數位化時代，人工智慧(Artificial Intelligence, AI)技術已成為推動創新和經濟增長的關鍵力量。然隨著AI技術的迅速發展，也帶來了一系列的挑戰和風險，尤其是在資通安全、隱私保護和道德倫理方面。因此，歐盟於2024年3月13日通過了全球首部AI法規─歐盟AI法案(AI Act)，旨在建立一個可信賴的AI發展框架，我國亦正持續規劃發展中，以平衡創新與風險之間的關係。

前言

　　在AI系統應用與創新的過程中，AI產品與系統評測(System Evaluation)的重要性不容忽視，政府將規劃並建立國內AI評測體系。評測不僅能確保AI產品和系統的性能，還能確保其符合道德和法規要求，從而提高民眾對AI的信任。評測可以涵蓋各種方面，包括(但不限於)：系統的準確性、可靠性、公平性、透明性，以及對隱私和安全的影響。為降低AI科技發展帶來之潛在負面影響，數位部目前已偕同工業技術研究院與國家資通安全研究院等機關展開AI評測工作，藉由研析國際組織與重點國家之AI政策、標準及規範，借鏡推動作法，逐步建立我國AI評測制度與規範。

　　隨著人工智慧的應用變得更加廣泛，ISO/IEC 42001:2023 人工智慧管理系統(Artificial Intelligence Management System,AIMS)提供了一個可驗證的人工智慧管理系統框架，幫助組織確定和管理AI相關的風險，以確保AI的使用符合道德和法規要求，可讓AI的發展不僅創新，而且負責任，並可幫助企業組織負責任地開發或使用人工智慧系統，以實現其目標，同時滿足監管要求以及相關單位的義務和期望。在該框架內，人工智慧產品可作為人工智慧驗證系統的一環進行開發，最終目標是幫助企業和社會從人工智慧中獲得最大利益，並向利害關係人保證系統是負責任地被開發。

美國國家標準與技術研究院公布人工智慧風險管理框架(AI RMF 1.0)

　　美國國家標準與技術研究院(NIST)於2023年1月26日公布「人工智慧風險管理框架1.0」(Artificial Intelligence Risk Management Framework, AI RMF 1.0)，該自願性框架提供相關資源，以協助組織與個人管理人工智慧風險，並促進可信賴的人工智慧(Trustworthy AI)之設計、開發與使用。NIST 曾於2021 年7 月29 日提出「人工智慧風險管理框架」草案進行公眾徵詢，並隨著各界使用後的意見回饋持續更新，以期待各產業發展出適合自己的使用方式。

　　AI RMF 1.0首先說明人工智慧技術的風險與其他科技的差異，另分析人工智慧風險管理的困難，並利用人工智慧的生命週期定義出風險管理相關人員(AIactors)；並提供7種評估人工智慧系統信賴度的特徵，包括：
1.有效且可靠：有客觀證據證明人工智慧系統的有效性與系統穩定度；
2.安全性：包含生命、健康、財產、環境安全，且應依照安全風險種類決定管理上的優先次序；
3.資安與韌性；
4.可歸責與資訊透明度；
5.可解釋性與可詮譯性；
6.隱私保護；
7.公平性：有害偏見管理。

　　AI RMF 1.0亦提出人工智慧風險管理框架核心(AI RMF Core)概念，包含「治理、映射(mapping)、量測與管理」等4項主要功能。其中治理功能為一切的基礎，負責孕育風險管理文化，其他各項功能皆有具體項目與子項目，並對應特定行動和結果產出。NIST同時公布「人工智慧風險管理框架教戰手冊」(AI RMF Playbook)，提供實際做法之建議，同時鼓勵業界分享其具體成果。

歐盟《人工智慧法案》的立法

　　AI已經成為我們生活的一部分，然而隨著AI技術的快速發展，其潛在風險也引起了公眾的關注。假新聞、假消息的製造，甚至新型的網路攻擊工具，都可能是AI技術被濫用的例子。因此歐洲決定推動歐盟《人工智慧法案》的立法，這項法案的目的是對高風險的AI 系統進行嚴格監管，並要求這些系統遵守特定的透明度義務和歐盟版權法。此法案也限制了政府在公共場所使用實施生物識別監控的系統，只有在特定犯罪、防範真正威脅(如恐怖襲擊)以及尋找涉嫌嚴重犯罪的人時才允許使用。

　　透過這項法案的實施，歐盟不僅為AI技術的可信賴發展設定了全球標準，也為其他國家和地區提供了一個立法藍圖。這將有助於促進國際間在AI領域的合作與協調，同時也為企業提供了清晰的法律框架，使AI能在推動創新的同時確保合規。歐盟通過此AI法案，象徵著一個AI技術在負責任的監管下茁壯成長的新時代，對歐洲及全世界都將產生深遠的影響。可期待在這個法案的引導下，看到一個更加安全、公正且創新的AI未來。

AI產品與系統評測中心

　　2023年12月，我國數位發展部數位產業署以發展國內AI產業為規劃藍圖，成立了AI產品與系統評測中心(下稱AI評測中心)，制定AI評測相關制度、標準及評測體系。近期還預告將制定「AI產品與系統評測制度」與「AI產品與系統評測指引」，來設置臺灣AI產品檢測和驗證標準。

　　AI評測中心擬建立以下評測項目，包含安全性、可解釋性、彈性、公平性、準確性、透明性、當責性、可靠性、資料隱私、系統安全等10項評測標準。參考美國國家標準暨技術研究院(NIST)制定的通用性AI風險管理框架，其將風險分成三大潛在的危害，包含對人、對企業、對生態系統。

AI管理系統ISO/IEC 42001:2023

　　國際標準組織於2023年12月18日推出ISO/IEC 42001:2023 人工智慧管理系統正式版，這是世界上第一個AI管理系統標準，提供快速變化的AI技術領域一個管理制度，其管理重點包括：

一、確認組織目標：組織需要確定其目標，並考慮到利益相關者的參與和組織政策。

二、管理風險和機會：組織需要管理與AI相關的風險和機會，以提高AI系統的整體效能和效率。

三、管理可信任性：組織需要管理與AI系統的可信任問題，包括安全性、公平性、透明度、資料品質以及AI系統在其生命週期中的品質。

四、管理供應商、合作夥伴和第三方：組織需要管理為其提供或開發AI系統的供應商、合作夥伴和第三方。

　　前開ISO/IEC 42001:2023標準為建立、實施、維護和持續改進AI管理系統的全面要求，這個標準旨在幫助組織負責任地開發、提供或使用AI系統，並確保這些系統在運作時能夠符合組織的目標和相關利益相關者的期望。這也體現了對於AI特有特性(例如持續學習和改進的能力、缺乏透明度或可解釋性)的必要考量，以及在風險治理制度和創新之間取得適當平衡的需要。

《資通安全管理法》

　　我國《資通安全管理法》是專門規範各種資訊安全事件通報、應變及處理的法律，其自2019年元旦正式實施至今已有數年，但在數位化時代，資通安全已經成為無法忽視的議題。

　　然而，隨著AI的快速發展，我們必須將視野擴大，將AI安全納入考量範疇。AI系統已經廣泛地應用在各種領域，包括醫療、金融、交通等，這些都是關係到全國民眾生活的重要領域，如果AI系統的安全性不能得到保障，那麼一旦被攻擊或故障，可能會對日常生活造成嚴重的影響。並且AI系統的運作往往涉及到大量的資料，包括許多敏感的個人資訊，如果這些資訊被不當地使用或者洩露，將會對個人的隱私權造成嚴重的侵害。

　　此外，AI系統的深度學習技術，或最近當紅的大語言模型(LLM)及生成式AI(GAI)的建模過程往往是黑箱的，這意味著一般人很難理解AI是如何做出決策的，這就更增加了AI系統的安全風險。因此，應須將AI系統的安全性視為資訊安全的重要一環，並積極地進行相關的研究和討論，以確保能夠在享受AI帶來便利的同時，也能夠保障人們的安全和隱私，並期待未來預期修正的《資通安全管理法》能包含AI安全的相關規定，以應對這些挑戰。

結論

　　前述歐盟《人工智慧法案》、AI產品與系統評測、AI管理系統ISO/IEC 42001:2023、《資通安全管理法》等法案、標準和制度的制定與實施，都體現了在推動AI技術創新的同時，也應要重視對AI技術的監管和保護。這種平衡的取得，將有助於確保AI技術的健康發展，並最大化其對社會的正面影響。我們期待在這些法案和制度的引導下，能看到一個更加安全、公正且創新的AI未來。






---本文轉自法務部調查局清流月刊---