淨零未來

9.工業化、創新及基礎建設專題焦點

負責任AI治理:製造業如何對齊 EU AI Act 與國際準則

7/15/2026

  • 作者 詹家和 博士

負責任 AI 治理:製造業如何把 EU AI Act 變成企業韌性

文/詹家和博士
中華永續科技創新發展協會祕書長、詹博士談永續專欄作家、台灣ESG書友會創辦人

製造業過去談 AI,多半從三個字開始:良率、效率、成本。
但現在,企業必須再多問三個問題:誰負責?誰監督?誰能證明?

當 AI 進入產線、品質、人資、工安、設備控制與供應鏈管理,它就不再只是資訊部門的新工具,而是企業治理的一部分。尤其在歐盟《AI Act》逐步適用後,AI 會被客戶稽核、被法規檢視,也可能影響訂單信任與市場準入。

歐盟官方資訊顯示,AI Act 已於 2024 年 8 月 1 日生效,原則上於 2026 年 8 月 2 日全面適用;其中,禁止的 AI 作法與 AI 素養義務已自 2025 年 2 月 2 日開始適用,通用型 AI 模型相關治理規則已自 2025 年 8 月 2 日開始適用。歐盟官方頁面亦指出,AI omnibus 簡化方案已於 2026 年 5 月 7 日達成政治協議,並設定高風險 AI 系統的新實施時間表:特定高風險領域系統預計自 2027 年 12 月 2 日適用,整合於產品中的高風險 AI 系統則預計自 2028 年 8 月 2 日適用。不過,歐盟理事會新聞稿也提醒,該政治協議仍屬 provisional agreement,需經理事會與歐洲議會背書並完成正式程序後,才會正式通過(European Commission, n.d.; Council of the European Union, 2026)。

本文要談三件事:第一,EU AI Act 對製造業釋放什麼治理訊號;第二,工廠現場哪些 AI 應用最容易踩到風險;第三,企業如何把 AI 治理做成像 ESG 一樣可稽核、可改善、可複製的日常能力。

一、AI 導入得快,不代表企業轉型得好

AI 真正的挑戰,不是企業有沒有導入,而是導入之後能不能說得清楚、管得住、查得到、改得動。

在製造業現場,AI 往往是從效率場景開始落地。影像檢測可以降低人工作業誤差,預測維護可以減少停機損失,智慧排程可以提升產能利用率,生成式 AI 可以協助工程、採購、品保與客服整理資料。這些都是好事。

但問題也從這裡開始。

當 AI 判斷一批產品是否合格,品保主管要問:判斷依據是什麼?
當 AI 建議設備是否停機,廠長要問:若判斷錯誤,誰負責?
當 AI 協助排班或績效評估,人資主管要問:是否公平?能否申訴?
當客戶前來稽核,管理團隊要問:我們拿得出治理證據嗎?

我在企業輔導現場常看到一個現象:很多公司以為自己只是「試用 AI」,但其實 AI 已經悄悄進入決策流程。它可能藏在設備商提供的系統裡,藏在 SaaS 平台裡,也可能藏在員工每天使用的生成式 AI 工具裡。管理層若不知道 AI 在哪裡,就很難知道風險在哪裡。

AI 可以助知,但企業仍要靠人明辨。
沒有治理的 AI,可能只是更快的風險。

二、EU AI Act 的真正訊號:AI 進入可稽核時代

EU AI Act 給企業的提醒,不只是歐盟開始管理 AI,而是 AI 已經從「技術議題」進入「治理議題」。

對製造業而言,這個訊號比法條本身更重要。因為未來企業面對的,不只是主管機關,而是客戶、品牌商、投資人、供應鏈夥伴、員工與社會大眾。他們關心的不只是企業有沒有 AI,而是 AI 是否可信任。

所謂可信任,不是口號,而是四個能力。

第一,可追溯。企業要知道 AI 用了什麼資料、什麼模型版本、誰核准上線、何時變更。
第二,可監督。關鍵決策不能完全交給黑盒子,人必須能介入、覆核與否決。
第三,可申訴。當 AI 影響員工、客戶或利害關係人權益時,必須有回應與補救機制。
第四,可改善。AI 上線後仍要持續監測錯誤、偏誤、漂移、資安與營運風險。

歐盟理事會指出,2026 年 5 月 7 日的協議仍屬 provisional agreement,後續必須經理事會與歐洲議會背書,並完成法律語言修訂後才會正式通過(Council of the European Union, 2026)。這代表企業不能只背法條日期,而要建立一套能跟著制度演進而調整的治理機制。

法規會變,客戶要求會變,技術工具也會變;但企業若有清冊、分級、責任、證據與改善機制,就能在變動中保持穩定。

三、製造業最容易踩到的,不是 AI 技術,而是 AI 使用場景

製造業真正的 AI 風險,往往不在模型多複雜,而在它影響了誰、改變了什麼決策、企業是否有能力負責。

1. 人資與用工管理:AI 一旦影響人,就不能只看效率

AI 若用於招募篩選、排班、績效評估、訓練推薦、離職預測或人力調度,表面上是在提高管理效率,實際上卻可能碰到公平性、歧視風險、勞動權益與申訴機制。EU AI Act 附件 III 將就業、勞工管理與自雇活動取得等應用納入高風險 AI 系統範圍,包括招募、篩選、工作關係條件、升遷、解雇、任務分配,以及績效與行為評估等情境(European Parliament and Council of the European Union, 2024)。

主管看到的是效率,員工感受到的可能是不透明。
系統給出的是分數,人感受到的可能是不公平。
企業以為自己在優化管理,利害關係人卻可能認為企業在用 AI 取代人的判斷。

這時候,AI 治理就不是資訊文件,而是組織信任。

2. 安全相關設備與控制:AI 一旦影響工安,就必須提高治理規格

當 AI 只是提供建議,風險相對可控;但當 AI 影響設備動作、警報判斷、停機決策、品質放行或工安預警時,治理要求就會快速提高。

企業要回答的不只是「準確率多少」,而是:

模型失準時能否回退?
人是否能介入?
異常是否被記錄?
誰有權核准變更?
事故發生時能否追溯決策過程?

在製造業,AI 治理不能只交給資訊部門,因為它牽涉 IT、OT、HR、EHS、法務、採購、品保與營運管理。真正成熟的企業,會把 AI 風險變成跨部門的管理語言。

四、把 EU AI Act 翻成工廠聽得懂的五件事

高風險 AI 的治理要求看似複雜,但對工廠現場來說,可以先翻成五件最務實的管理動作。EU AI Act 對高風險 AI 系統提出風險管理、資料與資料治理、技術文件、紀錄保存、透明性、人類監督、準確性、穩健性與資安等要求(European Parliament and Council of the European Union, 2024)。本文將其轉譯為製造業較容易落地的五個管理問題。

第一,先做風險管理
AI 不是先上線、出事後再補救,而是在導入前就要判斷使用場景、影響對象、風險等級與控制點。

第二,資料要有品質與治理
資料若有偏誤,模型就可能把偏誤放大。資料來源、代表性、更新頻率、標註品質與漂移監測,都應該能被說明。

第三,決策要能留痕與追溯
誰核准模型上線?何時變更?使用哪一版資料?異常如何處理?這些不是行政負擔,而是企業保護自己的證據鏈。

第四,要有人類監督
重要決策不能完全交給黑盒子。關鍵節點必須保留人工介入、覆核、否決與申訴機制。

第五,要有穩健性與資安韌性
AI 的準確率只是基本門檻。長期來看,企業更要證明系統能面對資料漂移、惡意攻擊、異常輸入與營運中斷。

這五件事,其實就是把法規語言轉成工廠語言。企業不一定要一開始就做得很複雜,但一定要開始留下治理證據。

五、國際準則的價值:把一次性合規變成管理系統

成熟的企業,不會只為了一次稽核補文件,而會把負責任 AI 做成管理系統,讓它能擴散到多廠、多國、多供應商。

ISO/IEC 42001 是 AI 管理系統標準,規範組織如何建立、實施、維持與持續改善人工智慧管理系統,適用於提供或使用 AI 產品與服務的組織。ISO 說明,該標準有助於組織負責任地開發與使用 AI,並在風險、機會、透明性、可追溯性與可靠性之間取得平衡(International Organization for Standardization, 2023b)。

ISO/IEC 23894 則提供 AI 風險管理指引,協助開發、部署或使用 AI 產品、系統與服務的組織管理 AI 相關風險,並將風險管理整合到 AI 相關活動與職能之中(International Organization for Standardization, 2023a)。

NIST AI RMF 則提供另一套風險管理語言。NIST AI RMF 1.0 旨在協助設計、開發、部署或使用 AI 系統的組織管理多種 AI 風險,並促進可信任與負責任的 AI 發展與使用;其核心功能包含 Govern、Map、Measure、Manage,協助組織把 AI 風險管理貫穿 AI 系統生命週期(Tabassi, 2023)。

這些準則加在一起,不是要企業多背幾套名詞,而是提醒企業:AI 治理不是單點工具管理,而是治理底盤、風險語言與組織能力的重建。

ESG 是企業的價值羅盤,AI 是企業的效率引擎。
但沒有治理,羅盤會失準,引擎也可能失控。

六、把 AI 治理做成像 ESG 一樣可稽核的日常

ESG 讓企業開始學會盤查、揭露、改善與回應利害關係人;AI 治理也應該走向同樣的日常化與制度化。

製造業可以先從三個流程開始。

第一,採購與供應商管理
採購 AI 系統、演算法服務、影像檢測設備或智慧排程平台時,企業不應只看價格與功能,而要把模型版本、資料來源、測試報告、資安設計、變更紀錄與責任分工納入交付文件。

第二,上線放行與變更管理
AI 系統上線前,應建立風險分級、測試紀錄、人工監督 SOP、回退機制與核准流程。AI 的變更不能像一般軟體更新一樣靜默發生,因為模型變了,決策邏輯也可能變了。

第三,營運監測與持續改善
AI 上線後,企業仍要監測準確率、資料漂移、異常事件、使用者申訴、資安風險與矯正預防措施。這也是把 NIST AI RMF 的 Measure 與 Manage 精神轉成工廠日常。

主編在企業現場可以特別提醒一句:AI 治理不是增加現場負擔,而是讓現場少一點不可控的風險。

當工廠能把 AI 的資料、模型、權限、異常、覆核與改善機制說清楚,客戶看到的就不只是技術能力,而是治理能力。這種能力,最後會變成訂單信任、供應鏈韌性與企業價值。

常見誤區提醒:不要把 AI 治理誤會成文件管理

很多企業一談到 EU AI Act 或 ISO 42001,第一反應就是:「是不是又要多做一堆文件?」

這是一個常見誤區。文件只是治理的證據,不是治理本身。真正的 AI 治理,是讓企業回答四個問題:

AI 用在哪裡?
影響誰?
誰負責?
出了問題如何追溯、修正與補救?

另一個誤區,是把 AI 治理全部交給資訊部門。事實上,AI 一旦影響人、設備、安全、品質、供應鏈與客戶承諾,就必須由高階管理層帶頭,形成跨部門治理機制。

真正的負責任 AI,不是降低創新速度,而是讓創新有方向、有邊界、有信任。這也是 ESG × AI 的核心:ESG 決定企業做對的事,AI 幫企業把事情做好。

顧問觀點:製造業應先做 AI 清冊,再談 AI 策略

從顧問角度看,製造業不必一開始就追求完美制度,而應先做三件事。

第一,建立 AI 使用清冊
先盤點企業內部哪些系統已經使用 AI,包括自建模型、外購系統、SaaS 工具、設備商內建 AI,以及員工自行使用的生成式 AI。

第二,做場景風險分級
區分哪些 AI 只是輔助分析,哪些 AI 影響人事、品質、安全、設備控制、客戶交付或法規責任。高影響場景應優先治理。

第三,把治理做進流程
不要另起爐灶,而是把 AI 風險檢核放進既有採購、供應商管理、資訊安全、內控、EHS、品質管理與 ESG 治理流程。

企業最怕的,不是沒有 AI;而是 AI 已經在現場運作,管理層卻不知道它在哪裡、影響誰、出了事誰負責。

《易經》講「變易」。外在法規會變,客戶要求會變,技術工具也會變。企業真正要修煉的,不是背下每一條規則,而是建立能隨變而治、因變而進的治理能力。

法是外在門檻,道是內在修為。
當制度沉澱為行為,行為成為習慣,習慣形成文化,AI 才能從風險的擴音器,轉為工廠韌性的智慧引擎。

負責任 AI 治理的終局,不是多一份文件,而是讓企業在法規、客戶與社會期待之間,仍能穩定地做對的事、把事情做好,並創造利人、利己、利天下的永續善循環。

參考文獻

Council of the European Union. (2026, May 7). Artificial intelligence: Council and Parliament agree to simplify and streamline ruleshttps://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/

European Commission. (n.d.). AI ActShaping Europe’s Digital Future. Retrieved May 26, 2026, from https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

European Parliament and Council of the European Union. (2024). Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligenceOfficial Journal of the European Unionhttps://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

International Organization for Standardization. (2023a). ISO/IEC 23894:2023 Information technology — Artificial intelligence — Guidance on risk managementhttps://www.iso.org/standard/77304.html

International Organization for Standardization. (2023b). ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management systemhttps://www.iso.org/standard/42001

Tabassi, E. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.AI.100-1

延伸閱讀
熱門文章