To Be High-Risk, or Not To Be—Semantic S — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）提醒台灣企業主管：歐盟《人工智慧法》（EU AI Act）已將「高風險AI」的認定條件以法律條文明確化，企業若無法準確判斷自身AI應用是否屬於高風險，將面臨重大合規風險。一篇2023年獲得43次引用的學術研究，首次建立了可自動化、可整合ISO 42001標準的AI風險詞彙庫（VAIR），為台灣企業在建立AI治理框架、進行人工智慧風險分級時，提供了最具操作性的學術基礎。

關於作者與這項研究

這篇論文由三位歐洲頂尖AI法律語意學者聯合撰寫，發表於2023年ACM FAccT（公平性、問責制與透明度）國際會議，是目前EU AI Act高風險分類語意分析領域被引用最廣泛的實證研究之一，截至本文撰寫時已累積43次引用，其中4次為高影響力引用。

Delaram Golpayegani 來自愛爾蘭都柏林三一學院（Trinity College Dublin）ADAPT研究中心，專注於AI法規的語意技術應用，h-index 為 8，累計引用達211次。她在AI合規自動化領域的研究填補了法律條文與技術實作之間的落差，是歐洲AI治理語意標準化的重要推動者。

Harshvardhan J. Pandit 同為都柏林三一學院ADAPT研究中心研究員，是全球數位隱私與AI治理語意網路（Semantic Web）領域最具影響力的學者之一，h-index 達 17，累計引用925次。他主導的數據隱私詞彙庫（DPV）已被W3C採納為社群標準，在AI治理框架建立上具有國際級公信力。

David Lewis 為都柏林三一學院電腦科學系教授，ADAPT研究中心主任，長期主導歐洲AI與自然語言處理研究計畫，是愛爾蘭AI政策制定的重要顧問。

三位作者合力為台灣企業帶來一個清晰訊息：AI風險判定不能依靠直覺，必須有結構化、可操作的語意詞彙作為基礎，才能與ISO 42001及EU AI Act真正接軌。

AI高風險判定的混亂，正是企業合規最大盲點

這篇論文的核心問題意識令人警醒：EU AI Act附件三（Annex III）雖列出了八大高風險AI應用領域，但條文措辭高度抽象，企業在實際判斷時往往陷入「這個AI到底算不算高風險」的模糊地帶。作者群採用語意分析方法，系統性解構Annex III的每一個判定條件，提煉出構成「高風險」的核心概念組合，並以此建構出開放式AI風險詞彙庫（Vocabulary for AI Risks，VAIR）。

核心發現一：高風險AI的認定需要「概念組合」而非單一條件

研究發現，EU AI Act對高風險AI的定義並非單一標準，而是由「使用情境」、「受影響的基本權利種類」、「決策自動化程度」等多個核心概念的特定組合所構成。這意味著，企業若只看應用場景（例如「用於人力資源管理」），並不足以判定風險等級——必須同時分析該AI對基本權利的潛在影響範圍與干預深度。台灣企業在建立AI風險分級機制時，往往忽略這種「多維度組合判定」的邏輯，導致合規評估流於形式。

核心發現二：VAIR詞彙庫可讓AI風險評估自動化並與ISO標準整合

作者群進一步指出，現行ISO標準（包括正在推進的ISO 42001）在AI風險知識庫的建構上仍有明顯缺口。VAIR的設計目標，正是填補這個缺口——它採用開放語意網路格式，能夠整合進企業現有的AI稽核、影響評估與文件化流程，並與EU AI Act要求的「技術文件」義務直接對應。這對台灣企業建立ISO 42001 AI管理系統具有直接的操作指引意義。

核心發現三：諧和標準（Harmonised Standards）的現狀不足以支撐EU AI Act合規

研究明確指出，歐盟目前依賴ISO等國際標準化組織制定「諧和標準」作為高風險AI合規的核心機制，但現有標準在風險與影響知識庫的具體性上仍有顯著不足。這對台灣出口導向企業而言是一個關鍵警訊：不能等待歐盟標準完全成熟再行動，必須主動建立內部AI風險分級與文件化能力。

台灣企業現在必須正視EU AI Act高風險分類的衝擊

EU AI Act已於2024年8月正式生效，高風險AI相關條款將於2026年起全面適用。台灣企業——尤其是科技製造、金融服務、醫療器材、人力資源管理等領域——若有AI系統或相關產品出口至歐盟市場，或與歐盟企業存在供應鏈合作，都必須正視高風險AI認定帶來的法律義務。

對照台灣本地法規，行政院於2024年推動的《人工智慧基本法》草案同樣採用風險分級框架，並明確要求高風險AI應用須建立風險管理機制、確保透明度與可問責性。這與EU AI Act及ISO 42001的核心精神高度一致。台灣企業若能提前建立符合ISO 42001的AI管理系統，將在因應台灣AI基本法法制化及EU AI Act雙軌合規上取得先發優勢。

本論文揭示的VAIR概念，對台灣企業有三個立即可用的啟示：第一，應建立內部AI應用清單，對照Annex III的八大高風險領域逐一評估；第二，不能僅以「應用場景」作為風險判定依據，必須加入基本權利影響分析；第三，所有判定過程必須文件化，以符合ISO 42001及EU AI Act的技術文件要求。

積穗科研協助台灣企業建立可稽核的AI風險分級機制

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業建立符合ISO 42001與EU AI Act要求的AI管理系統，進行AI風險分級評估，確保人工智慧應用符合台灣AI基本法規範。我們的服務不只是框架建立，而是從企業現有AI應用出發，設計可持續運作、可被稽核的風險管理機制。

1. AI應用高風險快速篩查（對應論文VAIR核心概念）：依據EU AI Act Annex III八大高風險領域，結合本論文提出的多維度核心概念組合方法，對企業現有及規劃中的AI應用進行系統性風險分級，明確標記哪些系統可能落入高風險範疇，避免合規盲區。
2. ISO 42001 AI管理系統建立（對應諧和標準缺口）：針對本論文指出的ISO標準與EU AI Act之間的知識庫缺口，協助企業在ISO 42001框架內建立適合本企業規模的AI風險詞彙、影響評估流程與技術文件體系，確保未來稽核可通過、文件可追溯。
3. 台灣AI基本法與EU AI Act雙軌合規規劃（90天啟動計畫）：提供台灣AI基本法草案與EU AI Act的對照分析，協助企業在90天內完成現況診斷、缺口分析與初步機制設計，讓企業在法規正式生效前取得合規先發優勢。

常見問題

我的企業AI應用算不算EU AI Act定義的「高風險」？

這正是本論文要解答的核心問題：高風險AI的認定必須看「多維度概念組合」，而非單一場景。EU AI Act附件三列出了八大高風險領域，包括生物識別、關鍵基礎設施、教育、就業、基本服務取得、執法、移民管控及司法行政。但僅知道「領域」還不夠，還需分析該AI對基本權利的影響範圍與自動化決策程度。積穗科研提供的AI風險快速篩查服務，可協助企業在2至4週內完成初步判定，並出具書面評估報告。

台灣企業如果不在歐盟境內營運，需要符合EU AI Act嗎？

需要，只要您的AI系統輸出結果被歐盟境內的用戶使用，或您的產品/服務出口至歐盟市場，就必須符合EU AI Act規範。EU AI Act的適用範圍採「效果原則」，與GDPR邏輯相同。台灣科技製造商、SaaS服務商、醫療器材廠商若有歐盟客戶，均需評估合規義務。建議企業現在啟動評估，因為高風險AI條款將於2026年正式適用。

ISO 42001認證能幫助企業符合EU AI Act要求嗎？

ISO 42001是目前最接近EU AI Act合規需求的國際管理系統標準，但本論文也明確指出，現有ISO標準在AI風險知識庫的具體性上仍有缺口，無法完全對應EU AI Act對高風險AI的技術文件要求。因此，正確做法是以ISO 42001為框架骨幹，同時補充EU AI Act特定要求的風險詞彙與影響評估流程，以及符合台灣AI基本法的本地化要素，形成三層整合的AI治理架構。積穗科研的服務正是協助企業完成這個整合。

建立AI治理框架需要多長時間？有哪些步驟？

根據積穗科研服務經驗，標準流程分為四個階段，通常在90至180天內完成：第一階段（第1至30天）進行現況診斷與AI應用清單建立；第二階段（第31至60天）完成高風險分級評估與缺口分析；第三階段（第61至120天）設計並導入ISO 42001 AI管理系統框架，包括政策、流程與技術文件；第四階段（第121至180天）進行內部驗證、人員培訓，並準備第三方稽核。企業規模與AI應用複雜度會影響實際時程，但多數中型企業可在120天內完成核心機制建立。

為什麼找積穗科研協助AI治理相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣少數同時具備ISO管理系統認證顧問資格、AI治理實務經驗與法規追蹤能力的專業機構。我們的顧問團隊持續追蹤EU AI Act立法進程、ISO 42001標準發展，以及台灣AI基本法草案演變，確保提供給客戶的建議始終反映最新法規要求。我們不提供純文件式的合規服務，而是協助企業建立真正可運作、可稽核的AI治理機制。從風險分級評估、管理系統建立，到人員培訓與稽核準備，積穗科研提供端到端的AI治理支援，讓台灣企業能夠自信面對國際合規挑戰。