歐盟監管AI 立法加速度

面對數位科技發展快速，歐盟意識到歐洲國家在數位科技與應用發展落後於美、中等大國，一方面大型數位平台多是美、中企業，而平台產生大量數據將加快美、中數位產業的發展速度，同時排擠歐洲企業發展機會。為捍衛數位主權，歐盟近年來積極推出相關政策法案，希望加緊歐洲國家數位發展進程，其中AI相關法案更是關鍵。

2021年4月歐委會提出《關於制定AI統一規則的條例》草案（AI Act, AIA），被視為歐盟治理AI的重要里程碑，歐盟希望透過複製一般資料保護規則（GDPR）的方式，在AI領域中設立監管法案影響全球，塑造符合歐盟利益的全球AI監管政策，試圖放慢美中科技巨擘發展速度，促使歐洲趕上全球AI發展步伐，因此AIA被認為是歐盟的私心。

原規劃2023年3月歐洲議會將提出折衷版本及投票，2023年4月啟動歐委會、歐議會及歐盟理事會三方協商程序。然而2022年底掀起ChatGPT熱潮，原先AIA監管框架不適用於生成式AI，因此歐洲議會重新研擬折衷版本並新增相關監管要求，延後立法時程。

然而對歐盟而言，AI監管迫在眉睫，因此2023年6月歐議會完成修訂並投票通過。目前AIA已進入三方協商階段，為能使AIA在2024年歐盟選舉前生效，歐盟輪值國西班牙積極推展協商進度，目標2023年底完成簽署公報，預計經過兩年適應寬限期後，2025年全面適用。

AIA受到國際關注，原因除是全球第一個AI監管法案外，AIA規範對象與範圍涵蓋廣泛，覆蓋AI系統全價值鏈的參與者，而AIA與GDPR一樣具有「域外效力」，第三國AI系統的供應商或使用者亦受其規範。

AIA立法方式採用「基於風險的方法」為監管基礎，根據不同使用情境劃分風險等級並授予相對應規範義務，分別為不可接受風險、高風險、有限風險以及最小風險四類。其中不可接受風險的AI系統禁止進入歐盟，而高風險需要遵守AIA規範，有限風險則須遵守自願性透明度義務。

四個類別中，高風險等級是AIA監管核心，且多數AI系統被列入此類別，而被歐盟列入高風險等級的AI系統，其服務提供者在AI系統投放市場前，必須確保其系統經過相關合格評估程序，並遵照歐盟產品安全立法框架－新立法框架（NLF），貼上歐盟認證的CE合格標誌，以表明其符合監管標準，且全生命周期均須受到監管，其AI系統才能在歐盟內部市場自由流動。

雖然AIA由歐盟層級制定，但具體執行仍要靠27個成員國協力監管與執法，因此歐盟與成員國間的治理結構是為重點。歐盟成員國間存在巨大的數位落差，如何在同一基準線進行監督與執法，及歐洲內部執法人員的AI素養、專業知識是否足夠等，受到各方討論。雖然目前AIA中規劃成立「歐洲AI辦公室」來協調成員國與聯盟間合作，並促進AI素養；但目前僅有西班牙已建立新的AI監管沙盒及國家AI監管機構等，因此成員國的配合度與能力引發擔憂。

儘管2023年6月歐洲議會通過的AIA版本中，歐盟強制成員國以國家層級成立監管沙盒，提供AI系統開發和上市前階段建立一個受控的實驗和測試環境促進AI創新，並新增對中小企業特別監管指導、支持對環境與社會有效益的AI解決方案等，試圖強化沙盒創新的功能性；但仍存在缺乏沙盒內執行細節，且法律配套保護相當有限等困境，是否能發揮創新作用備受質疑。

最後一部分是AIA對「AI系統的定義」。歐委會、歐盟理事會、歐洲議會均對AI系統定義持不同觀點，以目前形勢看，AIA現階段對AI系統定義將與OECD相符，採一般性描述來界定。然而此種定義引發正、反觀點，正方認為寬鬆的定義不會將任何AI技術排除在範圍外；但反方認為無法精準涵蓋潛在需求規範風險的AI系統，將更側重風險層級中。

歐盟AIA草案提出後，國際上產業及社會產生諸多爭議與辯論，從上述幾點觀察發現，即使2023年歐盟如期完成AIA立法，但實際上走向落實仍有諸多爭議及難題。（作者是資策會MIC資深產業分析師）