風險管理 on YJ-OnLine

AI素養義務已上路，個資治理要從文件合規走向營運控制

Sat, 25 Apr 2026 00:00:00 +0000

2026 年還把 AI 合規當成「法務文件專案」的企業，風險不在法條不熟，而在治理系統不會動。

這一波監理變化已經不是「預告」，而是「分階段生效」。如果你的團隊還停在彙整法規摘要，卻沒有把流程、角色與證據鏈接進日常營運，真正的斷點會出現在跨境傳輸、當事人權利請求（DSR）與 AI 專案上線的交會點。

法規壓力已經從「知道」進入「做到」從歐盟執委會 AI Act 官方說明可看到一個很關鍵的時間結構：

AI Act 於 2024-08-01 生效，原則上 2 年後（2026-08-02）全面適用。
但部分義務提前適用：
- 禁止性 AI 實務與 AI literacy（AI 素養）義務：2025-02-02 起適用
- GPAI 模型治理義務：2025-08-02 起適用
- 部分嵌入式高風險 AI 系統有更長過渡期（至 2027-08-02）

這代表企業不能再用「等全面上路再說」當策略，因為某些義務其實已經在跑。

Fri, 24 Apr 2026 00:00:00 +0000

企業現在最大的風險，不是「不知道法規」，而是「知道很多法規，卻沒有一套能落地的控制矩陣」。

結果就是：文件很多，控制很少。合規看起來完整，營運一出事就斷點。

在台灣實務上，許多組織仍把個資治理理解成「法務交付文件」；但從跨法域要求來看，這種做法越來越撐不住。以《個資法》第19條第1項第2款來看，非公務機關若主張「契約或類似契約關係」作為蒐集/處理基礎，條文同時要求「已採取適當之安全措施」。這代表合法性不是只靠法律主張，而是要靠控制證據支撐。

同一時間，EU 的 AI Act 採風險分級（risk-based approach），且已明確列出禁止行為與高風險應對框架。官方說明頁也指出，禁止性規範已自 2025 年 2 月起生效。這意味著： AI 合規不是等產品上線才補文件，而是從用例分類就要開始。