—— 模型會寫程式，但法規會寫你。

對象：CISO、法遵顧問、AI 架構師、資安主管
主題關鍵詞：AI Governance｜合規框架｜NIST AI RMF｜ISO/IEC 42001｜責任式 AI

💬 開場：為什麼 AI 要談治理與合規？

在 AI 落地前，大家都在比誰的模型大、誰的延遲低。
但真正能決定能不能上線的，其實是法遵與治理：

• GDPR：不能亂收集個資
• NIST AI RMF：要有風險管理框架
• ISO/IEC 42001：專門針對 AI 系統的管理標準

一句話：AI 不只是工程問題，更是治理與合規問題。

🧠 常見治理與合規挑戰

🛡️ 合規框架速覽

1. NIST AI RMF（美國）

   • 四大核心：治理（Govern）、測量（Map）、管理（Manage）、監控（Monitor）
   • 強調 AI 風險全生命週期管理

2. ISO/IEC 42001（國際標準）

   • 第一個 AI 管理系統標準（AIMS）
   • 要求企業建立 AI 治理流程、風險控制、稽核與改進

3. EU AI Act（歐盟）

   • 高風險 AI（醫療、金融、教育）必須滿足更嚴格要求
   • 強制透明性與合規報告

🧰 工程與治理落地建議

• 資料治理：Dataset card、版權聲明、來源簽章
• 模型治理：模型 SBOM、版本控制、可追溯性
• 隱私防護：差分隱私（DP）、聯邦學習、合規 PII Masking
• 公平性測試：AIF360 / Fairlearn 套件
• 稽核與監控：自動化合規檢查（CI/CD + Policy-as-Code）

📊 KPI / SLO 指標

• Dataset Lineage Coverage：數據來源可追溯比例
• Compliance Coverage：符合 GDPR/ISO/NIST 的控制數
• Bias Detection Rate：偏見檢測覆蓋率
• Privacy Incident Rate：隱私事件發生次數
• Audit Pass Rate：外部稽核通過率

🎭 工程師小劇場

PM：我們模型上線卡在法遵部門。
你：那就對了。卡在法遵，比卡在法官好。

🎯 小結

AI 治理與合規是讓技術可以「合法落地」的最後一哩路。
從資料治理到模型監控，從公平性到隱私保護，這些不是加分題，而是基本分。
能上線的 AI，必須先過法遵這關。

🔮 明日預告：Day 25｜AI 跨雲環境的資安挑戰

探討多雲架構下，AI 部署與合規如何兼顧安全與效率。