人工智慧系統

人工智慧系統（AI systems）根據歐盟《人工智慧法案》（EU AI Act）第3條第1款的定義，是一種基於機器的系統，其設計旨在以不同程度的自主性運作，並可能在部署後表現出適應性，且為了明確或隱含的目標，能從其接收的輸入中推斷如何生成預測、內容、建議或決策等輸出，從而影響實體或虛擬環境。此定義與國際標準ISO/IEC 22989:2022對AI系統的描述一致，強調其推論與影響環境的能力。在風險管理體系中，將一項技術或產品辨識為「AI系統」是合規流程的起點。一旦被歸類為AI系統，就必須依據其風險等級（如：不可接受、高風險、有限風險）遵循特定的法規要求，例如高風險AI系統必須進行合格評定、建立風險管理系統（依據ISO/IEC 23894指引）及備妥完整的技術文件。這與傳統的確定性軟體系統不同，後者通常遵循預設的固定規則，缺乏自主推論與適應能力。

在企業風險管理中，管理AI系統涉及一套系統化流程，以確保其開發與應用符合法規及道德標準。具體導入步驟如下： 1. **盤點與分類**：企業應全面盤點內部使用的所有AI系統，並依據歐盟《AI法案》的風險分級框架進行分類。例如，一家金融機構用於信用評分的AI模型，因其對個人權益有重大影響，將被歸類為「高風險AI系統」。 2. **風險評估與緩解**：針對高風險系統，需依據NIST AI風險管理框架（AI RMF 1.0）或ISO 31000原則，進行系統性的風險評估，識別潛在偏見、歧視、安全漏洞等風險，並設計與實施技術和組織上的緩解措施，如演算法公平性測試、資料加密等。 3. **建立治理與文件化**：建立由上而下的AI治理架構，任命AI倫理長或相關權責單位，並依據歐盟《AI法案》第11條要求，為每個高風險系統備妥詳盡的技術文件，涵蓋資料集、模型訓練過程、預期用途及限制等。透過此流程，一家台灣的智慧醫療設備商成功使其AI輔助診斷軟體通過歐盟CE認證，不僅合規率達到100%，更因其透明與可信賴的風險管理實踐，提升了市場競爭力，預期能將相關風險事件發生率降低至少40%。

台灣企業在導入AI系統時，主要面臨三大挑戰： 1. **國際法規接軌落差**：台灣尚無專門的AI法規，但產品若要出口至歐盟等市場，必須遵循如歐盟《AI法案》的嚴格規範。這種法規認知與實踐的落差，構成顯著的合規風險。 2. **資料治理成熟度不足**：許多企業，特別是中小企業，缺乏系統性的資料治理框架。AI系統的效能與公平性高度依賴高品質、無偏見的資料，不成熟的資料管理可能違反台灣《個人資料保護法》第5條的公平適法原則。 3. **缺乏跨領域整合人才**：有效的AI風險管理需要結合資訊技術、法律合規與倫理道德的專業知識，台灣市場上能同時掌握這三方面的人才相當稀缺。 **對策與行動方案**： * **對策一（法規接軌）**：以歐盟《AI法案》作為內部AI開發與治理的黃金標準，建立「設計即合規」（Compliance by Design）的流程。優先行動為成立跨部門AI治理委員會，預期6個月內完成內部標準框架。 * **對策二（資料治理）**：導入ISO/IEC 42001（AI管理系統）標準，優先針對高風險AI系統的訓練資料進行盤點與品質稽核。預期9個月內建立初步的資料治理流程。 * **對策三（人才缺口）**：與外部專業顧問合作，如積穗科研，進行客製化內部培訓，並建立AI風險評估的標準作業程序（SOP），以賦能現有團隊。此為持續性行動項目。

積穗科研股份有限公司專注台灣企業AI systems相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact