不可接受風險

「不可接受風險」是一個源於通用風險管理（如ISO 31000）的概念，但在《歐盟人工智慧法案》（EU AI Act）中被賦予了明確的法律定義與強制力。它指稱那些對人類安全、基本權利與社會價值觀構成根本性威脅，以至於任何風險緩解措施均不足以使其變得可容忍的AI應用。根據該法案第5條，這類風險的AI系統被完全禁止。具體實例包括：利用潛意識技術操縱個人行為、剝削弱勢群體的漏洞、政府主導的社會評分系統，以及在公共場所進行無差別的即時遠端生物辨識。在風險管理體系中，這代表了最高層級的風險，與「高風險」（High-Risk）AI系統不同；高風險系統在滿足嚴格合規要求後仍可上市，而不可接受風險的系統則被視為絕對禁區，必須從源頭禁止其開發與部署。

企業應對不可接受風險的AI應用，需採取零容忍政策，並整合到其AI治理框架中。具體步驟如下：第一步，「AI應用盤點與篩查」，企業需建立完整的AI系統清冊，並依據《歐盟AI法案》第5條的禁止清單，逐一篩查現有及規劃中的AI應用是否觸及紅線，例如，行銷工具是否涉及潛意識操縱。第二步，「確認與終止」，一旦初步篩查發現潛在的不可接受風險，應由法務、技術與倫理委員會共同進行深度分析確認。若確認違規，必須立即啟動終止程序，停止相關系統的開發、部署與銷售，並留下完整決策文件。第三步，「建立預防性治理機制」，導入如ISO/IEC 42001（AI管理體系）等標準，將禁止清單內化為產品開發的強制性倫理審查關卡，並對研發人員進行定期培訓。透過此流程，企業可確保合規率達100%，避免高達3500萬歐元或全球年營業額7%的鉅額罰款，並順利通過AI倫理審計。

台灣企業在應對AI不可接受風險時，主要面臨三大挑戰：首先是「法規適用性認知不足」，許多企業誤以為歐盟法規與己無關，忽略了其「長臂管轄」效力，只要產品或服務進入歐盟市場，即受規範。其次是「內部專業能力匱乏」，缺乏能準確解讀法條中模糊地帶（如「潛意識操縱」的技術定義）的跨領域人才。最後是「既有技術資產的合規包袱」，部分已上線的AI模型可能使用了如今被禁止的數據（如無差別抓取的網路人臉數據），盤點與汰換成本高昂。對策建議：1. 優先行動：立即委請專家進行「歐盟AI法案適用性與衝擊評估」（預期時程：1個月），釐清法律風險。2. 建立機制：成立跨部門的「AI倫理與治理委員會」，並導入NIST AI風險管理框架（AI RMF 100-1）進行結構化風險評估與人員培訓（預期時程：3個月）。3. 技術盤點：啟動「AI資產盤點與合規性稽核專案」，優先處理高風險與客戶數據相關的系統，制定明確的數據治理與模型退場計畫（預期時程：6-12個月）。

積穗科研股份有限公司專注台灣企業unacceptable risk相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact