當法律跑在能力前面，執法就變成賭局

When law outruns capability, enforcement becomes a gamble.

歐盟最新提出的「數位綜合方案」，將原本預計自 2026 年起陸續落地的 AI Act 高風險義務整體延後，並對 GDPR 的若干適用標準作出調整。這一系列時間表與技術條文的修改；從法制運作角度看，其實是歐盟試圖重新修正過去幾年高度前傾的監管節奏。核心訊息很直接：當規範在行政能力、標準體系與產業準備都尚未到位時提前生效，制度本身便會成為新的風險來源，同時對法律確定性（Rechtssicherheit）與可執行性（Vollzugstauglichkeit)產生損害。

過去十年，歐盟在數位領域採取的是一套高度主動的立法模式：先以框架性規範設定邊界，再透過技術標準、指引與執法實務慢慢填補細節。GDPR、DMA、DSA 乃至 AI Act 無不如此。這樣的作法在政治上具有明顯的宣示效果，也強化了歐盟作為「規則輸出者」的角色。但在 AI 與資料治理領域，這種先立架構、後補能力的路線，逐步暴露出其結構性限制：Regelungsdichte（規範密度）可以很高，Vollzugskapazität（實際執行能力）卻未必能跟上。

AI Act 的高風險義務便是一個典型例子。法條要求涵蓋技術文件完整性、訓練資料可追溯性、模型行為監測機制、風險管理流程等多重層面，每一項都假設存在一套成熟的標準體系與行政審查機制。然而，相關技術標準仍在制定過程中，各國主管機關的準備度明顯不一，企業端也尚未形成穩定的 best practice。在這樣的條件下，法規若在原定時程強行生效，實務上極易出現「義務已存在，但合格標準與審查方式未臻明確」的狀態。

對企業而言，這意味著法規遵循被迫建立在猜測之上：不知道做到何種程度才足以被認定為合規，卻必須提前調整內部結構與資源配置。對主管機關而言，則是在執法時缺乏穩定的判準，不同成員國之間的差異難以避免。這種情形直接侵蝕了 Rechtssicherheit，使法律本身成為一種額外的不確定性，而不是降低不確定性的工具。從這個角度看，延後義務並非削弱監管，而是試圖讓規範重新落在與現實能力大致相稱的水位，回到 Verhältnismäßigkeit（比例原則）可接受的範圍之內。

GDPR 的調整呈現出相同的邏輯，只是焦點從 AI 行為，轉移到資料使用本身。過去的 GDPR 解釋實務中，對於將個資用於 AI 模型訓練、內部優化與風險分析等用途，一直存在高度程序性負擔與法律疑義。對企業而言，問題不僅在於是否需要同意，而在於在何種情況下可正當依據「正當利益」作為處理基礎，以及如何將去識別化做到既能實務運作又不致落入形式化。當界線畫在一個「理論上很安全，但實務上幾乎無法運作」的位置時，Verhältnismäßigkeit 必然開始失衡。

此次調整將 AI 訓練明確納入可能的正當利益基礎，並採取更務實的去識別化標準，同時提高通報門檻、將焦點放在實質風險較高的外洩事件上。這組變化不能簡化為「放寬」，它更像是制度從「以防弊為唯一軸線」轉向「防弊與可行性的實質調和」。法制仍然維持對資料保護的基本要求，但不再假定無限上綱的禁限制度可以自動帶來更高的安全；相反地，它承認過度程序負擔只會稀釋監督資源，削弱制度的針對性。

程序整合部分則回應了一個在企業法遵實務上長期存在、但常被低估的問題：流程會創造實質負擔，甚至扭曲規範的意圖。
在 NIS2、GDPR、DORA 等規範並行、且不同機關各自建構通報機制的情況下，跨境企業必須面對的是多頭申報、重複提供內容、格式不一與時序不一致。單一通報窗口與企業數位錢包的導入，實質上是將制度從「多重堆疊的要求」調整為「統合化的要求」，讓流程不再成為制度效果的主要阻力。企業端過去對此多有反映，只是多半以較溫和的方式呈現：問題不是不能遵守，而是難以預測需要付出多少額外程序成本。這種不可預測，長期下來會扭曲行為與投資判斷。

在國際比較上，歐盟的這次調整也將其位置微妙地朝其他主要法域靠攏。美國在 AI 與資料領域仍多採 ex post 模式，以反托拉斯、部門監理與執法指引補強，避免在技術與市場結構尚未明朗前即設定高度前置的義務。日本則傾向透過指引與產業協作，逐步拉高期待，而非一次性立法壓頂。韓國與部分東亞國家則偏向階段性、分領域落地，強調執行能力與義務密度相匹配。歐盟並未放棄其「規則輸出者」的角色，但這次選擇調整節奏，顯示其也開始承認：監管的權威不在於起跑時刻的早晚，而在於制度運作是否穩定、一致且可預期。

對台灣來說，歐盟釋放的訊息可能比文字本身更值得注意。台灣目前正處於 AI 法制、個資法修正與相關資料規範重新定位的前期階段。若只取歐盟原始文本作為標竿，而忽略其後續的調整與執行經驗，就有可能在歐盟試圖降低自身制度壓力之際，反而在台灣引入義務強度與落地時序都更為前置的規範結構。結果就是：義務密度高於參考對象，適法能力卻遠遠低於參考對象。
在這種情境下，制度負擔會先於制度效果出現，企業因不確定性升高而偏向保守，主管機關則在程序壓力之下難以專注於實質風險。

因此，歐盟的這一步，與其解讀為「他們變鬆了」，不如視為對一個核心問題的回應：法律是否應該在適法能力之前出現？

從這次調整可以看出，歐盟的答案逐漸從「可以」轉向「不宜」。對台灣而言，並非要去複製歐盟的修正內容，而是要在設計本土科技法制時，更慎重地處理幾個基本問題：標準是否清楚、執行能力是否存在、企業是否具備實際達成要求的工具與資源。若這三個要素未能同步考量，單純追求與國際「看齊」的條文，很可能在實務上形成新的風險來源。

總結而言，歐盟此次對 AI 與資料規範節奏的調整，是將制度從「象徵性前瞻」拉回「可運作的現實」。對台灣而言，真正需要學習的未必是每一條具體的修法內容，而是這種在政治壓力與制度可行性之間，仍願意調整步伐的態度。未來在推動科技法制時，若能始終回到幾個基本問題——要求是否清楚、是否合理、是否做得到——那麼制度至少不會在一開始就把自己推向難以執行的位置。