI法(EU AI Act)是啥?跟台灣企業有什麼關係?
全球首部針對人工智慧(AI)技術應用及其潛在風險所制定的管理法規——《歐盟人工智慧法》(EU AI Act)即將全面實施。它就像是全球為AI產品訂定了一套「國際安全與倫理標準」。
為什麼這部法規對台灣的中小企業很重要?因為它具有強大的「域外效力」(Extraterritoriality)。這意味著,即使公司設立在台灣,沒有在歐盟境內銷售AI產品或提供服務,只要AI系統或其「輸出結果」(Outputs)會被歐盟境內的個人或企業使用,那麼公司就可能需要遵守《歐盟AI法》的規範。這和多年前的《通用資料保護規範》(General Data Protection Regulation, GDPR)一樣,對全球企業產生了深遠的影響。
《歐盟AI法》的核心目標很明確:確保所有進入歐盟市場的AI系統是安全可靠的,並符合歐盟的核心價值觀與基本權利(Fundamental Rights and Values)。因此,《歐盟AI法》針對供應商(Providers)及部署者(Deployers)課予相對應義務,希望在安全的前提下,促進AI技術的投資與創新,確保AI產品和服務能在歐盟內部市場自由流通,鞏固歐盟在數位時代的競爭優勢。
- 供應商(Providers):指的是任何開發AI系統或通用型AI模型,或是委託他人開發該系統或模型,並以自己的名義或商標將其投放市場或投入服務的自然人、法人、公共主管機關、機構或其他團體,無論是收費還是免費提供。
- 部署者(Deployers):在自己權限下使用AI的任何自然人、法人、公共主管機關、機構或其他團體。但如果純粹個人、非專業活動目的使用AI,則該自然人作為部署者不適用本法規的義務。
簡而言之,供應商是負責開發並將AI產品推向市場的主體,而部署者則是實際使用這些AI系統的主體,但在個人非專業使用情況下可豁免義務。
二、企業部署AI用得安心嗎?歐盟AI法怎麼幫AI分級?
《歐盟AI法》採用「風險基礎管理方法」(Risk-Based Approach),將AI系統的風險從高到低分為四個級別,並針對不同風險級別施以相應的監管措施:
- 不可接受風險(Unacceptable risk)
- 高風險(High risk)
- 有限風險(Limited risk)
- 最低風險或無風險(Minimal to no risk)
(一)「不可接受風險」(Unacceptable Risk)的AI:歐盟AI法全面禁止!
所謂「不可接受風險」(Unacceptable Risk), 指可能導致身心傷害、社會評分或在公共場所進行無針對性監控等嚴重侵犯基本權利的AI系統。就像是工廠裡那種「會故意傷害工人」的機器,對歐盟公民的基本權利(Fundamental Rights)構成明顯威脅,因此被全面禁止使用。
列舉情形包括:
- 有害的人工智慧操縱和欺騙 (harmful AI-based manipulation and deception)(AI Act本文第5條1(a)):
透過「潛意識技術」(subliminal techniques)(超越個人意識的刺激,例如過於短暫或微妙的視聽觸覺刺激)或「有目的的操縱或欺騙性技術」(purposefully manipulative or deceptive techniques),實質性地扭曲個人或群體的行為,顯著損害他們做出知情決定的能力,導致或合理可能導致該個人或另一個個人遭受重大的生理或心理傷害。 - 有害的人工智慧剝削脆弱性 (harmful AI-based exploitation of vulnerabilities)(AI Act本文第5條1(b)):
利用自然人或特定群體因年齡、殘疾或特定社會經濟狀況而存在的任何脆弱性,實質性地扭曲該個人或該群體中某個成員的行為,導致或合理可能導致該個人或另一個個人遭受重大傷害。 - 社會評分 (social scoring)(AI Act本文第5條1(c)):
評估或分類自然人或群體,在一定時間內基於他們的社交行為或已知、推斷或預測的個人或人格特徵,導致以下任一或兩者:(1) 在與資料原始生成或收集背景無關的社會背景下,對某些自然人或群體造成不利或不公平待遇。例如,稅務機關使用與納稅人社交習慣或網路連結等無關的資料來選取個人進行檢查;(2) 對某些自然人或群體造成不合理或不相稱於其社交行為或其嚴重性的不利或不公平待遇。例如,根據輕微違規行為(如未按時歸還圖書)對居民進行「信任度」評分,並以此取消公共福利或實施其他懲罰性措施。 - 個人犯罪風險評估或預測 (individual criminal offence risk assessment or prediction)(AI Act本文第5條1(d)):
禁止僅基於對自然人的分析或其人格特徵和屬性的犯罪風險評估或預測。 這項禁令不禁止犯罪預測和風險評估本身,只針對僅基於個人分析或性格特徵的評估。例如,執法機關僅基於個人的年齡、國籍、地址、汽車類型和婚姻狀況來預測犯罪行為,而沒有合理懷疑該人涉嫌犯罪活動的客觀可驗證事實,則屬於被禁止的範疇。 - 無差別的網際網路或閉路電視影像擷取,以建立或擴展臉部辨識資料庫 (untargeted scraping of the internet or CCTV material to create or expand facial recognition databases)(AI Act本文第5條1(e)) :
「無差別的擷取」是指在不針對特定個人的情況下,從網際網路或閉路電視影像中廣泛收集臉部影像,並用於建立或擴展臉部辨識資料庫。旨在避免增加大規模監控的感覺,並可能導致嚴重侵犯基本權利,包括隱私權。 - 工作場所和教育機構中的情緒辨識 (emotion recognition in workplaces and education institutions) (AI Act本文第5條1(f)):
該禁令僅限於工作場所和教育機構,因為在這些環境中,員工和學生處於特別脆弱的地位,權力不平衡可能導致不利或不公平的待遇。此類系統可能導致歧視性結果,並侵犯相關個人的權利和自由,因為情緒的表達在不同文化和情境中差異很大,且系統的可靠性、特異性和通用性有限。 - 為推測敏感特徵所進行之生物辨識分類行為 (biometric categorisation to deduce certain protected characteristics) (AI Act本文第5條1(g)):
根據個人的生物特徵資料對其進行分類,以推斷或推論其種族、政治觀點、工會會員身份、宗教或哲學信仰、性生活或性傾向。被禁止是因為其可能從生物特徵資訊中提取或推斷「敏感」資訊,即使在當事人不知情的情況下,這可能導致不公平和歧視性待遇,並嚴重侵犯人權(如人類尊嚴、隱私權和不歧視)。 - 在公共場所用於執法目的的即時遠距生物辨識系統(real-time remote biometric identification for law enforcement purposes in publicly accessible spaces) (AI Act本文第5條1(h)):
其高度侵入性對個人的權利和自由構成特別的侵犯,可能影響大部分民眾的私生活,引發持續監控的感覺,並間接阻止集會自由和其他基本權利的行使。技術上的不準確性還可能導致偏見和歧視性影響。
上述列舉情形,設有嚴格的除外條款。但即便符合除外條款,仍應留意是否歸類為「高風險」、「有限風險」等,並應遵守相對應義務。
此外,為幫助理解「不可接受風險」之內容中明文禁止的AI行為類型,歐盟執委會於2025年2月4日發布《受禁止人工智慧行為指引》。
(二)「高風險AI」(High-Risk AI):要符合嚴格規定並取得認證!
1.什麼是「高風險AI」(High-Risk AI)?
「高風險AI」(High-Risk AI),係指那些可能對人類健康、安全或基本權利構成重大風險的系統。它們主要分為兩類:
- 作為產品安全組件或本身為產品的AI系統:
作為產品的安全組件,或其本身就是產品,且涵蓋於特定歐盟協調法規中,並要求進行第三方驗證機構評定(例如醫療器材、機械、航空器、車輛、船舶、鐵路、兒童玩具等)。 - Annex III 所列特定敏感領域的AI系統:
在Annex III 所列特定的特定敏感領域中使用AI,包括:生物辨識、關鍵基礎設施、教育和職業訓練、就業和勞動管理、基本公共和私人服務的存取、執法、移民、庇護和邊境管制,以及司法行政和民主程序。
就像製造業生產的醫療器材或汽車零件,這些產品出廠前都要經過層層檢驗,符合各種安全標準才能販售。這類AI系統可能對個人的健康、安全或基本權利構成重大風險,因此允許使用但必須遵守嚴格的要求,並通過「合格評定」(Conformity Assessment)程序才能進入歐盟市場,且需要提交到歐盟AI資料庫(EU AI Database)註冊。
2.高風險AI系統的供應商(Providers)必須遵守的義務:
高風險AI系統的供應商需確保其系統符合AI Act第二章第三節所列的要求。這些義務旨在確保系統在設計、開發和上市的整個生命週期中是安全、可信賴且符合規範:
- 品質管理系統 (Quality management system):供應商必須建立、文件化並維護一個品質管理系統,以確保符合法規要求。此系統應涵蓋AI系統的設計、開發、測試、資料管理、記錄保存、資源管理和問責框架等各方面。
- 風險管理系統 (Risk management system):應在AI系統的整個生命週期內建立、實施、文件化並持續運行風險管理系統。這包括識別、評估和緩解AI系統可能對健康、安全或基本權利造成的已知或可預見風險。
- 資料與資料治理 (Data and data governance):AI模型訓練所使用的資料集應符合品質標準,資料治理實踐應確保資料的相關性、代表性,並盡可能減少錯誤和偏見。
- 技術文件 (Technical documentation):投放市場前應編制並保持更新技術文件,清晰全面地展示AI系統符合所有要求,並包含系統描述、開發過程、性能能力和限制、風險管理系統等詳細資訊。
- 記錄/日誌保存(Record-keeping/Logs):高風險AI系統應具備自動記錄事件(日誌)的能力,以確保可追溯性。日誌應至少保存六個月,並包含每次使用時間、參考資料庫、輸入檢索資料以及人類核實人員的身份等資訊。
- 透明度與向部署者提供資訊 (Transparency and provision of information to deployers):高風險AI系統應在設計和開發上具有足夠的透明度,以便部署者理解其操作和輸出。系統應隨附清晰、完整、準確且易於理解的使用說明。
- 人類監督 (Human oversight):系統應被設計和開發成可以被自然人有效監督,包括提供適當的人機介面工具,以最大程度地降低風險。
- 準確性、穩健性與網路安全 (Accuracy, robustness and cybersecurity):高風險AI系統應達到適當的準確性、穩健性和網路安全水平,並在其生命週期內保持一致的性能。
- 合格評定 (Conformity assessment):高風險AI系統在投放市場或投入使用前,必須經過相關的合格評定程序。對於 Annex III 中不同類別的系統,合格評定程序有所不同。
- CE標誌 (CE marking):通過合格評定的高風險AI系統必須附有CE標誌,表明其符合法規要求。
- 註冊 (Registration):供應商應在歐盟AI資料庫中註冊高風險AI系統。對於 Annex III 第 1、6、7 點所列,用於執法、移民、庇護和邊境管制領域的系統,註冊應在安全的非公開部分進行,且僅限於特定資訊和存取權限。對於依 Article 6(3) 被認定為非高風險但仍列於 Annex III 的系統,供應商也必須註冊並提供評估文件。
- 上市後監控 (Post-market monitoring):供應商應建立並文件化上市後監控系統,持續收集、文件化和分析系統性能資料,以評估其持續符合本法規要求的情況。
- 報告嚴重事件 (Reporting serious incidents):AI系統一旦發生導致死亡、嚴重健康損害、關鍵基礎設施嚴重中斷、侵犯基本權利或嚴重財產/環境損害的嚴重事件,供應商應立即向市場監管機構報告,並進行調查和採取糾正措施。
- 與主管機關合作 (Cooperation with competent authorities):應主管機關的合理要求,提供所有必要資訊和文件,包括自動生成的日誌,以證明AI系統的符合性。
- 授權代表 (Authorised representative):位於第三國的供應商在將高風險AI系統投放歐盟市場前,應書面指定一名位於歐盟境內的授權代表
3.高風險AI系統的部署者(Deployers)必須遵守的義務:
- 與主管機關合作 (Cooperation with competent authorities):部署者應與相關主管機關合作,以實施本法規。
- 按照使用說明使用 (Use in accordance with instructions):部署者必須採取適當的技術和組織措施,確保按照隨附的使用說明使用AI系統。
- 人類監督 (Human oversight):部署者應指派具備必要能力、培訓和權限的自然人對AI系統進行有效監督。對於 Annex III 第 1(a) 點的生物辨識系統,除非法規允許,否則其識別結果必須經過至少兩名自然人的獨立驗證和確認,然後才能採取行動或決策。
- 輸入資料管理 (Input data management):如果部署者控制輸入資料,應確保輸入資料與高風險AI系統的預期用途相關且具足夠的代表性。
- 監控與報告 (Monitoring and reporting):根據使用說明監控高風險AI系統的運行。如果認為系統的使用可能導致風險,應立即通知供應商或分銷商並暫停使用。一旦發現嚴重事件,應立即通知供應商(然後是進口商或分銷商)和相關市場監管機構。
- 記錄/日誌保存 ( Record-keeping/Logs):部署者應保存高風險AI系統自動生成的日誌,期間至少六個月,除非適用法律另有規定。對於用於執法、移民、邊境管制或庇護目的的 Annex III 高風險AI系統,其使用必須記錄在相關警務檔案中,並應要求提供給市場監管機構和國家資料保護機構,但不包括敏感操作資料。
- 告知勞工 (Inform workers):如果部署者是雇主,在高風險AI系統在工作場所投入使用前,應通知勞工代表及受影響的勞工。
- 註冊 (Registration):作為公共機構、歐盟機構、辦事處或代理機構的部署者,應在歐盟AI資料庫中註冊其使用的AI系統,並選擇相應的系統及其使用情況。
- 資料保護影響評估 (Data Protection Impact Assessment, DPIA):部署者應使用供應商提供的資訊,執行其在相關資料保護法規下的資料保護影響評估義務。
- 基本權利影響評估 (Fundamental Rights Impact Assessment, FRIA):公共機構或提供公共服務的私人實體,以及使用 Annex III 第 5(b) 和 (c) 點所列高風險AI系統的部署者,在部署前必須進行基本權利影響評估。這包括描述AI系統的使用流程、影響對象、潛在風險、人類監督實施情況和緩解措施。此評估應在首次使用高風險AI系統前進行,並在相關因素改變時更新。完成評估後,需將結果通知市場監管機構。
- 告知自然人 (Inform natural persons):部署者使用 Annex III 所列的高風險AI系統對自然人做出或協助做出決策時,應告知自然人他們受到高風險AI系統的影響。此外,對於某些情況,被影響的自然人有權獲得對該決策的「清晰且有意義的解釋」。
(三)「有限風險AI」(Limited Risk AI):風險不高,但要「接露清楚」!
1.什麼是「有限風險AI」(Limited Risk AI)?
「有限風險AI」(Limited Risk AI), 主要指對公民的風險較小且可控的AI系統,具體包括:
- 與自然人直接互動的 AI 系統 (AI systems intended to interact directly with natural persons)
- 情感識別系統 (Emotion Recognition Systems)
- 生物特徵分類系統 (Biometric Categorisation Systems)
- 生成合成內容的 AI 系統 (AI systems generating synthetic audio, image, video or text content)
由於這類AI系統對公民的風險較小且可控,主要的要求是透明度。也就是說,使用者必須明確知悉他們正在與機器互動,並且可以決定是否要繼續互動。
2.有限風險AI系統的供應商(Providers)必須遵守的義務:
- 直接與自然人互動的 AI 系統透明度義務:
供應商應確保 AI 系統在設計和開發上能告知與其互動的自然人,他們正在與 AI 系統互動,除非這一點從使用者角度看來顯而易見。這些資訊應以即時、清晰和易於理解的方式呈現。 - 生成合成內容的 AI 系統標記義務:
生成合成音訊、圖像、影片或文本內容的 AI 系統供應商,必須確保 AI 系統的輸出以機器可讀的格式標記,並可被檢測為人工生成或操控。供應商應確保其技術解決方案在技術上是有效的、可互操作的、堅固的和可靠的,同時要考慮不同類型內容的具體特點和限制、實施成本以及公認的技術水準。 - 自願遵守行為準則:
歐盟鼓勵供應商自願制定和遵守行為準則,將高風險 AI 系統的一些強制性要求(根據系統的預期目的和較低風險進行調整)應用於非高風險 AI 系統。這些準則應基於明確的目標和關鍵績效指標來衡量達成情況。
3.有限風險AI系統的部署者(Deployers)必須遵守的義務:
- 情緒辨識系統和生物特徵分類系統的告知義務:
情緒辨識系統或生物特徵分類系統的部署者,應告知受影響的自然人系統的操作情況。部署者還應根據相關資料保護法規處理個人資料。
設有除外條款:不適用於經法律授權用於偵測、預防、調查刑事犯罪或執法目的的生物特徵分類和情緒辨識系統。 - 深度偽造 (Deepfakes) 的揭露義務:
使用 AI 系統生成或操控圖像、音訊或影片內容,使其在未經使用者同意下錯誤地顯得真實(即「深度偽造」)的部署者,應清晰可辨地揭露該內容是人工生成或操控的。 揭露方式應是適當、及時、清晰和可見的,並應盡可能揭露生成或操控內容的自然人或法人的姓名。 針對公共利益資訊的 AI 生成文本:如果 AI 生成或操控的文本用於向公眾提供公共利益資訊,也應揭示該文本是經人工生成或操控的。
設有除外條款,包括:- 若內容是明顯的創意、諷刺、藝術或虛構作品的一部分(例如電影、影像遊戲視覺效果),透明度義務僅限於以適當方式揭示此類生成或操控內容的存在,且不影響作品的顯示或欣賞。
- 經法律授權用於檢測、預防、調查和起訴刑事犯罪的深度偽造系統,不適用此義務。
- 對於公共利益文本,如果 AI 生成的內容已經過人工審查或編輯控制,並且有自然人或法人對該內容的出版負有編輯責任,則不適用此義務。
- 自願遵守行為準則: 歐盟鼓勵部署者自願制定和遵守行為準則,應用特定的要求於所有 AI 系統,基於明確的目標和關鍵績效指標。
(四)「最小或無風險AI」(Minimal or No Risk AI):大部分AI應用都屬於此類!
1.何謂「最小或無風險AI」?
此類人工智慧系統被認為對人類安全、生計和權利構成有限或沒有風險。例如垃圾郵件過濾器、手機裡的修圖軟體、或是遊戲裡的AI角色,這些幾乎不會對個人造成危害。
2.監管方式:無強制規範
AI Act 並沒有對最小風險或無風險的人工智慧系統引入額外的強制性法規或義務,避免過度限制或阻礙技術發展。
3.鼓勵自願性措施:
儘管沒有強制性規定,但 AI Act鼓勵此類 AI 系統的供應商和部署者自願遵守行為準則 (codes of conduct)。行為準則可能涵蓋的要素包括:
- 符合歐盟可信賴人工智慧的倫理準則。
- 評估和最小化人工智慧系統對環境永續性的影響。
- 促進人工智慧素養 (AI literacy),特別是針對處理人工智慧開發、操作和使用的人員。
- 促進人工智慧系統的包容性與多元化設計,包括建立包容和多元的開發團隊,並促進利害關係人參與。
- 評估和防止人工智慧系統對弱勢群體(包括身心障礙人士)或特定群體造成的負面影響,以及對性別平等的影響。
這些準則可由個別供應商或部署者,或代表他們的組織,甚至在利害關係人(包括公民社會組織和學術界)的參與下制定。 歐盟人工智慧辦公室 (AI Office) 和成員國將會鼓勵並促進這些行為準則的制定,並會考量中小型企業 (SMEs) 的特殊利益和需求。 若這些行為準則被歐盟委員會核准並賦予在歐盟境內的普遍效力,符合這些準則的供應商將獲得推定符合 (presumption of conformity) 相關義務的資格,其主要作用是為業界提供一份推薦的最佳實踐清單。
四、通用型AI(General Purpose AI, GPAI)如何監管?
(一)何謂通用型AI
《歐盟AI法》特別新增了對通用型AI模型(General Purpose AI Model, GPAI模型,原稱基礎模型 Foundation Model)的規範,並區分為「一般通用型AI模型」與「具系統性風險的通用型AI模型」(GPAI models with Systemic Risk)。
- 通用型AI模型:
《歐盟AI法》將其定義為透過大量資料進行大規模自我監督訓練(Large-scale self-supervised training on extensive data),能夠呈現出明顯的通用性,可在市場上以不同方式推出,熟練地執行各種不同的任務,並能夠整合到各種下游系統或應用中的AI模型,但不包括在上市前用於研究、開發和原型製作活動的AI模型。譬如:ChatGPT、Google Gemini這類「底層能力超級強大、學了很多知識、能做很多事」的AI模型。 - 具系統性風險的GPAI模型:
指根據適當的技術工具和方法評估後,其擁有「高度衝擊之能力」(High-Impact Capabilities),例如高於或等於最先進的GPAI模型的能力;或經歐盟委員會(European Commission)決定具有相當能力或影響力者。主要是以浮點運算(FLOPs,一種衡量計算能力的單位)作為衡量模型能力和潛在系統性風險的初步閾值。
(二)通用型AI的供應商(Providers)應遵守的義務:
- 一般GPAI模型供應商:
- 技術文件(Technical Documentation):需編寫並維護技術文件,包括訓練和測試過程的詳細資訊。
- 提供資訊:將這些技術文件提供給將其整合到AI系統中的其他供應商(即下游開發者),以便下游供應商了解模型的能力和限制,並遵守《歐盟AI法》的相關義務。
- 具系統性風險的GPAI模型供應商:
除了上述一般義務外,還需承擔額外、更嚴格的義務,因為其潛在影響巨大。- 模型評估:執行嚴格的模型評估,包括對抗性測試(Adversarial Testing),以識別和緩解任何潛在的系統性風險(Systemic Risk)。
- 風險緩解:評估並緩解可能源於模型開發、上市或使用所產生的系統性風險及其來源。
- 事件通報:追蹤、記錄並及時向歐洲人工智慧辦公室(AI Office)和國家主管機關通報任何嚴重的事件及採取的糾正措施。
- 網路安全:確保模型及其實體基礎設施具有適當水準的網路安全保護,防止惡意攻擊或未經授權的訪問。
(三)特別注意:生成式AI的著作權保護義務!
如果GPAI模型是用於生成式AI(Generative AI,例如用於生成圖像、文字的AI),那麼供應商必須額外遵守:
- 遵守退出選擇(Opt-Out Choice):必須遵守著作權人根據《指令(EU)2019/790》第4(3)條的文本和資料挖掘例外條款所做的退出選擇(即版權擁有者可以選擇不讓其作品被用於AI訓練)。
- 透明度義務(Transparency Obligations):明確告知使用者其內容是由AI生成或操縱。
- 政策制定:制定內部政策,以尊重歐盟著作權法(EU Copyright Law)。
- 訓練資料摘要(Summary of Training Data):必須記錄並公開提供一個足夠詳細的「使用受著作權保護的訓練資料的摘要」。這就像寫論文或報告,要列出所有引用的參考文獻,讓大家知道使用了哪些資料來「訓練」AI。
五、不遵守歐盟AI法會怎樣?天價罰款和誰來管?
違反《歐盟AI法》的罰款金額相當高,對於中小企業來說,這可能會是毀滅性的打擊。
- 使用禁止使用的AI系統: 最高可處 3500萬歐元(約12億台幣)或前一會計年度全球年營業額的 7%(以較高者為準)。這代表,如果公司年營業額達到5億台幣,罰款就可能高達3500萬歐元,或是3500萬台幣的7%!
- 違反其他規定: 最高可處 1500萬歐元(約5億台幣)或前一會計年度全球年營業額的 3%。
- 提供不正確、不完整或誤導性資訊: 最高可處 750萬歐元(約2.5億台幣)或前一會計年度全球年營業額的 1%。
《歐盟AI法》的監管機關,包括:
- 歐洲人工智慧辦公室(AI Office):這是歐盟層面的中央監管機構,負責監督和執行《歐盟AI法》,特別是針對通用型AI模型。
- 國家主管機關(National Competent Authorities):每個歐盟成員國都會指定自己的市場監督機關,負責在其國家境內執行《歐盟AI法》。
監理沙盒(AI Regulatory Sandbox):歐盟鼓勵成員國設立AI監理沙盒,讓企業可以在受控的環境中測試創新的AI技術,並為中小企業和新創企業提供額外協助,這有助於降低中小企業嘗試AI的試錯成本。
六、台灣中小企業,準備好了嗎?歐盟AI法實施時間表
《歐盟AI法》已於2024年8月1日生效,並將分階段實施:
- 全面實施: 法案將訂有24個月的寬限期,因此預計將於2026年8月2日全面適用。
- 關於通用型AI模型(GPAI)的規定,將於2025年8月2日開始適用。
- 對於嵌入受規範產品中的高風險AI系統,過渡期較長,將於2027年8月2日才適用。
雖然全面實施還有一段時間,但其中最關鍵的「通用型AI」規定會提早啟動。現在就開始準備絕對不嫌早!
七、給台灣中小企業的行動建議
面對《歐盟AI法》這波全球性的監管浪潮,台灣中小企業不應坐以待斃,而是要積極應對,將挑戰轉化為提升競爭力的契機:
- 自我檢視AI應用:立即盤點企業目前或未來規劃中會使用到哪些AI系統或服務?它們屬於《歐盟AI法》的哪一種風險級別?特別留意那些可能屬於「高風險」或涉及「通用型AI模型」的應用。
- 開始整理「數位資產」:AI的品質和合規性與企業的資料息息相關。現在就開始規範、清理並結構化企業內部資料,建立完善的資料治理(Data Governance)體系。確保資料是乾淨、完整且可追溯的,這是AI有效運作的基石,也是符合法規的基本要求。
- 全面評估AI供應商與合作夥伴:如果使用的是第三方AI工具或服務,務必確認AI供應商是否了解並承諾遵守《歐盟AI法》的規定?是否能提供所需的技術文件和支援?
- 確保資訊安全與隱私:強化公司的資訊安全(Information Security)措施,並確保所有資料處理活動都符合隱私保護(Privacy Protection)規範,特別是涉及個人資料的部分。
- 培養團隊的AI法規意識:對公司內部使用AI的員工進行培訓,讓他們了解《歐盟AI法》的基本原則,特別是關於透明度(Transparency)、人類監督(Human Oversight)和責任歸屬(Accountability)的要求。
- 善用資源,不孤軍奮戰:如果不確定如何應對,可以積極尋求外部專業協助,例如諮詢法律顧問、資安專家,或是參與政府提供的數位轉型輔導與補助計畫。利用「監理沙盒」這樣的機會,在受控環境下測試新的AI應用,降低合規風險。
- 擁抱AI,但更要謹慎規劃:AI是不可逆的全球趨勢,掌握它就是掌握未來。但在擁抱AI帶來的效益時,務必謹慎規劃、提早準備,將潛在的合規風險降到最低,才能真正抓住新的市場機遇!
《歐盟AI法》的實施,對所有與AI相關的企業而言,都是一次重要的體質檢驗。對於台灣的中小企業來說,這既是挑戰,也是一次提升自身國際競爭力、打造更值得信賴AI產品與服務的絕佳機會。現在就開始行動,為企業的AI未來做好準備吧!
延伸閱讀:
▍李明勳律師
FB粉專:你的法律好幫手
Photo by Farah Almazouni on Unsplash
