[AI 法律 8] AI 法遵與企業治理:AI 治理框架、董事責任、第三方審查

美國國家標準與技術研究院(NIST)於 2023 年發布「AI 風險管理框架(AI RMF)」,成為國際企業 AI 治理的重要參考。其核心結構為四個治理功能:治理(Govern)、映射(Map)、衡量(Measure)、管理(Manage),構成 AI 風險管理的完整循環。

治理(Govern)強調建立 AI 治理的組織架構、政策、文化:設立明確的 AI 風險管理職能、制定 AI 使用政策、建立員工教育訓練、確保資源配置。映射(Map)強調對組織內 AI 使用的全面盤點:識別所有 AI 應用、評估其用途與影響、繪製 AI 系統清單。衡量(Measure)強調對 AI 風險的具體評估:技術指標(準確率、偏差)、法律指標(合規程度)、社會指標(公平性、可解釋性)。管理(Manage)強調對識別風險的因應:建立緩解措施、監控執行、定期檢視調整。

NIST AI RMF 在台灣本土化的關鍵考量:第一,對齊本國法規(個資法、即將通過的人工智慧基本法、各部會 AI 指引);第二,整合既有治理(將 AI 風險管理納入既有的內部控制制度、ESG 報告、風險管理循環);第三,因應產業特性(金融業、醫療業、文化業各有不同的 AI 風險);第四,規模調適(中小企業可採簡化版,大企業需完整實施)。

數位發展部於民國 115 年 1 月 28 日發布的「公部門人工智慧應用參考手冊 V1.0」,亦提供類似的整體治理視角,涵蓋 AI 概念介紹、AI 服務評估、AI 服務導入、AI 營運管理四章。私部門可參考其架構,結合自身業務特性建立內部框架。

公司董事對公司有注意義務、忠實義務、監督義務。傳統上「商業判斷法則(Business Judgment Rule)」保護董事在資訊充分、無利益衝突、誠信決策的情況下,即使事後結果不佳,亦不負損害賠償責任。但此保護並非無限——若董事「明知重大風險而未採取合理監督」,可能構成監督義務違反。

AI 在企業中的應用已達到「重大風險」的門檻——可能涉及法律責任(個資、消費者保護、智財)、聲譽風險(演算法偏差、不當輸出)、財務風險(系統失靈、模型偏差)、戰略風險(技術依賴、競爭情勢)。董事會作為公司最高治理機構,應對 AI 風險負合理監督義務。具體內容包含:第一,定期審議 AI 治理報告(建議每季度一次);第二,核准重大 AI 投資與部署決策;第三,監督 AI 風險管理職能的設立與運作;第四,對重大 AI 事件(資料外洩、嚴重偏差、訴訟)有通報與處理機制。

實務上的指標案例(美國 Caremark 系列判決,涉及董事監督義務的標竿):若公司缺乏「合理的監督系統」,或董事「有意識地忽視」已知風險警訊,可能構成監督義務違反,股東得提起代表訴訟。延伸到 AI 場景,缺乏 AI 治理框架、董事會無 AI 風險專責報告、發生事件時無妥善處理流程,皆可能成為日後股東訴訟的依據。

本所建議:上市櫃公司應於董事會層級設立「AI 治理委員會」或將 AI 治理納入既有風險管理委員會範圍;定期(每季)由 AI 治理職能向董事會報告 AI 應用現況、風險評估、合規狀態;在董事會決議紀錄中明確記載 AI 相關討論,作為日後盡監督義務的證明。

內部 AI 使用政策是「治理框架的基層落實」。一份完整的政策文件,應至少涵蓋四個層次:資料、模型、輸出、稽核。

資料層:第一,允許輸入 AI 的資料分類(完全允許、有條件允許、禁止輸入);第二,涉及客戶個資、營業秘密、敏感業務資訊的特別保護;第三,跨境資料傳輸的處理(若使用境外 AI 服務);第四,資料留痕與可追溯性。模型層:第一,允許使用的 AI 工具清單(由內部審查通過);第二,使用環境(企業帳戶、個人帳戶、本地部署、雲端);第三,版本管理與變更通知;第四,廠商風險評估。

輸出層:第一,AI 輸出的人類審閱要求(哪些業務需要、何種程度);第二,對外公開的 AI 輸出標示義務(應標示為 AI 生成);第三,法律意見、財務分析、醫療建議等專業輸出的特別審查;第四,錯誤處理與爭議解決流程。稽核層:第一,內部稽核頻率與範圍;第二,異常使用偵測;第三,事件通報與處理機制;第四,定期檢視政策本身。

實務上,本所建議將 AI 使用政策細化為三類文件:「總體政策」(原則性文件,由董事會核准)、「執行細則」(具體操作,由管理層核准)、「員工指引」(簡化版,供員工日常使用)。三層次相輔相成,確保政策從董事會到第一線員工皆能落實。

多數企業使用 AI,並非自建模型,而是透過第三方廠商。對廠商的盡職調查,是 AI 治理的關鍵環節。完整盡職調查清單可分為六類。

類別一,廠商背景:設立國家、營運狀況、財務健康、客戶名單、案例參考。類別二,技術能力:模型架構、訓練資料來源、性能指標、第三方驗證。類別三,安全與合規:資料安全認證(ISO 27001 等)、個資法遵循、跨境資料傳輸、稽核紀錄。類別四,法律地位:涉訴情況、過去爭議、合約履行紀錄、智財權利狀況。類別五,持續性風險:服務終止後客戶資料處理、模型變更通知機制、移轉至其他廠商的便利性。類別六,責任分配:契約條款的責任分配是否合理、保險投保情況、損害賠償上限。

對核心業務 AI 服務的盡職調查,應採「三線防線」結構:第一線(業務部門初步篩選)、第二線(法遵與資安部門深入評估)、第三線(內部稽核或外部專家最終審查)。中小企業若無完整內部資源,可委請外部律師、資安專家、會計師組成臨時審查團隊。

並非每家企業都需要立即達到完善的 AI 治理水準。成熟度模型可分為五個階段。階段一,初始(Initial):無明確 AI 政策,個別員工自行使用,風險不可見。階段二,認知(Aware):意識到 AI 風險,但未建立系統性管理。階段三,結構化(Structured):已有 AI 政策、部分流程、初步盤點。階段四,管理(Managed):完整治理框架、定期審議、事件處理機制。階段五,優化(Optimized):持續改善、跨業界標竿、AI 治理成為競爭優勢。

對中小企業,本所建議從「階段三:結構化」開始:建立基本 AI 政策、盤點現有 AI 應用、設立簡單審查機制。對上市櫃公司或處理大量個資/敏感業務的企業,應力求達到「階段四:管理」。對特定領域(金融、醫療、政府)的關鍵 AI 應用,應追求「階段五:優化」。

過去十年,企業競爭優勢來自「誰能用 AI 做得最快」;接下來十年,優勢將來自「誰能用 AI 做得最可信」。客戶、合作夥伴、投資人、監管機關都會越來越重視企業的 AI 治理水準。完善的 AI 治理不是合規負擔,而是長期的競爭資本。

本所建議企業:不要等到「發生事件」才開始建立治理,也不要追求「一次到位」的完美架構。而是從務實階段開始,持續演進、累積制度、培養文化。每一份內部政策、每一次審議紀錄、每一場員工訓練,都是企業在 AI 時代的長期信任資本。

常見問題