歐盟人工智慧法案 EU AI Act 解析：企業必須知道的核心重點

人工智慧實踐—監管為何至關重要

人工智慧已在許多行業中廣泛應用，並常對流程和工作流程產生重大影響。如今，人工智慧工具每天都在支援翻譯、資訊結構化和內容創作等通用任務。在行銷領域，人工智慧能夠實現個人化和數據分析。在物流領域，它有助於優化供應鏈。人工智慧在醫療保健領域的應用更為具體，也更為關鍵，因為人工智慧越來越多地用於病患管理和診斷。在網路安全領域，擴展偵測與回應 (XDR) 系統高度依賴機器學習。

隨著人工智慧應用日益普及，企業必須儘早制定應對監管的策略方針。這有助於最大限度地降低責任風險，並確保競爭優勢。同時，企業必須提高對潛在風險的認識，包括資料保護問題、資料操縱和虛假資訊。倫理考量——例如防止歧視和限制侵入式使用者畫像——也至關重要。

歐盟人工智慧法案：初步法律框架

（歐盟）2024/1689 號條例2024年6月13日歐洲議會和理事會決議案－簡稱歐盟人工智慧法案——是全球首個全面的人工智慧法律架構。其目標是確保人工智慧系統的安全可靠使用。該法規由歐盟委員會於2021年4月提出。其大部分條款將適用於歐盟成員國。 2026年8月2日在德國，國家監管機構的指定尚未最終確定。

值得注意的是，歐盟人工智慧法案確實不會取代現有的資料保護法規。例如《一般資料保護規範》（GDPR）。這些條例繼續並行適用。該條例根據人工智慧應用的風險潛力對其進行分類：

• 風險極低人工智慧支援的垃圾郵件過濾器或推薦系統等應用程式不受特定監管要求的約束。
• 有限風險此類應用包括聊天機器人等，這些應用程式須遵守透明度義務（例如告知用戶他們正在與人工智慧系統互動）。

然而，影響應對措施的不僅是風險，還有貴公司與人工智慧互動的方式。 《人工智慧法》的適用範圍涵蓋以下主體：

• 高風險用於關鍵基礎設施、人事決策或信用評估等領域的AI系統，必須滿足透明度、安全性和風險管理的嚴格要求。高風險分類標準在歐盟《人工智慧法》附件三中有所規定。
• 不可接受的人工智慧某些人工智慧應用，例如操縱技術或社交評分系統，是被禁止的。

功能特別強大的AI系統也可能構成威脅系統性風險這就需要額外的保障措施。人工智慧法案的實施需要付出特別的努力，尤其是在使用高風險系統的情況下。在這種情況下，公司必須證明其係統安全、透明且不具歧視性。

然而，影響應對措施的不僅是風險，還有貴公司處理人工智慧的方式。 《人工智慧法》的適用範圍涵蓋以下參與者：

• 你被認為是供應商如果您開發人工智慧或以您的名義將其投放市場。位於歐盟的供應商的代表被視為授權代表。
• 一個操作員他出於專業目的，在自身責任範圍內使用人工智慧。
• 您是歐盟境內由第三國供應商生產的人工智慧產品的經銷商嗎？如果是，那麼您就被視為…進口商。

或者，您是否在歐盟供應鏈中提供人工智慧？如果是，您將被視為…經銷商。

部署者的義務（摘抄）

您的營運中是否使用人工智慧？如果是，您需要採取多項措施。這些措施包括維護組織內部使用的人工智慧應用清單、進行風險分類、培訓員工以及履行透明度義務。嚴格來說，歐盟人工智慧法案並未明確要求維護此類清單。然而，在實踐中，如果沒有此類清單，您將難以證明您已履行風險評估和其他義務。

您還應該建立引入新人工智慧系統的結構化流程，並制定明確的使用準則。

高風險系統提供者的義務（摘抄）

您是否開發高風險人工智慧系統，或以自有名義將其推向市場？如果是，您必須遵守有關文件、註冊和標籤的諸多要求。此外，您還需負責確保您的人工智慧系統擁有健全的風險管理和資訊安全保障。有關提供者義務的完整概述，請參閱[此處]。第三章第三節，自歐盟人工智慧法案第16條起。

筆記：第一章和第二章也規定了提供者和部署方的義務。尤其重要的是：第一章第四條這表明，需要對員工進行人工智慧素養的培訓。這意味著任何使用人工智慧的組織都應該採取適當措施來培養內部能力。

透過ISO標準實施歐盟人工智慧法案

一個管理系統從這個角度來看，有兩個國際標準特別適合支援人工智慧合規性，包括符合歐盟人工智慧法案： ISO/IEC 42001和ISO/IEC 27001這兩個標準都遵循…協調結構（HS）適用於 ISO 管理系統標準，因此可以無縫整合到現有管理系統中。

ISO/IEC 42001:2023－人工智慧管理體系

ISO/IEC 42001:2023是第一個國際標準人工智慧管理系統（AIMS）該標準旨在為組織機構提供一個結構化的框架，用於實施、監控和持續改進人工智慧系統。該標準涵蓋的領域包括：

• 人工智慧治理結構：明確人工智慧計畫的責任與問責機制
• 風險管理：識別、評估和緩解人工智慧相關風險
• 透明度和可追溯性：確保人工智慧模型的文檔完整性和可解釋性
• 道德與合規：促進公平，保護人權和基本權利，防止歧視

ISO/IEC 42001 是一項可認證的標準，因此可以作為證明合規性的寶貴工具。 DQS現在提供 ISO/IEC 42001認證在全球範圍內，ISO/IEC 42001 已成為首批將此標準納入其認證系統的認證機構之一。更廣泛地說，ISO/IEC 42001 為組織提供了一個結構化的框架，使其人工智慧流程能夠適應未來發展。

透過 ISO/IEC 27001 實現人工智慧合規性

另外根據 ISO/IEC 42001 標準進行認證一種基於以下方法ISO/IEC 27001 —國際標準資訊安全管理系統—也可能是有益的。作為一項既定的、可認證的標準， ISO/IEC 27001這有助於企業為安全處理人工智慧相關數據和系統奠定堅實的基礎。以下措施可以支持此方法：

1. 擴大風險管理範圍： ISO/IEC 27001 要求對 IT 系統進行風險評估。這些評估方法可以擴展到人工智慧模型，以便在早期階段識別和應對風險。
2. 實施資料和模型保護： ISO/IEC 27001 的資訊安全控制措施可用於保護人工智慧訓練資料、演算法和模型免於竄改。與任何軟體系統一樣，人工智慧系統也可以透過這些控制措施來保護自身安全。附件A與安全軟體開發相關的措施（如架構、生命週期管理和測試）在很大程度上可以適用於人工智慧系統，即使開發方法可能有所不同。
3. 建立治理機制：明確人工智慧支援流程的責任和合規要求，類似於資訊安全管理系統中的責任和合規要求。
4. 持續監測： ISO/IEC 27001 的安全性和透明度機制可應用於人工智慧模型，以持續評估其效能和相關風險。

結論：將歐盟人工智慧法案視為機會

人工智慧的監管要求將持續發展並日趨嚴格。那些及早參與其中的公司將更有優勢。歐盟人工智慧法案以及以下標準： ISO/IEC 42001和ISO/IEC 27001企業有機會根據具體應用場景，以安全合規的方式使用人工智慧系統。透過與歐洲法規進行策略性對接——特別是透過採納公認的國際標準——企業不僅可以降低監管風險、滿足監管要求，還能增強客戶和業務夥伴對其人工智慧技術的信任。反過來，這可以創造可持續的競爭優勢。

筆記：本文作者並非律師。本文不構成法律建議，且不保證內容的完整性。

DQS － Leveragin Quality, Driving Success.

正如每家公司和組織使用 AI 的方式各不相同一樣，它們追求的目標也同樣多種多樣。為了確保 AI 系統的安全有效使用，一項專門針對 AI 的全新國際管理系統標準已於 2023 年底推出：ISO/IEC 42001 DQS 是全球首批提供符合 ISO/IEC 42001 標準的驗證機構之一。

充分利用我們專家的專業知識。了解該標準的關鍵要求及其對貴組織的意義。 40 多年來，我們始終堅持公正無私的原則。稽核以及相關驗證。我們的方法超越了標準的稽核檢核清單。歡迎所有客戶夥伴檢視 DQS 。

信任和專業知識

我們的知識文本和內容均由我們的標準專家或資深稽核員撰寫。如果您對內容或我們的服務有任何疑問，請隨時透過電子郵件聯絡作者：[email protected]

註：為便於閱讀，本文採男性通用形式。但所有性別認同均會在適用情況下涵蓋。