M01.12｜AI 治理實務：金管會指引、公部門手冊與 AI 產品評測

一句話搞懂

AI 基本法告訴你「要做什麼」，這些指引告訴你「怎麼做」。

白話解說

上一講我們學了 AI 基本法的七大原則，但原則是「方向」，不是「做法」。就像交通規則說「要安全駕駛」，但實際上路你需要的是駕訓班教你怎麼看後照鏡、怎麼打方向燈、怎麼判斷安全距離。這一講就是 AI 治理的「駕訓班」。

目前台灣最重要的三份 AI 治理實務文件，加上一個創新機制：

一、金管會《金融業運用人工智慧指引》

金管會是台灣最早針對 AI 發布具體指引的監管機關。這份指引的適用範圍很廣：所有金融業，包括銀行、保險、證券、投信投顧、期貨。不是只有銀行，這是考試常見陷阱。

指引的四大核心要求：

模型風險管理：金融機構必須建立 AI 模型的「生命週期管理」，從開發、驗證、上線、監控到退場，每個階段都要有紀錄。想像成藥品管理：每一批藥都要有生產紀錄、品質檢驗報告、上架後的不良反應追蹤。AI 模型也一樣。

可解釋性要求：如果 AI 做出了影響客戶權益的決策（例如拒絕貸款、調高保費、凍結帳戶），金融機構必須能夠解釋原因。不能只說「模型說不行」。實務上，許多金融機構採用 SHAP 值或 LIME 等技術來拆解模型的決策因素，產出「前三大影響因素」讓客戶和監管機關理解。

人工覆核（Human Review）：高風險決策不能完全交給 AI。信貸審核、保險理賠、洗錢防制等場景，必須有人類專業人員做最終判斷。AI 的角色是「輔助」，不是「取代」。這和基本法的「人類自主」原則完全呼應。

消費者告知：如果客戶正在和 AI 互動（例如 AI 客服、AI 理財顧問），金融機構必須明確告知客戶「你正在和 AI 對話」。不能讓客戶以為自己在跟真人說話。

二、數位發展部《公部門 AI 應用參考手冊》

這份手冊是給政府機關用的，提供了一套「AI 導入前的風險評估框架」。核心概念是：不是所有 AI 應用都需要同等強度的管理，要先判斷風險等級。

風險等級判定的考量因素：

• 影響範圍：這個 AI 決策影響多少人？影響一個人和影響一百萬人的管理強度不同。
• 決策後果：錯誤決策的後果有多嚴重？AI 推薦午餐選擇 vs. AI 判斷是否發放急難救助金，嚴重程度天差地別。
• 可逆性：錯誤能不能補救？推薦了一部爛電影可以重選，但錯誤拒絕急救資源可能造成不可逆的傷害。
• 弱勢族群：受影響的是否為弱勢族群（兒童、老人、身心障礙者）？弱勢族群受到 AI 偏見傷害的風險更高，需要更嚴格的把關。

判定為高風險的 AI 應用，手冊要求必須做到：事前影響評估、定期偏見檢測、人工覆核機制、使用者申訴管道、退場機制（如果 AI 表現不如預期，要能快速下架回到人工作業）。

三、AI 產品與系統評測制度

數位發展部正在推動的 AI 產品與系統評測制度，目標是建立一套「AI 品質標章」。你可以把它想成 AI 界的 ISO 認證：通過評測的 AI 產品，代表它在安全性、公平性、可解釋性等方面達到一定標準。

評測的面向包括：功能正確性、資安防護、隱私保護、公平性、可解釋性、穩健性（在極端情況下的表現）。對企業來說，取得評測認證一方面是合規加分，另一方面也是市場競爭力的展現——客戶會更信任有「品質標章」的 AI 產品。

四、創新實驗環境（Regulatory Sandbox）

Regulatory Sandbox（監理沙盒 / 創新實驗環境）是 iPAS 114 年第四次考試考過的重要概念（Q9）。它的核心思想是：在限定的範圍和時間內，暫時豁免部分法規限制，讓企業可以測試創新的 AI 應用。

為什麼需要 Sandbox？因為 AI 技術發展太快，法規往往跟不上。如果企業每次想嘗試新的 AI 應用都要等法規修改完才能動手，創新就會被法規拖慢。Sandbox 的解法是：你可以先在一個「安全的沙箱」裡實驗，監管機關會在旁邊觀察，如果實驗成功且風險可控，再修改法規正式開放。

台灣在金融領域已經有《金融科技發展與創新實驗條例》作為 Sandbox 的法源。AI 基本法通過後，未來其他領域也可能建立類似的實驗環境。

Sandbox 的三個關鍵特性：限定範圍（只在特定地區或特定客群內實驗）、限定時間（通常 6-18 個月）、持續監管（不是不管，是換一種管法）。

應用場景

場景一：金融業 AI 核貸系統如何符合金管會指引

一家證券公司開發了 AI 信用評等模型，用來決定融資融券額度。在上線前，合規團隊根據金管會指引進行了以下對照：

• 模型風險管理：建立模型開發文件，記錄訓練資料來源、特徵選取邏輯、模型版本紀錄。設定每季回測一次模型效能，如果準確率下降超過 5% 自動觸發重新訓練。
• 可解釋性：模型對每位客戶產出信用評等時，同步產出「前五大影響因素」報告。例如：「額度降低原因：(1) 近三月交易頻率下降 42% (2) 帳戶淨值低於保證金維持率 (3) 持股集中度過高」。
• 人工覆核：額度超過 500 萬或評等變動超過兩級的案件，強制進入人工審核流程。AI 建議只做參考，最終由資深分析師核定。
• 消費者告知：客戶 App 中新增說明頁面：「您的融資額度由 AI 模型輔助評估，最終由本公司專業人員審定。如有疑問，請聯繫您的營業員。」

場景二：公部門用 AI 做人才篩選的風險評估

某中央部會計畫用 AI 系統輔助公務人員甄選，自動從上千份履歷中篩選出初審合格名單。人事處依據《公部門 AI 應用參考手冊》進行風險評估：

• 影響範圍：每年約 3,000 人報考，影響範圍中等。
• 決策後果：未通過初審者失去面試機會，影響職涯發展，後果嚴重。
• 可逆性：如果初審錯誤排除了合格者，該應徵者無法自行發現被 AI 排除。可逆性低。
• 弱勢族群：公務人員考試有身障特考等制度，AI 必須確保不會對身障應徵者產生不利。

風險判定：高風險。因此必須執行：

1. 上線前做公平性測試（各年齡層、性別、學歷的通過率是否有統計顯著差異）。
2. AI 篩選結果僅作為「參考名單」，所有被 AI 排除的履歷仍需人工抽查至少 20%。
3. 建立申訴管道：應徵者可申請查看初審未通過的原因說明。
4. 設定退場條件：如果上線三個月後發現 AI 篩選的面試到考率或錄取率明顯異常，立即回到全人工審查。

常見誤區

1. 「金管會指引只適用於銀行」 — 錯。金管會指引適用於所有金融業：銀行、保險公司、證券商、投信投顧、期貨商。只要是金管會監管的金融機構，使用 AI 就要遵守。甚至金融科技公司（FinTech）如果和金融機構合作提供 AI 服務，也間接受到約束。

2. 「公部門不能用 AI」 — 完全可以。政府機關不但可以用 AI，行政院還積極鼓勵各部會導入 AI 提升行政效率。但前提是要做好風險評估、建立人工覆核機制、確保資料安全。《公部門 AI 應用參考手冊》就是為了讓政府機關「安心用、正確用」而設計的。

3. 「Regulatory Sandbox 等於不用管法規」 — 大錯特錯。Sandbox 不是「法外之地」，而是「有條件的法規豁免」。進入 Sandbox 的企業必須提出詳細的實驗計畫、風險控管措施，並接受監管機關的全程監督。實驗過程中如果發生重大風險事件，監管機關可以隨時終止實驗。Sandbox 的精神是「先試再說」，不是「不管就好」。

小練習

1. 治理工具配對：以下四個情境，分別應該參考哪一份治理文件來處理？

   (a) 一家壽險公司想用 AI 自動審核理賠申請。

   (b) 衛福部想用 AI 分析健保資料來預測疾病趨勢。

   (c) 一家 AI 新創想推出「AI 法律諮詢」服務，但現行法規只允許律師提供法律意見。

   (d) 一家 AI 公司想申請政府標案，需要證明自家產品的品質。