小桃亂說話

As Taiwan advances its proposed Artificial Intelligence Basic Act, the debate has largely focused on familiar themes: ethics, principles, and the need for “responsible AI”. These questions matter. But they are not the most consequential ones. The more important issue is economic rather than moral. It concerns how law structures expectations, how uncertainty is distributed, and how delay becomes a rational response when judgement is deferred. Taiwan’s AI legislation offers a revealing case study in the political economy of regulatory uncertainty — and in the costs of asking markets to decide first. At a symbolic level, the Basic Act marks a clear shift. Artificial intelligence is no longer treated merely as a technical input or an industrial productivity tool, but as an object of public governance. Its deployment is recognised as having implications for legal responsibility, administrative authority and decision-making frameworks. Yet symbol and structure are not the same. The law’s...

  除了宣示價值，還有什麼？—人工智慧基本法的未竟之業 隨著人工智慧基本法的正式推進，台灣在數位法制的版圖上終於立下了一根顯著的標竿。在制度符號學（Institutional Semiotics）意義上，無疑傳遞了清晰的訊號：國家機器正式承認，「人工智慧（AI）」已不再僅僅是實驗室裡的技術參數，也不只是產業界追求效率的經濟工具，而是必須被納入公共治理架構、甚至牽動既有權責配置與法秩序調整的核心。 此等立法選擇，平心而論，不令人意外，亦不特別激進。若回顧台灣過去二十年來面對數位匯流、個資保護甚至金融科技（FinTech）等新興議題的軌跡，會發現這相當符合台灣立法者的一貫邏輯——先確立抽象的價值與方向，再透過授權條款，期待行政機關逐步補齊制度細節。這是一種「宣示先行，實質後補」的立法慣性，旨在於變動劇烈的技術浪潮中，為行政機關保留最大的裁量彈性；然而，這種彈性的代價，往往是將「法律可預測性」（Legal Predictability）往後延，並將龐大的判斷成本轉嫁至市場與社會端。 真正的問題並不在於立法的時機或形式，而在於這種在傳統行政領域行之有效的「摸著石頭過河」策略，在面對人工智慧這種演化速度極快、滲透力極強的「通用目的技術」（General Purpose Technology, GPT）時，是否仍能如預期般運作？當立法者再次將難題拋回社會，要求行為主體「先理解原則，再自行判斷後果」時，我們是否正在製造一場巨大的監管迷霧？ 更精確地說，這場迷霧不只是「不知道怎麼守法」，而是包含了至少三層結構性的不確定：誰來說清楚？什麼時候說清楚？以及要用什麼形式說清楚？這三件事如果沒有被制度化，原則就會變成口號，而口號最終只能換來無盡的等待。 歐盟經驗的鏡像反射：確定性的代價與價值 在當前的公共討論中，台灣的人工智慧基本法常被置於國際比較的脈絡下檢視，其中最顯著的參照座標，便是歐盟甫通過的人工智慧法案（EU AI Act）。主流論述將歐盟視為「監管先行者」的典範，認為其作法「走得比較前面」，因此自然成為台灣借鏡的對象。然而，若我們仔細剝開歐盟的制度洋蔥，會發現一個在台灣經常被忽略的事實：歐盟目前面臨的治理困境，並非來自「是否立法」，而是來自立法之後，行為主體究竟該如何將這些規範翻譯成內部流程、產品決策與責任配置。 歐盟採取的是一種近乎「產品安全法規」的邏輯。其制度之所以能...

  The Practical Role of Legitimate Interest under the GDPR AI, Operational Constraints, and the Limits of Regulatory Simplification Among the six legal bases for processing personal data under Article 6 GDPR, legitimate interest was not originally designed to support large-scale or continuous data processing as a primary mechanism. Its role was limited and functional: to cover processing activities that cannot realistically rely on consent, do not fall under a legal obligation or the exercise of public authority, yet occur as part of ordinary organisational operations. Such activities are common in large organisations. They include internal administration, cybersecurity measures, fraud prevention, system maintenance, and basic operational analytics. The GDPR deliberately retained legitimate interest for these situations. Article 6(1)(f) does not provide a general authorisation. It conditions its use on whether the processing is necessary for the purposes of a specific legitimate...

從歷史經驗到 AI 與簡化議程制度 在 GDPR 第 6 條所列舉的六種個人資料處理合法性基礎中，「合法利益」（legitimate interest／berechtigtes Interesse）並非原本設計用以支撐大規模、持續性資料處理的主要依據。其制度定位相對明確：適用於那些不適合以同意作為法律基礎、亦不屬於法定義務或公權力行使，但在組織日常運作中客觀上會發生的資料處理行為。 此類行為在大型組織中並不罕見，例如內部管理、資通安全防護、反詐欺機制、系統維運，或為確保基本營運所進行的必要分析。GDPR 在條文設計上，正是為了這類情境，保留合法利益作為一項有限且受拘束的法律基礎。第 6 條第 1 項 (f) 款並未提供概括性授權，而是明確以處理是否「為特定合法利益所必要」作為前提，其英文條文使用 “processing is necessary for the purposes of the legitimate interests”。 在相當長的一段時間內，這樣的制度定位並未出現實質動搖。然而，隨著資料處理實務條件的變化，特別是近年生成式人工智慧模型訓練、資料再利用，以及跨平台資料流通的快速擴張，資料處理的型態已發生結構性轉變。 在資料量高度集中、來源分散，且資料並非直接向資料主體蒐集的情境下，同意作為主要法律基礎，實務上愈來愈難以操作。要求控制者在資料蒐集階段即逐一確認資料主體身分、聯繫方式，並取得具體、即時且可理解的同意，往往不具可行性。即便形式上取得同意，實務中亦常見事後補作或統一格式處理的情況。 此類同意安排未必能確保資料主體真正理解資料將如何被使用，反而可能使同意機制流於形式，進而削弱其原本作為權利保障工具的功能。在制度層次上，問題已不僅是執行困難，而是同意作為法律工具，在特定資料處理情境中逐漸喪失其規範效力。 在此等實務條件下，控制者自然轉向其他仍可運作的合法性基礎。合法利益因而被更頻繁援引，並在部分情境中實際成為支撐資料處理活動的主要法律依據。這一發展並非源於法條設計的變更，而是在既有法律框架下，因可行選項有限所形成的制度結果。 然而，第 6 條第 1 項 (f) 款的限制並未因此消失。該款明確保留其否定條件： 僅在控制者或第三方所主張的利益未被資料主體的利益，或其基本權利與自由所凌駕時，方得以合法利益作為處理依據 。其英文條文為 “e...

When law outruns capability, enforcement becomes a gamble. 歐盟最新提出的「數位綜合方案」，將原本預計自 2026 年起陸續落地的 AI Act 高風險義務整體延後，並對 GDPR 的若干適用標準作出調整。這一系列時間表與技術條文的修改；從法制運作角度看，其實是歐盟試圖重新修正過去幾年高度前傾的監管節奏。核心訊息很直接： 當規範在行政能力、標準體系與產業準備都尚未到位時提前生效，制度本身便會成為新的風險來源，同時對 法律確定性（Rechtssicherheit）與可執行性（Vollzugstauglichkeit)產生損害。 過去十年，歐盟在數位領域採取的是一套高度主動的立法模式：先以框架性規範設定邊界，再透過技術標準、指引與執法實務慢慢填補細節。GDPR、DMA、DSA 乃至 AI Act 無不如此。這樣的作法在政治上具有明顯的宣示效果，也強化了歐盟作為「規則輸出者」的角色。但在 AI 與資料治理領域，這種先立架構、後補能力的路線，逐步暴露出其結構性限制： Regelungsdichte（規範密度）可以很高，Vollzugskapazität（實際執行能力）卻未必能跟上。 AI Act 的高風險義務便是一個典型例子。法條要求涵蓋技術文件完整性、訓練資料可追溯性、模型行為監測機制、風險管理流程等多重層面，每一項都假設存在一套成熟的標準體系與行政審查機制。然而，相關技術標準仍在制定過程中，各國主管機關的準備度明顯不一，企業端也尚未形成穩定的 best practice。在這樣的條件下，法規若在原定時程強行生效，實務上極易出現「義務已存在，但合格標準與審查方式未臻明確」的狀態。 對企業而言，這意味著法規遵循被迫建立在猜測之上：不知道做到何種程度才足以被認定為合規，卻必須提前調整內部結構與資源配置。對主管機關而言，則是在執法時缺乏穩定的判準，不同成員國之間的差異難以避免。這種情形直接侵蝕了 Rechtssicherheit，使法律本身成為一種額外的不確定性，而不是降低不確定性的工具。從這個角度看，延後義務並非削弱監管，而是試圖讓規範重新落在與現實能力大致相稱的水位，回到 Verhältnismäßigkeit（比例原則）可接受的範圍之內。 GDPR 的調整呈現出相同的邏輯，只是焦點從 AI 行為，轉移到資...

The EU’s Digital Omnibus signals a critical pivot: admitting that premature regulation endangers the very certainty it seeks to create. The European Union’s introduction of the "Digital Omnibus" package—which proposes delaying key high-risk obligations under the AI Act and recalibrating GDPR standards—is more than a mere adjustment of timetables. From the perspective of legal operations, it represents a structural correction to a regulatory rhythm that has become dangerously front-loaded. The core message from Brussels is blunt: when regulations enter into force before administrative capacity, technical standards, and industrial readiness are established, the institution itself becomes a source of risk. Instead of fostering order, premature regulation simultaneously damages Legal Certainty ( Rechtssicherheit ) and Executability ( Vollzugstauglichkeit ) . The Structural Deficit: Density vs. Capacity For the past decade, the EU has pursued a hyper-active legislative model: set...