台灣《人工智慧基本法》白話解讀：企業現在要做什麼？

2026-06-11 17:30:00 AI 資安與企業規範

這篇文章把 2026 年公布施行的《人工智慧基本法》翻成白話，拆解框架法的意義、七大原則、與個資法的關係，並附上企業 90 天準備清單。適合需要回答「公司現在到底要做什麼」的法遵、資安與管理層閱讀。

一部「沒有罰則」的法律，為什麼你還是要讀

2025 年 12 月 23 日，立法院三讀通過《人工智慧基本法》，台灣有了第一部 AI 專法；2026 年 1 月 14 日總統公布、同日施行。全文只有二十條，而且——先講結論——裡面沒有任何一條罰則。

那企業是不是可以當作沒這回事？我在內訓現場被問過好幾次這個問題，答案是：現在不痛，不代表不用準備。這部法是「框架法」，它本身不開罰單，但它畫出了未來幾年所有 AI 管制的地圖——之後各部會訂出來的管理規範、主管機關的查核重點、甚至客戶稽核你的供應商問卷，都會長在這張地圖上。這篇我用講師的方式，把它翻成企業聽得懂的行動清單。

先把現況講清楚：通過了什麼、誰來管

根據數位發展部的新聞稿與全國法規資料庫的條文全文，這部法的骨架是：

主管機關：中央是國科會，地方是各直轄市與縣市政府。數位發展部負責一件對企業特別重要的事——參考國際標準，推動以風險為基礎的 AI 風險分類框架，讓後續的管理規範有共同的分級語言。

七大治理原則：政府推動 AI 研發與應用，應遵循永續發展與福祉、人類自主、隱私保護與資料治理、資安與安全、透明與可解釋、公平與不歧視、問責。注意「資安與安全」被單獨列為一項原則——對我這個資安背景的人來說，這是整部法最明確的訊號：AI 治理與資安治理在台灣的法制裡是綁在一起的。

後續機制：行政院要成立國家人工智慧戰略特別委員會、訂定國家 AI 發展綱領；各部會也要在期限內檢討調整主管法規，把基本法的原則落成各行業的具體規範。

「框架法」是什麼意思：先畫地圖，再蓋房子

很多人看到「基本法」三個字，以為是「最基本的規定、違反就罰」。剛好相反。台灣法制裡的基本法（像《教育基本法》《原住民族基本法》）是宣示方向、分配權責、要求後續立法的法律，它管的對象主要是政府，不是直接管企業。

用一個比喻：基本法是都市計畫圖，不是建築法規。都市計畫圖不會罰你蓋錯房子，但它決定了哪裡是住宅區、哪裡是工業區——之後所有建築法規都依著它來。對企業的意義是：現在看基本法，看的不是「我會被罰什麼」，而是「風向往哪吹」。從條文能讀出三個明確風向：

一、管制會走風險分級路線，和歐盟 AI Act 的邏輯接軌——高風險應用管得嚴，低風險應用給空間。你的 AI 應用未來會被問的第一個問題是「風險等級多高」。
二、各行業的主管機關會接手。金管會管金融業的 AI、衛福部管醫療的 AI——你要盯的不只是基本法，是你所屬產業主管機關接下來發布的規範。
三、資安、隱私、可問責是不變的底線，七大原則已經把它們寫死了。

對企業的實際影響：分三層看，不用全部緊張

第一層：現在就該做（所有用 AI 的企業）

這一層跟罰則無關，跟「你已經在承擔的風險」有關：

一、盤點公司內的 AI 使用現況。誰在用、用什麼工具、餵了什麼資料。連自己公司有多少 AI 應用都答不出來，後面什麼合規都談不了。
二、訂出第一版 AI 使用規範。不用完美，先求有——我寫過一篇從零到可送審的規範草案怎麼生，一個下午就能有第一版。
三、把個資從 AI 流程裡管好（下一節細講）。這部分不是「未來式」，個資法現在就有罰則。

第二層：觀察中（特定產業與高風險應用）

如果你的 AI 應用涉及信用評等、醫療判斷、人資決策（招募篩選、績效評核）、或直接面對消費者的自動化決策，你大概率落在未來的「較高風險」分類。現在要做的不是停用，而是：留下紀錄（模型怎麼選、資料哪來的、人工覆核在哪一關），並指定一個人追蹤你的產業主管機關動態。等規範出來才開始補文件，會非常痛苦。

第三層：不用恐慌（多數中小企業的日常使用）

員工用 AI 寫信、整理會議紀錄、生成行銷初稿——這些低風險應用不會是管制重點。基本法的精神本來就是「促進發展」與「治理」並重，立法過程中產業界最關心的「會不會管太嚴」，最後的版本選擇了相對寬鬆的框架路線。不需要因為一部法通過就全面禁用 AI——那只會把使用趕到地下，變成更難管的影子 AI。

跟個資法的關係：新地圖，舊罰單

注意：這是企業最容易誤判的一點：AI 基本法沒有罰則，不代表你用 AI 沒有法律風險——因為個資法一直都在。

基本法的條文裡明確要求 AI 的發展要兼顧個人資料保護、避免不必要的個資蒐集處理利用，並把「隱私保護與資料治理」列為七大原則之一。換句話說，兩部法的關係是：基本法畫方向，個資法執罰單。實務上最常見的三個踩線場景：

一、員工把含客戶個資的名單貼進免費 AI 工具——個資的「利用」超出蒐集時的目的，而且資料出境了。
二、用 AI 分析會員行為做自動化決策，但隱私權政策裡隻字未提。
三、訓練或微調模型時用了含個資的內部資料，沒做去識別化。

這三個場景在基本法通過前就違法，通過後只是更容易被注意到。如果你的 AI 治理還沒起步，從「個資不進未經核可的 AI 工具」這一條開始，是投資報酬率最高的起點。

企業 90 天準備清單

把上面的內容收斂成一張可以執行的時間表：

第 1–30 天：盤點。 發匿名問卷盤點各部門 AI 使用現況；列出公司現有 AI 應用清單（含採購的與員工自用的）；標記哪些流程碰到個資與機敏資料。

第 31–60 天：定規則。 產出第一版 AI 使用規範（資料分級、工具白名單、通報流程）；對高風險應用建立紀錄文件（用途、資料來源、人工覆核點）；指定法遵或資安窗口追蹤產業主管機關的後續規範。

第 61–90 天：教育與演練。 對全員做一次 AI 使用規範宣導（重點放個資場景）；對高風險應用的負責團隊做深度訓練；演練一次「員工誤把個資貼進 AI 工具」的通報處理。資安視角的 AI 風險教育怎麼設計，可以參考我的 AI 資安課程。

流程總覽

flowchart TD A["AI 基本法公布施行"] --> B["第 1-30 天：盤點 AI 使用與資料流"] B --> C{"涉及個資或機敏資料？"} C -->|是| D["優先處理：個資法現在就有罰則"] C -->|否| E["納入一般使用規範"] D --> F["第 31-60 天：訂使用規範與高風險紀錄"] E --> F F --> G["指定窗口追蹤產業主管機關規範"] G --> H["第 61-90 天：全員宣導與通報演練"] H --> I{"產業規範發布？"} I -->|是| J["對照調整，文件早已備齊"] I -->|尚未| G

小結

《人工智慧基本法》是框架法，全文二十條、沒有罰則，管的主要是政府，但它畫出未來所有 AI 管制的地圖
管制會走風險分級路線，各產業主管機關會接手訂具體規範，要盯的是你所屬產業的後續動態
企業影響分三層：所有企業先盤點與訂規範，高風險應用留紀錄，多數中小企業的日常使用不必恐慌
基本法畫方向、個資法執罰單，個資進未經核可的 AI 工具的風險現在就存在
用 90 天完成盤點、定規則、教育演練，等產業規範出來時只需對照調整

下一步：把方向讀對，比跑得快重要

重點：基本法時代的合規策略，說穿了就一句話：用最小的成本，把自己放在風向正確的位置。

現在做盤點與規範的企業，等各部會的具體規範出來時，只需要「對照調整」；現在裝沒事的企業，到時候要「從零趕工」。

如果你想針對自家產業確認該落在哪一層、90 天清單怎麼排進現有的法遵與資安工作，歡迎來信預約 AI 治理與政策諮詢，信裡寫下產業別、AI 使用現況與最擔心的問題即可，我會帶著這篇的分層框架陪你把優先順序排出來。

本文為一般性說明，非法律意見；個案請洽法律專業人士。

#AI 基本法 #AI 治理 #法遵 #個資法 #企業合規