風險基礎分類法

風險基礎分類法是一種系統性的監管框架，其核心是根據技術或產品（特別是AI系統）對社會、個人安全及基本權利可能造成的潛在風險高低，將其劃分為不同的等級，並施以相應強度的法律義務與監管要求。此概念在歐盟《人工智慧法案》（EU AI Act）中得到最完整的體現，該法案將AI系統分為四個等級：不可接受風險（禁止）、高風險（需嚴格監管）、有限風險（需履行透明度義務）及最小風險（鼓勵遵守行為準則）。此方法論的基礎源於ISO 31000風險管理原則，強調應對風險的措施應與風險等級成比例。在AI治理體系中，此分類法是風險評估後、風險處理前的關鍵步驟，它決定了後續合規活動的深度與廣度，與單純的風險評估不同，其分類結果直接對應到具體的法律責任，使監管更具針對性與效率。

企業應用風險基礎分類法的實務步驟如下：第一步，建立分類框架。根據歐盟《人工智慧法案》第三附錄（Annex III）等法規，定義明確的風險標準，如AI系統的預期用途、影響範圍與決策自主性，並建立如「高、中、低」的內部風險等級。第二步，執行系統盤點與評估。全面盤點企業內部開發或使用的所有AI系統，並逐一對照分類框架進行評估，將其歸入相應的風險等級。例如，用於醫療診斷的AI應歸為高風險，而用於內部文件管理的客服機器人則可能為最小風險。第三步，應用分級管制措施。依據分類結果，對不同等級的系統實施差異化管理。高風險系統必須建立符合ISO/IEC 42001標準的AI管理體系、進行上市前合格評鑑、並建立上市後監控機制；有限風險系統則需確保用戶知曉其正在與AI互動。透過此方法，企業能將有限的合規資源集中於最高風險領域，預計可降低40%的非必要合規成本，並將重大風險事件發生率降低至少25%。

台灣企業導入風險基礎分類法主要面臨三大挑戰：首先是「法規適用性認知落差」，許多企業，特別是中小企業，可能未意識到歐盟《人工智慧法案》的域外效力，只要其產品或服務進入歐盟市場即受管轄。其次是「資料治理基礎薄弱」，高風險AI系統要求高品質、無偏見的訓練資料，但台灣許多企業仍缺乏符合ISO/IEC 27701（隱私資訊管理）標準的資料治理框架。第三是「技術與管理人才短缺」，建置高風險AI所需的文件化、風險管理系統與上市後監控機制，需要跨領域的專業人才，構成相當高的進入門檻。對策建議：針對法規落差，應立即進行法規鑑別與差距分析（預計1-2個月），並成立跨部門應對小組。針對資料治理，應導入NIST AI RMF等框架，建立資料品質檢核與偏誤緩解機制（預計3-6個月）。針對資源限制，應優先處理最高風險的AI系統，並尋求如積穗科研等外部專家顧問的協助，導入自動化合規工具以降低人力成本。

積穗科研股份有限公司專注台灣企業風險基礎分類法相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact