法規與風險
歐盟 AI Act 與風險分級 為了確保 AI 的發展不侵害基本人權,全球各國紛紛制定法規。其中最具影響力的便是歐盟的《人工智慧法》(EU AI Act)。對於規劃師而言,理解法規並非為了背誦條文,而是要能判斷專案的「合規成本」。
一、 風險分級架構 (Risk-Based Approach) 歐盟 AI Act 採取「以風險為基礎」的分級管理,風險越高,監管越嚴。
- 不可接受的風險
(Unacceptable Risk) -- 【禁止】 這類應用被認為違反人性尊嚴與基本價值,在市場上嚴格禁止。
·
關鍵場景:
o
政府主導的「社會評分系統」(Social Scoring)。
o
利用潛意識技術操縱行為,導致他人受損。
o
特定情況下的遠端生物識別(如大眾場合的人臉即時監控)。
- 高風險
(High-Risk) -- 【嚴格監管】 這類 AI 可能對人的生命安全、基本權利或環境造成重大影響。
·
關鍵場景:
o
關鍵基礎設施(如:道路交通、水電供應管理)。
o
教育與職業培訓(如:入學考試評分、履歷自動篩選)。
o
就業與人力資源管理(如:員工績效考核、升遷決策)。
o
金融信用評等(如:銀行核貸評分)。
·
合規義務:必須建立品質管理系統、具備可解釋性、進行風險評估,並落實「真人覆核」。
- 有限風險 (Limited
Risk) -- 【透明度要求】 這類 AI 風險較低,但必須確保使用者「知情」。
·
關鍵場景:
o
聊天機器人 (Chatbots)。
o
深度偽造 (Deepfake)(必須標註該影音由 AI 生成)。
o
情感辨識系統。
·
合規義務:必須告知使用者其正在與 AI 互動。
- 最低風險 (Minimal
Risk) -- 【不干預】 大多數現有的 AI 應用屬於此類,政府不予干預。
·
關鍵場景:
o
電玩遊戲中的 AI 對手。
o
垃圾郵件過濾器。
o
庫存預測系統(不涉及個人資料)。
二、 隱私與資安風險:從 GDPR 到資料隱私 除了 AI Act,規劃師還必須考慮數據處理的適法性:
·
GDPR (歐盟一般資料保護規則):處理個人資料時必須符合「目的限制」、「資料減量」及「確保當事人權利」。
·
對抗性攻擊 (Adversarial Attacks):這是一種專門針對 AI 模型的攻擊方式(例如:在交通號誌貼上特定貼紙,導致 AI 誤判)。這屬於安全性與穩健性的治理範疇。
三、考題知識補充
- 台灣 2025 年 9 月《人工智慧基本法》草案:提到政府推動「創新實驗環境」是參考歐盟的 「監理沙盒 (Regulatory Sandbox)」 制度。
- 金融業規範:根據《金融機構運用人工智慧技術作業規範》,治理措施包含人才培育、了解生成式 AI 運作、高階主管監督,但不包含「每日公布運作狀況」。
- 風險管理策略分類:根據學習指引,風險管理應精確分為:風險溯源、風險文化、風險接受、風險緩解、風險迴避及風險轉移。
自我檢測題
- 根據歐盟《人工智慧法》,某企業欲導入一套「AI 自動篩選面試者履歷」的系統,該系統應被歸類為哪一級風險? (A) 不可接受的風險 (B) 高風險 (C) 有限風險 (D) 最低風險
答案:(B) - 關於「有限風險 (Limited
Risk)」的 AI 應用,開發者最主要的法律義務為何? (A) 必須將原始碼完全公開 (B) 必須向歐盟政府繳交巨額保證金 (C) 必須落實透明度義務,告知使用者其正在與 AI 互動 (D) 此類應用被完全禁止,無法上市
答案:(C)