風險分級

風險分級是歐盟《人工智慧法案》（AI Act, Regulation (EU) 2024/1689）為監管AI所建立的核心法律框架。它將AI系統依據其對使用者健康、安全及基本權利可能造成的風險，劃分為四個主要等級：一、無法接受的風險（Unacceptable Risk）：此類AI應用因違反歐盟價值觀將被完全禁止，如社會評分系統。二、高風險（High-Risk）：受最嚴格監管，需在上市前與生命週期中持續滿足嚴格要求，如用於關鍵基礎設施、招募或信貸評分的AI（詳見法案附件三 Annex III）。三、有限風險（Limited Risk）：需履行透明度義務，讓使用者知曉正在與AI互動，如聊天機器人。四、最小風險（Minimal Risk）：絕大多數AI應用屬於此類，可自願遵守行為準則。此分級方法與ISO 31000:2018風險管理指導原則中較為概括性的風險分類不同，歐盟AI法案的分級直接與具體的法律義務掛鉤，是企業AI合規的起點。

企業應用風險分級框架需遵循嚴謹的步驟，以確保對歐盟AI法案的合規。第一步：盤點與篩選。全面盤點組織內部所有開發、採購或使用的AI系統，並依據法案第5條篩選是否存在「無法接受的風險」應用，若有則需立即停用。第二步：高風險識別與評估。對其餘AI系統，依據法案附件三（Annex III）的清單，判斷其是否落入高風險類別。例如，一家金融科技公司用於個人信貸評分的AI系統，即屬高風險。一旦被識別，就必須啟動全面的符合性評鑑程序。第三步：義務映射與控制措施導入。根據分級結果（高風險或有限風險），映射對應的法律義務。高風險系統需建立包含數據治理、技術文件、風險管理系統（依據法案第9條）、人類監督等在內的完整機制；有限風險系統則需確保已履行透明度告知義務。透過此流程，企業可將合規率提升至95%以上，並大幅降低因違規面臨高額罰款的風險，同時在稽核中展現其健全的AI治理能力。

台灣企業導入歐盟AI法案的風險分級框架主要面臨三大挑戰。一、治外法權的適用性：只要產品或服務提供至歐盟市場，即使是台灣公司也受此法案管轄，但台灣尚無對應的AI專法，導致企業缺乏本地化的法規指引與緩衝。二、中小企業資源限制：台灣多數中小企業缺乏足夠的法務、技術與財務資源，難以負擔高風險AI系統所需的昂貴符合性評鑑、完整技術文件建檔與持續性監控成本。三、數據治理標準差異：歐盟AI法案對高風險系統的訓練數據品質、偏見偵測與修正有極高要求（法案第10條），這可能與台灣現行《個人資料保護法》的規範存在差異，特別是在跨境數據傳輸與處理上更為複雜。為克服挑戰，建議企業優先行動：1. 立即對銷往歐盟的產品線進行AI系統盤點與風險分級評估（預計時程：3個月）。2. 導入ISO/IEC 42001（AI管理系統）標準作為治理基礎，進行與歐盟AI法案的差距分析。3. 針對被識別為高風險的系統，優先尋求外部專家協助，建立合規框架，避免未來市場准入風險。

積穗科研股份有限公司專注台灣企業風險分級相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact