◎賴文智、王文君
當企業高階主管在董事會上討論數位轉型策略時,往往會面臨一個關鍵問題:我們的資料治理機制,是否足以支撐人工智慧應用所帶來的法律風險?
在數位經濟時代,資料已成為企業最重要的營運資產。然而,缺乏妥善治理的資料,不僅無法發揮其商業價值,反而可能成為法律風險與治理失靈的根源。當資料不再只是輔助決策的工具,而是直接影響市場競爭、消費者權益,甚至自動化決策結果的核心要素時,資料的取得、使用與管理,已不再只是技術或商業策略問題,而是企業必須正面面對的治理與法律問題。
資料經濟時代的來臨
2017年5月,《經濟學人》以「世界上最重要的資源,不再是石油,而是資料(The world’s most valuable resource is no longer oil, but data)」為標題,提出應從「資料經濟」角度重新檢視網路巨擘所涉及的反托拉斯規範問題。這個觀察,精準預示了資料在當代經濟中的核心地位。
資料作為人類理解世界的基本元素,長期以來即是政府治理、企業經營與社會運作的基礎。然而,隨著記錄與儲存技術的進步,資料得以被有系統地蒐集、分析與解讀,個人行為與各類社會活動也逐步走向「資料化(datalization)」。在數位科技快速演進的推動下,資料的蒐集、產出、累積、儲存、處理、應用與銷毀的完整生命週期管理,已成為企業營運的日常。國家、企業與人民,皆無可避免地身處於「資料經濟」的現在與未來。
歐盟的資料治理實踐
歐盟對於資料經濟的重視,正是這一趨勢的具體展現。2014年7月,歐盟執行委員會針對巨量資料(Big Data)提出「邁向資料驅動經濟時代(Towards a thriving data-driven economy)」政策。2018年4月,在《一般資料保護規則》(GDPR)所建立的「數位信任(digital trust)」基礎上,進一步提出「邁向歐洲共同資料空間(Towards a common European data space)」通報,強調提升資料的可取得性與再利用,包括促進公部門資料開放、科學研究資料共享,以及私部門與公私部門間的資料流通。
隨後,歐盟陸續提出「歐盟資料策略(European Data Strategy)」、制定《資料治理法》(Data Governance Act)、《資料法》(Data Act)等一系列法規,試圖在資料流通與風險控管之間建立制度化的平衡。這些立法不僅影響歐盟境內企業,其長臂效應也對全球企業的資料治理實務產生深遠影響。
人工智慧治理的興起
資料經濟的發展,也催生了人工智慧的快速應用。歐盟自2019年發布「值得信任的人工智慧倫理指南(Ethics Guidelines for Trustworthy AI)」、2020年提出《人工智慧白皮書(White Paper on Artificial Intelligence)》以來,逐步建構以風險為基礎的人工智慧監管體系,依據AI應用的風險等級,建立差異化的治理要求與監督強度。
2023年6月14日,歐洲議會通過《人工智慧法》(Artificial Intelligence Act),並於2024年正式完成立法程序,要求各會員國於過渡期間內建立相應的執行機制。《人工智慧法》並非僅針對演算法或模型本身進行規範,而是將資料品質、資料治理與風險分類視為人工智慧治理的核心基礎,強調透明性、公平性、問責性與人類監督等核心原則。台灣也在2025年底三讀通過《人工智慧基本法》,「隱私保護與資料治理」、「資安與安全」、「透明與可解釋」等原則,均以資料治理為其核心。足見資料治理不僅是AI治理的基礎,更是確保AI系統輸出品質與可信度的前提,是所有企業進入AI時代無可迴避的責任。
企業面臨的多重法律挑戰
在此立法背景下,處於資料經濟與數位轉型浪潮中的企業,一方面透過蒐集與運用第一方、第二方及第三方資料以提升營運績效,另一方面卻也同時面臨日益升高的法律風險。資料不再僅涉及個人資料保護問題,往往同時牽涉營業秘密、著作權、人格權、契約義務,以及消費者保護與競爭法、人工智慧相關法律等多重法律管制。
缺乏系統性的資料治理,不僅使企業難以因應各國日趨嚴格的資料相關法規要求,也可能導致資料品質不佳、決策失準。特別是在人工智慧應用情境下,資料品質與合法性問題不僅可能造成企業決策失準、陷於違法風險,更可能在AI系統中固化既有偏見,造成歧視性結果,並因AI系統的「黑箱特性」、「動態學習能力」與「規模化影響」,放大錯誤與風險的系統性衝擊。
這些挑戰不僅影響企業本身,更涉及消費者、員工、商業夥伴等多方利害關係人的權益,要求董事會與高階管理層必須將資料治理納入企業整體治理架構,而非僅視為技術部門或法務部門的職責,將成為公司治理評鑑的重要指標。
AI時代的治理新常態
AI時代各種的「不確定性」已成企業營運常態。資料如何被使用、AI模型學習與運作、AI服務對市場、消費者或內部決策產生何種影響等。企業所承擔的風險已不僅來自於個別錯誤的決策結果,更來自於是否已事前建立足以因應不確定性的治理機制。當人工智慧的運作具有高度複雜性與不完全可預測性時,企業能夠被事後檢驗與問責的,往往不再是單一決策是否「正確」,而是企業是否已透過制度化的資料治理與法律控管,合理預見並管理其風險,包括建立資料風險評估機制、明確權責分工、設置監督機制,以及定期檢視與調整治理政策。
有鑑於此,資料治理已不再是企業可以選擇是否導入的管理工具,而是企業為維持合法經營、治理正當性與社會信任所必須承擔的基本任務。尤其資料治理的法律面向,正是企業在高度不確定環境中,確保資料使用具備可解釋性、可追溯性與可問責性的關鍵所在。
