April 2026
企業建置AI系統的個資法令遵循:近期法規發展與監管趨勢(臺灣)
隨著生成式AI快速發展,企業已廣泛將其應用於各類營運場景。由於AI高度依賴資料且多涉及個人資料之蒐集、分析與再利用,其導入亦不可避免地受到個人資料法令規範。相較傳統資料處理模式,AI具有資料反覆利用及自動化決策等特性,對既有個資法遵帶來新挑戰。本文將解析 AI 系統的個資風險,並導讀近期國內外法規趨勢與企業應變重點。
一、AI系統中的個資風險
理解 AI 系統的個資風險,必須從資料生命週期出發。首先,在資料蒐集階段,企業可能透過既有資料庫、用戶輸入或第三方資料來源取得資料。此時應確認蒐集目的是否具體明確,並已履行告知義務。若原始蒐集目的未涵蓋AI訓練用途,後續再利用即可能產生法令遵循風險。其次,在模型訓練與資料利用階段,AI通常需對既有資料進行再利用。關鍵在於該利用是否仍屬原目的範圍,以及企業是否具備適當之法律依據(如當事人同意或正當利益),此一問題在生成式AI訓練情境中尤為重要。最後,在模型輸出與應用階段,AI可能出現記憶(memorization)的現象,產生涉及個人資料之內容,甚至透過推論揭露敏感資訊,進而使AI系統本身可能構成持續性的個人資料處理行為。
針對AI系統開發如何遵守個資法規,各國主管機關已陸續提出實用性的指引,例如法國個資保護機關Commission Nationale de l'Informatique et des Libertés(CNIL)在其指引中強調,AI系統應採「全生命週期法令遵循」模式,並落實隱私保護設計(privacy by design),包括在開發初期即明確界定處理目的、確認法律依據(如正當利益之衡量)、落實資料最小化及透明性,並於必要時進行資料保護影響評估(DPIA),同時確保資料主體之存取、更正與刪除權利得以行使 [1] 。
二、歐盟Digital Omnibus:制度調和與再平衡
歐盟作為全球數位治理的領航者,已建立完整法體系框架,其以《General Data Protection Regulation》(Regulation (EU) 2016/679,下稱GDPR)為個人資料保護之核心,並陸續制定《Data Governance Act》(Regulation (EU) 2022/868,下稱DGA)、《Data Act》(Regulation (EU) 2023/2854,下稱Data Act)及《Artificial Intelligence Act》(Regulation (EU) 2024/1689,下稱AI Act)等規範,分別從資料共享、資料流通與AI風險管理等面向進行制度化規範。
然而,隨著各項法規逐步實施,多法並行所產生之適用範圍重疊、義務重複及規範競合亦日益顯現。為因應此挑戰,歐盟執委會於2025年11月發布「Digital Package」 [2] ,提出「Digital Omnibus」與「AI Omnibus」相關提案,透過一系列橫向修法與簡化機制,針對既有數位法體系進行調整,以降低企業法令遵循成本、提升規範一致性並促進創新發展。例如在資料治理領域,政策方向在於釐清不同法規間之適用關係並減少重複義務;在個人資料保護方面,亦討論調整部分核心概念,例如在特定情況下重新界定假名化資料之適用範圍,以回應AI發展對資料可用性之需求。同時,亦有放寬部分資料利用條件及優化資料主體權利行使機制之構想。惟此類措施雖有助於降低企業法令遵循負擔,亦引發是否削弱既有個資保護標準之討論。
整體而言,Digital Omnibus反映歐盟數位法制已由「體系建構」進一步邁入「制度調和與再平衡」階段,而企業所面對的法令遵循挑戰,亦由理解單一法規,轉為掌握多法規間之平衡與互動。
三、台灣法制發展:《人工智慧基本法》
在台灣法制方面,《人工智慧基本法》已於2025年1月14日制定公布,正式建立AI治理之制度基礎。該法採風險導向架構,並揭示AI發展應遵循之基本原則,包括隱私與資料保護、透明性、公平性及問責機制等,與歐盟AI Act之精神具有高度一致性。其亦強調AI應以人為本,避免對個人權益造成不當影響。
雖該法目前仍屬原則性規範,尚待主管機關制定細部規則,但已明確指出未來法令遵循方向,例如風險分類管理、高風險AI之責任分配及監理機制建立。因此,企業在台灣導入AI系統時,除需符合既有個人資料相關法令外,亦應預先建構符合AI治理要求之制度,以確保未來法令遵循之銜接。
四、企業實務:AI法令遵循的關鍵措施
面對複雜的法遵環境,企業於建置AI系統時,應從資料治理與制度設計層面建立具體且可執行之法令遵循機制。首先,企業應進行全面性的資料盤點與分類,以釐清AI系統所使用資料之性質、來源及是否涉及個人資料,並據以評估相關法令適用範圍。在此基礎上,企業亦須明確界定AI系統之使用目的,並檢視既有隱私政策與告知內容,確認其是否已涵蓋相關資料處理行為,以避免產生目的外利用之疑慮。
其次,在資料利用與模型訓練階段,企業應審慎選擇適當之法律依據,例如評估是否得以正當利益作為AI訓練之基礎,並完成必要之利益衡量分析。同時,應將隱私保護設計(privacy by design)內嵌於系統開發流程,在早期即納入資料最小化、存取控管及資訊安全等機制,以降低資料外洩或不當利用之風險。
此外,在導入外部AI服務或委外進行模型訓練時,企業應透過契約明確界定資料處理之角色分工與責任歸屬,並確保供應商符合相關法令要求及資安標準。整體而言,企業宜建立跨部門之AI治理架構,由法務、資安及技術部門共同參與風險評估與決策,以確保AI系統在整體運作過程中維持一致且可驗證之法令遵循狀態。
五、結論
整體而言,AI監管正快速由單一法規走向整合式治理,企業所面對的挑戰,已不僅是個資法之遵循,而是能否在多重制度下維持一致且可驗證的法令遵循能力。AI發展不僅是技術競賽,更是治理能力的競爭,企業的AI競爭力,將取決於其整體法令遵循與治理能力。
[1] https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
[2] https://digital-strategy.ec.europa.eu/en/faqs/digital-package
一、AI系統中的個資風險
理解 AI 系統的個資風險,必須從資料生命週期出發。首先,在資料蒐集階段,企業可能透過既有資料庫、用戶輸入或第三方資料來源取得資料。此時應確認蒐集目的是否具體明確,並已履行告知義務。若原始蒐集目的未涵蓋AI訓練用途,後續再利用即可能產生法令遵循風險。其次,在模型訓練與資料利用階段,AI通常需對既有資料進行再利用。關鍵在於該利用是否仍屬原目的範圍,以及企業是否具備適當之法律依據(如當事人同意或正當利益),此一問題在生成式AI訓練情境中尤為重要。最後,在模型輸出與應用階段,AI可能出現記憶(memorization)的現象,產生涉及個人資料之內容,甚至透過推論揭露敏感資訊,進而使AI系統本身可能構成持續性的個人資料處理行為。
針對AI系統開發如何遵守個資法規,各國主管機關已陸續提出實用性的指引,例如法國個資保護機關Commission Nationale de l'Informatique et des Libertés(CNIL)在其指引中強調,AI系統應採「全生命週期法令遵循」模式,並落實隱私保護設計(privacy by design),包括在開發初期即明確界定處理目的、確認法律依據(如正當利益之衡量)、落實資料最小化及透明性,並於必要時進行資料保護影響評估(DPIA),同時確保資料主體之存取、更正與刪除權利得以行使 [1] 。
二、歐盟Digital Omnibus:制度調和與再平衡
歐盟作為全球數位治理的領航者,已建立完整法體系框架,其以《General Data Protection Regulation》(Regulation (EU) 2016/679,下稱GDPR)為個人資料保護之核心,並陸續制定《Data Governance Act》(Regulation (EU) 2022/868,下稱DGA)、《Data Act》(Regulation (EU) 2023/2854,下稱Data Act)及《Artificial Intelligence Act》(Regulation (EU) 2024/1689,下稱AI Act)等規範,分別從資料共享、資料流通與AI風險管理等面向進行制度化規範。
然而,隨著各項法規逐步實施,多法並行所產生之適用範圍重疊、義務重複及規範競合亦日益顯現。為因應此挑戰,歐盟執委會於2025年11月發布「Digital Package」 [2] ,提出「Digital Omnibus」與「AI Omnibus」相關提案,透過一系列橫向修法與簡化機制,針對既有數位法體系進行調整,以降低企業法令遵循成本、提升規範一致性並促進創新發展。例如在資料治理領域,政策方向在於釐清不同法規間之適用關係並減少重複義務;在個人資料保護方面,亦討論調整部分核心概念,例如在特定情況下重新界定假名化資料之適用範圍,以回應AI發展對資料可用性之需求。同時,亦有放寬部分資料利用條件及優化資料主體權利行使機制之構想。惟此類措施雖有助於降低企業法令遵循負擔,亦引發是否削弱既有個資保護標準之討論。
整體而言,Digital Omnibus反映歐盟數位法制已由「體系建構」進一步邁入「制度調和與再平衡」階段,而企業所面對的法令遵循挑戰,亦由理解單一法規,轉為掌握多法規間之平衡與互動。
三、台灣法制發展:《人工智慧基本法》
在台灣法制方面,《人工智慧基本法》已於2025年1月14日制定公布,正式建立AI治理之制度基礎。該法採風險導向架構,並揭示AI發展應遵循之基本原則,包括隱私與資料保護、透明性、公平性及問責機制等,與歐盟AI Act之精神具有高度一致性。其亦強調AI應以人為本,避免對個人權益造成不當影響。
雖該法目前仍屬原則性規範,尚待主管機關制定細部規則,但已明確指出未來法令遵循方向,例如風險分類管理、高風險AI之責任分配及監理機制建立。因此,企業在台灣導入AI系統時,除需符合既有個人資料相關法令外,亦應預先建構符合AI治理要求之制度,以確保未來法令遵循之銜接。
四、企業實務:AI法令遵循的關鍵措施
面對複雜的法遵環境,企業於建置AI系統時,應從資料治理與制度設計層面建立具體且可執行之法令遵循機制。首先,企業應進行全面性的資料盤點與分類,以釐清AI系統所使用資料之性質、來源及是否涉及個人資料,並據以評估相關法令適用範圍。在此基礎上,企業亦須明確界定AI系統之使用目的,並檢視既有隱私政策與告知內容,確認其是否已涵蓋相關資料處理行為,以避免產生目的外利用之疑慮。
其次,在資料利用與模型訓練階段,企業應審慎選擇適當之法律依據,例如評估是否得以正當利益作為AI訓練之基礎,並完成必要之利益衡量分析。同時,應將隱私保護設計(privacy by design)內嵌於系統開發流程,在早期即納入資料最小化、存取控管及資訊安全等機制,以降低資料外洩或不當利用之風險。
此外,在導入外部AI服務或委外進行模型訓練時,企業應透過契約明確界定資料處理之角色分工與責任歸屬,並確保供應商符合相關法令要求及資安標準。整體而言,企業宜建立跨部門之AI治理架構,由法務、資安及技術部門共同參與風險評估與決策,以確保AI系統在整體運作過程中維持一致且可驗證之法令遵循狀態。
五、結論
整體而言,AI監管正快速由單一法規走向整合式治理,企業所面對的挑戰,已不僅是個資法之遵循,而是能否在多重制度下維持一致且可驗證的法令遵循能力。AI發展不僅是技術競賽,更是治理能力的競爭,企業的AI競爭力,將取決於其整體法令遵循與治理能力。
[1] https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
[2] https://digital-strategy.ec.europa.eu/en/faqs/digital-package
