數發部揭露AI風險分類框架草案最新進展，採分類而非分級管理設計，涵蓋三大類18小類AI風險

臺灣的《人工智慧基本法》設計了一個三層式的AI風險治理框架，包括了三個層面，第一層定義了AI發展原則，包括7項全球普遍接受的AI發展原則，兼顧創新和人權保障的平衡。在七大原則之下的第二層是，數發部負責訂定的AI分類風險框架草案，最下方的第三層則是各部會的治理工作。

臺灣AI專法的立法過程中，雖然也有參考全球第一套全面性的AI專法，也就是歐盟AI法案。歐盟主要採取了風險分級監管的法規設計，針對不同等級的AI風險，提出不同嚴格程度的監管要求。而臺灣《人工智慧基本法》的風險管理思維不一樣，侯宜秀特別強調，臺灣採取的是「分類」而非「分級」管理的設計。

侯宜秀進一步解釋，因為不同應用場景會產生不同的風險，就算是同樣的技術，在不同應用場景中，產生的風險和評價也可能有很大的不同，若用分級方式來定義風險，可能過於侷限，缺乏彈性。

因此，數發部正在訂定的AI風險分類框架草案，區分成了三大類風險，分別是「AI系統本身之技術設計缺陷」，「部署、操作和人機互動問題」，以及「廣泛社會結構與環境衝擊」，三大類之下還細分出不同的子類別，共18項子類。

數發部設計的這個風險分類框架，類似麻省理工學院的AI風險儲存庫計畫（AI Risk Repository）的風險分類做法。MIT彙整了全球數十個不同風險分類後歸納出來的分類做法，而且會隨著AI應用發展而經常調整。「臺灣AI風險分類框架的子分類，同樣也會隨著技術進步而改變。」侯宜秀補充。

有了這樣一套AI風險分類框架之後，接著就是各部會參考這個框架來訂出各自主管產業的管理規範，也需要有一套評估驗證工具以及相關的政策措施。「我們期望臺灣AI治理，可以根據不同部會的AI應用發展程度來推進，目標是2年內完成法規調適工程。」侯宜秀表示。

《人工智慧基本法》的法規調適是一項影響各部會的大工程，數發部也提出一套部會AI治理的方法論。主管機關的第一步是要先認識所管產業，並與利害關係人對話，不只是所管產業，還要與AI技術提供者和服務提供者溝通，以便謹慎地設計部會層級的規範。目標不只是履行法定義務，還希望能促進所管產業的創新，並對所管領域內的人員和潛在風險，建立一套妥善的應對機制。

分四階段協作，支援部會訂出所管領域的AI風險管理規範

數發部提供了一套四階段的部會協作模式，支援各部會訂定所管產業 AI風險的管理規範。各部會的前置作業是先成立專案小組，涵蓋法務、業務和資訊人員，再分四個階段進行。

第一個階段是，部會要先盤點出所管的AI應用情境，再展開第二階段的「識別風險」，召集利害關係人，舉辦專家會議等，來完成初步風險識別。接著再進行風險評估和應對措施的缺口分析，一方面了解風險發生的可能性和危害程度，另一方面盤點現有規範和政策工具，是否足以因應這些風險，這是第三階段。

第四階段，現有應對措施若有不足，則規劃適當的管理或促進作為，像是訂定指引、提供技術工具或素養教育的方式來解決。

侯宜秀指出，在這個四階段的法規調適工程中，與利害關係人的溝通不是一次性，而是貫穿全程的核心工作，涵蓋盤點情境、識別風險、評估風險、應對風險的過程，不限於特定階段或是一次性的溝通。

數發部已經在3月底完成了「AI應用發展兒少、人權、性別影響評估報告」，接下來待行政院通過「AI 風險分類框架」草案後，數發部會以協作角色，支援各部會了解框架的操作，來訂定各自管理規範，也會搜集各部會實務經驗，作為數發部定期調整AI風險分類框架（風險子類型）的依據。