基於風險的系統分類法

「基於風險的系統分類法」是一種根據AI系統的預期用途及其對健康、安全和基本權利可能造成的危害程度，將其歸入特定風險類別的結構化方法。此概念是歐盟《人工智慧法》（EU AI Act）的基石，該法案將AI系統分為四個等級：不可接受風險（禁止）、高風險、有限風險與最低風險。此分類並非傳統的風險評估，後者旨在量化特定威脅的機率與衝擊，而前者是將整個系統置於一個預設的監管框架中，直接觸發對應的法律義務。例如，被歸類為「高風險」的系統（如用於招募或信貸評分的AI），必須遵循嚴格的合規要求，包括建立符合ISO/IEC 23894:2023標準的風險管理系統、確保資料品質、進行合格評定等。此方法與NIST AI風險管理框架（AI 100-1）中強調依情境評估風險的原則一致，是企業啟動AI治理與合規流程的第一步。

在企業中應用此方法，需遵循嚴謹的程序化步驟。第一步是「界定預期用途」，研發團隊必須清晰、具體地記錄AI系統的設計目的、目標使用者與操作環境，這是分類的基礎。第二步是「法規清單篩查」，法務或合規人員需將系統的預期用途與歐盟《人工智慧法》的附件進行比對，判斷其是否落入第五條的「禁止實踐」或附件三所列的「高風險」領域（如關鍵基礎設施、教育、就業、執法等）。第三步是「文件化與合規路徑規劃」，根據分類結果，制定相應的行動計畫。例如，一家開發醫療診斷AI的台灣公司，其產品若被歸類為高風險，則必須建立符合該法案第十七條的品質管理系統，並準備第四附件要求的技術文件以供審核。透過此流程，企業可將合規成本降低約20-30%，並將監管審核的通過率提升至95%以上，確保產品能順利進入歐盟市場。

台灣企業導入此制度主要面臨三大挑戰。首先是「法規適用性認知落差」，許多企業，特別是中小企業，未意識到歐盟《人工智慧法》的域外效力，只要其產品或服務的「產出」在歐盟境內被使用，即受管轄。其次是「資料治理成熟度不足」，高風險AI系統要求高品質、無偏見的訓練資料，但台灣企業普遍缺乏符合GDPR規範的資料治理框架，難以證明其資料集具備代表性與準確性。第三是「合規人才與資源匱乏」，企業內部缺少兼具法律、技術與倫理知識的跨領域人才來執行複雜的合格評定程序。對策上，企業應立即啟動「AI法規衝擊分析」，盤點現有與開發中的AI應用，建立風險地圖，此為優先行動。接著，應在90天內導入輕量級的資料治理框架，並針對高風險系統的開發團隊進行合規培訓。最後，可考慮與像積穗科研這樣的專業顧問合作，借助外部資源填補人才缺口，以符合成本效益的方式在6個月內建立初步的AI合規管理體系。

積穗科研股份有限公司專注台灣企業risk-based system classification相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact