潛在危害

「潛在危害」是指AI系統在其整個生命週期中，可能對個人、群體、組織或社會造成的各種負面後果。此概念是AI風險管理的基石，其定義與分類在多個國際標準中被闡明。例如，美國國家標準暨技術研究院的AI風險管理框架（NIST AI RMF 1.0）將危害分為對人的傷害（如公民自由受損、歧視）、對組織的傷害（如商譽受損、經濟損失）及對生態系統的傷害。歐盟的《人工智慧法案》（AI Act）更是直接以潛在危害的嚴重性與影響範圍作為風險分級（如不可接受風險、高風險）的核心依據。在風險管理體系中，「潛在危害」是風險評估的第一步「風險識別」的關鍵產出。它與「風險」不同：「危害」是負面事件本身（例如，因偏見演算法導致的招聘歧視），而「風險」則是該危害發生的可能性與其嚴重性的組合。準確識別潛在危害，是後續進行風險分析、評估與處理的前提。

在企業中應用潛在危害評估，需遵循系統化流程，以確保AI系統的安全性與合規性。具體步驟如下： 1. **危害盤點與情境分析 (Identification & Scoping)**：首先，需組建一個包含技術、法律、倫理及業務專家的跨職能團隊。針對特定的AI應用（如人臉辨識門禁），利用NIST AI RMF的危害分類或腦力激盪法，全面識別可能對員工、顧客或公眾造成的潛在危害（如隱私侵害、數據濫用、決策偏誤）。 2. **衝擊評估與優先級排序 (Assessment & Prioritization)**：接著，參考歐盟GDPR第35條的資料保護影響評估（DPIA）方法論，從「嚴重性」、「影響範圍」與「發生可能性」三個維度對已識別的危害進行評估，並使用風險矩陣將其分為高、中、低等級，以便集中資源處理最高風險的項目。 3. **緩解措施設計與監控 (Mitigation & Monitoring)**：針對高優先級危害，設計並實施具體的控制措施，例如導入「人類覆核機制」以修正AI的錯誤決策、採用「聯邦學習」技術降低數據隱私風險等。同時，建立關鍵風險指標（KRIs）以持續監控措施的有效性。某金融機構透過此流程，成功將其AI信貸系統的合規審計通過率提升了15%，並減少了8%的客訴事件。

台灣企業在導入AI潛在危害管理時，普遍面臨三大挑戰： 1. **法規模糊性與變動性**：台灣目前尚無AI專法，企業需同時參考《個資法》、行業規範及歐盟AI法案等國際趨勢，導致對「危害」的法律定義與合規邊界難以掌握。對策是採取「高標準原則」，主動參考NIST AI RMF等國際框架建立內部治理政策，並成立法規監控小組，動態應對全球法規變化。 2. **跨領域專業人才斷層**：有效的危害評估需整合技術、法律、倫理與領域知識，但台灣普遍缺乏能勝任此角色的「AI風險管理師」。對策是雙軌並行：短期內尋求如積穗科研等外部專家顧問提供輔導與培訓，建立基礎能力；長期則規劃內部跨部門的種子人才培育計畫，預計12-18個月建立自主評估能力。 3. **資料治理基礎薄弱**：許多企業用於訓練AI的本地數據集，可能因缺乏系統性管理而存在歷史偏見或品質問題，這直接構成產生歧視性結果的潛在危害。對策是將資料治理列為AI專案的先決條件，導入資料偏見檢測工具，並在高風險應用開發前，強制執行資料影響評估（Data Impact Assessment）。

積穗科研股份有限公司專注台灣企業potential harms相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact