台灣《人工智慧基本法》在 2026 年 1 月 14 日正式施行(2025-12-23 三讀),全文 20 條。新聞熱度過去後,企業界流傳一種放鬆的解讀:「法過了,可是沒罰則,所以先不用管。」
這是我想在這篇文章裡打破的最大誤解。「三讀通過」不是終點線,是發令槍。 這部法給你的是紅線的輪廓,不是紅線本身——真正會管到你的規範,是施行後「二年內」才要生出來的子法。而「沒有罰則」也絕不等於「沒有責任」。所以正確的姿態不是放鬆,是現在就開始自我盤點。
先更正一個大家都寫錯的點:主管機關是國科會
很多報導因為數位發展部發了新聞稿,就把數發部當成這部法的主管機關——這是錯的。正確的分工是一個「金三角」:
- 國科會是中央主管機關(第 2 條),負責統籌與法規調適;
- 數位發展部只負責建立「與國際介接的風險分類框架」與資料治理(第 16 條),是制定「跨部會共同語言」的角色,不是主管機關;
- 真正認定「你這個應用算不算高風險」的,是各中央目的事業主管機關——會商數發部後認定(第 5 條)。
這帶出台灣路線最關鍵的特徵:分散式監理。 金管會管金融 AI、勞動部管職場 AI、衛福部管醫療 AI、教育部管教育 AI。這跟歐盟用一部 AI Act 統一分級、集中監理的做法很不一樣。目前四個優先部會(勞動部、金管會、衛福部、教育部)已在研擬各自的配套。
它留下的問題也很真實:當一個 AI 應用橫跨多個部會時,誰說了算?基本法沒有回答——這正是台灣治理拼圖還沒拼完的地方。
沒罰則,不代表沒責任
這是全篇最該記住的一句。《人工智慧基本法》確實沒有罰則條款,但這不是豁免,而是把責任交還給既有的法律體系:AI 造成損害,民法侵權、刑法、個資法照樣找上你。基本法的「沉默」只是它作為原則法的性質,不是給企業一張免責金牌。
真正有牙齒的規範,反而在別的地方——例如涉及深偽真人的傷害,選罷法與刑法都有明確刑責(這條界線見 台灣 AI 內容揭露與深偽法律);金融業的 AI 使用,金管會的指引也已在收緊(見 台灣企業的 AI 資安信任邊界)。基本法只是把這些原則往上收攏成一個框架,細節仍在各部會手上。
風險分類框架:政府沒發你標籤,是要你自己盤
很多人以為「風險分類」會像歐盟那樣,政府給每個 AI 應用貼一個「高/中/低」的官方標籤。台灣不是這樣。數發部的框架其實是一套方法論加檢核表,核心是四步驟:盤點應用情境 → 識別風險 → 評估風險 → 應對風險。換句話說,它是企業自我盤點的工具,不是政府發下來的標籤。
可以參考的高低風險實例(來自官方框架與律師、產業界解讀):
- 低風險:客服聊天機器人、行銷文案生成、內部流程優化——可快速部署、以自律為主。但要注意,AI 客服可能被要求揭露「我是 AI」(產出標示義務)。
- 高風險:銀行信用評分、AI 招募與入職篩選、自駕車、醫療機器人——需要完整驗證、警語標示、並釐清責任歸屬(第 17 條要求對高風險應用明確責任歸屬與歸責條件,並建立救濟、補償或保險機制)。
分界的直覺很簡單:這個 AI 有沒有替人做一個會實質影響他權益的決定? 准不准貸、錄不錄取、怎麼診斷——愈靠近這種決定,愈往高風險靠。
台灣 vs 歐盟:一句話的差別
| 面向 | 歐盟 AI Act | 台灣 AI 基本法 |
|---|---|---|
| 立法型態 | 統一專法、細則明確 | 原則法,細節留子法 |
| 風險分級 | 明確四級、綁強制義務 | 風險分類方法論,各部會自訂 |
| 監理架構 | 相對集中 | 分散式、各目的事業主管機關 |
| 罰則 | 有,且重 | 無 |
| 一句話 | 「做錯就罰」 | 「出事再說」 |
兩者的原則其實同源(都對齊 OECD AI 原則),差別在執行的剛性。台灣的彈性路線有它的好處——不會一上來就用重罰綁死創新;但缺點也很實在:子法沒生出來,框架就還只是輪廓。 這跟各國業者集體弱化安全承諾的國際背景放在一起看更清楚(見 FLI AI 安全指數:沒人及格),也和中國那種「事前紅線+下架執法」的強硬路線形成對比(見 中國關掉 AI 情感陪伴)。
企業現在就能做:先自問這五題
與其等主管機關上門,不如現在就用這五題自我盤點,判斷你的 AI 應用落在哪一級、該盯哪個部會:
- 我的 AI 有沒有替人做「會影響他權益」的決定?(准貸、錄取、診斷 → 往高風險靠)
- 出錯會不會傷到人身安全或基本權利?(會 → 高風險)
- 使用者知不知道自己在跟 AI 互動?(不知道 → 至少有揭露/標示義務)
- 它歸哪個部會管?(金融→金管會、職場→勞動部、醫療→衛福部、教育→教育部)→ 去盯那個部會的子法時程。
- 若前三題有兩題以上偏「高」:現在就該訂 AI 使用政策、堅持「人在迴圈」、並對外購的 AI 供應商做盡職調查。
一句話總結我的判斷:你在看的是一部還沒寫完的法。 聰明的企業不會等它寫完才動,而是趁子法還在草擬時,先把自己的風險盤點與治理做起來——這既是合規的提前部署,也是把 AI 用得可信賴的基本功。
常見問題
AI 基本法有罰則嗎?違反會怎樣?
《人工智慧基本法》本身沒有罰則,它是原則性的基本法。但這不代表沒有責任——AI 造成的損害,民法侵權、刑法、個資法等既有法律照樣適用。真正的強制規範會在施行後「二年內」(約 2028 年初前)由各部會訂定的子法與管理規範裡出現。所以正確理解是:現在沒有針對違反基本法本身的罰,但你的 AI 出包,法律責任一點都沒少。
AI 基本法的主管機關是誰?是數位發展部嗎?
不是。中央主管機關是國科會(第 2 條)。數位發展部負責的是「與國際介接的風險分類框架」與資料治理(第 16 條),是制定共同語言的角色,不是主管機關。此外,各中央目的事業主管機關(金管會、勞動部、衛福部、教育部等)負責認定各自領域的 AI 應用算不算高風險。這是台灣「分散式監理」的特徵。
我公司用 AI 客服、AI 招募,算高風險嗎?
要看它替人做什麼決定。一般 AI 客服、行銷文案生成通常偏低風險,可快速部署,但 AI 客服可能被要求揭露「我是 AI」。AI 招募與入職篩選則因為會實質影響求職者的權益,比較可能被歸為高風險,需要驗證、標示與釐清責任歸屬,並受勞動部相關規範約束。判準是:這個 AI 有沒有做一個會影響當事人權益的決定?愈是,愈往高風險靠。