台灣 AI 基本法上路——企業主必讀的七大原則與合規準備

你的公司大概已經在用 AI 了——客服機器人、自動回信、行銷文案生成,甚至幫忙篩履歷。但你可能還不知道,台灣已經有一部專門管 AI 的法律正式上路了。

台灣 AI 基本法,全名《人工智慧基本法》,在 2025 年 12 月 23 日經立法院三讀通過,並於 2026 年 1 月 14 日公布施行。它是台灣第一部專門針對人工智慧發展與治理的基礎法律,全文 20 條,把政府未來監管 AI 的方向定了下來。很多企業主對它的第一個誤解,是以為「這跟我沒關係,是管 Google、管 OpenAI 那種大公司的」。實際上,只要你用 AI 做了任何會影響到客戶或員工的決定,這部法律的射程就涵蓋到你。

只是這部法不像歐盟那套會直接開罰,它更像一張設計圖,真正的細節留給後面各部會慢慢補。對企業來說,這反而是最容易踩空的地方——你以為還很遠,其實調適期已經在倒數。接下來先把它到底規範了什麼講清楚,再一條一條看哪些跟你的生意直接相關。

台灣 AI 基本法是什麼?一部「基本法」的真正定位

台灣 AI 基本法是一部綱領性質的「基本法」,它確立國家發展與治理 AI 的基本原則和方向,但本身不對企業設定具體罰則。具體的管制與處罰,授權給各產業的主管機關在後續訂定的子法裡填上。

這個定位很關鍵,因為它決定了你該用什麼心態看待它。基本法在台灣的法律體系裡,比較像國家層級的「憲章」或「戰略宣言」,主要規範的是「政府應該做什麼」——政府要怎麼推動 AI、要建立哪些機制、要守住哪些底線。它不像《個人資料保護法》那樣,違反了就直接裁罰。

那為什麼企業還是要在意?因為基本法立下的七大原則和風險治理精神,會成為各部會制定子法的母法依據。換句話說,今天寫在基本法裡的這些原則,明後年就會變成金管會、衛福部、交通部各自的產業規範,到那時候才是真的有牙齒、會咬人的。基本法是上游的水源,子法是下游灌進你田裡的水。

法律也明定,AI 在「研發階段」還不受規範,但一旦進入「實際環境測試」,或已經當成產品、服務對外提供,就要受這部法的精神約束。也就是說,你在內部實驗怎麼玩都行,可是只要對外上線、開始服務真實客戶,就進入了管轄範圍。

台灣 AI 基本法重點整理,六個你該記住的條文方向

把 20 條濃縮下來,企業真正需要掌握的有六個方向。與其逐條啃法律文字,不如記住這幾個會實際影響到你的重點。

第一、確立中央主管機關與國家戰略委員會。 法律明定中央主管機關是國家科學及技術委員會(國科會),地方主管機關則是各直轄市與縣市政府。同時,行政院要成立「國家人工智慧戰略特別委員會」,由行政院長親自擔任召集人,集結各部會首長、地方首長、產業界與專家學者,共同訂定「國家人工智慧發展綱領」,每年至少開會一次。這代表 AI 治理被拉到了國家戰略的高度。

第二、定下七大基本原則。 這是整部法的核心精神,後面會單獨展開。

第三、授權建立風險分類框架。 法律要求數位發展部參考國際標準,推動與國際接軌的 AI 風險分類框架,再由各產業主管機關依此訂定產業指引。這是企業最該盯住的條文,因為它決定了你的 AI 應用未來會被歸到哪一級、要承擔多少義務。

第四、明確高風險應用的問責機制。 對於被認定為高風險的 AI 應用,政府要劃清責任歸屬、建立救濟、補償或保險機制,並要求明確標示注意事項或警語。

第五、給產業發展實打實的資源。 法律要求政府在財政許可範圍內寬列預算,透過補助、投資、獎勵、輔導,以及租稅、金融優惠等措施,積極推動 AI 的研發、應用與基礎建設。對中小企業而言,這意味著導入 AI 的補助與優惠,從過去的政策口號變成了有法律位階的承諾。

第六、保障勞動權益。 法律要求政府運用 AI 確保勞動者權益,消弭技能落差,並對因 AI 應用而失業的勞工提供就業輔導。這也預告了未來企業在用 AI 取代部分人力時,會面對更明確的勞權檢視。

光記住這六個方向還不夠,真正會落到你日常營運上的,是那七大原則。它們現在是政府的責任,子法上路後就會變成你的義務。

七大原則逐項看,哪幾項跟你的企業關係最深

台灣 AI 基本法確立 AI 的研發與應用應遵循七大原則:永續發展與福祉、人類自主、隱私保護與資料治理、資安與安全、透明與可解釋、公平與不歧視、問責。其中與企業日常營運關係最深的,是隱私保護、公平不歧視與問責這三項。

這七項聽起來抽象,但拆開來看,每一項都對應一個你可能正在做、卻沒意識到有風險的動作。

原則白話意思對企業的實際影響關聯度
永續發展與福祉AI 應用要兼顧社會、經濟、環境主要牽動上市櫃與需做 ESG 報告的企業
人類自主AI 不能取代人類的最終決策權用 AI 做核貸、醫療、人事決定時,必須保留人工介入
隱私保護與資料治理AI 用到的資料要合法、可稽核幾乎所有用 AI 的企業都直接相關非常高
資安與安全AI 系統要有資安防護用任何第三方 AI 服務的企業都要確認供應商安全
透明與可解釋AI 的決策要能被理解和說明金融、醫療、人資領域的黑箱模型是難關
公平與不歧視AI 不得產生不當歧視用於徵才、信貸、保險的篩選工具風險最高非常高
問責AI 造成損害要有人負責所有用 AI 的企業都需要能追溯責任非常高

舉個最容易中槍的場景。假設你開一家人力仲介公司,用 AI 工具初篩履歷、決定哪些人進下一輪。這一個動作就同時踩到三項原則——它直接影響求職者的權益(公平與不歧視)、求職者可能根本不知道是 AI 在篩選(透明與可解釋)、而一旦篩錯了優秀人才,你也得說得清楚是誰、用了什麼標準做這個決定(問責)。同一家公司如果只是用 AI 做會議紀錄摘要,那風險就低得多。

差別就在「這個 AI 的輸出,有沒有實際左右到一個人的權益」。只要答案是有,這幾項原則對你就不是參考,而是未來的合規底線。

AI 風險分類框架怎麼分?對照歐盟 AI Act 一次看懂

台灣的風險治理採「分類」邏輯,預計參考國際慣例採用四個層級——不可接受、高風險、一般風險、低風險——但具體分級標準仍由數位發展部制定中,尚未正式公布。這一點和已經把細則寫死的歐盟 AI Act,是最大的不同。

要理解台灣未來會怎麼分,最好的參照就是歐盟。歐盟 AI Act 是全球第一部 AI 專法,把 AI 系統依風險分成四級,每一級都有明確且不同的合規要求。台灣刻意選了「分類」而不是歐盟式的「分級」,背後的考量是保留彈性,避免像歐盟那樣把某些創新應用一刀切進最高風險、反而卡住引進。

下面這張對照表,把兩邊的風險層級放在一起看,方便你先用歐盟的成熟框架替自己的 AI 應用做初步定位。

風險層級應用範例歐盟 AI Act 的要求台灣目前狀態
不可接受風險社會信用評分、操控性 AI、未經同意的生物辨識直接禁止框架待訂,精神對齊
高風險AI 信貸審核、醫療診斷輔助、求職篩選、自駕系統強制認證、風險評估、人工監督、稽核紀錄框架待訂,要求預期最嚴
一般/有限風險聊天機器人、AI 生成內容透明度義務,要告知使用者正在與 AI 互動框架待訂
低風險垃圾郵件過濾、遊戲 AI 角色自律管理即可框架待訂

兩邊在精神上其實高度一致,因為都參考了 OECD 的 AI 原則。真正的差異在執行邏輯。歐盟像一本厚厚的操作手冊,明白告訴你哪些禁止、哪些要第三方驗證、做錯罰多少;台灣目前只給你一張框架圖,紅線畫在哪裡還沒定案。

對你的意義很直接。如果你只服務台灣市場,現在能做的是先用上面這張表替自己的 AI 應用粗分一遍,把可能落在高風險的應用標記起來、建立基本的紀錄機制,等數位發展部的細則出來再對齊調整。如果你的產品或服務會進到歐盟市場,那就不能等了——歐盟 AI Act 的高風險系統完整規範預計在 2026 年 8 月生效,而且它有域外效力,只要你的 AI 輸出在歐盟境內被使用,即使公司在台灣也適用。

台灣 AI 基本法和歐盟 AI Act 差在哪?兩套不同的治理邏輯

台灣 AI 基本法與歐盟 AI Act 最根本的差別,是台灣採「原則引導」、歐盟採「嚴格規範」。台灣告訴你要做到什麼,歐盟連怎麼做、做不到罰多少都寫死了。一句話概括,歐盟是「做錯就罰」,台灣是「出事要能交代」。

這個差異會實際影響你準備合規的方式,值得把幾個關鍵面向攤開來比。

比較項目歐盟 AI Act台灣 AI 基本法
法律性質直接適用、含具體義務的法規綱領性基本法,需子法補充
監管風格嚴格規範,照表操課原則引導,出事要能交代
罰則最高 3,500 萬歐元或全球營收 7%本身無罰則,由各部會子法另訂
域外效力有,輸出進入歐盟市場即適用目前僅規範國內
風險分級四級已有具體指引四類框架,細則制定中
主管機關歐盟 AI 辦公室加各國機構國科會統籌,各部會分工

最該記住的一點是罰則的落差。歐盟對使用禁止類 AI 的最高罰鍰是 3,500 萬歐元或全球營收 7%,取兩者高者,對大公司來說可能是天文數字。台灣基本法本身沒有這種數字。

但「沒有罰則」絕不等於「沒有風險」。即使 AI 基本法不直接開罰,你的 AI 應用如果不當蒐集個資,現行《個人資料保護法》照樣可以裁罰;如果 AI 決策造成消費者損害,民事訴訟的大門也是開著的。法律責任從來不只藏在 AI 專法裡。

還有一個容易被忽略的差異。歐盟已經在跑,台灣還在建構。這代表台灣企業現在有一段別人沒有的緩衝期——問題是,這段緩衝該拿來提前準備,還是拿來繼續拖,決定了子法上路那天你是從容還是手忙腳亂。

企業現在就能開始做的事,把緩衝期變成領先

不必等子法公布才行動。AI 基本法雖然暫時沒有罰則,但有四件事你今天就能著手,而且每一件在未來法規上路後都會直接轉成合規資產。

第一、先盤點公司內所有的 AI 應用。 這是最基礎、也最多企業略過的一步。從 ChatGPT、自動化報表、AI 客服到推薦演算法,把目前用到的 AI 工具全部列出來。你得先知道自己到底在用什麼,後面的風險評估才有對象。

第二、對每個應用做風險自評。 拿前面那張風險分類對照表,把盤點出來的應用各自歸一歸——哪些可能是高風險、哪些是低風險。判斷時問自己三件事——這個 AI 的決定會不會直接影響到某個人的權益?萬一它出錯,後果能不能挽回?使用者知不知道自己正在跟 AI 互動?三個都是「會」或「不知道」,那這個應用很可能就是高風險。

第三、訂一份內部 AI 使用規範。 明確寫清楚哪些資料可以餵給 AI、哪些不行(特別是客戶個資),哪些決策一定要人工核准,出錯時怎麼通報。員工偷偷把客戶名單貼進 ChatGPT 這種事,往往就是因為公司從來沒說過不可以。

第四、建立基本的可追溯紀錄。 不管台灣還是歐盟,治理的核心都指向同一件事——可追溯、可問責。替每個重要的 AI 應用指定一位負責人,並記下關鍵的輸入、輸出、時間與決策者。等風險分級框架明確後,這份紀錄就是你應對稽核最現成的底氣。

如果你是中小企業,看到這裡先別慌。依經濟部《中小企業白皮書》,台灣中小企業超過 160 萬家、占全體企業 9 成以上,政府不可能設計一套只有大公司做得到的法規。AI 基本法本來就明定了對中小企業的支持,包括補貼、稅賦優惠與投資獎勵。你不需要一步到位,先把盤點和使用規範這兩件幾乎不花錢的事做掉,就已經贏過大半還在觀望的同業了。

AI 法規時代,準備好的人先拿到信任

台灣 AI 基本法的出現,把「用 AI」這件事從單純的技術選擇,變成了一個牽涉法律與責任的經營決策。法律已經上路,子法正在路上,紅線只會越來越清楚,不會越來越模糊。

真正的分水嶺,不在於誰的 AI 用得最炫,而在於誰能在被問起「你怎麼確保這個 AI 沒有亂來」時,拿得出一套說得清楚的答案。提前盤點、提前自評、提前留下紀錄的企業,到頭來換到的不只是少挨一張罰單,而是客戶與合作夥伴願意把更敏感的決策交到你手上的那份信任。

法規從來不是用來綁住誰的。它只是把「負責任地使用 AI」這件本來就該做的事,寫成了白紙黑字。早一步把它當回事的人,會發現自己領先的不只是合規進度,還有整個市場對你的信任。