跳到主要內容

當法律跑在能力前面,執法就變成賭局


When law outruns capability, enforcement becomes a gamble.

歐盟最新提出的「數位綜合方案」,將原本預計自 2026 年起陸續落地的 AI Act 高風險義務整體延後,並對 GDPR 的若干適用標準作出調整。這一系列時間表與技術條文的修改;從法制運作角度看,其實是歐盟試圖重新修正過去幾年高度前傾的監管節奏。核心訊息很直接:當規範在行政能力、標準體系與產業準備都尚未到位時提前生效,制度本身便會成為新的風險來源,同時對法律確定性(Rechtssicherheit)與可執行性(Vollzugstauglichkeit)產生損害。

過去十年,歐盟在數位領域採取的是一套高度主動的立法模式:先以框架性規範設定邊界,再透過技術標準、指引與執法實務慢慢填補細節。GDPR、DMA、DSA 乃至 AI Act 無不如此。這樣的作法在政治上具有明顯的宣示效果,也強化了歐盟作為「規則輸出者」的角色。但在 AI 與資料治理領域,這種先立架構、後補能力的路線,逐步暴露出其結構性限制:Regelungsdichte(規範密度)可以很高,Vollzugskapazität(實際執行能力)卻未必能跟上。

AI Act 的高風險義務便是一個典型例子。法條要求涵蓋技術文件完整性、訓練資料可追溯性、模型行為監測機制、風險管理流程等多重層面,每一項都假設存在一套成熟的標準體系與行政審查機制。然而,相關技術標準仍在制定過程中,各國主管機關的準備度明顯不一,企業端也尚未形成穩定的 best practice。在這樣的條件下,法規若在原定時程強行生效,實務上極易出現「義務已存在,但合格標準與審查方式未臻明確」的狀態。

對企業而言,這意味著法規遵循被迫建立在猜測之上:不知道做到何種程度才足以被認定為合規,卻必須提前調整內部結構與資源配置。對主管機關而言,則是在執法時缺乏穩定的判準,不同成員國之間的差異難以避免。這種情形直接侵蝕了 Rechtssicherheit,使法律本身成為一種額外的不確定性,而不是降低不確定性的工具。從這個角度看,延後義務並非削弱監管,而是試圖讓規範重新落在與現實能力大致相稱的水位,回到 Verhältnismäßigkeit(比例原則)可接受的範圍之內。

GDPR 的調整呈現出相同的邏輯,只是焦點從 AI 行為,轉移到資料使用本身。過去的 GDPR 解釋實務中,對於將個資用於 AI 模型訓練、內部優化與風險分析等用途,一直存在高度程序性負擔與法律疑義。對企業而言,問題不僅在於是否需要同意,而在於在何種情況下可正當依據「正當利益」作為處理基礎,以及如何將去識別化做到既能實務運作又不致落入形式化。當界線畫在一個「理論上很安全,但實務上幾乎無法運作」的位置時,Verhältnismäßigkeit 必然開始失衡。

此次調整將 AI 訓練明確納入可能的正當利益基礎,並採取更務實的去識別化標準,同時提高通報門檻、將焦點放在實質風險較高的外洩事件上。這組變化不能簡化為「放寬」,它更像是制度從「以防弊為唯一軸線」轉向「防弊與可行性的實質調和」。法制仍然維持對資料保護的基本要求,但不再假定無限上綱的禁限制度可以自動帶來更高的安全;相反地,它承認過度程序負擔只會稀釋監督資源,削弱制度的針對性。

程序整合部分則回應了一個在企業法遵實務上長期存在、但常被低估的問題:流程會創造實質負擔,甚至扭曲規範的意圖。
在 NIS2、GDPR、DORA 等規範並行、且不同機關各自建構通報機制的情況下,跨境企業必須面對的是多頭申報、重複提供內容、格式不一與時序不一致。單一通報窗口與企業數位錢包的導入,實質上是將制度從「多重堆疊的要求」調整為「統合化的要求」,讓流程不再成為制度效果的主要阻力。企業端過去對此多有反映,只是多半以較溫和的方式呈現:問題不是不能遵守,而是難以預測需要付出多少額外程序成本。這種不可預測,長期下來會扭曲行為與投資判斷。

在國際比較上,歐盟的這次調整也將其位置微妙地朝其他主要法域靠攏。美國在 AI 與資料領域仍多採 ex post 模式,以反托拉斯、部門監理與執法指引補強,避免在技術與市場結構尚未明朗前即設定高度前置的義務。日本則傾向透過指引與產業協作,逐步拉高期待,而非一次性立法壓頂。韓國與部分東亞國家則偏向階段性、分領域落地,強調執行能力與義務密度相匹配。歐盟並未放棄其「規則輸出者」的角色,但這次選擇調整節奏,顯示其也開始承認:監管的權威不在於起跑時刻的早晚,而在於制度運作是否穩定、一致且可預期。

對台灣來說,歐盟釋放的訊息可能比文字本身更值得注意。台灣目前正處於 AI 法制、個資法修正與相關資料規範重新定位的前期階段。若只取歐盟原始文本作為標竿,而忽略其後續的調整與執行經驗,就有可能在歐盟試圖降低自身制度壓力之際,反而在台灣引入義務強度與落地時序都更為前置的規範結構。結果就是:義務密度高於參考對象,適法能力卻遠遠低於參考對象。
在這種情境下,制度負擔會先於制度效果出現,企業因不確定性升高而偏向保守,主管機關則在程序壓力之下難以專注於實質風險。

因此,歐盟的這一步,與其解讀為「他們變鬆了」,不如視為對一個核心問題的回應:法律是否應該在適法能力之前出現?

從這次調整可以看出,歐盟的答案逐漸從「可以」轉向「不宜」。對台灣而言,並非要去複製歐盟的修正內容,而是要在設計本土科技法制時,更慎重地處理幾個基本問題:標準是否清楚、執行能力是否存在、企業是否具備實際達成要求的工具與資源。若這三個要素未能同步考量,單純追求與國際「看齊」的條文,很可能在實務上形成新的風險來源。

總結而言,歐盟此次對 AI 與資料規範節奏的調整,是將制度從「象徵性前瞻」拉回「可運作的現實」。對台灣而言,真正需要學習的未必是每一條具體的修法內容,而是這種在政治壓力與制度可行性之間,仍願意調整步伐的態度。未來在推動科技法制時,若能始終回到幾個基本問題——要求是否清楚、是否合理、是否做得到——那麼制度至少不會在一開始就把自己推向難以執行的位置。

留言

張貼留言

這個網誌中的熱門文章

除了宣示價值,我們還有什麼?—人工智慧基本法的未竟之業

  除了宣示價值,還有什麼?—人工智慧基本法的未竟之業 隨著人工智慧基本法的正式推進,台灣在數位法制的版圖上終於立下了一根顯著的標竿。在制度符號學(Institutional Semiotics)意義上,無疑傳遞了清晰的訊號:國家機器正式承認,「人工智慧(AI)」已不再僅僅是實驗室裡的技術參數,也不只是產業界追求效率的經濟工具,而是必須被納入公共治理架構、甚至牽動既有權責配置與法秩序調整的核心。 此等立法選擇,平心而論,不令人意外,亦不特別激進。若回顧台灣過去二十年來面對數位匯流、個資保護甚至金融科技(FinTech)等新興議題的軌跡,會發現這相當符合台灣立法者的一貫邏輯——先確立抽象的價值與方向,再透過授權條款,期待行政機關逐步補齊制度細節。這是一種「宣示先行,實質後補」的立法慣性,旨在於變動劇烈的技術浪潮中,為行政機關保留最大的裁量彈性;然而,這種彈性的代價,往往是將「法律可預測性」(Legal Predictability)往後延,並將龐大的判斷成本轉嫁至市場與社會端。 真正的問題並不在於立法的時機或形式,而在於這種在傳統行政領域行之有效的「摸著石頭過河」策略,在面對人工智慧這種演化速度極快、滲透力極強的「通用目的技術」(General Purpose Technology, GPT)時,是否仍能如預期般運作?當立法者再次將難題拋回社會,要求行為主體「先理解原則,再自行判斷後果」時,我們是否正在製造一場巨大的監管迷霧? 更精確地說,這場迷霧不只是「不知道怎麼守法」,而是包含了至少三層結構性的不確定:誰來說清楚?什麼時候說清楚?以及要用什麼形式說清楚?這三件事如果沒有被制度化,原則就會變成口號,而口號最終只能換來無盡的等待。 歐盟經驗的鏡像反射:確定性的代價與價值 在當前的公共討論中,台灣的人工智慧基本法常被置於國際比較的脈絡下檢視,其中最顯著的參照座標,便是歐盟甫通過的人工智慧法案(EU AI Act)。主流論述將歐盟視為「監管先行者」的典範,認為其作法「走得比較前面」,因此自然成為台灣借鏡的對象。然而,若我們仔細剝開歐盟的制度洋蔥,會發現一個在台灣經常被忽略的事實:歐盟目前面臨的治理困境,並非來自「是否立法」,而是來自立法之後,行為主體究竟該如何將這些規範翻譯成內部流程、產品決策與責任配置。 歐盟採取的是一種近乎「產品安全法規」的邏輯。其制度之所以能...
張貼留言
閱讀完整內容

The price of waiting: what Taiwan’s AI law reveals about regulatory uncertainty

As Taiwan advances its proposed Artificial Intelligence Basic Act, the debate has largely focused on familiar themes: ethics, principles, and the need for “responsible AI”. These questions matter. But they are not the most consequential ones. The more important issue is economic rather than moral. It concerns how law structures expectations, how uncertainty is distributed, and how delay becomes a rational response when judgement is deferred. Taiwan’s AI legislation offers a revealing case study in the political economy of regulatory uncertainty — and in the costs of asking markets to decide first. At a symbolic level, the Basic Act marks a clear shift. Artificial intelligence is no longer treated merely as a technical input or an industrial productivity tool, but as an object of public governance. Its deployment is recognised as having implications for legal responsibility, administrative authority and decision-making frameworks. Yet symbol and structure are not the same. The law’s...
張貼留言
閱讀完整內容