通用人工智慧

通用人工智慧（General Purpose AI, GPAI）指具備顯著通用性，能勝任多種不同任務的AI模型，而非僅為特定應用設計。其概念與「狹義AI」相對，強調其多功能與適應性。歐盟《人工智慧法案》（EU AI Act）在第3條中明確定義GPAI模型，並在第四章規範其提供者的義務，例如必須建立技術文件、提供下游供應商模型資訊、制定政策尊重著作權法等。在風險管理體系中，GPAI因其應用範圍廣泛且難以預測，被視為潛在的系統性風險來源。企業需依據ISO/IEC 42001（AI管理系統）建立治理框架，並採用NIST AI風險管理框架（RMF）等工具，對其整個生命週期的風險進行識別、評估與控制。與特定目的AI不同，GPAI的風險管理更側重於其基礎模型的透明度、穩健性，以及對下游應用的潛在影響。

企業應用GPAI於風險管理時，需採取系統化步驟。第一步為「盤點與分類」，全面識別組織內使用或開發的GPAI模型，並依據歐盟AI法案的風險分級（高風險、有限風險等）進行分類，確定其潛在影響。第二步為「建立治理框架」，導入ISO/IEC 42001標準，設立AI倫理委員會，明確界定GPAI採購、開發、部署與監控的權責。第三步為「執行風險評鑑與控制」，採用NIST AI RMF的「治理、盤點、衡量、管理」循環，對GPAI模型進行偏見、隱私、安全等面向的風險評估，並制定緩解措施，如要求模型提供商提供透明度報告。例如，一間金融機構將GPAI用於信用評分，必須確保模型決策的可解釋性，並通過壓力測試驗證其穩健性，以符合金融監管要求。透過此流程，企業可將AI治理的合規率提升至95%以上，並減少至少30%因模型偏見或錯誤導致的風險事件。

台灣企業導入GPAI主要面臨三大挑戰。首先是「法規接軌落差」，台灣尚無AI專法，企業對於應遵循何種標準感到困惑，特別是需與歐美市場對接的出口導向型企業。其次是「技術與資源不對稱」，多數中小企業為GPAI的下游使用者，缺乏足夠技術能力與資源去驗證上游大型科技公司提供的模型，難以有效管理供應鏈風險。第三是「資料治理成熟度不足」，高品質的訓練資料是GPAI的基礎，但許多企業尚未建立符合台灣《個資法》要求的完善資料治理與隱私保護機制。為克服挑戰，建議優先行動：一、立即採納國際標準，如ISO/IEC 42001及NIST AI RMF，作為內部治理的基準（預計3-6個月完成框架建置）。二、強化供應商風險管理，在採購合約中明確要求GPAI提供商提供模型卡、技術文件與稽核權利。三、將AI治理整合至現有的隱私資訊管理系統（PIMS），並對高風險應用執行資料保護衝擊評估（DPIA）。

積穗科研股份有限公司專注台灣企業General Purpose AI相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact