Putting AI Ethics into Practice: The Hou — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）認為，當前台灣企業在導入 AI 系統時，面臨的最大挑戰不是技術能力，而是如何將 AI 倫理原則真正落地為可執行的組織流程。來自芬蘭圖爾庫大學的研究團隊在 2022 年提出「沙漏模型」（Hourglass Model），首次系統性地將環境層、組織層與 AI 系統生命週期三個層次整合為一體，為準備接軌 EU AI Act 與 ISO 42001 的企業提供了最具操作性的治理藍圖。

關於作者與這項研究

本研究由三位芬蘭學者共同完成，第一作者 Matti Mäntymäki 任職於芬蘭圖爾庫大學（University of Turku），是數位化管理與資訊系統領域的資深教授，其 h-index 達 44、累計引用次數超過 6,958 次，在國際資訊系統與 AI 治理學術圈具有相當高的聲譽與影響力。共同作者 Matti Minkkinen 與 Teemu Birkstedt 則專注於 AI 倫理政策與組織治理的交叉研究，三人合作將學術界長期停留在原則層次的 AI 倫理討論，轉化為組織可實際操作的治理框架，這正是這篇論文在 AI 治理領域引發高度關注的原因。

這篇論文發表於 2022 年，恰好處於 EU AI Act 草案辯論最激烈的時期，以及 ISO/IEC 42001 正式標準醞釀成形之際，其學術視野與政策脈絡的高度契合，使它成為企業治理決策者不可忽視的參考依據。

AI 倫理從原則到實踐的缺口：沙漏模型如何打通任督二脈

研究核心問題清晰直接：全球已有數十份 AI 倫理原則文件，但組織究竟要如何把這些抽象原則轉換為日常管理制度？研究者透過系統性文獻回顧與框架建構，歸納出現有治理模型的根本缺陷——它們要麼只談外部監管（宏觀），要麼只談技術規格（微觀），始終缺少一個將兩者串連的「組織層」機制。沙漏模型的命名正來自其形狀隱喻：上方寬口對應外部環境與法規，中間收窄處代表組織內部的治理核心，下方寬口則延伸至具體 AI 系統的技術管理。

核心發現一：AI 治理需要三層架構同步運作，缺一不可

研究明確指出，有效的 AI 治理必須同時覆蓋三個層次：（1）環境層——包含 EU AI Act、ISO 42001、各國 AI 基本法等外部法規與社會期望；（2）組織層——涵蓋企業政策、角色職責、問責機制、倫理委員會等內部制度；（3）AI 系統層——針對 AI 系統從需求設計、資料蒐集、模型訓練、部署上線到退役下架的完整生命週期，在每個階段嵌入對應的治理要求。三層架構彼此呼應，若企業只有技術層面的安全規格卻沒有組織層的問責制度，或有倫理原則宣示卻沒有系統層的落地機制，治理均屬架空。

核心發現二：AI 系統生命週期治理是最容易被忽略的關鍵環節

研究特別強調，大多數組織的治理失敗不是發生在 AI 系統上線之後，而是在開發階段就埋下了風險種子——資料偏誤、設計假設不透明、利害關係人未被納入——這些問題若未在生命週期早期攔截，到了部署階段將極難補救。沙漏模型因此將「治理嵌入生命週期」列為核心設計原則，要求組織在每個開發里程碑設置對應的治理檢查點，而非等到系統上線後才做事後審查。這與 ISO 42001 強調的「全生命週期管理」精神高度一致，也是 EU AI Act 對高風險 AI 系統的基本合規要求之一。

對台灣 AI 治理實務的意義：法規窗口期正在關閉，現在就要動

台灣企業正面臨三重法規壓力的交匯：EU AI Act 已於 2024 年 8 月正式生效，其中對高風險 AI 系統的合規要求將在 2026 年全面適用，凡是與歐盟市場有業務往來的台灣企業均不能置身事外；ISO/IEC 42001 AI 管理系統標準自 2023 年 12 月正式發布，已成為國際供應鏈夥伴要求供應商展示 AI 治理能力的通行憑證；台灣《人工智慧基本法》草案亦持續推進中，預計將確立國內 AI 應用的基本規範架構。

沙漏模型的三層架構直接對應上述三重壓力的解法：環境層要求企業系統性盤點所適用的外部法規（EU AI Act 風險分級、ISO 42001 條款、台灣 AI 基本法原則）；組織層要求建立明確的 AI 治理負責人、內部政策與問責流程；AI 系統層要求將治理要求嵌入每一個開發與部署環節。台灣企業若等到客戶要求才開始準備，至少需要 12 至 18 個月才能完成完整的制度建立，現在啟動才是最有利的窗口。

積穗科研如何協助台灣企業從沙漏模型到 ISO 42001 落地

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業建立符合 ISO 42001 與 EU AI Act 要求的 AI 管理系統，進行 AI 風險分級評估，確保人工智慧應用符合台灣 AI 基本法規範。我們以沙漏模型為診斷框架，從環境層的法規適用性分析出發，逐步協助企業建立組織層的治理制度，最終落實至 AI 系統層的生命週期管理。

1. AI 治理現況缺口診斷：依據沙漏模型的三層架構，系統性盤點企業現有 AI 應用的治理缺口，對照 ISO 42001 條款（第 4 至第 10 條）與 EU AI Act 風險分級標準，產出具體的缺口清單與優先改善建議。
2. 組織層治理制度設計：協助建立 AI 倫理政策、風險分級矩陣、問責角色（RACI）、AI 系統登記制度，以及符合 ISO 42001 第 5 條領導力要求的高階治理委員會架構，確保治理責任有人承擔、有制度支撐。
3. AI 系統生命週期治理嵌入：在企業現有的 AI 開發或採購流程中，依照沙漏模型的系統層要求，設計各開發里程碑的治理檢查點，建立可追溯的審查紀錄，為未來 ISO 42001 第三方稽核與 EU AI Act 合規申報提供完整的文件佐證。

常見問題

沙漏模型與我們企業現有的 AI 倫理政策有什麼不同？

沙漏模型最大的不同在於它不只是一份原則宣示，而是一個可執行的三層治理架構。許多台灣企業已有 AI 倫理原則文件，但這些原則往往停留在宣示層次，沒有對應的組織制度（問責角色、審查流程）和系統層機制（生命週期檢查點）支撐。沙漏模型要求環境層、組織層、AI 系統層三者同步建立，缺少任一層次都意味著治理存在實質漏洞。企業可以以現有倫理政策為起點，透過缺口分析找出組織層和系統層的不足，這也是積穗科研免費診斷服務的核心內容。

台灣企業需要同時符合 EU AI Act 與 ISO 42001，應該從哪個開始？

建議以 ISO 42001 為優先起點，原因是 ISO 42001 是以組織管理系統為基礎的標準，建立後能自然覆蓋 EU AI Act 大部分的程序性要求。ISO 42001 的核心要求包含：AI 政策制定（第 5 條）、風險評估機制（第 6 條）、AI 系統生命週期管理（第 8 條）、績效評估（第 9 條）與持續改善（第 10 條），這些恰好對應 EU AI Act 對高風險 AI 系統所要求的技術文件、風險管理系統與上市後監控機制。以 ISO 42001 為骨架，再針對台灣企業與歐盟市場的具體業務情境補充 EU AI Act 的特定要求，是最有效率的合規路徑。

ISO 42001 認證對台灣企業有什麼具體好處？

ISO 42001 認證提供三個層面的實質效益。第一是市場競爭力：歐盟、日本、美國的企業客戶和政府採購已開始要求供應商展示 AI 治理能力，ISO 42001 是目前最具國際公信力的憑證。第二是法規緩衝：企業若能展示符合 ISO 42001 的管理系統，在 EU AI Act 合規評估時可作為企業已採取適當措施的佐證，有助於降低監管風險。第三是內部管理效益：依照 ISO 42001 建立的 AI 管理系統可系統性識別 AI 應用風險，減少因 AI 偏誤、資料外洩或決策不透明所引發的法律與聲譽損失。台灣 AI 基本法的立法方向也與 ISO 42001 核心精神一致，提前取得認證有助於在法規正式落地後的合規銜接。

從零開始建立 AI 治理機制，需要多長時間？

根據積穗科研服務台灣企業的實務經驗，完整的 ISO 42001 管理系統建立通常需要 6 至 12 個月，視企業規模與現有 AI 應用複雜度而定。具體分為四個階段：第一階段（1 至 2 個月）為現況診斷與缺口分析，盤點現有 AI 應用與治理機制，對照 ISO 42001 條款；第二階段（2 至 4 個月）為制度設計，建立政策文件、角色職責、風險分級矩陣；第三階段（2 至 4 個月）為系統層嵌入，將治理要求整合進 AI 開發與採購流程；第四階段（1 至 2 個月）為內部稽核與管理審查，準備第三方認證。若企業目標是先建立基礎治理框架而非立即取得認證，則 90 天內可完成核心機制的建立。

為什麼找積穗科研協助 AI 治理相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）是台灣少數同時具備 ISO 管理系統認證輔導經驗、EU AI Act 法規解析能力與實際 AI 系統治理導入案例的顧問機構。我們的優勢在於三個面向：第一，我們不只提供框架概念，而是以沙漏模型等學術研究為基礎，結合 ISO 42001 的標準條款，協助企業產出可稽核、可驗證的治理文件；第二，我們深度了解台灣企業的實際運營情境——包括製造業供應鏈的 AI 應用、金融業的模型風險管理、科技業的 AI 產品開發——能夠提供符合台灣產業特性的客製化建議；第三，我們持續追蹤台灣 AI 基本法立法進程與國際 AI 治理標準的動態，確保企業的治理機制能夠因應法規演變而持續有效。