1. 引言：當AI不再只是圖像辨識，而是生成未來

嘿，各位鐵人賽的夥伴們，大家好！還記得 2017、2018 年，AI 應用剛開始在圖像辨識（Image Recognition）領域展現突破性的能力，甚至在物件辨識上可以達到或超越人類的水準嗎？當時，人們對於 AI 抱持著相當正面的態度，期待它能協助人類消除偏見，做出更公正、客觀的決策，像是司法判決或資源分配。

然而，時間快轉到 2022 年 11 月，生成式 AI（Generative AI, GPAI）橫空出世，特別是大型語言模型（LLM）的應用，徹底改變了我們對「人工智慧」的想像。如今，AI 不再只是被動地分析數據，而是主動生成內容、程式碼、甚至是複雜的決策輔助。

這股浪潮為企業帶來了巨大的數位創新潛力和經濟價值，許多組織預期生成式 AI 將在未來 12 至 18 個月內對他們的行業產生極大影響，甚至顛覆整個產業。

但當我們在享受 AI 帶來的效率提升時，我們是否也停下來思考過：這個強大的新工具，背後潛藏著哪些我們必須主動管理的風險？以及我們該如何建立一個穩健的治理框架，才能安全、負責任地擁抱 AI 時代？

今天的文章，我們將從生成式 AI 的核心概念出發，深入探討其應用場景、模型限制，並全面解析國際（尤其是歐盟 AI Act）和企業層面的 AI 治理與風險控管策略。

2. 生成式AI的核心概念與信任基礎

生成式 AI（General Purpose AI, GPAI）之所以帶來新的挑戰，是因為這類通用目的的模型，其應用目的並未在一開始就被限定於特定的場域。它的應用脈絡是動態（dynamic）的，且最終應用方式很大程度上由使用者決定，這使得風險預設變得困難。

2.1 可信賴AI的七大核心要素

無論是開發商還是使用者，若想在企業內部有效部署 AI 系統，建立「可信賴 AI」（Trustworthy AI）是基礎。歐盟早在 2019 年就提出了 7 個可信賴 AI 的原則，影響了全球對於 AI 規範的架構思考。安永的研究也彙整了 AI 服務提供商和使用者應關注的可信賴 AI 指標。

2.2 生成式AI的四大固有缺陷與限制

儘管生成式 AI 帶來強大的能力，但其模型本身具有幾個難以克服的固有特性，成為企業在導入時必須管理的風險點：

1. 非確定性 (Non-determinism)： 每次輸入（Prompt）即使相同，輸出結果也可能不同，無法保證一致性。
2. 不可解釋性 (Inexplainability)： 模型的決策過程往往難以追蹤和說明，形成所謂的「黑盒子」（black box）問題。即使能說明過程，對於使用者（如醫生）而言，也存在判斷上的極限。
3. 輸出無保證 (Output without guarantee)： 生成的內容可能侵犯版權、帶有偏見（Bias），或包含錯誤資訊（即「幻想」/ hallucination）。
4. 難以監控 (Difficulty in monitoring)： 模型輸出多為自然語言，缺乏傳統程式的固定邏輯，難以進行系統性測試和監控。

這些限制表明，AI 系統的準確度即使高於人類，但它所犯的錯誤類型可能與人類不同。因此，「人為介入」（human in loop） 在判讀或決策過程中仍必須扮演重要角色。

3. 深入探討：應用、偏見與風險實戰場景

生成式 AI 雖然是提升效率的利器，但其應用必須高度警惕數據偏見、資訊安全，以及法律責任問題。

3.1 應用場景：生產力的巨大飛躍

生成式 AI 已經快速進入企業的各種應用領域，例如：

• 內部效率提升： 協助員工生成行銷文案草稿、整理內部會議記錄、或對報表進行初步分析。更進階的模型（如 GPT-4）可以協助摘要 PDF、製作 PowerPoint，甚至允許上傳文件進行分析。
• 客戶服務與互動： 用於客服機器人，優化客戶互動流程。
• 金融服務： 應用於高資料量分析以快速識別威脅。國內金融業已導入微軟 GitHub Copilot，賦能開發金融創新商品。

3.2 模型偏見與潛在風險情境

應用 AI 系統是否真的能做到客觀公平？從 2020 年開始，大量文獻開始反省這個問題。

數據偏見與歧視性決策

AI 產生的偏見通常來自於訓練資料不具代表性，或人類訓練標註中帶入了既有的偏見。

當 AI 出現後，它會深化社會上已存在的偏見效果，且由於人們對演算法的信任，若無法反省其偏見，會更傾向相信 AI 做出的決定，使偏見合理化。

法律與營運風險案例

除了潛在的歧視風險，生成式 AI 也帶來直接的法律和營運風險：

• 資料洩密風險： 企業員工可能將敏感的公司機密資料（如半導體測量數據、會議紀錄）輸入給公開的生成式 AI 模型，導致機密資料被用於訓練模型，最終可能被其他用戶搜尋到。
• 法律與著作權風險： 生成內容可能侵犯版權，或生成虛假引證。例如，有律師因運用生成式 AI 提交含有虛假引證的文件，而被判罰款。
• 醫療責任歸屬： 醫生擔憂在臨床輔助系統（CDSS）中，最終仍需負擔使用 AI 所帶來的損害責任，不論損害是演算法本身造成，還是醫師信賴演算法所致。

3.3 傳統注意義務的挑戰

在傳統上，過失責任是基於「應注意而未注意」所產生的責任。但當 AI 參與決策時，判斷何為應注意而未注意會出現困難。例如，是否每個醫療決策都需要 AI 輔助系統的雙重驗證才能被視為已盡到注意義務？這將影響未來的注意義務內容是否必須包含 AI 的應用。

4. 企業實戰：AI治理與法規遵循的關鍵戰略

面對生成式 AI 帶來的挑戰，國際間和企業都意識到，必須建立強大的治理框架來管理風險。

4.1 國際監管趨勢：歐盟AI法案的風險分類（Risk-Based Approach）

歐盟是目前發展最快的 AI 監管地區，於 2024 年 3 月通過了里程碑式的《歐盟 AI 法案》（EU AI Act）。該法案採用「風險原則」（Risk-Based Approach），根據 AI 應用可能引發的危險程度進行管制，將 AI 系統分為四個等級：

值得注意的是，對於 生成式 AI（GPAI），歐盟根據其是否具有 系統性風險（Systematic Risks） 進行分類。具有系統性風險的 GPAI（例如 GPT 4.0，因算力評估而被歸類）除了著作權和透明性要求外，還需滿足減少風險（risk mitigation）義務、意外事件回報、網路安全要求，並揭露能源消耗。

4.2 企業 AI 政策與治理實戰

鑑於國際監管趨勢，企業必須建立穩健的 AI 治理框架。趨勢科技指出，AI 政策是用來確保 AI 技術合規使用的一套營運規範，有助於保障資料隱私和維護數位安全。

企業 AI 政策的範疇：

1. 目的與範圍： 釐清政策制定目的及適用對象（包含外包人員或廠商）。
2. 核准使用的應用程式： 列出經核准的 AI 相關應用程式及正確存取程序。
3. 流程與使用規範： 摘要使用 AI 的標準流程，包含系統權限、內容品質確保等。
4. 禁止的使用方式： 明確說明「不該」在何時、何地、以什麼樣的方式使用 AI 應用程式。
5. 資料隱私權、智慧財產權： 強調維護資料隱私權，避免抄襲，並不得讓工具存取機密資訊。
6. 法律與法規遵循： 說明企業在使用 AI 時應遵守的法規及監理機構。

生成式 AI 治理的四大面向

根據 OECD、NIST 和 EU AI Act 的建議，企業應從以下四大面向制定生成式 AI 治理機制，以克服其固有缺陷：

CIO 落實治理制度的三大策略

在推動生成式 AI 治理工作時，企業的資訊長（CIO）可以從以下三個面向進行推動：

1. 成立跨部門治理小組： 整合 IT、資安、法務、品牌與業務等部門，共同制定 AI 使用準則。
2. 推動內部 AI 使用政策： 明訂哪些工具可用、哪些場景禁用，以及必須審核的流程。
3. 導入具有審計能力的 AI 平台： 選用支援 Prompt 記錄、權限管理與內容審查的工具。

4.3 數據治理：合規與隱私的基石

資料是 AI 發展的核心。資料治理（Data Governance） 不僅是一門研究，更是一門實務政策，旨在為整個資料生命週期（來源、清理、更新、儲存、分析、傳輸、備份、刪除）的每一階段設定政策和程序。

國際資料保護法規的影響

在 AI 時代，企業必須關注全球主要的資料保護法規：

• GDPR (歐盟通用資料保護規則)： 要求企業以合法、公平、透明的方式處理個人資料，強調目的限制、資料最小化、準確性、儲存限制和完整性及保密性。
• CCPA (加州消費者隱私法)： 賦予加州居民知情權、存取權、刪除權和選擇退出權。
• PIPL (中華人民共和國個人信息保護法)： 對個人資訊的蒐集、處理、跨境傳輸有嚴格規定。

AI 系統需要大量資料進行訓練，這使得資料的合法收集、安全儲存和合理使用成為企業面臨的首要挑戰。企業必須遵循以下原則：

1. 資料最小化原則： 僅蒐集與 AI 應用目的直接相關的必要資料。
2. 告知與同意： 清楚告知資料主體蒐集目的、使用方式，並取得明確同意。
3. 強化資料安全措施： 對敏感資料進行加密、實施嚴格的存取控制，並建立完善的資料外洩應變計畫。
4. 隱私增強技術（PETs）： 採用差分隱私（在資料中加入噪聲）或同態加密（在加密資料上進行計算）等技術，在保障隱私的同時利用資料價值。

AI 倫理框架與可解釋性 AI (XAI)

AI 模型可能存在偏見，導致歧視性決策，因此企業需要建立 AI 倫理框架。

• XAI (可解釋性 AI)： 導入 XAI 技術，提高 AI 決策的透明度和可追溯性，讓使用者了解 AI 決策的依據，避免潛在的偏見和歧視。
• 人類監督： 在高風險領域，如醫療，醫生必須保留人為判斷的空間。因為 AI 的判斷可能是基於相關性而非因果關係，即使演算法能提供解釋（如熱圖），但過度的標示（false positive）反而可能增加醫生的負擔，挑戰其注意義務的內容。

4.4 台灣的AI法規現況觀察

相較於歐盟採用可直接適用的風險基礎立法模式，台灣目前也在討論制定 AI 基本法。

然而，台灣的「基本法」概念與歐盟的系統性法案有所不同。法界觀察者指出，台灣現行的基本法多數是框架式立法，類似原住民基本法，雖然能起到讓大家知道「有跟上世界的腳步」的目的，但可能缺乏處理細節問題的法律效力，存在感低落。這種方式被部分人士視為一種「託辭立法」（alibi legislation）。

因此，對於台灣企業而言，在國家層級的法律框架仍在建構中時，參照歐盟 AI Act、NIST RMF 等國際標準（如 ISO 42001），並主動建立內部治理機制，成為確保合規和競爭力的關鍵。

5. 結語：在快速演進中，持續反思與前行

AI 系統的演進，特別是生成式 AI 的出現，讓我們重新思考法律在規範層面的侷限性。法律規範不應只是單純的禁止，也可能是一種授權空間，為 AI 發展提供更好的基礎。

我們不能只問 AI 能做什麼，更應該問 AI 應該做什麼。這是一場持續演進的動態過程。

要真正實現可信賴的 AI 發展，需要所有參與者—從開發商到使用者—共同努力。我們必須認知到：

• 風險評估應貫穿 AI 生命週期： 從設計階段、採購前到使用期間，持續進行風險評估。
• 不只技術，更要文化： 確保合規意識融入企業 DNA。
• 權力與責任： 科技的研發和應用背後存在權力（power），我們必須清楚這是誰的權力、誰的決定，以及誰可以為這個決定負責。

生成式 AI 為我們打開了一個充滿無限可能的新世界。雖然前方的道路充滿挑戰，但只要我們能夠保持警惕，將法規遵循與風險控管融入企業的整體戰略，並持續學習與對話，我們就能在享受 AI 帶來的巨大優勢時，同時將其背後風險降到最低。

讓我們帶著對技術的熱情，以及對倫理與治理的敬畏之心，繼續在 AI 浪潮中乘風破浪吧！期待在明年的鐵人賽中，我們能分享更多關於「綠能 AI」（GreenAI）或 Edge 端 AI 應用，共同邁向一個更美好、更負責任的 AI 新世界！