一、因應歐美已陸續通過AI法案、賦予域外效力,而本土市場亦開始衍生深偽爭議、模型數據爭議治理之需求,臺灣籌畫多時幾經協商的「人工智慧基本法」(下簡稱「基本法」),終於在2026年1月14日公布施行。此為臺灣首部針對AI提出的全面性治理規範,法條開宗明義即表明期能確保人民基本權利之同時亦促進創新發展之立法意旨,全文雖僅20條,其治理範圍卻足以橫跨公、私領域由AI驅動的各層面並及於供應商及使用者,介紹主要特點如後。
二、人工智慧基本法主要規範項目
(一) 人工智慧之定義廣泛,以期橫向規範不同領域應用AI的情形
1. 基本法所稱「人工智慧」,指具自主運行能力之系統,該系統透過輸入或感測,經由機器學習及演算法,可為明確或隱含之目標實現預測、內容、建議或決策等影響實體或虛擬環境之產出(基本法第3條)。
2. 前述規範是參考歐美近期相關人工智慧法案,因應AI系統從資料蒐集、預備建置模型到導入應用各階段所為之定義,因此原則上只要將AI系統投放到臺灣市場或其使用影響到臺灣境內者,即受基本法規範,可包括:AI系統供應商(包括數據輸入、感測等蒐集,到包含機器學習及演算法進行之處理過程)、使用AI系統的企業(例如導入AI的企業),且無論通用AI或者生成式AI模型的提供者及使用者都包含在內。
(二) 對人工智慧研發與應用的七大治理原則(基本法第4條)
政府機關將根據以下七大原則制定子法與提供行政指導原則:
1. 永續性:AI發展應考量環境永續發展及人類長遠利益。
2. 人類自主:應尊重人格權(含姓名、肖像、聲音)等以人為本的基本權利與文化價值,並允許人類監督。
3. 隱私保護及資料治理:應保護個資隱私,避免資料外洩風險,尊重營業秘密,並採用資料最小化原則;在符合憲法隱私權保障之前提下,促進非敏感資料之開放及再利用。
4. 建立資安防護措施:防範安全威脅及攻擊,確保其系統之穩健性及安全性。
5. 透明及可解釋:人工智慧之產出應做適當資訊揭露或標記,以利評估可能風險,並瞭解對相關權益之影響,進而提升人工智慧可信任度。
6. 公平與不歧視:人工智慧研發與應用過程中,應盡可能避免演算法產生偏差及對特定群體造成歧視等風險。
7. 問責:確保人工智慧研發與應用過程中,應確保不同角色承擔相應之內部治理及外部社會責任。
(三) 主管機關採二元分工治理制
1. 國家科學及技術委員會(國科會)為中央主管機關(基本法第2條、第6條):
- 有別於行政院草案未明確規範主導機關、僅仰賴跨部會協調的作法,經黨團協商三讀通過的基本法指定「國科會」為中央主管機關,負責AI整體發展方向的規劃及跨部會協調工作。
- 並配套要求行政院成立由院長主持的「國家人工智慧戰略特別委員會」,協調、推動及督導全國人工智慧事務及訂定國家人工智慧發展綱領,成員涵蓋各部會首長、地方首長、產業界代表及專家,由國科會負責年度會議事宜。
2. 數位發展部(數發部)雖非法案明文之主管機關,但基本法明確賦予數發部訂定「AI風險分類框架」及推動對「高風險AI治理」之執行權限(基本法第5條及第16條)。
(四) 「風險分級」和「高風險應用」之加強管理
1. 基本法責由數發部參考國際標準或規範制定「人工智慧風險分類框架」及提供「驗證工具」,協助業界識別、評估AI相關風險,再視管理風險管理之需要,由各目的事業主管機關採行不同程度之管理措施(基本法第5條及第16條參照)。
2. 針對「高風險AI應用」之情形,基本法已明確規範「應明確標示注意事項或警語」之法定義務(基本法第5條第2項)。
3. 作業時程:數發部次長於2025年12月30日表示,政府對AI的風險管理可區分「風險辨識、風險評估與因應作為」三個連續階段,截至2025年底仍聚焦於前二階段,數發布針對新法賦予之「AI風險分類框架」建置權責,正進行最後調修,預計於2026年第1季提報行政院核定。
4. 風險評估的面向:目前已知基本法附帶決議特別要求就「兒少、人權及性別」三大面向進行風險評估、並相應制定風險緩和措施。此外,數發布代表於受訪時亦提及,該部刻正與不同領域的專家研議,例如,「勞動權益」之部分,將與勞工代表及人資專家討論辨識AI應用於職場的相關風險。
(五) 違反基本法規範義務者的責任歸屬
1. 基本法並未具體訂定違反者之罰則,而是初步建構「問責制度」的架構,對於被歸類為「高風險」的人工智慧應用,政府應再建立明確的「責任歸屬」、「救濟機制」及「補償或保險機制」,使事故發生時,可明確釐清是在研發、應用過程中的哪一階段及應由哪一角色應承擔責任、受害者應如何獲得救濟,以及列入「高風險」的AI業者相應的投保義務;此外,人工智慧之研發,於實際應用前不適用前述規範 (基本法第17條參照)。因此,一般認為臺灣目前對於AI之研發仍採取較為寬鬆彈性的政策。
2. 目前就基本法未規範事項,仍適用其他法律之規定(基本法第1條)。因此,如利用AI深偽技術進行詐欺之惡意濫用行為,即有刑法或者詐欺犯罪危害防制條例之適用,至於隱私保護及資安治理等,則仍受到個人資料保護法之約束。
三、企業如何因應新法
(一) 基本法自2026年1月14日公布之日起即施行,使臺灣就AI的治理從「應用AI之風險辨識、風險評估」正式邁入「風險應對」之落地階段,雖然具體施行細節仍滾動式持續公告,但「根據AI應用所涉風險高低,採行不同程度的管理措施」已是確定的治理方向,行政院提出的基本法草案立法理由,已初步可見以下分級管理措施:
1. 如AI應用對人民生命、身體、財產等造成損害,或對社會秩序產生重大危害,依現行技術手段,仍無法有效管理或降低該應用風險者,目的事業主管機關應依其法令予以限制或禁止其應用。
2. 針對「高風險」等有需強化資訊揭露之AI應用項目,應要求提供較為詳細的解釋文件及可驗證資訊;透明度標示(與使用者互動時提供清晰資訊)、對模型訓練資料及決策結果進行公平度測試,或進一步採行審核、許可等措施。
(二) 預期在數發部於2026年第一季正式將「AI風險分類框架」提報行政院後,業界將會進一步獲得更明確的合規指引。為避免數月之後主管機關公告具體措施之際應對不及,擬應用AI之企業於此段期間可考慮先參照基本法的七大治理原則及歐盟AI法案臚列的各項初步分類,就內部資訊進行自我盤點及流程調整,以及時應對合規動態。
◎ 參考資料
歐盟議會通過「人工智能法案」
美國加州對生成式AI的最新法案(AB 2013及SB 942)
中國大陸「AI生成合成內容標識」新制及影響