AI 治理教學手冊(AI Governance Handbook) 版本:v3.0
適用對象:管理團隊 + 開發團隊
最後更新:2026-05-06
分類:企業內部標準文件(技術白皮書等級)
文件編號:GOV-AI-001
機密等級:內部使用
版本歷程 版本 日期 修訂內容 修訂人 v1.0 2026-05-06 初版發行 AI 治理委員會 v2.0 2026-05-06 全面更新法規對照、新增生成式 AI 治理專章、補充台灣《人工智慧基本法》與國際標準最新動態 AI 治理委員會 v3.0 2026-05-06 依據 EU AI Act 最新施行進度更新(含八大禁止實踐、GPAI Code of Practice 第三版)、補充金管會 AI 自律規範、強化 AI 素養與跨境治理章節、新增數位發展部評測指引落地實務 AI 治理委員會 目錄 1. AI 治理總體架構(Governance Framework) 1.1 AI 治理目標 1.2 三道防線(Three Lines of Defense) 1.3 AI 風險分類 1.4 與 IT Governance / Data Governance 關聯 2. AI 在 SSDLC 各階段治理 2.0 SSDLC 全景圖 2.1 Requirement(需求階段) 2.2 Design(設計階段) 2.3 Development(開發階段)— AI Coding 2.4 Testing(測試階段) 2.5 Deployment(部署階段) 2.6 Maintenance(維護階段) 3. AI Coding 工具治理 3.1 工具對照與管理 3.2 Prompt 管理(Prompt Governance) 3.3 輸出驗證(Output Validation) 3.4 Code Review 政策 3.5 禁止事項 3.6 AI Hallucination 控制 4. 公司 AI 治理章程(Policy) 4.1 AI 使用政策 4.2 AI 開發規範 4.3 資料使用規範 4.4 模型使用規範 4.5 第三方 AI 管理 5. 標準作業程序(SOP) 5.1 AI 開發流程 SOP 5.2 Prompt 使用 SOP 5.3 AI Code Review SOP 5.4 AI 產出驗證 SOP 5.5 AI 事件通報 SOP 6. 驗證與稽核機制(Validation & Audit) 6.1 AI 產出驗證方法(Test Strategy) 6.2 安全掃描(SAST / DAST) 6.3 AI 風險評估 6.4 稽核流程(Audit Checklist) 6.5 Logging & Traceability 7. AI 風險管理(Risk Management) 7.1 風險總覽 7.2 各風險詳細分析與控制 8. 技術落地架構(Architecture) 8.1 AI Gateway 架構 8.2 Prompt Registry 設計 8.3 Audit Log 系統 8.4 Secure Proxy 設計 8.5 DevSecOps 整合 9. 管理層決策建議(Executive Guide) 9.1 KPI / KRI 9.2 AI 成本控管 9.3 導入策略(Phase 1~3) 9.4 組織設計(AI Governance Team) 10. 生成式 AI 治理專章(Generative AI Governance) 10.1 生成式 AI 風險特論 10.2 大型語言模型(LLM)使用規範 10.3 AI Agent 與自動化工作流治理 10.4 生成式 AI 倫理框架 11. 附錄(Templates) 11.1 AI 使用申請表 11.2 Prompt Template 範例 11.3 AI Risk Assessment 表 11.4 Code Review Checklist(AI 產出專用) 12. AI 素養與教育訓練體系(AI Literacy & Training) 12.1 AI 素養框架 12.2 分層培訓體系 12.3 培訓成效評估 13. 跨境資料傳輸與多法域合規(Cross-border & Multi-jurisdiction) 13.1 跨境資料傳輸治理 13.2 多法域合規矩陣 13.3 國際合作與互認機制 檢查清單(Checklist) 法規與標準對照表 台灣法規 法規/標準 主管機關 核心要求 最新動態 與本手冊對應章節 《人工智慧基本法》 行政院/國科會 AI 發展與治理基本原則、風險分級管理、產業推動、人才培育、倫理規範;確立七大基本原則為我國 AI 施政主軸 2024 年 7 月行政院通過草案、2025 年 1 月立法院三讀通過並經總統公布,為台灣首部 AI 專法。國科會據此研擬各領域子法與施行細則,預計 2026 年陸續公告 1, 4, 7, 10, 12 金管會「金融業運用AI核心原則與相關推動政策」 金管會 建立治理與問責機制、重視公平性及以人為本、保護隱私及客戶權益、確保系統穩健及安全、落實透明性及可解釋性、促進永續發展 2023 年 10 月發布六大核心原則;2024 年底要求金融機構完成 AI 應用盤點與風險評估;2025 年公布「金融業 AI 應用自律規範」作為補充指引,要求金融機構於 2026 年底前完成治理架構建置 1, 4, 7 金管會「金融業 AI 應用自律規範」 金管會 涵蓋 AI 模型驗證、風險分級管理、客戶告知義務、內部稽核要求、委外管理、AI 模型生命週期管理 2025 年發布,為金融業 AI 治理最具體之操作指引,要求金融機構建立 AI 模型清冊與模型風險管理制度 1, 4, 6, 7 《個人資料保護法》 國發會(個資保護委員會籌備中) 資料蒐集/處理/利用需取得當事人同意、安全維護義務、跨境傳輸限制、自動化決策當事人權利保護 2023 年修正通過,強化自動化決策當事人權利保護,增訂資料可攜權。個人資料保護委員會(獨立機關)持續籌備中 4, 7, 13 《資通安全管理法》 數位發展部 資安防護基準、事件通報(一至四級)、稽核評鑑、供應鏈安全管理 2023 年修正,納入 AI 系統為關鍵資通系統之安全要求;2025 年增修「資安事件通報及應變辦法」納入 AI 相關事件態樣 5, 6 行政院「AI 新十大建設推動方案」 國發會/行政院 AI 基礎建設、算力提升、產業應用、人才培育、法制環境、國際合作 114 年至 117 年(2025-2028)推動中,包含建置國家級 AI 算力中心、推動 AI 人才培育計畫、建立 AI 沙盒機制 9 數位發展部「AI 產品與系統評測指引」 數位發展部 AI 系統可信賴性評測、技術驗證、七大評測面向(準確性、公平性、透明性、安全性、隱私保護、可靠性、可課責性) 2024 年發布草案,2025 年正式施行。配合推出「AI 評測實驗室認證計畫」,協助企業取得第三方驗證 6, 12 國科會「負責任 AI 研發指引」 國科會 AI 研發倫理規範、資料治理原則、利害關係人參與、風險評估方法論 2025 年發布,供學研界與產業界遵循,強調以人為本的 AI 研發實踐 10, 12 國際法規與標準 法規/標準 管轄範圍 核心要求 最新動態 與本手冊對應章節 EU AI Act(Regulation 2024/1689) 歐盟/具域外效力 AI 風險四級分類(不可接受/高/有限/最低)+ 通用目的 AI(GPAI)專章;明定八大禁止實踐 2024 年 8 月 1 日正式生效;2025 年 2 月起八大禁止實踐生效(含操控行為、社會評分、特定生物辨識等),歐盟委員會同步發布《禁止 AI 實踐指南》與《AI 系統定義指南》;2025 年 8 月起 GPAI 規定適用(Code of Practice 第三版草案已於 2025 年 3 月公布);2026 年 8 月起高風險 AI 與透明度規定全面適用(部分延至 2027 年 8 月);2026 年 3 月發布 AI 生成內容標記與標籤 Code of Practice 第二版草案 1, 7, 10, 13 ISO/IEC 42001:2023 國際 AI 管理系統(AIMS)建立、實施、維護與持續改善之要求;為全球首個 AI 管理系統國際標準 2023 年 12 月正式發布,可作為第三方認證依據。截至 2025 年底全球已有超過 500 家組織取得認證,台灣已有認證機構提供服務 1, 6 ISO/IEC 23894:2023 國際 AI 風險管理指引,與 ISO 31000 整合,提供 AI 特定風險識別與處理方法 2023 年 2 月發布,已成為各國 AI 風險管理實務之重要參考 7 ISO/IEC 38507:2022 國際 AI 使用之治理影響,為組織治理層提供 AI 治理指引 2022 年發布,與 ISO/IEC 42001 形成互補的治理標準體系 1, 9 ISO/IEC 25059:2023 國際 AI 系統品質模型,擴展 SQuaRE 系列至 AI 系統品質評估 2023 年發布,為 AI 系統品質量測提供標準化框架 6 NIST AI RMF 1.0 美國/國際參考 AI 風險管理四大功能:治理(Govern)、對應(Map)、量測(Measure)、管理(Manage) 2023 年 1 月發布;NIST 生成式 AI 風險概覽(AI 600-1)於 2024 年 7 月發布,涵蓋 12 類生成式 AI 獨有風險;NIST 持續發展 AI 評估方法論(AI 100 系列) 7 OECD AI Principles 國際(38 國+夥伴國) 包容性成長、永續發展、以人為本、透明與可解釋、穩健安全、問責 2024 年 5 月更新修訂版,新增生成式 AI 與基礎模型相關建議;2025 年持續推動 AI 治理指標框架與跨國比較研究 1, 9, 10 UNESCO AI 倫理建議書 國際(193 國) AI 倫理四大價值:尊重人權、多元包容、和平公正、環境永續;十大原則 2021 年 11 月通過,2024 年進行首次全球執行狀況評估(Readiness Assessment),顯示約 60% 會員國已啟動相關立法 10 美國白宮 AI 行政命令 美國 安全、可信賴 AI 發展與使用 EO 14110 於 2023 年 10 月發布,2025 年 1 月 20 日被新任總統撤銷;惟 NIST 技術標準工作持續進行,各州級 AI 立法(如科羅拉多州 SB24-205)持續推動 7 G7 廣島 AI 程序與行為準則 G7 國家 先進 AI 系統開發者的國際行為準則,含 11 項自願承諾 2023 年 10 月發布;2024 年 G7 峰會持續推動並擴大至非 G7 夥伴國參與;2025 年加拿大 G7 輪值主席持續深化 AI 治理議題 1, 9 新加坡 AI Verify 亞太 AI 系統可信賴性測試框架,涵蓋透明度、公平性等九大面向 持續更新,已成為亞太地區重要的 AI 治理參考框架 6 中國《生成式人工智能服務管理暫行辦法》 中國大陸 生成式 AI 服務提供者之義務、內容安全、資料標註要求 2023 年 8 月施行;後續陸續發布《人工智能安全治理框架》等配套規範 10, 13 1. AI 治理總體架構(Governance Framework) 1.1 AI 治理目標 本公司 AI 治理制度之目標:
...