台灣 AI 風險分類框架怎麼用?20 種風險與四步操作完整指南
數位發展部《人工智慧風險分類框架》v1.0 已於 2026 年 7 月 7 日生效。框架依《人工智慧基本法》第 16 條訂定,主要供目的事業主管機關建立產業管理規範,並讓產業與社會理解台灣的 AI 風險治理共同語言。它不是企業自行勾選後取得的合規證書。
四步不是四個分數
官方流程是「盤點應用情境、識別風險、評估風險、應對風險」。盤點要描述具體用途、核心 AI 技術、資料與利害關係人;識別再對照 20 種風險;評估判斷可能影響的法益與嚴重程度;應對才盤點既有措施並決定要補哪些促進或管理作為。
框架沒有提供把 20 題相加就自動判定高風險的總分公式。它要求按「特定情境」評估,而且每種應用情境都要重新走流程。把聊天摘要與自動核貸放在同一個模型名稱下,不代表兩者風險相同。
20 種風險分三組
A 類 8 項聚焦系統技術設計,包括安全漏洞、透明、行為偏離、危險能力、隱私、智慧財產、偏見與錯誤資訊。B 類 6 項聚焦部署與人機互動,包括過度依賴、人類自主、違法內容、深偽詐欺、網路攻擊與 AI Agent 越權。C 類 6 項關注競爭、權力集中、工作、文化、環境與認知作戰。
可用台灣 AI 風險治理資料庫搜尋 20 項,記錄各項的具體風險情境與證據位置。本站的檢查問題與證據建議是編輯整理,不是官方新增欄位。
高風險評估先看固有風險
官方框架要求先依 AI 應用本身的客觀特性判斷,只要有造成危害的可能即可,不必等實際損害發生;此階段不先扣除現有控制的緩解效果。若可能對國家安全、基本權利、生命、財產、社會秩序或生態環境造成嚴重危害,主管機關應認定為高風險 AI 應用。
企業可用這個概念避免「我們有人工複核,所以用途本身不算高影響」的錯誤推理,但法定認定與管理仍要看主管機關及適用規範。先使用AI 使用情境一頁簡報寫清楚用途,再用AI 風險初篩安排內部審查,不自行貼法定標籤。
應對同時包含支持創新
框架要求主管機關盤點現有法規與行政措施,依比例原則補足管理,也要評估不導入 AI 的機會損失。可能作法包含產業自律、輔導、教育、透明要求、事前審查、事件紀錄、申訴救濟,以及在法定要件成立時限制或禁止。
對企業而言,最實用的準備是保存用途、資料、測試、權限、人工監督、事件與決策證據。可把結果連到AI 系統清冊指南並定期重評,而不是只做一次問卷。