資策會科技法律研究所：歐盟AI法之合規指引已出爐，企業應建立合規機制避免高額罰款

人工智慧（AI）技術應用範疇不斷擴張，各國政府亦紛將AI發展列為國家戰略重點，陸續推動相關發展政策與制定法律規範。歐盟去（2024）年正式通過《人工智慧法》（Artificial Intelligence Act），從風險角度出發，將AI系統分為4個等級：其他或低微風險、有限風險、高風險、不可接受風險，並給予不同程度的監管。企業若違反AI法禁止規定，最高可處3500萬歐元罰款或該企業全球年營業額7%（以較高者為準）；向主管機關提供不實資訊將處以最高750萬歐元或全球年營業額1%；違反其他義務將處以1500萬歐元或全球年營業額3%。針對新創公司與中小企業，考量其規模與營收，則給予相對低的行政罰鍰。

自今（2025）年2月2日起，AI法部分條文已正式實施，其中包含禁用「不可接受風險」的AI系統，此類技術被認為對公民權利構成嚴重威脅。亦於今（2025）年2月4日發布《禁止AI行為實施指引》（The Guidelines on prohibited artificial intelligence (AI) practices），進一步釐清AIA中禁止行為的判斷標準與適用範圍，為企業提供重要參考。

根據指引，禁止行為主要包含有害操縱與欺騙、漏洞利用、社會評分、犯罪風險預測、人臉辨識、工作場所和教育機構情緒識別、生物特徵分類，以及執法目的之即時遠端生物識別等八大類。為確保AI服務或產品的合規性，企業應參考新發布的指引，例如：

1.建立禁止行為的判斷標準：指引提供明確的評估標準，例如於判斷「有害操縱」時，企業需評估是否存在「重大傷害」，包括身體、心理、財務等多方面影響，並考量傷害的持續性、可逆性、影響範圍等因素。

2.明定合法與禁止行為的界線：指引明確區分合法行為與禁止行為的差異。例如，合法的AI個人化推薦系統應具備透明性（明確告知用戶AI系統的使用及其基本運作原理）、尊重用戶自主權（提供選擇退出機制及偏好設定選項）、確保用戶控制權（允許用戶調整或關閉推薦功能）；相反，使用潛意識技術繞過用戶理性決策、隱藏操縱技術的使用或利用用戶脆弱性的行為則被明確禁止。企業應據此檢視其AI應用是否符合合法範疇。

3.建立預防措施：指引建議企業採取適當預防措施，如提高透明度、尊重個人自主權、避免從事剝削或欺騙行為、整合適當的用戶控制與安全措施等，以降低AI系統的風險並保障用戶權益。

資策會科技法律研究所副法律研究員劉心妍指出，AI法影響範圍不限於歐盟境內企業，凡提供AI服務或AI產品進入歐盟市場之企業，皆須遵循相關規範。臺灣企業若欲拓展歐洲市場，應及早因應，建議企業應詳閱歐盟AI法之合規指引，特別是關於風險評估方法、行業標準實踐及適用例外情況的具體說明，並尋求專業法律諮詢，確保AI應用符合法規要求。