自從 2022 年底 ChatGPT 問世以來，生成式人工智慧引爆大熱潮，引起世界各國競相推出人工智慧工具與網站。因而促使了歐盟各國決定推出《人工智慧法案》 (EU Artificial Intelligence Act)。

隨著 2024 年三月法案正式通過，接著 2024 年八月即正式生效。歐盟理事會表示，這部法案具有里程碑意義，是世界上第一部監管 AI 的法律。到底法律規定了什麼？條文如何定義？以及企業如何應對？讓夏格飛為大家講解。

本文章目次

• 如何管理人工智慧？
  • 禁止的應用
  • 執法限制與豁免
  • 高風險系統的義務
  • 透明度要求
  • 支持創新和中小企業的措施
• 統一框架與風險管理
• 實施時間表
• 法案的宏觀目標
  • 人工智慧系統的定義擴展更廣泛
  • 多數單位需於 2026 年上半年開始遵守
• 企業應該如何應對？
  • 研發人員管理的義務
  • 定義適當的管理政策
• 夏格飛的看法
• 結論：世界正在推進

如何管理人工智慧？

《人工智慧法案》的目標是保護基本權利、民主、法治和環境永續性免受高風險人工智慧的影響，同時促進創新扶持歐洲的人工智慧新創。而法案本身根據人工智慧的潛在風險和影響程度來確定了人工智慧實體的義務。

禁止的應用

新規定禁止某些威脅公民權利的人工智慧應用，包括基於敏感特徵的生物識別系統，以及從網路或監視系統中無差別的抓取臉部影像以建立臉部辨識資料庫等。

以及工作場所和學校中的情緒識別、社會評分、預測性警務（基於對個人進行分析或評估其特徵鎖進行的預警行為）以及操縱人類行為或利用人們的弱點的人工智慧也將被禁止。

夏格飛：

簡單來說，像電影「關鍵報告」中，藉由生物的行為來威脅預警以預先防範公民犯罪這樣的應用，或是「思想犯罪」的預防，在法案中是不允許的。你不可以預先判斷更生人或移民具有高風險，所以事先追蹤他們的行為這樣。

執法限制與豁免

原則上禁止執法部門使用生物識別系統 (Biometric Identification Systems) (RBI)，除非是某些正面表列的或有明確定義情況。

「即時 RBI」只有在滿足嚴格保障措施的情況下才能使用，例如其使用在時間和地理範圍上受到限制，並受到事先特定的司法或行政授權。舉例來說，在一個特定範圍內搜尋失蹤人口或恐怖份子，或是在有限大小的集會場合防範已知犯罪人員侵入等。

使用某些系統例如「遠端 RBI 後」等，被認為是高風險的，需要與刑事犯罪相關的司法授權才行。

不過，出於軍事考量或科學研究目的，有可能屬於豁免法規監管的範圍內。

夏格飛：

也就是說，執法單位不能像「全民公敵」電影裡面一樣，進行全國性的臉部掃描以抓出犯罪份子。但可以在小範圍維安時啟動類似系統。不過打仗時有可能大家就不太管了（打仗時就算說不能做也沒用）。

高風險系統的義務

至於其他「高風險人工智慧系統」也有明確的義務要遵守（因為它們可能對健康、安全、基本權利、環境、民主和法治具有重大潛在危害）。

高風險人工智慧的案例包括關鍵基礎設施、教育和職業訓練、就業服務、基本私人和公共服務（例如醫療保健、銀行業）、執法、移民和邊境管理、司法和民主政治中的某些系統（例如選舉）。

此類系統必須評估和降低風險、維護使用日誌、透明且準確，並確保人工監督。公民將有權力對人工智慧系統的提交投訴，並有權獲得可能影響其個人權利的高風險人工智慧系統決策的解釋等。

夏格飛：

任何關於現代基礎公民權益的行為（或取代政府公務員職能的行為），不能讓人工智慧具有完全決定權，並需要負擔解釋的責任，以及開放監管單位檢查其決策原因。以避免人工智慧做錯決定時，不會造成一個人的生命財產或未來職涯發展的損失。

透明度要求

通用人工智慧 (GPAI) 系統及其所基於的 GPAI 模型必須滿足某些透明度要求，包括遵守歐盟版權法和發布用於培訓的內容的詳細摘要。可能帶來系統性風險的更強大的 GPAI 模型將面臨額外的要求，包括執行模型評估、減輕系統性風險以及報告事件。

此外，人造或操縱的圖像、音訊或視訊內容「深度偽造品 (Deepfake)」需要明確標記。

夏格飛：

通用人工智慧的訓練素材，必須要正面表列並造冊，不可從違法來源或未知來源進行訓練。另外，所有進行圖片與影音改造的修正內容，例如把熱門運動選手換臉，改變影音嘴型等，都必須標籤為 AI 產生內容。

支持創新和中小企業的措施

必須在國家層級建立監管沙箱和現實世界測試，並向中小企業和新創公司開放，以便在創新人工智慧推出市場之前開發和培訓創新人工智慧。

夏格飛：

這點對新創發展很重要，新創服務的發展過程中，不免觸及某些法規監管的範圍。應具備沙箱機制，讓新創企業能在有限範圍內驗證高風險的商業模式，再根據公民權益逐步開放。

統一框架與風險管理

由於前述的管理義務屬於概念層級，不見得適用於各種類別與規模的人工智慧實體與企業，而是需要根據服務內容來區別。

因此《人工智慧法案》為了讓各國能夠遵循與落實，將風險的定義依照可能對公民或社會造成的傷害風險，濃縮成四個等級，以便所有歐盟國家可以引入統一框架：

• 最小風險系統： 沒有特別義務。

  • 大多數人工智慧系統（例如垃圾郵件過濾器和人工智慧視訊遊戲）不承擔《人工智慧法案》規定的任何義務，但公司可以自願採用額外的行為準則。

• 有限風險系統： 需遵守透明度義務。

  • 聊天機器人等系統必須清楚地告知用戶他們正在與機器互動，而某些人工智慧生成的內容必須加上標記。

• 高風險系統： 需要合格評定。

  • 例如基於人工智慧的醫療軟體或用於招募的人工智慧系統，必須符合嚴格的要求，包括風險緩解系統、高品質的資料集、清晰的使用者資訊、手動監督等。

• 不可接受的風險系統： 將被禁制。

  • 例如，允許政府或公司進行「社會評分」的人工智慧系統被認為對人們的基本權利構成明顯威脅，因此被禁止。

實施時間表

• 2024 年 5 月: 歐盟投票通過

• 2024 年 7 月: 法規公告

• 2024 年 8 月: 法規生效

• 2025 年 2 月：一般條款、禁止不可接受的風險與其他禁止作法等措施生效

• 2025 年 8 月：GPAI 的相關條款開始實施

• 2026 年 8 月：法案大多數內容開始實施

• 2027 年 8 月：法案全面實施

觀看完整圖片

法案的宏觀目標

整體而言，歐盟理事會表示，其目標是確保歐盟內部使用的人工智慧系統安全、透明、可追溯、非歧視性和環境友善。人工智慧系統應該由人來監督，而不是由自動化來監督。

雖然一些開發商對此類監管表達了可能會影響創新的擔憂，但歐盟指出：

作為數位戰略的一部分，歐盟希望對人工智慧（AI）進行監管，以確保為這項創新技術的開發和使用提供更好的條件。

人工智慧可以創造許多好處，例如更好的醫療保健；更安全、更乾淨的運輸；更有效率的製造；以及更便宜和更永續的能源。

與另一項隱私保障法規 GDPR 相比，該法案雖然被認為有一些缺陷，但已成為試圖防止濫用公民資料的黃金標準，尤其是處罰非常嚴厲。而若違反《人工智慧法案》，歐盟理事會有權處以高達 3,500 萬歐元或全球年營收 7% 的罰款，以金額較高者為準。

從 GDPR 的經驗可以得知，上線後不久，再加上數起違規罰款案例之後，各大企業便會逐漸編列預算以嘗試遵循法規。因此法規的限制對於眾人權益的保障是非常有效的。

人工智慧系統的定義擴展更廣泛

《人工智慧法案》中對人工智慧系統的定義，來自 OECD (經濟合作暨發展組織) 的定義：

「人工智慧系統是一個基於機器的系統，根據明確或隱含的目標，從收到的輸入去推斷要如何生成可以影響環境的輸出，如預測、內容、建議和決策等。不同人工智慧系統再實際佈署後的自主性和適應性水準各不相同」 -- KPMG

這個定義是刻意保持廣泛的，但從這樣的定義看來，未來的人工智慧將不限制於生成式人工智慧或高階人工智慧，而是很有可能將資訊決策系統、分析系統甚至一般商務媒合與推薦系統皆納入人工智慧規範之下。其影響層面將比預期的廣大更多。

某種程度來說，企業也不能藉由聲稱自己的軟體與系統因為不帶有生成式人工智慧，就能夠規避法案的監督。絕大多數能夠對公民生活或環境造成影響或給出建議的系統，都很有可能被納入法規監管下，要求要負起相對應的責任與義務。

多數單位需於 2026 年上半年開始遵守

《人工智慧法案》對人工智慧的影響將是廣泛且包含各種技術和系統的，因此各個組織都有可能會受到法案監督。

而大部分的管制措施預計將於2026年初生效。而已經不符合法規的人工智慧系統，必須在法案生效的六個月後逐步淘汰。至於管理通用人工智慧的規則，則是預計將於 2025 年初實施。

企業應該如何應對？

企業若要符合《人工智慧法案》，應及早準備，了解法案內容並尋找合適的顧問公司進行導入與輔導。應處理的工作包含：

研發人員管理的義務

高風險的人工智慧系統，由於手上掌握基礎設施的公民資訊，相關工程人員可能要符合以下規範：

• 佈署人工智慧上線前，完成「基本權力影響評估」

• 由受過訓練的人員進行人工監督

• 確保輸入的資料與系統用途符合

• 發生重大或國家級風險時，立即停用

• 向主管單位報告嚴重事件

• 保留系統日誌

定義適當的管理政策

就像 GDPR 與資安法規一樣，企業要遵循法規，則必須導入相關管理措施，在中長期的經營管理層面下，可以進行以下的導入政策：

• 管理利害關係人（包含消費者或商業客戶）的期望

• 實施或改進人工智慧管理制度與框架

• 建立可長期運作的資料管理框架

• 充分確定人工智慧系統的風險等級

• 對現有系統進行盤點與分析

• 檢查可能不合規的部份，明確表列進行改善

• 徹底的進行系統測試

• 訂立第三方或供應商管理政策

• 將透明度提高並視為義務

• 員工道德與合規相關講座與培訓

• 制定合規的消費者服務條款與隱私政策

• 制定區域策略，未來可能各國皆有不同法規

• 尋找合適的監管機構或顧問單位合作

夏格飛的看法

我們其實對於法案的推出樂見其成，作為長期在台灣發展的網站公司與系統開發供應商，若沒有法規監管政府部門與各大企業對資安、隱私等等的保障，則人民的「安全性與權益保障」經常是零預算且被放在最後順序考量的部分。當法規逐漸完善，企業與政府單位才會在監督下，將安全作為首要考量。

台灣雖然尚未有人工智慧法規，但若要做歐洲的生意，自然企業也必須遵循相關法規。而隨著歐美陸續推行，遲早有一天國內也會有近似的法案，目前台灣的人工智慧基本法已經有草案並在討論中了。

但更多的可能是是在商業環境下，企業將合規的成本壓至最低，加上參差不齊的資訊廠商砍價服務下，原本利益良善的法規變成企業合規遊戲，試圖以最低成本完成法尊過程。如此環境下，是否真有效果保障人們的權益，就有待觀察了。

結論：世界正在推進

當 ChatGPT 推出造成全球爆紅後，世界以十倍的速度在朝 AI 領域發展，百花齊放。

《人工智慧法案》推出意味著，政府與有關單位正在加緊跟上世界的腳步，雖然時間有限且緊迫，但歐盟為了儘快達成保障人門權益的目標，推出這個法案。可以想見的是在未來幾年，如何執行、如何監管，以及法規是否有不完善的地方，企業與政府之間可能還有得吵。

但對於廣大消費者與民眾來說，我們無疑的是向過去想像的未來世界推進了一步，而且是更有保障的一步，而不是那個大家懼怕的反烏托邦未來。

後續的發展讓我們拭目以待。