準此，本報告將建立歐盟通用的 AI 對策

(1)

1

本年 2 月歐盟公布《AI 白皮書》文件之重點摘要

經濟部國際貿易局 109 年 5 月 18 日

AI 對改善人類生活、安全、效率等面向帶來新希望，但同時亦有新風險，包含做成決定的不透明性，基於性別或其他形式的歧視，侵犯私人生活或被用於犯罪目的。

為因應 AI 帶來之機會與挑戰， 2020 年 2 月 19 日歐盟公布《AI 白皮書》，以 2018 年 4 月「歐洲 AI 戰略」為藍圖，依據「歐洲價值觀」作為促進 AI 發展和部署之基礎，其目標為「在促進 AI 之起飛之際，處理新技術帶來之風險，以保障人民權利」。歐盟 AI 白皮書公布後將供產官學界及大眾進行評論，取得共識後方進入立法階段。

一、AI 對歐盟之機會

AI 為數據，演算法和計算能量的技術整合，而目前計算能量的躍進及數據可用性（dada accessibility）的提高，成為當前 AI 興起的關鍵驅動力，亦為歐盟可將其科技、工業優勢、高品質的數位基礎設施與基於歐盟價值的監管架構相結合，成為數據經濟及其應用的全球領先者之契機。AI 對歐盟之機會包含了改善公民生活品質、創造下世代商業機會以及降低公共服務及永續發展目標成本，以及降低執法成本。

然而另一方面，由於 AI 對社會產生重大影響並需要建立公民、

社會及產業之信任，因而歐盟 AI 政策必須以歐盟之價值觀和基本權利（例如人、性尊嚴和隱私保護）為基礎。此外，為避免各國自行制訂政策與法規之的分散化，導致信心的衝擊及產業發展動能受抑制。

準此，本報告將建立歐盟通用的 AI 對策。

二、本報告之基礎

1. 建立 AI「卓越生態圈」（ecosystem of excellence）：針對歐盟、

各成員國和區域性三個層面建立協調架構，同時藉由私公伙伴關係，

本架構沿著 AI 價值鏈上實現並製定適當的誘因機制以加速包括中小

(2)

2

企業（SME）在內，採用基於 AI 的解決方案之速度。

2. 建立 AI「信任生態圈」（ecosystem of trust）：此一架構目的，在於確保特別是高風險 AI 系統，能夠符合遵守歐盟現有規則，包括基本權利和消費者權利保護的規則。AI「信任生態圈」。歐盟執委會將落實其於 2019 年發佈之「透過「以人為本之 AI」建立信任」（Building Trust in Human-Centric AI, COM(2019) 168）所表達之立場，以及「AI 高層級專家小組」制定的《AI 道德規範》。

三、掌握工業和專業市場的實力

歐盟之研發、創新型新創企業，及製造及服務實力，並擁有大量的公共和工業數據，足以支持 AI 發展。然而目前潛力尚未完全獲得開發。未來歐盟將利用自身優勢，來擴大其在 AI 生態圈中及整個價值鏈中的地位。目前全球約有 1/4 之工業和專業服務機器為歐盟公司所生產，同時歐盟之軟體也廣泛用於電子化政府、智慧企業及其他領域。AI 生產亦具有領先地位；歐盟超過半數之主要製造業已導入某種程度之 AI 生產。

歐盟之成就來部分原因來自於對研發之支持。過去三年中，歐盟用於 AI 研究創新的資金已增加到 15 億歐元，比前期增加 70％。然而相較於其他地區投資仍顯不足。例如 2016 年歐盟公私合計的 AI 研發投資約為 32 億歐元，但同時期北美地區之投資約為 121 億歐元，

亞洲則為 65 億歐元。因而未來歐盟將致力於大幅增加對 AI 研發及創新的投資。

四、打造有助於 AI 發展之「卓越生態圈」（cosystem of Excellence）

為使歐盟經濟與公部門能夠充分支持 AI 發展，歐盟執委會規劃接下來在成員國協調、研究與創新部門、技能培訓、中小企業、基礎設施與國際合作等方面採取具體行動，以便將歐盟打造成一個有利於 AI 發展的「卓越生態圈」。

(3)

3

（一）與成員國加強合作

如何協調成員國通力合作一直是歐盟執委會的首要任務。在 2018 年歐盟首度公布 AI 政策白皮書之初，歐盟執委會便提出了成員國的

「AI 事務協調計畫(Coordinated Plan)」，該計畫勾勒出七十多項協調成員國與執委會有效合作的重要事務，廣泛涉及研究、投資、開拓市場、技能培育與人才、數據交換與國際合作等工作領域。以投資為例，

白皮書強調歐盟層級的投資應該著重在成員國無法獨力完成的項目，

例如平衡區域 AI 發展落差，或是運用 AI 解決社會環境問題。因此，

在投資領域之協調重點，歐盟執委會在處利相關議題的時候，都會與成員國共同尋求可行的 AI 解決方案，並促進公私部門吸引並挹注資金進入相關領域。

成員國協調計畫以十年為期執行至 2027 年，其間歐盟執委會持續監督協調計畫之執行成果並進行檢討。

行動一：歐盟執委會將彙整公眾諮詢之意見，針對「AI 事務協調計畫(Coordinated Plan)」進行檢討，並在 2020 年底之前提出修正版的協調計畫。

（二）聚焦研究與創新部門

在研發創新領域，歐盟執委會指出當前境內研究與創新部門的問題在於沒有整合而無法發揮綜效。歐盟需要建立一個能夠統籌研發創新量能的研究機構，以便使境內 AI 研究的網絡能夠發揮綜效、吸引頂尖研究人員以及發展尖端技術。此一領導性研究機構之建立，能夠協助歐盟將研究量能集中在有機會成為世界冠軍的潛力發展領域，如：

工業、健康、運輸、金融、農糧、能源環境、林業、地理觀測與太空等。同時，建置 AI 測試與實驗環境對於新興 AI 應用的發展也相當重要。

行動二：歐盟執委會將建立具有整合與測試場域功能的領導性研究機構。目前執委會已經提議在數位歐洲計劃 (Digital Europe Programme)下投資設立一個世界級的 AI 測試中心。

(4)

4

（三）技能培訓

歐盟執委會首先將在近期提出一份技能培訓計畫(Skills Agenda)，

闡釋歐盟如何確保境內每一個人都可以受惠於推動數位化、永續性的經濟轉型。同時，也包括讓個別產業的主管機關也都能夠具備 AI 技能。這個昇級版的數位教育行動計畫，將著重在強化人們充分運用數據、AI 技術的能力，以及透過教育使一般民眾具備 AI 意識，以便能夠充分了解 AI 技術應用對其生活產生的可能影響以及如何因應。

行動三：歐盟將透過數位歐洲計畫(Digital Europe Programme)來協助境內頂尖的大學與高等教育機構吸引優秀的教授與科學家，以及開設 AI 碩士學位課程。

（四）聚焦中小企業

為了加強中小企業運用 AI 的能力，歐盟將強化既有之「數位創新樞紐（Digital Innovation Hubs）¹」、「人工智慧隨選平台（AI-on- demand platform）²」等計畫之運用，特別著重在協助中小企業、新創企業運用相關 AI 平台之資源。白皮書指出：歐盟現階段的目標是在每一個成員國至少要有一個創新樞紐中心在單一產業領域達到高度專業之水準。同時，歐盟將擴大輔導中小企業在 AI 領域轉型之投資規模，使中小企業可以獲取充足的資金來源進行 AI、區塊鏈之轉型工作。

行動四：歐盟執委會將透過「數位歐洲計畫」協助成員國建立高度專業水準之創新樞紐中心。目前歐洲投資基金（European Investment Fund）已經成立 AI 創新發展基金來協助中小企業，2020 第一季的規模達 1 億歐元，而接下來歐盟將在 2021 年運用「投資歐洲計劃

（InvestEU）」做為資金來源，進一步擴大輔導中小企業轉型之資金規模。

1 歐盟「數位創新樞紐」的任務是協助中小企業以及公部門進行數位轉型，該計畫以大學或研究機構為核心，提供中小企業及新創公司進行技術輔導、財務規劃、市場行銷等一站式服務。

2 人工智慧隨選平台允許歐盟境內個別使用者可以單點存取最新、個人化的人工智慧資源。

(5)

5

（五）與私部門合作

歐盟白皮書指出：歐盟必須確保私部門充分參與前述 AI 研究創新相關計畫與投資項目，適當的方式是與私部門建立公私協力之合作關係，以及取得企業高階管理階層的具體承諾。

行動五：在推動「展望歐洲（Horizon Europe）」計畫的基礎上，執委會將提出新的公私協力關係來整合公私部門推動 AI、數據與機器人發展的努力。特別是整合民間資源協助公部門完成前述 AI 測試中心、創新樞紐中心之目標。

（六）推動公部門運用 AI 技術

行政部門、醫療機構、公用事業和運輸服務、金融監理機關以及其他具有公眾利益之相關領域必須迅速開始導入使用 AI 技術之產品和服務。而現階段的推動重點應優先聚焦在可以大規模部署且技術成熟之醫療保健和運輸領域。

行動六：歐盟執委會將發起開放和透明的部門對話倡議，優先諮詢醫療保健、農村行政管理和公用事業營運商等部門。執委會將依據相關部門之諮詢意見，提出一個運用 AI 技術改善政府採購系統的行動計畫-「採用 AI 計畫」。

（七）確保接取使用數據與計算基礎設施

由於數據之運用在乃是發展 AI 相當重要的環節，歐盟持續推動負責任的數據管理實踐、遵循「可搜尋、可取得、可交互運用、可重複使用」之 FAIR 原則³，確保數據之使用具備可信賴度、可再利用性。

歐盟執委會亦將擴大「數位歐洲計畫」對先進量子計算設施之投資。

（八）國際合作面向

白皮書首先指出歐盟在國際間積極倡議合乎倫理之使用 AI 技術，

包括：邀請非歐盟組織、其他國家政府機構參與歐盟倫理指南之制定

3 「可搜尋、可取得、可交互運用、可重複使用」 (Findable, Accessible, Interoperable, Reusable, FAIR)

(6)

6

過程、在經濟合作與發展組織（OECD）推動 AI 倫理指南之制定工作等。歐盟亦持續關注 AI 議題在聯合國教育科學與文化組織

（UNESCO）、OECD、世界貿易組織(WTO)和國際電信聯盟（ITU）

等場域之發展。

歐盟將與志同道合第三國進行合作，在 AI 議題方面推廣歐盟規則和價值觀的解決方案（例如：正向的監管調和工作、使用關鍵資源

（包括數據之使用）、創造公平的競爭環境等），繼續與志同道合的國家以及人工智能領域的全球參與者合作。執委會將密切關切部分國家政府針對數據流量所採取的限制性措施，並透過雙邊貿易談判或是 WTO 場域解決這些不合理的限制。

五、建立 AI「信任生態圈」（ecosystem of trust）: AI 的法規監管體系

AI 使用通常兼具機會與風險，民眾主要關切其權利受損和資訊不對稱所帶來的挑戰，企業則擔憂 AI 使用具有法律不確定性的風險，

包括諸多不可抗的負面影響或遭惡意使用的風險。歐盟認為，AI 技術的信任問題已是目前當前抑制 AI 發展的主要因素。基此，歐盟執委會已於 2018~2019 年間發布若干政策文件⁴，以求解決當前歐盟境內 AI 有關的社會經濟層面、研發與創新投資及 AI 能力等問題，執委會進一步於此等文件中確認所謂「值得信賴的 AI 」應符合的七項關鍵要素包含：(1)人力資源和監督；(2)技術穩健性和安全性；(3)隱私和數據管理；(4)技術透明性；(5)多樣性、非歧視性和公平；(6)環境和社會福祉；(7)問責制。

歐盟過去雖發布上述不具拘束力的指南文件，惟當前目標仍希望以建立「監管架構」的方式，在使用 AI 技術的消費者和企業間建立信任感，同時加速 AI 發展。預期目標上，希望此項監管架構除符合

4 主要包含 2018 年 4 月發布之「人工智慧與機器人政策文件」、2019 年 4 月發布之「值得信賴的 AI 之倫理指南文件」和第 168 號通知（ COM (2019) 168），以及由執委會與各會員國達成的「協調計畫」調和會員國的 AI 策略等。此外，執委會將於今年 6 月發布修訂版「值得信賴的 AI 之倫理指南文件」。

(7)

7

其他提升歐洲創新能力和競爭力的相關行動之外，還應確保社會、環境和經濟的最大效益，且須遵循歐盟既有法規、原則和價值。

儘管 AI 的開發和部署皆已遵循歐盟有關基本權（如數據保護、

隱私、不歧視）、消費者保護、產品安全及責任等有關規定，惟 AI 仍有部分的技術特徵（如不透明性、複雜性和不可預測性）可能難於達到合規要求，或外部難以查核其對法規的遵循。因此，當前首需檢視現行法律是否能夠解決 AI 產生的風險，及是否需增訂或修改法律解決相關風險。有鑒於 AI 技術發展超前預期，對 AI 的監管架構也應考量到未來技術的發展空間。

目前歐盟欠缺統一的監管架構，在各國的監管經驗中，德國數據倫理委員會主張採納以風險為基礎的五階層監管架構，監管層次從對於最無害的 AI 系統採取完全不管的方式，到對於最危險的 AI 採取完全禁止模式。丹麥提倡「數據倫理資料夾」（Data Ethics Seal）的模式。至於馬爾他則主張以自願性認證方式進行 AI 監管。倘若歐盟未來遲未能提出普遍適用於全歐盟的監管模式，則歐盟內部市場恐將對 AI 監管方式產生分歧意見，從而減損 AI 技術的信任感、法律確定性和市場地位。

（一）問題界定

儘管 AI 使用可提升產品和製程的安全性，但 AI 也因具有若干實體（如人身安全、健康及財產損失）及非實體面（如隱私外洩、言論自由之限制、人性尊嚴、就業歧視）的危害而牽涉多項風險。根據歐盟目前的風險界定，以基本權保障、安全和責任相關議題為最主要的涉及層面。對基本權的影響上，AI 可能侵犯言論自由、集會自由、人性尊嚴，及對性別、種族、宗教、年齡和性傾向的不歧視，亦可能影響司法救濟和公平審判、消費者保護等權利。AI 之所以會產生此等風險的原因有二：其一，整體系統的設計上發生瑕疵；其二，則係在使用數據上未能修正可能發生的偏見。

AI 因已可取代多數過去僅能由人類從事的活動，故民眾和企業

(8)

8

將逐漸受到 AI 系統決策的影響，惟該等決策有時令人費解。此外，

AI 也因強化了對人類日常習慣的追蹤和分析，而可能違反歐盟的數據保護規定。再者，文獻指出，有部分 AI 在用於預測刑事累犯上可能產生性別和種族上的偏見，並對男性和女性、本國人與外國人之間提出不同的累犯預測或然率。偏見和歧視固然為任何社會或經濟活動中的既存風險，而人類行為決策也不免於經常出現此種錯誤，然而因為大數據的蒐集結果，使 AI 產生的偏見和歧視影響層面更廣，而這樣的錯誤卻無法透過社會控制機制加以糾正。

當 AI 應用於產品或服務時，可能會為使用者帶來新的安全風險。

對風險缺乏明確的安全性條款，將會對在歐盟市場進行 AI 相關產品及服務的企業增添法律上的不確定性，而相關市場監督以及法規執行機關亦無法認定該項領域是否為其權力範圍；法規的不確定性，則將減少安全性以及削弱歐洲企業的競爭力。此外，對 AI 科技缺乏明確要求及定義，將可能對產生相關問題之決議難以進行溯源；對於權益受損之人，將可能無法提出有效證據證明其所遭受之損害，致使難以在歐盟及國家責任系統下獲得補償。舉例而言，在《產品責任指令》

中，生產者應對有缺陷的產品負責；然而，在 AI 系統中難以證明產品的缺陷以及《產品責任指令》的適用範圍等，例如產品在面對網路安全時的弱點。因此，對於 AI 系統問題難以溯源的情形以及基本權利的適用存在安全性及責任問題，且隨著 AI 應用的廣泛，相關風險亦會逐漸增加。

（二）對歐盟現行與 AI 相關之法規架構可能進行的調整

歐盟目前現有保護基本權利與消費者權利的相關法規有：《平等法》⁵、《工作與待遇平等指令》⁶、與就業以及貨品及服務取得相關之性別平等待遇指令⁷、若干消費者保護規章⁸、GDPR 及《資料保護法

5 Race Equality Directive, Directive 2000/43/EC.

6 Directive on equal treatment in employment and occupation , Directive 2000/78/EC.

7 Directives on equal treatment between men and women in relation to employment and access to goods and services, Directive 2004/113/EC; Directive 2006/54/EC.

8 如 Unfair Commercial Practices Directive (Directive 2005/29/EC) 及 the Consumer

(9)

9

執行指令》⁹等，且歐盟預計於 2025 年執行之《歐盟可得性法案》

（Europeam Accessibility Act)¹⁰中將包含對貨品及服務的可得性要求。

雖然上述歐盟法規與 AI 並無直接關係，但仍可評估現行法規是否可以適當處理 AI 系統帶來的風險，或法規內容是否需要進行調整。此外，在執行歐盟其他相關法規時，包含金融服務業、移民，或線上中介責任等領域，亦應考量基本權利。

執委會認為可以藉由改善法規架構以解決下列可能的風險及狀況：

 現存歐盟及國內法規的有效運用與執行：AI 的特性對目前歐盟及各國國內法規的執行帶來挑戰，其缺乏透明性對判定可能違法行為增添難度。因此，為了確保法規的有效執行，對部分現行法規進行調整或使規範內容清晰化有其必要性。

 現存歐盟法規的範圍限制：目前通用之歐盟安全法規僅適用於產品而非服務，因此原則上與 AI 相關的服務業（如健康服務、金融服務、運輸服務等）並不受到法規規範。

 改變 AI 系統的功能性：由於軟體可以在產品的生命週期中更改其系統及功能，使產品在上市後才會產生新風險；然而目前法規僅針對新上市產品進性檢驗，並未包含後續更動所造成之可能風險。

 供應鏈中不同營運者責任分配的不確定性：歐盟法規要求生產者應對上市產品擔負責任，但若由非生產者之人將 AI 附加於該項產品之上，則將導致責任歸屬難以界定。此外，歐盟產品責任法規僅規定生產者權責，供應鏈中其他角色則交由各國政府管理。

 關於安全概念的轉變：與 AI 相關的產品及服務可能會產生目前尚未被歐盟所規範之風險，故歐盟應強化 AI 潛在風險之證據。

Rights Directive (Directive 2011/83/EC).

9 Data Protection Law Enforcement Directive, Directive (EU) 2016/680.

10 European Accessibility Act, Directive (EU) 2019/882.

(10)

10

若干會員已開始著手調查國內法規如何因應 AI 帶來的挑戰，惟各國法規不同將可能造成單一市場的破碎化，使從事 AI 相關業者遇到阻礙，故訂立歐盟層級的法規將可確保單一市場進入及支持業者在國際市場的競爭力。

根據歐盟出版《有關 AI、網路與機器人之安全性與權責報告》

（Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and Robotics），分析相關法律架構，判別使用 AI 系統與其他數位科技所帶來的特定風險，指出現行產品安全法規雖已包含所有使用產品面臨的風險；然而，若法條可明確包含新興數位科技所可能帶來的新風險，可以增加法律的確定性。該份報告提及下列重點：

（1）特定 AI 系統的自主性行為將可能造成重要產品對於安全性的影響，故需要人類監督產品設計以及 AI 產品的生命週期做為防衛；

（2）在適當的範圍下，考慮生產者對於使用者的心理安全性風險的明確義務；

（3）歐盟產品安全法規可以對資料安全性提供特定規範以及機制，

確保資料在 AI 產品與系統的維護；

（4）對於演算系統的不透明性可以透過透明化條款解決；

（5）當獨立於市場或是下載於上市產品的軟體出現與安全性議題時，

可以適用現行法規；以及

（6）新興科技出現使供應鏈複雜化，條文若明確要求供應鏈中的經濟營運者以及使用者間的合作，則可提供法律的確定性。

承續該份報告，其中亦提及 AI、網路與機器人等新興科技的特性可能對責任架構產生挑戰，難以追蹤損害源頭，增加受害者的成本以及舉證責任的難度，故在制定相關法規時亦需注意以下兩點：（1）使用含有 AI 系統科技導致權益受損之人，應享有與受損於其他科技者

(11)

11

相同的保護，同時也應允許科技創新持續進行；以及（2）所有確保該項目標達成的選項皆應被小心評估，包含對《產品責任指令》的修訂以及未來對國內責任法規的調和。

鑒於本段之討論，歐盟認為除了對現行的法規進行調整外，應制定對 AI 的特定法令來規範目前及未來預期的科技及商業發展。

（三）歐盟未來監管架構之範圍

監管架構應涵蓋 AI 產品與服務之應用範圍，因此需給予 AI 明確的定義。歐盟執委會指派的 AI 高層級專家小組（AI HLEG）已對 AI 作進一步定義。¹¹ 而 AI 之定義需符合適應技術進步之靈活性以及提供必要法律明確性之精準度。

在提倡政策前需先釐清 AI 的主要構成要件：「數據」與「演算法」。 AI 可合成於硬體中。對於構成 AI 子集的機器學習技術，演算法可根據一組數據，經由訓練推斷某種模式，以確定達成指定目標需採取之行動（例如自駕車）。而演算法會透過使用不斷學習。儘管如此，AI 採取之行動大多取決於開發人員的定義與限制。人類決定與制訂目標，

AI 系統將其優化。

歐盟針對消費者保護、不公平商業行為以及個資與隱私權保護有嚴格的法規架構。此外對於特定行業有特別規定，如：醫療及運輸。

歐盟的現行法規將繼續應用於 AI，但會進行更新以反映數位化轉型與 AI 之應用。執委會認為 AI 的監管法規應採取基於風險（risk-based）

的作法，以免造成企業太大的負擔。而基於風險的作法，需有明確的標準來區分不同的 AI 應用，特別是該 AI 是否屬於「高風險」。即使 AI 之應用不具高風險，仍須受到歐盟現行法規之約束。針對高風險，

執委會特別以保護安全、消費者權利與基本權利的角度，考量該產業與預期用途是否涉及重大風險。具體而言，皆符合下列兩種情況者，

11 AI 系統是由人類設計的軟體（可能還有硬體）系統，經由人類給定一項複雜的目標，

AI 會透過其獲得之數據感知環境，進而從物理或數位層面行動，解釋收集的結構化或非結構化數據、對知識進行推理或處理訊息，最終決定實現目標應採取的最佳措施。 AI 系統可使用符號規則也可以學習數值模型，亦可以透過分析以前的行為對環境的影響來適應自己的行為。

(12)

12

屬於高風險：

（1）將 AI 應用於可預期發生重大風險的產業中，如：醫療、運輸、

能源以及公部門等。產業清單應明確列示於監管架構中，並定期審查與修訂。

（2）將 AI 應用於產業中，但不一定會發生重大風險，如：醫院的預約系統故障並非重大風險。此時風險評估應基於對他人之影響，

如：使用 AI 將危害個人或公司之權利；造成傷亡或重大財物損失；造成之影響是人類或法人無法合理規避。

原則上，強制性要求於新的 AI 監管架構中僅適用符合上述高風險之應用，以確保監管範圍具法律明確性。但無論在何產業，某些特定用途仍被視為高風險：（1）在招聘過程中以及會影響工人與消費者權利之情況下使用 AI；（2）遠端生物識別技術（remote biometric identification）與其他侵入式監控技術（intrusive surveillance）之目的使用 AI。

（四）強制性規範要件之類型

為設計 AI 未來監管架構，歐盟主張應先決定強制性規範之要件類型。按歐盟高層級專家小組（HLEG）所作指引及前述考量，對於高風險之 AI 應用，歐盟認為其規範要件應具備下列重要特色（監管面向）：

1.監管訓練用數據（trainging data）

鑑於 AI 系統之功能及其可能採取的行動與決策，多以該系統受訓時所用數據為依據，故歐盟認為應確保訓練 AI 系統時所用的數據係符合歐盟價值與規範。基此，對於訓練 AI 系統所使用的數據可設有下列規範要件：

 保證後續使用之 AI 產品或服務須符合歐盟安全規範標準；

 確保後續使用的 AI 系統不會產出具有禁止性歧視之結果；

(13)

13

 確定使用 AI 產品與服務時，隱私及個人數據受到充分保護。

2.監管保存紀錄與數據（keeping of record and data）

為追溯及查核 AI 系統的潛在性問題行動或決策，歐盟認為監管架構可明定保存下列紀錄與數據：

 訓練與測試 AI 系統之數據集的精確紀錄，包含對數據集主要特徵的描寫與選定方式；

 在具備正當理由的特定情形時，保存數據集；

 有關程式設計與訓練方法之文件，以及用以設立、測試與驗證 AI 系統之過程與技術，包含與安全及避免偏見相關的資料。

前述紀錄、文件或數據集必須在一有限且合理的期間內予以保存，

且應採取措施以確保他方經申請後可取得該等資料。另外，必要時亦應作出相應安排以保護機密資訊。

3.監管資訊提供（information provision）

歐盟認為主動提供使用高風險 AI 系統的適當資訊至關重要，故監管架構可考慮包涵下列要件：

 提供有關 AI 系統的能力與限制之清楚資訊，特別是系統預計達成的目標、運作條件及達成特定目標的準確度等。

 應清楚知會人民係與 AI 系統而非人類互動，並以客觀、簡潔且易於理解之方式提供資訊。

4.監管穩健性與準確性（robustness and accuracy）

AI 系統及特定高風險的 AI 應用須具備穩健性及準確性，故在發展 AI 系統時應事先考量可能產生的風險並盡可能減少危害。基此，

歐盟認為對 AI 的監管架構可設有下列規範要件：

 確保 AI 系統在其生命週期內具備穩健性與準確性，或至少可正確

(14)

14

反應其系統準確性；

 保證 AI 系統之結果係可重現的（reproducible）；

 確定 AI 系統在生命週期內可適當地處理錯誤或不一致性之情形；

 確保 AI 系統可抵禦攻擊或是對其數據或演算法之操縱行為，且對前述情形，AI 系統應可採取減緩措施（mitigating measures）。

5.確保人類監控機制（Human oversight）

透過人類監控，可保障 AI 系統不會減損人類自主權或是造成其他負面影響。然而，人類監控的類型或程度因 AI 系統的設計用途及其可能造成的效果而有所不同。舉例而言，人類監控包含但不限於下列方式：

 AI 系統產出的結果如未經人類事先審核及確認，不具任何效力；

 AI 系統產出的結果立即生效，但人類可在事後予以干涉；

 監督 AI 系統之運作，且人類具有實時干涉與中止效力之能力；

 在設計階段對 AI 系統施加操作限制。

6.遠端生物辨識（remote biometric identification）之特殊要件由於歐盟認為收集與使用生物數據以供遠端辨識，將為人民基本權利帶來特殊風險，故依據歐盟現行數據保護法規及《歐盟基本權利憲章》（Charter of Fundamental Rights of the European Union）之規定，

除非符合特定條件，歐盟原則上禁止基於辨識自然人之目的，對生物數據進行處理。因此，僅有在具備正當理由、符合比例原則，以及提供適當的防衛措施之前提下，方可在歐洲境內使用遠端生物辨識之 AI 系統。然而，為解決歐盟人民對於在公共場合使用此等 AI 系統的關切，執委會承諾將召開辯論，以進一步探討有無及何種情形為具備正當理由，以及歐盟的共同防衛措施。

(15)

15

7.責任主體

本白皮書指出，在高風險 AI 的法律框架中，規範何人應負責主要有二議題，其一，參與 AI 生態圈的角色多元，如何分配各人的責任（如開發者、經銷商、進口商、服務提供者、產品使用者或服務使用者）至關重要，白皮書認為，在 AI 生態圈所涉及的各層面均應有相應之責任主體，但同時不影響根據其他相關法律究責的問題，比如歐盟產品責任法。其次，白皮書認為本法適用範圍應擴及在歐盟領域內提供之 AI 產品或服務，無論企業經營者之國籍，均應受本法規範。

8.法遵與及執法

（1）法遵

鑒於部分 AI 的應用對公民社會具有高度風險，故白皮書認為有必要建立客觀的事前評估機制(prior comformity assessment )，以確保這些 AI 應用達到前述強制規範所列的要求。本機制應包含在歐盟內部市場針對各產品之既有評估機制中，若無既有機制，則應根據最佳實踐、潛在利害關係人及歐盟標準組織建立相類機制，並應使用合乎國際規範之透明、客觀標準，且合乎比例原則及不歧視原則。再者，

本機制屬於強制性要求，包含測試、檢測或驗證程序，可將開發階段使用之演算法和數據含括在內。

本機制之設計有四項重點：

 須注意並非所有要件均適用事前評估，如一般資訊公開之要求，

便無法透過此機制評估；

 應考慮部分 AI 的學習能力並進行反覆測試；

 驗證訓練 AI 之數據、訓練方法及構建 AI 系統流程和技術之必要性；

 若評估結果不符合上述要求，需修正其中之缺失，如重新訓練系統以確保符合本規範。

(16)

16

（2）監督執行

主管機關應針對所有 AI 應用作事後監督，尤應關注高風險 AI 領域。事後監督機制應允許第三方（如主管機關）檢測相關 AI 產品或服務，但根據不同情況，可能產生對基本權的侵害。此監督機制應屬於持續性市場監測計畫的一部分。政府監控部分將於第 H 節進一步討論。此外，無論高風險 AI 或非高風險 AI，均應確保受 AI 系統影響的當事人有救濟補償辦法。有關責任之議題在本白皮書之附隨文件

《有關 AI、網際網路之安全與責任報告》（Report on the safety and liability framework）中詳述。

9.非高風險 AI 自願性標章

在前節中不被認定為高風險 AI 者，不適用所述強制規範之 AI 應用，除了適用的法律外，得考慮設立自願性標章計畫。在此計畫下，

不受強制規定規範之企業經營者得自願遵守強制性規範，或遵守與強制性規範相類之自願性規範，其 AI 產品或服務即可獲得自願性標章，

如此將可彰顯其產品或服務為歐盟認可之可信賴 AI。換言之，企業經營者得自由選擇是否遵守自願性規範，一旦選擇遵守即受這些規範之約束。

10.治理框架

在歐盟 AI 治理框架中，國家主管機關間的合作至關重要，可避免機關間各司其職導致職責分散，同時增加各會員國的權能，確保各國逐步具備檢測和驗證 AI 產品和服務所需的能力，若此辦法可行，

得將檢測和驗證委託給會員國指定的機構進行 AI 產品和服務之驗證，

由此類指定機構獨立進行評估將能提高可信性並確保客觀性。非歐盟之企業經營者如欲進入歐盟市場，則需透過歐盟指定機構驗證 AI，

或與歐盟簽署相互承認協議（Mutual Recognition Agreement, MRA），由歐盟指定之第三國驗證機構驗證。

此治理框架應確保涵蓋所有利害關係人之參與，但不與現有政府

(17)

17

權能重疊，且不影響主管機關在歐盟現行法律下的權責，而是與其他會員國間之主管機關、部門密切聯繫，發揮相輔相成之作用。

六、結論

如果 AI 發展能符合以人為中心、符合道德性及永續性及尊重基本權利及價值，其將會是能兼顧效率及生產力，並且強化歐洲企業的競爭力及改善公民福祉的戰略性科技，同時，AI 也對當前所面臨最具迫切的社會挑戰，例如因應氣候變遷、環境變化、永續性及人口變遷、保護民主甚至是對抗犯罪，協助找出解決之道。

對歐盟而言，要充分掌握 AI 提供的機會，必須加強發展產業及科技能量，而由於 AI 往往伴隨發展數據資料策略，因此歐盟也需要採行相關措施能讓其發展成全球數據中心

歐盟發展AI 所採行方法是以提升歐洲在 AI 領域的創新能量為目標，同時對發展及採用具道德性及可信任性 AI 提供支持，歐盟認為 AI 應為人工作並且可為社會提供助力

有關本白皮書及附隨有關安全性及責任架構報告，執委會將與會員國公民、產業以及學界進行廣泛諮商，內容包括提升研發投資、加強技能發展、支援中小企業採用 AI 的政策以及未來法規架構所應具備基本要件的提案。

資料來源：摘錄自本局委託中經院研究報告