給考慮 AI 專案的 CIO 們的 4 個合規問題

在企業啟動 AI 專案前，有許多面向需要仔細考量，從選擇適合的應用場景，到制定適當的風險防範措施，每一項好點子背後都潛藏著複雜的法律問題，這也讓 CIO 們在推動創新時必須步步為營。

面對來自不同國家、州和司法管轄區對 AI 的多元法規要求，確保合規並非易事，而要讓專案具備前瞻性、能應對未來可能的法規變動，更是增加了挑戰。

「我們已經來到一個需要將各種細緻差異納入治理架構的階段，這其實非常困難，」Debevoise & Plimpton 法律事務所數據策略與安全團隊、以及白領犯罪與監管辯護小組的律師 Martha Hirst 在 IAPP 全球隱私高峰會的座談中表示。

與會專家指出，企業應建立能在風險控管與創新之間取得平衡的流程與治理機制。

以下是 CIO 們在規劃與推動 AI 專案時，應深思熟慮的四個具法律影響力的重要問題：

1. 我們的 AI 專案是否符合當地及國際的法規？
AI 涉及的隱私、資料使用、演算法透明度等議題，在不同地區都有不同規定。例如歐盟的《AI 法案》、美國各州的隱私法，甚至中國的算法規範，企業若有跨境業務，必須逐一檢視是否合規，不能假設一套制度就能全球通用。

2. 我們是否建立起有效的 AI 治理制度？
法規越來越要求企業有內部治理結構來監督 AI 的設計、部署與使用，包括模型風險評估、問責機制、倫理審查等。治理機制必須能涵蓋「誰設計了什麼」、「使用了哪些資料」、「是否具偏誤」、「有無退出機制」等問題。

3. 我們是否準備好應對未來的法規演變？
AI 法規正在快速發展與轉變，例如歐盟的《AI 法案》即將正式施行，美國也正在制定相關聯邦政策。CIO 們必須考量如何讓 AI 系統具備「可調整性」，能根據新法規要求迅速更新，否則未來可能面臨高額罰款或技術重工。

4. 我們如何平衡創新與風險控管？
AI 的潛力巨大，但也伴隨資料洩漏、決策偏誤、責任歸屬不清等風險。企業不能因過度合規而抑制創新，也不能為了創新而忽視風險。CIO 需與法務、資安、營運等部門合作，建立一個既能推動 AI 應用又不踩紅線的機制。

1. 這項 AI 應用是否屬於高風險？
若 AI 應用牽涉到關鍵基礎設施、就業機會或生物辨識技術，通常會被歸類為「高風險」應用。企業常常在不知情的情況下，已在如人資部門等內部流程中使用到此類技術。

GSK 全球人資隱私與風險總監 Cynthia Bilbrough 在座談中指出，企業正在苦於應對職缺申請激增的挑戰，使得傳統招募流程無法應付，這導致更多企業轉向使用 AI 篩選履歷。然而，若企業用 AI 來過濾求職者資料，其輸出結果可能因資料偏誤而違反現行的反歧視法令。

對於這類高風險應用情境，企業領導層若決定持續推進，須採取額外的預防措施。尤其應熟悉相關法律對「自動化決策」所設下的防範規範，否則可能面臨罰款或其他法律責任。

2. 這項 AI 工具將在哪個司法轄區使用？
要確保合規，企業必須明確掌握 AI 工具實際被使用的地點。因為不同地區、國家甚至州份的法規差異極大。

IBM 資深副總裁暨隱私與負責任技術長 Christina Montgomery 表示：「現在全球已經有超過 140 部隱私法存在。我們有歐盟的《AI 法案》，幾乎每個地區都開始對 AI 訂定規範。」

面對這樣的監管碎片化現象，一些企業選擇以「最高標準」為原則來設計其合規架構，以便一次性符合多國規定。Ford Motor Company 資深隱私法律顧問 Stephanie Westfield 說：「分散式的法遵策略已經不敷使用。現在是時候以全球視角出發，尋找最高水位標準來對齊所有法規。」

3. 我們如何使用資料？資料來源從哪裡來？
AI 的效能取決於資料品質。但企業對於「AI 模型應該以什麼資料訓練」、以及「員工可以輸入哪些內容」的接受程度各有不同。

The Wendy’s Company 全球資料保護與風險長 Brigette Guyer 表示，每個專案在啟動前都必須通過風險評估。在評估初期，團隊會討論是否該使用真實資料或改用合成資料（synthetic data）。

合成資料不包含任何真實可識別的個人資訊，因此在遵循例如歐盟 GDPR 等隱私法方面較具優勢。如果處理得當，合成資料也能減少來自歷史資料中的偏誤，有助於提升 AI 模型的公平性與合法性。

此外，企業也應投入資源進行資料盤點（data mapping），以釐清資料從哪裡來、存放在哪裡、如何被使用。

Vistra Corp. 的 AI、隱私與資安法律顧問 Amber Cordova 表示：「要有組織性。資料盤點這件事沒有人想做，但它真的非常重要，而且值得投入資源。」

4. 是該自行開發，還是採購第三方 AI 工具？
根據 IAPP 高峰會的多位專家說法，「第三方風險管理」絕對不容忽視。

技術決策者應深入了解第三方廠商如何使用其系統中輸入的資料、是否具備防止偏誤的保護機制，以及是否有確實落實負責任 AI 的實踐原則。

許多組織在風險控管上不再滿足於標準合約條款（如著作權責任豁免），而是希望進一步要求供應商提供更高程度的保障與透明度，即便對方是知名大廠。