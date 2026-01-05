思想坦克》台灣《AI基本法》實行後，成立國家AI戰略特別委員會之政策建議
作者認為台灣《AI基本法》若與歐盟《人工智慧法》比較，可發現於資安及風險保護措施仍顯不足。（圖片來源／ 由AI生成）
兩周前(2025年12月24日)，立法院三讀通過《人工智慧基本法》，其中與資安相關的規範為資料治理、個資與隱私、資安及風險，若與歐盟《人工智慧法》比較(詳見下表1)(以下人工智慧簡稱AI)，可發現於資安及風險保護措施仍顯不足，故撰寫拙文，提出一項強化及兩個建立之措施，包含強化AI生命週期的資安防護措施，及建立通用AI的風險評估機制及高風險AI應用的行業規範，提供予國家AI戰略特別委員會建議，說明如下。
(一) 應強化AI生命週期的資安防護措施
我國《人工智慧基本法》於第4條第4款雖將資安與安全列為原則，但落實性法規卻只於第5條說明應避免侵害人民權益，提供驗證工具並徵詢利害關係人，似乎僅希望透過AI驗證體系，就達成確保AI生命系統之安全。
就此，若比較歐盟《人工智慧法》則是將資安列為AI系統發展生命週期的必備防護機制，從AI所遭遇資安風險評估與緩解措施，至遭遇資安事件的應變模式，均有規範，凸顯我國《人工智慧基本法》之立法保護力道偏弱。
首先，AI所遭遇資安風險評估與緩解措施，依據歐盟《人工智慧法》於第55、114至115條規範，通用 AI 模型需持續評估風險與建構資安保護措施，重點如下:
(1) 持續執行風險評估和緩解措施。
(2) 識別AI系統漏洞與測試對抗性攻擊。
(3) AI系統及基礎(實體)設施須具備足夠的資安保護(或縱深防護)等級。
(4) AI系統遭遇資安事件的監控及即時通報機制。
再者，由於AI也是系統，所以必然存在許多資安漏洞，也面臨駭客攻擊的風險，所以歐盟《人工智慧法》也將AI遭遇資安事件的應變模式，於第15條規範，組織機構必須能夠偵測、應變(備份或故障及應變安全等計畫)及解決AI系統的攻擊風險(從資安投毒至漏洞利用與攻擊)，進一步於第26、73、60、155條規範，資安事件偵測、演練測試(真實環境測試（第60條）)、應變與即時通報義務。
(二) 應建立通用AI的風險評估機制
我國《人工智慧基本法》的風險控管機制，採消極性立法，而非採歐盟《人工智慧法》依照四種風險等級的積極性立法模式，能建立較具完整性的資安風險管理機制；例如我國《人工智慧基本法》的第5條 僅提出避免AI的侵害及偏誤，並於第16條推動國際接軌風險分類框架，及第17條納入高風險應用責任歸屬與救濟補償機制。
建議未來國家AI戰略特別委員會，應採納歐盟《人工智慧法》的立法精神，針對此規範，排除不可接受風險之AI應用 :
(1) 針對工作場所、教育機構進行情緒識別。
(2) 打造基於社會行為、個人特徵的社會評分制度。
(3) 操縱人類行為、違反自由意志的 AI 系統。
(4) 從網路攝像、監視器中，無目的抓取臉部影像以建立識別資料庫。
(5) 採用具備敏感特徵的生物辨識分類系統，例如政治、宗教、哲學信仰，種族及性取向等。
再者，建議國家AI戰略特別委員會除須學習歐盟《人工智慧法》第八章：歐盟高風險人工智慧系統資料庫的機制外，更應建構AI系統的有限風險的管理與義務:
(1) AI系統告知使用者義務:向最終用戶揭露內容由AI產生，或者對談者為AI機器人。
(2) AI模型設計或開發的資安義務:AI系統開發或應用商除應提出資安防護機制，更應積極的提出防止AI產生非法內容之方法或機制。
(3) AI應用與智財權保護機制:AI系統於訓練資料或相關應用時，須提出著作權保護的摘要及落實方案。
再者，建議國家AI戰略特別委員會應學習歐盟《人工智慧法》的立法精神，針對通用AI(General-Purpose AI, GPAI)應用，須進行模型評估和對抗性測試，追蹤並通報嚴重的資安事件，同時要求供應商履行透明度、著作權及資安等義務(歐盟AI法第53條 通用人工智慧模型提供者的義務及附件十一與、第55條)。
(三) 應建立AI高風險應用的行業規範
我國《人工智慧基本法》雖於第17條納入高風險應用責任歸屬與救濟補償機制，但卻未列出那些應用屬於高風險，應透過辦法或專法規範，例如歐盟除於《人工智慧法》第七章建立治理組織外，亦針對醫療、金融及數位等產業，提出配套法規，強化AI規範體系，舉例來說金融業於歐盟除了要合規於《人工智慧法》外，更須搭配數位營運韌性法(Digital Operational Resilience Act, DORA)的規範，完備AI高風險應用的資安管理機制。
(1) DORA:金融機構建立及維護完整的資安風險管理框架，從事前的風險識別、分析、評估，及事中應變、事件管理，及事後的復原機制，包含第三方供應商監管與資安韌性機制建構。
(2) 《人工智慧法案》:針對高風險AI系統、服務提供者，建立風險管理體系，評估資安管理、技術(如漏洞)及基本權利的損害面向。
作者
元智大學資訊管理學系 王仁甫 助理教授(兼任台灣駭客協會理事)
