除了宣示價值,還有什麼?—人工智慧基本法的未竟之業
隨著人工智慧基本法的正式推進,台灣在數位法制的版圖上終於立下了一根顯著的標竿。在制度符號學(Institutional Semiotics)意義上,無疑傳遞了清晰的訊號:國家機器正式承認,「人工智慧(AI)」已不再僅僅是實驗室裡的技術參數,也不只是產業界追求效率的經濟工具,而是必須被納入公共治理架構、甚至牽動既有權責配置與法秩序調整的核心。
此等立法選擇,平心而論,不令人意外,亦不特別激進。若回顧台灣過去二十年來面對數位匯流、個資保護甚至金融科技(FinTech)等新興議題的軌跡,會發現這相當符合台灣立法者的一貫邏輯——先確立抽象的價值與方向,再透過授權條款,期待行政機關逐步補齊制度細節。這是一種「宣示先行,實質後補」的立法慣性,旨在於變動劇烈的技術浪潮中,為行政機關保留最大的裁量彈性;然而,這種彈性的代價,往往是將「法律可預測性」(Legal Predictability)往後延,並將龐大的判斷成本轉嫁至市場與社會端。
真正的問題並不在於立法的時機或形式,而在於這種在傳統行政領域行之有效的「摸著石頭過河」策略,在面對人工智慧這種演化速度極快、滲透力極強的「通用目的技術」(General Purpose Technology, GPT)時,是否仍能如預期般運作?當立法者再次將難題拋回社會,要求行為主體「先理解原則,再自行判斷後果」時,我們是否正在製造一場巨大的監管迷霧?
更精確地說,這場迷霧不只是「不知道怎麼守法」,而是包含了至少三層結構性的不確定:誰來說清楚?什麼時候說清楚?以及要用什麼形式說清楚?這三件事如果沒有被制度化,原則就會變成口號,而口號最終只能換來無盡的等待。
歐盟經驗的鏡像反射:確定性的代價與價值
在當前的公共討論中,台灣的人工智慧基本法常被置於國際比較的脈絡下檢視,其中最顯著的參照座標,便是歐盟甫通過的人工智慧法案(EU AI Act)。主流論述將歐盟視為「監管先行者」的典範,認為其作法「走得比較前面」,因此自然成為台灣借鏡的對象。然而,若我們仔細剝開歐盟的制度洋蔥,會發現一個在台灣經常被忽略的事實:歐盟目前面臨的治理困境,並非來自「是否立法」,而是來自立法之後,行為主體究竟該如何將這些規範翻譯成內部流程、產品決策與責任配置。
歐盟採取的是一種近乎「產品安全法規」的邏輯。其制度之所以能成為對照,不在於監管強度的軟硬,而在於其法律結構已將若干關鍵判斷「前置化」。人工智慧法案直接在法規層級區分禁止性用途、高風險用途,並明確連結至事前符合性評估(Conformity Assessment)、風險管理與文件保存等義務。換言之,是否落入某一類型,本身即構成責任啟動的法律事實。
從制度設計的角度來看,這樣的作法確實提供了一種極具結構美的確定性——至少,企業知道自己要先回答哪一題,再決定下一步要付出多少成本。即便在生成式 AI 橫空出世後,歐盟必須透過後續修正與解釋來補強原有架構,但相關爭議始終是在「既存分類」與「責任結構」內展開。企業可以質疑「我的產品分類是否適用」,卻不需要猜測「是否存在分類」。這種「可指認性」(Identifiability),正是歐盟制度雖然繁瑣,但仍具備操作性的核心特徵。
但歐盟的實務經驗也向我們揭示了另一面:當分類過於具體,且必須隨著技術迭代不斷修補時,制度的重心往往會發生偏移。在布魯塞爾,我們看到企業被迫投入大量資源,其目的往往不是為了改善 AI 系統的安全性或準確率,而是為了進行繁瑣的法律定性——確保自己被歸類在「低風險」的一側。這種現象導致了治理目標的異化:原本應關注「如何管理風險」,變成了「如何管理分類」。
這正是台灣在思考自身立法時,必須引以為戒的「他山之石」。歐盟的代價是高昂的合規成本,但至少規則是明確的;而台灣若不慎,可能付出的代價不是金錢,而是時間——一種不確定的等待,和被等待侵蝕掉的行動意願。
台灣的「柔性」陷阱:結構永遠都不確定,而非過渡
台灣人工智慧基本法顯然意識到了這種「歐盟式剛性」可能帶來的創新窒息,因此刻意避免在法律層級過早固定風險分類的細項。台灣選擇以原則性條文,授權主管機關未來再建立相關制度。必須公允地說,這樣的選擇本身並非保守,而是一種對未來不確定性的謙抑(Modesty)回應,保留了法規調適的彈性。
這種彈性,是一把雙面刃。在目前的架構下,不確定性並非暫時的制度空窗,而是制度設計本身所容許、甚至預設的狀態。 法律未提供明確的風險分類與責任啟動條件,而是將相關判斷延後至主管機關的後續作為。
這帶來了一個極為棘手的問題:結構性的監管不確定性(Structural Regulatory Uncertainty)。直接後果是,行為主體無法區分兩種性質截然不同的情境:
制度確認的安全: 一項應用目前未被視為高風險,是因為制度上已形成某種「低風險」的共識或安全港(Safe Harbor)。
制度缺席的空白: 一項應用目前未被規範,僅僅是因為相關規範仍在形成之中,主管機關尚未「出手」。
這兩種情況,在實務上會導致完全不同的決策結果。前者會鼓勵投資與部署,後者則會引發觀望。但在現行法制下,這兩者難以被區辨。於是,「尚未被禁止」與「被認為可以」之間的界線,變得極為模糊。
試想,一家新創公司的技術長審視自家即將上線的醫療輔助 AI,他看到的不是綠燈,也不是紅燈,而是一盞沒亮燈的號誌。這時,理性的選擇往往是踩煞車。在這樣的情境下,風險分級不再是一種引導產業前進的路標,而變成了一個需要「等待被解釋」的懸置狀態。市場端會將這種狀態直接翻譯成三個字:先不要。
破碎的治理拼圖:多頭馬車下的行政現實
若將視角從單一制度工具拉開,我們會發現人工智慧基本法所面臨的挑戰,並非僅來自人工智慧技術本身的複雜性,更多是來自台灣既有的治理結構。
長期以來,台灣在處理跨領域、跨產業的新興議題時,慣於採取一種「垂直分工」的結構:法律先行揭示原則,具體規範則由各個目的事業主管機關(如金管會、衛福部、交通部)依其職權逐步補充。這種安排在行政運作上具有彈性,也能因應產業差異。
然而,AI 技術本質上是一種「通用目的技術」(General Purpose Technology)。同一個大型語言模型(LLM)基座,可能同時被用於撰寫行銷文案(經濟部)、分析病歷(衛福部)與評估信貸風險(金管會)。當它跨越部會邊界時,企業面對的就不只是「一套規則」,而是「多套規則彼此如何接續」的問題。
更值得注意的是,這種不確定性並非僅由市場端承擔。在多主管機關結構下,行政體系本身也面臨極大的判斷風險。 當同一套 AI 技術跨越不同產業場域時,任何單一部會若做出過於具體的解釋,都可能被視為提前承擔政策責任,或與其他機關立場產生衝突。
在缺乏橫向協調機制與明確法律授權的情況下,「暫不定性」遂成為行政官僚最安全的選擇。其結果是,人工智慧基本法延續了這樣的結構,相同的 AI 技術或應用,可能因適用產業或主管機關不同,而面臨截然不同的治理理解。這些差異未必是刻意設計的結果,而是行政實務自然累積的產物。但正因為如此,它們往往難以被事前辨識。
歐盟的情況至少讓企業清楚知道,差異來自不同國家的執行;台灣的情況則是,差異存在於同一制度之內,卻需要在實際互動、「踢到鐵板」後才逐步顯現。這無疑大幅墊高了創新的隱形成本——而且是那種最難被政策評估捕捉的成本:被不確定性消耗掉的決策動能。
責任的真空:當制度停留在「概念層次」
任何治理制度,抽絲剝繭後,最終都會回到一個靈魂拷問:「出事了,誰負責?」
歐盟選擇在法律上清楚標示責任主體,要求 AI 的提供者與部署者建立完整的風險管理與文件制度。這樣的設計,確實提高了治理可見度,但也同步提高了進入門檻。台灣人工智慧基本法則採取較為保留的方式,透過原則性條文強調問責與透明,卻未清楚指明企業內部應由何種角色、何種層級承擔治理責任。
這樣的留白,未必是疏漏,也可能是有意為之,但它所帶來的實務效果,卻相當明確:當責任無法被具體理解時,決策往往會被延後。
在企業內部,這將演變成一場法務部門(Legal)與技術部門(Tech)的拉鋸戰。法務部門因為無法評估潛在的法律責任上限(Liability Cap),傾向於否決高創新但也高風險的 AI 專案;管理階層因為看不清紅線在哪,只能反覆評估、反覆開會,最終讓專案停留在「再等等看」的狀態。
制度沒有禁止,卻也沒有真正促成行動。所謂「可信任的 AI」(Trustworthy AI),其實不是靠口號建立的;信任的前提,是責任可以被理解、可以被配置、也可以被追溯。若基本法無法在後續的子法或指引中釐清這一點,那麼台灣的 AI 產業恐將陷入一種慢性的「監管寒蟬效應」(Regulatory Chill):不會立刻停擺,但會逐漸變得不敢動。
接下來要回答的,不是更多原則
從歐盟的經驗,以及台灣既有的制度實踐來看,人工智慧治理的難題,並不在於是否已提出足夠正確的價值或方向,而在於制度是否能讓行為主體,在不依賴個案互動的情況下,理解什麼時候需要擔心,什麼時候可以不用擔心。
換言之,一個成熟的法治環境,應該提供足夠的「法律預見性」(Legal Predictability)。這不是要求每個人都變成法學家,而是讓行為主體在做決策之前,至少知道要問哪幾個問題、該找誰問、以及答案會以什麼形式被固定下來。
人工智慧基本法真正的考驗,並不在立法通過的那一刻,而在接下來的制度補充過程中,主管機關是否能逐步提供這樣的判斷基準。否則,即使原則再清楚、口號再響亮,治理仍可能停留在一種我們最熟悉的狀態:方向絕對正確,但行為難以判斷;每個人都支持發展,但沒有人敢邁出第一步。
這不是人工智慧獨有的問題,而是台灣在面對高度不確定議題時,一再出現的課題。能否正視這一點,將決定這部基本法最終是成為一個真正可運作的治理起點,還是另一部需要漫長等待才能被理解的宣示性法律。
留言
張貼留言