2024 年 8 月 1 日,歐盟《人工智慧法案》(Regulation (EU) 2024/1689)正式生效,成為全球首部針對人工智慧的綜合性立法框架。[1]這部法案的影響遠不止於歐盟 27 個成員國——它正在以一種被學界稱為「布魯塞爾效應」(Brussels Effect)的機制,重塑全球 AI 治理的規範版圖。根據 Stanford HAI 的《2025 年 AI 指數報告》,截至 2025 年底,全球已有 69 個國家通過了 AI 相關法規,較 2016 年增長了 23 倍。[2]然而,歐盟 AI 法案的獨特之處在於其域外適用效力——任何將 AI 系統投入歐盟市場的企業,無論其註冊地在布魯塞爾、矽谷還是新竹,都必須遵守這部法律。違規罰則最高可達全球年營收的 7% 或 3,500 萬歐元,取兩者中較高者。[1]對於台灣——一個以出口為導向、在全球半導體與電子產品供應鏈中佔據樞紐位置的經濟體——歐盟 AI 法案不是一個「遙遠的歐洲問題」,而是一個迫在眉睫的合規挑戰與戰略機遇。在我過去於劍橋大學從事科技治理研究的經驗中,以及現在帶領超智諮詢為企業提供 AI 策略服務的實踐裡,我深切感受到:理解歐盟 AI 法案的邏輯,已成為每一位台灣企業領導者的必備素養。

一、歐盟 AI 法案的架構邏輯:風險為本的治理哲學

歐盟 AI 法案的核心設計原則是「風險為本」(risk-based approach)——不是所有 AI 應用都需要相同程度的監管,而是根據其對基本權利與安全的潛在威脅程度,分為四個風險等級,施加不同強度的義務。[1]

第一級:不可接受的風險(Unacceptable Risk)。這類 AI 實踐被完全禁止,自 2025 年 2 月 2 日起生效。具體包括:利用潛意識技術操縱人類行為的 AI 系統、政府進行社會信用評分、在公共場所進行即時遠端生物辨識(執法例外情況受嚴格限制)、以及利用脆弱群體的 AI 系統。[3]這些禁令反映了歐盟對人類尊嚴與自主權的底線堅持——無論技術如何進步,某些應用場景是絕對不可接受的。

第二級:高風險 AI(High-Risk AI)。這是法案中最核心、也最複雜的類別,將於 2026 年 8 月 2 日全面適用。高風險 AI 系統涵蓋八大領域:生物辨識、關鍵基礎設施管理、教育與職業培訓、就業與人力資源管理、基本公共服務的獲取(如社會福利、信用評估)、執法、移民與庇護管理、以及司法與民主程序。[1]這些系統的提供者必須建立風險管理系統、確保訓練資料品質、維護技術文件、實施人類監督機制、並在投入市場前進行合規評估。值得注意的是,「高風險」的界定不僅看技術本身,更看應用場景——同一個 AI 模型用於推薦電影是最低風險,用於篩選求職者就成為高風險。

第三級:有限風險(Limited Risk)。主要涉及透明度義務。與人類互動的 AI 系統(如聊天機器人)必須告知用戶其正在與 AI 交互;生成深度偽造(deepfake)內容的系統必須標記其為 AI 生成;情感辨識系統必須告知被分析者。[4]這個類別的監管邏輯是「知情權」——用戶有權知道何時正在與 AI 互動。

第四級:最低風險(Minimal Risk)。垃圾郵件過濾器、AI 驅動的電子遊戲等應用不受特殊規範,體現了法案「不過度監管」的比例原則。

2025 年 8 月 2 日起生效的「通用目的 AI 模型」(General-Purpose AI Models, GPAI)規則,是法案中另一個具有深遠影響的章節。[5]所有 GPAI 模型的提供者——包括 OpenAI、Google、Meta、Anthropic 等——必須維護技術文件、遵守歐盟著作權法、並發布訓練內容的詳細摘要。被認定具有「系統性風險」(systemic risk)的模型(目前的門檻是訓練運算量超過 10²⁵ FLOPs)還必須進行對抗性測試、評估並緩解系統性風險、報告嚴重事件、並確保足夠的網路安全措施。這些規則對全球 AI 產業鏈的影響是結構性的——任何希望在歐盟市場部署其模型的基礎模型開發者,都需要重新審視其開發流程。

二、布魯塞爾效應:為何歐盟標準將成為全球標準?

哥倫比亞大學法學教授 Anu Bradford 在其開創性著作《布魯塞爾效應:歐盟如何治理世界》中,闡述了一個強有力的機制:歐盟如何透過其龐大的單一市場規模,單方面將其監管標準外溢為全球事實標準,而無需其他國家的同意或國際條約。[6]GDPR(歐盟《一般資料保護規則》)是這一效應最經典的案例——2018 年生效以來,全球已有超過 160 個國家制定或修訂了與 GDPR 高度相似的資料保護法律。[7]

布魯塞爾效應的運作依賴五個條件:市場規模、監管能力、嚴格標準、不可分割的目標(inelastic targets)、以及非分割性(non-divisibility)。在 AI 法案的語境中,這五個條件都成立。歐盟擁有 4.5 億消費者的統一市場;歐盟執委會擁有成熟的執法機制;法案的標準是全球最嚴格的;AI 企業無法輕易放棄歐盟市場(不可分割的目標);而且——這是關鍵的一點——許多跨國企業發現,維護兩套不同的 AI 治理體系(一套為歐盟合規、一套為其他市場)的成本高於直接以歐盟標準作為全球統一標準。[6]

這正是為什麼 Microsoft、Google、Meta 等科技巨頭在 GDPR 生效後選擇將歐盟標準全球化——不是因為它們認同歐盟的監管哲學,而是因為經濟理性使然。AI 法案將重演這一路徑。McKinsey 的分析指出,到 2027 年,全球 500 強企業中將有超過 60% 採用符合歐盟 AI 法案要求的全球統一 AI 治理框架。[8]

賽局理論的角度分析,布魯塞爾效應創造了一個「先行者優勢」(first-mover advantage)的監管賽局。在這個賽局中,歐盟作為首個制定 AI 綜合法規的經濟體,設定了全球基準線——後續所有國家的立法都必須參照這個基準線進行定位。加拿大的《人工智慧與資料法案》(AIDA)、巴西的 AI 法案草案、甚至中國在 2023-2025 年間陸續推出的一系列 AI 規範,都或多或少反映了歐盟風險分類架構的影響。[9]這不是巧合,而是制度趨同(institutional isomorphism)的必然結果——當一個具有市場力量的經濟體率先建立了監管典範,其他國家面臨的選擇不是「要不要監管」,而是「如何與這個典範對話」。

三、合規經濟學:成本、效益與賽局均衡

對企業而言,歐盟 AI 法案的合規不是一個是非題——而是一個複雜的經濟學問題。根據歐盟執委會自己的影響評估,一個中型企業為單一高風險 AI 系統建立合規體系的初始成本約為 6,500 至 8,500 歐元,持續的合規監控成本約為每年 3,000 至 7,000 歐元。[10]然而,產業界的估算普遍高於官方數字。一項針對歐洲 AI 企業的調查顯示,合規成本佔其年度預算的 5% 至 15%,中小企業的負擔尤為沉重。[11]

這些數字需要放在罰則的框架中理解。AI 法案的罰則結構是累進式的:違反不可接受風險的禁令——全球年營收的 7% 或 3,500 萬歐元;不遵守高風險 AI 系統的義務——3% 或 1,500 萬歐元;向主管機關提供不正確資訊——1.5% 或 750 萬歐元。[1]對於台灣的大型科技企業來說,這些罰則的絕對金額可能是天文數字。以台積電(2025 年全球營收約 950 億美元)為例,7% 的最高罰則意味著理論上高達 66.5 億美元的風險——儘管台積電的核心業務(半導體製造)大部分不直接落入 AI 法案的高風險範疇,但其為 AI 晶片提供的先進製程與封裝服務,可能在供應鏈層面涉及合規義務。

從賽局理論的角度,合規決策可以建模為一個不完全資訊的序列賽局。每家企業面臨三種策略:(A) 全面合規——投入最高成本,但消除所有罰則風險;(B) 選擇性合規——針對最高風險的系統優先合規,其餘暫緩;(C) 延遲合規——觀望執法態度再決定。在 GDPR 的前車之鑑下,策略 (C) 的風險已被充分驗證——2023-2025 年間,GDPR 罰款總額已超過 40 億歐元,Meta 因單一違規被罰 12 億歐元。[12]理性的企業應採取策略 (A) 或 (B),具體取決於其在歐盟市場的曝險程度。

值得注意的是,合規不僅是成本——它也可能成為競爭優勢。在一個資訊不對稱的市場中,通過 AI 法案合規認證的企業,向客戶與合作夥伴發出了一個可信的「品質信號」(quality signal)。[13]這類似於 ISO 認證在製造業中的角色——它既是市場准入的門檻,也是差異化的工具。歐盟 AI 法案第 40 條明確規定了「合規推定」機制——符合歐盟或國際標準的 AI 系統,可推定為符合法案要求。[1]這為台灣企業提供了一個策略窗口:及早投入建立符合歐盟標準的 AI 治理框架,可以在全球市場中獲得先行者優勢。

四、台灣的戰略定位:從合規壓力到制度優勢

台灣在全球 AI 生態系統中佔據一個獨特的位置——它不是 AI 基礎模型的主要開發者(不像美國或中國),但它是 AI 硬體基礎設施的不可或缺的供應者。全球超過 90% 的先進 AI 晶片由台積電製造;台灣的電子代工產業鏈(鴻海、廣達、緯穎等)是全球 AI 伺服器的主要生產基地。[14]這意味著台灣企業雖然可能不直接作為歐盟 AI 法案定義的 AI 系統「提供者」(provider),但作為「進口商」(importer)、「經銷商」(distributor)或供應鏈中的關鍵節點,仍然會受到法案的間接影響。

台灣在 2025 年 7 月通過《人工智慧基本法》,標誌著台灣正式進入 AI 治理的制度建構期。[15]然而,台灣的 AI 基本法目前仍以原則性宣示為主,缺乏歐盟 AI 法案那樣的具體義務與罰則機制。這創造了一個「制度落差」——台灣企業在國內市場可能感受不到合規壓力,但在面對歐盟市場時,可能因缺乏制度準備而處於劣勢。

我認為台灣應採取的策略是「制度套利」(regulatory arbitrage)的反面——不是利用制度落差來降低成本,而是主動「上修」國內標準至歐盟水準,以此作為提升產業競爭力的槓桿。具體建議包括:

第一,建立國家級 AI 風險分類框架。台灣的《人工智慧基本法》應以歐盟 AI 法案的風險分類為藍本,結合台灣的產業特性(如半導體、電子製造、醫療器材),制定適合台灣語境的高風險 AI 清單。這不是「複製」歐盟法律,而是在理解其邏輯後的「在地化轉譯」。

第二,推動 AI 合規認證生態系統。歐盟 AI 法案第 43 條規定了第三方合規評估(third-party conformity assessment)機制。[1]台灣可以培育本土的 AI 合規認證機構——這不僅服務台灣企業的歐盟市場准入需求,也可以成為服務東南亞市場的區域樞紐。台灣在 ISO/IEC 品質管理體系的豐富經驗,為此提供了堅實的基礎。

第三,將 AI 治理納入半導體地緣政治的戰略考量。台灣的半導體產業是其最大的地緣政治資產。在 AI 法案的框架下,確保台灣晶片在「負責任 AI」供應鏈中的定位,可以進一步鞏固台灣在全球 AI 生態系統中的不可替代性。

五、通用目的 AI 模型:基礎模型的合規新紀元

歐盟 AI 法案中關於「通用目的 AI 模型」(GPAI)的規範,可能是對全球 AI 產業影響最深遠的條款。這些條款首次為基礎模型(foundation models)的開發者創設了法律義務——而不僅僅是為下游的應用部署者。[5]

對所有 GPAI 模型提供者而言,基本義務包括:維護並在需要時向主管機關和下游部署者提供最新的技術文件;向下游的 AI 系統提供者提供足夠的資訊與文件,使其能夠理解模型的能力與限制;建立遵守歐盟著作權法的政策——特別是《數位單一市場著作權指令》(2019/790)中關於文字與資料探勘(text and data mining)的權利保留機制;以及發布關於訓練所使用內容的「足夠詳細的摘要」。[1]

對於被認定具有「系統性風險」的模型,額外義務顯著提升:必須進行包括對抗性測試在內的先進模型評估;評估並緩解系統性風險;報告可能構成嚴重事件的情況;確保足夠的網路安全保護。[16]目前,歐盟 AI 辦公室(AI Office)已開始制定實施準則(codes of practice),預計將進一步細化這些義務的操作標準。截至 2025 年底,OpenAI、Google、Anthropic 等主要 GPAI 模型提供者均已開始調整其開發流程以適應這些新要求。

這對台灣的影響路徑是間接但深刻的。台灣的 AI 產業以應用層為主——企業大多使用國際基礎模型(如 GPT、Claude、Gemini)進行二次開發與部署。在歐盟 AI 法案的框架下,這些企業作為 AI 系統的「部署者」(deployer),有權要求上游模型提供者提供合規所需的技術文件。這意味著台灣企業需要建立評估與管理 GPAI 供應商合規狀態的能力。

六、全球 AI 監管的賽局格局:三極體制的形成

歐盟 AI 法案的出台,加速了全球 AI 治理「三極體制」的形成:歐盟的規範驅動模式、美國的創新驅動模式、以及中國的國家安全驅動模式。[17]

歐盟模式以保護基本權利與促進可信任 AI 為核心目標,通過硬法(hard law)建立強制性的合規框架。美國在拜登政府時期的行政命令(Executive Order 14110)採取了較為溫和的路徑——以自願承諾(voluntary commitments)與行業自律為主要工具。[18]然而,川普政府在 2025 年 1 月 20 日撤銷了拜登的 AI 行政命令,轉向更為放鬆的監管立場,強調「消除 AI 創新的障礙」。[19]中國則採取了一條獨特的路徑——通過一系列針對特定 AI 應用的法規(演算法推薦管理規定、深度合成管理規定、生成式 AI 服務管理暫行辦法)建立了一個漸進式的監管體系,其核心關切是社會穩定與國家安全。[9]

在這個三極格局中,台灣的策略空間是有限但明確的。台灣既不具備歐盟那樣的市場規模來設定全球標準,也不具備美國或中國那樣的基礎模型開發能力。但台灣擁有兩個獨特的優勢:第一,在全球 AI 硬體供應鏈中的樞紐地位;第二,作為一個成熟民主國家,在「可信任 AI」(trustworthy AI)的制度建構上,與歐盟具有天然的價值親和性。[15]這意味著台灣的最優策略不是「在三極之間等距觀望」,而是主動向歐盟模式靠攏——不是基於政治選擇,而是基於經濟理性。對於以出口為導向的台灣產業而言,採用全球最嚴格的標準(即歐盟標準)作為國內基準,可以最大化其產品在全球市場的准入範圍。

七、結語:從合規成本到制度資本

歐盟 AI 法案不是一個單純的法律合規問題——它是 AI 時代制度建構的一個全球性實驗。正如 GDPR 從一部歐洲法律演變為全球隱私保護的事實標準,AI 法案正在走一條類似但影響更深遠的路徑。它不僅重塑 AI 企業的合規義務,更重新定義了「負責任的 AI 開發與部署」的全球規範。

對台灣而言,這既是挑戰也是機遇。挑戰在於,台灣的 AI 相關法制基礎設施仍處於早期階段,企業的合規意識與能力尚待建立。機遇在於,台灣在半導體、精密製造與品質管理方面的制度積累,為建立 AI 合規能力提供了堅實的基礎。更重要的是,在全球 AI 治理版圖正在成形的此刻,台灣有機會從一個「標準接受者」轉型為「標準共建者」——通過與歐盟在科技外交層面的制度對接,為全球 AI 治理貢獻台灣的經驗與視角。

合規的成本是確定的、可計算的;不合規的風險是不確定的、但可能是致命的。在這個計算中,理性的選擇是清晰的——將合規視為投資而非成本,將制度建構視為競爭力的來源而非負擔。歐盟 AI 法案的全球漣漪效應才剛剛開始,而台灣需要在漣漪到達之前,而非之後,做好準備。

陳弘益教授,日本名古屋大學法學博士。歷任英國劍橋大學研究員暨亞太地區代表、浙江大學國際聯合商學院 MBA 主任暨高管教育主任,為世界銀行、聯合國等國際機構主持跨國政策研究。現帶領超智諮詢,結合商學專業與前沿科技,提供 AI 及量子運算等領域的軟體開發及策略制定服務。策劃全球思想領袖論壇邀集逾 50 位國際領袖、累計觀眾逾 30 萬人次。

References

  1. European Parliament and Council. (2024). Regulation (EU) 2024/1689 of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union
  2. Maslej, N. et al. (2025). The AI Index 2025 Annual Report. Stanford Institute for Human-Centered Artificial Intelligence. aiindex.stanford.edu
  3. European Commission. (2025). AI Act: Prohibited AI Practices — Questions and Answers. digital-strategy.ec.europa.eu
  4. Future of Life Institute. (2024). The EU Artificial Intelligence Act: Summary and Analysis. artificialintelligenceact.eu
  5. European AI Office. (2025). General-Purpose AI Models in the AI Act. digital-strategy.ec.europa.eu
  6. Bradford, A. (2020). The Brussels Effect: How the European Union Rules the World. Oxford University Press. Oxford University Press
  7. DLA Piper. (2025). Data Protection Laws of the World. dlapiperdataprotection.com
  8. McKinsey & Company. (2025). The State of AI in 2025. mckinsey.com
  9. Carnegie Endowment for International Peace. (2025). Global AI Governance Tracker. carnegieendowment.org
  10. European Commission. (2021). Impact Assessment Accompanying the Proposal for the AI Act. SWD(2021) 84 final. digital-strategy.ec.europa.eu
  11. CEPS (Centre for European Policy Studies). (2025). Economic Impact of the AI Act on European SMEs. ceps.eu
  12. GDPR Enforcement Tracker. (2025). GDPR Fines Statistics. enforcementtracker.com
  13. Spence, M. (1973). Job Market Signaling. The Quarterly Journal of Economics, 87(3), 355–374. doi.org
  14. Semiconductor Industry Association. (2025). 2025 State of the U.S. Semiconductor Industry. semiconductors.org
  15. 行政院. (2025). 人工智慧基本法. 行政院
  16. Veale, M. & Zuiderveen Borgesius, F. (2021). Demystifying the Draft EU Artificial Intelligence Act. Computer Law Review International, 22(4), 97–112. doi.org
  17. Smuha, N. A. (2021). From a 'Race to AI' to a 'Race to AI Regulation': Regulatory Competition for Artificial Intelligence. Law, Innovation and Technology, 13(1), 57–84. doi.org
  18. The White House. (2023). Executive Order 14110 on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence. whitehouse.gov
  19. The White House. (2025). Executive Order: Removing Barriers to American Leadership in Artificial Intelligence. whitehouse.gov
返回洞見