April 2026
企业建置AI系统的个资法令遵循:近期法规发展与监管趋势(台湾)
随着生成式AI快速发展,企业已广泛将其应用于各类营运场景。由于AI高度依赖资料且多涉及个人资料之搜集、分析与再利用,其导入亦不可避免地受到个人资料法令规范。相较传统资料处理模式,AI具有资料反复利用及自动化决策等特性,对既有个资法遵带来新挑战。本文将解析 AI 系统的个资风险,并导读近期国内外法规趋势与企业应变重点。
一、AI系统中的个资风险
理解 AI 系统的个资风险,必须从资料生命周期出发。首先,在资料搜集阶段,企业可能透过既有资料库、用户输入或第三方资料来源取得资料。此时应确认搜集目的是否具体明确,并已履行告知义务。若原始搜集目的未涵盖AI训练用途,后续再利用即可能产生法令遵循风险。其次,在模型训练与资料利用阶段,AI通常需对既有资料进行再利用。关键在于该利用是否仍属原目的范围,以及企业是否具备适当之法律依据(如当事人同意或正当利益),此一问题在生成式AI训练情境中尤为重要。最后,在模型输出与应用阶段,AI可能出现记忆(memorization)的现象,产生涉及个人资料之内容,甚至透过推论揭露敏感资讯,进而使AI系统本身可能构成持续性的个人资料处理行为。
针对AI系统开发如何遵守个资法规,各国主管机关已陆续提出实用性的指引,例如法国个资保护机关Commission Nationale de l'Informatique et des Libertés(CNIL)在其指引中强调,AI系统应采「全生命周期法令遵循」模式,并落实隐私保护设计(privacy by design),包括在开发初期即明确界定处理目的、确认法律依据(如正当利益之衡量)、落实资料最小化及透明性,并于必要时进行资料保护影响评估(DPIA),同时确保资料主体之存取、更正与删除权利得以行使 [1] 。
二、欧盟Digital Omnibus:制度调和与再平衡
欧盟作为全球数位治理的领航者,已建立完整法体系框架,其以《General Data Protection Regulation》(Regulation (EU) 2016/679,下称GDPR)为个人资料保护之核心,并陆续制定《Data Governance Act》(Regulation (EU) 2022/868,下称DGA)、《Data Act》(Regulation (EU) 2023/2854,下称Data Act)及《Artificial Intelligence Act》(Regulation (EU) 2024/1689,下称AI Act)等规范,分别从资料共享、资料流通与AI风险管理等面向进行制度化规范。
然而,随着各项法规逐步实施,多法并行所产生之适用范围重迭、义务重复及规范竞合亦日益显现。为因应此挑战,欧盟执委会于2025年11月发布「Digital Package」 [2] ,提出「Digital Omnibus」与「AI Omnibus」相关提案,透过一系列横向修法与简化机制,针对既有数位法体系进行调整,以降低企业法令遵循成本、提升规范一致性并促进创新发展。例如在资料治理领域,政策方向在于厘清不同法规间之适用关系并减少重复义务;在个人资料保护方面,亦讨论调整部分核心概念,例如在特定情况下重新界定假名化资料之适用范围,以回应AI发展对资料可用性之需求。同时,亦有放宽部分资料利用条件及优化资料主体权利行使机制之构想。惟此类措施虽有助于降低企业法令遵循负担,亦引发是否削弱既有个资保护标准之讨论。
整体而言,Digital Omnibus反映欧盟数位法制已由「体系建构」进一步迈入「制度调和与再平衡」阶段,而企业所面对的法令遵循挑战,亦由理解单一法规,转为掌握多法规间之平衡与互动。
三、台湾法制发展:《人工智慧基本法》
在台湾法制方面,《人工智慧基本法》已于2025年1月14日制定公布,正式建立AI治理之制度基础。该法采风险导向架构,并揭示AI发展应遵循之基本原则,包括隐私与资料保护、透明性、公平性及问责机制等,与欧盟AI Act之精神具有高度一致性。其亦强调AI应以人为本,避免对个人权益造成不当影响。
虽该法目前仍属原则性规范,尚待主管机关制定细部规则,但已明确指出未来法令遵循方向,例如风险分类管理、高风险AI之责任分配及监理机制建立。因此,企业在台湾导入AI系统时,除需符合既有个人资料相关法令外,亦应预先建构符合AI治理要求之制度,以确保未来法令遵循之衔接。
四、企业实务:AI法令遵循的关键措施
面对复杂的法遵环境,企业于建置AI系统时,应从资料治理与制度设计层面建立具体且可执行之法令遵循机制。首先,企业应进行全面性的资料盘点与分类,以厘清AI系统所使用资料之性质、来源及是否涉及个人资料,并据以评估相关法令适用范围。在此基础上,企业亦须明确界定AI系统之使用目的,并检视既有隐私政策与告知内容,确认其是否已涵盖相关资料处理行为,以避免产生目的外利用之疑虑。
其次,在资料利用与模型训练阶段,企业应审慎选择适当之法律依据,例如评估是否得以正当利益作为AI训练之基础,并完成必要之利益衡量分析。同时,应将隐私保护设计(privacy by design)内嵌于系统开发流程,在早期即纳入资料最小化、存取控管及资讯安全等机制,以降低资料外泄或不当利用之风险。
此外,在导入外部AI服务或委外进行模型训练时,企业应透过契约明确界定资料处理之角色分工与责任归属,并确保供应商符合相关法令要求及资安标准。整体而言,企业宜建立跨部门之AI治理架构,由法务、资安及技术部门共同参与风险评估与决策,以确保AI系统在整体运作过程中维持一致且可验证之法令遵循状态。
五、结论
整体而言,AI监管正快速由单一法规走向整合式治理,企业所面对的挑战,已不仅是个资法之遵循,而是能否在多重制度下维持一致且可验证的法令遵循能力。AI发展不仅是技术竞赛,更是治理能力的竞争,企业的AI竞争力,将取决于其整体法令遵循与治理能力。
[1] https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
[2] https://digital-strategy.ec.europa.eu/en/faqs/digital-package
一、AI系统中的个资风险
理解 AI 系统的个资风险,必须从资料生命周期出发。首先,在资料搜集阶段,企业可能透过既有资料库、用户输入或第三方资料来源取得资料。此时应确认搜集目的是否具体明确,并已履行告知义务。若原始搜集目的未涵盖AI训练用途,后续再利用即可能产生法令遵循风险。其次,在模型训练与资料利用阶段,AI通常需对既有资料进行再利用。关键在于该利用是否仍属原目的范围,以及企业是否具备适当之法律依据(如当事人同意或正当利益),此一问题在生成式AI训练情境中尤为重要。最后,在模型输出与应用阶段,AI可能出现记忆(memorization)的现象,产生涉及个人资料之内容,甚至透过推论揭露敏感资讯,进而使AI系统本身可能构成持续性的个人资料处理行为。
针对AI系统开发如何遵守个资法规,各国主管机关已陆续提出实用性的指引,例如法国个资保护机关Commission Nationale de l'Informatique et des Libertés(CNIL)在其指引中强调,AI系统应采「全生命周期法令遵循」模式,并落实隐私保护设计(privacy by design),包括在开发初期即明确界定处理目的、确认法律依据(如正当利益之衡量)、落实资料最小化及透明性,并于必要时进行资料保护影响评估(DPIA),同时确保资料主体之存取、更正与删除权利得以行使 [1] 。
二、欧盟Digital Omnibus:制度调和与再平衡
欧盟作为全球数位治理的领航者,已建立完整法体系框架,其以《General Data Protection Regulation》(Regulation (EU) 2016/679,下称GDPR)为个人资料保护之核心,并陆续制定《Data Governance Act》(Regulation (EU) 2022/868,下称DGA)、《Data Act》(Regulation (EU) 2023/2854,下称Data Act)及《Artificial Intelligence Act》(Regulation (EU) 2024/1689,下称AI Act)等规范,分别从资料共享、资料流通与AI风险管理等面向进行制度化规范。
然而,随着各项法规逐步实施,多法并行所产生之适用范围重迭、义务重复及规范竞合亦日益显现。为因应此挑战,欧盟执委会于2025年11月发布「Digital Package」 [2] ,提出「Digital Omnibus」与「AI Omnibus」相关提案,透过一系列横向修法与简化机制,针对既有数位法体系进行调整,以降低企业法令遵循成本、提升规范一致性并促进创新发展。例如在资料治理领域,政策方向在于厘清不同法规间之适用关系并减少重复义务;在个人资料保护方面,亦讨论调整部分核心概念,例如在特定情况下重新界定假名化资料之适用范围,以回应AI发展对资料可用性之需求。同时,亦有放宽部分资料利用条件及优化资料主体权利行使机制之构想。惟此类措施虽有助于降低企业法令遵循负担,亦引发是否削弱既有个资保护标准之讨论。
整体而言,Digital Omnibus反映欧盟数位法制已由「体系建构」进一步迈入「制度调和与再平衡」阶段,而企业所面对的法令遵循挑战,亦由理解单一法规,转为掌握多法规间之平衡与互动。
三、台湾法制发展:《人工智慧基本法》
在台湾法制方面,《人工智慧基本法》已于2025年1月14日制定公布,正式建立AI治理之制度基础。该法采风险导向架构,并揭示AI发展应遵循之基本原则,包括隐私与资料保护、透明性、公平性及问责机制等,与欧盟AI Act之精神具有高度一致性。其亦强调AI应以人为本,避免对个人权益造成不当影响。
虽该法目前仍属原则性规范,尚待主管机关制定细部规则,但已明确指出未来法令遵循方向,例如风险分类管理、高风险AI之责任分配及监理机制建立。因此,企业在台湾导入AI系统时,除需符合既有个人资料相关法令外,亦应预先建构符合AI治理要求之制度,以确保未来法令遵循之衔接。
四、企业实务:AI法令遵循的关键措施
面对复杂的法遵环境,企业于建置AI系统时,应从资料治理与制度设计层面建立具体且可执行之法令遵循机制。首先,企业应进行全面性的资料盘点与分类,以厘清AI系统所使用资料之性质、来源及是否涉及个人资料,并据以评估相关法令适用范围。在此基础上,企业亦须明确界定AI系统之使用目的,并检视既有隐私政策与告知内容,确认其是否已涵盖相关资料处理行为,以避免产生目的外利用之疑虑。
其次,在资料利用与模型训练阶段,企业应审慎选择适当之法律依据,例如评估是否得以正当利益作为AI训练之基础,并完成必要之利益衡量分析。同时,应将隐私保护设计(privacy by design)内嵌于系统开发流程,在早期即纳入资料最小化、存取控管及资讯安全等机制,以降低资料外泄或不当利用之风险。
此外,在导入外部AI服务或委外进行模型训练时,企业应透过契约明确界定资料处理之角色分工与责任归属,并确保供应商符合相关法令要求及资安标准。整体而言,企业宜建立跨部门之AI治理架构,由法务、资安及技术部门共同参与风险评估与决策,以确保AI系统在整体运作过程中维持一致且可验证之法令遵循状态。
五、结论
整体而言,AI监管正快速由单一法规走向整合式治理,企业所面对的挑战,已不仅是个资法之遵循,而是能否在多重制度下维持一致且可验证的法令遵循能力。AI发展不仅是技术竞赛,更是治理能力的竞争,企业的AI竞争力,将取决于其整体法令遵循与治理能力。
[1] https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
[2] https://digital-strategy.ec.europa.eu/en/faqs/digital-package
