2024年8月1日,歐盟 AI 法案(Regulation (EU) 2024/1689,通稱 EU AI Act)正式生效,成為全球第一部全面規範人工智慧的超國家法律。法案採取分階段實施:2025年2月禁止使用條款率先生效,2025年8月通用目的 AI(GPAI)規範上路,2026年8月所有高風險 AI 條款全面適用。這意味著全球任何向歐盟市場提供 AI 服務的企業,都必須在2026年底之前完成合規。
一、EU AI Act 的核心架構:風險分級監管
EU AI Act 最重要的設計原則是「基於風險的方法」(Risk-Based Approach)。法案將 AI 系統依潛在危害程度分為四個等級:
等級 1:不可接受的風險(直接禁止)
以下 AI 應用在歐盟境內完全禁止,違者可處罰款最高達全球年營業額的 7%:
- 社會信用系統:根據個人行為對公民進行評分,並依評分給予差別待遇(中國模式)
- 即時遠端生物特徵識別:在公共場所使用 AI 即時辨識人臉(執法機關在嚴格條件下有例外)
- 潛意識操控:利用個人無意識弱點影響其行為的 AI 技術
- 情緒推斷於職場/學校:在工作場所或教育機構推斷員工/學生情緒的系統
- 預測性犯罪防制:純粹基於側寫而非具體行為預測個人犯罪傾向的系統
- 大規模未授權人臉圖像抓取:從網路或監視器大量建立人臉辨識資料庫
等級 2:高風險 AI(嚴格監管)
需通過事前合規評估、登錄至 EU 資料庫、持續監控,並維持詳細技術文件的 AI 應用,包括:
- 用於招聘、篩選履歷的 AI 系統
- 學生考試評分 AI
- 信用評分、保險費率計算 AI
- 醫療診斷輔助 AI
- 基礎設施(電網、供水、交通)管理 AI
- 移民、庇護審查 AI
- 司法裁決輔助 AI
等級 3:有限風險(透明度義務)
必須向用戶揭露「你正在與 AI 互動」的系統,例如:
- 聊天機器人(Chatbot)
- 生成 AI 文字、圖像、影片的工具(深偽內容必須標示)
- 情感識別系統(需事先告知)
等級 4:最低風險(自由使用)
絕大多數的一般 AI 應用,如 AI 垃圾郵件過濾、電商推薦系統、AI 遊戲 NPC 等,不受特別規管,廠商可自願遵循行為準則。
二、通用目的 AI(GPAI):ChatGPT、Claude 怎麼規管?
法案中特別設立了「通用目的 AI 模型」(General Purpose AI Model,GPAI)章節,專門規範像 GPT-4、Claude、Gemini 這類大型基礎模型。主要義務包括:
- 訓練資料透明度:必須公開訓練資料的摘要,讓著作權持有人得以確認其內容是否被用於訓練
- 技術文件:維護詳細的模型能力、限制和已知風險文件
- 系統性風險評估(適用高能力模型):訓練計算量超過 10²⁵ FLOPs 的模型(目前約為 GPT-4 等級以上)需進行對抗性測試(Red Teaming)並向歐盟 AI 辦公室報告嚴重事件
- 網路安全防護:實施適當的網路安全措施保護模型本身
這些規定從2025年8月起適用,是目前全球最嚴格的基礎模型監管框架。
三、違規罰款:分級制度與實際影響
| 違規類型 | 最高罰款(企業) | 最高罰款(中小企業/個人) |
|---|---|---|
| 使用被禁止的 AI 應用 | 全球年營業額的 7%(或 3,500 萬歐元取高者) | 750 萬歐元 |
| 其他義務違反 | 全球年營業額的 3%(或 1,500 萬歐元取高者) | 375 萬歐元 |
| 提供不正確資訊 | 全球年營業額的 1%(或 750 萬歐元取高者) | 150 萬歐元 |
以「全球年營業額」計算罰款意味著對大型科技公司的懲罰力度遠超歐盟本地的銷售收入。以 Microsoft 2024 年全球營收約 2,450 億美元計算,最高罰款理論上可達 171 億美元。
四、對台灣企業的影響
EU AI Act 採取「屬地主義延伸」原則:任何提供 AI 系統給歐盟用戶的企業(無論總部在哪),都需遵守法案。這對台灣企業的具體影響:
直接影響族群
- SaaS 平台業者:如果你的 B2B 或 B2C 服務有歐盟用戶,並使用 AI 功能(如 AI 客服、AI 推薦),需要評估是否為高風險系統
- 硬體製造商:出口至歐盟的含 AI 功能設備(如 AI 相機、智慧家電),需確認嵌入的 AI 系統符合要求
- AI 模型開發商:若開發的模型被歐盟境內業者使用,需提供足夠的技術文件
間接影響族群
- 使用第三方 AI API 的開發者:雖然主要責任在 AI 提供方,但整合方仍需確認使用的 AI 組件符合法規
- 大型企業的供應鏈:歐盟企業客戶可能要求供應商提交 AI 合規聲明
五、AI 合規的技術實務
高風險 AI 系統的合規不只是法律問題,更需要具體的技術措施:
1. 可解釋性(Explainability)
高風險 AI 必須能向受影響個人解釋「為何做出這個決定」。這要求系統記錄決策過程、輸入特徵及各特徵的權重——黑盒模型必須被可解釋的方法輔助(如 LIME、SHAP)。
2. 資料治理文件
訓練資料需有完整的來源記錄、偏見測試結果和資料品質評估。建議使用結構化的 JSON 格式維護資料集說明文件(Data Cards),包括資料來源、授權狀態、人口統計代表性等欄位。
3. 持續監控與事件回報
高風險 AI 必須實作持續監控機制,並在發現嚴重事故(如導致人員傷亡或基本權利嚴重侵害)後 15 天內向主管機關通報。
4. 人類監督(Human Oversight)
法案強調高風險 AI 的輸出不應完全取代人類判斷,必須設計讓人類能夠介入、推翻或停止系統運作的機制。
六、EU AI Act 與 GDPR 的關係
EU AI Act 是在 GDPR(一般資料保護規則)的基礎上建立的,兩者並行適用:
- GDPR:規範個人資料的蒐集、處理和儲存
- EU AI Act:規範使用個人資料的 AI 系統本身的設計、測試和部署
- 高風險 AI 系統如果涉及個人資料,需同時滿足兩套規範——例如 AI 招聘系統既需 GDPR 合規的資料處理,也需 EU AI Act 要求的偏見測試和可解釋性
總結
- EU AI Act 是全球第一部全面 AI 監管法律,2026年8月進入完整執行,全球任何向歐盟用戶提供 AI 服務的企業都受到約束
- 法案採風險分級:禁止(社會信用/即時人臉辨識)、高風險(招聘/醫療/信用)、有限風險(聊天機器人)、最低風險(絕大多數應用)
- ChatGPT、Claude、Gemini 等基礎模型自2025年8月起需提供訓練資料透明度,高能力模型需進行 Red Teaming
- 違規最高罰款達全球年營業額 7%,對大型科技公司意味著數十億美元的潛在風險
- 台灣企業若有歐盟用戶且使用 AI 功能,應立即評估合規需求,重點在資料治理文件、可解釋性和人類監督機制