高風險AI系統

「高風險AI系統」是歐盟《人工智慧法案》（Regulation (EU) 2024/1689）中的核心法律概念，旨在規範對個人健康、安全及基本權利構成潛在重大威脅的AI應用。根據該法案第6條與附件三（Annex III）的定義，高風險系統主要分為兩類：第一類是用於受特定歐盟法規（如醫療器材法規MDR/IVDR）規範產品中的安全組件；第二類則是附件三中明確列舉的特定領域應用，例如關鍵基礎設施管理、教育與職業培訓、就業、執法、司法與民主程序等。此分類是風險金字塔模型的關鍵層級，與「不可接受風險」（禁止類AI）及「有限/低風險」（僅需履行透明度義務）的AI系統有著截然不同的法律義務。企業產品一旦被歸類為高風險，就必須強制遵循一系列嚴格的上市前與上市後合規要求，包括建立並維護符合ISO 31000原則的風險管理系統。

企業在開發AI產品時，應將高風險分類評估整合至早期風險管理流程。第一步是「產品定性與範疇界定」，根據產品的預期用途（Intended Purpose），嚴格對照歐盟AI法案附件三的八大領域清單，判斷其是否落入高風險範疇。例如，開發用於輔助癌症篩檢的AI軟體，即屬醫療器材，極可能被歸類為高風險。第二步是「建構合規框架與執行合格評鑑」，企業必須依據法案要求，建立涵蓋整個生命週期的風險管理系統（依據法案第9條）、確保訓練資料的品質與治理（第10條）、備妥詳盡的技術文件（第11條），並通過指定的合格評鑑程序（Conformity Assessment），部分情況需由第三方驗證機構（Notified Body）介入。第三步是「建立上市後監督（PMS）機制」，持續監控AI系統在真實世界中的表現，並建立重大事件通報流程。透過此流程，企業可將合規率提升至95%以上，並有效降低產品被召回或處罰的風險。

台灣企業導入高風險AI系統合規框架時，面臨三大挑戰。第一，「法規理解落差」：對歐盟AI法案與MDR/IVDR等法規的交互作用不熟悉，難以準確界定產品風險等級。第二，「資料治理障礙」：取得符合歐盟GDPR要求、高品質且無偏見的訓練資料極具挑戰，尤其在醫療領域。第三，「資源與人才限制」：中小企業普遍缺乏建置完整風險管理系統與撰寫技術文件所需的法律與技術複合型人才及預算。對策上，企業應優先進行「法規差距分析」，可委由專業顧問在30天內完成。其次，應在專案初期即導入符合ISO/IEC 27001及27701標準的資料治理框架，確保資料生命週期的合規性。最後，可尋求政府研發補助，並採用模組化的合規管理工具，分階段在6個月內逐步建立符合要求的管理體系，以克服資源限制。

積穗科研股份有限公司專注台灣企業高風險AI系統相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact