《人工智慧基本法》上路後,最常被問的一句話是「那我們公司什麼時候要開始管?」這個問題本身就把順序問反了。法律是框架法,真正會碰到你業務的細則還沒生出來,由數位發展部負責研議「人工智慧風險分類框架」,各目的事業主管機關再依框架去訂自己的規範。等條文落地再動手,聽起來穩,其實是把最該先做的盤點,往後拖。
「分級」改成「分類」,這個措辭變化在說什麼
先看一個容易被當成文字遊戲、其實是路線選擇的改動。國科會在草案預告後修了內容,把原本的風險「分級」調整為風險「分類」,理由是接軌美國等促進創新的國家做法。差別在哪?「分級」帶著由高到低、一刀切的法律標籤味道;目前國際對 AI 風險分級沒有共識,只有歐盟用法律把風險分級,美國、新加坡、日本則以政策文件鼓勵業者自主因應。台灣選了後者這條,意思是政府不打算先把每個應用釘死在某一級,而是給一套分類邏輯,讓各行各業自己對號入座。
框架由誰訂、規則何時真的會到
把時間表攤開看會清楚很多。基本法在民國 114 年 12 月 23 日三讀通過,主管機關是國科會,數位部負責推動與國際介接的風險分類框架。這套框架已提報行政院待核定,會參考歐盟等國際認定標準,並提供評估工具協助各部會做領域風險評估。針對被歸到高風險的應用,政府不只要求標示警語,還要釐清責任歸屬、建立救濟補償機制。
關鍵的數字在後面:各目的事業主管機關將在 2 年內視需求訂定風險管理規範,並協助產業自訂指引。換句話說,真正管到你那一行的規則,最長要等兩年才會齊。對企業來說,這兩年不是空窗,是準備期。
為什麼不該等規則,而要先盤點
有個細節很值得注意:連政府機關自己都不是等規則。報導裡寫得很白,各政府機關須在近期內完成內部 AI 應用的情境盤點與風險識別評估。政府要員工先盤點,企業沒有理由把這件事外包給未來的條文。
邏輯其實跟選工具一樣,先定義情境,再對前提,最後才談規則怎麼套。你得先知道自家哪些流程用了 AI、各自會影響到誰、出錯的後果有多重,才有辦法判斷它在分類框架裡會落在哪一格。這件事規則訂得再細也代替不了,因為盤點的對象是你自己的業務,不是法條。先前談保健食品廣告合規那篇提過一個常見誤讀:把新制當成鬆綁。AI 基本法也一樣,分類框架不是放行清單,把它讀成「沒被點名就不用管」,等規則補上時通常是最被動的那一方。
現在就能動手的盤點與治理清單
把抽象的「準備」拆成明天上班就能做的事,大致是這幾步。第一,列出公司現在所有用到 AI 的場景,包含外購的 SaaS 功能,不要只算自己訓練的模型。第二,每個場景標一個影響面:它的輸出會影響顧客的健康、金錢、權益,還是只是內部效率?影響愈直接,愈該往高風險靠。第三,對高風險的那幾項,先補上人工複核與責任歸屬,因為這正是框架對高風險的要求重點。第四,把這套盤點變成有週期的例行事,而不是做一次的專案。
盤點要有個骨架接得住,不然每次都重畫。ISO/IEC 42001 是由 ISO 與 IEC 共同制定的 AI 管理系統標準(AIMS),提供一套系統化的管理框架,核心要素涵蓋技術層面的演算法透明與可解釋、管理層面的風險治理、操作層面的流程控制。它的價值不在拿到一張證書,而在把「要負責任地用 AI」這種空話,轉成可重複執行的流程。台灣已經有實例:資誠在 2026 年 5 月 25 日取得 ISO/IEC 42001 驗證,由 SGS 授證,作法是把抽象的國際規範轉化為具體的營運流程,並指出 AI 已是董事會層級的營運風險。選 42001 當骨架的好處是,等數位部框架定案、各部會規範陸續出來,你的盤點結構能直接對接,不必打掉重練。
便利與紀律,永遠在同一個蹺蹺板上
講完清單,得說一句現實的話。為了「方便性」犧牲「應該遵守的紀律」,永遠是蹺蹺板上的兩端,尤其當 AI 光速前進時,法規到底跟不跟得上 AI 的改版,真的是一個耐人尋味的問題。模型每幾個月就換一代,能力跳一階,風險的形狀也跟著變;而一部框架法配上兩年的規範訂定期,注定是在追一個一直在動的目標。
這不是要你因此擺爛等政府追上。剛好相反,正因為法規會落後,企業自己那套盤點與治理骨架才更重要,它是你在規則到位前唯一能踩的剎車。把 42001 這類管理系統先架起來,至少當下一代模型又把便利那端壓下去時,你還有一個機制把紀律那端撐住,而不是整個團隊憑感覺在用。
常見問題
AI 基本法通過了,企業現在就要符合什麼規定嗎?
基本法本身是框架法,不會直接規定你的產品該怎麼做。實際的約束來自數位部正在研議、已提報行政院待核定的風險分類框架,以及各目的事業主管機關在 2 年內陸續訂定的規範。現階段沒有等著你去對的條文,但有該先做的盤點。
沒被列為高風險的應用,是不是就不用管?
這是最容易踩的誤讀。分類框架是讓各行各業對號入座的邏輯,不是放行清單。就算現在沒被點名,模型一改版、用途一擴大,分類就可能變動。把盤點當例行事做,比賭自己不會被歸到高風險安全得多。
為什麼建議用 ISO/IEC 42001,而不是等政府的細則?
因為 42001 提供的是管理骨架,能先把 AI 用途盤點、風險治理與流程控制的結構立起來。等數位部框架與各部會規範定案,這套結構能直接對接,省下重做的成本,也讓你在準備期就有可稽核的治理機制。
結語
AI 基本法給了七大原則當地基,把高風險的判斷交給數位部的分類框架,再往下分給各部會。但對企業來說,真正的工作不在讀條文,而在搞清楚自家的 AI 到底落在哪裡、出錯誰負責、資料怎麼管。規則會晚到,模型不會等你,先把盤點和治理骨架架起來的人,才有本錢在便利和紀律之間留一個自己踩得住的剎車。
參考來源
- 國科會揭2026年度科技發展布局、AI基本法草案進展及影響(iThome)國科會將草案『風險分級』改為『風險分類』,接軌美國等促進創新做法
- 因應AI基本法上路 數發部將發布風險分類框架、教育部公告學習指引(經濟日報)數發部框架已提報行政院待核定、高風險標示警語與責任歸屬、各機關 2 年內訂規範
- 立院三讀人工智慧基本法,國科會為主管機關(TechNews 科技新報)三讀通過、國科會主管、數位部研議風險分類框架、七大原則與高風險標示
- 立法院三讀通過《人工智慧基本法》 構築我國AI創新與安全治理基石(數位發展部)官方稿,七大原則與數位部研議風險分類框架
- 生成式AI崛起下的風險挑戰:ISO/IEC 42001成為可信性保障解方(SGS Academy)ISO/IEC 42001 為 AI 管理系統標準,涵蓋技術、管理、操作三層面
- 資誠獲得 ISO 42001 驗證 引領企業建立 AI 治理框架(SGS 台灣)2026-05-25 取得驗證,把抽象國際規範轉化為具體營運流程,AI 成董事會層級風險
