台灣《人工智慧基本法》企業指南:20 條重點、現況與準備順序
台灣《人工智慧基本法》已在 2026 年 1 月 14 日公布施行,共 20 條。它確立政府推動 AI 的原則、部會分工、風險分類、法規調適與高風險應用治理方向,但不能把 20 條直接改寫成所有民間企業都已生效的同一套罰則或認證清單。企業仍要同時確認個人資料、資安、消費、勞動、醫療、金融與其他目的事業法規。
先看懂法律的三層結構
第一層是基本法:第 4 條列出永續與福祉、人類自主、隱私與資料治理、資安與安全、透明與可解釋、公平與不歧視、問責七項原則。第二層是數發部依第 16 條訂定的 AI 風險分類框架。第三層才是各目的事業主管機關依產業情境訂定的管理規範,以及原本就適用的法律。
數發部 2026 年 7 月 7 日生效的框架明文說明,規範主體是目的事業主管機關;產業界是建議閱讀與參考對象。未來各主管機關轉化出的領域規範,才可能形成可直接執行的具體要求。這不代表企業可以等:資料使用、廣告、個資或安全若已受現行法規範,仍須現在遵守。
企業最需要追蹤的條文
第 3 條定義 AI;第 4 條是七大原則;第 5 條處理違法危害與高風險應用警語;第 14 條推動隱私保護納入預設及設計;第 16 條建立風險分類與領域管理;第 17 條要求政府為高風險應用明確責任、救濟、補償或保險機制;第 18 條要求政府在施行後兩年內完成法規與行政措施調適。
第 19 條則明確規範政府使用 AI 時的風險評估與內控。民間企業不應把這條誤讀成所有公司已有相同格式的法定評估表,但可把風險評估作為採購、PoC 與上線治理的準備工作。
現在先做五件可驗證的事
- 用AI 系統清冊盤點用途、owner、供應商、模型、資料與外部動作。
- 到台灣 AI 風險治理資料庫逐項檢查 20 種風險,只把它當準備與溝通工具。
- 把適用的現行法律、契約與內規連到每個系統,不以「AI 基本法尚在落地」取代既有法遵。
- 依AI 風險初篩工具決定跨職能審查深度,並保存測試與決策證據。
- 指定人追蹤主管機關後續的產業規範、指引與公告,變更後重新評估。
不要做的三種過度解讀
不要宣稱通過本站清單就「符合 AI 基本法」;不要自行把某系統正式認定為法定高風險;也不要因基本法多數條文要求政府行動,就忽略現行個資、資安、消費或產業法規。需要正式法律判斷時,應由熟悉情境與適用法的專業人員確認。