2026年1月14日《人工智慧基本法》正式公布施行,標誌著台灣邁入以「數位治理」為核心的新紀元。台灣參考自日本「基本法」的立法例,因應社會結構性的重大變遷,或保障憲法中較為抽象的基本權利,透過法律創設在憲法之下,一般作用法之上,具有指導性、方針性及政策綱領的法律,讓行政機關在制定相關政策、編列預算或制定作用法時有所依循。以《人工智慧基本法》為例,各目的事業主管機關在二年內,根據基本法揭示的原則去修正、廢止或制定具體的法律。
一、《人工智慧基本法》的雙軌模式
《人工智慧基本法》採取「橫向」與「縱向」交互的立法模式。「橫向」通用規範—即以原則性、方針性的條文,確立AI開發、應用與治理的普遍適用原則,包括透明性、可問責性、安全性與人權保障等核心價值,涵蓋所有使用AI的產業與政府機關,不論其應用於醫療、金融、交通或公共行政,均一體適用;「垂直」事業規範—即各目的事業主管機關依據基本法的授權,針對各自業管領域的特殊風險與技術環境,制定具體可執行的作用法規。例如:醫療事業主管機關將就AI輔助診斷的資料安全與臨床驗證進行規範;金融主管機關將針對AI信用評分與演算法交易訂定透明度要求;勞動主管機關則需回應AI導入職場後引發的勞動條件與就業保護議題等。
值得注意的是,採取此種雙軌治理架構的成效,高度取決於基本法所規範「橫向」的普遍原則,能否被各部會有效轉化為可執行的具體管理規範,以及各部會間是否存在足夠的橫向協調機制,避免形成規範真空或重疊衝突。亦即,未來一至二年正是台灣AI法制發展的關鍵時期,企業須持續關切國科會、數發部及各目的事業主管機關間,有關AI相關議題的互動與法律或指引發布之進度,並透過公協會積極參與,以避免錯失公私協力營造優質AI法制環境的良機。
二、《人工智慧基本法》未解的議題
對企業而言,《人工智慧基本法》最大的意義,或許不在其已所揭示的AI倫理原則,而在其明確點出AI時代潛在的「衝突點」,諸如:訓練資料、個資保護、勞動權益、風險管理架構、AI責任歸屬、救濟與保險機制等,這些正是AI時代全面來臨時,企業所需面臨法律與倫理爭議最劇烈的摩擦帶。
(一)訓練資料著作權與個資保護
大型AI模型的訓練不可避免地涉及巨量資料的使用,其中,可能包含他人著作或個人資料等。基本法的立場就是AI發展很重要,但著作權、個人資料的保護也很重要。對於企業而言,等到立法更明確把界線劃出來再行動顯然緩不濟急,推動企業資料治理才是可行之道。良好的資料治理可以事後追溯AI模型訓練的選擇,究竟是在何種條件下進行決策,若事後法律對於訓練資料因涉及他人權益的保護,有採取技術上排除該等資料影響的必要時,亦可釐清哪些資料是在不合法的狀況下被列入訓練資料,以控制AI模型可能的違法風險。
(二)勞動權益
AI大規模應用顯然將對勞動市場產生深遠影響,包括工作內容的重構、績效評估的演算法化,甚至特定職類或任務可能以自動化替代。對於企業而言,需要的是用人的彈性,但若忽略勞動權益的保障,恐將同時面臨少子化與高失業率的衝擊,對企業而言亦未必是件好事。《人工智慧基本法》對於勞動權益的保障,其實是在揭示著AI帶給社會的好處,不能由企業獨享,AI所帶來的負面效應,企業也有責任一起解決。
(三)責任歸屬原則的重構
現代侵權行為法律體系,是以「人」的行為為核心。一個人要負責任,是因為這個人做了什麼行為,造成什麼樣的結果,而行為與結果間具有相當因果關係,因此,這個「行為人」要負法律上的責任。以特斯拉的FSD為例,即令技術上可以做得到自動駕駛,但在台灣駕駛手離開方向盤,就必然是違法,為何不敢再進一步?因為,目前發生事故時,第一責任人就是駕駛人。如果不是駕駛人來負事故責任,那政府就不知道該怎麼辦,當然就不敢放手讓真正的自動駕駛落地,更遑論讓無人車上路,只能以實驗場域的方式來處理。《人工智慧基本法》第17條所稱「政府應就高風險人工智慧之應用,明確其責任歸屬及歸責條件」,即點出傳統法律的責任歸屬原則在高風險AI領域重構的必要性。
(四)保險機制
若以自動駕駛為例,如果發生車禍事故,應該由駕駛人、車輛製造商、關鍵零組件供應商,還是自動識別或演算法的提供者,甚至是標線或號誌的設置機關來負責?很可能檢討後的是誰都不用負責。但顯然可以預見,自動駕駛不可能不出現事故,在這種情形下,保險機制即成為最可能的解決方案。也就是說,在可容許的風險下,不要把個案事故的責任讓即使盡了相當的努力都無法避免的各方負擔,透過適當的保險機制將自駕車作為社會更安全的交通工具的必要風險,由全體相關成員來分擔,而不再以個案事故的角度,非要究責某個行為人,反而更容易達成社會運作與科技發展的共識。
三、《人工智慧基本法》可預期的困境
(一)缺乏具主導性的中央主管機關
《人工智慧基本法》中央主管機關為國家科學技術委員會,但本法並未賦予國科會扮演協調、溝通的職權。第6條規定,「行政院應成立國家人工智慧戰略特別委員會」,由此行政院層級的AI特別委員會扮演溝通、協調各機關的角色更為適合。然而,每年僅召開一次,運作上即不可能作為具有實質影響力的主管機關,甚至規定特別委員會連獨立的幕僚組織都沒有,相關作業由國科會辦理。足見整體人工智慧的法律治理架構,缺乏具主導性的中央主管機關。由30年前網際網路所帶來典範移轉的經驗,筆者個人認為這對AI相關產業可能不是一個好消息。不具有AI專業人力與資源的各目的事業主管機關,只會將AI議題當作燙手山芋,可能會以過度保守的立場因應已迫成眉睫的AI變局,各自為政的情形下,跨領域的AI產品或服務,可能更難順利進入市場。
(二)執法的資源從何而來?
歐盟《人工智慧法》的高度監理的立法模式,之所以難以為各國直接仿效,關鍵因素之一即在於需要龐大的行政資源的投入。歐盟委員會於2024年設立「歐洲AI辦公室」(European AI Office)作為統一執法機構,已晉用超過125名人員,涵蓋技術專家、律師、政策分析師及經濟學家。每個成員國均須指定至少一個或多個「國家主管機關」,分別負責符合性評估機構的認定作業,以及在各自管轄範圍內監督合規情形,且須依法配備充足的技術、財務與人力資源。相應的立法及配套作業資源消耗同樣龐大。EU AI Act自2024年至2026年間,歐盟委員會須完成39項治理體系建立任務、39項次級立法,2025年至2031年間還有18項法律實施後評估工作。
台灣《人工智慧基本法》雖然沒有採歐盟的模式,但顯然區分風險層級進行AI監理,同樣需要面對龐大的人力及財政資源,分散在各目的事業主管機關極可能出現在資源匱乏的情形下,各目的事業主管機關以禁止替代開放管理的不合理情形。然而,這並非不可想象,對於行政機關而言,為了避免承擔責任,一律禁止是最佳策略,就如同林立在台灣山林、河流、海域各種危險禁止的標示。當行政機關沒有充足的資源進行管理時,對策自然就是以禁止為原則。當然,這完全是違反《人工智慧基本法》的立法意旨,但卻是顯而易見的困境。
(三)統一AI主管機關協調並整合各領域監管標準有其必要性
英國政府2024年2月12日發布《AI保證指引》,提出五項跨領域的核心原則:安全、資安與穩健性、適宜的透明性與可解釋性、公平性、問責與治理以及可挑戰性與補救措施,並交由各產業既有的監管機構(如負責個資保護的ICO、負責通訊傳播的Ofcom等),依產業特性量身打造AI監理規範。此與台灣的《人工智慧基本法》有類似的原則性的指引作用。然而,這樣的分散模式也引發各領域標準不一與監管漏洞的疑慮。為此,除設立AI安全研究所負責前沿AI風險的跨部門評估與標準制定外,英國也開始推動《人工智慧(監管)法案》,計畫建立一個統一的AI主管機關,以協調並整合各領域的監管標準。
臨近的韓國在AI基本法的立法速度領先台灣,雖以看起來與國科會類似的科學技術情報通訊部(MSIT)作為主管機關,但其在韓國AI基本法下的職責,從「規劃」、「推動」、「監理」到「支援」全包,並非傾向總統幕僚機關的角色。或許未來台灣應該思考透過《人工智慧基本法》的修正,直接在國科會下設立人工智慧政策中心、人工智慧安全研究所等類似的機構,將具有統一性質的法規或技術的行政資源集中在國科會,規劃、推動與支援的工作集中由國科會來負責,而監理則留在各目的事業主管機關,而解決現行《人工智慧基本法》可預期的困境。
四、「治理」優先於「法遵」
筆者認為《人工智慧基本法》現階段對於企業最重要的作用,在於其所揭示有別於傳統法遵(compliance)思維的治理(governance)邏輯。傳統法遵思維的核心問題是:「我們做的事情合法嗎?」這是一種以規則為邊界、以不違法為目標的消極防禦姿態。然而,當AI技術的發展速度遠超立法週期,當同一個AI模型或服務,在不同情境下可能產生截然不同的社會影響,「是否違法」遠遠不是足夠作為企業決策的標準。《人工智慧基本法》所提出「問責」(內部治理責任及外部社會責任)的原則,即很清楚告訴我們單純的法規遵循在AI時代是不夠的。
具體而言,「治理」優先於「法遵」體現在以下幾個面向:
1.事前設計而非事後補救:AI系統在開發階段即應嵌入人權影響評估、安全測試與倫理審查,而非在問題發生後才啟動補救程序。
2.持續監控而非一次性合規:AI系統在部署後,可能隨時間、資料的變化而變動,治理機制要求建立持續的監測與更新機制,法遵的一次性稽核無法因應此需求。
3.透明問責而非資訊不對稱:對於影響重大決策的AI系統,可解釋性與透明度要求,企業不得以演算法或訓練資料保密為由,規避對自動化決策的說明義務。
對企業而言,這意味著AI治理不再只是法務部門的法規遵循工作或資訊部門的技術導入事宜,而是需要由董事會層級承擔的策略責任。尤其是對於產品或服務可能有跨國提供需求的企業而言,與其靜等各國AI監理立法的逐步落實,立即評估建立跨職能的AI治理委員會、制定內部AI倫理政策、定期執行AI風險評估,並將治理機制嵌入AI相關產品或服務的全生命週期管理,才是最佳的因應策略。
