社會評分

社會評分（Social Scoring）是一種對自然人的可信度進行通用評估的系統，其評分依據來自多個情境中收集的個人社會行為或已知、預測的個人特質。此概念源於部分國家用於社會治理的實踐，但因其對基本人權構成嚴重威脅而備受爭議。歐盟《人工智慧法》（EU AI Act）第5條第1(c)款明確將此類由公共機構操作的系統列為「不可接受風險」並予以禁止，特別是當評分導致在無關的社會背景下產生不利待遇，或其待遇與行為本身不成比例時。在風險管理體系中，社會評分並非需要「管理」的風險，而是必須「完全避免」的紅線。它直接牴觸了《一般資料保護規則》（GDPR）第5條的「目的限制」與「資料最小化」原則，以及台灣《個人資料保護法》第5條的比例原則，因為它匯總無關數據進行通用評分，遠超出特定且合法的目的。

在企業風險管理中，社會評分的「應用」並非指導入該系統，而是指建立一套嚴格的「禁止與預防」機制，以確保企業的AI應用絕不觸犯此紅線。具體導入步驟如下： 1. AI系統盤點與分類：企業應全面盤點內部所有AI系統，依據歐盟AI法案的風險等級進行分類。需特別審查用於客戶關係管理、員工績效評估或風險控管的模型，識別任何可能基於無關社會行為進行評分的潛在風險。此舉能將潛在違規系統的識別率提升至95%以上。 2. 建立禁止清單與篩選機制：根據歐盟AI法第5條，建立明確的「AI應用禁止清單」，並將其整合至採購與開發流程中。任何新系統在立案階段就必須通過此清單的篩選，確保從源頭杜絕社會評分功能，可將採購合規率提升至近100%。 3. 定期合規性審計與監控：每半年或每年對高風險AI系統進行獨立審計，驗證其數據來源、演算法邏輯與決策結果未演變為實質上的社會評分。例如，一家跨國零售商透過定期審計，及時修正了其客戶忠誠度計畫中過度依賴社交媒體數據的演算法，成功通過年度GDPR合規審查，避免了潛在的鉅額罰款。

台灣企業在應對社會評分禁令時，主要面臨三大挑戰： 1. 法規認知模糊：許多企業誤認歐盟AI法案僅適用於歐洲公司，忽略其「域外效力」。只要產品或服務提供給歐盟市場，即受規範。對策是立即舉辦高階主管與法務、技術團隊的法規培訓，並建立持續性的國際法規監控機制，可委由積穗科研等外部專家協助。 2. 數據應用的界線難劃：在追求精準行銷與個人化服務時，企業可能無意中整合過多無關的個人行為數據（如社群媒體活動），形成「類社會評分」系統，觸發法律風險。對策是導入「資料保護影響評估」（DPIA）與「AI倫理審查委員會」，在系統設計初期就嚴格審核數據使用的合法性與必要性，並堅守「目的限制」原則。 3. 內部稽核專業不足：內部稽核人員通常缺乏審查複雜AI演算法是否構成社會評分的技術能力。對策是建立由法務、數據科學家、IT及外部顧問組成的跨職能AI治理小組。優先行動項目為在6個月內，委託具備技術與法律專業的第三方機構，對現有高風險AI系統進行首次全面合規性審計，以建立內部稽核的基準與方法論。

積穗科研股份有限公司專注台灣企業social scoring相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact