台灣高風險 AI 怎麼判斷?法定概念、嚴重危害與企業準備清單
台灣《人工智慧基本法》沒有用一張固定產業清單列出所有高風險 AI。第 17 條要求政府就高風險應用明確責任歸屬、歸責條件與救濟、補償或保險機制;數發部風險分類框架再提供主管機關的評估流程。企業內部可以先準備資料,但不應自行宣稱完成法定認定。
高風險看的是特定應用情境
同一個大型語言模型可以用於內部摘要,也可以用於影響個人權益的資格審查。風險取決於用途、使用者、資料、部署規模、外部動作與錯誤後果,不是只看模型品牌或是否生成式 AI。
官方框架要求每個情境分別盤點,並對照 20 種風險。先用AI 使用情境一頁簡報寫出目的、非目標、利害關係人、資料與人工關卡,才有可評估的單位。
六類嚴重危害法益
框架依第 17 條立法說明並參考第 5 條,列出國家安全、人民基本權利、生命安全、財產保障、社會秩序與生態環境。若應用對其中任一法益可能造成嚴重危害,主管機關應認定為高風險 AI 應用。附錄案例只是例示,不是真實場景名單,也不取代個案判斷。
判斷先看固有風險:依應用本身客觀特性,只要有造成危害的可能即可,不以損害已發生為必要,而且此階段不先扣除現有控制的效果。控制是否充分,是後續應對階段再評估。
企業現在該保存哪些資料
- 應用流程、模型與資料流,以及誰會受到結果影響。
- 對六類法益的可能影響、嚴重度、假設與不確定性。
- 代表性測試、紅隊、權限、人工監督、申訴與停止回復證據。
- 現行法律、產業規範、契約與內規的適用判斷及負責人。
- 上線、限制、接受剩餘風險或停用的決策者與理由。
可用AI 系統清冊集中連結,再用AI 事件紀錄保存錯誤與近失事件。本站的AI 風險初篩只用於決定內部審查深度,不是官方高風險判定。
研發、測試與實際應用的界線
基本法第 17 條說明,AI 研發在實際應用前不適用該條第一項,但若進入實際環境測試,或用研發成果提供產品、服務,就不在排除範圍。不要只把系統叫作「Beta」或「PoC」便假定無須處理真實使用者、個資與權益風險。
正式的高風險認定、警語、責任或補償要求,仍要追蹤目的事業主管機關後續規範並取得適切法律意見。