[AI 法律 14] AI 國際監管比較:EU AI Act、美國行政命令、台灣定位

歐盟《人工智慧法(AI Act)》於 2024 年通過,是全球首部全面性的 AI 法律。其核心結構是「風險基礎(Risk-Based)」分級監管:

第一級:不可接受風險(Unacceptable Risk)——直接禁止。包含:政府社會評分(類中國社會信用)、利用人類弱點的操縱性 AI、執法的即時生物識別(限定例外)、對情緒/種族等的推斷分類、無差別的臉部辨識資料庫建構。

第二級:高風險(High Risk)——嚴格監管,需事前合規評估、登錄、持續監控。包含:關鍵基礎設施(能源、交通、水利)、教育評量、就業招募、信用評分與保險精算、執法、邊境管理、司法行政、民主程序。需符合資料治理、技術文件、紀錄保留、透明度、人類監督、準確度、強健性、網路安全等多項要求。

第三級:有限風險(Limited Risk)——透明度義務。包含:聊天機器人(需告知是 AI)、生成式 AI(需標示 AI 內容)、深偽影音(需標示)、情緒識別系統(需告知)。第四級:最小風險(Minimal Risk)——無特別規範,鼓勵自願性最佳實務。

另一個重要架構是對「通用 AI 模型(General Purpose AI, GPAI)」的特殊規範。對 GPAI 提供者課以揭露訓練資料、技術文件、合規評估、智財權尊重等義務。對「系統性風險的 GPAI」(達一定算力規模或市場影響)有更嚴格要求。

域外效力:AI Act 適用於所有「將 AI 系統投放歐盟市場或在歐盟境內運作」的提供者,不論其設立地。台灣企業若服務歐盟用戶、處理歐盟居民資料,即落入 AI Act 規範範圍。違反者罰金可達全球年營業額的 7%(對特定違反)或 35,000,000 歐元(較高者),嚴重程度與 GDPR 相當。

美國於 2023 年 10 月發布拜登行政命令第 14110 號(EO 14110)「Safe, Secure, and Trustworthy Development and Use of AI」,是當時美國 AI 政策的最完整框架。其核心精神是「結果導向(Outcome-Based)」——不在事前對 AI 應用做分級監管,而是要求 AI 開發者與部署者對其產品的實際結果負責,並透過既有的部門監管(FTC、FDA、EEOC 等)處理具體爭議。

EO 14110 的具體要求包含:對基礎模型開發者(達特定算力規模)報告其安全測試結果;對聯邦機構使用 AI 的指引、AI 影響評估、隱私保護;對勞工權利、消費者保護、公民權利的關注;對國家安全影響的評估。整體而言,EO 14110 不是一部「AI 法」,而是聯邦政府的政策指導與行政規範。

2025 年初,川普政府上任後撤銷 EO 14110,改以較寬鬆的政策路線。但部分既有的部門監管(FTC 對 AI 不公平交易行為、FDA 對醫療 AI 的規範、EEOC 對就業 AI 歧視的執法)仍持續運作。美國各州亦有獨立立法:加州、紐約、伊利諾、科羅拉多等州陸續通過或研議 AI 相關法律,涵蓋 AI 標示、深偽禁制、就業 AI、消費者保護等議題,形成「州層級的拼貼式監管」。

對台灣企業的啟示:服務美國市場的 AI 產品,需同時關注聯邦層級政策變化與各州具體立法。建議優先評估:加州(全美最大市場)、紐約(金融與媒體中心)、德州(能源與企業總部)、伊利諾(隱私規範嚴格)等核心州的具體要求。

中國於 2023 年 7 月發布《生成式人工智慧服務管理暫行辦法》,2024 年實施,代表政府主導型監管路線的典範。其核心特色是事前審批 + 持續備案 + 內容審查。

具體要求:備案制度——生成式 AI 服務需向網信辦進行算法備案;安全評估——服務上線前需進行安全評估;內容審查——對生成內容進行政治、法律、倫理審查,符合社會主義核心價值觀;實名制——使用者需實名註冊;數據安全——遵守數據安全法、個人信息保護法、網絡安全法。違反者可被命令停止服務、吊銷執照、罰款。

政府主導模式的特點:合規透明度高(規定相對清晰)、但政治意涵明顯(對「敏感」內容有實質限制)、外國企業進入門檻高(實質上難以服務中國市場)。對台灣企業,服務中國市場的合規成本極高,且面臨「資料主權」議題(資料須留中國境內處理)。

另一個值得關注的是:中國模式對其他威權國家的外溢效應。部分東南亞、中亞、非洲國家在參考各國 AI 監管時,對中國模式的某些元素(政府主導、實名制、內容審查)有所借鑑。台灣企業在進入這些市場時,需特別評估監管環境的政治面向。

面對歐盟、美國、中國三條不同路線,台灣的監管定位該如何選擇?《人工智慧基本法》(115/1/14 施行)的設計反映了這個問題的初步答案。

本法的整體精神:框架性立法——不直接規範具體 AI 應用,而是建立原則性指引;七大基本原則——永續發展與福祉、人類自主、隱私保護與資料治理、資安與安全、透明與可解釋、公平與不歧視、問責;授權各部會——就其主管領域訂定具體 AI 規範的法源;跨部會協調——行政院應設「國家人工智慧戰略特別委員會」統籌跨部會事項;風險分類框架——第 16 條明定數位部建立風險分類框架,銜接國際監管。

整體而言,台灣模式介於歐盟「風險基礎」與美國「結果導向」之間——有原則性的事前規範(基本法),但具體規範分散於各部會(類似美國各部門監管)。這種混合模式的優點是彈性(可隨技術發展調整)、本土化(由各部會根據產業特性訂定);缺點是整體性不足(不同部會規範可能不一致)、合規成本(企業需了解多個部會規範)。

具體部會規範的進展:智財局已發布 AI 著作權函釋(本系列第 2 篇);金管會陸續發布金融業 AI 應用指引;個資保護委員會(籌備中)未來將處理 AI 個資議題;NCC對數位平台與 AI 內容持續推動規範;數位發展部於民國 115 年發布「公部門人工智慧應用參考手冊」(本系列重要參考文件);文化部於民國 113 年發布「文化藝術應用生成式 AI 指引」(本系列另一重要參考)。

對台灣企業在多邊監管環境中的佈局建議,本所歸納為四個層次。

層次一,確認適用監管:盤點企業 AI 服務的目標市場、實際使用者地理分布、資料流向,判定哪些國家的監管適用。建議建立「監管適用矩陣」,定期更新。層次二,核心市場合規:對主要目標市場(通常是台灣 + 1-2 個海外市場)做完整合規佈局。歐盟市場優先建立 AI Act 與 GDPR 合規架構;美國市場依目標州別佈局;中國市場若進入需評估完整成本與政治風險。

層次三,「最大公約數」策略:對全球性服務,以最嚴格市場的合規要求為基礎建立全球統一架構,避免分版本維護的高成本。實務上,EU AI Act + GDPR + 主要美國州法常作為「最大公約數」基線。層次四,持續監測與調整:AI 法規快速演化,建議每季度檢視關鍵市場的法規動態。可訂閱主管機關電子報、加入產業協會、與專業律師事務所建立長期合作。

AI 國際監管的差異,反映了各國/地區對「技術、自由、安全、社會」之間關係的根本選擇。歐盟強調基本權利保護、美國強調市場創新、中國強調社會控制——沒有絕對的對錯,而是不同社會選擇的具體展現。

台灣作為民主國家,監管路線必然較接近歐美,但又有自身的特殊考量(對中關係、產業特性、規模條件)。本所長期關注 AI 國際監管的比較研究,並協助多家客戶建立跨國合規架構。如需具體市場的合規評估,歡迎聯絡。本系列最後一篇將處理「AI 開發者責任鏈」,完成 15 篇 AI 法律地圖。

常見問題